Ausgeplaudert

Ausgeplaudert Foto: Thinkstock

Die provisorische Whistleblower-Hotline der Wirtschafts- und Korruptionsanwaltschaft wird mit Jahresbeginn zur gesetzlich geregelten Dauereinrichtung. Unternehmen setzen zunehmend auf firmeninterne Hotlines oder Vertrauenspersonen. Aber im Gegensatz zu anderen Ländern hat das »Verpfeifen« in Österreich keine Tradition. Der Grat zwischen Transparenz und Denunziantentum ist schmal.

Der Skandal um falsche Angaben über den CO2-Ausstoß bei Volkswagen wäre im vollen Ausmaß vielleicht erst viel später ans Licht gekommen, hätte ein Wolfsburger Ingenieur nicht sein Schweigen gebrochen. Andere Mitarbeiter der Abteilung Forschung und Entwicklung bestätigten die Manipulationen gegenüber der Konzernrevision. Mit legalen Mitteln hätte die von CEO Martin Winterkorn vollmundig angekündigte Reduktion der Abgaswerte um 30 % nie erreicht werden können, gaben die Techniker an. Niemand traute sich aber, den VW-Chef mit dieser Tatsache zu konfrontieren – bis einer von ihnen den Stein ins Rollen brachte.

Hätte der Automobilkonzern schon früher auf intern kursierende Hinweise reagiert, wäre der Schaden vermutlich überschaubar geblieben. Das Aufzeigen unerlaubter Sachverhalte ist jedoch nicht überall erwünscht, lieber kehrt man unangenehme Vorkommnisse unter den Teppich. Noch immer schwingt hier ein wenig das Gefühl des »Verpetzens« oder »Anschwärzens« mit. Informanten fürchten, als Verräter gebrandmarkt zu werden. Dabei wären Mitarbeiter schon durch die im Arbeitsrecht angeführten »Nebenpflichten« dazu angehalten, meint Anna Mertinz, Juristin in der Kanzlei KWR Karasek Wietrzyk Rechtsanwälte: »Die Verpflichtung von Arbeitnehmern, ihren Arbeitgeber über Missstände im Arbeitsumfeld zu informieren, ergibt sich eigentlich bereits aus der allgemeinen Treuepflicht.« Gemäß dieser Treue- und Geheimhaltungspflicht müssen Vorfälle erst intern an Vorgesetzte oder die Geschäftsleitung berichtet werden, bevor sie nach außen gelangen.

Strenge Richtlinien

In Österreich wurde das Bewusstsein diesbezüglich nur recht zögerlich geschärft. Das vom Justizministerium zunächst probeweise für zwei Jahre eingerichtete anonyme Hinweisgebersystem zur Aufklärung von Wirtschafts- und Korruptionsstraftaten ist seit Jahreswechsel fixer Bestandteil des Rechtssystems. Die Finanzmarktaufsicht (FMA) betreibt seit Anfang 2014 eine ähnliche Anlaufstelle, die sich ebenfalls primär an die Bevölkerung richtet.
Im Gegensatz zu diesem »externen« Whistleblowing etablieren sich für die Aufdeckung »interner« Missstände in Unternehmen zunehmend eigene Kontroll- und Compliance-Systeme. Ihre Einrichtung ist grundsätzlich zulässig, allerdings nur innerhalb enger rechtlicher Schranken. Eine gesetzliche Verpflichtung dazu existiert in Österreich jedoch nur für den Finanzdienstleistungssektor. Hier sieht das Bankwesengesetz vor, dass Mitarbeiter unter Wahrung der Vertraulichkeit betriebsinterne Verstöße gegen bankrechtliche Aufsichtsregelungen an »eine geeignete Stelle« melden müssen. Heimische Unternehmen, die selbst oder als Teil eines Konzerns an einer US-Börse notieren, sind aufgrund der dortigen Rechtsvorschriften zur Einrichtung eines internen Meldewesens verpflichtet.

Geht das Hinweissystem eines Unternehmens über einen anonymen Beschwerde-Briefkasten hinaus, unterliegt es strengen Auflagen. Eine Hotline, die automationsunterstützt personenbezogene Daten verarbeitet, bedarf zuvor einer Prüfung durch die Datenschutzbehörde (DSB). Der Genehmigungsprozess ist langwierig, der Anforderungskatalog höchst komplex. Die DSB genehmigt Whistleblower-Hotlines nur, wenn ausschließlich schwere Vergehen von leitenden Mitarbeitern und Entscheidungsträgern geahndet werden. Erfolgt der Betrieb der Hotline durch einen externen Dienstleis­ter, muss der Vertrag zahlreiche zusätzliche Klauseln umfassen. Karin Mair, Forensic-Expertin und Partnerin bei Deloitte, em-pfiehlt eine professionelle, konsequente Umsetzung, wenn die Meldestelle unternehmensintern ernst genommen werden soll: »Es ist ein Leichtes, eine Hotline einzuführen, aber ein Schweres, eine Hotline zu betreiben.«

Daten verschlüsselt

Bisher erteilte die DSB 54 Unternehmen die Erlaubnis. Tatsächlich dürfte es aber in weit mehr Betrieben in Österreich Hinweisgebersysteme geben, beispielsweise benannt als »Ombudsmann« oder »Beschwerdepostfach«. Im Prinzip ist das legitim – allerdings sollte in jedem Fall der Betriebsrat eingebunden werden, um den Verdacht, Mitarbeiter würden ausspioniert, auszuräumen.

