Das Hinweisgeberschutzgesetz beschäftigte den Datenschutz im Jahr 2023 stark

Bedeutende Entwicklungen im Datenschutz und der Compliance (Rechtstreue bzw. Regelkonformität) prägten den Betrieblichen Datenschutz der Geschäftsstelle im Jahr 2023. Insbesondere die Einführung des Hinweisgeberschutzgesetzes (Whistleblower-Schutzgesetz) hat neue Anforderungen an die caritativen Organisationen im Bistum gestellt.

Dieser Bericht gibt einen Überblick über die Aktivitäten und Maßnahmen, die im Jahr 2023 in der Geschäftsstelle des Diözesancaritasverbandes (DICV) Aachen sowie bei allen caritativen Trägern im Bistum Aachen umgesetzt wurden, um den Datenschutz und die Einhaltung rechtlicher Vorschriften sicherzustellen.

Einführung des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz, das im Juli 2023 in Kraft trat, verpflichtet Unternehmen und Organisationen, sichere Kanäle für die Meldung von Missständen bereitzustellen und die Hinweisgeber vor Repressalien zu schützen. Die wichtigsten Maßnahmen, die in diesem Zusammenhang ergriffen wurden, umfassen:

1. Implementierung von Meldekanälen

• Einrichtung eines internen und eines externen Meldekanals, über die Mitarbeitende und Dritte Missstände anonym oder namentlich melden können
• Schulung der Mitarbeitenden über die Nutzung dieser Kanäle und die Wichtigkeit des Whistleblowings für die Integrität der Organisation

2. Schutzmaßnahmen für Hinweisgeber:

• Entwicklung und Umsetzung einer Richtlinie zum Schutz von Hinweisgebern vor Benachteiligungen
• Sensibilisierung der Führungskräfte und Mitarbeitenden für die Bedeutung des Schutzes von Hinweisgebern und die rechtlichen Rahmenbedingungen

3. Verfahren zur Bearbeitung von Hinweisen:

• Etablierung eines standardisierten Verfahrens zur Bearbeitung eingehender Hinweise, inklusive der Untersuchung und Dokumentation der Fälle
• Sicherstellung der Vertraulichkeit der Identität der Hinweisgeber und der gemeldeten Informationen

Datenschutzmaßnahmen 2023

Im Zusammenhang mit den Bemühungen um den Schutz personenbezogener Daten wurden im Jahr 2023 zahlreiche Maßnahmen ergriffen:

1. Datenschutz-Compliance

• Regelmäßige Überprüfung und Aktualisierung der Datenschutzrichtlinien und -verfahren gemäß den Anforderungen des Kirchlichen Datenschutz-Gesetzes (KDG) und anderer relevanter Datenschutzgesetze
• Durchführung von Datenschutz-Audits in verschiedenen Einrichtungen, um die Einhaltung der Datenschutzbestimmungen sicherzustellen
• Durchführung eines Penetrationstestes zur Sicherstellung der IT-Systeme in der Geschäftsstelle des DICV Aachen

2. Schulung und Sensibilisierung:

• Durchführung von Web-Schulungen und für Mitarbeiter aller Hierarchieebenen zu den Themen Datenschutz und Informationssicherheit, sowie Verschlüsselung von E-Mails
• Verbreitung von Informationsmaterialien und Leitfäden zum sicheren Umgang mit personenbezogenen Daten

3. Technische und organisatorische Maßnahmen:

• Verbesserung der IT-Sicherheit durch Implementierung neuer Sicherheitssoftware und regelmäßige Sicherheitsüberprüfungen
• Einführung eines Datenschutzmanagement-Systems, das eine systematische Erfassung und Verwaltung von Datenschutzverletzungsvorfällen ermöglicht

4. Zusammenarbeit und Beratung:

• Enge Zusammenarbeit mit den Datenschutzkoordinatoren der einzelnen caritativen Träger im Bistum Aachen zur Harmonisierung der Datenschutzmaßnahmen
• Bereitstellung von Beratung und Unterstützung bei der Umsetzung datenschutzrechtlicher Anforderungen in den Einrichtungen

Ausblick und geplante Maßnahmen 2024

Für das Jahr 2024 sind weitere Schritte geplant, um den Datenschutz und die Umsetzung des Hinweisgeberschutzgesetzes weiter zu optimieren:

1. Fortlaufende Schulungen:

• Erweiterung der Schulungsangebote, insbesondere durch E-Learning-Module, um eine flächendeckende Sensibilisierung zu erreichen

2. Verbesserung der Meldekanäle:

• Optimierung der Meldekanäle durch technische Verbesserungen und regelmäßige Überprüfung ihrer Wirksamkeit

3. Monitoring und Audits:

• Durchführung weiterer Datenschutz-Audits und regelmäßiges Monitoring der Umsetzung der Datenschutz- und Hinweisgeberschutzmaßnahmen

4. Erweiterung der IT-Sicherheit:

• Begleitung in fortschrittliche IT-Sicherheitslösungen und Erhöhung der Schutzmaßnahmen gegen Cyberangriffe

5. Einsatz von künstlicher Intelligenz "KI":

• Begleitung bei der Erstellung von Richtlinien zum Einsatz von KI in der Trägerlandschaft

6. Implementierung neuer Maßnahmen im Zuge von angekündigten Neuregelungen (NIS2-Richtlinie und kirchliche Archivordnung).

Abschließend lässt sich festhalten: Das Jahr 2023 war ein erfolgreiches Jahr für die Datenschutz- und Compliance-Bemühungen der Geschäftsstelle des Caritasverbandes für das Bistum Aachen und aller caritativen Träger im Bistum Aachen. Die Einführung des Hinweisgeberschutzgesetzes wurde erfolgreich umgesetzt und die Datenschutzstandards wurden weiter verbessert. Das Datenschutz-Team der Geschäftsstelle ist bestrebt, diesen Weg fortzusetzen und die Organisationen weiterhin als Vorbilder für Datenschutz und Integrität zu positionieren.