11 Jan Strenger Datenschutz für Whistleblower
Bei der Einführung von Systemen zur Meldung von Missständen müssen Unternehmen auf die Datensicherheit für Hinweisgeber achten
Hinweisgebersysteme etablieren sich zunehmend als fester Bestandteil von Compliance-Systemen. Die bisher probeweise betriebene „Whistleblower-Hotline“ bei der Wirtschafts- und Korruptionsstaatsanwaltschaft (WKSta) wurde zum Jahreswechsel gesetzlich verankert und wird damit zur Dauereinrichtung.
Ein internetbasiertes System ermöglicht dabei die – auch anonyme – Anzeige von Straftaten in den Bereichen Wirtschaftskriminalität und Korruption. Auch die Finanzmarktaufsicht (FMA) betreibt bereits seit Anfang 2014 ein ähnliches Hinweisgebersystem, das Whistleblowern zur Aufdeckung von Verstößen gegen das Finanzaufsichtsrecht zur Verfügung steht.
Während derartige externe Hinweisgebersysteme damit nachhaltig Fuß gefasst haben, existiert in Österreich keine generelle gesetzliche Verpflichtung für Unternehmen zur Einrichtung interner Hinweisgebersysteme.
Anders als in anderen Ländern, die eine solche Verpflichtung bei Überschreiten bestimmter Mitarbeiterzahlen vorsehen – z. B. Slowakei ab 50 Mitarbeiter, Serbien ab zehn (!) -, besteht in Österreich eine entsprechende Verpflichtung nur im Finanzdienstleistungssektor: Zwar waren auch österreichische Unternehmen, die an einer US-Börse notieren oder Teil eines US-börsennotierten Konzerns sind, schon bisher aufgrund der amerikanischen Rechtslage zur Einrichtung eines internen Meldesystems verpflichtet.
Im österreichischen Recht sieht aber nur das Bankwesengesetz die Einrichtung „angemessener Verfahren“ vor, die es Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglichen müssen, betriebsinterne Verstöße gegen bestimmte bankrechtliche Aufsichtsregelungen an eine „geeignete Stelle“ zu melden.
Dieser Ansatz wird nunmehr durch die EU-Marktmissbrauchsverordnung (MAR) fortgeschrieben, die die Mitgliedstaaten ab 3. Juli 2016 verpflichtet, für alle Arbeitgeber, die in Bereichen tätig sind, die durch Finanzdienstleistungsregulierung geregelt, eine entsprechende Verpflichtung vorzusehen.[br_tc]Interne Hinweisgebersysteme
Aber auch Unternehmen anderer Wirtschaftszweige vertrauen ganz ohne gesetzliche Verpflichtung vermehrt auf interne Hinweisgebersysteme. Die Vorteile liegen auf der Hand: Das Management erhält idealerweise frühzeitig Kenntnis von Missständen, was eine angemessene Reaktion ermöglicht.
Die Mitarbeiter wiederum erhalten einen vertraulichen Kommunikationskanal zur Meldung von Missständen und Fehlverhalten im Unternehmen, ohne sich an externe Stellen (Staatsanwaltschaft, Aufsichtsbehörden etc.) wenden zu müssen. Interne Hinweisgebersysteme komplettieren daher Compliance-Systeme und stellen die Grundlage für ein erfolgreiches Risikomanagement dar.
Der Betrieb von Hinweisgebersystemen geht naturgemäß immer mit der Verarbeitung personenbezogener Daten einher. Namen und Kontaktdaten des Hinweisgebers selbst, der Beschuldigten und allfälliger Zeugen sowie der gemeldete Missstand, werden in der Meldung erfasst und an die Meldestelle weitergegeben.
Da auch potenziell strafrechtswidrige Daten verarbeitet werden, ist die Datenanwendung nicht nur im Datenverarbeitungsregister (DVR) zu melden, sondern bedarf der Genehmigung der Datenschutzbehörde (DSB) vor Inbetriebnahme des Hinweisgebersystems.
Mit der Meldung beim DVR hat das Unternehmen auch zu bestätigen, die gesetzlich vorgeschriebenen Maßnahmen zur Gewährleistung der Datensicherheit getroffen zu haben. Dabei ist insbesondere auf den Umfang und Zweck der Datenverwendung sowie auf den Stand der technischen Möglichkeiten Bedacht zu nehmen.
Meldungen können naturgemäß hoch sensible Daten darstellen, die im Falle ihrer Kompromittierung sowohl für das Unternehmen, als auch für Hinweisgeber und Beschuldigten äußerst unangenehme Folgen haben können. Hinweisgebersysteme haben daher ein hohes Maß an Datensicherheit sicherzustellen.
Online-basierte Systeme: Das klassische E-Mail-Postfach ist aufgrund der technischen Auslesbarkeit unverschlüsselter E-Mails nur noch bedingt geeignet. Demgegenüber zeichnen sich onlinebasierte Hinweisgebersysteme dadurch aus, dass sie dem Hinweisgeber eine verschlüsselte und sichere Kommunikation mit der Meldestelle ermöglichen und auch Meta-Daten, die Rückschlüsse auf die Identität des Hinweisgebers zulassen könnten, gezielt unterdrücken oder entfernen können.