Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie

Im Zusammenhang mit ihrer beruflichen Tätigkeit sind Hinweisgeber („Whistleblower“) nach dem Hinweisgeberschutzgesetz geschützt, wenn sie die Meldestellen nutzen. An Hochschulen können also Beschäftigte und Lehrbeauftragte Hinweise geben, jedoch nicht Studierende.

Vor dem Inkrafttreten des Gesetzes gab es keine rechtsicheren Kanäle, um auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Die Weitergabe von vertraulichen Informationen an die Öffentlichkeit oder Presse ist allerdings weiterhin strafbar, wenn dadurch (Unternehmens-) Geheimnisse offengelegt werden.

Nach dem Hinweisgeberschutzgesetz HinSchG gibt es:

  • interne Meldestellen, die von Arbeitgebern eingerichtet werden müssen (verpflichtend bei mindestens 50 Beschäftigten entspr. § 19 HinSchG),
  • deutschlandweite externe Meldestellen, die von Bundesbehörden eingerichtet werden (je nach Art des Hinweises ist genau eine der vier externen Meldestellen entspr. § 19, §§ 21-23 HinSchG zuständig) sowie
  • landeseigene externe Meldestellen für die Landes- und Kommunalverwaltungen (die Einrichtung ist den Ländern entspr. § 20 HinSchG freigestellt).

Welche Missstände kann ich melden?

Nicht jeder Missstand ist zur Meldung vorgesehen. Zudem sind in einigen Fällen trotz des Schutzes der Hinweisgeber rechtliche Konsequenzen möglich.

Vor einer Meldung sollte mensch u.a. prüfen:

  1. Handelt es sich um einen Missstand, die mensch im beruflichen Kontext bekannt wurde?
  2. Sind andere vorrangige Meldepflichten zu befolgen?
    § 4 HinSchG gehen spezifische Regelungen über die Mitteilung von Informationen über bestimmte Verstöße vor, z.B. zur Geldwäsche.
  3. Sind vertrauliche Informationen betroffen, zu denen ein beruflich berechtigter Zugang besteht?
    Sofern die Beschaffung oder der Zugriff auf Informationen durch den*die Hinweisgeber selbst strafbar ist (z.B. bei Administratoren), entbindet gemäß § 35 HinSchG die Weitergabe an eine (externe) Meldestelle nicht von der Verantwortlichkeit, kann also juristisch belangt werden.
  4. Werden mit der Meldung Geheimhaltungs- oder Vertraulichkeitspflichten zum materiellen oder organisatorischen Schutz von Verschlusssachen oder Verschwiegenheitsgeheimnisse bestimmter Berufsgruppen verletzt?
    Nicht vom Gesetz sind abgedeckt sind bspw:

    • sofern entspr. §5 (1) nationale Sicherheitsinteressen betroffen sind sowie
    • Verletzung der Verschwiegenheit von Rechtsanwälten, Ärzten usw. gemäß §5 (2)
  5. Ist es eine Meldung zu den im §2 HinSchG abschließend aufgeführten Kategorien?
    Meldungen sind nur für Verstöße gegen die dort genannten Rechtsvorschriften zulässig, insofern sollte mensch unbedingt prüfen, inwieweit der Verstoß darunter fällt.
    In §2 HinSchG sind B. genannt:
  • Verstöße, die eine Straftat darstellen (§2 (1)),
  • Verstöße gegen Rechtsvorschriften
    • zum Schutz personenbezogener Daten im Anwendungsbereich der DSGVO (§2 (3) Nr. 3 lit. p),
    • zur Sicherheit in der Informationstechnik im Sinne des § 2 Absatz 2 des BSI-Gesetzes (§2 (3) Nr. 3 lit. q); dies gilt allerdings nur für Betreiber Kritischer Infrastrukturen, zu denen Hochschulen nicht gehören

An welche Meldestelle kann ich mich wenden?

