Laut Transparency International rangiert die Bundesrepublik auf dem 10. Platz im weltweiten Vergleich von Korruption. Dänemark ist weltweit das Land mit der niedrigsten festgestellten Korruption. Nordkorea und Somalia rangieren auf den letzten Plätzen der 168 Staaten umfassenden Auswertung. Deutschland verbesserte sich von Rang 12 in 2014 auf den 10. Platz. Ein weiterer Beleg dafür, dass die Sorge, ein moderner Datenschutz könnte die Korruptionsbekämpfung behindern, unbegründet ist. „Die Bekämpfung von Korruption und anderen Complaince-Verstößen sowie die Beachtung des Datenschutzes bilden keinen Gegensatz“, bringt es Datenschutzexperte Dr. Jörn Voßbein auf den Punkt. Allerdings müssten klare datenschutzrechtliche Spielregeln im Feld der Korruptionsbekämpfung beachtet werden.
Als erstes datenschutzrechtliches Element müssen dabei von der Unternehmensleitung verabschiedete klare Regeln zum Umgang mit Daten festgelegt sein. Diese Regeln müssen dem Bundesdatenschutzgesetz (BDSG) Rechnung tragen, das je nach Art der Daten, die ausgewertet werden sollen, unterschiedlich hohe Anforderungen stellt.
Das Ziel der Verhütung von Betrug und Fehlverhalten in Bezug auf die Bekämpfung von Korruption kann ein berechtigtes Interesse des Arbeitgebers darstellen, das die Verarbeitung personenbezogener Daten mittels Verfahren zur Meldung von Missständen in diesen Bereichen rechtfertigt. Eine Interessensabwägung mit den schutzwürdigen Interessen der/des Betroffenen ist notwendig. Denn in jedem Fall muss die Gefahr von Stigmatisierung und Viktimisierung der belasteten Person auf ein Minimum reduziert werden.
Wichtig: Personenbezogene Daten müssen für festgelegte eindeutige Zwecke erhoben und dürfen nicht in einer damit nicht vereinbarenden Weise weiterverarbeitet oder genutzt werden. Folglich sind Maßnahmen zu treffen, die sicherstellen, dass nicht notwendige, unvollständige oder falsche Daten gelöscht oder berichtigt werden. Es gilt der Grundsatz der Datensparsamkeit: Nur die Daten sind zu erheben und zu verarbeiten, die für den jeweiligen Zweck erforderlich sind.
Aber auch die Transparenz ist eine weitere Spielregel im Feld der datenschutzkonformen Korruptionsbekämpfung. Anonyme Anzeigen sollten nur in Ausnahmefällen akzeptiert werden. Dies fordern auch die Datenschutz-Aufsichtsbehörden. Anonymität läuft dem Transparenzprinzip zuwider, begünstigt gegenüber der namentlichen Nennung von „Ross und Reiter“ eher Missbrauch und Denunziantentum.
Ferner muss gemäß § 4 Absatz 3 BDSG das Unternehmen, wenn personenbezogene Daten erhoben werden, den Betroffenen über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung unterrichten. Nur wenn das Risiko einer solchen Unterrichtung die wirksame Untersuchung des Vorwurfs oder die Sammlung von Beweisen gefährdet, kann die Information der beschuldigten Person aufgeschoben werden. Der Aufschub dauert solange, wie die Gefahr vorhanden ist.
Organisatorische und technische Maßnahmen sind gem. § 9 BDSG zu treffen. Besondere Schwerpunkte bilden die zugesicherte Vertraulichkeit und die Löschungsverpflichtung. Die UIMC gibt hier folgende Hinweise:
» Den Antikorruptionsbeauftragten (AKB) sind separate Laufwerke mit gesonderten Zugriffsschutz zur Verfügung zu stellen. Denkbar ist auch eine Clearing-Stelle, indem beispielsweise ein Anwalt oder eine Kanzlei zunächst die Meldungen prüft.
» Grundsätzlich sollten Daten innerhalb von zwei Monaten nach Abschluss der Untersuchung gelöscht werden. Eine längere Speicherung ist nur bei weiteren rechtlichen Schritten bis hin zum Strafverfahren zulässig.
» Da die AKB diese Aufgabe in aller Regel in Teilzeit wahrnehmen, ist sicherzustellen, dass Vertreter der AKB in ihrer „Kernfunktion“ keine Rechte auf die AKB-Daten erhalten. Vielmehr sollte ein separater Vertreter für die AKB-Funktion definiert werden. Eine Weiterleitung der E-Mail-Adresse sollte ausschließlich an die AKB bzw. ihre Vertreter weitergeleitet werden.
» In Konzernen ist ferner sicherzustellen, dass bei einer etwaige zentral organisierten „Whistlebowing-Hotline“ die Vorgaben der Auftragsdatenverarbeitung beachtet werden und die Anzeigen nur in den betroffenen Konzerngesellschaften bearbeitet werden.
„Wenn diese Regeln konsequent beachtet werden, sind Korruptionsbekämpfung und Datenschutz zwei Seiten derselben Medaille“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein.