Österreich setzt die Whistleblower-Richtlinie um

Von der datenschutzrechtlichen Seite betrachtet, werfen Florian Brutter, Datenschutzbeauftragter in der WK Tirol, und Dietmar Mühlböck, zertifizierter Datenschutzbeauftragter und Autor, einen Blick auf das HinweisgeberInnenschutzgesetz (HSchG), das am 1.2.2023 beschlossen wurde. Die Sorgfaltspflichten für Unternehmen werden mit der vorgeschriebenen Umsetzung der sogenannten EU-Whistleblower-Richtlinie bis zum Jahresende 2023 erweitert. Der arbeitsrechtliche Aspekt liegt auf dem Schutz der Mitarbeiter:innen (Whistleblower) vor Sanktionen.

Am 1.2.2023 wurde im Parlament das lange überfällige HinweisgeberInnenschutzgesetz (HSchG) beschlossenund damit die EU-Whistleblower-Richtlinie in nationales Recht umgesetzt. Diese sieht vor, dass alle Mitgliedsstaaten der EU entsprechende Schutzmechanismen für Whistleblower einführen, um sicherzustellen, dass diese Personen vor Vergeltungsmaßnahmen geschützt sind, wenn sie Verstöße gegen das Unionsrecht melden. Dazu gehören insbesondere Verstöße gegen Vorschriften im Bereich des öffentlichen Auftragswesens, der Finanzen, der Verhinderung von Geldwäsche und Terrorismusfinanzierung, der Produktsicherheit und -konformität, der Verkehrssicherheit, des Umwelt-, Verbraucher und Datenschutzes sowie auch
der Missbrauch von EU-Fördergeldern. In einem sachten Gold Plating wurde der sachliche Anwendungsbereich in Österreich auf Straftaten nach §§ 302 bis 309 StGB, also Amtsmissbrauch und Bestechung, erweitert. Bis Jahresende ist das Gesetz in allen Unternehmen mit mindestens 50 Mitarbeiterinnen und Mitarbeitern umzusetzen, für Betriebe ab 250 Mitarbeiter:innen in ca. 6 Monaten. Die Anzahl der Beschäftigten ist das einzige Kriterium der Anwendung auf Betriebe, somit sind in Tirol um die 760 Unternehmen betroffen.

Verpflichtende Einführung von Hinweisgebersystemen

Diese rund 760 Tiroler Unternehmen  werden dazu verpflichtet, ein unparteiisches und weisungsfreies Hinweisgebersystem zu etablieren, das Beschäftigten, ehemaligen Beschäftigten, Bewerbern und Lieferanten zugänglich sein muss. Anders als in anderen EU-Mitgliedsstaaten ist in Österreich keine unmittelbare Geldbuße vorgesehen, wenn ein Unternehmen kein Hinweisgebersystem einrichtet, jedoch ist zu bedenken, dass es dem Whistleblower in einem solchen Fall freisteht, sich sofort an Medien oder eine Strafverfolgungsbehörde zu wenden. Neben einem allfälligen Verfahren zur Aufarbeitung des Hinweises ist in einem solchen Fall mit einem Imageschaden und damit mit einem Reputationsverlust zu rechnen. Aber auch ohne direkte Sanktionierung lässt sich die Pflicht zur Einrichtung eines Hinweisgebersystems aus den Sorgfaltspflichten im GmbH-Gesetz und im Aktiengesetz (AktG) ableiten. Im Worst Case kann ein funktionierendes Hinweisgebersystem sogar einen Milderungsgrund nach dem Verbandsverantwortlichkeitsgesetz (VbVG) eröffnen. Strafbar macht sich allerdings, wer etwa versucht, seine Mitarbeiter:innen oder andere Hinweisgeber:innen zu behindern oder wer Vergeltungsmaßnahmen setzt bzw. die Vertraulichkeitsvorgaben verletzt. Ebenso strafbar machen sich allerdings Hinweisgeber:innen, die wissentlich falsche Hinweise geben.

Schutz der Mitarbeiter:innen vor Sanktionen

Unternehmen sind verpflichtet, Maßnahmen zu ergreifen, um Whistleblower vor Vergeltungsmaßnahmen aufgrund berechtigter (!) Hinweise zu schützen, wie zum Beispiel Entlassung, Versetzung oder andere Nachteile, wobei die Beweislast für solche Anschuldigungen einerseits beim Hinweisgeber liegt, wenn aber bereits konkrete Maßnahmen ergriffen wurden, das Unternehmen belegen muss, dass diese nicht in Bezug zum Whistleblowing stehen. Dazu gehört, dass die Identität der Hinweisgeber:innen zu schützen ist: Anonymität ist also wichtig und bei der technischen Umsetzung besonders zu beachten.

Das Gesetz sieht weiters vor, dass Unternehmen Informationskampagnen durchführen müssen, um ihre Mitarbeiter:innen über ihre Rechte und Pflichten im Zusammenhang mit dem HinweisgeberInnenschutzgesetz zu informieren. Leider wurde die Richtlinie nicht in allen Mitgliedsstaaten der EU einheitlich umgesetzt, so ist beispielsweise in Deutschland eine Geldbuße bei Nichterrichtung einer Meldestelle vorgesehen. Unternehmer:innen mit Betriebsstätten im EU-Ausland sind somit angehalten, unbedingt die einschlägige Gesetzgebung in den jeweiligen Ländern zu beachten. Dabei ist im In- wie auch im Ausland darauf zu achten, dass es zwar möglich ist, eine zentrale Meldestelle für verschiedene Tochterunternehmen einzurichten, für die Nachverfolgung eingehender Hinweise jedoch kein Konzernprivileg umgesetzt wurde.

Ziel des HinweisgeberInnenschutzgesetzes ist es, dazu beizutragen, dass Missstände in Unternehmen schneller ans Licht kommen. Es soll sicherstellen, dass Mitarbeiter:innen, die ihre Bedenken äußern, geschützt sind und trägt so zur Aufrechterhaltung von Integrität und Transparenz im Unternehmen bei. Die rechtskonforme Umsetzung des Gesetzes schafft Rechtssicherheit für Unternehmen und kann dazu beitragen, eine positive Außenwirkung zu unterstreichen.

Expertentipps

Dietmar Mühlböck, zertifizierter Datenschutzbeauftragter und Autor

Die Hinweisgebersysteme müssen technisch und organisatorisch DSGVO-konform ausgestaltet werden. Gleichzeitig sollte das System im besten Fall attraktiver als ein externer Meldekanal sein, denn davon hängt es ab,ob Hinweise im Unternehmen bleiben.

Florian Brutter, Datenschutzbeauftragter in der WK Tirol

Die Einrichtung des Hinweisgebersystems ist erst der Anfang. Der Bearbeitungsprozess bei einlangenden Hinweisen sollte genauso durchdacht werden wie die technische Umsetzung.