Musterrichtlinie der Datenschutzkonferenz
Die Datenschutzkonferenz (DSK) hat mit ihrer Musterrichtlinie für das Verfahren über Geldbußen (MRiDaVG) einen einheitlichen Maßstab geschaffen, wie Datenschutzverstöße im nicht-öffentlichen Bereich geahndet werden sollen. Diese Richtlinie ist besonders relevant für Unternehmen, die seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) verpflichtet sind, interne Meldestellen einzurichten und zu betreiben.
Die MRiDaVG regelt unter anderem die Zuständigkeit der Aufsichtsbehörden, die Verfahrensschritte von der Einleitung bis zur Bekanntgabe eines Bußgeldbescheids sowie die Bemessung der Geldbuße. Dabei orientiert sich die DSK an Grundsätzen wie Verhältnismäßigkeit, Transparenz und Einheitlichkeit. Für Unternehmen bedeutet das: Datenschutzverstöße – etwa bei der Verarbeitung personenbezogener Daten in Meldestellen – werden nicht mehr nur individuell bewertet, sondern anhand eines strukturierten und nachvollziehbaren Schemas.
Vertraulichkeit und Hinweisgeberdaten
Im Kontext des HinSchG sind insbesondere Verstöße gegen die Vertraulichkeitspflicht (§ 8 HinSchG) oder die unsachgemäße Verarbeitung von Hinweisgeberdaten relevant. Wenn etwa die Identität eines Hinweisgebers unberechtigt offengelegt wird oder Zugriffsbeschränkungen nicht eingehalten werden, drohen Bußgelder bis zu 50.000 Euro. Die MRiDaVG liefert hierfür die methodische Grundlage, wie solche Verstöße bewertet und sanktioniert werden.
❗ Was passiert, wenn keine Meldestelle eingerichtet wurde?
Unternehmen ab 50 Beschäftigte sind nach § 12 HinSchG verpflichtet, eine interne Meldestelle einzurichten. Wird diese Pflicht ignoriert, handelt es sich um eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 20.000 Euro geahndet werden kann (§ 40 Abs. 2 Nr. 1 HinSchG). Die Datenschutzaufsichtsbehörden können in solchen Fällen ein Verfahren nach Maßgabe der MRiDaVG einleiten. Dabei wird geprüft, ob der Verstoß systematisch oder fahrlässig erfolgte, ob Wiederholungsgefahr besteht und ob das Unternehmen kooperativ mit der Behörde zusammenarbeitet.
Besonders kritisch wird es, wenn zusätzlich Verstöße gegen die DSGVO vorliegen – etwa durch unzureichende technische und organisatorische Maßnahmen zum Schutz der übermittelten Hinweise. In solchen Fällen kann das Bußgeld deutlich höher ausfallen, da dann auch Art. 83 DSGVO zur Anwendung kommt.
Für Compliance-Verantwortliche ist es daher essenziell, die datenschutzrechtliche Ausgestaltung der internen Meldestelle zu prüfen. Dazu gehören technische und organisatorische Maßnahmen zur Sicherstellung der Vertraulichkeit, ein aktuelles Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO sowie klare Zuständigkeiten für die Bearbeitung von Hinweisen. Auch die Schulung von Mitarbeitenden und die transparente Kommunikation über die Funktion der Meldestelle sind wichtige Bausteine.
Die MRiDaVG zeigt deutlich: Datenschutz ist kein Nebenschauplatz im Hinweisgeberschutz, sondern integraler Bestandteil. Wer hier nachlässig agiert, riskiert nicht nur Bußgelder, sondern auch Reputationsschäden. Unternehmen sollten die Richtlinie daher als Chance begreifen, ihre Prozesse zu professionalisieren und rechtssicher zu gestalten
