Shane Corr, irischer Beamter, arbeitete für das Gesundheitsministerium in Dublin. Außerdem ist er der Whistleblower, der den illegalen Datensammlungen desselbigen Ministeriums ein Endes setzte. Was ist besonders an diesem Fall? Das Ministerium versuchte, ihm den Weg an die Öffentlichkeit zu versperren, indem er eine Geheimhaltungsvereinbarung unterzeichnen sollte. Daraus lässt sich einiges lernen.
Die unmoralische Datensammlung des irischen Gesundheitsministeriums
Shane Corr entdeckte, dass das Ministerium heimlich und systematisch Gesundheitsdaten von Kindern mit Autismus sammelte. Gesammelt wurden Daten von solchen Kindern, deren Eltern gegen den Staat klagten. Es gab langwierige gerichtliche Verfahren, in denen Eltern um eine bessere Unterstützung oder Bildung für ihre Kinder kämpften. Um diese Klagen abzuwehren griff das Ministerium zu allen Mitteln. Sie sammelten Informationen über die Krankheit des Kindes, die familiären Verhältnisse und auch den Schulalltag. Fand man etwas wie Alkoholismus oder Gewalt in der Familie, wurde diese Information verwendet, um die Eltern zum Rückzug der Klage oder zu einem Vergleich zu bewegen. Weder die Eltern noch die Kinder wussten davon. Solche Daten bezog das Ministerium direkt von den behandelnden Ärzten als „gängige Praxis“. Die so gesammelten Daten wurden dann auf den Servern des Ministeriums gespeichert und waren für jeden Mitarbeitenden zugänglich.
Die interne Meldung des Shane Corr
Shane Corr entdeckte die Datensammlung zufällig, überprüfte seinen Verdacht sorgfältig und meldete den Missstand intern seinem Vorgesetzten. Ein Inhouse-Senior-Counsel wurde daraufhin mit der internen Untersuchung beauftragt. Aus dieser Untersuchung folgte ein Bericht, der überraschend zu dem Ergebnis kam, dass die Datensammlung rechtmäßig, geeignet und verhältnismäßig war.
Dieses Untersuchungsergebnis war für den Whistleblower nicht nachvollziehbar und er wollte deshalb den Bericht lesen. Das Ministerium erklärte ihm, dass er aus Datenschutzgründen den Bericht erst einsehen darf, wenn er eine Geheimhaltungsvereinbarung unterschreibt. Jede Art von Offenlegung würde als Compliance-Verstoß gewertet und als Beamter würde er außerdem das Amtsgeheimnis verletzen.
Die externe Meldung
Interessant ist, dass nicht nur der für den Whistleblower unbefriedigende Bericht, sondern vor allem die Geheimhaltungsvereinbarung das Fass zum Überlaufen brachte. Er ging mit seinen Informationen an die Öffentlichkeit und RTE Investigates berichtete über den Fall.
Das schwierige Feedback an den Whistleblower
Die EU-Whistleblower-Richtlinie (2019/1937) schreibt vor, dass der Whistleblower in einem angemessenen Rahmen Feedback erhalten muss, und zwar spätestens 7 Tage nach Eingang der Meldung und nach drei Monaten. Die ISO 37002 geht sogar noch weiter und empfiehlt nach jedem Prozessschritt im Verlauf der internen Untersuchung, dem Whistleblower Feedback über den Fortgang seiner Meldung zu geben.
