00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

00:00:13: Hallo und herzlich willkommen, liebe Zuhörer, an diesem Valentinstag, den 14. Februar.

00:00:17: Wir sind hier wieder im Datenschutz Deluxe Podcast. Mit dabei ist wieder Klaus Meffert.

00:00:22: Und ich begrüße dich recht herzlich, Klaus. Wie geht es dir?

00:00:25: Ja, Stephan, vielen Dank für die freundliche Begrüßung.

00:00:28: Mir geht es gut. Ich hoffe, dir geht es auch. Und ich freue mich, dass wir wieder in unserer Runde hier zusammenkommen.

00:00:33: Wunderbar. Mir geht es soweit sehr gut, eigentlich perfekt.

00:00:38: Denn es ist Valentinstag und wir reden heute über ein Thema, das ich sehr spannend finde,

00:00:43: weil es hat seit mehreren Jahren immer so unter der Oberfläche geschwehlt, kam dann jetzt doch sehr stark an die Oberfläche.

00:00:49: Und das Thema nennt sich Hinweisgeberschutzgesetz.

00:00:52: Und dazu habe ich uns ein passendes Zitat rausgesucht, das uns in die Stimmung bringen soll für diese Hinweisgeber,

00:00:58: dieses Whistleblowing, um das es geht. Und das lautet

00:01:01: Wenn du ein Geheimnis bewahren willst, hülle es in Offenheit.

00:01:05: Das hat Alexander Smith gesagt, ein schottischer Schriftsteller.

00:01:09: Ich finde es sehr spannend, weil es halt sehr skurril und komisch ist und gleichzeitig so ein bisschen was von dem Flair der Gesetzgebung,

00:01:17: das Hinweisgeberschutzgesetz mit sich bringt.

00:01:20: Für alle Zuhörer, die vielleicht noch nicht so ganz im Bilde sind, umreise ich das mal kurz.

00:01:24: Das Hinweisgeberschutzgesetz soll eine Gesetzgebung darstellen, die es Menschen in Unternehmen ermöglicht,

00:01:30: auf anonyme Art und Weise Hinweise zu unvorteilhaften oder suboptimalen Geschäftsprozessen oder Vorgängen im Betrieb zu äußern.

00:01:40: Und dass sie quasi geschützt sind davor, dass sie in irgendeiner Form negative Repressalien fürchten müssen,

00:01:47: falls sie diese Informationen weitergeben.

00:01:51: Darum geht es, quasi das versucht das Gesetz abzubilden, die Leute anonym zu halten und zu schützen

00:01:57: und dass dafür Meldekanäle eingerichtet werden müssen, damit das eben möglich ist.

00:02:01: Aber laut aktuellem Stand ist dieses Gesetz gerade gekippt worden insofern,

00:02:07: als dass der Bundesrat das abgelehnt hat, weil es irgendwie in der aktuellen Form nicht durchsetzbar ist.

00:02:13: Und ich persönlich würde mich jetzt dafür interessieren, ich weiß nicht, wie es bei dir ist, Klaus,

00:02:17: erstmal so tendenziell generell, Hinweisgeberschutzgesetz.

00:02:21: Als ich das das erste Mal gehört habe, habe ich mich gefragt, erfüllt der Datenschutzbeauftragte,

00:02:26: laut Datenschutzgrundverordnung, nicht alle Kriterien einer solchen Geheimhaltung?

00:02:31: Ja, das ist ein sehr guter Punkt.

00:02:34: Also zunächst, vielleicht möchte ich auch nochmal sagen, wir hatten ja schon mal vorher über das Thema gesprochen,

00:02:39: um uns auszutauschen, du und ich, Stephan.

00:02:41: Ich bin da auch deiner Meinung, diese Fehlerkultur sozusagen, dass man Missstände aufzeigen können soll, darf, will,

00:02:49: ohne dass man dadurch Nachteile erleidet, müsste eigentlich selbstverständlich sein.

00:02:53: Da braucht man doch eigentlich kein Gesetz dafür, so könnte man es sagen.

00:02:56: Aber man sieht es ja auch am Edward Snowden, dass es da riesengroße Probleme gibt, wenn man mutig ist.

00:03:02: Und ich finde, Mut sollte belohnt werden und nicht bestraft werden.

00:03:05: Und insofern ist dieser Vorstoß, dass man das jetzt verbessern will, nicht schlecht.

00:03:10: Man wundert sich halt nur das, was notwendig ist dafür.

00:03:13: Zu deinem Punkt mit dem DSB, also Datenschutzbeauftragten, das sehe ich genauso.

00:03:17: Der ist natürlich eine Vertrauensperson ins Unternehmen rein und aus dem Unternehmen nach außen sozusagen.

00:03:23: An ihn dürfen sich ja auch qua Gesetz, die DSGVO schreibt es ja so auch vor, Personen, also betroffene Personen wenden.

00:03:32: Und der DSB kommuniziert ja sogar auch mit den Aufsichtsbehörden, wenn sie mit dem Unternehmen einen Vorgang haben,

00:03:37: zum Beispiel ein Problem oder eine Beschwerde nachgegangen sind.

00:03:39: Insofern ist das, was du sagst, meiner Meinung nach auch richtig, dass er eben als Vertrauensperson genau der Richtige wäre.

00:03:45: Man könnte natürlich auch eine andere Vertrauensperson schaffen oder vielleicht gibt es die auch schon.

00:03:49: Aber der DSB zumindest ist für mich auch ein natürlicher Ansprechpartner für Hinweisgeber, weil er ja dem Datenschutz verpflichtet ist.

00:03:57: Ja, das stimmt.

00:03:59: Ja, dazu vielleicht noch kurz für alle Zuhörer einmal kurz so drei Parameter zum Datenschutzbeauftragten,

00:04:04: die mir gerade so einfallen, falls das nicht bekannt ist.

00:04:07: Also ein Datenschutzbeauftragter ist Pflicht, dass er bestellt wird in einem Betrieb, der mehr als 20 festangestellte Mitarbeiter hat.

