rating service  security service privacy service
 
2009/02/11 DSK genehmigt Weitergabe von "whistle blowing"-Daten in die USA
Entgegen der Empfehlung der EU-Datenschutzgruppe (Art. 29-Gruppe) wird Datenweitergabe genehmigt - Weitergabe von Mitarbeiterdaten an US-Callcenter im Rahmen von "whistle blowing"-Systemen - DSK gibt US-Gesetzgebung gegenüber europäischen Empfehlungen den Vorrang - DSK misstraut offenbar österreichischen Unternehmen

"whistle blowing", verpfeifen, urösterreichisch "vernadern", erlebt seit einigen Jahren eine durchaus auch kritisch anzusehende Renaissance. Mitarbeiter sollen Missstände oder das was sie dafür halten, unter Umgehung von Dienstwegen "nach oben" melden.

In den vergangenen Jahren wurden durch europäische Tochterunternehmen von US-Konzernmuttergesellschaften vermehrt „Codes of Conduct“ – unternehmensinterne Verhaltensbestimmungen - eingeführt. Diese enthalten häufig die Verpflichtung zur Meldung von Fehlverhalten von Mitarbeitern über ein Whistleblowing-System an die Konzernmutter.

Der Ursprung liegt im sogenannten „Sarbanes-Oxley Act“. Dieser schreibt auch ausländischen Unternehmen, sofern sie oder ihre Muttergesellschaften an US-Börsen notiert sind, die Einrichtung interner Kontrollmaßnahmen vor, um Fehlverhalten im Bereich des Rechnungs- oder Bankwesens und der Wirtschaftskriminalität innerhalb des Unternehmens aufzudecken. Eine neue Entscheidung der DSK befasst sich mit der Frage der Zulässigkeit derartiger Daten-Übermittlungen. Dabei wurden die Empfehlungen der Art. 29-Datenschutzgruppe nicht eingehalten.


Anlassfall

Die Österreich-Tochter eines internationalen Konzerns hatte eine Genehmigung zur Übermittlung von personenbezogenen Daten über Mitarbeiter an die Konzernmutter in die USA beantragt. Umfasst waren davon Daten über Verstöße gegen den "Code of Business Conduct of the group of companies", den internen „Compliance-Codex“ des Konzerns.

Die Übermittlung dieser Daten sollte unter Zuhilfenahme einer Hotline geschehen, die zur Meldung mutmaßlicher Missstände für den gesamten Konzern eingerichtet ist und von einem von der Muttergesellschaft beauftragten US-Unternehmen als Dienstleister betrieben wird.

Damit österreichische Firmen personenbezogene Daten an einen US-Dienstleister überlassen dürfen, ist eine Genehmigung zum internationalen Datenverkehr notwendig. Der ursprüngliche Antrag sah vor, dass Meldungen über schwere Missstände in Konzernunternehmen ("serious incidents") von der US-amerikanischen Muttergesellschaft selbst weiterbearbeitet werden sollten. Meldungen, die nur leichte Verfehlungen betreffen, sollten von der US-Muttergesellschaft als Service für die übrigen Konzerngesellschaften gespeichert und nur der betroffenen Tochtergesellschaft zur weiteren Bearbeitung zur Verfügung gestellt werden.

In einer ergänzenden Klarstellung zum Antrag wurde der Übermittlungsumfang ausdrücklich auf Daten über schwerwiegende Missstände eingeschränkt. Begründet wurde dies mit dem Hinweis, dass nach dem 2002 erlassenen US Sarbanes-Oxley Act die rechtliche Verpflichtung für an US-Börsen notierende Unternehmen bestünde, besondere Verfahren zur Meldung von solchen Missständen eingerichtet zu haben.

Zum Betrieb der Hotline wurden im Antrag besondere organisatorische Vorkehrungen zum Schutz von Betroffenenrechten genannt. Die mit der Bearbeitung von Meldungen betraute Stelle ist von den anderen Konzernstellen strikt getrennt und hat Personen als Mitarbeiter, die besonders geschult und für die Vertraulichkeit der Meldedaten verantwortlich sind.


Entscheidung der DSK

Die Aufzeichnung der Meldungen durch den Hotline-Betreiber wäre daher eine Dienstleistung nach §10 DSG 2000. Es muss daher gesondert vereinbart werden, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat. Die Verpflichtung zum Abschluss einer derartigen Vereinbarung mit einem vorgegebenen Inhalt wurde im Bescheid als aufschiebende Bedingung der Genehmigungserteilung für die Übermittlung von Missbrauchsdaten an die Muttergesellschaft auferlegt.

Weiters hält die DSK fest, dass für die Mitarbeiter der Antragstellerin konzerninterne Regeln rechtliche Relevanz durch ihren Arbeitsvertrag bekämen, in dem die Verpflichtung zur Einhaltung der konzerninternen Verhaltensregeln als Weisungen des Arbeitgebers bedungen wurde. Verstöße gegen diese Verhaltensregeln würden daher auch arbeitsrechtlich relevant sein, sodass dem Arbeitgeber ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen sei.

Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln ist nach DSK-Auffassung hingegen nicht anzunehmen, da dies unverhältnismäßig sei. Im Umfang der Meldung von schwerwiegenden Verstößen ("serious incidents"), die Mitarbeitern der Antragstellerin in Führungspositionen angelastet werden, anerkennt die Datenschutzkommission das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze. Nur auf diese Weise ist mit hinlänglicher Sicherheit eine objektive Aufklärung der erhobenen Vorwürfe zu erwarten.


Genehmigung steht im Gegensatz zur EU-Datenschutzgruppe

Die Art. 29 Datenschutzgruppe als Beratungsgremium der Europäischen Union hatte in einer Stellungnahme auf Grundlage der Datenschutzrichtlinie 95/46/EG Anforderungen für die Einführung von anonymen Whistleblowingsystemen formuliert, bei deren Erfüllung Unternehmen auch europäischen Datenschutzbestimmungen genüge tun sollen.

Die unternehmensinterne Überprüfung der Einhaltung bestehender Gesetze rechtfertigt nach Auffassung der Art 29-Gruppe zwar grundsätzlich die Erhebung personenbezogener Daten. Jedoch sollen nur Hinweise zu Straftaten und Pflichtverletzungen erlaubt werden. Weiters ist es wesentlich, dass die meldende Person angemessen geschützt wird, indem die Anonymität garantiert wird und Dritte daran gehindert werden, ihre Identität in Erfahrung zu bringen.

Ungerechtfertigte Beschuldigungen hingegen sollen möglichst unterbunden oder zeitnah erkannt werden. Die Daten sollen einem möglichst kleinen Personenkreis zugänglich sein und möglichst im Unternehmen verbleiben. Daher sollte der Zugriff nach Auffassung der Art. 29-Gruppe individuell berechtigt und nicht auf externe Call-Center ausgelagert werden, insbesondere nicht in Drittstaaten, die kein angemessenes Datenschutzniveau garantieren (darunter fällt auch die USA). Das System zur Meldung von Missständen sollte weiters streng von anderen Abteilungen des Unternehmens getrennt werden, jedenfalls von der Personalabteilung.


DSK-Entscheidung unterstellt österreichischen Firmen Korruptionsanfälligkeit

Positiv am DSK-Bescheid ist, dass keine uneingeschränkte Übermittlung an die Konzernmutter genehmigt wurde. Ein US-Callcenter für die Meldung kleinerer Missstände die innerhalb eines österreichischen Unternehmens auftreten, zu genehmigen widerspricht jedoch den EU-Datenschutzempfehlungen und zeigt, dass die DSK nicht bereit ist, aus dem SWIFT-Desaster Konsequenzen zu ziehen. Wie bekannt wurden europäische Banktransferdaten von SWIFT an einen US-Dienstleister ausgelagert. Um anschließend - unter zu Hifenahme gehöriger Erpressung - bei US-Behörden zu landen.

Sind die österreichischen Mitarbeiterdaten einmal in den USA, dann haben weder das österreichische Unternehmen, noch die DSK die geringste Kontrolle unter welchen rechtlichen oder "informellen" Bedingungen die Daten weiter wandern. Die §10-Dienstleistervereinbarungen, die nach dem DSG abgeschlossen werden, sind in den USA nicht einmal ihr Papier wert.

Bei den Meldedaten, handelt es sich im ersten Schritt bloß um unüberprüfte Behauptungen, gelangen diese Daten in falsche Hände, kann die Reputation von Mitarbeitern auch dann unumkehrbar beschädigt sein, wenn sich die Vorwürfe schlussendlich als haltlos herausstellen. Die Rufschädigung kann umgekehrt auch die meldenden Personen treffen, die selbst bei anonymen Meldungen durch ihre Detailangaben von den angeschwärzten Personen identifiziert werden können und dann gezielten Repressionen oder Diffamierungen ausgesetzt sein können.

Es wäre der DSK ein Leichtes gewesen, einen Bescheid zu erlassen, der sowohl grundrechtskonform ist, als auch den Interessen an der Aufdeckung von Firmenmissständen dient. Die neudeutschen "whistle blowing"-Systeme gibt es in den meisten österreichischen Unternehmen längst als innerbetriebliches Beschwerdewesen. Zur Bearbeitung dieser Beschwerden waren bisher in keinem Fall externe Dienstleister erforderlich. Die DSK misstraut offenbar dem Willen österreichischer Frührungskräfte, innerbetriebliche Missstände zu beseitigen und liefert sie lieber augenzwinkernd den US-Müttern aus.

mehr --> DSK-Bescheid K178.274/0010-DSK/2008

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster