Compliance-Berater
Das Auskunftsrecht nach Art. 15 DSGVO in der Fallarbeit nach Hinweisgeberschutzgesetz
Quelle: Compliance-Berater 2025 Heft 10 vom 18.09.2025, Seite 370

Veröffentlicht am von


Benjamin Matthias
Putscher

Das Auskunftsrecht nach Art. 15 DSGVO in der Fallarbeit nach Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz (HinSchG) kann in der praktischen Fallarbeit zu Friktionen mit Auskunftsersuchen nach Art. 15 Datenschutz-Grundverordnung (DSGVO) führen. Die diametralen Interessen von Auskunftsersuchenden und Personen, die vom Schutzschirm des HinSchG erfasst sind, können die erfolgreiche Fallarbeit interner Meldestellen in Einzelfällen deutlich erschweren und zu relevanten Haftungsrisiken führen. Sowohl hinsichtlich des Identitätsschutzes nach HinSchG als auch bei der Interessenabwägung im Zuge der Anwendung des § 29 Bundesdatenschutzgesetz (BDSG) ergeben sich kritische Szenarien. Im Folgenden soll die Wirkung von Auskunftsersuchen nach Art. 15 DSGVO auf Fallarbeit und Hinweisgeberschutz erläutert werden und Meldestellen sowie Datenschutzbeauftragten eine Einordnungshilfe für die Praxis liefern.

I. Ausgangssituation

Die Legitimität der Verarbeitung personenbezogener Daten innerhalb einer internen Meldestelle gemäß Art. 6 Abs. 1 lit c DSGVO sollte inzwischen unstrittig sein. Es ist davon auszugehen, dass schon bei Abgabe einer Meldung eine sachliche Anwendbarkeit von DSGVO und BDSG vorliegt1.

Aus dem Spannungsfeld zwischen Betroffenenrechten der DSGVO und dem Identitätsschutz des HinSchG ergeben sich in der Praxis weiterhin zahlreiche Fragestellungen. So etwa, wie die interne Meldestelle die Wahrung von § 8 HinSchG sicherstellt, wenn ein Auskunftsersuchen nach Art. 15 DSGVO gestellt wurde2. Im Fokus der weiteren Analyse stehen Art. 15 Abs. 1 2. HS lit. g und Art. 15 Abs. 3 DSGVO mit ausschließlichem Bezug zum internen Meldestellenbetrieb von Unternehmen, die Verpflichtete nach DSGVO und § 12 Abs. 1 f. HinSchG sind. Der Fokus soll auf dem Identitätsschutz liegen, dem Kernelement jedes Hinweisgebersystems.

II. Diametrale Interessenlage

Der Identitätsschutz, der sich aus dem HinSchG ergibt, wirkt diametral zum Informationsrecht der Betroffenen nach DSGVO. Diese Gegensätzlichkeit ergibt sich auf der einen Seite aus dem Zweck des Art. 15 DSGVO, der zusammen mit Art. 13 und Art. 14 DSGVO die „Magna Charta“ der Betroffenenrechte bildet3. Verdeutlicht wird das mit Erwägungsgrund (63) der Verordnung (EU) 2016/679, denn aus Sicht der Gesetzgeber sollen die Regelungen des Art. 15 DSGVO Betroffene überhaupt in die Lage versetzen sich über die verarbeiteten Daten zu informieren und die Rechtmäßigkeit zu prüfen, indem die Verantwortlichen verpflichtet werden die Betroffenen umfassend und transparent zu informieren4. Wie Nink kann man hierin die wesentliche Basis für Betroffene sehen, ihr Recht auf informationelle Selbstbestimmung ausreichend ausüben zu können5 und damit eine essenzielle Norm für die Wahrung ihres allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 GG.

Dem entgegen steht der Zweck des § 8 HinSchG auf der anderen Seite, in dem der erste „Schutzwall“ eines effektiven Meldesystems zum Ausdruck kommt6, der Identitätsschutz. Denn, „damit ein Hinweisgeberschutzsystem wirksam und funktionstüchtig ist, ist es unerlässlich, dass die Identität aller von einer Meldung betroffenen Personen geschützt wird.“7.

Basierend auf dieser diametralen Wirkweise, haben interne Meldestellen und der Datenschutzbeauftrage die Aufgabe, die Interessen der Betroffenen nach DSGVO mit dem Identitätsschutz nach HinSchG abzuwägen. Diese Interessenabwägung ist obligatorisch8.

Paal sieht damit eine Möglichkeit zur „Grundrechtsabwägung“9 eröffnet. Damit wird deutlich, dass dieser Abwägungsfrage stets besondere Bedeutung beikommt, die von der internen Meldestelle und dem Datenschutzbeauftragen nach kritischen Maßstäben beantwortet werden sollte. Zugleich sind damit fachliche Anforderungen verbunden, die in erster Linie an die Meldestellenmitglieder zu richten sind, da diese erstinstanzlich die Fallinterna kennen.

