Das Whistleblowing-System ist eine Erfindung aus dem anglo-amerikanischen Raum. Es bietet dem Arbeitgeber die Möglichkeit, ein Verfahren einzuführen, mit dem er frühzeitig auf Missstände innerhalb des Unternehmens hingewiesen wird.
Besonders Unternehmen, die in den USA börsennotiert sind, führen eine Ethik-Richtlinie ein, die Verhaltensstandards von den Mitarbeitern einfordert. So kann diese beispielsweise regeln, ob Mitarbeiter Geschenke, Kredite oder andere immaterielle Vorteile annehmen dürfen. Auch kann ein Handelsverbot mit Aktien für Mitarbeiter ausgesprochen werden, wenn man als Mitarbeiter Insiderinformationen hat. Ebenso kann der Umgang mit Unternehmenseigentum geregelt werden. Verstöße gegen diese Ethikrichtlinie können dann durch die Mitarbeiter über ein Whistleblowing-System gemeldet werden. Solche Meldungen werden dabei vertraulich behandelt.
Auch in Deutschland für Unternehmen interessant
Grundlage für solch ein Meldesystem ist beispielsweise in den USA der Sarbanes-Oxley-Act, der für börsennotierte Unternehmen ein solches System explizit vorschreibt. Aber auch die deutsche Gesetzgebung fordert sogenannte Compliance-Maßnahmen, die die Einhaltung von Recht und Gesetz sicherstellen sollen. So ist es den Unternehmen nach § 130 OWiG gesetzlich vorgeschrieben, Aufsichtsmaßnahmen durchzuführen, die unternehmensbezogene Straftaten oder Ordnungswidrigkeiten verhindern. Andernfalls drohen Bußgelder. Auch im Deutschen Corporate Governance Kodex (DCGK), der ein Regelwerk für gute Unternehmensführung darstellt, findet sich unter Ziffer 4.1.3 der Hinweis, dass „der Vorstand […] für die Einhaltung der gesetzlichen Bestimmungen und der unternehmerischen Richtlinien zu sorgen“ und „auf deren Beachtung durch die Konzernunternehmen hinzuwirken [hat]“.
Whistleblowing hat den Vorteil, dass Missstände intern aufgeklärt werden können, ohne dass die Öffentlichkeit davon erfährt und ein Imageschaden verhindert werden kann.
Dies ist für die Arbeitnehmer eines Unternehmens auch deswegen von großer Relevanz, da diese aus ihrem Treueverhältnis zum Arbeitgeber verpflichtet sind, den Arbeitgeber zunächst auf interne Missstände aufmerksam zu machen. Übergeht er seinen Arbeitgeber und wendet sich direkt an die Öffentlichkeit, kann dies ein Kündigungsgrund sein. Eine Ausnahme besteht dann, wenn der Arbeitgeber selbst gegen Recht und Gesetz verstößt.
Es gibt in der Praxis verschiedene Wege, um ein Whistleblowings-System umzusetzen: Über eine (anonyme) Hotline, „Kummerkästen“, einen externen Ombudsmann oder über ein Internetportal eines Unternehmens, welches ein Hinweisgebersystem online entwickelt hat.
Datenschutz ist auch beim Whistleblowing zu beachten
Da im Rahmen des Whistleblowing-Systems Daten von Mitarbeitern erhoben und verarbeitet werden, bedarf es hierfür einer datenschutzrechtlichen Rechtfertigung. Seit der Einführung des § 32 BDSG im Jahre 2009 stellt sich die Frage, ob nicht auch § 28 BDSG – wie bis 2009 geschehen – auf Arbeitsverhältnisse anwendbar ist und daher § 28 Abs. 1 Nr. 2 BDSG als datenschutzrechtliche Rechtfertigung für ein Whistleblowing-System herangezogen werden kann. Allerdings hat der Gesetzgeber in seiner Begründung zur Neueinführung des § 32 BDSG deutlich gemacht, dass eine Anwendung von § 28 Abs. 1 Nr. 2 BDSG nur möglich ist, wenn Daten nicht zu Zwecken des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden. Da jedoch ein Whistleblowing-System regelmäßig die Erhebung und Verarbeitung von Mitarbeiterdaten zum Gegenstand hat, sollte in der Praxis der Maßstab des § 32 BDSG herangezogen werden. Konkret ist hier ein Whistleblowing-System, welches vor allem eine präventive Compliance-Maßnahme darstellt, an § 32 Abs. 1 S. 1 BDSG zu messen. Danach muss eine solche Maßnahme erforderlich sein. Dies bedeutet, dass hier zwischen den Interessen des Arbeitgebers auf eine effektive Unternehmensführung und den Rechten der Mitarbeiter abgewogen werden. Bei der Ausgestaltung der Systeme ist daher in datenschutzrechtlicher Hinsicht einiges zu beachten.