Um hier keine Zweifel aufkommen zu lassen, muss das Hinweisgebersystem wasserdicht sein. Der Kommunikationskanal ist absolut vertraulich zu handhaben. Name und Kontaktdaten des Informanten, der Beschuldigten und allfälliger Zeugen sowie der Tatbestand unterliegen in der Meldestelle höchs­ten Datenschutzbestimmungen. »Da auch potenziell strafrechtswidrige Daten verarbeitet werden, ist die Datenanwendung auch dem  Datenverarbeitungsregister (DVR) zu melden«, erklärt Roland Marko, Partner bei Wolf Theiss. Das klassische E-Mail-Postfach bietet aufgrund der technischen Zugriffsmöglichkeiten keine ausreichende Datensicherheit. Über ein online-basiertes System kann der Hinweisgeber dagegen verschlüsselt mit der Meldestelle kommunizieren. Metadaten, die Rückschlüsse auf seine Identität enthalten, werden gezielt unterdrückt oder gelöscht.

Aus Fehlern lernen

Ein solcherart umfassendes System bildet die Basis für effizientes Risikomanagement und sollte in einem modernen Unternehmen Standard sein. Der Vorteil: Die Unternehmensleitung erfährt frühzeitig von Missständen, bevor Gerüchte nach außen dringen. Österreich-Ablegern von internationalen Konzernen bleibt bezüglich der Einführung eines Hinweisgebersystems keine Wahl. In Zeiten von Compliance-Richtlinien ist Whistleblowing vielfach schon eine Selbstverständlichkeit.
Wie eine im Winter 2013/14 von der FH Campus Wien gemeinsam mit der Bremer Hochschule für Öffentliche Verwaltung durchgeführte Studie zeigt, besteht in Österreich aber noch reichlich Nachholbedarf. Befragt wurden Führungskräfte der Top-100-Unternehmen in der DACH-Region. Während in Deutschland 80 % und in der Schweiz 74 % der Betriebe klare interne Regeln für Whistleblowing festgelegt hatten, waren es in Österreich nicht einmal
54 %. Die Hälfte der heimischen Manager hielt das Thema grundsätzlich für überschätzt – in der Schweiz schlossen sich nur elf Prozent dieser Meinung an.

Die Grazer Universitätslektorin Paula Aschauer kann in ihrer unter dem Titel »Whistleblowing im Arbeitsrecht« veröffentlichten Dissertation der typisch österreichischen Hinhaltetaktik dennoch Positives abgewinnen. Aus Fehlern anderer Länder konnte man so lernen. Durch die nunmehrige Lösung ist nahezu ausgeschlossen, dass kleine Arbeitnehmer für Versäumnisse büßen, Führungskräfte aber ungeschoren davonkommen.

Tatsächlich setzten sich die VW-Techniker durch ihre Geständnisse hohem Risiko aus. Da es in Deutschland keinen gesetzlich geregelten Schutz für Whistleblower gibt, fürchten Hinweisgeber zu Recht um ihren Job und ihren Ruf in der Branche. In der VW-Affäre gelangten deshalb viele Details auf anonymen Weg zu Presse oder Behörden. Die Konzernleitung versicherte indessen, die jeweilige Verantwortung der involvierten Mitarbeiter genau zu prüfen: »Wir können nicht jemanden bestrafen, der so einen mutigen Schritt gemacht hat.«

Whistleblowing & Datenschutz

Die Einrichtung automationsunterstützter Whistleblowing-Hotlines muss zuvor von der Datenschutzbehörde (DSB) genehmigt werden und erfolgt u.a. unter folgenden Auflagen:

  • Anonyme Meldungen müssen zulässig sein, sollen aber nicht gefördert werden.
  • Den Meldern muss volle Vertraulichkeit hinsichtlich ihrer Identität zugesichert werden, wenn sie diese angeben.
  • Die mit der Bearbeitung von Meldungen betrauten Stellen müssen von anderen Stellen im Unternehmen strikt getrennt sein. Es dürfen nur Personen eingesetzt werden, die besonders geschult und ausdrücklich für die Vertraulichkeit der gemeldeten Daten verantwortlich sind.
  • Werden im Anschluss an eine Meldung Erhebungen durchgeführt, muss dem Beschuldigten Zugang zu den Anschuldigungen eingeräumt werden.
  • Die Daten müssen spätestens zwei Monate nach Beendigung der Untersuchung gelöscht werden.
Last modified onDienstag, 16 Februar 2016 09:42
back to top