Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie

Im Zusammenhang mit ihrer beruflichen Tätigkeit sind Hinweisgeber („Whistleblower“) nach dem Hinweisgeberschutzgesetz geschützt, wenn sie die Meldestellen nutzen. An Hochschulen können also Beschäftigte und Lehrbeauftragte Hinweise geben, jedoch nicht Studierende.

Vor dem Inkrafttreten des Gesetzes gab es keine rechtsicheren Kanäle, um auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Die Weitergabe von vertraulichen Informationen an die Öffentlichkeit oder Presse ist allerdings weiterhin strafbar, wenn dadurch (Unternehmens-) Geheimnisse offengelegt werden.

Nach dem Hinweisgeberschutzgesetz HinSchG gibt es:

  • interne Meldestellen, die von Arbeitgebern eingerichtet werden müssen (verpflichtend bei mindestens 50 Beschäftigten entspr. § 19 HinSchG),
  • deutschlandweite externe Meldestellen, die von Bundesbehörden eingerichtet werden (je nach Art des Hinweises ist genau eine der vier externen Meldestellen entspr. § 19, §§ 21-23 HinSchG zuständig) sowie
  • landeseigene externe Meldestellen für die Landes- und Kommunalverwaltungen (die Einrichtung ist den Ländern entspr. § 20 HinSchG freigestellt).

Welche Missstände kann ich melden?

Nicht jeder Missstand ist zur Meldung vorgesehen. Zudem sind in einigen Fällen trotz des Schutzes der Hinweisgeber rechtliche Konsequenzen möglich.

Vor einer Meldung sollte mensch u.a. prüfen:

  1. Handelt es sich um einen Missstand, die mensch im beruflichen Kontext bekannt wurde?
  2. Sind andere vorrangige Meldepflichten zu befolgen?
    § 4 HinSchG gehen spezifische Regelungen über die Mitteilung von Informationen über bestimmte Verstöße vor, z.B. zur Geldwäsche.
  3. Sind vertrauliche Informationen betroffen, zu denen ein beruflich berechtigter Zugang besteht?
    Sofern die Beschaffung oder der Zugriff auf Informationen durch den*die Hinweisgeber selbst strafbar ist (z.B. bei Administratoren), entbindet gemäß § 35 HinSchG die Weitergabe an eine (externe) Meldestelle nicht von der Verantwortlichkeit, kann also juristisch belangt werden.
  4. Werden mit der Meldung Geheimhaltungs- oder Vertraulichkeitspflichten zum materiellen oder organisatorischen Schutz von Verschlusssachen oder Verschwiegenheitsgeheimnisse bestimmter Berufsgruppen verletzt?
    Nicht vom Gesetz sind abgedeckt sind bspw:

    • sofern entspr. §5 (1) nationale Sicherheitsinteressen betroffen sind sowie
    • Verletzung der Verschwiegenheit von Rechtsanwälten, Ärzten usw. gemäß §5 (2)
  5. Ist es eine Meldung zu den im §2 HinSchG abschließend aufgeführten Kategorien?
    Meldungen sind nur für Verstöße gegen die dort genannten Rechtsvorschriften zulässig, insofern sollte mensch unbedingt prüfen, inwieweit der Verstoß darunter fällt.
    In §2 HinSchG sind B. genannt:
  • Verstöße, die eine Straftat darstellen (§2 (1)),
  • Verstöße gegen Rechtsvorschriften
    • zum Schutz personenbezogener Daten im Anwendungsbereich der DSGVO (§2 (3) Nr. 3 lit. p),
    • zur Sicherheit in der Informationstechnik im Sinne des § 2 Absatz 2 des BSI-Gesetzes (§2 (3) Nr. 3 lit. q); dies gilt allerdings nur für Betreiber Kritischer Infrastrukturen, zu denen Hochschulen nicht gehören

An welche Meldestelle kann ich mich wenden?

Hinweisgeber können sich entscheiden, ob sie sich an die interne oder jeweils zuständige externe Meldestelle wenden. Sofern sie annehmen, dass intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, sollten sie nach § 7 (1) HinSchG die interne Meldestelle bevorzugen, d.h.

  1. Zunächst also bedenken, ob mensch sich an die interne Meldestelle wenden möchte.
  2. Sofern es um die öffentliche Verwaltung bspw. an der Hochschule geht, gibt es ggf. eine landeseigene externe Meldestelle. Das Land Berlin hat bislang keine eingerichtet, so dass die deutschlandweiten externen Meldestellen zuständig sind.
  3. Die externe Meldestelle des Bundes beim Bundesamt für Justiz ist für die meisten Anliegen die zuständige Stelle. Für einige Fachgebiete, z.B. Finanzdienstleistungen und Kartellrecht gibt es spezifische Meldestellen, auf der Webseite des Bundesamtes für Justiz kann mensch prüfen, ob ggf. eine der anderen Stellen zuständig ist.

