37

Erfordernis einer Betriebsvereinbarung bei Genehmigung eines Hinweisgebersystems bei der Datenschutzkommission

RAINERKNYRIMRENATERIEDL (WIEN)
DSK 14.12.2012 K600.320-005/0003-DVR/2012
  1. Vor Einführung eines Hinweisgebersystems im Unternehmen ist zur Genehmigung bei der DSK eine angemessene BV abzuschließen.

  2. Die Wahl der BV richtet sich nach der konkreten Ausgestaltung des Systems im Unternehmen.

Die N GmbH hat mit Schreiben vom 2.9.2011 eine Meldung für eine Datenanwendung mit der Bezeichnung „Hinweisgebersystem“ (Datenanwendungsnummer xxxxxxx/yyy), beim Datenverarbeitungsregister eingebracht. Diese Meldung dient zur Einrichtung eines internen Verfahrens zur Meldung von Missständen, wobei Meldungen auf zwei unterschiedliche Arten eingebracht werden können:

Zum einen kann ein Mitarbeiter der Auftraggeberin eine Meldung an den lokalen Compliance Officer der Auftraggeberin erstatten. Dies ergibt sich aus Pkt III.1. der Beschreibung des Hinweisgebersystems, die mit der Meldung vorgelegt wurde („N Group RL zum Hinweisgebersystem“). Der Compliance Officer hat die Einordnung der jeweiligen Meldung dahin vorzunehmen, ob es sich um einen schweren Verstoß iSd Pktes 2. des Dokuments „Ergänzung zur RL zum Hinweisgebersystem Version: xxx-2011 (10) final“, der auf Konzernebene bearbeitet werden muss, oder um eine leichte Verfehlung, die lokal untersucht wird (Pkt 1. des genannten Dokuments), handelt. Soweit sich die Meldung auf einen schweren Verstoß bezieht, werden die Meldungen von der Auftraggeberin an die N Company zur Verfolgung und Ermittlung übermittelt.

Daneben soll der Mitarbeiter die Möglichkeit haben, eine direkte Meldung mutmaßlicher Missstände an die Konzernmutter in Deutschland, die N Company, zu erstatten. Dies ergibt sich aus Pkt III.2. der „N Group RL zum Hinweisgebersystem“.

Meldungen in den folgenden Bereichen gelten laut „Ergänzung zur RL zum Hinweisgebersystem Version: xxx-2011 (10) final“ als schwere Verstöße und sollen in beiden Fällen an die Konzernmutter zur Ermittlung und Verfolgung übermittelt werden:

  • Verstoß (oder Teilnahme daran) gegen Vorschriften der ordnungsgemäßen Rechnungslegung und Buchhaltung,350

  • Verstoß gegen interne Rechnungslegungskontrollen,

  • Fragen der Wirtschaftsprüfung,

  • Korruption, Bestechung,

  • Betrug, soweit der mutmaßliche Vermögensschaden einen Wert von € 50.000,– übersteigt,

  • Geldwäsche,

  • Insiderhandel,

  • sonstige Finanzkriminalität, soweit der mutmaßliche Vermögensschaden einen Wert von € 50.000,– übersteigt,

  • Kartellrechtsverstöße,

  • Verstoß gegen die konzernintern verbindlichen Bestimmungen des Verhaltenskodex, soweit es die Regelungen betreffend Rechnungslegung, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption und Finanzkriminalität, und Insiderhandel, betrifft,

  • Verstoß gegen die konzernintern verbindliche RL zur Einhaltung kapitalmarktrechtlicher Vorschriften,

  • Verstoß gegen die konzernintern verbindliche RL zur Einhaltung kartellrechtlicher Vorschriften,

  • Verstoß gegen die konzernintern verbindliche RL zum Umgang mit Einladungen und Geschenken,

  • Verstoß gegen die konzernintern verbindliche RL zur Einhaltung exportkontrollrechtlicher Vorschriften.

Alle übrigen Verstöße, die in der N Group RL zum Hinweisgebersystem angeführt sind, werden an die Antragstellerin als AG zur normalen Bearbeitung zurückgeleitet, egal wie sie gemeldet wurden.

Auf Anfrage der DSK nach einer BV hat die Antragstellerin ein mit 20.7.2012 datiertes Schreiben des Betriebsausschusses der N GmbH vorgelegt, in dem diese die Meinung vertritt, dass das gegenständliche Hinweisgebersystem ohne BV eingeführt werden könne. Der Betriebsausschuss verzichtete ausdrücklich auf den Abschluss einer diesbezüglichen BV.

Zum Betrieb der Hotline wird kein Dienstleister eingesetzt. [...]