Wenn man wissen will, wie umfangreich dieses Feedback denn sein soll, beschreibt Erwägungsgrund 57 der Richtlinie:
„Bei internen Meldungen trägt eine möglichst umfassende Unterrichtung des Hinweisgebers, soweit diese rechtlich möglich ist, über die Folgemaßnahmen zu einer Meldung wesentlich dazu bei, Vertrauen in die Wirksamkeit des allgemeinen Hinweisgeberschutzes aufzubauen und die Wahrscheinlichkeit weiterer unnötiger Meldungen oder einer Offenlegung zu senken.“
Beispielhaft wird dann genannt, wie ein solches Feedback aussehen kann:
Der Hinweisgeber soll innerhalb eines angemessenen Zeitrahmens informiert werden über
- Die geplanten und ergriffenen Folgemassnahmen und die
- Gründe für die Wahl dieser Folgemassnahmen
- Verweis auf andere Kanäle oder Verfahren bei Meldungen (bsp. personal grievance)
- Abschluss des Verfahrens aus Mangel an Beweisen oder anderen Gründen
- Einleitung interner Nachforschungen
- Angabe der Ergebnisse und Massnahmen
- Eingeleitetes behördliches Verfahren
Feedbackgrenzen
Das ist die eine Seite. Auf der anderen Seite, stehen drei gute Gründe, Informationen nicht zu teilen. Das sind die rechtlichen Grenzen.
1. Das ist die Pflicht des Unternehmens nicht nur den Whistleblower sondern auch den Beschuldigten zu schützen.
2. Darüber hinaus dürfen sowohl die Daten des Beschuldigten als auch sonst betroffener Personen nur an diejenigen herausgegeben werden, die unbedingt davon wissen müssen, um die Untersuchung zu führen (Need to know).
3. Und zuletzt darf auch der Untersuchungszweck nicht gefährdet werden.
Soviel wie nötig, so wenig wie möglich
Die Lösung kann daher nicht sein, dem Whistleblower einfach den Bericht zu übergeben und ihn zugleich eine umfassende Geheimhaltungsvereinbarung unterschreiben zu lassen. Da der Whistleblower nach der Whistleblower-Richtlinie das Recht hast, sich an eine Behörde zu wenden oder unter besonderen Voraussetzungen sogar an die Medien, würde eine solche Vereinbarung gegen geltendes Recht verstoßen und wäre damit nichtig.
Auf den Whistleblower zugeschnitten
Bei der Entscheidung, wieviel dem Whistleblower mitgeteilt wird, sollte die Grenzen des dem Zweck gegenübergestellt werden. Es geht darum, das Vertrauen des Whistleblowers zu erhalten. Das Unternehmen soll ihm zeigen, dass seine Meldung sinnvoll war. Damit werden auch weitere Meldungen an Behörden oder eine Offenlegung unwahrscheinlich. Wenn man sich das vor Augen führt, sollten zwei Situationen unterschieden werden.
Der zufriedene Whistleblower
Ist der Whistleblower mit dem Ergebnis der Untersuchung zufrieden, sind die Details vermutlich weniger interessant und muss demnach weniger ausführlich sein.
Der unzufriedene Whistleblower
Ist der Whistleblower unzufrieden, wird er misstrauisch. Hat die Untersuchung nicht zu dem gewünschten Ergebnis geführt, wird er vermutlich wissen wollen warum. Einige werden sich überlegen, ob sie den Fall weiterziehen sollen. Jetzt ist Vertrauensaufbau gefragt.
Wie der obige Fall zeigt, hat die vorgelegte Geheimhaltungsvereinbarung dem Whistleblower das Gefühl gegeben, dass das Ministerium etwas verstecken will. Das hat den Anstoss zur Offenlegung gegeben. Deshalb sollten Sie im Fall des „unzufriedenen Whistleblowers“ ein besonderes Augenmerk auf die Begründung legen. Ihm ausführlich erläutern, warum man die Details nicht preisgeben kann und ihm erklären, wie es zu dem Ergebnis kam. Sie müssen den Eindruck zerstreuen, dass es etwas zu verbergen gibt.
Wenn Ihnen das gelingt, wird auch der unzufriedene ein zufriedener Whistleblower!
Wenn Sie mehr darüber wissen wollen, wie Sie ein solches solches Meldesystem aufbauen, schauen Sie auf unserer Website www.compliancedesigner.com.
Herzliche Grüsse
Helke Drenckhan
Neueste Kommentare