Sind anonyme Meldungen möglich?

Interne Meldestellen sind nach § 16 (1) HinSchG angehalten, anonyme Hinweise aufzunehmen, jedoch nicht dazu verpflichtet. Die TU Berlin bietet die Möglichkeit anonymer Meldungen an.

Die externen Meldestellen nehmen auch anonyme Meldungen entgegen.

Bei nicht-anonymen Meldungen ist die Identität der meldenden Person ist nach § 8 vertraulich zu behandeln, ebenso die weiterer in der Meldung genannten Personen. Das HinSchG sieht in § 9 einige Ausnahmen vom Vertraulichkeitsgebot vor, u.a. bei Strafverfahren oder wenn vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße gemeldet werden.

Fazit

Das Hinweisgeberschutzgesetz ermöglicht Beschäftigten auf bestimmte Missstände in ihrem Unternehmen bzw. ihrer Einrichtung aufmerksam zu machen ohne dass sie Repressalien befürchten müssen.

Allerdings sind nur bestimmte Meldungen vom Gesetz erfasst und anonyme Meldungen nur für die externen Meldestellen verpflichtend.

Die Ultima Ratio einer Offenlegung von Missständen gegenüber der Öffentlichkeit oder Presse ist mit abdeckt, sofern die Bestimmungen des § 32 befolgt werden, u.a. zunächst eine externe Meldestelle informiert wurde.

Potentielle Hinweisgeber sollten in jedem Fall bedenken, welche Risiken sie bei einer Meldung in Kauf nehmen, auch wenn das Gesetz sie grundsätzlich vor Repressalien schützt.

Weitere Informationen

Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa“

Der EuGH machte mit dem Schufa-Urteil deutlich, dass ein Score nur unter bestimmten Voraussetzungen zur automatischen Entscheidung genutzt werden darf und kritisierte die zu lange Speicherung von negativen Einträgen.

Nun hat sich der deutsche Gesetzgeber auf den Weg gemacht, eine Rechtsgrundlage zu erlassen und will mit dem neuen §37a BDSG (Bundesdatenschutzgesetz) eine „Lex Schufa“ schaffen, das:

Scoring legalisiert

und

automatische Entscheidungen
basierend auf einem Score erlaubt

und dafür einige Do´s und Don´t enthält sowie Transparenzpflichten und Einspruchsmöglichkeiten auferlegt (siehe dazu den Vergleich der Wortlaute der bisherigen mit der neuen Regelung weiter unten).

Beispielsweise wären dank des neuen §37a BDSG automatische Entscheidungen zulässig über:

  • Kontoeröffnungen,
  • Kreditverträge,
  • (Vorauswahl von) Wohnungsmietinteressierten oder Stellenbewerber*innen sowie das
  • Zustandekommen von (Online-) Kaufverträgen

Es ist zu befürchten, dass die auf den ersten Blick recht kleinteilige Regelung (Entwurfstext siehe unten) weniger dem Ziel

  • „Verbraucherinnen und Verbraucher zu schützen“

dient sondern im Gegenteil

  • neue Möglichkeiten des Scorings

ermöglicht werden.

Der Entwurf des §37a sollte deshalb noch einmal auf den Prüfstand, der Versuch der detaillierten Regulierung verbietet zwar einiges explizit, lässt aber darüber hinaus viel Gestaltungsspielraum für Scorings.

Die neuen Beschränkungen könnten in den bisherigen Scoring-Paragraph §31 aufgenommen werden  (z.B. weder Anschriftendaten, besondere Kategorien personenbezogener Daten, Namen sowie Daten aus sozialen Netzwerken zu verwenden), aber automatische Entscheidungen sollten weiterhin untersagt bleiben, d.h der neue §37a sollte keinesfalls so verabschiedet werden.

„Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa““ weiterlesen

Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden

Nachdem sich Ende 2023 keine Einigung unter den Mitgliedsstaaten abzeichnete, wird die verpflichtende Chatkontrolle keine Gesetzeskraft vor der EU-Wahl im Mai erhalten.

Die derzeitige Ausnahmeregelung nach der Anbieter wie Meta und Microsoft Chatinhalte auf Kinderpornographie scannen dürfen, soll über August 2024 hinaus verlängert werden.

„Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden“ weiterlesen

Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt

Es gibt einen Angemessenheitsbeschluss der EU Kommission für die USA, der auf dem EU-U.S. Data Privacy Framework basiert.

Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.

Die gute Nachricht zuerst:

Die Übermittlung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.

Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) registrieren.

Die schlechte Nachricht:

Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.

Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.

„Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt“ weiterlesen

Chatkontrolle: Diskussion des EU-Gesetzentwurfs

Die geplante Verordnung zum Scannen privater Kommunikationsdaten wird von der EU-Kommission weiter verfolgt, aktuell wird darüber viel diskutiert, es geht darum was mit der Verordnung letztlich durchgesetzt wird.

