Whistleblowing-Systeme sind von Unternehmen angebotene Meldewege, die zur Entdeckung und Bekämpfung von Verstößen gegen externe und interne Verhaltensvorschriften im Unternehmen dienen. Dabei sollen Personen (in der Regel Mitarbeiter) dem Arbeitgeber solche Verhaltensverstöße melden.
Grundsätzliches zum Whistleblowing
Der Begriff Whistleblowing wurde vor allem im Zusammenhang mit dem US-amerikanischen “Sarbanes-Oxley Act” bekannt. Danach müssen an der US-Börse gelistete Unternehmen ein internes Verfahren einrichten, über welches Mitarbeiter Fehlverhalten melden können („Whistleblowing“). Diese Verpflichtungen schlagen dann ggf. auch auf deren europäische Tochter- oder Dienstleistungsunternehmen durch.
Über interne Verhaltensvorschriften (“Code of Conduct“) versuchen Unternehmen, die eigenen Mitarbeiter für verbotenes Verhalten zu sensibilisieren und zu einem gesetzeskonformen und internen Regeln entsprechenden Verhalten zu motivieren.
Zu meldende Verstöße gegen Verhaltensvorschriften betreffen somit vor allem
- Straftatbestände zum Nachteil des Unternehmens (insbesondere Betrug und Fehlverhalten in Bezug auf die Rechnungslegung sowie interne Rechnungslegungskontrollen, Wirtschaftsprüfungsdelikte, Korruption, Banken- und Finanzkriminalität sowie verbotene Insidergeschäfte),
- Menschenrechte (z.B. Ausnutzung günstiger Produktionsbedingungen im Ausland durch in Kauf genommene Kinderarbeit) oder Umweltschutzbelange,
- Interne sonstige Ethikregeln.
Neben datenschutzrechtlichen Aspekten sind vor allem betriebsverfassungsrechtliche Mitbestimmungsrechte von Betriebsräten zu beachten.
Whistleblowing und Datenschutz
Bei der Angabe von Verstöße gegen Verhaltensregeln werden – je nach Ausgestaltung des Meldesystems – zu der Beschreibung des Verstoßes ggf. auch personenbezogene Daten (etwa Name, Abteilung und Position im Unternehmen) folgender Betroffenengruppen erhoben, verarbeitet und genutzt:
- Meldender
- Beschuldigte(r).
Zu beachten ist in diesem Zusammenhang, dass eine anonyme Meldung (datenschutz-) rechtlich problematisch ist, da so Nachfragen über den angezeigten Sachverhalt nicht möglich sind. Außerdem kann bei anonymer Vorgehensweise das Transparenzgebot nicht eingehalten werden.
Darüber hinaus kann es sein, dass eine Weiterleitung der Daten an das Mutterunternehmen oder andersartig verbundene Unternehmen erfolgt, auch wenn diese ihren Sitz in den USA bzw. sogenannten „Nichtsicheren Drittstaaten“ haben (Bsp.: Das Mutterunternehmen verlangt die Daten generell – unabhängig von einem tatsächlichen Verhaltensverstoß –).
Solange die Daten im Unternehmen selbst verbleiben, aber in einer anderen Abteilung (und nicht bei Dritten im Sinne des § 3 Abs. 8 S. 2 BDSG), handelt es sich nicht um eine Übermittlung im Sinne des BDSG, so dass eine Rechtsgrundlage für das Weiterleiten nicht erforderlich ist.
Die Einführung eines Whistleblowing-Meldeverfahrens unterliegt der Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten nach § 4d Abs. 5 BDSG.
Datenschutzrechtliche Probleme
Whistleblowing bedarf hinsichtlich mehrerer datenschutzrechtlicher Aspekte besonderer Betrachtung. Die Probleme können hier allerdings nur kurz umrissen werden. Eine ausführliche Stellungnahme des Düsseldorfer Kreises zum Thema Whistleblowing finden Sie hier.
Auftragsdatenverarbeitung
Schon bei der Datenerhebung selbst sind datenschutzrechtliche Besonderheiten zu beachten. Wird das Whistleblowing-System nämlich von einem externen Anbieter betrieben (z.B. externe Telefonhotline), handelt es sich ggf. um eine Auftragsdatenverarbeitung, so dass die erhöhten Anforderungen des § 11 BDSG erfüllt sein müssen.
Rechtsgrundlage
Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten ist nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder die Einwilligung des Betroffenen vorliegt (§ 4 Abs. 1 BDSG).
Soweit eine deutsche Gesellschaft Whistleblowing in Ausübung ihres Direktionsrechts einführt, kann dies ggf. als für die Durchführung des Beschäftigungsverhältnisses erforderlich angesehen werden (§ 32 Abs. 1 S. 1 BDSG).
Als Rechtsgrundlage für eine Meldung an eine zentrale Konzernstelle kann in den vorliegenden Fällen § 28 Abs. 1 S. 1 Nr. 2 BDSG herangezogen werden. Der Einsatz von Whistleblowing-Systemen dient zur Wahrung berechtigter Interessen des Unternehmens bzw. Konzernes an der Verhinderung von Straftaten, Korruption oder Verhaltensverstößen. Allerdings dürfen keine schutzwürdigen Interessen der Betroffenen entgegenstehen. In diesem Zusammenhang ist die Gefahr von Mobbing, Stigmatisierung oder Viktimisierung zu berücksichtigen. Hier kommt es insoweit auf die konkrete Ausgestaltung des Melde- und weiteren Verfahrens an. So sollten z.B. Beschuldigte über die Anzeige informiert werden, sobald keine „Verdunkelungsgefahr“ (mehr) besteht, also keine Gefahr möglicher Beweisvernichtung gegeben ist. Die Person des Anzeigenden sollte der Beschuldigte in der Regel nicht erfahren.
Eine weitere Rechtsgrundlage in Form einer Rechtsvorschrift kann eine wirksame Betriebsvereinbarung sein.
Wenig geeignet ist die individuelle Einwilligung der Mitarbeiter als Legitimation für die Einführung von Whistleblowing-Sytemen. Zum einen ist das Einholen individueller Einwilligungserklärungen praktisch schwer umsetzbar. Zum anderen krankt diese Lösung an den Zweifeln an der Freiwilligkeit der Einwilligungen.
Mitbestimmungsrecht des Betriebsrates
Bei Verfahren, die eine Leistungs- und Verhaltenskontrolle ermöglichen, ist gemäß § 87 Abs. 1 Nr. 1 BetrVG der Betriebsrat zu beteiligen. Fehlt es an der Beteiligung des Betriebsrates, ist die eingeführte Technik rechtswidrig und kann ggf. vom Betriebsrat durch einen Unterlassungsanspruch unterbunden werden.
Verstoß gegen deutsches Arbeitsrecht
Darüber hinaus droht ein Verstoß gegen deutsches Recht, wenn der Arbeitgeber selbst unter Verdacht steht, gegen die Verhaltensregeln zu verstoßen. Der Arbeitnehmer ist arbeitsvertraglich nämlich zur Verschwiegenheit gegenüber seinem Arbeitgeber verpflichtet. Er verletzt also ggf. seine arbeitsvertragliche Treu- und Verschwiegenheitspflicht, wenn er Personen außerhalb des Unternehmens (Öffentlichkeit, Strafverfolgungsbehörden) einen angeblichen Verstoß des Arbeitgebers gegen Verhaltensregeln anzeigt.
Beschluss der EU-Datenschutzgruppe
Die EU-Datenschutzgruppe hat am 31. Januar und 1. Februar 2006 in Brüssel unter der Schirmherrschaft des Bundesbeauftragten für Datenschutz getagt. Dabei war einer der Schwerpunkte, Whistleblowing-Systeme datenschutzkonform, also in Einklang mit der EG-Richtlinie 95 auszugestalten. Dies war notwendig geworden, da die nationalen Behörden unterschiedliche Meinungen zur Auslegung dieser Richtlinie vertraten.
Stellungnahme der ARTIKEL-29-Datenschutzgruppe 1/2006 zur Anwendung der EU-Datenschutzvorschriften
Eine der Kernaussagen der Gruppe ist dabei, dass Whistleblowing grundsätzlich nur subsidiär eingesetzt werden sollte, da es keinen vollkommenen Ersatz für ein optimiertes inneres Management sowie für reguläre Informationskanäle darstellen kann.
Ferner sollte stets überprüft werden, ob der Anwendungsbereich und der Kreis der durch mögliche Anzeigen betroffenen Personen in Bezug auf die letztlich verfolgten Zwecke begrenzt wird.
Außerdem sollte der Schutz des Anzeigenden durch Vertraulichkeit gewährleistet werden. Anonyme Anzeigen sollten grundsätzlich vermieden werden, um Missbrauchsfälle einzuschränken.
Schließlich dürfen nach der Stellungnahme nur die Informationen verarbeitet werden, die für die weitere Bearbeitung der Anzeige auch wirklich notwendig sind. Nach dem Abschluss der Untersuchung sollten die gespeicherten Daten innerhalb von zwei Monaten gelöscht werden. Eine längere Speicherung ist nur dann zulässig, wenn die Einleitung rechtlicher Schritte notwendig ist.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de