1. Umfang des Identitätsschutzes nach HinSchG

Die Schutzwirkung des § 8 HinSchG bezieht sich auf die Identität des in § 8 Abs. 1 S. 1 HinSchG genannten Personenkreises. Gemeint sind alle Daten, Informationen und Merkmale, die zur unmittelbaren Identifikation einer geschützten Person dienen können,10 (beispielsweise Name, Personalnummer, übliches Mitarbeiterkürzel, handschriftliche Signatur, Portraitaufnahme, Sprachmitschnitt). Zudem wären auch Informationen, aus denen sich die Identität von geschützten Personen mittelbar ergibt vom Vertraulichkeitsgebot erfasst11. Dabei hat eine verkehrskreisorientierte Betrachtung zu erfolgen. Denn die Meldestellenbeauftragten müssen beurteilen, welche der Fallinformationen einem objektiven Dritten aus dem Verkehrskreis der zu schützenden Personen dazu taugen, hinreichend auf die Identität dieser geschützten Person zu schließen. Insbesondere für Auskünfte nach Art. 15 Abs. 3 DSGVO wird das relevant sein.

Ob dieser um mittelbare Attribute erweiterte Identitätsschutz nur auf Hinweisgeber Anwendung findet oder auf alle mit dem Hinweis in Verbindung stehende Personen, ist umstritten. Die zu bevorzugende und auch überwiegend vertretene Auffassung geht aber von der weiter gefassten Anwendung aus12.

2. Verlangen nach Auskunft über die Datenherkunft

Ein Ersuchen nach Art. 15 Abs. 1 Hs. 2 lit. g DSGVO verlangt die Auskunft über alle verfügbaren Informationen zur Herkunft jener Daten, die nicht beim Betroffenen selbst erhoben wurden. Dabei spielt es keine Rolle ob der Verantwortliche die Daten von einem Dritten erhielt oder auf eigenes Betreiben gewann13. Betroffene können von diesem Informationsrecht in einer ersten Stufe des Auskunftsverfahrens Gebrauch machen.

Dieses Auskunftsrecht wirkt in der Regel unmittelbar gegen den Schutz der Identität eines Hinweisgebers. Dem Wortlaut „alle verfügbaren Informationen“ folgend, ist korrekterweise anzunehmen, dass bei unklarer Datenherkunft auch die in Frage kommenden Datenquellen (im Sinne einer wahrscheinlichkeitsorientierten Vermutung) anzugeben sind, ebenso der Zeitpunkt des Dateneingangs14. Dem folgend wäre die interne Meldestelle sogar verpflichtet, die vermutete Identität eines anonymen Hinweisgebers anzugeben, wenn sie aus den Informationen der Meldung mit überwiegend wahrscheinlicher Korrektheit mittelbar auf dessen Identität schließen kann.

a) Abwägung der Schutzinteressen

Zur in Abschnitt II. erwähnten, obligatorischen Interessenabwägung sei zunächst auf die Überlegungen des EU-Kommission hingewiesen. Die räumte dem Identitätsschutz in Erwägungsgrund 84 der Richtlinie (EU) 2019/1937 zumindest Vorfahrt ein, was mit Relevanz für die interne Meldestelle in Art. 23 Abs. 1 lit. d und lit. i DSGVO zum Ausdruck kam. Die Bundesregierung verweist zu diesem Zweck in ihrer Formulierungshilfe vom 13. 3. 2023 auf die Interessenabwägung nach § 29 BDSG. Demnach bestünden Informationspflichten und Auskunftsrechte nicht, soweit dabei Informationen offenbart würden, die ihrem Wesen nach oder einer Rechtsvorschrift folgend geheim zu halten wären. Diese Interpretation hat sich in der Praxis durchgesetzt15 und wurde so beispielsweise vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg kommuniziert.

Die Formulierungshilfe der Bundesregierung erweckt den Eindruck dem Informations- und Auskunftsrecht nach DSGVO sei im Sinne des 2023 in Kraft getretenen HinSchG regelmäßig nicht nachzukommen. Das kann zu der Annahme verleiten, dass es keiner Interessenabwägung bedarf. Der BGH machte jedoch in seinem Urteil vom Februar 2022 deutlich, dass auf die Interessenabwägung bei Anwendung des § 29 BDSG nicht zu verzichten sei
16. Dabei stützte er sich nicht nur bereits auf die Fälle, in denen Meldungen grob fahrlässig oder vorsätzlich unrichtig abgegeben wurden, sondern auch jene, die leichtfertig unrichtig erfolgten17.

Zu bedenken ist, dass eine Verweigerung der Auskunft nach § 29 BDSG durch den Datenschutzbeauftragen das Grundrecht des Betroffenen auf informationelle Selbstbestimmung einschränken kann. Die Bedeutung der Interessenabwägung sei damit abermals unterstrichen.

b) Umsetzung der Interessenabwägung durch Datenschutzbeauftrage und Meldestellenbeauftragte

Ist der Datenschutzbeauftrage mit einem Auskunftsverlangen konfrontiert, hat er die geschuldeten Informationen unverzüglich zu erteilen, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags. Nur in besonderen Ausnahmefällen kann um zwei Monate, auf eine Maximalfrist von drei Monaten, verlängert werden18. Die Gründe für die Verlängerung sind dem Antragsteller innerhalb des ersten Monats mitzuteilen19. Damit ist eine enge Frist definiert, die mittelbare Wirkung auf die Fallarbeit entfalten kann. Art. 23 Abs. 1 lit. d oder lit. i DSGVO bieten die Möglichkeit, eine solche Fristverlängerung anzuzeigen, etwa wenn bei Erteilung der Auskunft der Erfolg interner Untersuchungen gefährdet wäre. Im Übrigen ist dies in Verbindung mit § 29 BDSG und einer Interessenabwägung auch die Grundlage, um ein Auskunftsersuchen vor selbem Hintergrund abzulehnen.

