Datenschutz-Konferenz: Whistleblower im Fokus von SÜG und DSGVO

Die Datenschutzkonferenz des Bundes und der Länder (DSK) rückt die Transparenz für Hinweisgeber in den Mittelpunkt. Grund sind die verschärften Vorgaben des neuen Sicherheitsüberprüfungsgesetzes und die EU-weiten Prüfschwerpunkte.

Reformiertes SÜG: Neue Pflichten, hohe Bußgelder

Das modernisierte Sicherheitsüberprüfungsgesetz (SÜG) gilt seit Januar 2026 und verändert den Umgang mit personenbezogenen Daten in sensiblen Branchen grundlegend. Ein Kernpunkt: Der überarbeitete § 6 SÜG weitet die Rechte aller „mitwirkenden Personen“ aus. Das betrifft nun ausdrücklich auch Whistleblower, die Informationen im Rahmen von Sicherheitsüberprüfungen oder internen Meldestellen liefern.

Angesichts verschärfter Gesetze und drohender Bußgelder bei der Hinweisgeber-Verwaltung bietet dieser kostenlose Leitfaden wertvolle Unterstützung für eine DSGVO-konforme Umsetzung. Erfahren Sie, wie Sie interne Meldestellen rechtssicher organisieren und die gesetzlichen Anforderungen ohne teure Berater erfüllen. Kostenlosen Praxisleitfaden zum Hinweisgeberschutzgesetz herunterladen

Unternehmen müssen ihre internen Prozesse daher dringend anpassen. Sie müssen Hinweisgeber korrekt einordnen und umfassend über die Datenverarbeitung informieren. Die finanziellen Risiken bei Verstößen sind massiv gestiegen. Nach dem neuen § 38 SÜG können Geldbußen für fehlende Benachrichtigungspflichten oder den unerlaubten Einsatz von Personal in sensiblen Bereichen bis zu 50.000 Euro betragen. Kombiniert mit den Bußgeldern der DSGVO entsteht für KRITIS- und Verteidigungsunternehmen eine doppelte Haftungslage.

DSGVO-Transparenz: EU-weiter Prüfschwerpunkt 2026

Parallel zum nationalen Recht verschärft die EU den Druck. Die Europäische Datenschutzausschuss (EDPB) hat die Transparenzpflichten aus Art. 12 bis 14 DSGVO zum Schwerpunkt ihrer koordinierten Durchsetzungsaktion 2026 erklärt. Für Betreiber von Hinweisgebersystemen ist das „Recht auf Information“ damit kein Nebenschauplatz mehr, sondern ein zentrales Prüfziel.

Die Aufsichtsbehörden kontrollieren, ob Organisationen sowohl dem Whistleblower als auch der beschuldigten Person klare, zugängliche und umfassende Informationen bereitstellen. Im Spannungsfeld von Sicherheitsüberprüfungen und Datenschutz ist das eine Gradwanderung: Die DSGVO-Transparenz muss gewahrt werden, ohne die Vertraulichkeit laufender Ermittlungen zu gefährden.

Als Lösung diskutieren Behörden ein „gestuftes Informationsmodell“. Beim Meldevorgang erhält der Whistleblower zunächst die wesentlichen Informationen – etwa zum Verantwortlichen und Verarbeitungszweck. Technische Details wie Aufbewahrungsfristen oder Datenübermittlungen folgen in einem second, detaillierteren Dokument. So sollen die Anforderungen an klare Sprache und Vollständigkeit gleichermaßen erfüllt werden.

Praxische Herausforderung: Meldung versus Sicherheitsinteresse

Die DSK-Sitzung am 25. März 2026 beleuchtete die praktischen Reibungspunkte. Eine der größten Herausforderungen bleibt der Umgang mit „sicherheitserheblichen Erkenntnissen“ aus Whistleblower-Meldungen. Das neue SÜG verpflichtet dazu, bestimmte Befunde an Sicherheitsbehörden zu melden. Die DSGVO gewährt Betroffenen jedoch grundsätzlich das Recht, über die Weitergabe an Dritte informiert zu werden.

Unternehmen stehen vor einer komplexen „Rechtsgrundlagenanalyse“ für jeden einzelnen Datentransfer. Löst eine Meldung eine neue Sicherheitsüberprüfung aus, muss die Datenverarbeitung sowohl durch das Hinweisgeberschutzgesetz (HinSchG) als auch das SÜG gedeckt sein – und gleichzeitig dem DSGVO-Grundsatz der Datenminimierung genügen.

Die rechtssichere Dokumentation von Meldevorgängen und Datenverarbeitungen ist für Compliance-Verantwortliche heute wichtiger denn je, um Haftungsrisiken zu minimieren. Dieser Gratis-Report liefert 14 konkrete Antworten auf die häufigsten Fragen zur DSGVO-konformen Umsetzung der Meldepflichten. 14 Antworten zum Hinweisgeberschutzgesetz jetzt gratis sichern

Die DSK betont: Der bloße Verdacht eines Sicherheitsrisikos setzt nicht automatisch die Datenschutzrechte außer Kraft. Unternehmen werden aufgefordert, strenge Technische und Organisatorische Maßnahmen (TOMs) umzusetzen. Dazu gehören Pseudonymisierung, wo möglich, und strikte Zugriffskontrollen in der Meldestelle, um die unerlaubte Verbreitung sensibler Daten zu verhindern.

Regulatorisches Umfeld im Wandel

Die gestiegene Aufmerksamkeit für den Whistleblower-Datenschutz fällt in eine phase des Übergangs. Am 17. März 2026 trat die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider aus Gesundheitsgründen zurück. Ihre Nachfolge ist derzeit unbesetzt.

Die Arbeit der Aufsichtsbehörden läuft dennoch weiter. Seit März 2026 gilt die neue EU-Verfahrensverordnung (EU 2025/2518), die die Zusammenarbeit nationaler Behörden bei grenzüberschreitenden Whistleblower-Fällen vereinfachen soll. Das ist besonders für internationale Konzerne mit einheitlichen Meldesystemen relevant.

Marktbeobachter führen den Anstieg der DSGVO-Meldungen – 2025 lag der europäische Tagesdurchschnitt bei über 440 – auch auf das gestiegene Bewusstsein für Whistleblower-Rechte zurück. Angesichts steigender Fallzahlen wird die Qualität der bereitgestellten Informationen zur wichtigsten Verteidigung gegen Klagen und Bußgelder.

Ausblick: Klarheit durch Urteile und Leitlinien

Die Ergebnisse des EU-Durchsetzungsprogramms werden für Anfang 2027 erwartet und dürften zu verbindlichen Leitlinien für Hinweisgebersysteme führen. Bis dahin müssen Unternehmen ihre SÜG- und DSGVO-Prozesse synchronisieren.

Der nächste wichtige Termin ist das DSK-Symposium zum Informationsfreiheitsrecht im Juni 2026, bei dem das Verhältnis von Transparenz und nationaler Sicherheit im Mittelpunkt stehen wird. Rechtssicherheit erhoffen sich viele von den ersten Gerichtsurteilen zu den 50.000-Euro-Bußgeldern des reformierten SÜG, die für Ende 2026 erwartet werden.

Die Botschaft der Aufseher ist klar: Die Zeit generischer Datenschutzhinweise ist vorbei. Whistleblower-Systeme müssen nicht nur sicher, sondern auch vollständig transparent sein. Die Compliance-Anforderung hat sich gewandelt: Es geht nicht mehr nur um die Verhinderung von Datenlecks, sondern um die präzise Wahrung der Informationsrechte jedes Einzelnen im Prozess.

boerse | 68985716 |