Banken müssen neuerdings Hinweisgebersysteme einrichten. Die Neuregelung hat ein paar Tücken.
Wien. Seit Jahresbeginn müssen Banken Hinweisgebersysteme einrichten. Und zwar zusätzlich zur ebenfalls neuen Whistleblower-Hotline bei der Finanzmarktaufsicht (FMA).
In vielen Konzernen gibt es das schon – dass es einer Branche pauschal per Gesetz verordnet wird, ist aber neu. Einen gesetzlichen Schutz von Hinweisgebern gibt es sonst nur im öffentlichen Dienst und in Einzelvorschriften wie etwa dem Umweltinformationsgesetz. Außerdem enthält die Gewerbeordnung eine vage gefasste Verpflichtung, zur Verhinderung von Geldwäsche und Terrorismusfinanzierung „angemessene und geeignete interne Verfahren“ – unter anderem auch für Verdachtsmeldungen – einzuführen. Eine Pflicht, Whistleblower-Hotlines einzurichten, bedeutet das aber nicht.
Die neue Bestimmung im Bankwesengesetz schreibt dagegen genau das vor: Kreditinstitute müssen über „angemessene Verfahren“ verfügen, die es ihren Mitarbeitern „unter Wahrung der Vertraulichkeit ihrer Identität“ ermöglichen, betriebsinterne Verstöße gegen bestimmte Vorschriften zu melden.
Einige größere Banken haben das schon. Den vielen kleinen Instituten könnte es aber zu schaffen machen, meint Anna Mertinz, Arbeitsrechtsexpertin bei KWR: Der Aufwand sei groß, und „wenn ein Unternehmen nur wenige Mitarbeiter hat, wird die vertrauliche Behandlung der Daten schwierig“. Ein Ausweg könne die Einschaltung einer externen Stelle sein. Was das Gesetz auch zulässt.
Diesen Weg gehen etwa die Raiffeisenbanken in Niederösterreich, sie haben ein gemeinsames System beim Niederösterreichischen Revisionsverband eingerichtet. Auch die Landesbank habe ein externes System, um die Anonymität zu sichern, sagt Sprecherin Michaela Stefan. Bei der Sparkassengruppe wiederum löst jedes Institut das eigenständig. Inhaltlich sei es nichts Neues, sagt Sparkassenverbandssprecherin Nicola Frimmel. „Neu ist nur die Formalisierung. Bisher ist man halt zur Führungskraft gegangen.“
Wie das System aussehen muss, schreibt das Gesetz nicht vor. Vom Briefkasten bis zur Datenbank ist alles möglich. Datenanwendungen müssen allerdings – wenn sie nicht unter die ebenfalls neue Standardanwendung SA036 fallen – der Datenschutzbehörde gemeldet werden. Diese verlange standardmäßig eine Betriebsvereinbarung, sagt Mertinz. Sagt der Betriebsrat Nein, wird es schwierig.
Korruption nicht erfasst
Kuriosität am Rande: Das Gesetz regelt genau, für welche Meldungen das Hinweisgebersystem zur Verfügung stehen muss. Es geht dabei um Verstöße gegen eine Reihe bankspezifischer Vorschriften. Das Strafgesetzbuch steht nicht auf der Liste, das Wertpapieraufsichts- und das Börsengesetz ebenso wenig. Was heißt das nun? Muss etwa Hinweisen auf Korruptions- oder Untreuefälle nicht nachgegangen werden? Oder hat man nicht denselben Anspruch auf Vertraulichkeit, wenn man Derartiges anprangert?
Dass die Regelung das nicht miterfasst, sei aus ihrer Entstehung zu erklären, sagt Doris Zingl, Rechtsexpertin des Bankenverbandes. Sie sei in dieser Form aus der EU-Bankenrichtlinie CRD IV übernommen worden. Und sie umschreibe auch nur eine Mindestanforderung. „Die Banken können natürlich darüber hinausgehen.“
Dass etwa einem Korruptionsverdacht nachgegangen werden müsse, ergebe sich außerdem schon aus der Sorgfaltspflicht. Aber, so Zingl: „Man muss schon aufpassen, wofür man so ein System verwendet.“ Stehe es für alles offen, könnten dort auch Meldungen über zu spät kommende Kollegen landen. Und selbst bei Hinweisen auf gravierende Arbeitsrechtsverstöße, wie Mobbing oder sexuelle Belästigung, stelle sich die Frage, „ob das nicht anders kanalisiert werden sollte“. Auch, weil dafür eher die Personalstelle zuständig sei und nicht die interne Revision.
("Die Presse", Print-Ausgabe, 13.02.2014)