Mit fast eineinhalb Jahren Verspätung wurde das HinweisgeberInnenschutz-Gesetz („HSchG“) am 1. Februar 2023 im Nationalrat endlich beschlossen. Im nächsten Schritt wird der Bundesrat damit befasst. Damit ist ein Inkrafttreten des neuen Gesetzes bis allerspätestens Ende März – wenn nicht sogar früher – realistisch. Angesichts der knappen Umsetzungsfristen müssen sich Unternehmen daher heuer intensiv mit den neuen Whistleblowing-Verpflichtungen auseinandersetzen und die erforderlichen internen Hotlines und Prozesse einrichten. (Symbolbild: pixabay.com)

Welche Fristen gelten? Welche Betriebe werden verpflichtet?
Öffentliche Einrichtungen mit mehr als 250 Beschäftigten müssen innerhalb einer sechsmonatigen Schonfrist ab Inkrafttreten interne Whistleblowing-Hotlines und spezifische Meldeverfahren implementieren. Ab 17. Dezember werden dann auch juristische Personen des privaten und öffentlichen Sektors mit mehr als 50 Beschäftigte in die Pflicht genommen. Der interne Kanal soll Whistleblowern zusätzlich zur externen Hotline beim Bundesamt zur Korruptionsprävention und -bekämpfung zur Verfügung stehen.

Welche Pflichten kommen auf sie zu?

  • Meldekanal: Meldungen müssen schriftlich (zB per Online-Plattform) oder mündlich (per Telefon oder über Sprachaufzeichnungen) möglich sein. Auf Ersuchen des Hinweisgebers kann die Meldung auch persönlich erfolgen. In der Praxis haben sich Plattformlösungen aufgrund ihrer Skalierbarkeit durchgesetzt.
  • Meldestelle: Die Meldungen sind bei einer unparteiischen Person oder Abteilung zu bündeln. Wer hierfür geeignet ist, hängt von der Unternehmensstruktur ab. Eine Doppelfunktion des Zuständigen ist zulässig, wenn die Unabhängigkeit gewahrt wird. So kann in kleineren Unternehmen zB der Leiter der Compliance- und Personalabteilung, ein Integritätsbeauftragter, der Rechts- oder Datenschutzbeauftrage, ein Finanzvorstand, Auditverantwortlicher oder Vorstandsmitglied nominiert werden. Jedenfalls ist das „need-to-know“-Prinzip zum Schutz des Hinweisgebers streng einzuhalten.
  • Meldeverfahren: Der Erhalt der Meldung ist dem Whistleblower binnen sieben Tagen nach Einlangen zu bestätigen. Offenkundig falsche Hinweise sind zurückzuweisen. Mit irreführenden und sonstigen Hinweisen muss sich die Compliancestelle beschäftigen und diese verifizieren. Anschließend sind ordnungsgemäße Folgenmaßnahmen zu treffen. Spätestens drei Monate nach Eingang der Meldung ist der Whistleblower – soweit möglich und zulässig – über die getroffenen Folgenmaßnahmen zu informieren. Dadurch soll Vertrauen in das Meldesystem aufgebaut werden.
  • Informationspflichten: Juristische Personen müssen den potentiellen Hinweisgebern den Zugang zu klaren Informationen über das interne Meldeverfahren für Meldungen ermöglichen.

Welche Meldungen müssen über den Whistleblowing-Kanal ermöglicht werden?
Es müssen Meldungen über folgende Umstände ermöglicht werden:

  • Normverstöße in spezifischen Sektoren, unabhängig davon, ob es sich um EU- oder rein nationales Recht handelt. Zu den Bereichen zählen: Finanzdienstleistungen, Finanzprodukte, Finanzmärkte, Verhinderung von Geldwäsche- und Terrorismusfinanzierung, Produktsicherheit und -konformität, Verkehrssicherheit, Umwelt-, Strahlen-, Lebensmittel-, Futtermittel-, Tier(gesundheits)-, Verbraucher- und Datenschutz sowie die Sicherheit von Netz- und Informationssystemen und öffentliche Gesundheit;
  • Verhinderung und Ahndung von Straftaten nach den §§ 302 bis 309 StGB (zB Missbrauch der Amtsgewalt, Geschenkannahme oder Bestechung).
    Der Anwendungsbereich des HSchG wurde damit trotz entsprechender Anregungen im Begutachtungsverfahren nicht weiter ausgedehnt. Ein daher bleibender Kritikpunkt ist, dass damit die in der Praxis höchst relevanten Betrugsverdachtsmeldungen nicht erfasst sind. Das sehen auch wir kritisch, zumal die neuen Compliance-Regelungen gerade als Chance für die Geschäftsführung zur besseren Ansteuerung und der frühzeitigen Intervention bei Missständen dienen sollen. Wenn Whistleblower keinen Schutz für Meldungen praxisnaher Anwendungsfälle genießen, werden solche Vorfälle sehr wahrscheinlich nicht an die Meldestelle herangetragen werden. Damit kann die Geschäftsleitung aber auch potentiellen Haftungsrisiken nicht rechtzeitig begegnen. Wir empfehlen daher kritisch zu hinterfragen, welche freiwillige Ausweitung der erfassten Vergehen im konkreten Unternehmen sinnvoll ist.

