Banner

Artikel

EU-Whistleblower Richtlinie

Neue Anforderungen für Unternehmen – was ist zu tun?

Der Begriff Whistleblowing (Englisch „to blow the whistle“/ „einen Hinweis abgeben“) bezeichnet die Meldung von Missständen durch eine*n Hinweisgeber*in (Whistleblower) innerhalb eines Unternehmens oder an eine externe Stelle (z.B. Behörde). Diese durch eine*n Hinweisgeber*in abgegebene Meldung impliziert meist einen Compliance- und/oder Gesetzesverstoß. Als Meldekanal/ -system fungiert in der Praxis häufig eine webbasierte Plattform oder ein E-Mail-Postfach.

Schon seit längerer Zeit nimmt das Thema „Whistleblowing“ einen besonderen Stellenwert als Bestandteil der Compliance-Organisation eines Unternehmens ein, um frühzeitig Missstände zu identifizieren, diese zu analysieren, den möglichen Schaden zu minimieren und darauf basierend Präventionsmaßnahmen zu setzen.

Bis dato war die gesetzliche Verankerung zur Einführung eines solchen Hinweisgebersystems, das Aufsetzen eines Prozesses zur Analyse der Meldung sowie der Schutz der Hinweisgeberin bzw. des Hinweisgebers im Europäischen Raum, d.h. auch in Österreich, nur fragmentarisch im Gesetz geregelt.

Dies ändert sich durch die im Herbst 2019 veröffentlichte Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Die sogenannte EU-Whistleblowing-Richtline hätte per 17.12.2021 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden müssen. In Österreich warten wir aktuell noch auf die Veröffentlichung eines Entwurfs zur Umsetzung dieser Richtlinie. Vorausgegangen waren der Richtlinie diverse publik gewordene Fälle, bei denen sich die Hinweisgeberinnen und Hinweisgeber häufig zuerst intern an das Unternehmen gewandt hatten, jedoch keine Maßnahmen gesetzt wurden, und/oder die Hinweisgeberinnen und Hinweisgeber in Folge des Falls nicht ausreichend vor Repressalien geschützt wurden.

In den nachfolgenden Absätzen informieren wir Sie kurz und kompakt über die wesentlichen Inhalte und Pflichten, die sich aus der Umsetzung der Whistleblower-Richtlinie für Unternehmen ergeben.

Wer ist Hinweisgeber*in?

Hinweisgeberinnen und Hinweisgeber können gemäß der Richtlinie Arbeitnehmerinnen und Arbeitnehmer, Selbstständige, bezahlte oder unbezahlte Praktikatinnen und Praktikanten oder Lieferanten sein – das bedeutet, dass der Schutzbereich sehr weit gesehen wird. Die Richtlinie bezieht sich inhaltlich auf die Meldung von Verstößen gegen explizit genannte Bereiche, wie z.B. Geldwäsche, Produktsicherheit, Verkehrssicherheit, Datenschutz, öffentliches Auftragswesen, Steuerbetrug und Umweltschutz. Der Anwendungsbereich kann vom österreichischen Gesetzgeber sowohl in Hinblick auf den betroffenen Personenkreis als auch in Hinblick auf die umfassten Schutzgebiete auch noch ausgeweitet werden.

Anzumerken ist, dass in der Praxis in vielen Unternehmen bereits Compliance-Richtlinien bzw. Verhaltenskodizes implementiert sind, die den Meldekatalog darstellen, und sich auf Themen wie Anti-Korruption, Kartellrecht, Interessenskonflikte etc. beziehen.

Wer ist zur Einrichtung eines Meldekanals verpflichtet?

Die Mitgliedstaaten müssen sicherstellen, dass juristische Personen des privaten Sektors mit mehr als 50 Arbeitnehmerinnen und Arbeitnehmern und juristische Personen des öffentlichen Sektors (Bund, Land oder Gemeinden) ein internes Meldesystem einrichten, um Meldungen von Hinweisgeberinnen und Hinweisgebern entgegenzunehmen.

  • Für Unternehmen mit 50 bis 249 Arbeitnehmerinnen und Arbeitnehmern erstreckt sich die Umsetzungsfrist der Mitgliedstaaten bis 17.12.2023.
  • Unternehmen mit mehr als 249 Arbeitnehmerinnen und Arbeitnehmern haben jedoch unmittelbaren Handlungsbedarf. Wir erwarten in den kommenden Wochen die Veröffentlichung eines Entwurfs zur Umsetzung der EU-Richtlinie in nationales Recht.

An wen darf sich die Hinweisgeberin bzw. der Hinweisgeber wenden?

