TIM WYBITUL Whistleblowing datenschutzkonformer Einsatz von Hinweisgebersystemen? Für und Wider zum rechtskonformen Betrieb

Transkript

1 TIM WYBITUL Whistleblowing datenshutzkonformer Einsatz von Hinweisgebersystemen? Für und Wider zum rehtskonformen Betrieb Compliane-Maßnahmen Rehtspfliht zur Verhinderung von Straftaten Abgrenzung zu unwahren bzw. denunziatorishen Meldungen Vermeidung von Missbrauh An wenigen Datenverarbeitungen sheiden sih die Geister so sehr wie an Hinweisgebersystemen bzw. Whistleblowing-Strukturen. Der Begriff Whistleblowing beshreibt das Aufzeigen von Missständen. Hierbei geht es rihtigerweise um das Befolgen von Rehtspflihten und niht um Verpfeifen oder Denunzieren. Allerdings sehen die Aufsihtsbehörden für den Datenshutz Hinweisgebersysteme teilweise kritish. Der vorliegende Überblik shildert das Für und Wider solher Hinweisgebersysteme. Der Beitrag beshreibt wesentlihe datenshutzrehtlihe Aspekte und gibt Anregungen zum rehtskonformen Betrieb von Whistleblowing-Strukturen. There are few data proessing issues whih ause as muh ontroversy as the notifiation systems, or rather, whistleblower strutures. The term whistle-blowing desribes the demonstration of grievanes. This is rightfully about adherene to legal obligations and not telling on or denouning. However, the supervisory authorities for data protetion often view the whistle-blowing systems skeptially. The following overview desribes the pros and ons of suh notifiation systems. The artile will illustrate the relevant legal data protetion aspets and give suggestions regarding the use of whistle-blowing strutures whih are in onformity with the law. I. Praktishe Gründe für den Betrieb von Hinweisgebersystemen Für Unternehmen sprehen viele Gründe dafür, es Hinweisgebern zu ermöglihen, auf Rehtsbrühe oder Regelverstöße hinzuweisen. Die Praxis zeigt, dass eine Vielzahl von Straftaten aus Wirtshaftsunternehmen heraus ohne Hinweise von Mitarbeitern, Lieferanten, Kunden oder Dritten niht aufgedekt worden wäre Verhinderung und Aufdekung von Geldabflüssen durh Korruption im Unternehmen Gerade die in den letzten Jahren bekannt gewordenen Korruptionsskandale bei deutshen Großunternehmen haben gezeigt, dass Unternehmen sih in Bezug auf Wirtshaftsdelikte vor sehr realen Risiken shützen müssen. 2 Der Einkäufer, der als Gegenleistung für die Vergabe von Aufträgen oder den Kauf von Gütern persönlihe Zuwendungen fordert, ist hierfür ebenso ein Beispielsfall wie der Abshluss eines Beratervertrags mit einem Bekannten ohne entsprehende Gegenleistung. Werden derartige Praktiken öffentlih bekannt, drohen erheblihe Rufshäden. Auh wenn der Personalvorstand eines Automobilunternehmens den Betriebsräten des Unternehmens exklusive Auslandsreisen inklusive Bordellbesuhen zukommen lässt, geht dies über die Anforderungen des in 2 BetrVG normierten Grundsatzes der vertrauensvollen Zusammenarbeit hinaus und kann zu späteren Verurteilungen wegen Untreue gem. 266 StGB führen. 3 Deutshe Gerihte bewerten bereits das Führen einer sog. shwarzen Kasse also das Vershleiern von Firmenvermögen als Untreue. 4 Hinweisgebersysteme haben sih als effektives Mittel zur Verhinderung des Abflusses von Unternehmensgeldern etwa durh Korruption erwiesen. Eine hohe Anzahl von Wirtshaftsdelikten wird durh Hinweise von Mitarbeitern oder von Geshäftskontakten enthüllt. 5 Auh die Bundesanstalt für Finanzaufsiht (BaFin) oder Transpareny International befürworten den Einsatz angemessener Hinweisgebersysteme ausdrüklih. 2. Vermeidung von Rufshäden und wirtshaftlihen Shäden Das Bekanntwerden von Wirtshaftsdelikten in Unternehmen führt zu konkreten wirtshaftlihen Shäden, die teilweise in die Millionen gehen. Dies kann sih auh in erhebliher Weise auf den Börsenkurs eines Unternehmens auswirken. Zudem führt der mit Wirtshaftsdelikten verbundene Verlust an Kundenvertrauen in der Regel zu erheblihen Umsatzrükgängen. Ein einziger Regelverstoß kann hier die Wirkung von Werbeausgaben von Jahren zunihtemahen. Besonders offensihtlih sind auh die unmittelbaren wirtshaftlihen Folgen von Zuwiderhandlungen gegen Kartellvorshriften. Kartellbehörden verhängen regelmäßig Bußgelder im hohen Millionenbereih. Hinweisgebersysteme sind ein probates Mittel zur frühzeitigen Aufdekung von Fehlentwiklungen und damit zur Vermeidung der hier beshriebenen Nahteile. Der Betrieb eines internen Whistleblowing-Systems kann zudem verhindern, dass sih Mitarbeiter direkt über die Medien an die Öffentlihkeit wenden oder Strafanzeigen erstatten, anstatt zunähst zu versuhen, Missstände zuvor innerbetrieblih beizulegen. 