Whistleblowing – Was Unternehmen jetzt tun müssen
Das HinweisgeberInnenschutzgesetz (HSchG) dient der Umsetzung der europäischen Whistleblowing-Richtlinie in Österreich: Unternehmen werden zur Schaffung interner Meldekanäle, zur Verfolgung eingehender Hinweise und zum Schutz von Hinweisgeber:innen verpflichtet. Nach monatelanger Vorlaufzeit tritt das Gesetz nun in Kraft und schafft Handlungsbedarf in den Bereichen Compliance, Arbeitsrecht und Datenschutz.
Das HSchG – mehr Chance als Pflicht! Mit der richtigen Umsetzung der gesetzlichen Anforderungen lässt sich Mehrwert im Unternehmen schaffen – sowohl für den wirtschaftlichen Erfolg als auch für das Wohlergehen der Beschäftigten.
Das EY Law Whistleblowing Team211w
Welche Maßnahmen sind im Unternehmen zu treffen?
Mit der Auswahl eines Whistleblowing-Tools (auch EY bietet ein solches an) ist es nicht getan. Es ist eine interne Stelle zur Bearbeitung eingehender Hinweise einzurichten. Diese sollte fachlich kompetent besetzt und idealerweise in bestehende Compliance-Strukturen eingegliedert sein. Es braucht Guidelines zur Nutzung des Whistleblowing-Kanals und einen klar definierten Bearbeitungsprozess für eingehende Meldungen, um eine rasche interne Aufklärung von Verdachtsfällen zu gewährleisten. Der so gewonnene Zeitvorteil gegenüber einer möglichen behördlichen Verfolgung kann wertvoll sein, um Strafen zu entgehen – denken Sie an Kronzeugenanträge, Selbstanzeigen und tätige Reue.
Ist eine konzernweite Lösung zulässig?
Das HSchG erlaubt österreichischen Unternehmen die Einrichtung einer gemeinsamen Meldestelle. So ist es beispielsweise möglich, bei der Konzernmutter eine zentrale Meldestelle mit Zuständigkeit für alle Tochterunternehmen zu schaffen. In anderen EU-Staaten kann dies aber abweichend geregelt sein. Bei internationalen Konzernstrukturen sind daher alle anwendbaren nationalen Rechtsordnungen zu berücksichtigen. Mit unserem internationalen EY Law-Netzwerk bieten wir dabei die nötige Beratung aus einer Hand.
Darf’s etwas mehr sein?
Der vom HSchG definierte Schutzbereich umfasst nur Meldungen zu ausgewählten Rechtsmaterien. Damit verbundene Ungewissheit auf Seiten potenzieller Hinweisgeber:innen über den persönlichen Schutz führt zu Zurückhaltung bei der Erstattung von Meldungen. Unternehmen entgeht dadurch die Chance interner Aufarbeitung vor behördlicher Verfolgung. Eine freiwillige Ausdehnung auf weitere relevante Materien und entsprechende Schutzgewährung für Hinweisgeber:innen ist daher dringend empfohlen. Mit unserer Compliance-Expertise unterstützen wir Sie bei der maßvollen Ausgestaltung Ihres Whistleblowing-Systems.
Whistleblowing-Tools: Mit oder ohne Zustimmung der Belegschaft?
-Arbeitsrechtlich ist ein Whistleblowing-Tool (auch) ein System zur Kontrolle der Arbeitnehmer. Berührt ein solches Kontrollsystem die Menschenwürde, ist grundsätzlich die Zustimmung des Betriebsrates erforderlich bzw. in Ermangelung eines solchen die Zustimmung der einzelnen Arbeitnehmer:innen. Whistleblowing-Tools berühren im Regelfall die Menschenwürde.
-Geht ein Whistleblowing-Tool nicht über die Erfüllung der Verpflichtungen aus dem HSchG hinaus, ist eine Zustimmung des Betriebsrates bzw. der Arbeitnehmer:innen grundsätzlich nicht erforderlich. Andernfalls könnte die gesetzliche Verpflichtung zur Einrichtung von Hinweisgebersystemen durch die Verweigerung einer Zustimmung auf Seiten der Belegschaftsvertretung bzw. Belegschaft verhindert werden.
-Geht das Whistleblowing-Tool allerdings über die Vorgaben des Gesetzgebers hinaus (dies kann in der Praxis durchaus empfehlenswert sein), ist nach derzeitiger Rechtslage die Zustimmung des Betriebsrates in Form einer Betriebsvereinbarung bzw. die Zustimmung der einzelnen Arbeitnehmer:innen erforderlich.
