Lade Inhalt...

Datenschutzkonforme Ausgestaltung von Whistleblowing-Hotlines

Anforderungen an den grenzüberschreitenden Datenverkehr

Bachelorarbeit 2012 95 Seiten

BWL - Recht

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abstract

1.Einleitung
1.1 Whistleblowing-Hotlines und Datenschutz
1.2 Abgrenzung der Thematik von bestehender Literatur
1.3 Gang der Untersuchung

2. Abgrenzung: Whistleblowing, Whistleblowing-System und Whistleblowing-Hotline
2.1 Das Whistleblowing
2.1.1 Begriffsdefinition und Charakteristika
2.1.2 Rollen innerhalb des Whistleblowing-Prozesses
2.1.3 Ungesteuertes vs. gesteuertes Whistleblowing
2.2 Das Whistleblowing-System
2.2.1 Begriffsdefinition und Inhalt des Whistleblowing-Systems
2.2.2 Arten von Whistleblowing-Systemen
2.3 Begriffsdefinition und Inhalt der Whistleblowing-Hotline

3. Whistleblowing-Hotlines im Kontext des betrieblichen Compliance-Managements

4. Motivation für die Einrichtung einer Whistleblowing-Hotline

5. Das Bundesdatenschutzgesetz
5.1 Zweck und Anwendungsbereich des Gesetzes
5.2 Wichtige Begriffe und Prinzipien des BDSG
5.2.1 Betroffener
5.2.2 Erhebung, Verarbeitung und Nutzung
5.2.3 Verantwortliche Stelle
5.2.4 Empfänger
5.2.5 Datenexportierende Stelle und datenimportierende Stelle
5.2.6 Verhältnismäßigkeitsgrundsatz, Datenvermeidung und Datensparsamkeit
5.2.7 Grundsätzliches Verbot mit Erlaubnisvorbehalt
5.2.8 Prinzip der Zweckbindung
5.2.9 Auftragsdatenverarbeitung vs. Funktionsübertragung
5.10 Der Beschäftigtendatenschutz § 32 BDSG

6. Empfehlungen zur datenschutzkonformen Ausgestaltung eines Meldeverfahrens
6.1 Empfehlungen der Art-29-Gruppe
6.2 Die Empfehlungen des Düsseldorfer Kreises
6.3 Rechtsprechung zum Thema Whistleblowing-Systeme in Deutschland
6.4 Zwischenfazit - Datenschutzrechtliche Mindestanforderungen an eine Whistleblowing-Hotline

7. Datenschutzrechtliche Prüfung des Verfahrens
7.1 Bestimmung der Erlaubnisnorm
7.1.1 Voraussetzungen der Erlaubnisnorm
7.1.2 Datenschutzrechtliche Verhältnismäßigkeitsprüfung einer Whistleblowing-Hotline
7.2 Datenschutzrechtliche Besonderheiten bei der Beauftragung eines Externen
7.2.1 Der Begriff des Übermittelns
7.2.2 Anforderungen an die Übermittlung ins EU/EWR-Ausland
7.2.3 Zusammenfassendes Prüfschema zur Datenübermittlung

8. Kriterienkatalog

9. Datenschutzrechtliche Bewertung ausgewählter Fälle zur Auslagerung von Whistleblowing-Hotlines
9.1 Ausgangssituation
9.2 Fallkonstellation H
9.3 Fallkonstellation H1
9.4 FallZXkonstellation H2

10. Ausblick

Anhang

Literaturverzeichnis

Verzeichnis der Internetquellen

Sekundärliteratur

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 1 Überblick über monetäre und nicht-monetäre Nachteile

Abb. 2 Umgang mit personenbezogenen Daten

Abb. 3 Bestimmung der Verhältnismäßigkeit

Abb. 4 Verhältnismäßigkeitsabwägung

Abb. 5 Prüfschema zum grenzüberschreitenden Datenverkehr

Abb. 6 Data Protection Heatmap von Forrester gefiltert nach "Privacy and Data Protection by Country"

Abb. 7 Data Protection Heatmap von Forrester gefiltert nach EU Adequacy

Abb. 8 Fallkonstellation H

Abb. 9 Fallkonstellation H1

Abb. 10 Fallkonstellation H2

Tabellenverzeichnis

Tabelle 1 Übersicht über externe und interne Empfängerstellen

Tabelle 2 Vor- und Nachteile des anonymen und offenen Whistleblowings

Tabelle 3 Zulässigkeitsnormen im Überblick

Abstract

Interne Verfahren zur Meldung von Missständen (Whistleblowing-Hotlines) haben im Lichte verschärfter Kontrollpflichten an Popularität gewonnen. Gegenstand dieser Systeme sind Hinweise über illegale, illegitime und unmoralische Verhaltensweisen bzw. Fehlverhalten in Bezug auf interne Verhaltensrichtlinien. Derartige Systeme beruhen auf der Verarbeitung personenbezogener Daten natürlicher Personen, die im Zuge der Untersuchungen gesammelt, gespeichert, weitergegeben oder auf andere Weise weiterverarbeitet werden. Folglich können Whistleblowing-Systeme die Persönlichkeitsrechte der Betroffenen erheblich berühren und obendrein Nährboden für Denunziation sowie gezielte Schädigungshandlungen sein. Die Vermeidung eines unkontrollierten Datenkreislaufs hat deshalb höchste Priorität. Das BDSG setzt die entsprechenden datenschutzrechtlichen Grenzen, bei deren Überschreitung schwere Strafen drohen können. Vor diesem Hintergrund müssen diejenigen Entscheidungsträger im Unternehmen, welche ein Whistleblowing-System einrichten, betreiben oder auslagern möchten, in der Lage sein datenschutzrechtliche Anforderungen richtig umzusetzen.

Die Autorin problematisiert die Einrichtung und Auslagerung von Whistleblowing-Hotlines im Kontext datenschutzrechtlicher Vorgaben und definiert die Anforderungen an den grenzüberschreitenden Datenverkehr. Ergebnis der Untersuchung ist eine Zusammenfassung jener Eigenschaften, die eine Whistleblowing-Hotline aufweisen muss, damit das System mit dem BDSG konform geht.

1.Einleitung

1.1 Whistleblowing-Hotlines und Datenschutz

Whistleblowing-Hotlines (WB-Hs) sind von Unternehmen eingerichtete Verfahren zur Anzeige von Verstößen gegen externe bzw. interne Verhaltensvorschriften durch Angestellte.[1] Ziel ist es, dieses Fehlverhalten zu korrigieren.[2]

Derartige Meldesysteme haben ihren Ursprung in den USA.[3] Dort hatten Anfang des 21. Jahrhunderts spektakuläre Finanzskandale den Kapitalmarkt herbe erschüttert. Die Auswirkungen waren weltweit zu spüren. Seither ist es zu einer zunehmenden Sensibilisierung der Öffentlichkeit gegenüber unethischen und illegalen Geschäftspraktiken gekommen.[4] Infolgedessen initiierte der amerikanische Gesetzgeber das Sarbanes-Oxley Act (SOX). Dieser verpflichtet US-börsengelistete Unternehmen zur Einrichtung von Beschwerdeverfahren damit Unregelmäßigkeiten, insbesondere im Bereich der Buchhaltung und Bilanzierung, direkt bei der Konzernleitung angezeigt werden können.[5] Die Einhaltung der Vorgaben wird durch die Securities and Exchange Commission (SEC) überwacht. Auch deutsche Unternehmen sind unter bestimmten Voraussetzungen dem amerikanischen Bundesgesetz SOX verpflichtet und müssen nach amerikanischem Recht derartige Hotlines installieren.[6] In Deutschland existiert eine vergleichbare Gesetzespflicht jedoch nicht.[7] Dennoch betreiben hierzulande Unternehmen oftmals freiwillig, im Zuge des unternehmensweiten Compliance-Managements, derartige Hinweisgebersysteme.[8] Weil mit einer Anzeige stets die Erhebung und Verarbeitung personenbezogener Daten (pD) einhergehen, sind derartige Systeme datenschutzrechtlich relevant. Entsprechend ist die Rechtmäßigkeit eines Whistleblowing-Systems an strenge datenschutzrechtliche Bedingungen gebunden.[9]

Das Autorenpaar TINNEFELD und RAUHOFER formulieren die mit der Whistleblowing-Hotline (WB-H) einhergehende Verwendung personenbezogener Daten als „eine wichtige Kernfrage des Datenschutzes, [die] Einfluss auf ethische und informationsrechtliche Regelungen in transnationalen Arbeitskulturen“[10] nimmt.

Der Datenschutz in Deutschland wird durch das Bundesdatenschutzgesetz (BDSG) normiert. Ziel des Gesetzes ist die Sicherung der informationellen Selbstbestimmungen, einem Grundrecht, das sich aus Art. 1 GG Schutz der Menschenwürde und Art. 2 GG freie Entfaltung der Persönlichkeit ableitet.[11] Das BDSG setzt die Bestimmungen der EG-Datenschutzrichtlinie (95/46/EG) in nationales Recht um.[12] Darin verpflichten sich die Mitgliedstaaten der Europäischen Union zur Wahrung der Grundrechte und Grundfreiheiten und zum Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.[13] Sobald das Recht auf informationelle Selbstbestimmung tangiert wird, setzt das BDSG datenschutzrechtliche Grenzen, sofern kein anderes Gesetz vorrangig anwendbar ist.

Der Betrieb eines Hinweisgebersystems wird regelmäßig dieses Recht berühren, da über die Hotline pD i.S.d. § 3 (1) BDSG der meldenden Person, der beschuldigten Person und des entsprechenden Sachverhaltes kommuniziert werden.[14] Diese Daten werden im Rahmen des Whistleblowing-Systems bewertet und gegebenenfalls an andere Stellen übermittelt, beispielsweise an Konzernunternehmen, andersartig verbundene Unternehmen oder an außenstehende Dritte.[15] Prinzipiell können Daten an jeden Fleck der Erde übermittelt werden, schließlich sind die technischen Möglichkeiten nahezu grenzenlos.[16] SCHWARTZ weist in diesem Zusammenhang darauf hin, dass es keine standardisierte, internationale Definition personenbezogener Daten gibt. So können Daten, die in Deutschland geschützt sind, anderswo (z.B. in den USA) keinerlei Datenschutzbestimmungen unterliegen.[17] Da pD jedoch geschützt werden müssen, unabhängig davon, ob sie im Inland, im europäischen Ausland oder außerhalb der EU bzw. des EWR verarbeitet werden, muss der internationale Datentransfer durch strengere Anforderungen reguliert werden.[18] Seit dem 01.09.2009 gilt, dass die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten im Rahmen von WB-Hs nur unter den Voraussetzungen des § 32 BDSG zulässig ist.[19]

Entspricht die Datenübermittlung nicht den gesetzlichen Voraussetzungen, kann dies als Ordnungswidrigkeit mit Bußgeldern bis zu 300.000 EUR bzw. als Straftatbestand mit Freiheitstrafe geahndet werden (§§ 43, 44 BDSG).[20] Bei Fehlern im Beschäftigtendatenschutz drohen mitunter Rufschäden, Verlust von Kundenvertrauen, Bußgelder und Gewinnabschöpfung.[21]

1.2 Abgrenzung der Thematik von bestehender Literatur

Seinen Ursprung hat das Thema Whistleblowing im 19. Jahrhundert in den USA; entsprechend früh finden sich Veröffentlichungen im US-amerikanischen Schrifttum.[22] Die dortige Diskussion fand vor allem im Kontext psychologischer und rechtswissenschaftlicher Aspekte des Whistleblowings statt.[23] Auch in Deutschland findet das Thema vermehrt Aufmerksamkeit und wird zunehmend in Fachzeitschriften behandelt.[24] Hierzulande wird das Whistleblowing primär im Kontext des Gesellschaftsrechts, Arbeitsrechts, Strafrechts und Datenschutzrechts thematisiert.[25]

Beliebt sind insbesondere Fragestellungen rund um die verfassungs- und zivilrechtlich verankerten Rechte und Pflichten des Arbeitgebers und Arbeitnehmers beim Whistleblowing. So setzt sich die wissenschaftliche Literatur intensiv mit der Fragestellung auseinander, ob das Melden von Verstößen gegen den Willen des Arbeitgebers eine Verletzung arbeitsvertraglicher Pflichten darstellt und der Arbeitnehmer in der Konsequenz verhaltensbedingt gekündigt werden darf. Auch wird thematisiert, ob der Arbeitnehmer grundsätzlich von seinem Recht der freien Meinungsäußerung Gebrauch machen und brisante Hinweise nach außen tragen darf, ohne arbeitsrechtliche Sanktionen fürchten zu müssen. In diesem Kontext wird der vielfach geforderte Whistleblower-Schutz[26] oftmals zum Anlass individualrechtlicher Debatten genommen. Vor allem seit der Entscheidung des EGMR am 21.07.2011 (Urteil 28274/08) in der Sache Heinisch vs. Germany hat die Diskussion über den Whistleblower-Schutz in Deutschland erneut Aufschwung erhalten.[27] Andere Autoren setzen ihren Fokus in die entgegengesetzte Richtung und fragen danach, ob der Arbeitnehmer zum internen Whistleblowing verpflichtet werden darf, welche negativen Konsequenzen daraus folgen können und welche Mitbestimmungsrechte der Betriebsrat dabei hat.[28]

In der Organisationstheorie wird das Thema Whistleblowing als Bestandteil des betrieblichen Risikomanagements, Compliance-Managements und einer effektiven Corporate Governance[29] gesehen und in den Kontext der Ethikdiskussion gestellt.[30]

Seltener finden sich Beiträge, welche die strafrechtlichen Konsequenzen des Unterlassens einer Anzeige thematisieren. Die meisten derartigen Beiträge gehen auf das Obiter Dictum des BGH vom 17.7.2009 zurück.[31]

Daneben existieren einige spezifische Fachbeiträge zum Thema Whistleblowing-Hotlines und Datenschutz. Oft greifen die Beiträge die Empfehlungen der Art-29-Gruppe auf und legen dar, wie WB-Hs gesetzeskonform gestaltet werden können. Nur sehr wenige Beiträge gehen darauf ein, wie mit den Daten, die beim Whistleblowing erhoben werden, zu verfahren ist und welche Instrumente den grenzüberschreitenden Datenverkehr sicher machen. Die vorliegende Arbeit beschäftigt sich deshalb mit der zentralen Fragestellung, wie der grenzüberschreitende Datenverkehr im Rahmen von WB-Hs datenschutzkonform realisiert werden kann und welche Vorkehrungen zwischen einem Datenexporteur und Datenimporteur hierzu getroffen werden müssen. Es soll geklärt werden, durch welche Instrumente und Verträge eine WB-H auch an jene Staaten ausgelagert werden kann, die kein sicheres Datenschutzniveau (DSN) bieten. Hierzu wird auf die Thematik der Standardvertragsklauseln, der Binding Corporate Rules und der Safe-Harbor-Zertifizierung eingegangen.

Die vorliegende Arbeit ist keine abschließende Darstellung aller vorstellbaren Problemstellungen und erhebt daher keinen Anspruch auf Vollständigkeit. Ziel dieser Arbeit ist es, dem Leser, unter Beachtung des Datenschutzrechts, einen kompakten Überblick über die Probleme des Datenverkehrs zu geben und Lösungsmöglichkeiten aufzuzeigen wie WB-Hs datenschutzkonform betrieben bzw. ausgelagert werden können.

Die Analyse beschränkt sich auf Wirtschaftsunternehmen, die ihren Sitz in Deutschland haben und aus freiwilligen Gründen ein Whistleblowing-System implementieren und auslagern möchten. Bei der Einbindung von Externen in die Verarbeitung von Hinweisen beschränkt sich die Autorin auf Unternehmen, die ihren Sitz in einem EU/EWR-Staat oder in den USA haben. Andere Länder werden von der Analyse nicht explizit erfasst. Gegebenenfalls wird an geeigneter Stelle auf andere Länder, die Besonderheiten aufweisen, verwiesen. Auch ist die Problematik der sensitiven Daten i.S.d. § 3 (9) BDSG[32] nicht Bestandteil der Arbeit. Diese Arten personenbezogener Daten sollten in aller Regel nicht Bestandteil eines Meldesystems sein. In seltenen Fällen können jedoch auch Angaben über Herkunft, Glaube, Ideologie o.Ä. Anlass zur Hinweiserteilung sein, insbesondere dann, wenn die Gefahr besteht, dass das Gemeinwohl, die öffentliche Sicherheit bzw. das Leben dadurch gefährdet sind. Die entsprechenden Sachverhalte sind jedoch derart komplex und individuell, dass die datenschutzrechtliche Beurteilung an dieser Stelle nicht geleistet werden kann.

1.3 Gang der Untersuchung

Die vorliegende Arbeit ist in zehn Abschnitte gegliedert. Die Einleitung stellt den Kontext zwischen Whistleblowing-Hotlines und dem Datenschutz her und führt den Leser in die Problematik des Themas ein.

Im Anschluss an das einführende Kapitel werden in Kapitel 2 die inhaltlichen Unterschiede zwischen Whistleblowing, Whistleblowing-Systemen und Whistleblowing-Hotlines herausgearbeitet. Ziel ist es ein übergreifendes Verständnis für die Begriffe und deren Inhalte zu schaffen. In diesem Zusammenhang wird auf die jeweiligen Spezifika sowie an geeigneter Stelle auf ausgewählte Problemfelder eingegangen. Nach der Lektüre des Kapitels kennt der Leser den Unterschied zwischen Whistleblowing und Denunziation. Er weiß um die Probleme des ungesteuerten Whistleblowings und ist sodann in der Lage, Whistleblowing-Systeme entsprechend vorgegebener Merkmale zu gliedern sowie Für und Wider verschiedener Arten von Systemen zu diskutieren. Er kann Aussagen zur Whistleblowing-Hotline treffen und kennt verschiedene Möglichkeiten zu deren Betrieb.

Anschließend soll in Kapitel 3 das Whistleblowing in den Kontext des betrieblichen Compliance-Managements gestellt werden. Ziel ist es, anhand einschlägiger Rechtsnormen aufzuzeigen, weshalb Unternehmen zunehmend das Whistleblowing als integralen Bestandteil des Risiko- und Compliance-Managements verstehen.

In Kapitel 4 erfährt der Leser, welche Motive Unternehmen antreiben, Hinweisgebersysteme zu etablieren. Der Leser ist nach der Lektüre von Kapitel 3 und 4 in der Lage, die Potentiale und den Nutzen von Hinweisgebersystemen zu erkennen und diese im Unternehmenskontext einzuordnen.

Im Anschluss daran setzt sich die Verfasserin in Kapitel 5 mit den Grundlagen des deutschen Datenschutzrechtes auseinander. Ziel soll es sein, datenschutzrechtliche Grundkenntnisse aufzubauen, die eingesetzt werden können, um die datenschutzrechtlichen Anforderungen an eine Whistleblowing-Hotline abzuleiten. Hierzu sollen Zweck, Anwendungsbereich, die wichtigsten Begriffe und die wesentlichen Grundprinzipien des BDSG herausgearbeitet werden.

In Kapitel 6 werden die Empfehlungen der Art-29-Datenschutzgruppe, des Düsseldorfer Kreises und der Rechtsprechung an den Betrieb von WB-Hs zusammengefasst. Die Kenntnisse aus Kapitel 5 und 6 werden dazu eingesetzt, um die datenschutzrechtlichen Mindestanforderungen an eine Whistleblowing-Hotline zu definieren.

In Kapitel 7 werden die Zulässigkeitskriterien an die Verarbeitung pD, mit Blick auf die Neuerungen im Beschäftigtendatenschutz, benannt. Der Leser ist sodann in der Lage, die einschlägigen Erlaubnisnormen zu definieren und die daraus resultierenden Anforderungen abzuleiten. Er kann den Unterschied zwischen einer Verarbeitung im Inland, im EU/EWR-Ausland und im Drittland definieren und versteht die Instrumente, die den grenzüberschreitenden Datenverkehr rechtssicher machen.

Kapitel 8 fasst die zusammengetragenen Kenntnisse, in einem Kriterienkatalog, zusammen. Die darin enthaltenen Punkte, sollten Unternehmen bei der Installation bzw. Auslagerung einer Whistleblowing-Hotline umsetzen.

Gegenstand von Kapitel 9 ist die datenschutzrechtliche Beurteilung ausgewählter Fallkonstellationen zum Betrieb von Whistleblowing-Hotlines. Ziel ist es, anhand der Fallbeispiele juristische Fragestellungen aus dem Bereich des BDSG zu erkennen und die erworbenen Kenntnisse lösungsorientiert anzuwenden.

Die Arbeit schließt mit Kapitel 10, in welchem ein kurzer Ausblick in die weitere Entwicklung der Thematik gegeben wird.

2. Abgrenzung: Whistleblowing, Whistleblowing-System und Whistleblowing-Hotline

Auch wenn die Begriffe Whistleblowing, Whistleblowing-System und Whistleblowing-Hotline oftmals synonym[33] verwendet werden, so weisen die einzelnen Begriffe inhaltlich doch sensible Unterschiede auf: Spricht man vom Whistleblowing, so meint dies das Publizieren innerbetrieblicher Informationen an Dritte, losgelöst von jeglichen festen Kommunikationsstrukturen. Ein Whistleblowing-System ist hingegen ein Angebot seitens des Unternehmens, einen Hinweis über einen bestimmten Meldeweg abzugeben. WB-Hs sind eine besondere Ausprägungsform eines Whistleblowing-Systems.

Um ein gemeinsames Verständnis für die Begriffe und deren Inhalte zu schaffen, soll im Folgenden detailliert auf die jeweiligen Spezifika sowie an geeigneter Stelle bereits auf ausgewählte Problemfelder eingegangen werden.

2.1 Das Whistleblowing

2.1.1 Begriffsdefinition und Charakteristika

Der Begriff Whistleblowing stammt aus dem anglo-amerikanischen Rechtskreis und wird dort als „the disclosure by organization members (former or current) of illegal, immoral, or illegitimate practices under the control of their employers, to persons or organizations that may be able to effect action”[34], definiert. Seine etymologischen Wurzeln hat der Begriff im amerikanischen Ausdruck „to blow the/a whistle“; übersetzt wird dieser oftmals mit den Worten „die Pfeife spielen/blasen/trillern“, „ein Signal geben“ bzw. „Alarm schlagen“.[35] Übertragen steht der Begriff für das Publikmachen unmoralischer, illegitimer und rechtswidriger Verhaltensweisen in Organisationen, Unternehmen und Verbänden oder einzelner Personen.[36] Durch dieses Verhalten soll ein Bewusstsein für Gefahren, insbesondere aus rechtlich oder ethisch fragwürdigem Handeln, geschaffen werden. Ziel des Whistleblowings ist es, die als missständig begriffene Situation zu verbessern.[37] Nach der Auffassung von DEISEROTH sind vor allem vier Kriterien maßgebend, um einen Hinweis als echtes Whistleblowing einzustufen. Diese sind:

1. Revealing Wrongdoing: Bei der Mitteilung, die der Whistleblower macht, muss es sich um eine brisante Enthüllung handeln.[38] Diese Eigenschaft wird regelmäßig solchen Missständen oder Fehlentwicklungen zugeschrieben, die erhebliche Risiken für das Leben, die Gesundheit und die nachhaltige Entwicklung bzw. Sicherung der Ökosysteme bedeuten sowie das friedliche Miteinander der Menschen gefährden.
2. Going Outside: Mit Whistleblowing ist stets eine Meldung nach außen verbunden. In diesem Zusammenhang geht LOHRE davon aus, dass das „eigentliche Whistleblowing“[39] erst in Gang gesetzt wird, wenn der potenzielle Hinweisgeber nach der Konsultation von Kollegen bzw. Familienmitgliedern oder des Freundeskreises die Entscheidung trifft, in Aktion zu treten und andere innerbetriebliche oder externe Stellen zu informieren. Tendenziell wird sich der Whistleblower an externe Stellen wenden, wenn sein innerbetriebliches Alarmschlagen erfolglos war.[40]
3. Serving The Public Interest: Nach diesem Kriterium liegt Whistleblowing nur dann vor, wenn der Hinweis aus altruistischen Motiven zur Wahrung schutzwürdiger Rechtsgüter erfolgt und nicht der Realisierung eigener persönlicher oder ökonomischer Interessen dient.[41]
4. Risking Retaliation: Als letztes Kriterium weist DEISEROTH die Gefahr hin, dass der Whistleblower sich durch seinen Hinweis in eine Situation versetzt, die sowohl seine berufliche Laufbahn als auch seine persönliche Existenz gefährdet.[42]

Ob das letzte Kriterium tatsächlich erfüllt sein muss, um einen Hinweis als Whistleblowing einzustufen, soll in Frage gestellt sein. So bemühen sich insbesondere die USA um einen ausgeprägten Whistleblower-Schutz, der exakt jene Gefahr für den Whistleblower zu vereiteln versucht. Insbesondere seit Einführung des Dodd-Frank Act im Jahre 2010, wurde die rechtliche Position des Whistleblowers gestärkt. Seither kann dieser direkt auf gerichtlichem Wege gegen den Arbeitgeber vorgehen.[43] In Deutschland hingegen ist der Whistleblowerschutz, trotz zahlreicher Forderungen, noch nicht sehr weit vorangeschritten. Dennoch gibt es auch hierzulande einige Gesetze, welche die Rechte der hinweisgebenden Arbeitnehmer schützen.

Zusammenfassend lassen sich für das Whistleblowing vier konstituierende Eigenschaften ableiten: So muss der Whistleblower der Organisation angehören. Der beobachtete Missstand muss auf eine illegale, illegitime oder unmoralische Handlung durch Kollegen, Vorgesetzte oder den Arbeitgeber zurückzuführen sein. Außerdem wird durch den Hinweis kein eigener wirtschaftlicher Vorteil realisiert, vielmehr wird er aus altruistischen Motiven gegeben. Die Informationen müssen an Dritte offenbart werden, wobei die Empfängerstelle potenziell dazu geeignet ist, Einfluss auf die Situation zu nehmen und diese zu verbessern.[44]

2.1.2 Rollen innerhalb des Whistleblowing-Prozesses

Am Whistleblowing-Prozess sind mindestens vier Parteien beteiligt: Der Whistleblower, das Unternehmen, der Beschuldigte und die Empfängerstelle.[45] Deren Rolle soll im Folgenden kurz erläutert werden.

Whistleblower ist die Person, die den Hinweis gibt. Das im Deutschen am häufigsten verwendete Synonym ist „Hinweisgeber“. Nach LOHRE zeichnet sich der potenzielle Whistleblower durch ein ausgeprägtes Verständnis für Recht und Unrecht, Verantwortungsbewusstsein und Loyalität gegenüber dem Unternehmen aus. Er verfügt in der Regel über ein hohes Bildungsniveau, ein gutes Einkommen und ein gesundes Selbstbewusstsein.[46] Dem Whistleblower werden regelmäßig Vorurteile unterstellt. So wird ihm vorgeworfen, er würde arbeitsvertragliche (Neben-)Pflichten verletzen, das innerbetriebliche Vertrauensverhältnis gefährden und durch das Ausplaudern interner, sensibler und vertraulicher Informationen die Wettbewerbsfähigkeit des Unternehmens beeinträchtigen.[47] Mit diesen Vorwürfen gehen das Image des Nestbeschmutzers und die Stigmatisierung als Denunziant einher.[48] Häufig werden Whistleblower für ihr Verhalten sanktioniert, diskriminiert, schikaniert, gekündigt und bedroht.[49] Während in den USA der Schutz von Whistleblowern vor Entlassung oder sonstiger Diskriminierung in Sec. 806 SOX geregelt ist, mangelt es in Deutschland noch an entsprechenden Vorschriften.[50]

Deshalb kommt dem Unternehmen eine besondere Rolle im Whistleblowing-Prozess zu. Es sollte dem Whistleblower institutionellen Schutz bieten und persönliche Nachteile von ihm abwenden. Das Autorenpaar BERNDT und HOPPLER weisen ausdrücklich darauf hin, dass sich dieser institutionelle Schutz auch auf jene geäußerten Bedenken, die sich im Nachhinein als unbegründet herausstellen, erstrecken muss. Anderenfalls würde „dieses Instrument […] ins Leere“[51] laufen, schließlich könne man nicht erwarten, dass jeder Sachverhalt zutreffend bewertet wird.[52]

Beschuldigter ist der, dem ein illegales, illegitimes oder unmoralisches Verhalten zur Last gelegt wird. Grundsätzlich kann jedes Organisationsmitglied Beschuldiger sein. Die Autoren KYNRIM, KURZ und HAIDINGER erinnern daran, dass die Rechte des Betroffenen ebenso wichtig wie die Rechte des Hinweisgebers sind, denn auch er kann Opfer von Repressalien, Diskriminierung und ungerechtfertigter Kündigung werden.[53]

Empfängerstellen können sämtliche Stellen innerhalb und außerhalb des Unternehmens sein, die dazu geeignet, sind Missstandsvorwürfe zu überprüfen und Abhilfe herbeizuführen.[54] Innerbetrieblich können sie Compliance-Beauftragte oder andere speziell geschulte Mitarbeiter, der Arbeitgeber, die Geschäftsleitung oder der Aufsichtsrat sein. Nicht geeignet erscheint hingegen die Personalabteilung. Diese Regelung wird damit begründet, dass die Daten des Hinweisgebers und Betroffenen immer technisch und organisatorisch von anderen personenbezogenen bzw. personenbeziehbaren Daten aufbewahrt werden sollten.[55]

Je nach Kontext können sich als externe Stellen Aufsichts- und Strafverfolgungsbehörden, Gewerkschaften und Berufsverbände, Ombudsmänner, externe Berater, Journalisten, Massenmedien aber auch Politiker und andere Interessensgruppen eignen.[56] SCHULZ unterscheidet in diesem Zusammenhang nochmals zwischen jenen Gruppen, die berechtigt sind, Hinweise entgegenzunehmen (z.B. Staatsanwaltschaft oder Polizei), und sonstigen Dritten (z.B. Presse oder Verbänden).[57] Ein Unternehmen, das den SOX-Bestimmungen verpflichtet ist, sollte bei der Wahl der Empfängerstelle gewissenhaft agieren. Das SOX fordert echte Anonymität für den Hinweisgeber und schließt Ombudsmann-Systeme und ähnliche Verfahren aus.[58] Durch das externe Whistleblowing wird ein besonders starker Druck auf das Unternehmen ausgeübt.[59]

Quelle: Eigene Darstellung

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1 Übersicht über externe und interne Empfängerstellen

2.1.3 Ungesteuertes vs. gesteuertes Whistleblowing

Das Whistleblowing als unkontrollierter bzw. nicht gesteuerter Prozess birgt erhebliche Gefahren für das Unternehmen. So kann infolge einer vorschnellen Anzeige bei einer unternehmensexternen Stelle das Unternehmensimage beschädigt werden, woraus wiederum Wettbewerbsnachteile erwachsen können. Darüber hinaus drohen Bußgelder, Geldstrafen, Mehrerlösabschöpfungen, Börsenausschluss und andere monetäre Nachteile. Nicht zuletzt müssen jene Führungskräfte, die Regelverstöße zu verantworten haben, mit mehrjährigen Haftstrafen rechnen.[60] Abbildung 1 gibt einen Überblick über eine Auswahl negativer Konsequenzen.