00:04:14: Und der Datenschutzbeauftragte hat eine Sonderstellung im Betrieb.

00:04:18: Er ist weder der Geschäftsführung direkt unterstellt, noch muss er Meldungen an irgendwen anderes geben über die Vorgänge.

00:04:27: Aber er ist ein Ansprechpartner für alle anderen im Unternehmen befindlichen Personen.

00:04:34: Sprich, wenn man hier etwas äußert dem Datenschutzbeauftragten gegenüber,

00:04:38: hat er die Pflicht, dieses Geheimnis zu wahren und die Anonymität der Person zu wahren, sodass notwendig ist für den Fall.

00:04:45: Und im Fall eines solchen Hinweises, dass etwas falsch läuft, wäre das ja eigentlich der Fall.

00:04:50: Und dann noch dazu der im Hinweisgeber Schutzgesetz.

00:04:54: Das sollte, glaube ich, sollte in der ersten Fassung, glaube ich, erst greifen bei 250 Mitarbeitern

00:04:59: und ist dann irgendwie auf 50 reduziert worden zuletzt.

00:05:02: Oder sollte in so einem Stufenplan irgendwie angepasst werden.

00:05:05: Erst nur für ganz viele und dann für etwas weniger.

00:05:07: Aber wir sind halt trotzdem immer noch bei der Grenze höher als beim Datenschutzbeauftragten.

00:05:11: Das heißt, jedes Unternehmen, was einen solchen Meldekanal einrichten muss,

00:05:15: hat per se diesen Meldekanal durch den Datenschutzbeauftragten ja eigentlich schon erfüllt.

00:05:20: Könnte man den dann auch irgendwie so beschreiben?

00:05:24: Also dass man den Meldekanal als Datenschutzbeauftragten ausgibt sozusagen?

00:05:28: Ja, also vielleicht noch mal eine ganz kleine Korrektur.

00:05:31: Es ist sogar noch strenger, als du sagst.

00:05:33: Es sind nämlich 20 Mitarbeiter und es müssen nicht mal festangestellte Mitarbeiter sein.

00:05:37: Ah, okay.

00:05:38: Allerdings muss man auch sagen, diese 20 Mitarbeiter oder mehr müssen natürlich mit der Verarbeitung

00:05:44: personenbezogener Daten beschäftigt sein.

00:05:46: Was allerdings eigentlich immer der Fall ist.

00:05:48: Selbst eine Person, die eine Reinigung durchführt in einem Büro,

00:05:53: die arbeitet ja auch mit personenbezogener Daten.

00:05:56: Wenn man mal davon ausgeht, dass im Papierkorb zum Beispiel auch personenbezogene Daten liegen können

00:06:00: und man ja reingucken kann, wenn man am Papierkorb vorbeigeht.

00:06:03: Oder Aktenordner, die im Schrank stehen, die sind ja normalerweise nicht weggesperrt.

00:06:06: Also insofern würde ich fast sagen, ist es in nahezu jedem Fall eine Verarbeitung personenbezogener Daten.

00:06:12: Und du hast aber recht, diese Grenzen der Mitarbeiterzahlen divergieren natürlich,

00:06:18: also gehen auseinander.

00:06:19: Ich habe 20 Mitarbeiter als Minimum für den DSB als Pflicht.

00:06:23: Man kann natürlich auch einen Datenschutzbeauftragten haben, ohne 20 Mitarbeiter zu haben.

00:06:27: Das machen ja auch viele, empfiehlt sich sogar auch.

00:06:29: Vor allem, wenn es mehr als eine Person ist, die die Firma leitet.

00:06:33: Bei einer kann man sagen, okay, der braucht nicht unbedingt einen DSB.

00:06:36: Aber wenn ich 10 Mitarbeiter habe, dann wäre es schon sinnvoll, auch wenn es keine Pflicht ist.

00:06:39: Und diese 20 und die 50, die vorgesehen waren bis jetzt, die sind natürlich weit auseinanderläufig.

00:06:44: Also da fragt man sich, was ist mit den Unternehmen, die 40 Mitarbeiter haben?

00:06:48: Warum sollen die nicht einfach ihren Datenschutzbeauftragten als Hinweisgeberstelle nehmen?

00:06:53: Und übrigens ist es ja auch möglich, jetzt schon einen Hinweis zu geben an den Datenschutzbeauftragten.

00:06:58: Und wenn er seine Arbeit ordentlich macht, dann gibt er diesen Hinweis auch auf Wunsch der betroffenen Person

00:07:03: oder des Melders, des Whistleblowers, wenn der Whistleblower das möchte, anonym nach innen weiter.

00:07:07: Also ich denke, das macht der DSB.

00:07:09: Wenn er es nicht machen würde, würde ich mir sogar das Recht nehmen,

00:07:12: als betroffene Person, als Whistleblower gegen den DSB zu klagen.

00:07:15: Das könnte man dann machen.

00:07:16: Also würde der DSB das sicherlich weiterleiten.

00:07:19: Da hat er ja auch keine große Arbeit mit.

00:07:21: Und insofern, ja, der DSB ist ein guter Ansprechpartner.

00:07:25: Ich will jetzt nicht die Werbung machen, dass der DSB es machen soll, aber es ist also sinnvoll.

00:07:29: Insofern, warum nicht?

00:07:30: Ich kenne auch einige Datenschutzbeauftragte, die das auf dem Schirm haben, dieses Thema.

00:07:34: Und die dann natürlich auch darüber nachdenken oder nachgedacht haben,

00:07:37: als Meldestelle für ihre Kunden zu fungieren.

00:07:40: Und dafür können sie wahrscheinlich dann ein klein bisschen mehr Geld bekommen,

00:07:43: weil der Aufwand ja auch höher ist.

00:07:46: Unter Umständen ja.

00:07:47: Ich habe in diesem Zuge mal eine Recherche gemacht vor ein paar Wochen

00:07:51: und habe mich ein bisschen auseinandergesetzt damit,

00:07:53: was da alles so für Systeme angeboten werden.

