rating service  security service privacy service
 
2012/12/27 Whistleblowing trotz Auflagen problematisch
MMag. Michael Krenn
Whistleblowing ein zentrales Thema im internationalen Datenverkehr - Für Unternehmen verpflichtend? - Aktuelle Entscheidung der Datenschutzkommission (DSK) grenzt Zulässigkeit ein

Worum handelt es sich bei Whistleblowing?

Whistleblowing soll Mitarbeitern, Kunden, Lieferanten oder sonstigen Personen die Möglichkeit bieten, gravierende Missstände, meist anonym, aufzudecken, damit diese behoben werden. Oftmals sind Whistleblowing-Systeme als elektronische Plattformen, anonyme Briefkästen oder Hotlines realisiert.

Zunehmende Bedeutung durch internationalen Datenverkehr

In den vergangenen Jahren wurden europäischen Tochterunternehmen von US-Konzernmuttergesellschaften vermehrt „Codes of Conduct“ – die Einhaltung unternehmensinterner Verhaltensbestimmungen - abverlangt. Diese enthalten häufig die Verpflichtung zur Meldung von Fehlverhalten von Mitarbeitern über ein Whistleblowing-System an die Konzernmutter.

Der Ursprung liegt im „Sarbanes-Oxley-Act“ der USA. Dieser schreibt Unternehmen, auch ausländische, sofern sie oder ihre Muttergesellschaften an US-Börsen notiert sind, die Einrichtung interner Kontrollmaßnahmen vor, um Fehlverhalten im Bereich des Rechnungs- oder Bankwesens und der Wirtschaftskriminalität innerhalb des Unternehmens aufzudecken.

In Hinblick auf die EU-Datenschutzrichtlinie sind derartige Systeme fragwürdig. Übermittlungen in die USA sind grundsätzlich genehmigungspflichtig, es sei denn die Empfängergesellschaft in den USA habe sich zur Einhaltung der Regeln des "Safe Harbor" verpflichtet. In diesen Fällen bleibt der Datenschutzkommission – wie in der hier besprochenen Entscheidung (K506.237-020/0002-DVR/2012) - die Möglichkeit im Rahmen ihrer Verpflichtung zur Vorabkontrolle, Auflagen für die Übermittlung zu erteilen.


Meldung an das Datenverarbeitungsregister - DSK erteilt Auflagen

Nachdem ein Unternehmen eine Meldung für eine Datenanwendung mit der Bezeichnung "Whistleblowing-Hotline" beim Datenverarbeitungsregister (DVR) eingebracht hatte, wurde diese im Rahmen der Vorabkontrolle von der DSK geprüft. Eine interne Hotline zur Bekanntgabe mutmaßlicher Missstände an die Konzernmutter in den USA, die sich zu "Safe Harbor" verpflichtet hatte, sollte von einem Dienstleister in den USA betrieben werden der ebenfalls "Safe Harbor" Mitglied war. Über diese Hotline sollten wahrgenommene Missstände auf Empfehlung des Arbeitgebers laufend durch Mitarbeiter gemeldet, und vom Betreiber elektronisch aufgezeichnet werden. Nach Auffassung der DSK betraf diese Datenanwendung strafrechtlich relevante Daten. Gemäß § 18 Abs. 2 Z DSG 2000 erteilte sie im Rahmen der Vorabkontrolle per Bescheid Auflagen an das Unternehmen.


DSK verlangt Dienstleister-Vereinbarung

Die Aufzeichnung der Meldungen durch den Hotline-Betreiber ist laut DSK eine Dienstleistung für die Antragstellerin. Dementsprechend sind Vereinbarungen, wie der Dienstleister mit den für die Antragstellerin ermittelten Daten zu verfahren hat, abzuschließen. Die DSK legte dabei fest, dass die Betreiberin der Hotline nur Meldungen an die Konzernzentrale in den USA weitergeben  dürfe, sofern diese leitende Angestellte betreffen die eines maßgeblichen Verstoßes beschuldigt werden. Weitere über die Hotline eingebrachte Meldungen dürfen ausschließlich der österreichischen Unternehmung zugänglich gemacht werden. Der Inhalt von Meldungen sei, nach der Übermittlung an die Konzernmutter bzw. nach ihrer Rück-Überlassung an die Antragstellerin beim Dienstleister umgehend zu löschen.


