Prävention von Wirtschaftskriminalität in Unternehmen

Kaptitel 3.1.4, Whistleblowing in Recht und Rechtsprechung

Ein effizientes Risiko- und Kontrollmanagement in Unternehmen in Deutschland verlangt das KonTraG, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. Zwar wurden keine Mindestanforderungen festgelegt - die Folge war allerdings, dass im Aktiengesetz § 91 Abs. 2 eingefügt wurde. Diese Regelung verpflichtet den Vorstand, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Nach § 317 Abs. IV HGB muss der Abschlussprüfer beurteilen, ob der Vorstand diese Maßnahmen „in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann“. Ziffer 4.1.4 des Deutschen Corporate Governance Kodex sieht nur in sehr allgemeiner Weise vor, dass der Vorstand „für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen“ sorgt. Klare Regelungen zum Whistleblowing, wie im angloamerikanischen und französischen Ausland, sucht man in Deutschland vergeblich.

Hierzulande hat sich vor allem die arbeitsgerichtliche Rechtsprechung mit dem Thema auseinander gesetzt. Für Aufsehen sorgte das sog. Wal-Mart-Urteil: Das amerikanische Handelsunternehmen Wal-Mart führte in seinen deutschen Filialen einen Verhaltenskodex ein, der unter anderem vorsah, dass Verstöße gegen den Kodex anonym über eine dafür eingerichtete Hotline gemeldet werden sollen. Das Arbeitsgericht Wuppertal entschied, dass das Betreiben einer anonymen Telefonhotline, um Verstöße von Arbeitnehmern gegen den Verhaltenskodex zu melden, als eine technische Überwachungseinrichtung i. S. d. § 87 Abs. 1 Nr. 6 BetrVG anzusehen ist und deshalb mitbestimmungspflichtig ist. Der Betriebsrat wurde bei Wal-Mart nicht beteiligt. Es folgte eine erfolglose Beschwerde von Wal-Mart beim Landesarbeitsgericht Düsseldorf. Die Entscheidung besagt jedoch nicht, dass Whistleblower-Hotlines grundsätzlich unzulässig sind. Es empfiehlt sich, nur dann ein Whistleblowingsystem zu implementieren, wenn der Betriebsrat zugestimmt hat und es der Belegschaft bekannt gemacht worden ist.

Whistleblowing und Datenschutz: Da über Hotlines kommunizierte Informationen typischerweise das persönliche Verhalten von Mitarbeitern betrifft, stellen sie personenbezogene Daten i. S. v. § 3 Abs. 1 BDSG dar. Werden die Daten gespeichert und anschließend verwendet, liegt gemäß § 3 Abs. 3 und 5 BDSG eine Datenerhebung und -nutzung vor. Dies setzt voraus, dass das einführende Unternehmen ein berechtigtes Interesse an der Speicherung personenbezogener Daten hat und das schutzwürdige Interesse des Arbeitnehmers übertrifft. Problematisch ist, wann ein solches berechtigtes Interesse vorliegt.

Mit diesem unbestimmten Rechtsbegriff hat sich eine Gruppe von europäischen Datenschützern, die sog. Art. 29-Gruppe, beschäftigt. Anlass war, den Unternehmen die Einführung von Whistleblowingsystemen nach dem Sarbanes-Oxley Act zu erleichtern und gleichzeitig die Einhaltung europäischer Datenschutzregelungen zu gewährleisten. Die Empfehlungen beinhalten strenge Voraussetzungen an die Zulässigkeit solcher Systeme:

1. Es kann eine rechtliche Verpflichtung des betreffenden EU-Staates bestehen, wie es sie im Bankwesen bereits gibt.

2. Ein berechtigtes Interesse des Unternehmens zur Datenerhebung ist gegeben, wenn es das Interesse und die Grundrechte der betroffenen Person übersteigt. Dies liegt dann vor, wenn die Stabilität des Unternehmens und des Marktes oder Interessengruppen, wie Aktionäre, geschützt werden.

3. Außerdem muss eine Verhältnismäßigkeitsprüfung stattfinden, die das Interesse der Datenverarbeitung mit den Rechten des Betroffenen abwiegt. Dabei weist die Art. 29-Gruppe insbesondere darauf hin, dass Whistleblower identifizierbar und nicht anonym bleiben sollen. Als Gründe nennt sie die Möglichkeit von Rückfragen sowie die Widerlegung unberechtigter Vorwürfe. Daneben sollte das System nicht zur Leistungskon-trolle und Mitarbeiterbeurteilung dienen und Daten nur für eine begrenzte Zeit aufgezeichnet sowie ausschließlich zum vorgesehenen Zweck verarbeitet werden.

Gemäß Wisskirchen et al. sollten Unternehmen bei der Implementierung solcher Systeme darauf achten, dass „die Anzeige nicht anonym erfolgt, die Inhalte einer Anzeige auf bestimmte Bereiche und damit auch auf bestimmte Personen begrenzt bleibt und die Identität des Whistleblowers soweit wie möglich geschützt ist“. Der sachliche Anwendungsbereich sollte beschränkt werden auf das Rechnungs-, Finanz- und Bankwesen. Mehr verlange auch der Sarbanes Oxley Act nicht...