Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Verkehr und digitale Infrastruktur vom 15. März 2019 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/8490 19. Wahlperiode 18.03.2019 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Stephan Kühn (Dresden), Dr. Manuela Rottmann, Sven-Christian Kindler, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN – Drucksache 19/8093 – Compliance und Hinweisgeberschutz bei Toll Collect V o r b e m e r k u n g d e r F r a g e s t e l l e r Im Sommer 2018 griff die Wochenzeitung die „DIE ZEIT“ Berichte eines ehemaligen Mitarbeiters der Lkw-Maut-Betreibergesellschaft Toll Collect auf, denen zufolge Toll Collect gegenüber dem Bund hunderte Millionen Euro zu viel abgerechnet haben soll. Die Berichterstattung der Journalisten legte offen, dass der Hinweisgeber durch die Anzeige der entdeckten Unregelmäßigkeiten bei der Abrechnung zunächst mit internen Repressalien zu kämpfen hatte und schlussendlich seinen Job bei Toll Collect als Folge seines Verhaltens verlor (www. zeit.de/2018/33/toll-collect-lkw-maut-staat). Whistleblower, also Personen, die helfen, Missstände, Korruption oder Gesetzesverstöße in Politik, Wirtschaft und Gesellschaft aufzudecken, genießen hierzulande kaum Schutz. Das „Handelsblatt“ berichtete am 26. Juli 2018, dass es seit 2008 sechs Gesetzesinitiativen gegeben habe, die alle gescheitert seien (Handelsblatt v. 26. Juli 2018, „Bundesregierung will keinen speziellen Whistleblower -Schutz in Deutschland“). Die EU-Kommission bezifferte 2018 den finanziellen Schaden aufgrund des fehlenden Schutzes von Hinweisgebern allein im öffentlichen Auftragswesen EU-weit auf bis zu 9,6 Mrd. Euro pro Jahr. Die EU-Kommission schätzt darüber hinaus die durch Betrug und Korruption im Zusammenhang mit dem EU-Haushalt bedingten jährlichen Einnahmenausfälle auf bis zu 256 Mrd. Euro (https://eur-lex.europa.eu/resource.html?uri=cellar: a4e61a49-46d2-11e8-beld-01aa75ed71a1.0002.02/DOC_1&format=PDF). Gerade in den öffentlichen bzw. staatlichen Unternehmen des Bundes kommt der Bundesregierung daher eine besondere Verantwortung zu, Hinweisgeberschutz zu gewährleisten. Seit 1. September 2018 befindet sich Toll Collect im Besitz des Bundes. Als Eigentümer von Toll Collect kann der Bund nun das Unternehmen in seinem Sinne führen. Die Grundsätze guter Unternehmens- und Beteiligungsführung bilden die Grundlage für eine verantwortungsvolle Führung der Beteiligungen des Bundes an Unternehmen in privater Rechtsform. Nach der Antwort des Bundesministeriums für Verkehr und digitale Infrastruktur auf die Schriftliche Frage 86 der Abgeordneten Dr. Manuela Rottmann auf Bundestagsdrucksa- Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/8490 – 2 – Deutscher Bundestag – 19. Wahlperiode che 19/6828 sieht sich die Bundesregierung diesen Grundsätzen guter Unternehmens - und Beteiligungsführung verpflichtet, solange der Bund Eigentümer von Toll Collect ist. Inzwischen hat das Bundesverkehrsministerium entschieden , dass Toll Collect dauerhaft im Besitz des Bundes verbleiben soll. Die Implementierung eines wirksamen Hinweisgebers – gerade vor dem Hintergrund der Berichterstattung aus dem Sommer 2018 – ist nach Ansicht der Fragestellenden eine besondere Verantwortung der Bundesregierung. Compliancesysteme sind mittlerweile wichtige Bestandteile erfolgreicher und verantwortungsvoller Unternehmensführung. Sie bieten die Möglichkeit, Wirtschaftskriminalität frühzeitig zu erkennen und zu unterbinden. Compliance und Grundsätze guter Unternehmens- und Beteiligungsführung 1. Welche Compliance-Anforderungen gelten für Toll Collect seit dem 1. September 2018? 2. Auf welche Weise stellt das Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) – bezugnehmend auf die Antwort der Bundesregierung auf die Schriftliche Frage 86 der Abgeordneten Dr. Manuela Rottmann auf Bundestagsdrucksache 19/6828 – sicher, dass bei Toll Collect seit dem 1. September 2018 die Grundsätze guter Unternehmens- und Beteiligungsführung im Bereich des Bundes eingehalten werden? Die Fragen 1 und 2 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet . Im Zuge der Übernahme der Geschäftsanteile an der Toll Collect GmbH durch den Bund wurden die gesellschaftsrechtlichen vertraglichen Grundlagen der Toll Collect GmbH an die Grundsätze guter Unternehmens- und Beteiligungsführung im Bereich des Bundes angepasst. Des Weiteren hat BMVI der Toll Collect GmbH mit Gesellschafterbeschluss aufgegeben, die Grundsätze guter Unternehmens - und Beteiligungsführung im Bereich des Bundes und die Korruptionspräventionsrichtlinie des Bundes zur Anwendung zu bringen und zu beachten. 