6 II. Rehtspflihten, die den Betrieb von Hinweisgebersystemen nahe legen Niht nur die vorstehend genannten Erwägungen sprehen für die Umsetzung von Hinweisgebersystemen und anderen Compliane-Strukturen. Für viele Unternehmen besteht gem. 130 OWiG eine gesetzlihe Pfliht zur Durhführung von Compliane- Maßnahmen. 7 Diese Rehtspfliht kann auh den Betrieb von Hinweisgebersystemen umfassen. Ob eine solhe Verpflihtung besteht, hängt vom Gefährdungspotenzial des jeweiligen Unternehmens ab: Je höher die Wahrsheinlihkeit ist, dass aus einem Unternehmen heraus Gesetzesverstöße begangen werden, desto näher liegt eine konkrete Rehtspfliht zur Aufklärung vergangener und zur Verhinderung künftiger Zuwiderhandlungen durh den Betrieb eines Hinweisgebersystems. Ein solher risikobasierter Compliane-Ansatz ist bei Kredit- und Fi- Diskutieren Sie dieses Thema auh in der ZD-Community unter: unity.bek.de 1 Vgl. Wybitul, Hdb. Datenshutz im Unternehmen, 1. Aufl. 2011, Rdnr. 186 ff. 2 Vgl. hierzu Shmidt, Compliane in Kapitalgesellshaften, 1. Aufl. 2010, S. 192 f. 3 Vgl. BGH NJW 2010, 92 ff. 4 Vgl. Wybitul, BB 2009, 111 f. 5 Vgl. zu Datenshutz bei Whistleblowing etwa Gola/Shomerus, BDSG, 10. Aufl. 2010, 32 Rdnr. 16 m.w.nw. 6 Vgl. Mengel, Compliane und Arbeitsreht, 1. Aufl. 2009, Kap. 7 Rdnr Vgl. nahstehend unter II Wybitul: Whistleblowing ZD 3/2011

2 nanzinstituten sogar ausdrüklih gesetzlih vorgeshrieben. 8 Falls es im Unternehmen in der Vergangenheit zu Rehtsbrühen gekommen ist, ist dies z.b. ein Indiz für eine Rehtspfliht zum Betrieb eines angemessenen Hinweisgebersystems. 9 Auh die Größe eines Unternehmens oder Konzerns sowie die Art der Geshäftstätigkeit geben Anhaltspunkte für das Risiko des Eintretens von Rehtsverstößen, dem das jeweilige Unternehmen konkret ausgesetzt ist. 1. Durhführung von Aufsihtsmaßnahmen gem. 130 OWiG Trotz der vorstehend genannten praktishen Erwägungen dient der Betrieb von Hinweisgebersystemen in erster Linie niht wirtshaftlihen Zweken. Vielmehr zielt er als Teil einer nahhaltigen Compliane-Struktur vor allem auf die Erfüllung von Rehtspflihten ab, die das Unternehmen treffen. Unternehmen sind abhängig von ihrem Gefährdungspotenzial ggf. gesetzlih verpflihtet, angemessene Compliane-Maßnahmen durhzuführen. 130 Abs. 1 Satz 1 OWiG shreibt Aufsihtsmaßnahmen ausdrüklih vor: Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlih oderfahrlässig dieaufsihtsmaßnahmen unterlässt, die erforderlih sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflihten zu verhindern, die den Inhaber treffen und derenverletzungmitstrafeoder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solhe Zuwiderhandlung begangen wird, die durh gehörige Aufsiht verhindert oder wesentlih ershwert worden wäre. Vereinfaht dargestellt shreibt 130 OWiG solhe Aufsihtsmaßnahmen vor, die erforderlih sind, um Ordnungswidrigkeiten und Straftaten aus dem Unternehmen heraus zu verhindern. Auf Grund der nahstehend noh im Einzelnen dargestellten Legalitätspfliht von Unternehmen 10 ist der Pflihtenkreis von Unternehmensleitern ausgesprohen weit. Nah 30, 9 OWiG können Geldbußen wegen Vernahlässigung der Aufsihtspflihten auh direkt gegen das Unternehmen selbst verhängt werden. Es zeigt sih, dass Ordnungsbehörden von dieser Möglihkeit zunehmend Gebrauh mahen. 