00:07:55: Weil natürlich, wenn so ein Gesetz kommt, dann kommen überall Sprießen,

00:07:58: irgendwelche Leute aus dem Boden, die sagen,

00:08:00: wir haben jetzt mal irgend so ein digitales System, was das ganz toll kann.

00:08:04: Und dann habe ich mir die Frage gestellt,

00:08:06: was genau ist denn wirklich die gesetzliche Anforderung,

00:08:08: die der Hinweisgeber Schutz da vorsieht von Gesetzes wegen.

00:08:13: Der ist gar nicht auf digital festgelegt.

00:08:15: Also das ist erst mal vielleicht ein ganz wichtiger Punkt

00:08:17: für alle Leute, die sich auch mit diesem Thema beschäftigen.

00:08:19: Es ist nicht notwendig, dass dieser Meldekanal digital ist.

00:08:22: Also über die Art des Meldekanals

00:08:25: ist dort eigentlich nichts wirklich spezifiziert.

00:08:29: Aber wichtig ist, dass die Parameter gegeben sind,

00:08:32: dass das anonym erfolgen können muss

00:08:35: und dass die Person, die den Hinweis gegeben hat,

00:08:38: eine Möglichkeit haben muss, in Erfahrung zu bringen,

00:08:41: wo sich der Prozess dieses Hinweises befindet, wenn sie das möchte.

00:08:45: Also habe ich dann in digitalen Systemen das häufiger so gesehen,

00:08:48: dass dann quasi man so ein Link-Token hat oder so,

00:08:51: mit dem man dann anonym zurück auf seine Anfrage kommt und so.

00:08:54: Also ganz viele tolle verschlüsselte Varianten und alles Mögliche.

00:08:58: Man kann auch dann bei manchen sogar mit Sprachverzerrung,

00:09:02: also man kann einen Hinweis über eine Sprachaufzeichnung geben

00:09:04: und dann wird die Sprache automatisch verzerrt so,

00:09:07: dass man nicht mehr erkennen kann, welche Person das ist.

00:09:09: Also ganz tolle und interessante Möglichkeiten,

00:09:11: die die Leute sich da überlegt haben.

00:09:13: Aber tendenziell kam dann mal so die Frage auf,

00:09:15: und da wollte ich eigentlich drauf hinaus,

00:09:17: habe ich auf LinkedIn gesehen, da sagte dann irgendjemand so,

00:09:21: ja, was soll das denn heißen, wenn kein Weg vorgegeben ist

00:09:24: und wenn das für alle gelten muss?

00:09:26: Also Mitarbeiter, Kunden, Partner und die Öffentlichkeit.

00:09:29: Heißt das, jeder muss jetzt an seinem Unternehmen

00:09:32: so einen Briefkasten draußen aufhängen,

00:09:34: wo Leute anonym irgendwelche Hinweise reinwerfen können?

00:09:37: Und die Diskussion ging dann halt auch in diese Richtung.

00:09:40: Da würde ich mal fragen, also erst mal von Gesetzes wegen

00:09:44: wäre das ja richtig, weil da steht ja nicht drin,

00:09:46: wie es zu machen ist und da kann ja nun mal jeder dran

00:09:48: an so einem Briefkasten.

00:09:50: Aber was bringt mir das denn als Unternehmen?

00:09:53: Das ist ja mal die Frage, also wem hilft es denn überhaupt?

00:09:57: Ja, ja, ja. Also zunächst zu dem Briefkasten.

00:09:59: Wir alle sind ja als Unternehmer verpflichtet,

00:10:01: eine Postadresse zu haben.

00:10:03: Es ergibt sich ja auch aus verschiedenen rechtlichen Vorschriften

00:10:05: und der Möglichkeit, die man geben muss,

00:10:07: erreichbar zu sein, auch für, ich sag mal, rechtliche Vorgänge.

00:10:11: Deswegen ist es, glaube ich, mit dem Briefkasten nicht so schlimm.

00:10:14: Aber natürlich ist es blöd, wenn es ein Allgemeinbriefkasten ist,

00:10:17: wo alles drin landet.

00:10:19: Da müsste man schon einen Speziellen haben.

00:10:21: Und das wäre ja beim Datenschutzbeauftragten der Fall.

00:10:23: Der ist ja speziell adressierbar und der bekommt ja auch spezielle Post,

00:10:27: die hoffentlich auch nicht vorgeöffnet wird.

00:10:29: Das müsste man natürlich sicherstellen.

00:10:31: Und dann insofern wäre das kein Problem.

00:10:33: Ansonsten ist es natürlich so, da kann man schon diskutieren.

00:10:36: Also E-Mail sollte auf jeden Fall möglich sein oder elektronisch.

00:10:39: Wir sind ja heute im digitalen Zeitalter.

00:10:41: Es wäre merkwürdig, wenn es anders wäre, sag ich mal.

00:10:43: Telefon ist ja dann auch noch eine Möglichkeit,

00:10:45: die auch jetzt nicht so schwierig abzuwickeln ist.

00:10:47: Wenn man eine Meldestelle hat,

00:10:49: da hat ja dann sicher auch ein Telefonapparat da stehen.

00:10:52: Und ansonsten bleibt ja auch nicht mehr viel übrig.

00:10:54: Also ob man jetzt einen Fax anbieten muss oder nicht,

00:10:56: das bezweifle ich, glaube ich eher nicht.

00:10:59: Zumal ja ein Fax auch nicht die Kriterien einer Anonymität

00:11:03: ad hoc gewährleistet, weil man auch nicht weiß,

00:11:05: wer da als Empfänger neben dem Faxgerät steht und so weiter.

00:11:08: Weil Fax ja auch aus der Mode kommt.

00:11:10: Aber Telefon, E-Mail und Post, ich denke, das kann jeder leisten.

00:11:13: Aber zurück zu deiner Frage.