Hinweisgeber können sich entscheiden, ob sie sich an die interne oder jeweils zuständige externe Meldestelle wenden. Sofern sie annehmen, dass intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, sollten sie nach § 7 (1) HinSchG die interne Meldestelle bevorzugen, d.h.

  1. Zunächst also bedenken, ob mensch sich an die interne Meldestelle wenden möchte.
  2. Sofern es um die öffentliche Verwaltung bspw. an der Hochschule geht, gibt es ggf. eine landeseigene externe Meldestelle. Das Land Berlin hat bislang keine eingerichtet, so dass die deutschlandweiten externen Meldestellen zuständig sind.
  3. Die externe Meldestelle des Bundes beim Bundesamt für Justiz ist für die meisten Anliegen die zuständige Stelle. Für einige Fachgebiete, z.B. Finanzdienstleistungen und Kartellrecht gibt es spezifische Meldestellen, auf der Webseite des Bundesamtes für Justiz kann mensch prüfen, ob ggf. eine der anderen Stellen zuständig ist.

Sind anonyme Meldungen möglich?

Interne Meldestellen sind nach § 16 (1) HinSchG angehalten, anonyme Hinweise aufzunehmen, jedoch nicht dazu verpflichtet. Die TU Berlin bietet die Möglichkeit anonymer Meldungen an.

Die externen Meldestellen nehmen auch anonyme Meldungen entgegen.

Bei nicht-anonymen Meldungen ist die Identität der meldenden Person ist nach § 8 vertraulich zu behandeln, ebenso die weiterer in der Meldung genannten Personen. Das HinSchG sieht in § 9 einige Ausnahmen vom Vertraulichkeitsgebot vor, u.a. bei Strafverfahren oder wenn vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße gemeldet werden.

Fazit

Das Hinweisgeberschutzgesetz ermöglicht Beschäftigten auf bestimmte Missstände in ihrem Unternehmen bzw. ihrer Einrichtung aufmerksam zu machen ohne dass sie Repressalien befürchten müssen.

Allerdings sind nur bestimmte Meldungen vom Gesetz erfasst und anonyme Meldungen nur für die externen Meldestellen verpflichtend.

Die Ultima Ratio einer Offenlegung von Missständen gegenüber der Öffentlichkeit oder Presse ist mit abdeckt, sofern die Bestimmungen des § 32 befolgt werden, u.a. zunächst eine externe Meldestelle informiert wurde.

Potentielle Hinweisgeber sollten in jedem Fall bedenken, welche Risiken sie bei einer Meldung in Kauf nehmen, auch wenn das Gesetz sie grundsätzlich vor Repressalien schützt.

Weitere Informationen

ChatGPT kennt Dich – die neue Memory-Funktion

Wie vermutet, merkt sich OpenAI / ChatGPT nun, was man so chatted. Aus dem Chatverlauf wird ein Profil generiert und im sogenannten „Memory“ gespeichert.

Das Chatten soll sich dadurch verbessern, da ChatGPT dann einiges über die Perosn weiß und ständig dazulernt, z.B. was die Interessen sind, ob mensch Kinder hat …

Damit bietet chatGPT eine neue Angriffsfläche: Wer Zugriff auf das Profil bekommt, weiß einiges über die Person und kann das gezielt ausnutzen. Zunächst OpenAI und vermutlich auch Microsoft, aber künftig vielleicht auch Partner, die passgenauen Content liefern, wie mensch es vonbden Social Media Plattformen kennt. Und Kriminelle dürften auch ein Interesse haben, denn Identitätsdiebstahl wird mit einem gehackten Profil leichter.

Im Default ist der „Memory“ aktiviert und wird auch zum Training des LLM genutzt – immerhin kann beides in den Tiefen der Einstellungen deaktiviert werden (aber eben nur als Opt-out). Auch wenn es mühsam ist und der Chat vielleicht nicht so flüssig startet wie mit „Gedächtnis“ sollte jede*r die Memory-Funktion deaktivieren.