11 Als Faustregel lässt sih festhalten, dass Unternehmen, die niht über ein geringes Gefährdungspotenzial verfügen, verpflihtet sind, Aufsihtsmaßnahmen i.s.v. 130 OWiG durhzuführen. Dies gilt vor allem für größere Unternehmen oder solhe, die in Branhen oder Regionen tätig sind, die für Wirtshaftsdelikte gefährdet sind. 2. Legalitätspfliht des Unternehmens Ein wesentliher Grund für Compliane-Maßnahmen ist auh die sogenannte Legalitätspfliht. Unternehmensleiter sind etwa nah 91 Abs. 2 und 93 AktG oder nah 46 GmbHG verpflihtet, dafür zu sorgen, dass das von ihnen geführte Unternehmen niht gegen Gesetze verstößt. Letztlih liegt die Verantwortung für Compliane-Pflihten allerdings bei der Gesellshaft selbst. 12 Ihre gesetzlihen Vertreter haften zudem auh persönlih, wenn sie ein rehtmäßiges Verhalten der für die Gesellshaft Handelnden niht in angemessener Weise siherstellen. Aus datenshutzrehtliher Siht ist es hierbei maßgeblih, dass die Legalitätspfliht eine Rehtspfliht der Gesellshaft selbst ist und niht allein ihrer gesetzlihen Vertreter. Denn damit stellt 8 Vgl. etwa 25, 25d und 25f KWG. 9 Vgl. Shillo, StRR 2011, 175, Vgl. hierzu nahstehend unter II Vgl. Shillo, StRR 2011, 175, Vgl. Shmidt (o. Fußn. 2), S Ziff Deutsher Corporate Governane Code. 14 BGH BB 2009, 2263 ff. 15 EGMR, U. v /08; vgl. zu der Entsheidung Wybitul, ZD- Fokus 1/2011, S. XIX ff. 16 BAG NZA 2004, 427 ff.; vgl. auh BVerfG NZA 2001, 888 ff. die Gewährleistung gesetzmäßigen Verhaltens durh geeignete Compliane-Maßnahmen ein Interesse des Unternehmens als verantwortlihe Stelle dar. Auh der Deutshe Corporate Governane Code sieht eine Verpflihtung zur Implementierung von Compliane-Maßnahmen vor: Der Vorstand hat für die Einhaltung der gesetzlihen Bestimmungen und der unternehmensinternen Rihtlinien zu sorgen und wirkt auf deren Beahtung durh die Konzernunternehmen hin (Compliane) Anforderungen der Rehtsprehung Der BGH hat 2009 im sog. Compliane Offier-Urteil deutlih klargestellt, dass Compliane-Verantwortlihe eine Rehtspfliht zur Verhinderung von Straftaten aus dem Unternehmen heraus trifft. 14 Bei der Verantwortlihkeit eines Compliane-Offiers zur Verhinderung von unternehmensbezogenen Rehtsverstößen gegen Dritte handelt es sih um eine delegierte Pfliht des Unternehmens selbst. Erst kürzlih betonte auh der EGMR in seinem vielbeahteten Whistleblowing-Urteil 15 die Wihtigkeit von Hinweisen von Mitarbeitern auf möglihe Straftaten auh im Hinblik auf das Reht auf freie Meinungsäußerung nah Art. 10 EMRK. Hinweisgebersysteme sind in der Praxis ein wertvolles Mittel zu Aufdekung von betriebsbezogenen Straftaten oder anderen Rehtsverstößen. Sofern Unternehmen interne Hinweisgebersysteme einrihten, können Mitarbeiter ihr Reht auf freie Meinungsäußerung zunähst auh ohne Einshaltung von Strafverfolgungsbehörden ausüben. Deutshe Arbeitsgerihte fordern dementsprehend, dass Arbeitnehmer grundsätzlih zunähst versuhen müssen, Missstände durh interne Hinweise gegenüber dem Arbeitgeber zu beseitigen. Dies gilt allerdings nur, soweit dies dem Arbeitnehmer zumutbar ist und niht von vornherein aussihtlos ersheint. 16 Ein vom Arbeitgeber betriebenes System zur Entgegennahme von Hinweisen auf Rehtsverstöße kommt gerade dieser Forderung der Arbeitsgerihte nah der Ermöglihung interner Klärung von Beshwerden entgegen. III. Organisatorishe Anforderungen an Hinweisgebersysteme Hinweisgebersysteme sind ein wesentliher Teil einer effektiven Compliane-Struktur. Dennoh gibt es kein Patentrezept für den datenshutzkonformen Betrieb von Hinweisgebersystemen. Wie stets im Datenshutz gilt der Verhältnismäßigkeitsgrundsatz. Mit anderen Worten: jedes Unternehmen sollte die eigenen Whistleblowing-Strukturen der jeweiligen Gefährdungslage anpassen. Bei einer kleinen Bäkerei mit wenigen Mitarbeitern wird es ausreihen, wenn Dritte oder Mitarbeiter sih in welher Form auh immer bei möglihen Missständen an den Inhaber wenden können. Bei einem global operierenden Bauunternehmen wird dies hingegen niht ausreihen. Hier sind zur Erfüllung der vorstehend beshriebenen Rehtspflihten andere Mittel notwendig und auh zwekmäßig. Ein wihtiger Aspekt jedes Whistleblowing-Systems ist, dass Mitarbeiter und Geshäftspartner informiert werden, wo und in welher Form sie Hinweise abgeben können. Zudem sollten Unternehmen bei jeder Form von Hinweisgebersystem genau klarstellen, für welhe Arten von Regelverstößen sie das Hinweisgebersystem zur Verfügung stellen. Es kann zwekmäßig sein, die eingehenden Hinweise auf Informationen über Wirtshaftsdelikte wie etwa Korruption, Betrug, Diebstahl, Untreue usw. zu beshränken. Bei Kredit- und Finanzinstituten sollten zudem auh Verdahtsmomente über Insiderdelikte sowie über Geldwäshe, Terrorismusfinanzierung und sonstige strafbare Handlungen, welhe zu einer Vermögensgefährdung führen können, entgegengenommen werden Vgl. 25 KWG. Sofern Unternehmen US-ame- ZD 3/2011 Wybitul: Whistleblowing 119

3 rikanishem Aufsihtsreht unterliegen, 18 sollten sie auh Hinweise über Verstöße gegen Vorshriften zur Rehnungslegung oder Wirtshaftsprüfung entgegennehmen. Betreiber von Hinweisgebersystemen sollten unmissverständlih klarstellen, dass sie den Missbrauh diesersystemenihttolerie- ren und dass bewusst falshe oder verleumderishe Hinweise straf- und arbeitsrehtlihe Folgen haben können. Um effektive und datenshutzkonforme Whistleblowing-Strukturen zu ermöglihen, müssen deren Betreiber nah Möglihkeit siherstellen, dass unwahre bzw. denunziatorishe Meldungen gar niht erst eingehen. Daher empfiehlt es sih, nahweislih missbräuhlihe Hinweise im gesetzlih zulässigen Rahmen streng zu ahnden. IV. Ausgestaltung von Hinweisgebersystemen Beim konkreten Verfahren zur Entgegennahme von Hinweisen gibt es eine Reihe grundsätzliher Vorgehensweisen, die Unternehmen nebeneinander einsetzen oder kombinieren können. Einige dieser möglihen Vorgehensweisen sind nahstehend beispielhaft kurz zusammengefasst. 1. Einsatz von Ombudsleuten Eine Möglihkeit zur Entgegennahme von Hinweisen ist die Bestellung sog. Ombudsleute. Hierbei benennen Unternehmen eine konkrete Person als Ansprehpartner für Verdahtsmomente, etwa wegen mögliher Korruptionsdelikte oder sonstigen Regelverstößen. Oftmals bestellen Unternehmen externe Rehtsanwälte mit Compliane-Erfahrung als Ombudsleute. Falls ein Hinweisgeber dies wünsht, sihern diese Ombudsleute in der Regel auh Anonymität zu. Zur Entgegennahme von Hinweisen bestellte Ombudsleute sollten über ein hohes Maß an Integrität und Unabhängigkeit verfügen. Sie prüfen die eingehenden Hinweise und geben stihhaltige Hinweise an das Unternehmen weiter. Beim Einsatz von Rehtsanwälten als Ombudsperson kann je nah Ausgestaltung der Vorgaben zur Entgegennahme von Hinweisen eine Mandatsbeziehung oder zumindest eine mandatsähnlihe Vertrauensbeziehung zwishen Hinweisgeber und Ombudsperson begründet werden. Dies führt dazu, dass es der Ombudsperson untersagt sein kann, Informationen gegen den Willen des Hinweisgebers an das Unternehmen weiterzugeben und kann auh zu Beshlagnahmeverboten führen. Ombudsleute müssen niht nur in der Lage sein, eingehende Hinweise strafrehtlih rihtig einzuordnen. Vielmehr müssen sie auh über umfassende Kenntnisse im Datenshutzreht verfügen, wie die nahstehenden Überlegungen zur datenshutzrehtlihen Zulässigkeit des Einsatzes von Hinweisgebersystemen zeigen Interne Ansprehpartner Manhe Unternehmen rihten interne Anlaufstellen ein, bei denen sih Hinweisgeber direkt per Telefon oder an eine interne Stelle wenden können. Häufig sind diese internen Ansprehpartner Teil der Compliane-Abteilung. Speziell geshulte Mitarbeiter nehmen dort die Hinweise entgegen, stellen ggf. Rükfragen und bewerten die Hinweise auf Shlüssigkeit sowie die Notwendigkeit weiterer Untersuhungsmaßnahmen. Häufig sind solhe internen Ansprehpartner sehr gut über interne Strukturen und gefährdete Bereihe im Unternehmen informiert und können eingehende Hinweise daher shnell und umfassend bewerten. Auh die bei der Bearbeitung von Hinweisen eingesetzten Mitarbeiter müssen stets auf die datenshutzrehtlihe Zulässigkeit jeder einzelnen Compliane-Maßnahme ahten. Daher sollten die internen Ansprehpartner ggf. eng mit dem betrieblihen Datenshutzbeauftragten zusammenarbeiten und zudem selbst über umfassende datenshutzrehtlihe Kenntnisse verfügen. 