00:11:15: Ist das überhaupt fürs Unternehmen gut?

00:11:17: Also ich würde schon sagen, es geht ja um das Melden von Missständen.

00:11:21: Vorteilhaft ist natürlich schon, wenn Dinge, die nicht gut laufen,

00:11:25: adressiert werden und sie dann verbessert werden können.

00:11:28: Wenn ein Unternehmen das natürlich nicht macht,

00:11:30: dann ist es die Schuld des Unternehmens.

00:11:32: Dann sollte das Unternehmen am besten gar nicht mehr existieren,

00:11:35: weil dann hat es gar kein Interesse dran,

00:11:37: irgendwelche Missstände zu beheben.

00:11:39: Dann ist aber auch nicht der Hinweisgeber schuld,

00:11:41: sondern das Unternehmen.

00:11:43: Und ansonsten finde ich es gut, wenn Sachen verbessert werden.

00:11:46: Ich glaube, das ist eine objektiv feststellbare Aussage.

00:11:48: Alles, was nicht so gut läuft, muss verbessert werden.

00:11:50: Und dazu gehört natürlich auch das Einhalten von Gesetzen.

00:11:52: Da geht es ja auch um Mobbingthemen,

00:11:54: da geht es auch um Datenschutzvorfälle,

00:11:56: und das muss natürlich abgestellt werden.

00:11:58: Es ist sogar die Pflicht des Unternehmens,

00:12:00: ob es einem passt oder nicht.

00:12:02: Man hat sich halt an Gesetze zu halten.

00:12:04: Mir passt ja auch nicht alles, aber ich halte mich ans Gesetz,

00:12:06: soweit mir das möglich ist.

00:12:08: Also ich versuche es so gut, wie es geht,

00:12:10: und versuche auch keine Ausreden zu finden,

00:12:12: auch wenn es manchmal wehtut.

00:12:14: Aber so ist es halt.

00:12:16: Und deswegen hat das Unternehmen natürlich einen Vorteil daraus.

00:12:18: Allerdings muss man schon sagen,

00:12:20: die Menge der Hinweise wird natürlich steigen,

00:12:22: wenn die Hinweisgeber auch, wie du es gesagt hast,

00:12:24: an sich melden können.

00:12:26: Also anonym natürlich.

00:12:28: Spätestens gegenüber dem Unternehmen,

00:12:30: gegenüber der Meldestelle nicht unbedingt.

00:12:32: Das kann man ja differenzieren,

00:12:34: weil vielleicht möchte man ja auch von dem anderen

00:12:36: zurückgerufen werden oder zurückgeschrieben bekommen.

00:12:38: Dann bin ich halt nicht anonym gegenüber,

00:12:40: ich sage jetzt mal beispielsweise

00:12:42: dem Datenschutzbeauftragten als Meldestelle,

00:12:44: aber anonym gegenüber dem Unternehmen.

00:12:46: Und es gibt ja auch noch eine zentrale Meldestelle.

00:12:48: Da war das Bundesministerium für Justiz in der Diskussion.

00:12:50: Da könnte ja wahlweise der Hinweisgeber

00:12:52: sich auch hinwenden.

00:12:54: Und da kann man dann schon von ausgehen,

00:12:56: dass dieses Justizministerium

00:12:58: gegenüber dem Unternehmen, an das sich der Whistleblower

00:13:00: sozusagen wendet mit seiner Beschwerde

00:13:02: oder seinem Hinweis,

00:13:04: nicht erfährt, wer der Whistleblower ist.

00:13:06: Also insofern eine Verbesserung für den Whistleblower.

00:13:08: Die Unternehmen werden mehr Probleme

00:13:10: aufgedrückt bekommen, die aber wahrscheinlich

00:13:12: schon immer oder fast alle da waren.

00:13:14: Es wird natürlich auch so sein,

00:13:16: dass es ein paar Nörgler gibt,

00:13:18: die Dinge adressieren, die ungerechtfertigt sind.

00:13:20: Diese Gefahr besteht natürlich immer.

00:13:24: Ja gut, ich denke mal,

00:13:26: die wird unter Umständen aber

00:13:28: eher geringer sein.

00:13:30: Oder ich denke mal, die Federzahl wird dabei

00:13:32: wahrscheinlich nicht so hoch sein,

00:13:34: was dieses Aufkommen angeht.

00:13:36: Weil irgendwo, so wie das Ganze

00:13:38: auch kommuniziert ist und so wie ich zumindest

00:13:40: die Deutschen kenne,

00:13:42: wir gehorchen ja oder sind gewohnt,

00:13:44: würde ich möchte ich sagen,

00:13:46: an Gesetze uns zu orientieren

00:13:48: und zu gehorchen, was es für Regeln gibt.

00:13:50: Von daher kann ich mir vorstellen,

00:13:52: dass wenn man denen sagt, das ist anonym für euch,

00:13:54: damit ihr Missstände aufklären

00:13:56: oder aufdecken könnt oder euch über Dinge

00:13:58: beschweren könnt. Wie du auch sagst,

00:14:00: das Thema Mobbing ist ja auch ein ganz großes Thema

00:14:02: an der Stelle.

00:14:04: Und da die Sicherheit zu wissen,

00:14:06: denke ich, wird es auf jeden Fall weniger

00:14:08: Missbrauch geben, als es geben könnte.

00:14:10: Vielleicht in anderen Fällen.

00:14:12: Ich will mich jetzt aber nicht aus dem Fenster legen

00:14:14: und sagen, auch bei Amazon im Sendelager

00:14:16: also ich denke auch gerade bei solchen großen

00:14:18: Unternehmen ist es

00:14:20: wahrscheinlich, wahrscheinlich war das

00:14:22: der Fokus. Nur

00:14:24: mit dieser Tendenz dazu zu sagen, ja okay,

00:14:26: wir machen das jetzt aber schon ab 50

00:14:28: Mitarbeitern, trifft es eben auch sehr sehr

00:14:30: viele Unternehmen, glaube ich,

00:14:32: wo die Prozesse

00:14:34: so etwas zu melden,

00:14:36: zum Beispiel durch einen Datenschutzbeauftragten

00:14:38: sowieso schon ausreichend vorhanden sind.