Zu Nachweiszwecken sollte der Datenschutzbeauftrage in jedem Fall dokumentieren, dass ein Betroffener eine Auskunftsanfrage gestellt hat und ob bzw. wie diese Anfrage dann beantwortet wurde. Der Zweckbindungsgrundsatz, Art. 5 Abs. 1 lit. b DSGVO, ist hierauf anzuwenden.20

Bei der Prüfung des Auskunftsanspruchs und der durchzuführenden Interessenabwägung ist der Datenschutzbeauftrage auf die Zuarbeit der internen Meldestelle angewiesen. In der Praxis erscheint es sachgerecht, die Interessenabwägung bei der Meldestelle zu verorten und dann das Ergebnis samt Begründung an den Datenschutzbeauftragen weiterzuleiten. Der Datenschutzbeauftrage könnte die notwendige Interessenabwägung nicht effektiv selbst durchführen, ohne alle zugehörigen Informationen der Meldung zu kennen. Der unmittelbare Austausch der Meldestelle mit dem Datenschutzbeauftragen ist ungeachtet dessen anzuraten. Art. 38 Abs. 5 DSGVO bildet hier die gesetzliche Grundlage der Vertraulichkeit und kann vertraglich durch ein zusätzliches NDA untermauert werden.

Eine Doppelfunktion des Datenschutzbeauftragen zeitgleich als Mitglied der internen Meldestelle eröffnet sich nach Art. 38 Abs. 6 DSGVO indes nicht. Die Frage ob nicht auch die Tätigkeit eines Datenschutzkoordinators, als verlängerter Arm des Datenschutzbeauftragen, diesbezüglich Interessenkonflikte mit sich bringen kann sei hier nur angezeigt.

Führt die interne Meldestelle die Interessenabwägung durch, empfiehlt es sich, diese stets zu verschriftlichen und so auch als Teil der Fallakte zu dokumentieren. Es kann mit der Kondition einer vertraglich oder gesetzlich gesicherten Vertraulichkeitswahrung sinnvoll sein, einen externen Berater hinzuzuziehen. Denn interne Meldestelle und Datenschutzbeauftrager müssen nicht automatisch zu einer hinreichenden Beurteilung befähigt sein. Das ist von Fall zu Fall zu entscheiden.

Auskunftsersuchen können in allen Phasen der Fallarbeit eintreffen. Unter § 17 HinSchG ist das Verfahren der Arbeit einer Meldestelle vorgegeben, das in § 18 HinSchG um den Verfahrensabschluss ergänzt wird. In Auslegung der Norm kann man dieses Verfahren in fünf Phasen unterteilen (siehe Abb. unten)21.

Abb.: Auskunftsersuchen – Verfahren in fünf Phasen

Phase 1Meldungseingang Phase 2Zuständigkeitsprüfung Phase 3Stichhaltigkeitsprüfung Phase 4Ergreifen von Folgemaßnahmen Phase 5Abschluss der Fallarbeit und Archivierung
grob fahrlässige oder vorsätzlich unrichtig abgegebene Meldung
leichtfertig unrichtig abgegebene Meldung
Unzuständigkeit der Meldestelle
korrekt abgegebene Meldung
Meldung mit unklarem Status
Die abgeschlossene Fallakte
Der anonyme Hinweisgeber

Hinsichtlich der Konditionen zum Identitätsschutz nach HinSchG sind verschiedene Szenarien denkbar, die sich auf die Schutzwürdigkeit auswirken und in den jeweiligen Verfahrensphasen unterschiedlich relevant sind (siehe Abb.). Aus diesen Szenarien ergeben sich die Grundlagen für eine Interessensabwägung durch Datenschutzbeauftragen und Meldestelle.

Diese Szenarien sind:

aa) Die grob fahrlässige oder vorsätzlich unrichtig abgegebene Meldung

Sie fällt unter § 9 Abs. 1 HinSchG und ist damit nicht von § 29 Abs. 1 S. 2 BDSG gedeckt. Die Regelung korrespondiert mit § 33 Abs. 1 Nr. 2 HinSchG. Selbst wenn der Hinweisgeber ein Geheimhaltungsinteresse an seiner Identität hat, kann er sich in diesen Fällen nicht auf das Recht nach § 8 Abs. 1 Nr. 1 HinSchG berufen. In einer Einzelfallbetrachtung dürfte das Recht auf informationelle Selbstbestimmung und damit Art. 15 Abs. 1 2. Hs. lit. g DSGVO stets überwiegen und dem Antragsteller die Auskunft über die Datenherkunft zu erteilen sein. Die Beweislast zu Vorsatz, grober Fahrlässigkeit und Unrichtigkeit der Meldung trägt die interne Meldestelle.

