Zum Hauptmenü Zum Inhalt
News | Haslinger / Nagele, Illustration: Karlheinz Wasserbacher

Verpflichtende Whistleblower-Meldesysteme


Laut EU-Richtlinie müssten bis 17. Dezember 2021 Unternehmen mit über 249 Arbeitnehmern, juristische Personen des öffentlichen Rechts (wie z. B. Städte und Gemeinden) sowie Unternehmen, die im Eigentum oder unter Kontrolle von letzteren stehen, einen internen Meldekanal für Hinweisgeber einrichten. Zwei Jahre später sind auch Unternehmen mit mehr als 50 Arbeitnehmer unter Zugzwang. Grundlage ist ein noch zu erlassendes Gesetz, mit dem die Whistleblower-Richtlinie der EU (2019/1937) umgesetzt wird. Diese Richtlinie hätte zwar bis 17.12.2021 umgesetzt werden müssen, der österreichische Gesetzgeber ist allerdings nach wie vor säumig. 4 Gründe, warum Ihr Unternehmen jetzt schon ein solches System einrichten soll, lesen Sie hier.

Erklärtes Ziel der Richtlinie ist die Einführung von Mindeststandards für einen wirksamen Hinweisgeberschutz. Gänzlich neu ist die Idee eines Whistleblowing-Systems allerdings nicht. Bereits 2014 hat der Europarat Grundsätze zum Schutz von Whistleblowern entwickelt, die darauf abzielten, die Mitgliedstaaten zur Schaffung eines Regelwerks zu bewegen. Bislang bestehen aber nur punktuelle Lösungen in spezifischen Rechtsbereichen, wie im Straf- und im Finanzmarktrecht. Doch was hat das im Detail zu bedeuten?

Umsetzung der Whistleblower-Richtlinie lässt weiter auf sich warten

EU-Richtlinien sind grundsätzlich nicht unmittelbar anwendbar, sie müssen erst in nationales Recht umgesetzt werden. Ein solches Gesetz zur Umsetzung der Whistleblower-RL ist in Österreich noch immer nicht erlassen. Das mit der Umsetzung betraute Bundesministerium für Arbeit hatte angekündigt, dem Parlament noch im Herbst letzten Jahres einen konkreten Begutachtungsentwurf vorzulegen. Uns liegt auch bereits eine erste Arbeitsfassung eines Gesetzesentwurfs des Ministeriums vor, die allerdings noch unvollständig ist und dem parlamentarischen Verfahren noch nicht unterzogen wurde.

Unternehmen mit mehr als 50 Arbeitnehmern sowie alle öffentlichen Unternehmen und juristischen Personen des öffentlichen Rechts sind nach der Richtlinie grundsätzlich verpflichtet, ein Hinweisgeber-System einzurichten. Dem Gesetzgeber bleibt es aber unbenommen, den Anwendungsbereich auch auf kleinere Unternehmen auszudehnen bzw. Gemeinden mit weniger als 10.000 Einwohnern oder 50 Arbeitnehmern von dieser Verpflichtung auszunehmen. Das System soll für Verstöße gegen die unterschiedlichsten Vorschriften des EU-Rechts gelten, wie z.B. das öffentliche Auftragswesen, den Verkehrs- und Umweltschutz, den Verbraucher- und Datenschutz, die Verhinderung von Geldwäsche und Terrorismusfinanzierung u.v.m.

Mehrstufiges Meldesystem

Die Richtlinie sieht ein mehrstufiges Meldesystem vor. Zunächst sollen Verstöße über einen internen Kanal gemeldet werden können. Dabei ordnet die Richtlinie an, dass die Meldekanäle so sicher konzipiert, eingerichtet und betrieben werden müssen, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird. Die Meldung muss in schriftlicher oder mündlicher Form möglich sein. Technische Vorgaben gibt es nicht. Werden keine Maßnahmen ergriffen, sollen externe Meldekanäle (z. B. bei Behörden) Abhilfe schaffen. Wurden nach einer internen und externen Meldung keine Maßnahmen ergriffen oder besteht die Gefährdung des öffentlichen Interesses, ist als letzte Eskalationsstufe der Weg an die Öffentlichkeit vorgesehen. Auf letztere beiden Stufen sollten es Unternehmen nicht ankommen lassen: Geht eine Meldung an die Behörde, haben Unternehmen keine Chance mehr, etwa durch einen Kronzeugenantrag bei der Bundeswettbewerbsbehörde oder durch eine Selbstanzeige beim Finanzamt Straffreiheit zu erhalten.

Pflicht zur Reaktion

Die Richtlinie stellt auch organisatorische Regeln auf, wie auf Meldungen zu reagieren ist. Dem Hinweisgeber ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen. Es ist ihm sodann eine unparteiische Person oder Abteilung zu nennen, die mit ihm in Kontakt bleibt, erforderlichenfalls um weitere Informationen ersucht und ordnungsgemäße Folgemaßnahmen setzt. Nach längstens drei Monaten ab Bestätigung des Eingangs der Meldung bzw. nach Ablauf der 7-Tages-Frist nach Eingang der Meldung hat der Hinweisgeber eine Rückmeldung über die ergriffenen Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis zu erhalten.