00:14:40: Und da ist jetzt eigentlich

00:14:42: vielleicht so Richtung Zuhörer

00:14:44: gewandt, damit ich jetzt überlege, was bringt euch

00:14:46: das uns hier zuzuhören,

00:14:48: wenn wir darüber philosophieren, ob dieses

00:14:50: Gesetz gut oder schlecht ist.

00:14:52: Die Umsetzung dieses Hinweisgeberschutzes

00:14:54: darf man sich

00:14:56: im Großen und Ganzen ja selbst aussuchen.

00:14:58: Sondern wäre jetzt meine Frage,

00:15:00: wenn man so eine Ausgestaltung hat,

00:15:02: welche Wege können wir uns überlegen,

00:15:04: die vielleicht wirklich gangbar sind, die im Alltag

00:15:06: dann auch nicht so, ja, die

00:15:08: nicht so tief eingreifen in die Prozesse, die wir jetzt

00:15:10: haben. Was wäre da so das Erste,

00:15:12: was du dir überlegen würdest? Gehen wir mal davon aus,

00:15:14: du hättest jetzt eine Firma, du hast da 50 Mitarbeiter

00:15:16: und du musst das jetzt machen. Du hast aber auch

00:15:18: einen Datenschutzbeauftragten.

00:15:20: Was wäre so dein erster Schritt? Wie würdest du da rangehen?

00:15:22: Ja, sehr gute Frage. Also ich bin ja

00:15:24: immer für pragmatisches Vorgehen und vor allem für

00:15:26: inkrementelles Vorgehen. Wenn man zum Mond fliegt,

00:15:28: also wenn man zum Mars fliegen will, dann sollte man vielleicht

00:15:30: erst mal zum Mond fliegen und danach gucken, ob man zum Mars

00:15:32: kommt, aber nicht gleich versuchen, zum Mars zu kommen.

00:15:34: Übrigens, ich bin jetzt kein Freund

00:15:36: von Tesla aus verschiedenen Gründen, auch weil

00:15:38: die Autos Daten sammeln ohne Ende.

00:15:40: Aber was das Vorgehen

00:15:42: von Tesla angeht in der Weltraum,

00:15:44: also vom Elon Musk, muss man ja

00:15:46: sagen, ist schon

00:15:48: da ein Paradebeispiel. Die NASA,

00:15:50: die überlegt sich 30

00:15:52: Jahre lang, übertrieben gesagt, wie die

00:15:54: Rakete theoretisch aussehen soll

00:15:56: und dann baut sie sie und dann funktioniert sie nicht.

00:15:58: Dann brauchen sie nochmal 5 Jahre für einen zweiten Versuch.

00:16:00: Haben sie 35 Jahre übertrieben gesagt.

00:16:02: Tesla macht es so,

00:16:04: die probieren es kurz, die rechnen

00:16:06: kurz und dann machen die nach 6 Monaten

00:16:08: ihren ersten Test und nach 7 Monaten

00:16:10: den zweiten und nach siebeneinhalb den dritten und dann funktioniert

00:16:12: die Rakete. Die haben zwei Fehlversuche gehabt,

00:16:14: ist im Endeffekt deutlich günstiger und haben

00:16:16: mehr Werte gesammelt, mehr Erfahrung als

00:16:18: 35 Jahre lang darüber nachdenken mit Genies.

00:16:20: Und insofern würde ich

00:16:22: vorschlagen, um mal deine Frage konkret zu beantworten,

00:16:24: die 50 Mitarbeiter, Unternehmen

00:16:26: oder mehr, die haben ja sowieso einen Datenschutzbeauftragten,

00:16:28: die haben

00:16:30: auf der Webseite

00:16:32: einfach einen zusätzlichen Passus oder eine

00:16:34: extra Seite, Unterseite, da steht

00:16:36: für Hinweisgeber sozusagen oder

00:16:38: Hinweisgeberrichtlinie, Whistleblower, was auch immer.

00:16:40: Hier ist ihre Meldestelle,

00:16:42: die E-Mail-Adresse vom Datenschutzbeauftragten,

00:16:44: von mir aus eine eigene, damit

00:16:46: man auch weiß, dass diese

00:16:48: Nachrichten etwas sensibler zu behandeln sind.

00:16:50: Anonymisierung hast du ja schon genannt,

00:16:52: als Beispiel. Und

00:16:54: dann noch die Telefonnummer des DSB, möglicherweise,

00:16:56: das muss man dann entscheiden, ob man das macht oder nicht

00:16:58: und die Postadresse des DSB.

00:17:00: So, fertig. Da muss ich

00:17:02: kein elektronisches

00:17:04: Meldesystem kaufen von irgendwo.

00:17:06: Wenn ich natürlich jetzt eine Firma bin mit

00:17:08: 50.000 Mitarbeitern

00:17:10: und da kommt dauernd jemand und hat irgendeinen

00:17:12: Hinweis, den er melden will, dann ist es

00:17:14: vielleicht was anderes. Aber ich sag mal, für die normale

00:17:16: Firma, da wird es nicht 7.000 Fälle im Jahr

00:17:18: geben, die da kommen neu,

00:17:20: reichen doch für die

00:17:22: Dutzend oder zwei Dutzend oder drei Dutzend oder

00:17:24: vier Dutzend Fälle, reicht doch einfach eine E-Mail-Adresse

00:17:26: und die Postadresse des Datenschutzbeauftragten.

00:17:28: Da muss man doch gar nicht mehr machen, als einfach nur eine

00:17:30: Informationsseite zu bauen, ist meine Meinung.

00:17:32: Okay, gut.