Es geht um den Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern (11.5.2022)

Weitere Informationen bei netzpolitik.org:

 

Schrems II – Whats next: Entwurf des neuen EU-US Data Privacy Framework

Worum es geht:

Transfers personenbezogener Daten aus der EU in die USA, die dort dem Zugriff der Sicherheitsbehörden unterliegen („Signals intelligence“, insb. der NSA).

Da viele Anwendungen von US-amerikanischen Unternehmen stammen, die Server in den USA nutzen, sind  personenbezogene Daten europäischer Bürger vor dem Zugriff möglicherweise nicht ausreichend geschützt.

Im Juli 2020 wurde vom EuGH das EU-US Privacy Shield gekippt, siehe Blogbeitrag Safe Harbour ade. Privacy Shield ade. What’s next?

Und nun?

Europäische Unternehmen und öffentliche Stellen müssen den Einsatz solcher Anwendungen seitdem aufwendiger datenschutzrechtlich absichern. Es genügt nicht mehr, dass sich ein US-Unternehmen auf den EU-US Privacy Shield  beruft.

Seitdem sind die neuen von der Europäischen Kommission erarbeiteten Standardvertragsklauseln und zusätzliche Schutzmaßnahmen geeignete Sicherheitsgarantien „Safeguards“, siehe z.B. die Orientierungshilfe der Baden-Württembergischen Datenschutzaufsicht (Oktober 2021): Was jetzt in Sachen internationaler Datentransfer?

Künftig soll der EU-US Data Privacy Framework, der den EU-US Privacy Shield in einigen Punkten erweitert, die Funktion übernehmen – nach der Executive Order des US-Präsidenten im Oktober 2022 hat die Europäische Kommission einen Angemessenheitsbeschluss als Entwurf vorbereitet, mit dem künftig Datentransfers in die USA datenschutzrechtlich abgesichert werden können:

Der europäische Datenschutzausschuss EDPB hat dazu im Februar 2023 Stellung genommen, begrüßt die vorgenommenen Verbesserungen, sieht aber noch weiteren Regelungsbedarf, u.a. für den sogenannten „bulk-upload“, bei dem große Datenmengen transferiert werden und erst im Anschluss gefiltert/selektiert wird:

Was in 2023 geschehen wird

Die Europäische Kommission nimmt die Stellungnahme des europäischen Datenschutzausschuss zur Kenntnis, das europäische Parlament kann eine Prüfung vornehmen und Anmerkungen geben und möglicherweise gibt es noch (Nach-)Verhandlungen mit der US-amerikanischen Seite. Letztlich ist ein finaler Angemessenheitsbeschluss der EU-Kommission für den EU-US Data Privacy Framework zu erwarten.

Damit könnten dann Datentransfers in die USA rechtlich abgesichert werden. Allerdings nur bis zum erwartbaren dritten Urteil des EuGH „Schrems III“ in einigen Jahren, da Max Schrems die Klage bereits ankündigte…

Nachtrag vom 13. Juli

Der Angemessenheitsbeschluss wurde nun gefällt, siehe Blogbeitrag

Vorratsspeicherung ade – EuGH kippt deutsche Regelung

Der Eingriff in die Grundrechte sei nicht verhältnismäßig, insbesondere die anlasslose Vorratsspeicherung von Verkehrs- und Standortdaten. Eine allgemeine Speicherung von IP-Adressen und die gezielte Vorratsdatenspeicherung zur Bekämpfung schwerer Kriminalität kann aber von den Mitgliedsstaaten geregelt werden.

Die seit Jahren anhaltende Diskussion um die allgemeine Vorratsdatenspeicherung sollte mit dem Urteil ein Ende finden – auch wenn immer wieder vereinzelt Forderungen danach zu hören waren, zuletzt von der Innenministerin Faeser. Eine Nachfolgeregelung wird es wohl geben, diese muss aber deutlich weniger Daten speichern, wenn sie das EuGH-Urteil umsetzen soll.

Aus der Pressemitteilung:

Ein solcher Satz von Verkehrs und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren , und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.“

Weitere Informationen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf

Wir berichteten bereits darüber, jetzt macht die Kommission ernst mit der digitalen Massenüberwachung:

Alle Dienstanbieter sollen verpflichtet werden,
jede (private) Kommunikation auf kinderpornographische Inhalte zu scannen.

Derzeit ist es noch freiwillig, künftig aber gefordert, dass alle Inhalte kontrolliert werden müssen. Es ist nur eine Frage der Zeit, dass die Begehrlichkeiten der Behörden nicht auf kinderpornographische Inhalte beschränkt bleiben werden, was in einer Domäne funktioniert, kann leicht adaptiert werden.

„Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf“ weiterlesen

EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten

Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.

Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.

Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.

„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen