Dr. Haslinger steht mit Rat und Tat zur Seite.
B2B-Newsletter > NL 1/23
Dr. Haslinger zu neuen Whistleblowing-Vorgaben:
Wie errichtet man ein Meldesystem? Wie geht man mit Daten richtig um?
Folgender Beitrag richtet sich an Compliance-Officer und Compliance-Beauftragte sowie an Fach- und Führungskräfte aus den Bereichen Compliance Management, Recht, Unternehmenskommunikation, Interne Kommunikation, Risikomanagement, Interne Revision, Fraud Management, Controlling, Finanzen, Rechnungswesen, Personal, Qualitätsmanagement und Organisation.
Die Whistleblower-Richtlinie der EU (2019/1937) verpflichtet grundsätzlich bereits seit 17.12.2021 sämtliche Unternehmen mit mehr als 249 ArbeitnehmerInnen, juristische Personen des öffentlichen Rechts (wie z. B. Städte und Gemeinden) sowie Unternehmen, die im Eigentum oder unter Kontrolle von solchen Körperschaften stehen, zur Einführung eines Meldesystem für HinweisgeberInnen. Doch per dato hat der österreichische Gesetzgeber keine fristgerechte Umsetzung vorgenommen. Seit Dezember 2022 liegt dem österreichischen Parlament ein Entwurf zum Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen (HinweisgeberInnenschutzgesetz – HSchG) vor.
Österreich hinkt bei der Umsetzung der Whistleblower-Richtlinie weit hinterher. Eine rasche Umsetzung soll Strafzahlungen wegen Vertragsverletzungsverfahren in der EU vermeiden. Der Kurier berichtet dazu: https://kurier.at/politik/inland/umsetzung-der-whistleblower-richtlinie-geht-in-die-endphase/402261768
Doch abgesehen von den gesetzlichen Vorgaben gilt:
Compliance ist PFLICHT, nicht Kür!
Doch auch für kleinere Unternehmen besteht zeitnah Handlungsbedarf: den ab 17.12.2023 müssen auch KMUs (dh. Kleinere und mittlere Unternehmen) mit mehr als 50 ArbeitnehmerInnen derartige Systeme eingerichtet haben! Kleine und mittelgroße Unternehmen (KMU) haben daher mit vielfältigen Compliance-Herausforderungen zu kämpfen: Auf der einen Seite macht der Gesetzgeber mit neuen Richtlinien für Hinweisgeberschutz und Lieferketten Druck, auf der anderen Seite mangelt es häufig an Ressourcen oder Know-How im Unternehmen.
Die Investition in ein gutes Compliance Management zahlt sich jedoch auf vielen Ebenen aus, abgesehen von den gesetzlichen Vorgaben, gibt es wesentliche Gründe warum ein funktionierendes „Whistleblowing-System“ bereits jetzt wichtig ist und jegliches Unternehmen ein solches implementieren sollte:
- Vertrauen schaffen: Ein funktionierendes Whistleblowing-System gibt den MitarbeiterInnen oder sonstigen unternehmensnahen Personen die Gewissheit, dass vertrauliche Hinweise ermöglicht werden, angemessen bearbeitet und entsprechende Konsequenzen gesetzt werden können.
- Reputation schützen: Ein angemessenes (auch internes) Whistleblowing-System des Unternehmens verringert die Wahrscheinlichkeit, dass sich WhistleblowerInnen mit ihren Hinweisen und Anliegen an externe Stellen wenden und so vertrauliche, möglicherweise geschäftsschädigende Informationen über behauptete Rechtsverstöße an die Öffentlichkeit gelangen.
- Gefahren rechtzeitig erkennen: Ein funktionierendes Whistleblowing-System gewährleistet, dass allfällige Rechtsverstöße im Unternehmen frühzeitig erkannt und saniert werden (z.B.: interne Nachforschungen nach Schärfen von Aufsichtsmaßnahmen, strafbefreiende Selbstanzeigen, …).
- Risikominimierung: Die Kenntnis bestehender Risiken ermöglicht es, rechtzeitig entsprechende Gegenmaßnahmen zu ergreifen und zukünftige Rechtsverstöße zu vermeiden.
Wie sollte ein Whistleblowing-System umgesetzt werden?
Der erste Schritt ist es, dass das Unternehmen interne Whistleblowing-Kanäle für Dienstnehmer einrichtet. Ein derartiges Meldesystem sollte Meldungen in schriftlicher oder mündlich Form – auf Wunsch des/der Hinweisgebers/in auch persönlich – ermöglichen. Aber auch für externe Personen sollte ein entsprechendes Hinweissystem für anonyme Meldungen eingerichtet werden. Dabei sollte die so eingerichtete „Meldestelle“ im Unternehmen die/den WhistleblowerIn auch über die Untersuchungen auf dem Laufenden halten und insbesondere vor potentielle Benachteiligung schützen und aus diesem Grund die Identität des oder der WhistleblowerIn streng vertraulich bewahren.Zugriff auf relevanten Informationen (wie Meldung und Untersuchungsergebnisse) dürfen nach dem „need-to-know“-Prinzip ausschließlich berechtigte Personen haben. In der Praxis kann dies sinnvollerweise über dafür eingerichtete Online-Systeme geschehen, wobei diesbezüglich insbesondere auf die Compliance und die Vorgaben der DSGVO zu achten ist: Dh. neben den einzuhaltenden hohen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten sind außerdem Speicherbegrenzungen vorzusehen (Informationen dürfen nur so lange gespeichert werden, als dies erforderlich und verhältnismäßig ist). Darauf legte die österreichische Datenschutzbehörde besonderen Wert.
"Don't shoot the messenger": Richtiger Umgang und Schutz von HinweisgeberInnen und "Repressalienverbot"
Im Zusammenhang mit Whistleblower-Meldesystemen gilt ein sogenanntes umfangreiches „Repressalienverbot“: Demnach dürfen Unternehmen eine/n HinweisgeberIn allein aufgrund einer Meldung nicht sanktionieren; D.h. neben einer Kündigung scheiden auch sämtliche andere Repressalien, wie z.B. unterlassene Beförderungen oder Mobbing aus.
HinweisgeberInnen, die wissentlich falsche Informationen verteilen, können sich allerdings nicht auf diesen Schutz berufen. Wesentlich ist, dass der/die WhistleblowerIn zum Zeitpunkt der Meldung redlich handelt und berechtigterweise von der Richtigkeit der Informationen ausgehen durfte. Dabei hat der/die HinweisgeberIn zunächst entweder den internen oder externen Kanal an öffentliche Behörden zu nutzen. Nur für den Fall, dass über diese Kanäle keine Behebung oder Besserung zu erwarten ist bzw. das inkriminierte Verhalten eingestellt wird, ist (auch) eine Information direkt an die Öffentlichkeit möglich.
HinweisgeberInnen, die wissentlich falsche Informationen verteilen, können sich allerdings nicht auf diesen Schutz berufen. Wesentlich ist, dass der/die WhistleblowerIn zum Zeitpunkt der Meldung redlich handelt und berechtigterweise von der Richtigkeit der Informationen ausgehen durfte. Dabei hat der/die HinweisgeberIn zunächst entweder den internen oder externen Kanal an öffentliche Behörden zu nutzen. Nur für den Fall, dass über diese Kanäle keine Behebung oder Besserung zu erwarten ist bzw. das inkriminierte Verhalten eingestellt wird, ist (auch) eine Information direkt an die Öffentlichkeit möglich.
Wie wird der Schutz vertraulicher Informationen des Unternehmens gewahrt? Ausnahmen Verschwiegenheitspflicht?
Tatsächlich besteht ein Spannungsverhältnis zwischen Geheimnisschutz des Unternehmens einerseits und der zu gewährleistenden Möglichkeit des Whistleblowing-Systems!
Denn, arbeitsrechtlich sind Arbeitnehmer, aufgrund ihrer Treuepflicht zum Arbeitgeber, verpflichtet, Betriebs- und Geschäftsgeheimnisse absolut vertraulich zu behandeln. Oftmals wird dies in Dienstverträgen geregelt. Jedoch sind Ausnahmen von der generellen Verschwiegenheitspflicht gegeben: So sind die Interessen des Arbeitgebers an der Geheimhaltung, einerseits, mit den Interessen des Mitarbeiters an der Offenlegung abzuwägen. Werden jedoch wesentlich falsche Angaben gemacht, so sind arbeitsrechtliche Konsequenzen zulässig. So besagt die ergangene Entscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR), dass eine fristlose Beendigung/Entlassung des Dienstverhältnisses mit einem/einer WhistleblowerIn möglich sein kann (im vorliegenden Fall zeigte der Whistleblower seinen Verdacht direkt bei der Staatsanwaltschaft an, ohne die Vorfälle vorab intern näher zu prüfen; Az. 23922/19 – Gawlik vs. Liechtenstein).
Umsetzung von Whistleblowing im Unternehmen:
Planung und Durchführung interner Melde-Prozesse. Darauf müssen Sie achten!
Gerne unterstütze ich Sie bei Ihrer Umsetzung eines Whistleblower-Systems zur gesetzeskonformen Compliance in Ihrem Unternehmen. Dabei sind insbesondere folgende Steppstones zu berücksichtigen:
- Festlegung von Meldestelle und Form der Meldung (Onlinesystem, ...)
- Rechtskonforme Ausgestaltung des Meldekanales
- Festlegung der notwendigen Compliance-Dokumentation, wie zB Informationsschreiben
- Überprüfung und Anpassung der Datenschutzdokumentation
- Schulungen für Mitarbeiter und Schlüsselpersonen
Ich stehe für Anfragen gerne unter folgenden Kontaktdaten zur Verfügung:
Anmerkung: Dr. Haslinger ist seit Dezember 2021 unter folgenden neuen Kontaktdaten erreichbar:
A-1090 Wien, Währingerstraße 3/8
Festnetz: +43 1 934 6260
Mobil: +43 / 664 999 470 83
e-mail: office@ra-haslinger.at
Rechtsanwalt Dr. Wolfgang Haslinger ist Spezialist in den Rechtsbereichen: IT, IP und Datenschutzrecht sowie Arbeitsrecht und Vertragsgestaltung für Compliance und Führungskräfte.
Copyright Foto Haslinger: Karin Haslinger