00:17:34: Also das wäre dann so der Schritt, ich

00:17:36: versuche, das digital abzubilden

00:17:38: und zwar so, dass es

00:17:40: funktionell ist, aber ich habe zum Beispiel

00:17:42: keine Nachweise

00:17:44: darüber, wie

00:17:46: mit dem Verfahren weiter umgegangen wurde.

00:17:48: Der Nutzer kann vielleicht nicht genau

00:17:50: einsehen, wo sich der Stand

00:17:52: der Bearbeitung gerade befindet und so weiter.

00:17:54: Das sind ja alles Features, sag ich mal,

00:17:56: die man in so Systemen findet, die sagen,

00:17:58: hier, wir haben jetzt ein digitales System zum Hinweisgeberschutz.

00:18:00: Tendenziell

00:18:02: finde ich dein Vorgehen sehr gut, weil ich

00:18:04: auch denke, dass es ein bisschen übertrieben

00:18:06: wäre, wenn man da jetzt viele große Anschaffungen

00:18:08: macht, nur um einen solchen Meldekanal

00:18:10: anzulegen. Auf der anderen Seite

00:18:12: denke ich, dass es sehr praktisch wäre,

00:18:14: wir sind immer so schnell in der digitalen

00:18:16: Welt, beim Datenschutz ist das, glaube ich, auch relativ

00:18:18: normal, weil es geht ja primär

00:18:20: um automatisierte Datenverarbeitungsprozesse

00:18:22: und die finden nun mal alle digital und

00:18:24: elektronisch statt, aber

00:18:26: was ist denn mit den Leuten,

00:18:28: die vielleicht keinen Zugang jetzt

00:18:30: zu digitalen Medien in der Form haben?

00:18:32: Ich meine, gehen wir mal davon aus,

00:18:34: wir hätten jetzt ein Unternehmen, das ein Produktionsbetrieb

00:18:36: ist, wir stellen irgendwas her und wir haben

00:18:38: da zum Beispiel Mitarbeiter,

00:18:40: die kommen da einfach nur ins Werk,

00:18:42: dann arbeiten die da, machen am Fließband

00:18:44: irgendwelche Sortierarbeiten oder was weiß ich

00:18:46: und jetzt fällt da jemandem auf,

00:18:48: dass der Schichtleiter

00:18:50: ständig falsche Eintragungen zu den Uhrzeiten

00:18:52: macht, dass der Dinge klaut,

00:18:54: aus dem Betrieb entwendet und was weiß ich,

00:18:56: sich so ein bisschen wie ein König aufführt,

00:18:58: so nach dem Motto, die anderen können ja nichts machen.

00:19:00: Die haben jetzt zum Beispiel keinen

00:19:02: direkten Bezug zum DSB,

00:19:04: vielleicht wissen die noch nicht mal, dass es einen gibt,

00:19:06: also in vielen Betrieben ist es ja gar nicht so, dass man das

00:19:08: wirklich weiß oder es richtig publiziert wurde.

00:19:10: Wie würdest du da vorgehen?

00:19:12: Also quasi so einen manuellen, nicht digitalen

00:19:14: Weg, was wäre da dein

00:19:16: Vorgehen? Also erstmal sehr gut, dass

00:19:18: du auch gesagt hast, diese Nachvollziehbarkeit

00:19:20: der Meldungen, die muss natürlich irgendwie

00:19:22: gegeben sein, das kann man aber auch ohne System machen.

00:19:24: Also zunächst zumindest. Ich würde empfehlen,

00:19:26: das erstmal so zu versuchen, man weiß ja auch gar nicht, was passiert.

00:19:28: Das Gesetz ist ja auch noch nicht mal da.

00:19:30: Wie viele Leute melden sich denn überhaupt?

00:19:32: Man kann ja immer noch, das meine ich mit inkrementell,

00:19:34: die nächste Stufe gehen dann. Nur wenn man ganz wenige

00:19:36: Meldungen nur bekommt, dann muss ich doch kein Software-System

00:19:38: kaufen dafür. Man muss ja sowieso jede

00:19:40: Meldung manuell bearbeiten. Das kann ja nicht

00:19:42: eine Software machen. Das geht ja einfach

00:19:44: nicht. Man kann die nur einsammeln. Aber

00:19:46: um deine Frage zu beantworten,

00:19:48: guter Punkt, da würde ich, also das klingt

00:19:50: jetzt ein bisschen lapidar, aber es ist wirklich,

00:19:52: es ist mit diesen Sachen wirklich einfach lösbar.

00:19:54: Man hängt einen Zettel auf, auf dem dieses steht

00:19:56: oder es gibt eine Mitarbeiter,

00:19:58: also im Werk dann natürlich, oder mehrere Zettel,

00:20:00: wenn es mehrere Werke gibt oder wenn das Werk sehr groß ist.

00:20:02: Es gibt ja auch manchmal so Mitarbeiterinformationen,

00:20:04: die jetzt schon rausgegeben werden.

00:20:06: Die kommen mit der Gehaltsabrechnung beispielsweise

00:20:08: oder so per Post. Da fügt man eben

00:20:10: den Zettel bei, wo drauf steht,

00:20:12: sie können sich wenden an unsere

00:20:14: Hinweisgeber-Meldestelle, entweder

00:20:16: per Internet oder per

00:20:18: Telefon oder per

00:20:20: Post. Also ich meine beim Unternehmen,

00:20:22: was du jetzt sagtest, wo es so viele Leute im Werk gibt,

00:20:24: da gibt es ja mit Sicherheit auch ein Telefon.