Weitere Informationen

 

Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa“

Der EuGH machte mit dem Schufa-Urteil deutlich, dass ein Score nur unter bestimmten Voraussetzungen zur automatischen Entscheidung genutzt werden darf und kritisierte die zu lange Speicherung von negativen Einträgen.

Nun hat sich der deutsche Gesetzgeber auf den Weg gemacht, eine Rechtsgrundlage zu erlassen und will mit dem neuen §37a BDSG (Bundesdatenschutzgesetz) eine „Lex Schufa“ schaffen, das:

Scoring legalisiert

und

automatische Entscheidungen
basierend auf einem Score erlaubt

und dafür einige Do´s und Don´t enthält sowie Transparenzpflichten und Einspruchsmöglichkeiten auferlegt (siehe dazu den Vergleich der Wortlaute der bisherigen mit der neuen Regelung weiter unten).

Beispielsweise wären dank des neuen §37a BDSG automatische Entscheidungen zulässig über:

  • Kontoeröffnungen,
  • Kreditverträge,
  • (Vorauswahl von) Wohnungsmietinteressierten oder Stellenbewerber*innen sowie das
  • Zustandekommen von (Online-) Kaufverträgen

Es ist zu befürchten, dass die auf den ersten Blick recht kleinteilige Regelung (Entwurfstext siehe unten) weniger dem Ziel

  • „Verbraucherinnen und Verbraucher zu schützen“

dient sondern im Gegenteil

  • neue Möglichkeiten des Scorings

ermöglicht werden.

Der Entwurf des §37a sollte deshalb noch einmal auf den Prüfstand, der Versuch der detaillierten Regulierung verbietet zwar einiges explizit, lässt aber darüber hinaus viel Gestaltungsspielraum für Scorings.

Die neuen Beschränkungen könnten in den bisherigen Scoring-Paragraph §31 aufgenommen werden  (z.B. weder Anschriftendaten, besondere Kategorien personenbezogener Daten, Namen sowie Daten aus sozialen Netzwerken zu verwenden), aber automatische Entscheidungen sollten weiterhin untersagt bleiben, d.h der neue §37a sollte keinesfalls so verabschiedet werden.

„Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa““ weiterlesen

Passwörter adé? Wie sicher sind Passkeys?

Apple, Google und Microsoft führen Passkeys als Standard-Authentifizierung im Web ein. Moderne Browser unterstützen sie, bald auch Webshops und Dienste wie Facebook & Co.

  • Passkeys kurz erklärt und ihre Pros und Cons.

Spoiler: Es gibt keine Empfehlung zur Nutzung. Warten wir es lieber ab.

„Passwörter adé? Wie sicher sind Passkeys?“ weiterlesen

Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?

Frage:
Von unserem Bereich wurden im Rahmen von Veranstaltungen und anderen Aktivitäten E-Mail-Adressen von Interessenten erhoben, die wir jetzt für unseren neuen Newsletter verwenden wollen. Ist das datenschutzrechtlich zulässig?

Die kurze Antwort:

Nur dann, wenn eine Einwilligung für den Newsletter erteilt wurde.

Außerdem dürfen Daten nicht länger gespeichert werden als für die ursprüngliche Zweckerfüllung erforderlich ist.

Daten dürfen nicht länger als erforderlich gespeichert werden.

Sofern sie darüber hinaus gespeichert werden, ist das bereits ein Datenschutzverstoss.

Rückfrage:
Gibt es nicht eine Ausnahme für Direktwerbung?

Anwort:
Ja, aber nur in sehr engen Grenzen: Eine weitere Kontaktaufnahme ist nach §7 Absatz 3 UWG zulässig, wenn die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung erhoben wurde und auf eigene ähnliche Waren oder Dienstleistungen aufmerksam gemacht werden soll. Die Verwendung für einen Newsletter geht nach üblicher Rechtssprechung darüber hinaus.