Im Gegenzug kann ein geordnetes, innerbetriebliches Whistleblowing-System einen wertvollen Beitrag zur Schadensprävention, Reputationssicherung, Haftungsvermeidung und nachhaltigen bzw. rechtmäßigen Wertschöpfung der Organisation leisten. So können Risiken zeitnah identifiziert und Gegenmaßnahmen frühzeitig ergriffen werden.[61] Deshalb wird die Unternehmensleitung regelmäßig ein großes Interesse daran haben, Hinweise vorrangig innerbetrieblich zu klären.[62]

Quelle: Eigene Darstellung

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 Überblick über monetäre und nicht-monetäre Nachteile

Um das Risiko zu begrenzen, das dem Unternehmen durch ungesteuertes Whistleblowing erwächst, hat der Gesetzgeber in § 612 BGB festgelegt, dass die innerbetriebliche Klärung eines Hinweises eindeutig Vorrang vor der Hinweiserteilung an externe Stellen hat. Letzteres soll nur ausnahmsweise erfolgen, wenn eine innerbetriebliche Anzeige für den Arbeitnehmer unzumutbar ist oder wenn er eindeutige Informationen zu einer Straftat hat.[63] Wendet sich hingegen der Arbeitnehmer ohne triftigen Grund in erster Instanz an externe Stellen, so drohen ihm arbeitsrechtliche Konsequenzen und in schwerwiegenden Fällen eine fristlose Kündigung. Allerdings sind auch hier dem Arbeitgeber Grenzen gesetzt, wie der EGMR in seinem Urteil 28274/08 am 21.07.2011 entschied.[64]

2.2 Das Whistleblowing-System

Whistleblowing-Systeme sollen den Mitarbeitern einen einfachen Prozess zur Verfügung stellen, damit sich potenzielle Hinweisgeber zuerst an das Unternehmen wenden.[65] Im Folgenden werden Begriff und Inhalt des Whistleblowing-Systems näher definiert. Im Zentrum der anschließenden Betrachtung stehen die Arten von Whistleblowing-Systemen. Ziel ist es, einen Überblick über die vielfältigen Ausgestaltungsmöglichkeiten derartiger Maßnahmen zu geben.

2.2.1 Begriffsdefinition und Inhalt des Whistleblowing-Systems

Im Rahmen von Whistleblowing-Systemen werden abhängig Beschäftigte auf Basis von Ethikrichtlinien bzw. Verhaltensrichtlinien dazu angehalten, Fehlverhalten von Kollegen, Vorgesetzten oder dem Arbeitgeber anzuzeigen. Ziel eines Whistleblowing-Systems ist es, die Chancen des Whistleblowings bestmöglich zu nutzen. Dabei sollte für das Unternehmen stets die Korrektur des Fehlverhaltens im Vordergrund stehen.[66]

Unter Fehlverhalten i.e.S. sollen dolose Handlungen und Fehlverhalten im Zusammenhang mit Buchführung, Bilanzierung, internen Controlling-Maßnahmen, Wirtschaftsprüfung, Berichtswesen, Korruption, Bank- und Finanzkriminalität, Insiderhandel und Veruntreuung zusammengefasst werden. Fehlverhalten i.w.S. umfasst sämtliches Fehlverhalten, d.h. auch Verstöße gegen unternehmensinterne Verhaltenskodizes bzw. Ethikkodizes.[67]

Obgleich Verhaltenskodizes bzw. Ethikkodizes die Verpflichtung zum Whistleblowing begründen können, ist es fragwürdig, einen Verstoß gegen einen Kodex als Anlass zum Whistleblowing zu nehmen. So bedeuten Ethikkodizes in vielen Fällen „eine freiwillige Selbstverpflichtung und Selbstbeschränkung des Unternehmens auch dort, wo das Recht Freiräume gewährt“[68]. Im Hinblick auf die Effektivität eines Hinweisgebersystems sollte sich der sachliche Anwendungsbereich aber auf die Themen Rechnungs-, Finanz- sowie Bankwesen und Wirtschaftskriminalität beschränken.[69] Ansonsten läuft das Unternehmen Gefahr, dass das Whistleblowing-System als unzulässig erklärt wird.[70]

Ein spektakulärer Fall, in dem ein Whistleblowing-System als unzulässig erklärt wurde, betrifft McDonalds in Frankreich. Dort hatte die französische Aufsichtsbehörde, Commission Nationale de l'Informatique et des Libertés (CNIL), den Antrag auf ein Whistleblowing-System, das mitunter die Meldung von Verstößen gegen die Unternehmensrichtlinien vorsah, mit der Begründung, das System stünde in keinem Verhältnis zu den angestrebten Zielen und würde gegen das Prinzip der Datenverarbeitung nach Treu und Glauben verstoßen, abgelehnt.[71]

2.2.2 Arten von Whistleblowing-Systemen

Unabhängig davon, ob das Whistleblowing-System auf einer allgemeinen oder eingeschränkten Meldepflicht fußt, kann eine weitere Differenzierung nach:

- der unternehmensinternen vs. –externen Realisierung,
- anonymen vs. offenen Systemen,
- dem Kreis möglicher Hinweisgeber,
- der Art der Beteiligung Dritter und
- der Wahl der bereitgestellten Kommunikationsmittel vorgenommen werden.[72]

Außerdem könnte eine Differenzierung danach erfolgen, ob ein Anreizsystem zum Whistleblowing existiert oder nicht. Beispielsweise werden in den USA im Rahmen des Federal False Claims Acts, einem amerikanischen Bundesgesetz, Prämien an Whistleblower ausgezahlt. Da die Frage nach derartigen Provisionszahlungen in Deutschland weniger brisant erscheint, wird auf eine nähere Auseinandersetzung mit dem Thema Prämienzahlungen verzichtet.[73]

2.2.2.1 Internes vs. externes Whistleblowing-System

Die Frage nach dem internen bzw. externen Whistleblowing-System ist die Frage nach der datenempfangenden Stelle. Liegt diese innerhalb der Unternehmensgrenzen oder wurde der Adressat zur Entgegennahme von Hinweisen beauftragt, so spricht man von einem internen Whistleblowing-System.[74] Sind dagegen „Dritte in die Erfassung und Entgegennahme von Meldungen involviert“[75] spricht man von einem unternehmensexternen Verfahren.

2.2.2.2 Anonymes vs. offenes Whistleblowing-System

Während beim anonymen Whistleblowing-System der Hinweis ohne Offenlegung der eigenen Identität erfolgt, teilt der Hinweisgeber beim offenen Whistleblowing-System seine Identität mit und macht zumindest Angaben über seinen Namen.[76]

BREINLINGER und KRADER weisen darauf hin, dass mit der Etablierung und Nutzung von Whistleblowing-Systemen erhebliche Risiken verbunden sind. Im Raum stehen beispielsweise die missbräuchliche Nutzung von Whistleblowing-Systemen mit gezielter Schädigungsabsicht und die Verletzung von Persönlichkeitsrechten der Betroffenen.[77] Nach FOX steigt diese Gefahr mit der anonymen Nutzung von Hinweisgebersystemen. Er weist jedoch auch darauf hin, dass Hinweise unter Preisgabe der Identität nicht lohnend sind. So verlieren rund 70 Prozent infolge eines namentlichen Hinweises ihren Arbeitsplatz.[78] Tabelle 2 gibt einen kurzen Überblick über die Vor- und Nachteile des anonymen bzw. offenen Whistleblowings.

Quelle: Lohre, T., Whistleblowing: Funktionsweise, Modell und Rechtsfragen, 2009, Abb. 3, S. 167.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2 Vor- und Nachteile des anonymen und offenen Whistleblowings

2.2.2.3 Kreis möglicher Hinweisgeber und Beschuldigter

Systeme unterscheiden sich ferner darin, ob als Hinweisgeber nur unternehmensinterne Personen oder ebenfalls unternehmensexterne Personen wie Lieferanten und Kunden in Betracht kommen.[79] Weiteres Abgrenzungsmerkmal ist die Frage, ob alle Personen aus dem betroffenen Personenkreis anzeigeberechtigt sind oder ob wiederum selektiert wird. Denkbar wäre eine Beschränkung auf jene Personen, die der oberen Managementebene angehören.[80]

2.2.2.4 Art der Beteiligung Dritter

Whistleblowing-Systeme variieren in Bezug auf die hinweisempfangenden Stellen. Es ist insbesondere zu unterscheiden, ob diese reine Supportleistungen anbieten oder ob darüber hinaus, andere Dienste angeboten bzw. Zwecke verfolgt werden. Je nachdem um welche Form der Auslagerung es sich handelt, sind spezielle Vertragsvereinbarungen und rechtliche Anforderungen einzuhalten.[81]

2.2.2.5 Wahl der bereitgestellten Kommunikationsmittel

Die Bandbreite nutzbarer Kommunikationsmittel ist relativ groß und reicht von intern betriebenen Telefonnummern, Faxnummern, E-Mail-Adressen bis zu extern anonym nutzbaren Hotlines und Internetportalen. Dabei hat das Unternehmen die Wahl zwischen einer Mensch/Mensch- und Mensch/Maschine-Kommunikation, schriftlichen und mündlichen Hinweisen.[82] Wichtig ist, dass Aufwand und Nutzen des gewählten Mittels in einem angemessenen Verhältnis zueinander stehen, d.h., es muss ein effizienter Weg gefunden werden, um die Informationen zu kanalisieren. Außerdem muss das Kommunikationsmittel so gewählt werden, dass eine missbräuchliche Nutzung möglichst verhindert wird. So hat sich nach TINNEFELD und RAUHOFER insbesondere bei anonymen Online-Anzeigen ein erhöhtes Risiko von Falschanzeigen gezeigt.[83] Darüber hinaus stellt sich auch die Frage nach den Betriebszeiten. So muss das Unternehmen beispielsweise zwischen einer 7 x 24-Stunden-Hotline oder einem Anrufbeantworter wählen.[84]

2.3 Begriffsdefinition und Inhalt der Whistleblowing-Hotline

Whistleblowing-Hotlines sind ein Angebot von Seiten des Unternehmens an seine Arbeitnehmer, brisante Hinweise telefonisch über eine dedizierte Rufnummer oder per E-Mail abzugeben.[85] Häufig verwendete Synonyme sind Ethik-Hotline und Beschwerde-Hotline.[86]

Auch hier hat das Unternehmen die Wahl zwischen einer anonymen bzw. offenen Ausgestaltung, einer unternehmensinternen bzw. -externen Realisierung und einem uneingeschränkten bzw. eingeschränkten Nutzerkreis. Ferner muss sich das Unternehmen zwischen einer Mensch/Mensch- oder einer Mensch/Maschine-Kommunikation entscheiden.[87] Im Regelfall wird der Hinweis unter Zuhilfenahme von Datenverarbeitungsanlagen erfasst, gespeichert und bearbeitet. Andersartiges „ergibt sich allenfalls in kleineren Unternehmensstrukturen, in denen nicht auf Mittel automatisierter Datenverarbeitung zurückgegriffen wird und Informationen handschriftlich und nicht systematisiert erfasst werden“[88].