Konkrete Vorgaben durch den Düsseldorfer Kreis
So hat der Düsseldorfer Kreis, ein Gremium Datenschutzbeauftragten des Bundes und der Länder, einige Anforderungen an solch ein Hinweisgebersystem aufgestellt: Dabei wird unterschieden zwischen „harten“ und „weichen“ Faktoren.
Zur ersten Kategorie gehören Verhaltensweisen, die einen Straftatbestand erfüllen und sich gegen das Unternehmen richten (Betrug und Fehlverhalten in Bezug auf Rechnungslegung und interne Rechnungslegungskontrollen, Wirtschaftsprüfungsdelikte, Korruption, Banken- und Finanzkriminalität und verbotene Insidergeschäfte). Ebenfalls zu den harten Faktoren gehören Verhaltensweisen, die gegen Menschenrechte verstoßen (Ausnutzung von Kinderarbeit für günstige Produktionsbedingungen) oder Verstöße gegen Umweltschutzbelange. Whistleblowing im Bereich dieser „harten“ Faktoren stehen keinerlei datenschutzrechtliche Bedenken entgegen.
„Weiche“ Faktoren sind Verhaltensweisen, die unternehmensinterne Verhaltensregeln betreffen, wie zum Beispiel das Gebot der Freundlichkeit bei der Kundenbetreuung oder das Verbot von Liebesbeziehungen unter den Mitarbeitern. Während letztere Verhaltensregel zu tief in das Persönlichkeitsrecht der einzelnen Mitarbeiter eingreift und nicht Gegenstand einer Ethik-Richtlinie und auch nicht einer Meldung in einem Whistleblowing-System sein darf, ist bei der ersten Verhaltensregel eine klar umrissene Definition nicht erkennbar, um einen Verstoß einwandfrei identifizieren zu können. Grundsätzlich sollten Verhaltensregeln mit „weichen“ Faktoren daher nicht in eine Ethik-Richtlinie aufgenommen und auch nicht über ein Whistleblowing-System gemeldet werden.
Darüber hinaus sind grundsätzlich alle am Verfahren Beteiligten sowohl über die Existenz, den Zweck und die Funktionsweise des Verfahrens zu unterrichten, als auch über ihre diesbezüglichen Datenschutzrechte zu informieren. Wichtig ist festzuhalten, dass die Möglichkeit anonymer Meldungen nicht der Regelfall sein sollte, sondern die Ausnahme, um Denunziantentum zu vermeiden. Um trotzdem Meldungen zu ermöglichen, sollte sichergestellt werden, dass die Identität des Hinweisgebers im Verfahren vertraulich behandelt wird. Ebenso ist hervorzuheben, dass bei einem internen System darauf zu achten ist, dass das Personal für das Hinweisgebersystem entsprechend qualifiziert und unabhängig von der Personalabteilung ist.
Fazit
Gesetzlich explizit vorgeschrieben ist ein Whistleblowing-System in Deutschland nicht. Allerdings kann es eine effiziente Compliance-Maßnahme für Unternehmen sein.
Bei der Ausgestaltung solch eines Systems sind datenschutzrechtliche Vorgaben zu beachten. So sollte eine anonymisierte Meldung nur im Ausnahmefall möglich sein, um Denunziantentum zu vermeiden. Auch sollte das Whistleblowing auf Angelegenheiten der Erfüllung von Straftatbeständen, die sich gegen das Unternehmen richten und auf Meldungen von Menschenrechtsverstößen beschränkt werden.