In der Richtlinie ist ein mehrstufiges Eskalationsverfahren für die Hinweisgeberin bzw. den Hinweisgeber vorgesehen. Das bedeutet, per se sollen die Hinweisgebenden zuerst intern an das Unternehmen melden. Erst nach erfolgter interner Meldung soll er sich externer Kanäle bedienen, die bei zuständigen Behörden einzurichten sind. Anzumerken ist allerdings, dass die Hinweisgebenden auch bei einer direkten Meldung über externe Kanäle geschützt werden.

Als letzte Eskalationsstufe nennt die Richtlinie schließlich die Offenlegung der Verstöße gegenüber der Öffentlichkeit (z.B. soziale Medien). Eine solche soll – abgesehen von schwerwiegenden Fällen, wie z.B. bei Gefährdung des öffentlichen Interesses oder sonstigen Notsituationen - nur möglich sein, wenn zuvor interne oder externe Meldungen erstattet wurden und dazu keine geeigneten Maßnahmen ergriffen wurden.

Welche Anforderungen werden an den Meldekanal gestellt?

Die Meldekanäle müssen

  • sicher konzipiert, eingerichtet und betrieben sein, dass die Vertraulichkeit der Identität der Hinweisgeberin bzw. des Hinweisgebers und Dritter gewahrt bleibt und
  • Unbefugte keinen Zugriff auf die Meldungen haben.

Meldungen müssen in schriftlicher oder mündlicher Form möglich sein. Mündliche Meldungen müssen überdies – auf Verlangen der Hinweisgeberin bzw. des Hinweisgebers – in angemessener Zeit im Wege einer physischen Zusammenkunft möglich sein.

Welche Maßnahmen sind durch das Unternehmen nach Erhalt einer Meldung zu setzen?

Die zur Einrichtung eines Meldekanals Verpflichteten haben mittels entsprechender Verfahren sicherzustellen, dass innerhalb von sieben Tagen nach Einlangen der Meldung eine Bestätigung des Eingangs an die Hinweisgeberin bzw. den Hinweisgeber erfolgt. Diese Betreuung des Systems hat bei einer unparteiischen Person/Abteilung zu liegen, d.h. zum Beispiel der Internen Revision oder der Compliance-Abteilung.

Nach Erhalt sind seitens des Unternehmens unmittelbar Maßnahmen zur Analyse der Meldung einzuleiten, um die Inhalte zu verifizieren, sowie Präventionsmaßnahmen zu setzen. Der Hinweisgeberin bzw. dem Hinweisgeber ist spätestens binnen 3 Monaten durch das Unternehmen über diese Folgemaßnahmen eine Rückmeldung zu geben. Anzumerken ist, dass abhängig vom gemeldeten Sachverhalt den Verpflichteten ein zeitlicher Druck zur raschen Aufarbeitung auferlegt wird.

Was ist für das Unternehmen aus arbeits- und datenschutzrechtlicher Sicht zu beachten?

Während des gesamten Prozesses sind die datenschutzrechtlichen Anforderungen der DSGVO bzw. des DSG und arbeitsrechtlichen Vorgaben einzuhalten. Datenschutzrechtliche Anforderungen bestehen insbesondere bei der Implementierung des Meldekanals, z.B. Gewährleistung der Vertraulichkeit der Hinweisgeberin bzw. des Hinweisgebers, der Datenaufbewahrung und
-löschung. Arbeitsrechtliche Vorgaben sind bei der Einführung des Systems (z.B. Einbeziehung des Betriebsrates, Anpassung der Betriebsvereinbarungen) als auch bei der Analyse der Meldung, nämlich dahingehend, dass die Hinweisgeberin bzw. der Hinweisgeber vor Repressalien (z.B. Suspendierung, Kündigung, Versagung von Beförderung, Gehaltsminderung, negative Leistungsbeurteilung etc.) geschützt wird, von Relevanz.

Conclusio

Um den Anforderungen der EU-Whistleblower-Richtlinie zu entsprechen, sollte daher frühzeitig durch Ihr Unternehmen evaluiert werden, ob Sie in den Anwendungsbereich fallen und dementsprechend zur Einführung eines Hinweisgebersystems verpflichtet sind. Auch wenn bereits ein System eingeführt wurde, ist dies dahingehend zu evaluieren, ob dies der Richtlinie entspricht.

Wesentliche Bestandteile eines effektiven Whistleblowing Managements lassen sich untenstehendem Schaubild entnehmen, in welchem die Anforderungen aus der Richtlinie berücksichtigt sind.

Wir unterstützen Sie gerne bei der Konzeption und Einführung eines für Ihr Unternehmen maßgeschneiderten Whistleblowing Management Systems.

War der Artikel hilfreich?