Übermittlung nur für Daten von Führungskräften zulässig

Voraussetzung für jede Übermittlung muss laut DSK überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis der Verstöße gegen konzerninterne Verhaltensregeln sein. Die Übermittlung von Daten über Missstände, zum Zweck der Aufklärung und Untersuchung, an die Konzernmutter, ist sachlich zu rechtfertigen. Solange der Zweck bei der Antragstellerin selbst erreicht werden könne, wäre eine weitere Übermittlung unverhältnismäßig. Bei maßgeblichen Verstößen, die Führungskräften der Antragstellerin angelastet werden, anerkenne die DSK das Bestehen eines überwiegenden berechtigten Interesses an der Datenübermittlung an die Konzernspitze. Die Meldung von Vorfällen, die keine leitenden Angestellten betreffen wäre nur dann zulässig, wenn die Vorgesetzten ihre Aufsichtspflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.


Ergänzende Bedingungen

Weiters bedarf die Übermittlung von Daten über Missstände, angesichts ihres hohen Schadenspotentials für den Beschuldigten, nach Meinung der DSK, besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten.

a) Die mit der Bearbeitung von Meldungen betraute Stelle ist von den anderen Konzernstellen strikt getrennt und hat nur Personen als Mitarbeiter, die besonders geschult und ausdrücklich verantwortlich für die Vertraulichkeit der gemeldeten Daten sind.

b) Die Antragstellerin lässt anonyme Meldungen zwar zu, fördert sie aber nicht, sondern sichert vielmehr den Meldern volle Vertraulichkeit hinsichtlich ihrer Identität zu, wenn sie diese angeben.

c) Die Beschuldigten haben grundsätzlich Zugang zu den Anschuldigungen und können dazu Stellung beziehen.

d) Die Identität des Meldenden wird nur dann offengelegt, wenn sich nachträglich herausstellt, dass die Anschuldigung bewusst falsch erhoben wurde.

e) Die eingemeldeten Daten werden spätestens 2 Monate nach Beendigung der Untersuchung gelöscht.

f) Die Mitarbeiter wurden arbeitsvertraglich zur Einhaltung des vorgelegten "Standard Operating Procedure" und zur Meldung an den Arbeitgeber über wahrgenommene Verstöße gegen diesen Code verpflichtet.


Fazit: Whistleblowing bleibt problematisch

Die Problematik der genannten Hotlines besteht darin, dass es sich bei den verarbeiteten Daten um unbewiesene Behauptungen handelt. Die Veröffentlichung derartiger Daten kann das Ansehen und Fortkommen der Betroffenen sowohl privat als beruflich schwer beeinträchtigen. Die Grenze zur „Vernaderung“ ist leicht überschritten.

Mit ihrer Entscheidung macht die DSK klar, dass die Zulässigkeit der durch die US-Gesetzgebung vorgeschriebenen Maßnahmen keinesfalls selbstverständlich ist. Es ist nicht klar erkennbar, weshalb derartige Fälle nicht durch die nationalen Unternehmungen selbst behandelt werden können, die ja rechtlich eigenständig sind. Aus diesem Grunde resultiert die Einschränkung der DSK der Zulässigkeit auf Daten von Führungskräften. Mit den ergänzenden Auflagen trägt sie der Befürchtung einer missbräuchlichen Verwendung der Daten Rechnung.

Für die betroffenen Unternehmen bedeutet die Situation eine Herausforderung. Die US-Bestimmungen sehen eine weitergehende Übermittlung als nunmehr durch die DSK für zulässig erachtet wurde, vor. Für die betroffenen Unternehmen bedeutet dies in letzter Konsequenz, dass die Möglichkeit offen bleibt, in jedem Verhaltensfall gegen Bestimmungen zu verstoßen - entweder gegen europäisches Datenschutzrecht oder gegen amerikanische Wirtschaftsbestimmungen.

mehr --> DSK: K506.237-020/0002-DVR/2012
Archiv --> DSK genehmigt Weitergabe von "whistle blowing"-Daten in die USA
andere --> derstandard.at: Arbeitsrecht kann Whistle-Blowing erschweren
andere --> Kurier: Whistleblowing: Helfer im Kampf gegen Korruption
andere --> Wikipedia: Whistleblower
andere --> derStandard.at: Telekom Austria startet "Whistleblowing"-Plattform

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster