(1) Die Meldestellen haben die Vertraulichkeit der Identität der folgenden Personen zu wahren:
- der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei,
- der Personen, die Gegenstand einer Meldung sind, und
- der sonstigen in der Meldung genannten Personen.
Die Identität der in Satz 1 genannten Personen darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden.
(2) Das Gebot der Vertraulichkeit der Identität gilt unabhängig davon, ob die Meldestelle für die eingehende Meldung zuständig ist.
Gesetzesbegründung zu § 8 HinSchG
Zu Absatz 1
Damit ein Hinweisgeberschutzsystem wirksam und funktionstüchtig ist, ist es unerlässlich, dass die Identitäten aller von einer Meldung betroffenen Personen weitgehend geschützt werden.
Dies gilt gemäß Nummer 1 zunächst für die hinweisgebende Person selbst. Diese soll darauf vertrauen können, dass ihr aus der Meldung keine Nachteile entstehen. Daher ist als erster Schritt die Identität der hinweisgebenden Person im Regelfall und so weitgehend wie möglich vor einem Bekanntwerden zu schützen.
Berechtigte Schutzinteressen haben darüber hinaus auch die sonstigen betroffenen Personen. Dies sind zum einen nach Nummer 2 die Personen, die durch eine Meldung belastet werden und somit Gegenstand einer Meldung sind. Die Formulierung entspricht § 4d Absatz 3 Satz 2 FinDAG, der dieses Schutzniveau für die Identität potentiell belasteter Personen bereits für die bei der BaFin eingerichtete Meldestelle vorschreibt. Schließlich erstreckt sich der Schutz nach diesem Absatz in Nummer 3 auch auf die Identität von sonstigen Personen, die in einer Meldung benannt werden. Hierbei geht es um beteiligte oder auch unbeteiligte Dritte, die beispielsweise Kolleginnen und Kollegen, Vorgesetzte oder auch Arbeitgeberinnen und Arbeitgeber selbst sein können. Diese Dritten können Verstöße beobachtet haben oder sie können in sonstiger Weise von der Meldung betroffen sein. Da diese Dritten gegebenenfalls im weiteren Verfahren eine wichtige Rolle spielen können, ist ihre Identität ebenfalls weitgehend zu schützen. Der Schutz der Identität dieser Personen soll falsche Verdächtigungen und Verleumdungen, aber auch eine Einflussnahme auf potentielle Zeuginnen und Zeugen verhindern.
Der Schutz nach Absatz 1 umfasst für alle diese Personen die Wahrung der Vertraulichkeit der Identität in jedem Verfahrensstadium und bei interner und externer Meldestelle gleichermaßen.
Um den Kreis derjenigen Personen, die Kenntnis über die Identitäten der von der Meldung betroffenen Personen haben, möglichst klein zu halten, legt Satz 2 fest, dass die Identitäten nur den tatsächlich zuständigen Personen bekannt werden dürfen. Dadurch wird ein Weiterreichen einer eingegangenen Meldung innerhalb der Meldestelle auf das zwingend notwendige Maß beschränkt. Ein Bekanntwerden der Identitäten ist neben den für die Meldung zuständigen Personen auch gegenüber unterstützendem Personal wie Büro- und IT-Kräften zulässig, soweit dies für die Unterstützungstätigkeit notwendig ist. Soweit erforderlich ist das unterstützende Personal ebenso wie die Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, zur Vertraulichkeit zu verpflichten.
Von der Vorschrift umfasst ist nicht nur die Identität der in den Nummern 1 bis 3 genannten Personen selbst, sondern auch alle anderen Informationen, aus denen die Identität dieser Personen abgeleitet werden kann. Die Vorschrift setzt mit Blick auf den Schutz der Identität der hinweisgebenden Person Artikel 16 Absatz 1 der HinSch-RL um.
Die Verarbeitung personenbezogener Daten durch die Meldestellen hat grundsätzlich unter Beachtung der geltenden Vorschriften zu erfolgen. Maßgeblich sind insofern vor allem die DSGVO und das BDSG.
Um das Vertraulichkeitsgebot nicht zu konterkarieren, ist es allerdings erforderlich, die Ausübung bestimmter datenschutzrechtlicher Auskunfts- und Informationsrechte einzuschränken. Dies sieht auch Erwägungsgrund 84 der HinSch-RL vor.
Die notwendigen Ausnahmetatbestände haben indes bereits Eingang in das BDSG gefunden. Über die im Rahmen des § 29 Absatz 1 BDSG geforderte Interessenabwägung lässt sich der erforderliche Gleichlauf zwischen dem Vertraulichkeitsschutz und datenschutzrechtlichen Informationspflichten und Auskunftsrechten herstellen. Nach § 29 Absatz 1 Satz 1 BDSG treffen den datenschutzrechtlich Verantwortlichen keine Informationspflichten, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen. Nach § 29 Absatz 1 Satz 2 BDSG besteht das Recht zur Auskunft der betroffenen Person nicht, soweit durch die Auskunft Informationen offenbar würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten (was regelmäßig hinsichtlich der hinweisgebenden Person – auch nach Abschluss der Ermittlungen – anzunehmen ist) geheim gehalten werden müssen. Soweit Informationen dem Vertraulichkeitsgebot unterliegen, sind diese nach § 29 Absatz 1 BDSG grundsätzlich geheim zu halten. Sofern die Daten im Einzelfall bei der betroffenen Person erhoben wurden, kann gemäß § 32 Absatz 1 BDSG die Informationspflicht nach Artikel 13 DSGVO ausgeschlossen sein.
Soweit Erwägungsgrund 85 daneben die Einschränkung der Ausübung von Datenschutzrechten nach der Richtlinie (EU) 2016/680 fordert, besteht ebenfalls kein Umsetzungsbedarf. Die sogenannte EU-Richtlinie für Justiz und Inneres (JI-Richtlinie) ist durch Änderungen der StPO sowie des BDSG für den Bereich der Strafverfolgung in deutsches Recht umgesetzt worden. Die danach bestehenden Auskunfts- und Informationsrechte von Betroffenen im Strafverfahren ließen sich über bereits bestehende Ausnahmetatbestände mit dem Vertraulichkeitsgebot harmonisieren (vergleiche § 500 StPO in Verbindung mit § 56 Absatz 2, § 57 Absatz 4 BDSG).
Artikel 3 Absatz 3 Buchstabe d der HinSch-RL stellt allerdings klar, dass das Strafprozessrecht, dem die nach der Datenschutzrichtlinie vorgesehenen Auskunftsrechte zuzuordnen sind, nicht von der HinSch-RL berührt wird.
Zu Absatz 2
Hat sich eine hinweisgebende Person unter der fälschlichen Annahme der Zuständigkeit einer Meldestelle an diese gewandt, genießen die in den Nummern 1 bis 3 genannten Personen den gleichen Schutz betreffend die Vertraulichkeit ihrer Identität wie in den Fällen, in denen die Meldestelle zuständig ist.