00:20:26: Das ist dann, glaube ich, keine Zumutung,

00:20:28: eine Telefonnummer einzurichten bei

00:20:30: 1000 Mitarbeitern und dann können

00:20:32: die da anrufen und wenn sie das nicht wollen,

00:20:34: dann können sie da auch einen Brief hinschreiben und

00:20:36: vielleicht geht es ja bei diesen großen Unternehmen auch,

00:20:38: dass diese Meldestelle ja vor Ort irgendwo

00:20:40: sitzt und man da hingehen kann,

00:20:42: ohne beobachtet zu werden. Das wäre

00:20:44: natürlich die Voraussetzung. Oder man trifft sich irgendwo

00:20:46: in einem gesicherten Umfeld in der Firma

00:20:48: oder sonst wo, das kann die Firma selbst organisatorisch klären,

00:20:50: wie das geht, damit nicht klar wird,

00:20:52: wer da hingeht, weil dann kann man ja ableiten, dass der

00:20:54: vielleicht ein Problem hatte. Oder die Meldestelle

00:20:56: hat eine Doppelfunktion, dann könnte man sagen, der war

00:20:58: vielleicht auch da, um seine

00:21:00: Essensmarken einzulösen. Ich habe jetzt

00:21:02: ein fiktives Beispiel gewählt, was wahrscheinlich keinen Sinn macht,

00:21:04: aber ich wollte damit nur sagen,

00:21:06: da sehe ich sehr einfache

00:21:08: Möglichkeiten der Lösung.

00:21:10: Ja, das

00:21:12: ist spannend. Also

00:21:14: ich fasse mal kurz zusammen.

00:21:16: Wir haben da ein Gesetz, das noch nicht

00:21:18: wirklich in Kraft getreten ist.

00:21:20: Ich sage mal so, wir können mit

00:21:22: Wahrscheinlichkeit davon ausgehen, dass wenn sich über drei Jahre

00:21:24: Gesetzgeber darüber bemühen,

00:21:26: ein Gesetz zu machen, dann wird das in irgendeiner Form

00:21:28: auch irgendwie in Kraft treten, weil solche Denkmäler

00:21:30: lassen die ja nun mal unangetastet.

00:21:32: Deutschland muss ja auch.

00:21:34: EU-Recht schreibt es vor, wir sind ja schon ein Jahr

00:21:36: zu spät, habe ich gelesen.

00:21:38: Das ist wieder

00:21:40: typisch für die Deutschen. Wir haben überall die

00:21:42: Nase vorne dabei, dass wir schreien,

00:21:44: dass das geregelt werden muss und wenn es darum geht, es umzusetzen,

00:21:46: sind wir immer die Letzten, die es

00:21:48: hinkriegen.

00:21:50: Also wenn ich es richtig gehört habe, dann gibt es

00:21:52: sogar ein Vertragsstrafverfahren der EU

00:21:54: gegen Deutschland. Deswegen muss Deutschland dieses Gesetz

00:21:56: umsetzen, ob sie es will oder nicht. Also es wird

00:21:58: kommen.

00:22:00: Wunderbar. Also das wird immer

00:22:02: teurer mit jeder Runde Bundesrat, der Nein

00:22:04: sagt.

00:22:06: Wir haben also dieses Gesetz,

00:22:08: das müssen wir irgendwann erfüllen. Aktuell

00:22:10: sieht es so aus, dass das ab 50 Mitarbeitern

00:22:12: gilt. Wir haben jetzt gerade mal so ein bisschen

00:22:14: überlegt, was gibt es für Gesetze, was gibt es

00:22:16: überhaupt schon für Vorschriften, die wir sowieso

00:22:18: erfüllen müssen. Dabei haben wir festgestellt,

00:22:20: dass die Betriebe, für die der

00:22:22: Hinweisgeberschutz verpflichtend sein

00:22:24: wird und das Einrichten solcher Meldestellen

00:22:26: und Meldekanäle, sind alles

00:22:28: Unternehmen, die bereits verpflichtet

00:22:30: sind, einen Datenschutzbeauftragten zu stellen.

00:22:32: Wir haben auch uns angeschaut,

00:22:34: was der Datenschutzbeauftragte

00:22:36: für Pflichten und für Rechte hat und welche

00:22:38: Dinge er einhalten muss und gewährleisten

00:22:40: muss und haben dabei festgestellt, dass

00:22:42: der Datenschutzbeauftragte

00:22:44: im Endeffekt so ein Hinweisgeberschützer

00:22:46: ist, dadurch, dass

00:22:48: man ihm als Meldestelle diese Dinge

00:22:50: übergeben kann und er zur Anonymität

00:22:52: und dem Geheimnis

00:22:54: verpflichtet ist.

00:22:56: Dementsprechend hätten wir da schon

00:22:58: mal die richtigen Ansprechpartner

00:23:00: zum Abbilden der Anfragen.

00:23:02: Diese Person kann man jetzt

00:23:04: publizieren als die Meldestelle für

00:23:06: Hinweise und kann dann

00:23:08: unterschiedliche Wege bieten, diese Person

00:23:10: zu kontaktieren. Wenn das digitale

00:23:12: Wege sind, wie zum Beispiel über E-Mail

00:23:14: oder über Webformulare,

00:23:16: wie du es beschrieben hast, auf der Webseite

00:23:18: eingerichtet, habe ich da auch Timestamps.

00:23:20: Das heißt, ich kann genau nachvollziehen und

00:23:22: protokollieren, wann ist dieser Hinweis

00:23:24: gegeben worden.

00:23:26: Damit habe ich dann auch so diesen Nachverfolgungsaspekt,

00:23:28: der ja von den digitalen Abbildungssystemen

00:23:30: immer irgendwie so nach vorne

00:23:32: gehoben wird, dass man das alles nachweisen

00:23:34: können muss.

00:23:36: Wir haben gesagt, darüber hinaus

00:23:38: können wir uns auch noch analoge oder direkte

00:23:40: Meldewege vorstellen, wie zum Beispiel

00:23:42: eine Telefonnummer oder eben einen Brief

00:23:44: oder man hat vielleicht auch einfach einen Briefkasten,

00:23:46: wo Hinweise eingeworfen werden können.

00:23:48: Diese Dinge haben dann natürlich

00:23:50: zumindest für denjenigen, der den

00:23:52: Hinweis gegeben hat, so ein bisschen

00:23:54: das Manko, dass sie nicht nachfolgen können,

00:23:56: wo befindet sich der Prozess gerade.

