Whistleblowing-Meldesysteme
Wir helfen bei der Umsetzung und Aufarbeitung!
Laut EU-Richtlinie müssten bis 17. Dezember 2021 Unternehmen mit über 249 Arbeitnehmern, juristische Personen des öffentlichen Rechts (wie z. B. Städte und Gemeinden) sowie Unternehmen, die im Eigentum oder unter Kontrolle von letzteren stehen, einen internen Meldekanal für Hinweisgeber einrichten. Zwei Jahre später sind auch Unternehmen mit mehr als 50 Arbeitnehmer unter Zugzwang. Grundlage ist ein noch zu erlassendes Gesetz, mit dem die Whistleblower-Richtlinie der EU (2019/1937) umgesetzt wird. Diese Richtlinie hätte zwar bis 17.12.2021 umgesetzt werden müssen, der österreichische Gesetzgeber ist allerdings nach wie vor säumig. 4 Gründe, warum Ihr Unternehmen jetzt schon ein solches System einrichten soll, lesen Sie hier.
Erklärtes Ziel der Richtlinie ist die Einführung von Mindeststandards für einen wirksamen Hinweisgeberschutz. Gänzlich neu ist die Idee eines Whistleblowing-Systems allerdings nicht. Bereits 2014 hat der Europarat Grundsätze zum Schutz von Whistleblowern entwickelt, die darauf abzielten, die Mitgliedstaaten zur Schaffung eines Regelwerks zu bewegen. Bislang bestehen aber nur punktuelle Lösungen in spezifischen Rechtsbereichen, wie im Straf- und im Finanzmarktrecht. Doch was hat das im Detail zu bedeuten?
EU-Richtlinien sind grundsätzlich nicht unmittelbar anwendbar, sie müssen erst in nationales Recht umgesetzt werden. Ein solches Gesetz zur Umsetzung der Whistleblower-RL ist in Österreich noch immer nicht erlassen. Das mit der Umsetzung betraute Bundesministerium für Arbeit hatte angekündigt, dem Parlament noch im Herbst letzten Jahres einen konkreten Begutachtungsentwurf vorzulegen. Uns liegt auch bereits eine erste Arbeitsfassung eines Gesetzesentwurfs des Ministeriums vor, die allerdings noch unvollständig ist und dem parlamentarischen Verfahren noch nicht unterzogen wurde.
Unternehmen mit mehr als 50 Arbeitnehmern sowie alle öffentlichen Unternehmen und juristischen Personen des öffentlichen Rechts sind nach der Richtlinie grundsätzlich verpflichtet, ein Hinweisgeber-System einzurichten. Dem Gesetzgeber bleibt es aber unbenommen, den Anwendungsbereich auch auf kleinere Unternehmen auszudehnen bzw. Gemeinden mit weniger als 10.000 Einwohnern oder 50 Arbeitnehmern von dieser Verpflichtung auszunehmen. Das System soll für Verstöße gegen die unterschiedlichsten Vorschriften des EU-Rechts gelten, wie z.B. das öffentliche Auftragswesen, den Verkehrs- und Umweltschutz, den Verbraucher- und Datenschutz, die Verhinderung von Geldwäsche und Terrorismusfinanzierung u.v.m.
Die Richtlinie sieht ein mehrstufiges Meldesystem vor. Zunächst sollen Verstöße über einen internen Kanal gemeldet werden können. Dabei ordnet die Richtlinie an, dass die Meldekanäle so sicher konzipiert, eingerichtet und betrieben werden müssen, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird. Die Meldung muss in schriftlicher oder mündlicher Form möglich sein. Technische Vorgaben gibt es nicht. Werden keine Maßnahmen ergriffen, sollen externe Meldekanäle (z. B. bei Behörden) Abhilfe schaffen. Wurden nach einer internen und externen Meldung keine Maßnahmen ergriffen oder besteht die Gefährdung des öffentlichen Interesses, ist als letzte Eskalationsstufe der Weg an die Öffentlichkeit vorgesehen. Auf letztere beiden Stufen sollten es Unternehmen nicht ankommen lassen: Geht eine Meldung an die Behörde, haben Unternehmen keine Chance mehr, etwa durch einen Kronzeugenantrag bei der Bundeswettbewerbsbehörde oder durch eine Selbstanzeige beim Finanzamt Straffreiheit zu erhalten.
Die Richtlinie stellt auch organisatorische Regeln auf, wie auf Meldungen zu reagieren ist. Dem Hinweisgeber ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen. Es ist ihm sodann eine unparteiische Person oder Abteilung zu nennen, die mit ihm in Kontakt bleibt, erforderlichenfalls um weitere Informationen ersucht und ordnungsgemäße Folgemaßnahmen setzt. Nach längstens drei Monaten ab Bestätigung des Eingangs der Meldung bzw. nach Ablauf der 7-Tages-Frist nach Eingang der Meldung hat der Hinweisgeber eine Rückmeldung über die ergriffenen Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis zu erhalten.
Wie jedoch vorzugehen ist, wenn der Hinweisgeber anonym eine Meldung erstattet, bleibt noch abzuwarten. Diesfalls obliegt die Entscheidung dem Gesetzgeber, ob eine Verpflichtung bestehen soll, anonyme Meldungen von Verstößen entgegenzunehmen und Folgemaßnahmen zu ergreifen. Vom Schutzbereich sind anonyme Hinweisgeber aber erfasst, wenn sie anschließend identifiziert werden.
Dem Schutz des Hinweisgebers stehen allerdings die Informations- und Auskunftsrechte der betroffenen natürlichen Person gegenüber, welche dieser aus der DSGVO zukommen. Damit entsteht zwangsläufig ein Spannungsverhältnis zwischen der Whistleblower-Richtlinie und der DSGVO. Der Gesetzgeber wird hier bestimmte Rechte des Betroffenen einschränken müssen, um zu verhindern, dass dieser versucht, die Meldungen des Hinweisgebers zu beeinflussen. Diese Maßnahmen müssen aber stets verhältnismäßig ausgestaltet sein. Es bleibt spannend, wie hier die österreichische Regelung aussehen wird.
Überdies sieht die Richtlinie vor, dass jede Form von Repressalien gegen die Hinweisgeber und bestimmte zugehörige Personen, einschließlich Androhung und Versuch, durch erforderliche Maßnahmen zu untersagen ist. Unternehmen, die Meldungen behindern bzw. dies versuchen, Repressalien bzw. mutwillige Gerichtsverfahren gegen die genannten Personen anstrengen oder gegen die Pflicht, die Vertraulichkeit der Identität von Hinweisgebern zu wahren, verstoßen, sollen hierfür einer Sanktion unterworfen werden. Zudem können Hinweisgeber für eine Meldung nicht zivil-, straf- oder verwaltungsrechtlich haftbar gemacht werden, wenn sie hinreichenden Grund zu der Annahme hatten, dass der gemeldete Verstoß zum Zeitpunkt der Meldung der Wahrheit entsprach, die Meldung notwendig war, um einen Verstoß aufzudecken, und die Informationen nicht durch eine Straftat erlangt wurden. Es ist ausreichend, wenn der Hinweisgeber begründete Bedenken oder einen begründeten Verdacht hat, eindeutige Beweise sind nicht notwendig. Umgekehrt soll es entsprechende Sanktionen gegen Hinweisgeber für wissentliche Falschmeldungen geben. Die in der Richtlinie normierten Mindeststandards sollen durch zivilrechtliche Vereinbarungen nicht aufgehoben oder beschränkt werden können.
Die Whistleblower-Richtline bietet Herausforderungen in verschiedensten Rechtsgebieten. Um dieses Thema optimal betreuen zu können, ist interdisziplinäre Arbeit angesagt. Dazu ziehen unsere Expertinnen und Experten Fabian Blumberger (Arbeitsrecht), Birgit Meisinger (Vergaberecht), Edeltraud Muckenhuber (Compliance- und Behörden-Management), Thomas Riesz (Datenschutz), Laura Viechtbauer (Strafrecht) und Bernd Wiesinger (Strafrecht) unter dem Dach der Compliance an einem Strang und stehen für die Beantwortung weiterer Fragen zu diesem Thema gerne zur Verfügung.
Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.
Hinweis: Dieser Beitrag erschien am 29. September 2021 in leicht abgeänderter Form in der Tageszeitung Die Presse.
3. März 2022