Bei der Beurteilung, ob eine Meldung grob fahrlässig oder vorsätzlich unrichtig abgegeben wurde, sollte jede interne Meldestelle zu einem gut dokumentierten, stichhaltigem und möglichst zweifelsfreien Ergebnis kommen. Aus diesem Grund wird die Interessenabwägung in manchen Fällen erst gegen Ende der Phase 4 oder zu Beginn von Phase 5 der Fallarbeit erfolgen können. Solange das Ergebnis dieser Beurteilung nicht vorliegen kann, sollte eine Auskunft nach Art. 15 Abs. 1 Hs. 2 lit. g DSGVO unter Verweis auf § 29 Abs. 1 BDSG i. V. m. § 8 HinSchG vorerst abgelehnt werden. Zugleich sollte die Meldestelle vermeiden für ihre Interessenabwägung grundlos Zeit verstreichen zu lassen.

bb) Die leichtfertig unrichtig abgegebene Meldung

Eine „leichtfertig“ bzw. mit einfacher Fahrlässigkeit abgegebene, unrichtige Meldung wird in § 9 HinSchG nicht ausdrücklich berücksichtigt. Auch wenn dieser Umstand als höchst bedenklich angesehen wird22, ist damit vorsichtshalber anzunehmen, dass eine solche Meldung von § 8 HinSchG vollumfänglich erfasst ist23. Die Interessenabwägung kann für die interne Meldestelle und den Datenschutzbeauftragen zu einer anspruchsvollen Aufgabe werden. Problematisch ist, dass eine objektiv falsche Tatsachenbehauptung auch bei einfacher Fahrlässigkeit die Rechte eines Auskunftsberechtigten berühren kann, wenn sie etwa ansehenbeeinträchtigenden Charakters ist24.

Dieses Szenario setzt jedenfalls voraus, dass der Hinweisgeber die Unwahrheit seiner Meldung hätte erkennen können. Dies spätestens zum Zeitpunkt der Meldung und ohne größere eigene Bemühungen zu diesem Erkenntnisgewinn. Ein solcher Umstand wäre durch die interne Meldestelle zu beweisen. Um analog zu § 9 HinSchG zu einer Ablehnung des Identitätsschutzes zu Ungunsten des Hinweisgebers zu kommen, müssten die Interessen der auskunftsersuchenden Person schwer wiegen. Das käme den Einzelumständen nach beispielsweise dann infrage, wenn es sich bei dieser auskunftsersuchenden Person um eine Beschuldigte der unrichtigen Meldung handelt und die falschen Anschuldigungen ein erhebliches Vergehen oder Verbrechen zum Gegenstand haben.

Im Kern bleibt es eine rechtlich noch nicht präzisierte Ermessensentscheidung der internen Meldestelle und des Datenschutzbeauftragen und damit stark risikobehaftet. Auskunftsersuchenden bliebe bei Auskunftsverweigerung der Weg über den EuGH um die fallbezogene Feststellung einer unionsrechtlichen Nonkonformität des Identitätsschutzes anzustreben25. Insgesamt kann es ratsam sein auf den von der Europäischen Kommission postulierten Vorrang des Hinweisgeberschutzes abzustellen und eine Auskunft nach § 29 Abs. 1 BDSG zu verweigern. Den Umständen nach ist davon auszugehen, dass eine solche Interessenabwägung in der Regel erst zu Beginn von Phase 5 der Fallarbeit sinnvoll erfolgen kann, soweit Klarheit über den Sachverhalt herrscht.

cc) Meldungen die nicht in die sachliche Zuständigkeit der Meldestelle fallen

§ 8 Abs. 2 HinSchG ist hier eindeutig. Ein Auskunftsersuchen nach Art. 15 Abs. 1 2. Hs. lit. g DSGVO muss hier in Wahrung des § 29 Abs. 1 BDSG i. V. m. § 1 Abs. 1 und § 8 Abs. 2 HinSchG vom Datenschutzbeauftragen abgelehnt werden. Die gleichwohl durchzuführende Interessenabwägung sollte verargumentieren, dass hierbei die gesetzgeberische Intention des Vorrangs für den Hinweisgeberschutz vollumfänglich zum Tragen kommt. Es liegt nahe hier mit Text-Templates zu arbeiten.

Eine Rückmeldung des Datenschutzbeauftragen an den Auskunftsersuchenden wäre mit Abschluss von Phase 2 und nach Ablehnung der Zuständigkeit gegengüber dem Hinweisgeber sinnvoll.

Der internen Meldestelle ist zu empfehlen die Begründung ihrer Unzuständigkeit gut zu dokumentieren, auch hier kann durchaus mit Templates gearbeitet werden. So eröffnet sich die Möglichkeit die Inhalte der Meldung frühzeitig zu löschen, um nicht in die Gefahr einer Datenspeicherung ohne Rechtsgrundlage zu laufen.

dd) Die korrekt abgegebene Meldung

Bei diesem Szenario bleibt die Identität des Hinweisgebers in der Regel zu wahren. Ein Auskunftsersuchen nach Art. 15 Abs. 1 2. Hs. lit. g DSGVO würde dann in Wahrung des § 29 Abs. 1 BDSG i. V. m. § 1 Abs. 1 und § 8 Abs. 1 HinSchG abzulehnen sein. Eine Interessenabwägung ist jedoch ergebnissoffen durchzuführen.