00:23:58: Das ist eben ein Feature dieser digitalen

00:24:00: Systeme, die einem da die Möglichkeit

00:24:02: bieten, das dort alles so richtig zu managen

00:24:04: oder verwalten. Gibt es bestimmt auch

00:24:06: interessante Lösungen. Mal sehen, wie erfolgreich

00:24:08: die jetzt aktuell werden und wie erfolgreich

00:24:10: sie dann in Zukunft sind, je nachdem, wie

00:24:12: sich das mit den Gesetzen entwickelt.

00:24:14: Ich denke, mit den Informationen, die du mir

00:24:16: jetzt auch nochmal gegeben hast, Klaus, kommen

00:24:18: wir aber zu dem Schluss, dass wir sagen können,

00:24:20: vielleicht so ein bisschen

00:24:22: Hinweisgeberschutz gleich viel Lärm um nichts,

00:24:24: weil im Endeffekt ist ja alles schon

00:24:26: da, was ich benötige, wenn ich nur weiß,

00:24:28: wie ich es pragmatisch richtig einsetze.

00:24:30: Richtig.

00:24:32: Genau.

00:24:34: Ich kann es auch nochmal ganz kurz ausführen

00:24:36: konkret. Klar,

00:24:38: mit der Software geht natürlich alles einfacher,

00:24:40: wenn sie genau dafür gemacht ist und gut funktioniert.

00:24:42: Da gibt es ja dann auch Lösungen. Aber wie gesagt,

00:24:44: man muss einfach gucken, was passiert, wie viele

00:24:46: Hinweise bekommt mein Unternehmen. Denn bei 50 Mitarbeitern

00:24:48: halte ich es für relativ unwahrscheinlich, dass da viele

00:24:50: Hinweise kommen. Außer das Unternehmen ist so am Ende,

00:24:52: hat so viele Missstände, dass es am besten gar

00:24:54: nicht mehr existieren sollte. Da hat es ganz andere Probleme,

00:24:56: als ein Hinweisgebersystem einzurichten.

00:24:58: Also es werden nicht viele Fälle sein.

00:25:00: Es ist genau wie du sagst.

00:25:02: Es gibt den DSB, der ist ein sehr guter

00:25:04: Ansprechpartner dafür als Zweitfunktion

00:25:06: sozusagen, die ja quasi der als

00:25:08: DSB mehr oder weniger schon entspricht auch.

00:25:10: Als Hinweisgeberschützer nennen wir es mal.

00:25:12: Und der kann natürlich auch eigene Aufzeichnungen

00:25:14: anstellen, wann ein Hinweis eingegangen ist und

00:25:16: das dann auch melden an die Person und

00:25:18: sicherstellen, dass die Frist eingehalten wird für eine Antwort.

00:25:20: Und der muss ja sowieso jeden Hinweis manuell

00:25:22: bearbeiten. Egal, ob ich vorne dran eine Software

00:25:24: habe oder nicht.

00:25:26: Eben. Gut.

00:25:28: Also ich hoffe, dass die Zuhörer,

00:25:30: die uns heute gelauscht haben,

00:25:32: davon mitgenommen haben, es ist gar nicht

00:25:34: so dramatisch, wie es überall dargestellt wird.

00:25:36: Und nur weil viele Leute mit Softwarelösungen

00:25:38: winken, heißt das nicht unbedingt, dass das

00:25:40: die Paradelösung ist, nur weil sie sagen, sie würden

00:25:42: es vereinfachen. Manchmal ist

00:25:44: ein Blick in andere Gesetzgebungen

00:25:46: und Sachlagen schon ausreichend,

00:25:48: um herauszufinden, dass man

00:25:50: vielleicht gar kein zusätzliches Invest

00:25:52: braucht. Ich sage aber bewusst vielleicht.

00:25:54: Ihr müsst das natürlich alle für euch

00:25:56: selber genau abchecken.

00:25:58: Das ist jetzt hier kein Freifahrtschein,

00:26:00: dass ihr euch nicht drum kümmern sollt. Im Gegenteil,

00:26:02: kümmert euch, aber informiert euch vernünftig

00:26:04: und hoffentlich hat euch diese Folge

00:26:06: ein bisschen dafür geholfen. Klaus,

00:26:08: ich danke dir ganz herzlich für diese

00:26:10: Informationen. Ich habe auch wieder nochmal eine Menge

00:26:12: gelernt über diese Zusammenhänge, bin aber auch

00:26:14: sehr froh, dass unsere beide Einschätzungen

00:26:16: doch eigentlich sehr nah beieinander ist.

00:26:18: Ja, Stephan, hat mich auch sehr gefreut.

00:26:20: Du hast sehr gute Impulse gegeben. Ich will vielleicht

00:26:22: abschließen mit dem Prinzip

00:26:24: simple stupid, also halt es einfach, Blödmann,

00:26:26: oder halt es

00:26:28: einfach. Ich möchte mal

00:26:30: den deutschen Satz zitieren,

00:26:32: Mobilfunkanbieterwerbung von früher,

00:26:34: weil einfach, einfach, einfach ist.

00:26:36: Wie gesagt, einfach starten und dann gucken, wie weit

00:26:38: man damit kommt und dann kann man den nächsten Schritt gehen,

00:26:40: wenn nötig.

00:26:42: Absolut cool. Ich hoffe, das nehmen alle so auch mit

00:26:44: und dann sage ich Tschüss und

00:26:46: noch einen schönen restlichen Valentinstag

00:26:48: euch allen. Wünsche ich auch. Tschüss.

00:26:50: Das war

00:26:52: Datenschutz Deluxe.

00:26:54: Du willst mehr spannende Themen oder Kontakt

00:26:56: zu uns? Dann besuche

00:26:58: Klaus Meffert auf seinem Blog

00:27:00: Dr. DSGVO und

00:27:02: Stephan Plesnik auf seinem YouTube-Kanal

00:27:04: Datenschutz ist Pflicht.

00:27:06: Bis zum nächsten Mal.