3. Einsatz IT-gestützter Systeme ( Whistleblowing- Hotlines ) In der Praxis hat sih zur Verwirklihung von Compliane-Pflihten auh der Einsatz von Internet-basierten Hinweisgebersystemen bewährt. Bei dieser Form von Whistleblowing-Systemen können sih möglihe Hinweisgeber im Voraus gründlih darüber informieren, welhe Hinweise ein Unternehmen oder eine Behörde entgegen nimmt. Hinweisgeber können (und sollen) sih i.r.e. solhen IT-Systems zudem einen geshützten Postkasten einrihten und so mit dem Unternehmen kommunizieren und auh Rükfragen beantworten. Eine Reihe solher Internetbasierter Hinweisgebersysteme ist unter der URL siness-keeper.om/hinweisgeber.html abrufbar, darunter Systeme mehrerer deutsher Großunternehmen, aber auh des LKA Niedersahsen und einer führenden deutshen Krankenkasse. Ein Vorteil solher IT-Systeme ist, dass sie eingehende Hinweise tehnish bereits genau strukturieren können. Man kann z.b. die zur Entgegennahme von Hinweisen eingerihtete Internetseite so gestalten, dass sie ausshließlih Informationen zu einzelnen Wirtshaftsdelikten erlaubt, etwa aufgegliedert in Korruption, Betrug, Untreue/Untershlagung, Diebstahl, Manipulation von Handelsgeshäften bzw. Insiderdelikte sowie Geldwäshe oder Terrorismusfinanzierung. Die Bearbeitung der eingehenden Hinweise wird dann in der Regel von speziell ausgebildeten Mitarbeitern vorgenommen. Diese Mitarbeiter müssen einerseits die strafrehtlihen Aspekte der eingehenden Informationen bewerten. Andererseits müssen sie auh die datenshutzrehtlihen Anforderungen an den Umgang mit in den Hinweisen enthaltenen personenbezogenen Daten genau kennen und befolgen. V. Datenshutzrehtlihe Aspekte des Betriebs von Hinweisgebersystemen Der Betrieb eines Hinweisgebersystems und die Erfassung und Bewertung eingehender Informationen kann die Persönlihkeitsrehte der von den Hinweisen Betroffenen in erhebliher Weise berühren. Daher müssen verantwortlihe Stellen beim Betrieb von Hinweisgebersystemen besonders gründlih auf den Datenshutz ahten. Die Einführung eines Hinweisgebersystems z.b. dürfte in aller Regel einer Vorabkontrolle nah 4d Abs. 5 und Abs. 6 BDSG unterliegen. Aber auh beim eigentlihen Betrieb von Whistleblowing-Strukturen müssen Unternehmen und Behörden eine Vielzahl von Vorgaben beahten. 1. Forderungen der Aufsihtsbehörden für den Datenshutz Die Aufsihtsbehörden für den Datenshutz stehen Hinweisgebersystemen teilweise kritish gegenüber und fordern zu Reht einen umfassenden Shutz der von den Hinweisen betroffenen Personen vor Denunzierung. 20 Daher muss jede Datenerhebung oder -verwendung i.r.d. Betriebs von Hinweisgebersystemen stets verhältnismäßig sein. Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten muss zunähst zur Verwirklihung der vorstehend beshriebenen Geshäftszweke 21 oder bereits geshilderten Rehtspflihten 22 geeignet sein. Zudem darf es zu der jeweiligen Vorgehensweise keine ebenso effektive Alternative geben, die weniger stark in die Rehte der Betroffenen auf ihre informationelle Selbstbestimmung eingreift. Vor allem aber ist eine umfassende Interessenabwägung notwendig. Erst wenn diese zu Gunsten der verantwortlihen Stelle ausgeht, ist das Vorgehen erlaubt. 18 Z.B. dem Sarbanes Oxley At. 19 Vgl. nahstehend unter V. 20 Vgl. Arbeitspapier 117 der Art. 29-Arbeitsgruppe der EU. 21 Vgl. vorstehend unter I. 22 Vgl. vorstehend unter II. 120 Wybitul: Whistleblowing ZD 3/2011

4 Nah den Forderungen der Aufsihtsbehörden sollen Hinweisgebersysteme auf klar vorgegebene Themenkreise beshränkt werden, Hinweisgeber niht zu anonymen Meldungen ermutigt werden und nah Möglihkeit sowohl der Kreis der Personen beshränkt werden, über den Hinweise gemaht werden sowie die Anzahl der Personen beshränkt werden, die Hinweise abgeben können. Allerdings dürften die beiden zuletzt genannten Anforderungen bei großen oder gar multinationalen Unternehmenkaumzuerfüllensein. Zudem soll nah dem Willen der Aufsihtsbehörden eine Stigmatisierung der belasteten Person vermieden werden. Dies dürfte sih neben der strengen Beahtung des Verhältnismäßigkeitsgrundsatzes am ehesten durh einen ausgesprohen hohen Shutzstandard bei der Bearbeitung eingehender Hinweise verwirklihen lassen. Unternehmen sollten die betroffenen Mitarbeiter mit gesonderten Vereinbarungen zur Vershwiegenheit verpflihten. Diese Mitarbeiter sind zudem gem. 5 BDSG auf das Datengeheimnis zu verpflihten. Personenbezogene Daten aus niht stihhaltigen Hinweisen, die als grundlos erahtet werden, sollen nah den Forderungen der Aufsihtsbehörden unverzüglih gelösht werden. Unternehmen müssen beim Betrieb von Hinweisgebersystemen zudem die allgemeinen Vorshriften des BDSG beahten, etwa Informationspflihten oder Vorgaben zur rehtzeitigen Löshung personenbezogener Daten. Neben datenshutzrehtlihen Anforderungen, die alle Hinweisgebersysteme betreffen, ergeben sih weitere Zulässigkeitsvoraussetzungen aus der konkreten Ausgestaltung der jeweiligen Whistleblowing- Struktur. 2. Datenshutzrehtlihe Aspekte des Einsatzes von Ombudsleuten Ombudsleute müssen datenshutzrehtlihe Vorgaben in ähnliher Weise befolgen, wie das beim Unternehmen selbst der Fall wäre. Ombudsleute erheben und verwenden personenbezogene Daten i.s.v. 3 Abs. 1 BDSG, wenn sie Hinweise entgegennehmen und bearbeiten. Im modernen Wirtshaftsleben werden sie dies in aller Regel auh unter Einsatz von Datenverarbeitungsanlagen tun. Damit findet das BDSG auf diesen Umgang mit eingehenden Hinweisen grundsätzlih Anwendung. 23 Die Mehrzahl eingehender Hinweise enthält personenbezogene DatenvonBeshäftigteni.S.v. 3Abs.11BDSG.Daherstellt sih die Frage, ob externe Ombudsleute 32 BDSG oder etwa 28 Abs. 1 Satz 1 Nr. 2 BDSG beahten müssen, wenn sie für ein Unternehmen oder eine Behörde tätig werden. Aus Siht der Ombudsperson sind die von den Hinweisen betroffenen Personen keine eigenen Beshäftigten zwishen den Ombudsleuten und den in den jeweiligen Hinweisen genannten Personen besteht kein Beshäftigungsverhältnis. 32 BDSG setzt hingegen ein bestehendes Beshäftigungsverhältnis zwishen der verantwortlihen Stelle und dem jeweiligen Beshäftigten voraus. Teilweise wird die Anwendbarkeit von 32 BDSG demensprehend mit der strukturellen Unterlegenheit des Beshäftigten gegenüber seinem Vertragspartner begründet. 24 Allerdings wird die Ombudsperson i.r.e. Hinweisgebersystems auf Veranlassung der verantwortlihen Stelle tätig, was für eine Anwendung von 32 BDSG bei der Bearbeitung von Hinweisen über Beshäftigte durh Ombudsleute spriht. Vor allem aber 23 Vgl. 1 Abs. 2, 27 Abs. 1 Satz 1 BDSG. 24 Vgl. Seifert, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, 32 Rdnr Vgl. zur Anwendung von 32 BDSG in der Praxis Wybitul, BB 2010, 1085 ff. 26 Vgl. Dix, in: Simitis (o. Fußn. 24), 33 Rdnr Etwa nah 33 Abs. 2 Satz 1 Nr. 3 BDSG. 28 Simitis, in: Simitis (o. Fußn. 24), 2 Rdnr knüpft die derzeit (noh) geltende Regelung des Beshäftigtendatenshutzes an einen engen Bezug zum Beshäftigungsverhältnis an. 32 Abs. 1 BDSG bezieht sih auf den Umgang mit Beshäftigtendaten für Zweke des Beshäftigungsverhältnisses; 32 Abs. 2 BDSG setzt eine im Beshäftigungsverhältnis begangene Straftat voraus. Daher sprehen im Ergebnis die besseren Argumente dafür, 32 BDSG auh auf Ombudsleute anzuwenden, die Hinweise über möglihe Regelverstöße erfassen und bewerten, welhe auh Informationen über bestimmbare Mitarbeiter enthalten. 25 Die Vorgaben zum Umgang mit Beshäftigtendaten gelten gem. 32 Abs. 2 BDSG auh dann, wenn personenbezogene Daten in niht automatisierter Form erhoben, verarbeitet oder genutzt werden. Grundsätzlih müssen auh Ombudsleute die Informationspflihten des BDSG beahten. Insbesondere kommt eine Pfliht der Ombudsperson zur Benahrihtigung der von einzelnen Hinweisen betroffenen Personen in Betraht. Die Sahlage bei der Bearbeitung von Hinweisen durh Ombudsleute dürfte insofern weitgehend mit dem Einsatz von Detektiven vergleihbar sein. Dort besteht nah zutreffender Auffassung eine Informationspfliht nah 32 Abs. 1 Satz 2 BDSG. 26 Falls niht die Voraussetzungen einer gesetzlihen Ausnahme von der Benahrihtigungspfliht 27 vorliegen, muss die Ombudsperson die von einem eingehenden Hinweis betroffenen Personen informieren. Zudem müssen Ombudsleute gem. 33 Abs. 1 Satz 2 BDSG shriftlih festlegen, unter welhen Voraussetzungen sie von einer Benahrihtigung absehen. 3. Datenshutzrehtlihe Aspekte der Benennung interner Ansprehpartner Auh interne Ansprehpartner müssen bei der Bearbeitung von Hinweisen, die Beshäftigte betreffen, die Vorgaben von 32 BDSG beahten. Letztlih liegt auh hier der Shwerpunkt der Prüfung in der Regel bei einer angemessenen Abwägung der Interessen der verantwortlihen Stelle und der von dem Hinweis betroffenen Personen. Eine Besonderheit ergibt sih bei Konzernunternehmen. Hier besteht oftmals die Notwendigkeit, Informationen aus eingehenden Hinweisen an das betroffene Konzernunternehmen weiterzugeben. Auh in einem Unternehmensverbund wird jedes einzelne Konzernunternehmen als verantwortlihe Stelle betrahtet. Dabei stellt sih regelmäßig die Frage, ob dies eigenen Zweken des übermittelnden Unternehmens dient und damit auf 28 Abs. 1 Satz 1 Nr. 2 BDSG gestützt werden kann. Im Ergebnis ist dies zu bejahen. Die Übermittlung von personenbezogenen Daten zwishen Konzernunternehmen kann rihtigerweise durhaus ein eigenes berehtigtes Interesse des übermittelnden Konzernunternehmens darstellen. Denn Hinweise, die sih auf shwerwiegende Regelverstöße wie etwa Korruptionsvorwürfe beziehen, wirken sih wegen der drohenden Rufshäden in aller Regel auf jedes einzelne Konzernunternehmen aus. Wenn einem einzelnen Konzernunternehmen als konzernweite Quershnittsfunktion die Entgegennahme von Hinweisen zugewiesen ist, dient die Übermittlung an das betroffene Unternehmen (zumindest auh) eigenen Interessen des übermittelnden Unternehmens. Dabei geht es niht um eine möglihe Privilegierung der Datenübermittlung zwishen Konzernunternehmen, sondern um gemeinsame rehtlihe und tatsählihe Interessen verbundener Gesellshaften. Simitis formuliert diesen Gedanken für Übermittlungen im Konzernverbund zutreffend wie folgt: Konzernunternehmen haben... allein shon wegen ihrer Verflehtung, gemeinsame Interessen, die aus ihrer Siht durhaus für einen Informationsaustaush sprehen 28 oder Es kann allerdings durhaus Situationen geben, in denen ein gemeinsames, durh- ZD 3/2011 Wybitul: Whistleblowing 121

5 aus berehtigtes Interesse sämtliher Konzernunternehmen für eine Übermittlung spriht. 29 Daher spriht (vorbehaltlih einer Interessenabwägung im Einzelfall) viel dafür, konzerninterne Übermittlungen zur Befolgung von Rehtspflihten grundsätzlih als zulässig zu betrahten. Auh interne Ansprehpartner müssen bei der Bearbeitung eingehender Hinweise prüfen, ob und wann eine Benahrihtigung der von dem Hinweis betroffenen Personen gem. 33 Abs. 1 Satz 1 BDSG vorgeshrieben ist und ob von einer Benahrihtigung im Einzelfall abgesehen werden kann, etwa nah 33 Abs. 2 Satz 1 Nr. 7b BDSG. Auh hier muss die verantwortlihe Stelle shriftlih festlegen, unter welhen Voraussetzungen sie von einer Benahrihtigung absieht, 33 Abs. 2 Satz 2 BDSG. 4. Datenshutzrehtlihe Aspekte beim Einsatz IT-gestützter Whistleblowing-Hotlines Dienstleister, die erforderlihe Hard- und Software (insbesondere Server) für den Einsatz von Whistleblowing-Hotlines zur Verfügung stellen, tun dies in der Regel auf der Grundlage einer Auftragsdatenverarbeitung. Die verantwortlihe Stelle bleibt dann eigenverantwortlih für die Bearbeitung und die Einhaltung des Datenshutzes hinsihtlih der eingehenden Hinweise zuständig. 30 Die Dienstleister sollten daher selbst keine Möglihkeit zum Zugriff auf die bei ihnen gespeiherten Informationen haben. Dies lässt sih durh ein hohes Maß an Datensiherheit und angemessene Vershlüsselungssysteme gewährleisten, etwa durh den Einsatz asymmetrisher Kryptosysteme. IV. Ergebnis und Handlungsempfehlungen Angemessen gestaltete Hinweisgebersysteme sind ein effektives Mittel zur Korruptionsbekämpfung sowie zur Erfüllung gesetzliher Pflihten. 