Die Rückmeldung des Datenschutzbeauftragen an den Auskunftsersuchenden sollte je nach Fallkomplexität im Verlauf in einer der Phasen 3 bis 5 der Fallarbeit sinnvoll möglich sein.

ee) Die Meldung mit unklarem Status

In diesem Szenario geht es um die Spanne der Fallarbeit von Phase 1 bis 5. In der Literatur leider wenig berücksichtigt aber in der Praxis vermutlich häufig vorzufinden, die Situation des unklaren Status über die Richtigkeit der Meldung. Sie liegt in der Natur der Meldung selbst, die zunächst immer eine Prüfung und gegebenenfalls Untersuchungsarbeit bedingt. In der Praxis wird es Fälle geben, in denen ein Fall ungelöst, mit unklarem Status in Phase 5 zu schließen ist. Einfach weil die Umstände es nicht anders zulassen.

In dieser Situation wird die Meldestelle häufig keine zweifelsfreien Angaben zur Richtigkeit der Meldung oder den Absichten des Hinweisgebers tätigen können. Eine sachgerechte Interessenabwägung nach § 29 Abs. 1 BDSG dürfte daher wie bei der leichtfertig unrichtig abgegeben Meldung eher anspruchsvoll sein. Nun wäre es dem Verfahren nach Art. 15 DSGVO dienlich, würde die auskunftsersuchende Person bis zum Abschluss der Fallarbeit warten. Doch dieser Umstand kann aufgrund der gesetzlich definierten Fristigkeit des Auskunftsverfahrens nicht eintreten. Datenschutzbeauftrage und interne Meldestelle sind nun gehalten innerhalb von einem Monat zu einer Interessenabwägung und Entscheidung zu kommen. Ob eine Verlängerung der Frist auf bis zu drei Monate hier angemessen wäre, ist von Fall zu Fall zu entscheiden. Da es hier aber um eine Frage der Grundrechtsabwägung geht, wäre die Fristverlängerung eher zu begründen. Für komplexere Fälle wird diese Fristverlängerung um maximal zwei Monate allerdings unerheblich sein. Eine Fristverlängerung zu begründen und dann nicht sicher innerhalb dieser Frist liefern zu können, wäre problematisch.

Im Zweifel erscheint auch hier der Rückfall auf die Intention der EU-Kommission, also dem Identitätsschutz des Hinweisgebers, angemessen. Es ist geboten, zu einem plausiblen und kausalen Analyseergebnis möglicher hinweisgeber- und datenschutzbasierter Nachteile zu kommen, um eine Interessenabwägung für beide Seiten zu Begründen. Eine gegenüberstellende Liste und Recherche erscheint der pragmatischste Ansatz zu sein.

Noch simpler erscheint indes der Ansatz, eine Auskunft nach Art. 23 Abs. 1 lit. i DSGVO i. V. m. § 29 BDSG abzulehnen. Was der Meldestelle zunächst Zeit verschaffen würde. Auch dieser Weg eröffnet sich nur, wenn die Entscheidung von der Meldestelle hinreichend begründet werden kann.

Die Identität des Hinweisgebers lediglich auf Verdacht preiszugeben, wäre insofern unglücklich, als dass die Meldestelle je nach Erkenntnisgewinn zu einem späteren Zeitpunkt gegebenenfalls anders urteilen würde und dies dann den Rechtsbruch impliziert. Die bloße Vermutung stellt zudem keine hinreichende Interessenabwägung dar. Zugleich ist der Betroffene nach DSGVO nicht daran gehindert ein Auskunftsersuchen zu einem späteren Zeitpunkt erneut zu stellen, möglicherweise mit anderem Ergebnis.

ff) Die abgeschlossene Fallakte

Die Fallarbeit formal zu beenden, ist ein entscheidendes Element der Fallarbeit, hier Phase 5 (siehe Abb.). Zum Abschluss gehört die Archivierung des Falls. Mit der Archivierung der Fallakte durch die Meldestelle sollte eine Anonymisierung in Erwägung gezogen werden, ebenso eine Verschlüsselung. Vorteilhaft für Verpflichtete wäre es, die Fallakte bei Archivierung in einen Zustand zu transferieren, der sie in den Anwendungsbereich des § 34 Abs. 1 Nr. 2 lit. b BDSG überführt (Datensicherung) und somit aus jenem des Art. 15 DSGVO bringt. Voraussetzung dafür ist, dass die Speicherung der archivierten Fallakte zum Zweck der Datensicherung nützlich ist. Gemeint ist damit ein Wiederherstellen eines Datenbestandes nach Datenverlust. Zugleich müsste die Bereitstellung der Daten nach Archivierung im Falle eines Auskunftsersuchens unverhältnismäßigen Aufwand erfordern. Für die Beurteilung der Verhältnismäßigkeit ist subjektiv auf den Verantwortlichen abzustellen, wobei eine Interessenabwägung mit den Schutzinteressen des Betroffenen durchzuführen ist.26 Bei dieser Abwägung werden die Schwere des gemeldeten Falles, die verstrichene Zeit zwischen Archivierung und Auskunftsersuchen, die Rolle des Auskunftsersuchenden im Fall und die technischen Mühen zur Entsperrung des Archivs und der De-Anonymisierung der Fallakten eine Rolle spielen. Im Sinne des Hinweisgeberschutzes kann es jedenfalls ratsam sein, durch Anonymisierungsmaßnahmen Hinweise auf dessen Identität zu entfernen. Je nach Einzelumstand könnte dann ein Auskunftsersuchen nach § 34 Abs. 1 Nr. 2 lit. b BDSG abgelehnt werden.

