Whistleblowing-Hotlines im Konzern als datenschutz- und arbeitsrechtliche Herausforderung

20/12/2011

Wer kennt nicht das Phänomen der Whistleblower? Aufmüpfige oder auf Recht bedachte Mitarbeiter, die Missstände in Unter­nehmen aufzeigen wollen und vor Retorsionsmaßnahmen ihrer Vorgesetzten geschützt werden müssen.

Whistleblowing-Hotlines im Konzern, über welche Mitarbeiter eines Unternehmens Missstände über Telefonhotlines oder Web-Interfaces melden können, erfreuen sich zunehmender Beliebtheit, führen jedoch gleichzeitig zu datenschutz- und arbeitsrechtlichen Problemen. Im Regelfall wird die Funktionsweise der Hotline von der Konzernmutter vorgegeben und die Datenübermittlung erfolgt an einen – oftmals im Ausland niedergelassenen – Dienstleister, der die Daten zunächst evaluiert und anschließend an die Konzern­mutter oder die Tochter weiterleitet.

Die österreichische Datenschutzkommission (DSK) hat sich bislang in fünf Entscheidungen mit der Zulässigkeit solcher Systeme beschäftigt. Im Widerspruch zum Wortlaut des Datenschutzgesetzes wird die österreichische Tochter als datenschutzrechtliche „Auftraggeberin“ qualifiziert, was zu unangenehmen und weitreichenden Folgen führt. Obwohl die Festlegung der Funktionsweise des Systems meist der Konzernmutter obliegt und die Tochter daher keine Entscheidungsbefugnis hat, hat diese für ein von der Konzernmutter vorgegebenes System einzustehen.

Zunächst besteht für die Tochter die Pflicht zur Meldung der Datenverarbeitung bei der DSK; in Fällen, in denen die Daten in ein außerhalb der EU gelegenes Land transferiert werden, unter Umständen die Pflicht zur Einholung einer Genehmigung (§§ 17 ff DSG). Die entsprechende Datenverarbeitung ist zudem nur zulässig, wenn sie zweckmäßig ist und den schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht entgegensteht (§§ 7 ff DSG). Entsprechend dieser Generalklausel hat die DSK in ihren Judikaten unter Beachtung der Stellungnahme der Artikel-29-Datenschutzgruppe der EU einige Grundsätze für Whistleblowing-Hotlines herausgearbeitet:

  • Bei Zugriffsbefugnis der Konzernmutter auf die Daten ihrer Tochter ist die Meldung auf „Mitarbeiter in Führungs­positionen“ zu beschränken (zuletzt DSK in K178.442), da davon ausgegangen wird, dass die Konzernmutter in die Aufsichtsrechte der Tochter keinen Einfluss haben soll.
  • Darüber hinaus ist nur die Übermittlung solcher Daten zulässig, die für eine Identifizierung des Fehlverhaltens unabdingbar notwendig sind („Datensparsamkeit“).
  • Unternehmensintern sind zahlreiche Sicherheitsvorkehrungen zu treffen, die einen unautorisierten Zugriff auf die Daten verhindern und eine ehestmögliche Löschung gewährleisten.
  • Aus arbeitsrechtlicher Sicht gilt es zu bedenken, dass bei Betreiben einer Whistleblowing-Hotline wohl die Zustimmung des Betriebsrates einzuholen ist (§ 96 ArbVG), wenngleich hierüber in der Lehre noch Uneinigkeit besteht und die DSK sich hierzu noch nicht geäußert hat.

Auswirkungen für die Praxis

Zur Vermeidung langwieriger Meldeverfahren vor der DSK empfehlen wir, bei Einrichtung einer Whistleblowing-Hotline jedenfalls rechtliche Beratung einzuholen.

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner
Mag. Lelio Colloredo-Mannsfeld