Wie im Sachverhalt ausgeführt, sind Maßstab für den zu meldenden „Missbrauch“ die konzerninternen Verhaltensregeln. Für die Mitarbeiter der Antragstellerin haben diese Regeln rechtliche Relevanz durch die „N Group RL zum Hinweisgebersystem“, in der das Recht und auch die Aufforderung zur Meldung von schwerwiegenden Verstößen festgehalten sind. Verstöße gegen diese Verhaltensregeln werden daher zumindest arbeitsrechtlich nicht irrelevant sein, sodass dem AG ein überwiegendes berechtigtes Interesse an der Kenntnis von solchen Verstößen zuzubilligen ist.

Die DSK geht regelmäßig davon aus, dass es sich bei Kontrollsystemen wie dem hier einzuführenden um solche handelt, die den Mitwirkungsrechten der §§ 96, 96a ArbVG unterliegen. Diese Bestimmungen sind nicht disponibel und daher unabhängig von der Einschätzung des BR einzuhalten, um dadurch auch die „Rechtmäßigkeit“ der Datenanwendung als Voraussetzung für die datenschutzrechtliche Genehmigung herzustellen. Dies wird durch die Auflage laut Pkt 8. des Spruches verdeutlicht. Die in der Stellungnahme vom 6.11.2012 von der Auftraggeberin dazu vertretene Auffassung, die von ihr geplante Maßnahme unterliege nicht den Mitwirkungsrechten des BR, weil die Auftraggeberin ihre Mitarbeiter nicht zur Überwachung auffordere, sondern ihnen nur eine Möglichkeit der Meldung illegalen Verhaltens anbiete, überzeugt nicht. Dazu genügt – ohne dass es einer grundsätzlichen Erörterung der Tauglichkeit dieses Argumentes bedarf – schon der Hinweis auf den von der Auftraggeberin vorgelegten Verhaltenskodex, aus dem hervorgeht, dass „Mitarbeiter ... darin bestärkt und dazu angehalten [werden], mögliche Verletzungen des Verhaltenskodex mitzuteilen“.

Ein überwiegendes berechtigtes Interesse der Konzernspitze an der Kenntnis von allen Verstößen gegen die konzerninternen Verhaltensregeln wird demgegenüber nicht anzunehmen sein, da dies unverhältnismäßig wäre. Eine sachliche Rechtfertigung für die Übermittlung von Missbrauchsdaten zum Zweck der Aufklärung und Untersuchung von Vorfällen wird nur dann anzunehmen sein, wenn dieser Zweck bei der Antragstellerin selbst nicht zweifelsfrei erreicht werden kann: Im Umfang der Meldung von maßgeblichen Verstößen, die Mitarbeitern der Antragstellerin in Führungspositionen oder vergleichbar hochgestellten Positionen angelastet werden, anerkennt die DSK das Bestehen eines überwiegenden berechtigten Interesses an der Übermittlung der Meldungsdaten an die Konzernspitze, da nur auf diese Weise mit hinlänglicher Sicherheit eine objektive und vollständige Aufklärung der erhobenen Vorwürfe zu erwarten ist. Im Spruch war daher die Genehmigung auf die Übermittlung von Daten über Meldungen über solche Verdachtsfälle zu beschränken. Die Meldung von Vorfällen, die keine leitenden Angestellten betreffen, wäre nicht zulässig, weil in solchen Fällen die Antragstellerin selbst ohne Hilfe der Konzernmutter das Problem bereinigen kann. In dem Fall, dass ein Mitarbeiter von geringerem Einfluss auf die Unternehmensführung einen schwerwiegenden Verstoß verursacht, wäre eine Meldung an die Konzernspitze dann zulässig, wenn die Vorgesetzten ihre Aufsichtspflicht nicht korrekt wahrnehmen und dadurch ihrerseits maßgeblich gegen die Konzernrichtlinien verstoßen.

Die Zulässigkeit der Übermittlung von Missbrauchsdaten bedarf angesichts ihres hohen Schadenspotentials für den Beschuldigten besonderer Begleitmaßnahmen, um eine Verletzung von Datenschutzrechten hintanzuhalten. Die Antragstellerin hat jene organisatorischen Begleitmaßnahmen im Antrag beschrieben, die im antragsgegenständlichen internen Verfahren zum Schutz von Betroffenenrechten vorgesehen sind. Sie entsprechen weitgehend jenen besonderen Garantien, die in der Äußerung WP 117 der Art 29-Gruppe für eine datenschutzkompatible Führung einer „whistle blowing hotline“ verlangt werden. Da diese Begleitmaßnahmen für die Zulässigkeit der Datenanwendung wesentlich sind, war ihre Umsetzung im Falle von Übermittlungen als Auflage in die Genehmigung aufzunehmen.