ANNUSCHEIT fordert, dass eine Telefon-Hotline rund um die Uhr und 365 Tage im Jahr erreichbar ist. Ferner sollten die Sprachen Englisch, Deutsch, Französisch und Spanisch angeboten werden.[89]

3. Whistleblowing-Hotlines im Kontext des betrieblichen Compliance-Managements

Seit den Finanzskandalen, die sich Anfang des 21. Jahrhunderts in den USA ereigneten, hat das regulatorische Unternehmensumfeld stark an Komplexität gewonnen. Seither erfahren strafrechtlich relevante nationale und internationale Corporate Governance Standards eine ständige Verschärfung.[90] Zugleich wird deren Einhaltung durch Aufsichts- und Strafverfolgungsbehörden im In- und Ausland verstärkt überwacht. Klare Handlungsanweisungen, die in den meisten Fällen Gesetzeskraft haben, sollen die Unternehmensspitze dazu verpflichten, ihren Leistungs- und Sorgfaltspflichten nachzukommen und die Wirtschaftskriminalität einzudämmen. Insgesamt sollen all diese Initiativen und Gesetze eine Verbesserung der Unternehmensleitung und –überwachung bewirken.[91] Doch die Vielfalt der Gesetze und Regularien wird zum Risikofaktor und die Einhaltung der daraus resultierenden Pflichten zum organisatorischen Problem.[92] Das Resultat sind explodierende Prämien für Manager- und Organversicherungen, Haftungsfälle und Bußgelder. So erließ beispielsweise die Staatsanwaltschaft München I am 15.12.2008 gegen die Siemens AG einen Bußgeldbescheid in Höhe von 395 Millionen Euro und stellte auf die Verletzung der Aufsichtspflichten des Gesamtvorstandes ab.[93]

Der Begriff Compliance-Management rückt in diesem Zusammenhang immer mehr ins Rampenlicht der unternehmerischen Tätigkeit.[94] Stark vereinfacht bedeutet Compliance Regelkonformität, entsprechend ist unter Compliance-Management der professionelle Umgang mit Gesetzen und anderen Regelungen[95] zu verstehen um Gesetzeskonformität sicherzustellen. Der Compliance-Begriff umfasst heutzutage alle haftungsrelevanten Rechtsgebiete, ganz besonders jedoch die Pflichten aus dem Bilanzrecht, Bank- und Börsenrecht, der Korruptionsbekämpfung und dem Kartellrecht. Früher beschränkte sich der Begriff rein auf die Einhaltung börsenrechtlicher Vorgaben.[96]

Auch der deutsche Gesetzgeber befasste sich aufgrund der zahlreichen wirtschaftskriminellen Vorfälle eingehend mit dem Thema Compliance. Bereits im Jahre 1998 wurde mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) der § 91 (2) AktG eingefügt, der den Vorstand dazu anhält

§ 91 (2) AktG „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Spätestens seit Einführung des Deutschen Corporate Governance Kodex (DCGK)[97] und Inkrafttreten des Bilanzrechtsmodernisierungsgesetzes (BilMoG)[98] ist das Compliance-Management eine zentrale Führungsaufgabe und essenzieller Bestandteil einer guten Unternehmenskultur geworden.[99] Doch trotz des ambitionierten Bestrebens der Unternehmensführung, den Compliance-Forderungen des Gesetzgebers nachzukommen, zeigt die Realität, dass sich dennoch Compliance-Verstöße ereignen können.[100] Am häufigsten werden hier Korruption, Bilanzfälschung, Kartellabsprachen, Datenmissbrauch, Diskriminierung, Steuer- und Versicherungsbetrug sowie Verbraucher- und Umweltschädigungen genannt.[101]

Da Regelverstöße empfindliche Strafen für das Unternehmen und seine Organe nach sich ziehen können, ist es für Unternehmen zwingend erforderlich, den Umgang mit Gesetzen zu professionalisieren und zu überprüfen, ob das eigene Unternehmen im Einklang mit den regulatorischen Anforderungen agiert. Spätestens seit dem BGH-Urteil zur strafrechtlichen Garantenstellung des Compliance Officers dürften die Folgen aus Regelverstößen eine neue Dimension erhalten haben und die Sicherstellung der Compliance umso wichtiger geworden sein.[102]

Unternehmen müssen deshalb auf andere Mittel zurückgreifen als auf die konservativen Risikominimierungsstrategien, um Compliance sicherzustellen. Vor diesem Hintergrund gewinnen Whistleblowing-Hotlines im Rahmen des betrieblichen Compliance-Managements verstärkt an Bedeutung. Anstatt Compliance sozusagen von oben den Mitarbeitern aufzuoktroyieren, könnte im Rahmen eines geordneten Whistleblowing-Systems Compliance von der Basis der Organisation realisiert werden (Bottom-Up-Strategie).[103] So machen sich die Unternehmen „Augen und Ohren ihrer Beschäftigten zunutze“[104], um frühzeitig über das Geschehen an der Front informiert zu sein.

4. Motivation für die Einrichtung einer Whistleblowing-Hotline

Die Motive für die Einrichtung von WB-Hs in Unternehmen sind vielfältig. Einige Unternehmen sind infolge ihrer globalen Wirtschaftstätigkeit dem angloamerikanischen Recht verpflichtet und müssen derartige Hotlines einrichten. So fordert der amerikanische Sarbanes-Oxley Act von Unternehmen, die der US-amerikanischen Börsenaufsicht (SEC) unterliegen, in Sec. 301 dazu auf, ein Verfahren zu etablieren, das es Angestellten und Dritten ermöglicht, anonyme Beschwerden abzugeben. Des Weiteren finden sich in Sec. 406 und Sec. 806 Regelungen zum Whistleblowing und zum Whistleblower-Schutz.[105]

Die Beteiligung von Ombudsmännern oder Compliance-Beauftragten an Hinweisgebersystemen ist seit dem US-Bundesgesetz SOX nicht mehr zulässig, da eine echte Anonymität für den Hinweisgeber verlangt wird.[106] Deshalb gelten Telefon-Hotlines als das favorisierte Instrument, um die Anforderungen des SOX zu erfüllen. Diese Gesetzespflicht trifft regelmäßig auch deutsche Unternehmen, falls diese oder deren Muttergesellschaft als sogenannte Foreign Private Issuer[107] an den US-Börsen der New York Stock Exchange (NYSE) oder der National Association of Security Dealers Automated Quotations (Nasdaq) gelistet sind.[108] In einigen Fällen gilt das SOX auch für nicht-börsennotierte Tochterunternehmen einer börsennotierten Gesellschaft.[109] Somit stehen auch deutsche Unternehmen, deren Wertpapiere an US-Börsen gehandelt werden oder andere o.g. Voraussetzungen erfüllen, unter der Aufsicht der Securities and Exchange Commission (SEC) und müssen Hinweisgebersysteme implementieren.[110]

Der Betrieb einer Whistleblower-Hotline, die den Anforderungen des SOX genügt, soll ausschließen, dass die Unternehmensleitungen (insbesondere CEO und CFO) von der Nasdaq, NYSE oder SEC infolge mangelhaft eingerichteter Hinweisgebersysteme sanktioniert werden. Zur Diskussion stehen hier zivilrechtliche und strafrechtliche Haftungsrisiken mit Freiheitsstrafen bis zu 10 Jahren, Geldstrafen und dem Ausschluss des Unternehmens von der US-Börse.[111]

Auch sind deutsche Unternehmen, die der SEC unterliegen, seit dem 21.07.2010 dem US Dodd Frank Act unterworfen, welcher strengere Regelungen zum Umgang mit Hinweisen enthält. So müssen Unternehmen binnen 120 Tagen nach Erhalt einer Meldung reagieren. Ansonsten sind die Hinweisgeber berechtigt, ihren Hinweis an die SEC weiterzuleiten, was nicht nur für die Reputation des Unternehmens fatal wäre, sondern oftmals hohe Geldstrafen bewirkt.[112]

Vor diesem Hintergrund sehen sich deutsche Unternehmen in jüngster Zeit noch mehr den Herausforderungen des Whistleblowings gegenübergestellt. Bis dato existiert in Deutschland aber keine gesetzliche Normierung zum Thema Whistleblowing, was verwunderlich erscheint. So erwähnt der DCGK das Wort Whistleblowing nicht einmal, obwohl er sich an börsennotierte Unternehmen richtet und damit an jene Unternehmen, die mit einer gewissen Wahrscheinlichkeit auch an einer US-Börse gelistet sein könnten.[113]

In der deutschen Gesetzgebung finden sich lediglich Aussagen zum Risikomanagement und Compliance-Management und der damit einhergehenden Organpflichten. Anlass für eine freiwillige Einrichtung von Hinweisgebersystemen könnten die Leitungs- und Sorgfaltspflichten (§§ 76 (1), 93 (1) S. 1 AktG), Aufsichtspflichten (§ 130 OwiG) und Überwachungspflichten (§ 91 (2) AktG) sowie Pflichten aus dem DCGK (Ziff. 4.1.3 und 4.1.4) sein. So hat der Vorstand im Rahmen seiner allgemeinen Sorgfaltspflicht Maßnahmen zur Sicherstellung der Einhaltung von gesetzlichen Bestimmungen und unternehmensinternen Regeln zu etablieren und für deren Beachtung seitens der Konzernunternehmen zu sorgen (§ 93 (1) AktG, DCGK Tz. 4.1.3). Er hat den Aufsichtsrat regelmäßig über Fragen der Compliance zu informieren (§ 161 AktG, DCGK Tz 4.13). Dem Aufsichtsrat obliegt indes die Überwachungspflicht (§§ 111 (1), 116 AktG, DCGK Tz. 5.1.1). Eine Konkretisierung der Überwachungsaufgaben des Aufsichtsrats in Bezug auf das Risikomanagement-, Kontroll- und Revisionssystem finden sich in § 107 Abs. 3 AktG. Wurde mit der Überwachungspflicht ein Prüfungsausschuss betraut, so muss sich dieser regelmäßig mit Fragen der Compliance befassen (DCGK 5.3.2).[114] Kommen die Aufsichtsgremien ihrer Pflicht nicht nach, so handeln diese ordnungswidrig (§§ 9, 30, 130 OwiG).

Infolge der zahlreichen Compliance-Verstöße, die sich dennoch ereignet haben, wurde von den Unternehmensleitungen erkannt, dass Compliance nicht von oben herab verordnet werden kann „erforderlich ist vielmehr, allen Mitarbeitern die Möglichkeit einzuräumen, mit ihren Informationen über mögliche Verstöße bis an die Unternehmensführung zu gelangen (Bottom-up).“[115] Um dies zu realisieren, kombinieren moderne Risikomanagementsysteme die Einführung eines professionellen Compliance-Management-Systems mit Ethikkodizes und der Verpflichtung zum Whistleblowing.[116]

Die Motivlage ist demnach relativ eindeutig. So soll zum einem durch das Whistleblowing ein Zugang zu jenen Informationen geschaffen werden, die das Management auf anderem Wege nicht bekommen würde.[117] Hierdurch werden Lücken in der Informationsbasis geschlossen und eine solide Basis für ein effektives Risikomanagement geschaffen. Auf diese Weise können die Organrisiken[118] für Vorstand und Aufsichtsrat minimiert werden. Zum anderen soll durch die Formulierung von Ethikgrundsätzen, der öffentlichen Zusicherung gesetzeskonformer Geschäftspraktiken und ethisch korrekter Verhaltensweisen das Vertrauen der Öffentlichkeit in das Unternehmen gestärkt werden.[119]

Andere Unternehmen haben wiederum erkannt, dass externes Whistleblowing erhebliche Gefahren für das Image und die Reputation einer Organisation birgt, und entscheiden sich deshalb für eine Whistleblowing-Hotline. Richtig implementiert, kommuniziert und genutzt, kann eine Whistleblowing-Hotline dazu beitragen, dass brisante Hinweise nicht unmittelbar an die Öffentlichkeit gelangen, sondern zunächst innerhalb der Unternehmensgrenzen bleiben. So können diese untersucht und etwaige Missstände behoben werden, ehe größere (Image-)Schäden entstehen.[120]

Zu guter Letzt dürften die ökonomischen Aspekte eine tragende Rolle bei der Entscheidung für ein Hinweisgebersystem spielen. So schätzt die Weltbank den volkswirtschaftlichen Schaden durch Korruption auf 1 bis 4 Billionen US-Dollar.[121] Das Autorenpaar BERNDT und HOPPLER veranschlagen den monetären Schaden in Deutschland infolge wirtschaftskrimineller Handlungen auf mindestens 43 bis max. 87 Mrd. Euro. Eine Umfrage der KPMG kommt – nach Aussagen der beiden Autoren – zu dem Ergebnis, dass 64 Prozent von 1000 befragten deutschen Unternehmen innerhalb der letzten drei Jahre Opfer von Wirtschaftskriminalität geworden sind.[122] Dagegen könnte ein Rückgang der Wirtschaftskriminalität durch die Einführung von Compliance-Management-Systemen und Ethikkodizes begünstigt werden, wie Studien der PricewaterhouseCoopers AG (PwC) belegen.[123] Unternehmen erhalten folglich durch die Einrichtung eines Hinweisgebersystems eine realistische Chance, den monetären Schaden, infolge wirtschaftskrimineller Handlungen zu begrenzen.

5. Das Bundesdatenschutzgesetz

Um der Frage nach der datenschutzkonformen Ausgestaltung von WB-Hs nachgehen zu können, muss zunächst ein Verständnis für das in Deutschland gültige Datenschutzrecht geschaffen werden. Zu diesem Zweck sollen im Folgenden die wesentlichen Begriffe und Grundprinzipien des Bundesdatenschutzgesetzes (BDSG) in der Fassung vom 11. Juni 2010 themenbezogen dargelegt werden.

Das BDSG besteht aus sechs Abschnitten. Davon sind für privatwirtschaftliche Unternehmen insbesondere der erste Abschnitt (§§ 1 – 11 BDSG „Allgemeine und gemeinsame Bestimmungen“) sowie der dritte Abschnitt (§§ 27 – 38a BDSG „Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen“) von Bedeutung.[124] Aufgrund der Themenabgrenzung und der damit einhergehenden Konzentration auf privatwirtschaftlich organisierte Wirtschaftsunternehmen werden ausschließlich der erste und dritte Abschnitt erläutert. Auf die §§ 43, 44 BDSG „Bußgeld- und Strafvorschriften“, im fünften Abschnitt wird an geeigneter Stelle hingewiesen.

5.1 Zweck und Anwendungsbereich des Gesetzes

Mit dem BDSG wurde die Europäische Datenschutzrichtlinie (EG-DatSchRL) in nationales Recht umgesetzt. Das BDSG gilt grundsätzlich für alle Unternehmen, die ihren Sitz in Deutschland haben (Sitzprinzip).[125] Grundsätzlich ist das BDSG subsidiär, d.h., sofern andere Rechtsvorschriften den Umgang mit personenbezogenen Daten[126] verbindlich regeln, sind diese vorrangig anzuwenden (§ 1 (4) BDSG).[127] In anderen Fällen ist das BDSG immer dann anzuwenden, wenn öffentliche Stellen des Bundes[128], öffentliche Stellen der Länder, soweit sie Bundesrecht ausführen, oder nicht-öffentliche Stellen[129] personenbezogene Daten verarbeiten. Das BDSG gilt, wenn pD automatisiert oder in nicht automatisierten Dateien[130] verarbeitet werden und dies nicht ausschließlich für persönliche oder familiäre Zwecke erfolgt (§ 1 (2) S. 1, 2 und 3 BDSG). Nach der Definition des § 3 (1) BDSG fallen Einzelangaben über juristische Personen nicht in den Anwendungsbereich des BDSG, d.h., es werden nur bestimmte oder bestimmbare natürliche Personen vom BDSG geschützt. Nach allgemeiner Auffassung gilt eine Person dann als bestimmbar, wenn mit angemessenem Aufwand auf die natürliche Person geschlossen werden kann.

Nach den obigen Definitionen fallen privatwirtschaftliche Unternehmen, die im Rahmen von Hinweisgebersystemen Daten über Mitarbeiter erheben und verarbeiten, regelmäßig unter den Anwendungsbereich des BDSG. Ausnahmen bestehen lediglich, wenn die Datenverarbeitung in nicht automatisierten Dateien stattfindet (beispielsweise wenn Hinweise handschriftlich erfasst und nicht systematisch geordnet werden).[131]

Weil mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten erhebliche Risiken für den Betroffenen einhergehen können, ist es primäres Ziel des BDSG, den Schutz des Persönlichkeitsrechts in Gestalt der informationellen Selbstbestimmung eines jeden Einzelnen sicherzustellen (§ 1 (1) BDSG).

[...]


[1] Vgl. Behrendt, M. / Kaufmann M., 2006, Whistleblowing-Hotlines aus arbeits- und datenschutzrechtlicher Sicht – Lösungswege im Unternehmen, in: CR 2006, Heft 9, S. 642.

[2] Vgl. Sauer, O. / Blum, F., Alarm im Betrieb. Sinn und Unsinn von Whistleblowing-Hotlines. Wie ein betriebliches Meldesystem modern und effektiv gestaltet wird, in: Personal 2011, S. 40.

[3] Vgl. Deiseroth, D., Zivilcourage am Arbeitsplatz – „Whistleblowing“, in: Meyer, G. et al. (Hrsg.), Zivilcourage lernen: Analysen – Modelle – Arbeitshilfen, Tübingen: Inst. für Friedenspädagogik, 2004, S. 124.

[4] Vgl. Belser, S. / Berchtold, O., Fachartikel IKS, 2004, S. 2.

[5] Vgl. Breinlinger, A. / Krader, G., Whistleblowing – Chancen und Risiken bei der Umsetzung von anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance-Managements von Unternehmen [WWW] Verfügbar auf: http://www.datenschutz-und-recht.de, S. 2; Kynrim, R. / Kurz, B. / Haidinger, V., Whistleblowing-Hotlines: Mitarbeiter verpfeifen zulässig? in: ARD 2006, 60. Jg., Nr. 5681, S. 3.

[6] Vgl. Peter, A., Der US-amerikanische „Sarbanes-Oxley Act of 2002“. Seine Auswirkungen auf die an der New York Stock Exchange notierenden österreichischen Aktiengesellschaften, Hamburg: Diplomica Verlag, 2008, S.238.; von Zimmermann, G., „Whistleblowing“ – Anforderungen des Sarbanes-Oxley Acts, in: WM 2007, Heft 23, S. 1060; Wisskirchen, G. / Körber, A. / Bissels, A., „Whistleblowing“ und „Ethikhotlines“. Probleme des deutschen Arbeits- und Datenschutzrechts, in: Betriebs-Berater 2006, 61. Jg. Heft 28/29, S.1567.

[7] Vgl. Behrendt M. / Kaufmann M., 2006, a.a.O., S. 644.; Schürrle, T. / Fleck, F., Whistleblowing Unlimited“ – Der U.S. Dodd-Frank Act und die neuen Regeln der SEC zum Whistleblowing, in: CCZ 2011, 4. Jg., Heft 6, S. 219.

[8] Vgl. Schulz, M., Compliance – Internes Whistleblowing: Die Verpflichtung zur Meldung von Fehlverhalten Dritter aus den arbeitsvertraglichen Nebenpflichten, in Betriebs-Berater 2011, S. 629.; Frank, R., Hinweisgebersysteme und Datenschutz, in: Transparency International (Hrsg.), Themenschwerpunkt: Hinweisgeber, in: Scheinwerfer 44, 2009, S. 9; Schürrle, T. / Fleck, F., a.a.O., S. 220.

[9] Vgl. Behrendt, M. / Kaufmann M., 2006, a.a.O., S. 644; Wybitul, T. / Patzak, A., Neue Anforderungen beim grenzüberschreitenden Datenverkehr, in: RDV 2011, Heft 1, S. 11; Düsseldorfer Kreis, Arbeitsbericht, S. 1.

[10] Tinnefeld, M.T. / Rauhofer, J., Whistleblower: Verantwortungsbewusste Mitarbeiter oder Denunzianten? Fragen an Grundrechte, Ethikrichtlinien und Arbeitsrecht, in DuD 2008, Heft 11, S. 717.

[11] Vgl. Neundorf, L., § 27. Datenschutz, in: Hauschka (Hrsg.), Corporate Compliance, München: C.H. Beck, 2007, S. 595.

[12] Vgl. Wybitul, T., Handbuch Datenschutz im Unternehmen, 1. Aufl., Frankfurt am Main: Verlag Recht und Wirtschaft , 2011, S. 5.

[13] Vgl. EG-DatschRL, 95/46/EG, http://eur-lex.europa.eu/, 1995, S. 1; darüber hinaus weist Reding, V. darauf hin, dass der Schutz personenbezogener Daten in der EU-Grundrechtcharta Art. 8 (1) GrCh verankert ist. (Herausforderungen an den Datenschutz bis 2020: Eine europäische Perspektive, in: ZD 2011, 1. Jg., Heft 1, S. 2).

[14] Vgl. Düsseldorfer Kreis, Arbeitsbericht, S. 1; Schmidl, M., Datenschutz für Whistleblowing-Hotlines. Hotlines für anonyme Anzeige von Mitarbeiterverhalten in einem internationalen Konzern, in: DuD 2006, Heft 6, S. 354, zu finden auch bei Eul, H. / Eul, P., Datenschutz International. Praxisleitfaden zur Übermittlung von Mitarbeiter-, Kunden-, und Lieferantendaten. 1. Aufl., Heidelberg / München / Landsberg / Frechen / Hamburg: Datakontext, 2011, S. 34.

[15] Vgl. Simon, S. (J.ub), Whistleblowing: Im Spannungsfeld zwischen Datenschutz und unternehmensinterner Compliance, S. 1.

[16] Vgl. Wybitul, T., [Handbuch] a.a.O., Vorwort.

[17] Vgl. Schwartz, P.M., „Personenbezogene Daten“ aus internationaler Perspektive, in: ZD 2011, 1. Jg., Heft 3, S. 97.