gg) Sonderfall des anonymen Hinweisgebers

Einige Hinweisgebersysteme erlauben die anonyme Abgabe von Meldungen. In diesem Fall wäre der internen Meldestelle die Benennung der Datenherkunft grundsätzlich nicht möglich. Eine Angabe nach Art. 15 Abs. 1 2. Hs. lit. g DSGVO müsste auf „unbekannt“ referenzieren. Käme die interne Meldestelle bei ihrer Interessenabwägung allerdings zu dem Ergebnis, dass die Identität des Hinweisgebers bzw. die Datenherkunft zu offenbaren sei oder besteht per se kein Schutz nach HinSchG, etwa wegen vorsätzlich unrichtig abgegebener Meldung, so gilt das in Abschnitt 2 erläuterte Vorgehen zur vermuteten Datenquelle. Hat die interne Meldestelle aus dem Inhalt der Meldung hinreichend Kenntnis über die in Frage kommende Quelle, so sollte sie diese der auskunftsersuchenden Person zumindest als vermutete Quellen nennen. Dabei ist wichtig, dass die Meldestellenbeauftragten nichts in die vorliegenden Informationen des Falls hineininterpretieren, sondern faktenorientiert auf die mögliche Quelle schließen können. Ist dies nicht möglich, bliebe die Anonymität besser unangetastet. Eine hochspekulative Angabe möglicher Quellen sollte jedenfalls unterbleiben, das dies mit zahlreichen neuen Komplikationen einher gehen könnte.

3. Das Verlangen nach Datenkopie

Art. 15 Abs. 3 DSGVO stellt die zweite Stufe des Auskunftsersuchens dar. Ob in Abfolge oder synchron zur ersten Stufe bleibt optional. Dies kann den Arbeitsaufwand und Zeitdruck bei der Meldestelle kurzfristig deutlich erhöhen und zu Verzögerungen bei der Fallarbeit führen.

Das Verlangen nach Datenkopie ist, vereinfacht ausgedrückt, die Frage nach umfangreicheren Informationen zur Fallakte bzw. den darin enthaltenen Informationen mit Bezug zur Person des Auskunftsersuchenden. Soweit der Auskunftsersuchende zugleich Beschuldigter des Falles ist, wäre nachvollziehbar, dass damit eine gewisse destruktive Brisanz für die Arbeit der Meldestellenmitglieder verbunden ist.

Wie umfangreich muss der Informationsbestand dieser Kopien sein? Geht man davon aus, dass sich dieser lediglich auf die Personendaten nach Art. 15 Abs. 1 DSGVO (also z. B. Namen und Geburtsdatum des Betroffenen in einem Befragungsprotokoll) beschränkt, nimmt man damit auch an, dass Abs. 3 und Abs. 1 korrelieren. Unterstellt man ein extensiveres Auskunftsrecht, könnte es sich um das Ersuchen nach einer Kopie aller Informationen handeln, in deren Zusammenhang es zur Verarbeitung der Personendaten kam (in oben genanntem Beispiel also eine Kopie des gesamten Befragungsprotokolls). Somit bestünde dieser Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO zwar nicht materiell eigenständig aber inhaltlich unabhängig von Art. 15 Abs. 1 DSGVO. Insgesamt ist der Grad der Extensivität noch hochumstritten27. Ein Umstand, der den Meldestellenbeauftragten die Arbeit nicht erleichtert.

Folgt man der von Schmidt-Wudy vertretenen extensiven Auffassung, „[…] sind der betroffenen Person vom Verantwortlichen sämtliche von ihm oder in seinem Auftrag gespeicherten und/oder verarbeiteten personenbezogenen Daten, in der bei ihm vorliegenden Fassung […] als Kopie zu übermitteln, […]“. Zwar sei der Verantwortliche nicht verpflichtet, die übermittelten Rohdaten aufzubereiten, damit diese von der betroffenen Person verwendet werden können, allerdings sei „der Verantwortliche auf Nachfrage der betroffenen Person verpflichtet, die Kopie zu erläutern, sodass sie ein verständiger Dritter nachvollziehen könne […] sofern und soweit 1. keine Rechte Dritter nach [Art. 15] Abs. 4 [DSGVO] betroffen sind (in diesem Fall kann der Anspruch nicht abgelehnt werden, sondern es hat eine Schwärzung zu erfolgen, vgl. Rn. 98 [in Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15]) und 2. keine Einschränkung nach § 34 Abs. 1 BDSG vorliegt [Anm.: Insofern sei auf Abschnitt ff) verwiesen]“.28 Diese extensive Ansicht wird auch vom European Data Protection Board vertreten29 sowie in einigen jüngeren Urteilen30.

Auch wenn es gute Argumente gibt von einer restriktiveren Auffassung auszugehen, kann es im Interesse der Auskunftsersuchenden – ergo zur Vermeidung eines Verstoßes gegen die DSGVO – sinnvoll sein, die etwas transparentere Herangehensweise gegenüber dem Betroffenen zu wählen. Dies verringert gegebenenfalls die Klage- und Bußgeldanfälligkeit (Art. 82 Abs. 1 DSGVO; Art. 83 Abs. 5 lit. c DSGVO) und somit den weiteren Einfluss auf die Arbeit der Meldestelle.