Anmerkung

Mit der vorliegenden E hat die DSK ihre geltende Rsp zum Thema Whistleblowing um einen wesentlichen Aspekt aus arbeitsrechtlicher Sicht erweitert. Bei einem Whistleblower- oder Hinweisgebersystem wird von einem Unternehmen ein Prozess definiert, bei dem eine Mitarbeiterin* einen unternehmens351internen Missstand aufzeigen kann (siehe zu den verschiedenen nicht einheitlichen Definitionen Aschauer, Whistleblowing im Arbeitsrecht [2012] 24 ff). Die Ausgestaltung solcher Systeme ist vielfältig: Die Möglichkeiten, ein Fehlverhalten einer Mitarbeiterin an das Unternehmen oder die Konzernmutter zu melden, reichen von Internetanwendungen über die Einrichtung eigener E-Mailadressen bis hin zu mehrsprachigen Telefonhotlines.

Die Verwendung personenbezogener AN-Daten im Rahmen eines solchen Systems ist dabei generell als zulässig zu erachten, da überwiegende berechtigte Interessen des Unternehmens die schutzwürdigen Interessen der AN überwiegen. Eine Beschränkung der Zulässigkeit wird dabei regelmäßig auf die Meldung von wesentlichen und erheblichen Verstößen, insb etwa in Bezug auf Rechnungslegung, Korruption, Geldwäsche, Kartellrecht und andere schwere Verstöße vorliegen (siehe Brodil, ecolex 2009, 1027). Die Mitarbeiterinnen sind im Arbeitsvertrag oder sonst durch eine generelle Weisung zur Einhaltung der meist in Unternehmensrichtlinien definierten Verstöße verpflichtet. Eine Meldung schwerwiegender Missstände ergibt sich bereits aus der allgemeinen Treuepflicht des AN.

1
Geltende Judikatur der Datenschutzkommission zur Genehmigung einer Whistleblowing-Hotline

Bei einem Whistleblowing-System werden strafrechtlich relevante Daten verarbeitet, welche vor Aufnahme der Datenanwendung der Vorabkontrolle durch die DSK iSd § 18 Abs 2 Z 2 DSG 2000 unterliegen. Im Zuge des Genehmigungsverfahrens kann die DSK dem Auftraggeber Auflagen durch Bescheid erteilen. In der Vergangenheit hat die DSK in Anlehnung an die Empfehlungen der Art 29-Gruppe folgende Auflagen erarbeitet:

  • Die für die Entgegennahme und Bearbeitung einer Meldung zuständige Stelle muss von anderen Unternehmens- bzw Konzernabteilungen organisatorisch strikt getrennt sein und über besonders geschultes Personal verfügen.

  • Anonyme Meldungen sollen zwar möglich sein, aber nicht gefördert werden.

  • Dem Beschuldigten soll grundsätzlich Zugang zu den Anschuldigungen gewährt werden, außer es wird dadurch der Zweck der Untersuchung vereitelt.

  • Die Identität der meldenden Person wird nur dann offengelegt, wenn eine Meldung bewusst falsch vorgenommen wurde.

  • Es muss spätestens zwei Monate nach Abschluss der Untersuchung eine Löschung der Daten stattfinden.

  • Die Mitarbeiterinnen sind im Arbeitsvertrag oder durch sonstige generelle Weisung zur Einhaltung der Unternehmens-RL in Bezug auf das Hinweisgebersystem und zur Meldung über wahrgenommene Verstöße gegen die RL verpflichtet.

  • Eine Übermittlung der personenbezogenen Daten an die Konzernmutter darf nur dann erfolgen, wenn es sich um maßgebliche Verstöße eines leitenden Angestellten handelt (siehe Aschauer, CFO aktuell 2013, 64 ff bzw Leissler, Datenschutzrechtliche Zulässigkeit von Whistleblowing-Hotlines, Jahrbuch Datenschutzrecht 2010, 170 ff, sowie Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2, E2 bis E5 zu § 13 und Anh V/7).

2
Zusätzliche arbeitsrechtliche Auflage zur Genehmigung

Die DSK hat die bestehende Judikatur nun um die Auflage erweitert, für die Einführung eines Hinweisgebersystems eine angemessene BV abzuschließen. Nach der rechtlichen Würdigung der vorliegenden E geht die DSK regelmäßig davon aus, dass es sich bei Whistleblowing- oder Hinweisgebersystemen um Kontrollsysteme handelt, die den Mitbestimmungsrechten der §§ 96, 96a ArbVG unterliegen.

Im vorliegenden Fall fragte die DSK im Rahmen des Verbesserungsverfahrens zur Registrierung der vorabkontrollpflichtigen Datenanwendung die Antragstellerin nach einer BV. Diese legte ein Schreiben des Betriebsausschusses vor, in dem dieser auf den Abschluss einer BV für das gegenständliche Hinweisgebersystem sogar ausdrücklich verzichtete. Nach Ansicht der Antragstellerin würden die Mitarbeiterinnen gar nicht zur Überwachung aufgefordert, sondern wäre das Hinweisgebersystem nur ein Anbot, illegales Verhalten zu melden. Die geplante Maßnahme unterliege daher nicht den Mitwirkungsrechten des BR. Die DSK zeigte sich von dieser Rechtsansicht nicht überzeugt und verwies auf den von der Auftraggeberin vorgelegten Verhaltenskodex, in dem die Mitarbeiterinnen darin bestärkt und angehalten werden, mögliche Verletzungen des Verhaltenskodex mitzuteilen. Nach Ansicht der DSK ist diese Formulierung im Verhaltenskodex bereits ausreichend, um eine die Menschenwürde berührende Kontrollmaßnahme anzunehmen, da sich die AN durch die Aufforderung zur Meldung von mutmaßlichen Verstößen ständig gegenseitig überwachen würden. Daher verfügte die DSK die Registrierung des Hinweisgebersystems nur unter der aufschiebenden Bedingung, dass eine dem Sachverhalt angemessene BV abgeschlossen werde.

3
Arbeitsverfassungsrecht vor der Datenschutzkommission?

Einschlägige Judikatur zum Thema Betriebsvereinbarungspflicht bei Whistleblowing-Systemen fehlte bis dato. Fraglich ist, ob die DSK zur Entscheidung in arbeitsrechtlichen Fragen überhaupt zuständig ist. Gem § 35 DSG 2000 ist die DSK zur Wahrung des Datenschutzes – unbeschadet der Zuständigkeit der ordentlichen Gerichte – berufen. Gem § 2 ASGG sind zu Entscheidungen über Arbeitsrechtssachen hingegen die ordentlichen Gerichte berufen. Die datenschutzrechtliche Zulässigkeit eines Hinweisgebersystems wurde durch die restriktive Handhabung und die Erteilung strikter Auflagen zur Genehmigung in den letzten Jahren definiert. Die DSK hat sich nun mit ihrer rechtlichen Bewertung eines Hinweisgebersystems aus arbeitsrechtlicher Sicht eindeutig geäußert, und die Registrierung nur unter der aufschiebenden Bedingung des Abschlusses einer angemessenen BV verfügt.

In der Literatur gibt es unterschiedliche Ansichten, die durchaus eine gegenteilige Rechtsauffassung zum352 Erfordernis einer BV für ein Hinweisgebersystem aufzeigen. Einige Autoren gehen sogar davon aus, dass bei Einführung eines Hinweisgebersystems überhaupt keine BV notwendig sein muss.

So äußert Reis die Ansicht, bei einer Whistleblowing Hotline bestünden keineswegs Mitwirkungsrechte der Belegschaftsvertretung, da eine Meldung nur Entscheidungsträgerinnen betreffe, welche als leitende Angestellte nicht dem betriebsverfassungsrechtlichen AN-Begriff unterliegen. Die Frage nach dem Vorliegen einer Kontrollmaßnahme oder eines technischen Systems zur Kontrolle der AN, welche die Menschenwürde berühren, stelle sich für eine Hotline nicht einmal (RdW 2009, 399).

Ähnlich kritisch zeigt sich Mazal, der eine Zustimmung des BR von der konkreten Ausgestaltung des Systems abhängig macht. So seien Whistleblowing-Systeme oft nur Instrumente, die dazu dienen, bei Vorliegen eines konkreten Verdachtes auf Unregelmäßigkeiten die Entscheidungsträgerinnen zu alarmieren, um eine Klärung herbeizuführen. Damit liege kein Kontrollsystem vor, und die Frage, ob die Menschenwürde berührt würde, stelle sich nicht. Es würde lediglich ein Mechanismus definiert, welcher geeignet sei, einen Verdacht einer Klärung zuzuführen (ecolex 2009, 1033 ff).

Im gegenständlichen Fall hat sich die DSK dieser Argumentation gerade nicht angeschlossen. Ob die Zivilgerichte das tatsächliche Erfordernis des Abschlusses einer BV ebenso sehen, bleibt abzuwarten.