Schutz vor Vergeltungsmaßnahmen?
Arbeitnehmer:innen sind nach dem HSchG vor Vergeltung im Fall eines berechtigten Hinweises geschützt. Zu solchen Vergeltungsmaßnahmen zählen nicht nur die Suspendierung, Kündigung, Entlassung, oder Nichtverlängerung befristeter Arbeitsverhältnisse, sondern auch negative Beurteilungen, Verwarnungen, Versagung von Weiterbildungsmaßnahmen oder finanzielle Sanktionen. Auch anonyme Hinweisgeber:innen haben Anspruch auf diesen Schutz, wenn ihre Identität nach Abgabe des Hinweises anderen ohne ihr Zutun bekannt wird.
Anonyme Hinweisgeber:innen ein Dilemma?
Im Arbeitsverhältnis können anonyme Hinweise durchaus zum Dilemma werden: Arbeitgeber:innen müssen bei Hinweisen auf Rechtsverletzungen unverzüglich reagieren. Zunächst gebietet bereits die Fürsorgepflicht, rechtswidriges Verhalten am Arbeitsplatz schleunig zu unterbinden. Darüber hinaus besteht für arbeitsrechtliche Sanktionen (z.B. Suspendierung oder Entlassung) der sogenannte Unverzüglichkeitsgrundsatz. Bei schuldhaftem Zögern kann das Sanktionsrecht des Arbeitgebers verloren gehen. Auf Basis von (lediglich) anonymen Hinweisen arbeitsrechtliche Sanktionen gegen Arbeitnehmer:innen auszusprechen, ist allerdings (insbesondere aufgrund der Beweislast in Gerichtsverfahren) sehr riskant. Hier sollte jeweils im Einzelfall eine rechtliche Prüfung erfolgen.
Datenschutzrechtliche Vorgaben?
Da Whistleblowing-Meldungen mitunter sehr sensible Daten umfassen, ist auch dem Datenschutz entsprechend Gewicht einzuräumen. Hier gab es im Vorfeld viel Kritik, auf die nun eingegangen wurde. Die pauschale dreißigjährige Aufbewahrungsfrist wurde in eine fünfjährige Frist abgeändert. Darüber hinaus sind Daten so lange aufzubewahren, wie das zur Durchführung verwaltungsbehördlicher und gerichtlicher Verfahren notwendig ist. Um die Identität von Hinweisgeber:innen und weitere Ermittlungen nicht zu gefährden, können die Betroffenenrechte eingeschränkt werden. Wer sein Whistleblowing-Tool gemeinsam mit anderen betreibt, ist jedenfalls mit diesen auch gemeinsam verantwortlich. Aufgrund der komplexen Wechselwirkung von Hinweisgeber:innenschutz auf der einen Seite und Datenschutz auf der anderen Seite empfiehlt es sich jedenfalls, die Einführung des Whistleblowing-Systems datenschutzrechtlich begleiten zu lassen.
Zu beachten ist, dass auch Hinweisgeber:innen hinsichtlich personenbezogener Daten, von denen sie wissen, dass sie über das zur Weiterverfolgung des Hinweises Erforderliche hinausgehen, als datenschutzrechtlich Verantwortliche zu qualifizieren sind. Dies wird jedenfalls dann gelten, wenn die Daten klar nicht für die Ermittlungen von Bedeutung sind. Verpflichtet zur Löschung ist aber derjenige, der das Whistleblowing-System betreibt, also das Unternehmen. Hier muss bei der Auswahl des Systems darauf geachtet werden, dass dieses dem Unternehmen ermöglicht, solche Löschungen auch gezielt und selektiv vorzunehmen.
Datenschutz-Compliance bei Whistleblowing-Systemen ist jedenfalls kein einfaches Unterfangen, zumal es oft mehrere Verantwortliche gibt. Hier ist eine gute rechtliche Begleitung unerlässlich, um keine Fehler zu begehen. Unsere Experten beraten Sie gerne.
Der weitere Zeitplan:
- 1. Februar 2023: Beschluss des HSchG im Nationalrat erfolgt
- Demnächst: Behandlung im Bundesrat, anschließend Beurkundung, Kundmachung und Inkrafttreten
- 6 Monate nach Inkrafttreten: Pflicht für Unternehmen mit Beschäftigtenzahl > 250
- Dezember 2023: Pflicht für Unternehmen mit Beschäftigtenzahl zwischen 50 und 250
15.2.2023, EY Law, Whistleblowing-Kompetenzteam mit David Konrath, Sebastian Manschiebel und Ermano Geuer, www.eylaw.at