Risikoaffinere Verantwortliche mögen verständlicherweise geneigt sein, ob der überschaubaren Schadensersatzhöhe hier die Auskunftsverweigerung in Betracht zu ziehen. Aber indirekte Kosten aus Reputationsschäden sollten berücksichtigt werden und ebenso empfindliche Bußgelder, sollte diese Entscheidung letztlich nicht standhalten. Insgesamt bleibt es aber eine Einzelfallentscheidung des Datenschutzbeauftragen und der internen Meldestelle auf Grundlage der obligatorischen Interessenabwägung.

Der internen Meldestelle kommt in Folge einer extensiven Auffassung eine anspruchsvolle und, im Sinne des § 8 HinSchG, elementare Aufgabe zu, nämlich die Wahrung der Rechte Dritter, insbesondere des Identitätsschutzes, durch das Schwärzen der obsoleten Informationen in der zu überlassenden Kopie. Das kann je nach Sachlage und Arbeitsfortschritt eine schwierige Aufgabe sein, die unter Zeitdruck zu erledigen ist. Während sie zu Beginn von Phase 5, also nach Abschluss der Fallarbeit, schaffbar erscheint, kann es in allen vorgelagerten Phasen zu Friktionen bei der laufenden Arbeit der Meldestelle kommen, insbesondere wenn der Bestand der zu verarbeitenden personenbezogenen Daten des Auskunftsersuchenden einer gewissen Wachstumsdynamik unterliegt. Aus den jeweiligen Umständen ergibt sich, dass ein Auskunftsersuchen nach Art 15 Abs. 3 DSGVO, insbesondere mit Ausrichtung auf die Meldestelle, durchaus dazu geeignet sein kann, die Fallarbeit zu blockieren oder ihre Vertraulichkeit zu unterminieren. Um genau dem zu begegnen, sollten es interne Meldestelle und Datenschutzbeauftrage daher nicht scheuen, eine Auskunft mit Verweis auf Art. 23 Abs. 1 lit. i DSGVO zu verweigern. Zumindest dann, wenn schlüssig glaubhaft gemacht werden kann, das die Auskunftserteilung den Erfolg der Fallarbeit unterminiert und somit Rechte Dritter eingeschränkt werden.

Die interne Meldestelle muss nicht von vornherein die gesamte, reproduzierte Fallakte bereitstellen. Denn, der „[…] Kopiebegriff endet dort, wo weder personenbezogene Daten vorgehalten werden, noch weitere Informationen vorhanden sind, die diesen Daten Bedeutung verleihen“.31 Vielmehr ist nach den in Art. 15. Abs. 1 DSGVO gelisteten Personendaten zu filtern und zu prüfen, welche angegliederten Informationen in den Dokumenten der Fallakte mit diesen in unmittelbarem Zusammenhang stehen. Informationen, die den Zweck der Verarbeitung bzw. die Interpretation der Personendaten erlauben, wären beizubehalten, der Rest ist zu schwärzen. Insbesondere Informationen, die mittelbar oder unmittelbar Aufschluss über alle anderen mit dem Fall in Verbindung stehenden Personen geben, sind zu schwärzen. Das erfordert ein hinreichend tiefes und umfassendes Fallverständnis und systemische Kenntnis darüber, welche Informationen dem Auskunftsersuchenden Hinweis auf die Identität der nach § 8 HinSchG geschützten Personen geben (vergleichbar der Erläuterung zum Verkehrskreis in Abschnitt 1). Schwärzen bedeutet, dass diese Informationen für den Auskunftsersuchenden unwiederbringlich nicht auswertbar bzw. nicht lesbar sind.

Im Zweifel muss der Auskunftsersuchende den Gegenstand seiner Auskunftsanfrage genau bezeichnen. Dass der Datenschutzbeauftrage dies verlangt, ist zu empfehlen. Die pauschale Herausgabe etwa eines gesamten E-Mail-Verkehrs des Auskunftsersuchenden wäre beispielsweise hinreichend unpräzise und könnte von Datenschutzbeauftragen und interner Meldestelle abgelehnt werden32.

Grundsätzlich erfolgt die Kopie mittels Ausgabe auf irgendeiner Form von Datenträger. Denkbar sind elektronische oder optische Speichermedien aber auch Papier. Dabei ist vom Antragsteller die Form anzugeben und beim Herausgeben zu berücksichtigen. Im Zweifel empfiehlt es sich die Form mit dem Antragsteller abzustimmen.

III. Fazit

Die Anforderungen an eine Interessenabwägung zwischen HinSchG und DSGVO unterscheiden sich je nach Fallszenario. Insbesondere in Szenarien, bei denen sich Interpretations- und Ermessensspielräume weiten, wird eine interne Meldestelle und der Datenschutzbeauftrage mit hohen Anforderungen konfrontiert. Dann lohnt der Fokus auf die Fakten und Risiken des zugrundeliegenden Falls und der erhebliche Mehraufwand für die Erbringung einer plausibel begründeten Entscheidung. Die Hinzuziehung von externer Hilfe sollte im Zweifel kein Tabu-Thema sein.

