EU-Whistleblower-Richtlinie und das neue HinweisgeberInnenschutzgesetz (HSchG)

Schon seit längerer Zeit nimmt das Thema „Whistleblowing“ einen besonderen Stellenwert als Bestandteil des Compliance-Management-Systems (CMS) eines Unternehmens ein, um frühzeitig Missstände zu identifizieren, diese zu analysieren, den möglichen Schaden zu minimieren und entsprechende Präventionsmaßnahmen zu setzen.

Eine gesetzliche Verankerung zur Einführung eines solchen Hinweisgebersystems, dem Aufsetzen eines Prozesses zur Analyse der Meldung sowie dem Schutz des:der Hinweisgeber:in bestand im europäischen Raum, d.h. auch in Österreich, bis vor Kurzem nur fragmentisch für spezifische Branchen.

Dies änderte sich durch die im Herbst 2019 veröffentlichte Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Vorausgegangen waren dieser Richtlinie diverse publik gewordene Fälle, bei denen sich die Hinweisgebenden häufig zuerst intern an das Unternehmen gewandt hatten, jedoch keine Maßnahmen gesetzt wurden und/oder Hinweisgebende in Folge des Falls nicht ausreichend vor Repressalien geschützt worden waren.

Die EU-Whistleblowing-Richtline hätte per 17.12.2021 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden müssen. In Österreich wurde das nationale Umsetzungsgesetz, das HinweisgeberInnenschutzgesetz (HSchG), schließlich mit etwas Verspätung beschlossen und ist seit dem 25.02.2023 in Kraft.

In den nachfolgenden Absätzen wollen wir Sie kurz und kompakt über die wesentlichen Inhalte und Pflichten, die sich aus dem neuen HSchG für Unternehmen ergeben, informieren.

Wer ist Hinweisgeber:in iSd HSchG?

Hinweisgebende können gemäß HSchG insbesondere Arbeitnehmer:innen, Selbstständige, bezahlte oder unbezahlte Praktikant:innen oder Lieferant:innen sein – das bedeutet, dass der persönliche Anwendungsbereich und Schutzbereich sehr weit gefasst ist. Damit ein:e Hinweisgeber:in in den Schutzbereich des HSchG fällt, muss ein beruflicher Konnex vorhanden sein. Die Rechtsverletzung muss also in einem engen Zusammenhang mit der (laufenden oder früheren) beruflichen Tätigkeit wahrgenommen worden sein. Geschützt sind außerdem Personen, die den:die Hinweisgebenden unterstützen. Der Hinweisgeberschutz umfasst die Meldung von Verstößen gegen ausgewählte Bereiche des Unionsrechts, wie z.B. Geldwäsche, Produktsicherheit, Verkehrssicherheit, Datenschutz, öffentliches Auftragswesen, Steuerbetrug und Umweltschutz. Der sachliche Anwendungsbereich wurde vom österreichischen Gesetzgeber zusätzlich zu den zwingenden unionsrechtlichen Vorgaben auch auf die Verhinderung und Ahndung von Korruptionsdelikten ausgeweitet.

Anzumerken ist, dass in der Praxis in vielen Unternehmen bereits Compliance-Richtlinien bzw. Verhaltenskodizes implementiert sind. Diese inkludieren in der Regel einen breiteren Themenkreis, wie Kartellrecht, Betrugsprävention, Interessenkonflikte etc. Im Sinne von Best Practice empfiehlt es sich zu evaluieren, inwieweit der Anwendungsbereich eines internen Hinweisgebersystems auch auf Themen der internen Compliance-Vorgaben ausgeweitet werden kann.

Wer ist zur Einrichtung eines Hinweisgebersystems iSd HSchG verpflichtet?

Durch das HSchG wurde normiert, dass Unternehmen und juristische Personen des öffentlichen Sektors mit 50 oder mehr Arbeitnehmer:innen noch im Jahr 2023 ein internes Hinweisgebersystem, um Meldungen von Hinweisgebenden entgegenzunehmen, einzurichten haben.

• Für Unternehmen mit 50 bis 249 Arbeitnehmer:innen erstreckt sich die Umsetzungsfrist bis zum 17.12.2023.
• Unternehmen mit mehr als 249 Arbeitnehmer:innen müssen den Anforderungen des HSchG jedoch bis zum 25.08.2023 gerecht werden.
  

An wen dürfen sich Hinweisgebende iSd HSchG wenden?

Nach dem HSchG ist das Hinweisgebersystem so auszugestalten, dass der:die Hinweisgeber:in dazu angeregt wird, sich vorrangig an das interne System zu wenden, bevor er:sie von der externen Meldestelle Gebrauch macht. Hierbei handelt es sich jedoch um keine zwingende Vorgabe für die Hinweisgeber:innen („Soft Law“). Das bedeutet: Per se sollen die Hinweisgebenden sich zuerst intern an das Unternehmen wenden. Erst nach erfolgter interner Meldung sollen sie sich externer Kanäle bedienen, die bei zuständigen Behörden einzurichten sind. Anzumerken ist allerdings, dass die Hinweisgebenden auch bei einer direkten Meldung über externe Kanäle geschützt werden.