31 Dies betrifft insbesondere die Legalitätspfliht von Unternehmen und die Pfliht zur Vornahme erforderliher Aufsihtsmaßnahmen nah 130 OWiG. Zudem können Whistleblowing-Systeme dabei helfen, wirtshaftlihe Nahteile und Rufshäden von Unternehmen abzuwenden. Auh in Behörden und anderen öffentlihen Stellen kann viel für den Einsatz von Hinweisgebersystemen als Teil funktionierender Compliane-Strukturen sprehen. Unternehmen müssen beim Betrieb von Hinweisgebersystemen durhgehend auf die Vermeidung von Missbrauh hinwirken. Dies kann man durh organisatorishe Vorkehrungen sowie durh entsprehende Information der potenziellen Hinweisgeber siherstellen. Zudem sollte man nahweislihen Missbrauh der Systeme streng ahnden. Die Bearbeiter eingehender Hinweise sollten niht nur die Strukturen im Unternehmen oder im Konzern gut kennen, um so die Stihhaltigkeit der vom Hinweisgeber gemahten Angaben effektiv überprüfen zu können. Zudem müssen sie über Kenntnisse im Wirtshaftsstrafreht und vor allem im Datenshutzreht verfügen. Denn die verantwortlihe Stelle muss in jeder Phase der Bearbeitung eingehender Hinweise die Einhaltung der Vorgaben des BDSG siherstellen. Dies umfasst niht nur einen verhältnismäßigen Umgang mit personenbezogenen Daten. Vielmehr müssen Unternehmen und Behörden auh allgemeine Vorgaben des Datenshutzes beahten, etwa Pflihten zur Information der Betroffenen und zum gesetzeskonformen Löshen personenbezogener Daten. Tim Wybitul ist Rehtsanwalt und Partner im Frankfurter Büro von Mayer Brown, Lehrbeauftragter für Datenshutz der Deutshen Universität für Weiterbildung, Berlin, und Mitherausgeber der ZD. 29 Simitis, in: Simitis (o. Fußn. 24), 28 Rdnr. 178; ebenso Shaffland/Wiltfang, BDSG, Lsbl., Stand 1/2011, 28 Rdnr. 85; ebenso Wybitul (o. Fußn. 1), Rdnr Vgl. 11 Abs. 1 Satz 1 und Satz 2 BDSG. 31 Vgl. Zöll, in: Taeger/Gabel, BDSG, 1. Aufl. 2010, 32 Rdnr. 26 sowie Rdnr. 42. THOMAS PETRI / CLAUDIA DORFNER E-Justiz und Datenshutz Ausgewählte Rehtsfragen E-Justiz und E-Government E-Justiz in Europa und Deutshland Tehnisher Datenshutz Shutzziele Rihterlihe Unabhängigkeit Datenshutzkontrolle in der E-Justiz IT-Outsouring in der E-Justiz Der Mausklik zum Geriht niht von sämtlihen Organen der Rehtspflege wird er vorbehaltlos unterstützt oder gar dringlih gewünsht. Der Beitrag beshäftigt sih mit der Frage, was überhaupt unter dem Begriff E-Justiz zu verstehen ist. Er gibt sodann einen groben Überblik über aktuelle Entwiklungen der E-Justiz auf europäisher und mitgliedstaatliher Ebene. Anshließend werden die Bedeutung und grundlegende datenshutzrehtlihe Herausforderungen der E-Justiz beleuhtet. Hierbei sind besonders die Anforderungen an den tehnishen Datenshutz die klassishen Shutzziele der IT-Siherheit werden durh datenshutzspezifishe Shutzziele ergänzt und die Zulässigkeit von IT-Outsouring im öffentlihen Bereih an nihtöffentlihe Stellen hervorzuheben. The mouse lik to ourt it is not supported unreservedly by all bodies of judiature or even urgently desired by them. This artile will deal with the question what e-justie atually is. Then, there will be a basi overview of urrent developments in e-justie on a European and Member State level. Subsequently, the meaning and basi data protetion law hallenges of e-justie will be examined. In partiular, the requirements of tehnial data protetion the lassial protetion goals of IT seurity are supplemented by data protetion speifi protetion goals will be emphasized, as well as the permissibility of IT outsouring in publi areas to nonpubli enters. I. E-Justiz eine begrifflihe Annäherung Inwieweit beeinflusst die tehnishe Modernisierung den Shutz der Vertraulihkeit personenbezogener Daten in der Justiz? Der Mausklik zum Geriht 1 ist in den letzten Jahren zunehmend zum Gegenstand der rehtswissenshaftlihen Betrahtung geworden. 2 Ungeahtet seiner großen Bedeutung im 1 Vgl. Filges, BB 2008, 565; ähnlih Jäger, MMR 1/2009, S. XIX. 2 Vgl. u.a. Klink, Datenshutz in der elektronishen Justiz, Diss., Kassel 2010; Berlit, JurPC, web-dok. 171/2007; Britz, DVBl. 2007, 994; Degen, NJW 2008, 1473; Filges, BB 2008, 565; Hähnhen, NJW 2005, 2257; Köbler, NJW 2006, 2089, Radtke, JurPC, web-dok. 209/ Petri/Dorfner: E-Justiz und Datenshutz ZD 3/2011