Whistleblowing erlaubt – verpfeif deinen Kollegen!

Management

Die EU-Datenschützer sind nicht in Faschingslaune – es ist ihnen ernst mit einer Empfehlung zu firmeninternen Telefonhotlines.

Die EU-Datenschützer sind nicht in Faschingslaune – es ist ihnen ernst mit einer Empfehlung zu firmeninternen Telefonhotlines. Dort sollen Kollegen ihre Tischnachbarn verpfeifen. Damit sollen Korruption, Datenmissbrauch, Unterschlagung und ähnliches minimiert werden. So schreibt es die Richtlinie Sarbanes Oxley Act unter anderem vor.

Neuerdings können sich Interessierte an ein unter der Schirmherrschaft des deutschen Datenschutzbeauftragten Peter Schaar entworfenes Papier halten. Hier sind die firmeninternen Telefonhotlines oder ‘Whistleblowing Systeme’ beschrieben und auch, wie man sie datenschutzgerecht – zum Schutz derer, die anrufen und sich über Kollegen beschweren – gestaltet.

An der US-Börse notierte Unternehmen sind gemäß Sarbanes-Oxley-Act dazu verpflichtet, entsprechende Verfahren einzuführen. Von dieser Vorgabe sind auch viele europäische Unternehmen betroffen. Das verabschiedete Papier soll es den Unternehmen erleichtern, Whistleblowing Systeme datenschutzrechtlich korrekt zu gestalten und damit den Vorgaben der Europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG) zu genügen.

Dabei soll es aber Grenzen geben: Der Anwendungsbereich und der Kreis der durch mögliche Anzeigen betroffenen Personen muss in Bezug auf die oben genannten Zwecke begrenzt werden. Außerdem erhält der Anzeigende Schutz durch Vertraulichkeit – wobei aber anonyme Anzeigen nur in Ausnahmefällen akzeptiert werden sollten. Es dürfen nur die Informationen verarbeitet werden, die für die weitere Bearbeitung der Anzeige notwendig sind. Innerhalb von zwei Monaten nach dem Abschluss der Untersuchung sollten die gespeicherten Daten gelöscht werden.

Lediglich in Fällen, in denen weitere rechtliche Schritte erforderlich sind, dürfen die Daten auch für einen längeren Zeitraum gespeichert bleiben. Die beschuldigte Person muss über die Anzeige informiert werden, heißt es. Aber nur, wenn kein Risiko besteht, dass Beweise vernichtet werden. Der Name des Anzeigenden sollte im Regelfall an den Angezeigten nur dann herausgegeben werden, wenn die Anzeige vorsätzlich falsch war. Wem die Kontrolle über diese machtvollen  Mechanismen obliegt, weiß allerdings weder bei der EU noch bei den Vätern von Sarbanes Oxley irgend jemand.