[18] Vgl. Reding, V., a.a.O., S. 2; Wybitul, T. / Patzak, A., a.a.O., S. 11.

[19] Vgl. Polenz, S., Fehlverhaltenskontrolle am Arbeitsplatz, in: DuD 2009, Heft 9, S. 562.

[20] Vgl. Eul, H. / Eul, P., a.a.O., S. 15.

[21] Vgl. Wybitul, T., Beschäftigtendatenschutz: Warum wir dringen eine gesetzliche Neuerung brauchen, in: ZD 2012, 2. Jg., Heft 1, S. 1.

[22] Vgl. Salvenmooser, S. / Kruse, L.-H., Betrügern auf der Spur. Whistleblowing-Hotlines, in: Die Bank 2007, Heft 2, S. 75; vgl. Schürrle, T. / Fleck, F., a.a.O., S. 218.

[23] Vgl. Waldzus, D., Whistleblowing in Deutschland: Ungeliebtes Stiefkind des Gesetzgebers? in: Behringer, S. (Hrsg.), Compliance Kompakt: Best Practice im Compliance-Management, 2. durchgesehene und wesentlich erweiterte Auflage, Berlin: Erich Schmidt Verlag, 2010, S. 314.

[24] Vgl. Deiseroth, D., a.a.O., S. 124.

[25] Vgl. Schemmel, A. / Ruhmannseder, F., Witzigmann, T., Hinweisgebersysteme: Implementierung in Unternehmen, 1. Aufl., Heidelberg / München / Landsberg / Frechen / Hamburg: C.F. Müller, 2012, Vorwort.

[26] Trotz des Zivilrechtsübereinkommens über Korruption des Europarates von 1999 wurde der Whistleblowerschutz in Deutschland bis dato nicht gesetzlich normiert. Kritisch hierzu, D. Waldzus, a.a.O., S. 323: „Deutschland hat die Konvention unterzeichnet, jedoch bislang ebenfalls nicht ratifiziert (Stand: Juli 2009).“

[27] Vgl. dazu die Beiträge von Ulber, D., Whistleblowing und der EGMR, in: NZA 2011, 28. Jg., Heft 17, S. 962 – 964, Abraham, J., Whistleblowing – Neue Chance für eine Kurswende? in: ZRP 2012, 45. Jg., Heft 1, S. 11 – 14; Simon, O / Schilling, J.M., Kündigung wegen Whistleblowing? in: Betriebs-Berater 2011, Heft 39, S. 2421 –2428.

[28] Vgl. dazu die Beträge von Schulz, M., a.a.O., 629 – 633; Sauer, O. / Blum, F., a.a.O., S. 31 – 41; Ohmann-Sauer, I., „Alarm schlagen“ als Arbeitnehmerpflicht? in: Personal Magazin 2006, Heft 4, S. 50 – 51; Tinnefeld, M.T. / Rauhofer, J., a.a.O., S. 722 – 723.

[29] Der Begriff Corporate Governance umfasst - nach S. Salvenmoser und L.H. Kruse – grundsätzliche alle Regeln und Grundsätze für eine gute und verantwortungsvolle Unternehmensführung, die sowohl für die Mitarbeiter als auch für die Unternehmensführung gelten (a.a.O., S. 76).

[30] Vgl. dazu die Beiträge von Breinlinger A. / Krader, G., a.a.O., S. 1 – 17. Berndt, T. / Hoppler, I., Whistleblowing – ein integraler Bestandteil effektiver Corporate Governance, in: Betriebs-Berater 2005, 60. Jg., Heft 48, S. 2623 – 2629; Wisskirchen, G. / Körber, A. / Bissels, A., a.a.O., S. 1567 – 1572, Hussain, A.S., Wie baut man eine Ethik-Abteilung auf? Ein praktischer Leitfaden, in: CCZ 2011, S. 134 – 138.

[31] Der 5. Strafsenat des BGH entschied in seinem Obiter Dictum vom 17.7.2009 (StR 394/08), dass den Compliance-Officer regelmäßig eine strafrechtliche Garantenpflicht i.S.d. § 13 (1) StGB trifft, Straftaten aus dem Unternehmen heraus zu verhindern. Durch die Garantenpflicht wird dem CCO eine persönliche strafrechtliche Verantwortung zugewiesen (vgl. Campos Navé, J.A. / Vogel, H., Die erforderliche Veränderung von Corporate Compliance-Organisationen im Hinblick auf die gestiegene Verantwortlichkeiten des Compliance Officers, in: Betriebs-Berater 2009, Heft 48, S. 2546).

[32] § 3 (9) BDSG: „Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

[33] So definieren das Autorenpaar Eul und Eul, a.a.O., S. 34, irrtümlicherweise den Begriff Whistleblowing als: „internes Verfahren zur Meldung von Missständen durch den Beschäftigten“, was viel mehr dem Begriff des Whistleblowing-Systems entspricht. Zutreffender die Definition von M. Schulz, a.a.O., S. 630: „Unter Whistleblowing versteht man […] kritische Äußerungen, Beschwerden oder Anzeigen von abhängig Beschäftigten über Missstände oder Fehlverhalten in ihrem Unternehmen gegenüber staatlichen Stellen oder sonstigen Dritten.“

[34] Berndt, T. / Hoppler, I., a.a.O., S. 2624; Primärquelle bei: Near, J.P. / Miceli M.P., in: Journal of Business Ethics 1985, Vol. 4, No. 1, S. 1.

[35] Vgl. Abraham, J., a.a.O., S. 11; Breinlinger, A. / Krader, G., a.a.O., S. 1; Lohre, T., a.a.O., S. 165; Salvenmoser, S. / Kruse, L.H, a.a.O., S. 75; Wisskirchen, G. / Körber, A. / Bissels, A. , a.a.O., S. 1567; Schmidl, M., [Datenschutz], a.a.O., S. 353.

[36] Vgl. Berndt, T. / Hoppler, I., a.a.O., S. 2624; Breinlinger, A. / Krader, G., a.a.O., S. 1; Lohre, T., a.a.O., S. 165.

[37] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 1, Deiseroth, D., a.a.O., S. 124; Abraham, J., a.a.O., S. 11.

[38] Deiseroth, D., weist darauf hin, dass ein Hinweis sowohl pro aktiv als auch in Form einer Verweigerung gegeben werden kann (a.a.O., S. 124).

[39] Lohre, T., a.a.O., S. 165.

[40] Vgl. Lohre, T., a.a.O., S. 165.

[41] Sehr kritisch dazu Waldzus, D., a.a.O., S. 316 f.: „ Diejenigen Definitionen, die wesentlich auf die hehre Motivation des Hinweisgebers abstellen, geben nur ein verzerrtes Bild der Realität wieder: […] es ist nur menschlich, dass zumindest auch nicht so ehrenhafte Motivationen, wie z.B. Frust, Rachegelüste oder auch das Gefühl der plötzlicher Überlegenheit […] eine Rolle spielen.“

[42] Vgl. Deiseroth, D., a.a.O., S. 124, zu finden auch bei Salvenmoser, S. / Kruse, L.H., a.a.O., S. 75.

[43] Vgl. Schürrle, T. / Fleck, F., a.a.O., S. 221.

[44] Vgl. Schulz, M., a.a.O., S. 630.

[45] Vgl. Lohre, T., a.a.O., S. 166.

[46] Vgl. Lohre, T., a.a.O., S. 165.

[47] Vgl. Deiseroth, D., a.a.O., S. 128.

[48] Vgl. Abraham, J., a.a.O., S. 11; Lohre, T., a.a.O., S. 167.

[49] Vgl. Tinnefeld, M.T. / Rauhofer, J., a.a.O., S. 720

[50] Wenige Sonderregelungen existieren – nach D. Deiseroth - für Betriebsärzte, Fachkräfte für Arbeitssicherheit, betriebliche Datenschutzbeauftragte, für Strahlenschutz-, Gewässerschutz-, Immissionsschutz- und Störfallbeauftragte. Diese dürfen infolge der Ausübung ihrer Profession kraft Gesetz nicht benachteiligt werden (a.a.O., S. 131).

[51] Berndt, T. / Hoppler, I., a.a.O., S. 2624.

[52] Vgl. Berndt, T. / Hoppler, I., a.a.O., S. 2624.

[53] Vgl. Kynrim, R. / Kurz, B. / Haidinger, V., a.a.O., S. 4; Schürrle, T. / Fleck, F., a.a.O., S. 221.

[54] Vgl. Schulz, M., a.a.O., S. 630.

[55] Vgl. Behrendt, M. / Kaufmann, M., a.a.O., S. 647.

[56] Vgl. Behrendt, M. / Kaufmann, M., a.a.O., S. 642; Deiseroth, D., a.a.O., S. 124; Schulz, M., a.a.O., S. 630.

[57] Vgl. Schulz, M., a.a.O., S. 630.

[58] Vgl. Schürrle, T. / Fleck, F., a.a.O., S. 218.

[59] Vgl. Lohre, T., a.a.O., S. 166.

[60] Vgl. Lohre, T., a.a.O., S. 167 f.; Mengel A. / Hagemeister V., a.a.O., S. 2466; Schürrle, T. / Fleck, F., a.a.O., S. 220.

[61] Vgl. Lohre, T., a.a.O., S. 167.

[62] Vgl. Müller-Bonnani, T. / Mehrens, C., a.a.O., S. 1.

[63] Vgl. Lohre, T., a.a.O., S. 169.

[64] Vgl. Sauer, O. / Blum, F., a.a.O., S. 39.

[65] Vgl. Schürrle, T. / Fleck, F., a.a.O., S. 221.

[66] Vgl. Sauer, O. / Blum, F., a.a.O., S. 40.

[67] Vgl. Eul, H. / Eul, P., a.a.O., S. 35.

[68] Hussain, A.S., a.a.O., S. 134.

[69] Zustimmend Berndt, T. / Hoppler, I., a.a.O., S. 2624: „Es wäre auch kaum praktikabel, wollte man von jedem Mitarbeiter erwarten, er habe z.B. die Entscheidungen des Finanzvorstandes […] nach den höchst subjektiven Kategorien von Sitte, Anstand und Moral zu hinterfragen“; Schmidl, M. Datenschutz für Whistleblowing-Hotlines, a.a.O., S. 354 (359).

[70] Vgl. von Zimmermann, G., a.a.O., S. 1062.

[71] Vgl. Kynrim, R. / Kurz, B. / Haidinger, V., a.a.O., S. 3 f.

[72] Vgl. Breinlinger A. / Krader, G., a.a.O., S. 3.

[73] Weiterführende Informationen bei Schürrle, T. / Fleck, F., a.a.O., S. 218.

[74] Vgl. Schulz, M., a.a.O., S. 630.

[75] Breinlinger, A. / Krader, G., a.a.O., S. 3.

[76] Vgl. Lohre, T., a.a.O., S. 166 (167).

[77] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 2.

[78] Vgl. Fox, D., a.a.O., S. 750.

[79] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 3.

[80] Vgl. von Zimmermann, G., a.a.O., S. 1064.

[81] Vgl. Weber, M.P. / Voigt, P., Internationale Auftragsdatenverarbeitung. Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln, in: ZD 2011, 1. Jg., Heft 2, S. 74 (75); umfassend zu Inhalt und Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung s. Kap. 5.2.8.

[82] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 3.

[83] Tinnefeld, M.T. / Rauhofer, J., a.a.O., S. 723.

[84] Vgl. Eul, H. / Eul, P., a.a.O., S. 47; Sehr kritisch hierzu Annuscheit, R.: „Ganz ungeeignet und fast schon kontraproduktiv ist der Einsatz von Anrufbeantwortern in diesem Umfeld“ (Whistleblowing und Hinweisgebersysteme [WWW]. Verfügbar auf: http://www.compliancemagazin.de, S. 3.)

[85] Vgl. Wisskirchen, G. / Körber, A. / Bissels, A., a.a.O., S. 1567.

[86] Seltener dagegen der von R. Kynrim, B. Kurz und V. Haidinger verwendete Begriff: „Verpfeif-Hotlines“ (a.a.O., S. 3).

[87] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 3.

[88] Schmidt, B., Datenschutzrechtliche Anforderungen und internationale Rechtspflichten zum Betrieb von Whistleblowing-Systemen, S. 59, in: Haneberg, L. / Heinicke, T. / Mülchen, R. / Porath J. (Hrsg.): Governance – Entscheidungsfindung und Umsetzung innerhalb staatlicher und wirtschaftlicher Strukturen, Oldenburg: BIS-Verlag, 2009, S. 63.

[89] Vgl. Annuscheit, R., a.a.O., S. 4.

[90] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 2.

[91] Vgl. Besler, S. / Berchtold, O., a.a.O., S. 2; Buderath, H.M., Das Interne Kontrollsystem in einem internationalen Unternehmen, in: WPg Sonderheft 2003, S. 219; Anhang 1 bietet eine Übersicht über die Entwicklung internationaler und nationaler Corporate Governance Gesetze im Zeitablauf.

[92] Vgl. KPMG (Hrsg.), Compliance-Management-Systeme, 2007, S. 4.

[93] Vgl. Heintschel-Heinegg, B., Nochmals Schmiergeldaffaire: Staatsanwaltschaft München I erlässt Bußgeldbescheid in Höhe von 395 Millionen € gegen Siemens, 2008,Verfügbar auf: http://blog.beck.de/2008/12/16/nochmals-schmiergeldaffaire-staatsanwaltschaft-munchen-i-erlasst-busgeldbescheid-in-hohe-von-395-millionen-e-gegen-si

[94] Bergmoser, U. / Theusinger, I. / Gushurst, K.P., Corporate Compliance – Grundlagen und Umsetzung, in: Betriebs-Berater Beilage 2008, Heft 5, S. 1.

[95] Dies sind beispielsweise nach T. Dobler und A. Lambert: Branchenspezifische Standards, unternehmensinterne Richtlinien und sonstige Konventionen sowie ethische Grundsätze (Compliance Management in mittelständischen Unternehmen. Bedeutung, Nutzen und Implementierung von Compliance-Systemen, in: KSI 2010, S. 202).

[96] Vgl. Mengel, A. / Hagemeister, V., Compliance und Arbeitsrecht, in: Betriebs-Berater 2006, 61. Jg., Heft 45, S. 2467.

[97] Der Deutsche Corporate Governance Kodex (DCGK) wurde 2002 in Deutschland eingeführt. Er enthält wesentliche Handlungsempfehlungen und gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter bzw. in öffentlicher Hand geführter Gesellschaften, sowie Handlungsempfehlungen für eine gute und verantwortungsvolle Unternehmensführung, vgl. Leutheusser-Schnarrenberger, S., Der Deutsche Corporate Governance Kodex wird 10 Jahre alt, in: WPg 2012, S. I; Salvenmoser, S. / Kruse, L.H., a.a.O., S. 76.

[98] Das am 29. Mai 2009 eingeführte Bilanzrechtsmodernisierungsgesetz (BilMoG) ist die wichtigste Reform des HGB seit mehr als 20 Jahren. Im Zuge der dortigen Änderungen sind zahlreiche andere Gesetze (z.B. AktG, GmbHG, WPO) angepasst worden. Ziele der Reform sind in erster Linie im Bereich der Rechnungslegung zu suchen, darüber hinaus konkretisiert das BilMoG die Überwachungsaufgaben des Aufsichtsrates (Herzig, A. / Probst, U., Das gute Pferd springt knapp – effiziente Umsetzung der Governance-Anforderungen aus BilMoG, j.ub. S. 1 ff.).

[99] Vgl. Zimmermann, G., Die straf- und zivilrechtliche Verantwortlichkeit des Compliance-Officers. Im Spannungsfeld zwischen Aufgabenerfüllung und persönlicher Verantwortlichkeit, in: Betriebs-Berater 2011, S. 634.

[100] Unternehmensbeispiele für kriminelle Handlungen und Manipulationen bei T. Faust, Whistleblowing – Verrat oder verantwortliches Handeln? Chancen und Risiken der Individualethik im Beruf, 2009, S. 1; Deiseroth, D., a.a.O., S. 130.

[101] Vgl. Faust, T., a.a.O., S. 1; Wybitul, T., Whistleblowing“ - datenschutzkonformer Einsatz von Hinweisgebersystemen? Für und Wider zum rechtskonformen Betrieb, in: ZD 2011, 1. Jg. Heft 3, S. 118; Dobler, T. / Lambert, A., Compliance-Management in mittelständischen Unternehmen. Bedeutung, Nutzen und Implementierung von Compliance-Systemen, in: KSI 5/10 2010, S. 202.

[102] Vgl. Dobler, T. / Lambert, A., a.a.O., S. 202; Campos Navé, J.A. / Vogel, H., a.a.O., S. 2546.

[103] Mehr zum Thema Bottom-Up und Top-Down-Strategie siehe Seite 26.

[104] Simon, O. / Schilling, J.M., a.a.O., S. 2421.

[105] Vgl. Schmidt, B., a.a.O., S. 59.

[106] Vgl. Schürrle, T. / Fleck, F., a.a.O., S. 218.

[107] Zur Begriffsdefinition Foreign Private Issuer s. Sec. 405 des Securities Exchange Act von 2934, 17 C.F.R. § 230.405.

[108] Vgl. Peter, A., a.a.O., S.238; Schmidt, B., a.a.O., S. 59.

[109] Vgl. Behrendt, M. / Kaufmann, M., a.a.O., S. 643 f., Berndt, T. / Hoppler, I., a.a.O., S. 2623 (2625).

[110] Vgl. Glaum, M. / Thomaschewski, D. / Weber S., Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen, Folgen für US-Börsennotierungen. In: von Rosen, R. (Hrsg.): Studien des Deutschen Aktieninstituts, Nr. 33, Frankfurt am Main, 2006, S.11 f.; Paetzmann K., Corporate Governance. Strategische Marktrisiken, Controlling, Überwachung, Berlin / Heidelberg: Springer Verlag, 2008, S. 34.

[111] Vgl. Behrendt, M. / Kaufmann, M., a.a.O., S. 643; Zimmermann, G., a.a.O., S. 1061; Breinlinger, A. / Krader, G., a.a.O., S. 2.

[112] Vgl. Schürrle, T. / Fleck, F., a.a.O., S. 219.

[113] Vgl. Berndt, T., Hoppler, I., a.a.O., S. 2623.

[114] Umfassend zu den Organpflichten KPMG (Hrsg.), a.a.O., S. 10 – 16.

[115] Berndt, T. / Hoppler, I., a.a.O., S. 2627 (2628)

[116] Vgl. Wisskirchen, G. / Körber, A. / Bissels, A., a.a.O., S. 1567.

[117] Vgl. Lohre, T., a.a.O., S. 179.

[118] Zu den Risiken und Folgen aus der Verletzung von Amtspflichten von Vorstands- und Aufsichtsratsmitgliedern ausführlich Krieger G. / Schneider U.W., Handbuch Managerhaftung, Vorstand, Geschäftsführer, Aufsichtsrat. Pflichten und Haftungsfolgen. Typische Risikobereiche, 2. neu bearbeitete und erweiterte Auflage, Köln: Dr. Otto Schmid Verlag, 2010, S. 44 ff.

[119] Vgl. Breinlinger, A. / Krader, G., a.a.O., S. 2.

[120] Vgl. Lohre, T., Whistleblowing: Funktionsweise, Modell und Rechtsfragen, in: ZCG 2009, Heft 4/09, S. 166.

[121] Vgl. Abraham, J., a.a.O., S. 11.

[122] Vgl. Berndt, T. / Hoppler, I., a.a.O., S. 2626 (2627).

[123] Vgl. Schulz, M., a.a.O., S. 629.

[124] Vgl. Wybitul, T., [Handbuch] a.a.O., S. 12.

[125] Beispiele und Ausnahmen zum Sitzprinzip bei Wybitul, T., [Handbuch] a.a.O., S. 25.

[126] Zum Begriff personenbezogene Daten § 3 (1) BDSG: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person"; hierzu grafisch aufbereitet, Wybitul, T., [Handbuch] a.a.O. S. 30.

[127] Als Beispiele ist hier eine Vielzahl von Gesetzen zu nennen, beispielsweise Polizeirecht – und Melderecht, Sozialrecht und Sozialversicherungsrecht, Telekommunikationsrecht und Telemedienrecht.

[128] Zur exakten Definition siehe § 2 (1) und (3) BDSG.

[129] Zur exakten Definition siehe § 2 (4) BDSG.

[130] Zur exakten Definition „automatisierte Verarbeitung“ siehe § 3 (2) BDSG; zum Begriff „Dateien“ Richtlinie 95/46/EG, 1995, S. 9: „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird.“

[131] Vgl. Behrendt, M. / Kaufmann, M., a.a.O., S. 644.

Details

Seiten
95
Jahr
2012
ISBN (eBook)
9783656878223
ISBN (Buch)
9783656878230
Dateigröße
1.8 MB
Sprache
Deutsch
Katalognummer
v287361
Institution / Hochschule
Hochschule für angewandte Wissenschaften München
Note
1,0
Schlagworte
Datenschutz BDSG Compliance; Whistleblowing; Whistleblowing-Hotlines; Drittländer; Hinweisgeber; Hinweisgebersysteme; Snowden Warnsysteme; SOX Sarbanes Oxley Act; Düsseldorfer Kreis Compliance-Hotline;

Autor

Teilen

Zurück

Titel: Datenschutzkonforme Ausgestaltung von Whistleblowing-Hotlines