Wie jedoch vorzugehen ist, wenn der Hinweisgeber anonym eine Meldung erstattet, bleibt noch abzuwarten. Diesfalls obliegt die Entscheidung dem Gesetzgeber, ob eine Verpflichtung bestehen soll, anonyme Meldungen von Verstößen entgegenzunehmen und Folgemaßnahmen zu ergreifen. Vom Schutzbereich sind anonyme Hinweisgeber aber erfasst, wenn sie anschließend identifiziert werden.

Hinweisgeberschutz vs. Datenschutz?

Dem Schutz des Hinweisgebers stehen allerdings die Informations- und Auskunftsrechte der betroffenen natürlichen Person gegenüber, welche dieser aus der DSGVO zukommen. Damit entsteht zwangsläufig ein Spannungsverhältnis zwischen der Whistleblower-Richtlinie und der DSGVO. Der Gesetzgeber wird hier bestimmte Rechte des Betroffenen einschränken müssen, um zu verhindern, dass dieser versucht, die Meldungen des Hinweisgebers zu beeinflussen. Diese Maßnahmen müssen aber stets verhältnismäßig ausgestaltet sein. Es bleibt spannend, wie hier die österreichische Regelung aussehen wird.

Schutz von Hinweisgebern vor Repressalien

Überdies sieht die Richtlinie vor, dass jede Form von Repressalien gegen die Hinweisgeber und bestimmte zugehörige Personen, einschließlich Androhung und Versuch, durch erforderliche Maßnahmen zu untersagen ist. Unternehmen, die Meldungen behindern bzw. dies versuchen, Repressalien bzw. mutwillige Gerichtsverfahren gegen die genannten Personen anstrengen oder gegen die Pflicht, die Vertraulichkeit der Identität von Hinweisgebern zu wahren, verstoßen, sollen hierfür einer Sanktion unterworfen werden. Zudem können Hinweisgeber für eine Meldung nicht zivil-, straf- oder verwaltungsrechtlich haftbar gemacht werden, wenn sie hinreichenden Grund zu der Annahme hatten, dass der gemeldete Verstoß zum Zeitpunkt der Meldung der Wahrheit entsprach, die Meldung notwendig war, um einen Verstoß aufzudecken, und die Informationen nicht durch eine Straftat erlangt wurden. Es ist ausreichend, wenn der Hinweisgeber begründete Bedenken oder einen begründeten Verdacht hat, eindeutige Beweise sind nicht notwendig. Umgekehrt soll es entsprechende Sanktionen gegen Hinweisgeber für wissentliche Falschmeldungen geben. Die in der Richtlinie normierten Mindeststandards sollen durch zivilrechtliche Vereinbarungen nicht aufgehoben oder beschränkt werden können.

Die wichtigsten Daten zur Whistleblower-Richtlinie

  • Die Richtlinie ist bis zum 17.12.2021 in innerstaatliches Recht umzusetzen. Vorschriften betreffend juristische Personen mit 50 bis 249 Arbeitnehmern müssen erst bis 17.12.2023 umgesetzt werden.
  • In Österreich ist die Richtlinie noch nicht umgesetzt.
  • Juristische Personen des privaten Sektors ab 50 Arbeitnehmern, juristische Personen des öffentlichen Sektors (wie z. B. auch Bund, Land und Gemeinden) sowie Unternehmen, die im Eigentum oder unter Kontrolle von letzteren stehen, haben ein Hinweisgeber-System einzurichten.
  • Bestehende, ehemalige und zukünftige Arbeitnehmer, (unbezahlte) Praktikanten sowie externe natürliche, wie auch juristische Personen, die mit der betreffenden Organisation in Verbindung stehen und im beruflichen Kontext Informationen erlangt haben, können über dieses Hinweisgeber-System Regelverstöße melden. Gemeldet werden sollen insbesondere rechtswidrige Verstöße gegen Unionsrecht und (nicht rechtswidrige) missbräuchliche Praktiken, die dem Ziel oder Zweck des Unionsrechts zuwiderlaufen.
  • Die Meldung kann (primär) innerhalb der Organisation oder auch extern an Behörden erstattet werden.
  • Der Hinweisgeber und bestimmte Personen, die in einer Beziehung zum Hinweisgeber stehen, werden vor Repressalien und Sanktionen geschützt.

Die Whistleblower-Richtline bietet Herausforderungen in verschiedensten Rechtsgebieten. Um dieses Thema optimal betreuen zu können, ist interdisziplinäre Arbeit angesagt. Dazu ziehen unsere Expertinnen und Experten Fabian Blumberger (Arbeitsrecht), Birgit Meisinger (Vergaberecht), Edeltraud Muckenhuber (Compliance- und Behörden-Management), Thomas Riesz (Datenschutz), Laura Viechtbauer (Strafrecht) und Bernd Wiesinger (Strafrecht) unter dem Dach der Compliance an einem Strang und stehen für die Beantwortung weiterer Fragen zu diesem Thema gerne zur Verfügung.

Testen Sie unser „Whistleblowing-System“!

Disclaimer

Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.

Hinweis: Dieser Beitrag erschien am 29. September 2021 in leicht abgeänderter Form in der Tageszeitung Die Presse.

 

3. März 2022

 
Zurück zur Übersicht
  • Referenz | Haslinger / Nagele, Logo: JUVE Awards
  • JUVE Top 20 Wirtschaftskanzlei-Oesterreich
  • Promoting the best. Women in Law Award