Die ausführliche Antwort:

„Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?“ weiterlesen

HAWKI – Zugang zu ChatGPT 4 für Hochschulangehörige

Die individuelle Nutzung von ChatGPT erfordert die Registrierung mit einer E-Mail-Adresse und (häufig privaten) Mobilnummer. Zudem ist das leistungsfähige ChatGPT 4 mit monatlichen Kosten von derzeit 20€ verbunden. Und der Anbieter OpenAI kann Profile generieren.

Die individuelle Anmeldung ist keine Option für alle Studierenden und Beschäftigten.

Da die Hochschullehre eine hoheitliche Aufgabe ist, kann ChatGPT nicht verpflichtend eingesetzt werden, denn die Offenlegung personenbezogener privater Daten gegenüber Open AI kann nicht eingefordert werden. Aufgrund fehlender Chancengleichheit ist die Zulässigkeit einer freiwilligen Nutzung unter diesen Bedingungen ebenso kritisch zu betrachten.

Es braucht also andere Wege!

Dass generative KI wie ChatGPT im Hochschulalltag heute und künftig eine wichtige Rolle spielt, ist offensichtlich. Im Rahmen der Kultusministerkonferenz (KMK) wird das Bekenntnis dazu gegeben und die Notwendigkeit eines fehlertoleranten Umgangs mit KI-Tools und die Schaffung rechtsicherer und chancengleicher Zugänge gefordert.

An Generativer KI führt kein Weg vorbei!

Die HAWK Hochschule in Hildesheim, Holzminden und Göttingen hat bereits im Januar 2023 eine Open-Source-Software entwickelt, die ChatGPT datenschutzkonform auf Basis eines Interfaces einbindet.

Es ist also möglich:
Datenschutzkonformer Zugang zu ChatGPT.

„HAWKI – Zugang zu ChatGPT 4 für Hochschulangehörige“ weiterlesen

Urteil: Geburtsdatum darf kein Pflichtfeld für die Studierendenparlamentkandidatur sein

Das Oberverwaltungsgericht Hamburg beschied:

Die Pflicht zum Vermerk des Geburtsdatums auf dem Kandidaturbogen zum Studierendenparlament verstößt gegen den in Art. 5 Abs. 1 Buchst. c) DSGVO verankerten Grundsatz der Datenminimierung.

Dem Gericht war die Erforderlichkeit des Geburtsdatums nicht ersichtlich, so dass dieses nicht erhoben werden darf.

„Urteil: Geburtsdatum darf kein Pflichtfeld für die Studierendenparlamentkandidatur sein“ weiterlesen

Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden

Nachdem sich Ende 2023 keine Einigung unter den Mitgliedsstaaten abzeichnete, wird die verpflichtende Chatkontrolle keine Gesetzeskraft vor der EU-Wahl im Mai erhalten.

Die derzeitige Ausnahmeregelung nach der Anbieter wie Meta und Microsoft Chatinhalte auf Kinderpornographie scannen dürfen, soll über August 2024 hinaus verlängert werden.

„Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden“ weiterlesen

Literaturverwaltung mit Zotero

Zotero ist eine Open Source Desktop-Anwendung für die Literaturverwaltung. Es ermöglicht das Sammeln, Organisieren und Zitieren von Quellen und ist damit ein Alternative zu kommerziellen Tools wie Endnote und Citavi.

Zotero kann bibliographische Daten und Volltexte aus dem Internet importieren und Quellen in verschiedenen Stilen zitieren. Notizen und Tags können die Bibliographie ergänzen und strukturieren.

Mittels Plugins für MS Word und Libre Office integriert sich Zotero nahtlos in Textverarbeitungsprogramme, um automatisch Zitate und Bibliographien in verschiedenen Zitierstilen zu erstellen. Mit der Zotero Browser-Erweiterung (Add-on) können bibliographische Daten und Volltexte direkt aus Bibliotheks-Katalogen und vielen Literaturdatenbanken übernommen werden.

„Literaturverwaltung mit Zotero“ weiterlesen