Wer ist als Hinweisgeber geschützt?
Der Schutz umfasst insbesondere Arbeitnehmer, Bewerber, Selbstständige, Lieferanten, Anteilseigner und anonyme Whistleblower bei nachträglicher Offenlegung ihrer Identität, sofern sie Meldungen im Anwendungsbereich des HSchG erstatten. Darüber hinaus müssen auch Unterstützer bzw Nahestehende von Whistleblowern künftig keine Repressalien fürchten, wie etwa Mobbing oder finanziellen Nachteile.

Welche Vertraulichkeitsanforderungen sind zu beachten?

  • Die Identität der Tippgeber ist auch intern geheim zu halten. Es dürfen daher nur Mitarbeiter und Berater zur Bearbeitung von Meldefällen eingebunden werden, die hierfür zwingend erforderlich sind. Das schließt nicht automatisch die Führungsebene mit ein. Das bedeutet aber nicht, dass diese nicht mehr eingebunden werden darf. Gerade über substantielle Verstöße soll sie nach den Erläuterungen jedenfalls Kenntnis erlangen.
  • Weiters ist die Offenlegung der Identität in Verfahren nur dann zulässig, wenn diese unerlässlich und hinsichtlich der potentiellen Gefährdung der Personen verhältnismäßig ist.
  • Die Verletzung der Vertraulichkeitsverpflichtungen wird mit hohen Bußgeldern geahndet. Die Meldestelle sollte daher wohl überlegt besetzt werden und entsprechendes Augenmerk auf Vorkehrungen zur Sicherstellung der Vertraulichkeit gelegt werden.

Welche datenschutzrechtlichen Spezifika müssen berücksichtigt werden?

  • Personenbezogene Daten müssen fünf Jahre und darüber hinaus solange, als dies für ein eingeleitetes Verfahren notwendig ist, aufbewahrt werden. Die Frist wurde zwar nach berechtigter Kritik im Begutachtungsverfahren deutlich verkürzt. Allerdings ist auch die neue Aufbewahrungsfrist weiter vergleichsweise lang: So war die Aufbewahrung von Whistleblower-Daten nach der bisherigen Position der Datenschutzbehörde nur für maximal zwei Monate nach Beendigung der Untersuchung bzw des Verfahrens zulässig.
  • Bei der Verarbeitung von Whistleblowing-Daten agiert grundsätzlich jede Einrichtung als eigenständige Verantwortliche. Betreiben mehrere Verantwortliche gemeinsam ein Hinweisgebersystem, sind sie als gemeinsame Verantwortliche zu qualifizieren. Sie müssen daher eine Art-26-DSGVO-Vereinbarung abschließen. Das ist für Konzernlösungen relevant.
  • Weiters muss das Unternehmen bei Datenverarbeitungen auf Grundlage des HSchG ausdrücklich keine Datenschutz-Folgenabschätzung durchführen. Eröffnet ein Unternehmen die Hotline aber freiwillig auch für andere Verstöße außerhalb des Gesetzes (zB Mobbing, Betrug, Untreue, Verstöße gegen interne Policies etc) – was im Sinne der Prävention, Risikominimierung und effizienter Nutzung der nun so und so einzusetzenden Ressourcen Sinn macht – greift diese Ausnahme nicht. Diesfalls ist eine Folgenabschätzung notwendig. Das ist aber kein echtes Hindernis für eine sinnvolle Ausweitung der Hotline.

Welche Strafen drohen?
Die Behinderung von Hinweisgebern, die Ergreifung von Repressalien, die Verletzung der Vertraulichkeit sowie ein wissentlich falscher oder irreführender Hinweis wird mit einer Verwaltungsstrafe von bis zu EUR 20.000,- (oder EUR 40.000,- im Wiederholungsfall) bestraft.

3.2.2023, Autor:innen: Mag. Alexandra Ciarnau und Dr. Axel Anderl, DORDA Rechtsanwälte GmbH, www.dorda.at