Datenschutzfolgeabschätzung (DSFA) für interne Meldestellen

Ohne Datenschutzfolgeabschätzung wird die interne Meldestelle schnell zum rechtlichen Risiko für Unternehmen

Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) im Dezember 2023 müssen Unternehmen ab 50 Beschäftigten eine interne Meldestelle für Hinweisgeber einrichten.
Doch wer denkt, damit sei alles erledigt, irrt: Für den Betrieb einer solchen Meldestelle ist regelmäßig auch eine Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO erforderlich.

Der LfDI Baden-Württemberg und das BayLDA Bayern sehen darin einen Verarbeitungsvorgang mit voraussichtlich hohem Risiko für die Rechte der Betroffenen.
Unternehmen, die keine DSFA durchführen, müssen inzwischen mit anlasslosen Prüfungen rechnen.

Warum eine DSFA für Meldestellen verpflichtend ist

Eine DSFA ist immer dann vorgeschrieben, wenn personenbezogene Daten in risikoreicher Weise verarbeitet werden, z.B.:

• bei umfangreicher Verarbeitung sensibler Daten nach Art. 9 Abs. 1 DSGVO,

• bei Daten über strafrechtliche Vorwürfe nach Art. 10 DSGVO.

Genau das ist bei Hinweisgebermeldungen der Fall: Meldungen betreffen meist Verhaltensweisen von Mitarbeitenden und können arbeits-, beamten-, straf- oder zivilrechtliche Konsequenzen haben.

Inhalt und Aufbau einer DSFA

Die Datenschutzfolgeabschätzung ist eine ausführliche Verhältnismäßigkeitsprüfung in Form einer Schwellenwertanalyse. Sie beschreibt strukturiert,

• Verarbeitungszwecke (Erfüllung der HinSchG-Vorgaben, ggf. auch Lieferkettensorgfaltspflichten nach § 8 LkSG),

• Geeignete, erforderliche Prozesse und Systemarchitektur, verarbeitete Datenkategorien und Schutzmaßnahmen,

• angesichts der Risiken und Kosten für Betroffene und Verantwortliche

• sowie eine abschließende Bewertung der Angemessenheit der Maßnahmen.

Das Vorgehen orientiert sich an Art. 35 Abs. 7 DSGVO und der Norm DIN EN ISO/IEC 29134:2020-09.

Typische Inhalte:

• Beschreibung der Datenflüsse zwischen Meldestelle, Infrastruktur und ggf. externen Dienstleistern

• Festlegung von Speicherfristen (3 Jahre nach HinSchG, 7 Jahre bei kombinierter LkSG-Stelle)

• Information der Beschuldigten nach Art. 13 DSGVO, sobald die Ermittlungen nicht mehr gefährdet sind

Risikoanalyse und Umgang mit hohen Risiken

Im Mittelpunkt der DSFA steht die Risikobewertung:
Das Risiko ergibt sich aus der Eintrittswahrscheinlichkeit und dem Auswirkungsgrad eines möglichen Schadens hauptsächlich für Betroffene.

Typische Risiken:

• Offenlegung sensibler Informationen,

• Repressalien gegen Hinweisgeber,

• unbefugter Zugriff auf Meldungen,

• fehlerhafte oder verspätete Löschung.

Vier mögliche Strategien:

1. Risikominimierung – Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit.

2. Risikovermeidung – Verzicht auf besonders kritische Verarbeitungsschritte.

3. Risikotransfer – Absicherung über Dienstleister oder Versicherungen.

4. Risikoakzeptanz – bewusste Entscheidung bei vertretbarem Restrisiko.

Bei hohen Risiken müssen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO umgesetzt werden, etwa:

• Ende-zu-Ende-Verschlüsselung,

• getrennte Datenhaltung,

• Zugriffsbeschränkungen,

• Auftragsverarbeitung nur mit seriösen, DSGVO-konformen Anbietern.

Was die Aufsichtsbehörden prüfen

Die Bayerische Datenschutzaufsicht führte zur Einführung des HinSchG anlasslose Prüfungen zu DSFA-Umsetzungen in Unternehmen durch.
Unternehmen erhielten dabei ein Anschreiben mit einem Prüfbogen, der u. a. abfragte:

• welche Verarbeitungstätigkeiten mit hohem Risiko vorliegen,

• ob eine Schwellwertanalyse (DSFA) erfolgt ist,

• und welche Risikominderungsmaßnahmen dokumentiert wurden.

Die Prüfungen basieren auf den Vorgaben aus Art. 58 DSGVO – Befugnisse der Aufsichtsbehörden und dienen der Kontrolle, ob die DSFA ordnungsgemäß durchgeführt wurden.

Unternehmen sollten daher sicherstellen, dass sie:

• ihr Verfahrensverzeichnis/Verarbeitungsverzeichnis aktuell halten,

• die DSFA nachvollziehbar dokumentieren,

• und so auf Rückfragen zeitnah reagieren können.

Rolle des Datenschutzbeauftragten

Nach § 38 BDSG führt die Pflicht zur DSFA in der Regel auch zur Bestellung eines Datenschutzbeauftragten. Dieser berät bei der Ausgestaltung der DSFA, begleitet die Risikoanalyse und prüft die getroffenen Schutzmaßnahmen auf Wirksamkeit. Er braucht dazu aber auch eine gewisse Zeit, mit Rückfragen müssen Sie rechnen. Sie sollte die DSFA daher vorbereiten, bevor die Behörde fragt.

Fazit

Eine Meldestelle nach dem HinSchG ist ohne Datenschutzfolgeabschätzung nicht vollständig DSGVO-konform. Die DSFA ist kein bürokratischer Selbstzweck, sondern ein zentraler Bestandteil verantwortungsvoller Datenschutzpraxis.

Sie schützt Hinweisgeber, Beschäftigte und Unternehmen gleichermaßen und sorgt dafür, dass interne Compliance-Strukturen rechtssicher bleiben.

Das könnte Sie auch interessieren

• Technisch-Organisatorische Maßnahmen – TOM Teil 1
• Technisch-Organisatorische Maßnahmen – TOM Teil 2
• Das Verhältnismäßigkeitsprinzip im Datenschutz 

Autor: Markus Vatter, Head of Compliance, 13.02.2026