Als letzte Eskalationsstufe nennt das HSchG schließlich die Veröffentlichung der Verstöße gegenüber der Öffentlichkeit (z.B. soziale Medien). Eine solche soll, abgesehen von schwerwiegenden Fällen, wie z.B. bei Gefährdung des öffentlichen Interesses oder sonstigen Notsituationen, nur möglich sein, wenn zuvor interne oder externe Meldungen erstattet wurden und keine entsprechend geeigneten Maßnahmen ergriffen wurden.

Welche Anforderungen werden an den Meldekanal iSd HSchG gestellt?

Die Meldekanäle müssen insbesondere

• sicher konzipiert, eingerichtet und betrieben sein, sodass der Schutz der Identität des:der Hinweisgeber:in und Dritter gewährleistet werden kann.
• sicherstellen, dass Unbefugte keinen Zugriff auf die Meldungen haben.
• technisch und organisatorisch geeignet sein gemäß Art 25 DSGVO.

Meldungen müssen in schriftlicher, mündlicher oder beiden Formen möglich sein. Mündliche Meldungen müssen überdies telefonisch oder mit einem anderen Mittel der mündlichen Kommunikation gegeben werden können.

Auf Ersuchen des/der Hinweisgeber:innen soll binnen 14 Kalendertagen auch eine physische Zusammenkunft ermöglicht werden.

Welche Maßnahmen sind durch das Unternehmen nach Erhalt einer Meldung iSd HSchG zu setzen?

Die zur Einrichtung eines Hinweisgebersystems verpflichteten Unternehmen haben mittels entsprechender Verfahren sicherzustellen, dass innerhalb von sieben Tagen nach Einlangen der Meldung eine Bestätigung des Eingangs an den:die Hinweisgeber:in erfolgt.

Die Betreuung des Hinweisgebersystems hat bei einer unparteiischen Person/Abteilung (Interne Stelle) zu liegen, d.h. zum Beispiel der Internen Revision oder der Compliance-Abteilung. Die definierte interne Stelle ist mit der zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Mitteln auszustatten.

Nach Erhalt einer Meldung sind seitens des Unternehmens unmittelbar Maßnahmen zur Analyse der Meldung einzuleiten (Überprüfung der Stichhaltigkeit), um die Inhalte zu verifizieren, sowie Präventionsmaßnahmen zu setzen. Dem:der Hinweisgeber:in ist spätestens binnen 3 Monaten durch das Unternehmen eine Rückmeldung dahingehend zu geben, welche Folgemaßnahmen ergriffen werden, bzw. warum der Hinweis nicht weiterverfolgt wird. Anzumerken ist, dass abhängig vom gemeldeten Sachverhalt den Verpflichteten ein zeitlicher Druck zur raschen Aufarbeitung auferlegt wird.

Was ist für das Unternehmen aus arbeits- und datenschutzrechtlicher Sicht iSd HSchG zu beachten?

Während des gesamten Prozesses sind die datenschutzrechtlichen Anforderungen der DSGVO bzw. des DSG und arbeitsrechtliche Vorgaben einzuhalten. Datenschutzrechtliche Anforderungen bestehen insbesondere bei der Implementierung des Hinweisgebersystems, z.B. Aufnahme der Datenverarbeitung in das Verarbeitungsverzeichnis, Gewährleistung der Vertraulichkeit der Hinweisgebenden sowie Datenaufbewahrung und -löschung. Arbeitsrechtliche Vorgaben sind sowohl bei der Einführung des Systems (z.B. Einbeziehung des Betriebsrates, Anpassung der Betriebsvereinbarungen) als auch bei der Analyse der Meldung, nämlich dahingehend, dass der:die Hinweisgeber:in vor Repressalien (z.B. Suspendierung, Kündigung, Versagung von Beförderung, Gehaltsminderung, negativer Leistungsbeurteilung etc.) geschützt wird, von Relevanz.

Conclusio

Um den Anforderungen des HinweisgeberInnenschutzgesetzes (HschG) zu entsprechen, sollte daher evaluiert werden, ob Ihr Unternehmen in den Anwendungsbereich fällt und Sie dementsprechend zur Einführung eines Hinweisgeber:innensystems verpflichtet sind.

Auch wenn bereits ein System eingeführt wurde, ist dieses dahingehend zu überprüfen, ob es den Anforderungen des HSchG entspricht. Gerne begleiten unsere Expert:innen Sie sowohl bei der Einrichtung eines Whistleblowing-Systems als auch bei der Evaluierung Ihres bereits bestehenden Systems.

Wesentliche Bestandteile eines effektiven Whistleblowing Managements lassen sich untenstehendem Schaubild entnehmen, in welchem die Anforderungen aus der Richtlinie sowie des HSchG berücksichtigt sind.