Weder EU-Kommission noch Bundesregierung haben eine klare Linie zum Vorrang des Hinweisgeberschutzes gezogen, der eine Interessenabwägung obsolet machen würde. Zumindest eine grundlegende und dominierende Interpretationshilfe wäre wünschenswert. Die sollte von dort kommen, wo die DSGVO ihren Ursprung nahm. Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) wäre somit als Adressat zu sehen. Bis dahin ist Meldestellen und Datenschutzbeauftragen zu angemessener Sorgfalt bei der Grundrechts- bzw. Interessenabwägung zu raten.

 

Benjamin Matthias Putscher ist Wirtschaftsjurist (LL. M.) und zertifizierter Compliance Officer sowie Data Protection Risk Manager. Er betreute zuletzt Corporate Compliance und Governance Themen bei einem internationalen Softwarekonzern und war Interimsmitglied der internen Meldestelle. Seine Tätigkeitsschwerpunkte liegen auf der Compliance mit Fokus auf Digitalisierungs- und Automatisierungsprojekten zur Beschleunigung standardisierter Prozesse. Seine akademische Ausbildung absolvierte er an der HS Wismar und der HWR Berlin.

1

Fehr, ZD 2022, 256.

2

Thüsing, in: Fischer, HinSchG, 1. Aufl. 2024, § 11 Rn. 7 S.1.

3

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO Art. 15 Rn. 1, 2.

4

Kranig/Ehmann, Mein Recht auf Datenschutz, 2019, S. 11 Abschnitt 1.

5

Nink, in: Spindler/Schuster, Recht der Elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 15 Rn. 8.

6

Lieder/Wager, in: Lieder/Ceesay, Hinweisgeberschutzgesetz, 1. Aufl. 2025, § 8 Rn. 5.

7

Lieder/Wager, in: Lieder/Ceesay, Hinweisgeberschutzgesetz, 1. Aufl. 2025, § 8 Rn. 5.

8

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO Art. 15 Rn. 97; BGH, Urt. v. 22. 2. 2022 – VI ZR 14/21, BeckRS 2022, 5496.

9

Paal, in: Paal/Pauly, Datenschutzgrundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 41.

10

Lieder/Wagner, in: Lieder/Ceesay, Hinweisgeberschutzgesetz, 1. Aufl. 2025 § 8 Rn. 16.

11

Lieder/Wagner, in: Lieder/Ceesay, Hinweisgeberschutzgesetz, 1. Aufl. 2025 § 8 Rn. 16a; Stille, in: Thüsing, HinSchG, 1. Aufl. 2024, § 8 Rn. 14–17.

12

Lieder/Wagner, in: Lieder/Ceesay, Hinweisgeberschutzgesetz, 1. Aufl. 2025, § 8 Rn. 16b; Stille, in: Thüsing, HinSchG, 1. Aufl. 2024, § 8 Rn. 21.

13

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 74.

14

Franck, in: Gola/Heckmann, DS-GVO, 3. Aufl. 2022, Art. 15 Rn. 16.

15

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 74.1–74.5.

16

BGH, Urt. v. 22. 2. 2022 – VI ZR 14/21, BeckRS 2022, 5496 Rn. 23.

17

BGH, Urt. v. 22. 2. 2022 – VI ZR 14/21, BeckRS 2022, 5496 Rn. 26; Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 74.2.

18

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 83; Franck, in: Gola/Heckmann, DS-GVO, 3. Aufl. 2022, Art. 15 Rn. 31.

19

Kranig/Ehmann, Mein Recht auf Datenschutz, 2019, S. 22.

20

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 90.

21

Handel, CB 2023, 487 ff.

22

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 74.2.

23

Lieder/Wagner, in: Lieder/Ceesay, Hinweisgeberschutzgesetz, 1. Aufl. 2025, § 9 Rn. 8.

24

BGH, Urt. v. 22. 2. 2022 – VI ZR 14/21, BeckRS 2022, 5496 Rn. 26.

25

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 74.3.

26

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, BDSG, §34 Rn. 36.

27

Franck, in: Gola/Heckmann, DS-GVO, 3. Aufl. 2022, Art. 15 Rn. 35; Paal, in: Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33a; Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 85.

28

Schmidt-Wudy, in: Wolf/Brinck/v. Ungern-Sternberg, BeckOK DatenschutzR, 50. Ed. 2024, DS-GVO, Art. 15 Rn. 85.

29

EDPB Guidelines 01/2022 on data subject rights, Version 2.1, S. 12 f. Rn. 19.

30

BGH, Urt. v. 15. 6. 2021 – VI ZR 576/19, WRP 2021, 1195; OVG NRW, Urt. v. 8. 6. 2021 – 16 A 1582/20, CR 2021, 591; AG Dortmund, Beschl. v. 20. 5. 2021 – 404 C 1526/21, ZD 2022, 71.

31

Franck, in: Gola/Heckmann, DS-GVO, 3. Aufl. 2022, Art. 15 Rn. 38.

32

BAG, Urt. v. 27. 4. 2021 – 2 AZR 342/20, CR 2021, 528.

Beitrag per E-Mail empfehlen

Auf LinkedIn teilen

Seite drucken