3. Ist Toll Collect von den Grundsätzen des Public Corporate Governance Kodex des Bundes seit dem 1. September 2018 abgewichen und hat das nachvollziehbar in einem Bericht veröffentlicht (vgl. Grundsätze guter Unternehmens - und Beteiligungsführung im Bereich des Bundes, Teil A. Public Corporate Governance Kodex des Bundes, 1.4. Verankerung und Complianceprogramm gemäß Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer ), und wenn ja, an welchen Stellen? Die Toll Collect GmbH wird hierzu entsprechend der Vorgabe aus dem Public Corporate Governance Kodex des Bundes jährlich einen Bericht veröffentlichen. Hinweisgeberschutz 4. Inwiefern hat die Bundesregierung seit dem 1. September 2018 darauf hingewirkt , dass bei Toll Collect angemessene Vorkehrungen getroffen werden, damit es den Mitarbeitern und Personen in einer vergleichbaren Position unter Wahrung der Vertraulichkeit ihrer Identität möglich ist, Verstöße gegen geldwäscherechtliche Vorschriften und andere geltende Gesetze sowie Wirtschaftskriminalität und geeigneten Stellen zu berichten und unethisches, aber nicht rechtswidriges oder gar strafbares Verhaltens aufzudecken? Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/8490 5. Inwiefern hat die Bundesregierung auf die Medienberichterstattung zum Umgang mit einem Hinweisgeber bei Toll Collect in „DIE ZEIT“ vom 8. August 2018 (www.zeit.de/2018/33/toll-collect-lkw-maut-staat) reagiert, und nach dem 1. September 2018 die Compliance-Abteilung bei Toll Collect insofern so umstrukturiert, dass in Zukunft ein effektiver Hinweisgeberschutz gewährleistet ist? 8. Welche anderweitigen Maßnahmen hat die Bundesregierung seit der Übernahme von Toll Collect am 1. September 2018 ergriffen, um den Hinweisgeberschutz bei Toll Collect zu verbessern? Die Fragen 4, 5 und 8 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Die Toll Collect GmbH hat im Jahr 2017 einen Ombudsmann eingesetzt, dem unternehmensinterne und unternehmensexterne Hinweisgeber anonym Hinweise auf Compliance-Verstöße geben können. Zudem besitzt die Toll Collect GmbH einen Compliance-Beauftragten, dem ebenfalls anonym Compliance-Verstöße gemeldet werden können. Die Toll Collect GmbH hat ein wirksames Compliance- Management-System (CMS) etabliert, das an den Prüfungsstandards IDW PS 980 und ISO 19600 ausgerichtet ist. Die Einhaltung der Standards wurde zuletzt 2017/2018 überprüft und bestätigt. Seit der Übernahme der Geschäftsanteile an der Toll Collect GmbH durch den Bund ist die Toll Collect GmbH verpflichtet, die Regeln des Public Corporate Governance Kodex des Bundes zu befolgen und diese im Rahmen des Compliance Management zu berücksichtigen. 6. Welche gesetzgeberischen Maßnahmen – insbesondere im Straf- und Arbeitsrecht – zur Verbesserung des Hinweisgeberschutzes, die auch auf Toll Collect Anwendung finden, hat die Bundesregierung seit dem 1. September 2018 bereits ergriffen? Gegenwärtig befindet sich ein Regierungsentwurf eines Gesetzes zur Umsetzung der Richt-linie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb so-wie rechtswidriger Nutzung und Offenlegung im parlamentarischen Verfahren. Dieser sieht vor, dass keine rechtswidrige Erlangung, Nutzung oder Offenlegung eines Geschäftsgeheimnisses vorliegt, wenn die das Geschäftsgeheimnis erlangende, nutzende oder offenlegende Person zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens in der Absicht handelt, das allgemeine öffentliche Interesse zu schützen . In diesen Fällen liegt ebenfalls keine strafbare Verletzung von Geschäftsgeheimnissen vor. 7. Welche weiteren gesetzgeberischen Maßnahmen – insbesondere im Strafund Arbeitsrecht – zur Verbesserung des Hinweisgeberschutzes, die auch auf Toll Collect Anwendung finden, plant die Bundesregierung, um den Hinweisgeberschutz zu verbessern? Derzeit wird auf der Ebene der Europäischen Union der Vorschlag der Kommission für eine Richtlinie zum Schutz von Personen, die Verstöße gegen das EU- Recht melden (2018/0106 final) beraten. Die Bundesregierung begrüßt das mit dem Richtlinienvorschlag verfolgte Ziel, den Hinweisgeberschutz in der gesamten Union zu verbessern und so die Durchsetzung des EU-Rechts zu fördern. Die Bundesregierung begleitet die Behandlung des Richtlinienvor-schlags in der zuständigen Arbeitsgruppe des Rates der EU sowie die laufenden Trilogverhandlungen . Im Rahmen der Umsetzung der Richtlinie in Deutschland wird über die zukünftige Ausgestaltung des Hinweisgeberschutzes zu entscheiden sein. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/8490 – 4 – Deutscher Bundestag – 19. Wahlperiode 9. Plant die Bundesregierung, Hinweisgeber bei Toll Collect grundsätzlich finanziell oder anderweitig für durch die gegebenen Hinweise erlittene Nachteile (z. B. Vermögensverluste, Jobverlust, keine Rehabilitation, psychische und gesundheitliche Schäden, weitere materielle und immaterielle Schäden) zu entschädigen, und wenn ja, auf welche Weise, und wenn nein, warum nicht? 10. Plant die Bundesregierung, existenzbedrohende Konsequenzen und Nachteile auf dem Arbeitsmarkt für aus Unternehmen ausgeschiedene Hinweisgeber , und wenn ja, wie, und wenn nein, warum nicht? Die Fragen 9 und 10 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet . Es wird auf die Antwort zu Frage 7 verwiesen. Datenschutz 11. In welcher Art und Weise trägt die Bundesregierung dafür Sorge, dass Datenschutz und Datensicherheit der gesamten internen und internen/externen Kommunikation sowie aller Daten bei Toll Collect gewährleistet wird? Bei der Verarbeitung personenbezogener Daten im Rahmen ihrer Geschäftstätigkeit ist die Toll Collect GmbH an die Regelungen der Datenschutzgrundverordnung , des Bundesfernstraßenmautgesetzes, des Bundesdatenschutzgesetzes sowie des Betreibervertrags, der umfangreiche Regelungen zu Datenschutz und Datensicherheit enthält, gebunden. Das Bundesamt für Güterverkehr kontrolliert die Einhaltung dieser Vorgaben, wird über die datenschutzrechtlichen Prozesse der Toll Collect GmbH informiert und prüft datenschutzrechtlich relevante Vorgänge auf ihre Zulässigkeit, sofern die Toll Collect GmbH als Beliehene tätig wird. Die Toll Collect GmbH hat zum Schutz der Unternehmensinformationen, zu denen auch die im Unternehmen verarbeiteten Daten gehören, ein Informationssicherheitsmanagementsystem aufgebaut. Dieses orientiert sich an dem etablierten internationalen Sicherheitsstandard ISO 27001 und ist nach diesem zertifiziert. Die Zertifizierung wird aufrechterhalten und durch regelmäßige Überwachungsaudits und Rezertifizierungen überprüft. Bei der Ausgestaltung technischer und organisatorischer Maßnahmen zur IT-Sicherheit der Daten orientiert sich die Toll Collect GmbH an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sicherheitskonzepte werden auf Basis der BSI-Methodik gemäß den BSI-Standards erstellt. Zur Sicherstellung des Datenschutzes hat die Toll Collect GmbH einen Datenschutzverantwortlichen etabliert. Die Anforderungen des Datenschutzes an die Sicherheit der Informationen und Daten der Toll Collect GmbH fließen in die Sicherheitskonzepte mit ein. 12. Liegen der Bundesregierung Kenntnisse darüber vor, dass Datenschutz und/oder Datensicherheit bei Toll Collect zu irgendeinem Zeitpunkt nicht gewährleistet waren? Nein. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/8490 13. Welcher Cyber-Attacken, Hacker-Angriffe o. Ä. auf die Daten und die Dateninfrastruktur von Toll Collect sind der Bundesregierung bekannt, welche Auswirkungen hatten entsprechende Angriffe auf die Datensicherheit und den Datenschutz der bei Toll Collect gespeicherten Daten, und welche Maßnahmen wurden jeweils ergriffen, um diese Angriffe abzuwehren? Die Toll Collect GmbH ist bislang keinen Cyber-Attacken, Hacker-Angriffen o. Ä. ausgesetzt gewesen. Daneben ist die Toll Collect GmbH – wie jedes andere Unternehmen – den typischen und zyklisch verstärkt auftretenden IT-Sicherheitsgefährdungen ausgesetzt, bspw. Phishingattacken und Cryptotrojanerangriffen. Diese werden durch die bei der Toll Collect GmbH etablierten technischen und organisatorischen Maßnahmen abgewehrt. 14. Inwiefern arbeitet Toll Collect zur Abwehr von Cyber-Attacken, Hacker- Angriffe o. Ä. mit dem Bundesamt für Sicherheit in der Informationstechnik zusammen, welche konkreten Fälle der Zusammenarbeit gab es bisher, und ist geplant, dass Toll Collect bei entsprechenden Fällen mit dem Bundesamt für Sicherheit in der Informationstechnik in Zukunft zusammenarbeitet, und wenn ja, inwiefern werden hier Vorbereitungen getroffen? Die für die IT-Sicherheit verantwortlichen Mitarbeiterinnen und Mitarbeiter werden regelmäßig hinsichtlich der Erneuerungen und Ergänzungen in den Methodiken und Inhalten des BSI-Grundschutzes geschult. Bei eventuellen gravierenden Cyberattacken würde die Toll Collect GmbH das BSI über die durch das BSI etablierten Meldewege einbeziehen. Im Übrigen wird auf die Antwort zu Frage 11 verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333