Artikel
Mit 17. Dezember 2021 hätte die neue EU-Richtlinie 2019/1937, auch bekannt als EU-Whistleblowing-Richtline, von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden müssen. In Österreich wurde das nationale Umsetzungsgesetz, das HinweisgeberInnenschutzgesetz (HSchG), mittlerweile beschlossen und ist mit 25.02.2023 in Kraft getreten. Hier finden Sie einen Überblick unserer Serviceleistungen sowie der häufigsten Fragen, die uns zum Thema Whistleblowing erreicht haben.
Unsere erfahrenen Expert:innen unterstützen Sie bei der Einrichtung eines Whistleblowing-Systems oder bei der Evaluierung Ihres bestehenden Systems. Wir stehen Ihnen als kompetenter Partner in sämtlichen relevanten Bereichen zur Seite – von der Auswahl des passenden Systems über die Implementierung und organisatorische Umsetzung bis hin zur Betreuung des Meldeprozesses. Wir begleiten Sie in technischer, prozessualer und rechtlicher Hinsicht zur Erreichung einer ganzheitlichen Lösung für Ihr Whistleblowing Management. Dank unserer internen Vernetzung können wir Ihren vielfältigen Fragestellungen bestmöglich begegnen.
Um den Anforderungen des HSchG zu entsprechen braucht es einen holistischen Ansatz unter Berücksichtigung technischer, prozessualer & rechtlicher Rahmenbedingungen.
Svetlana Gandjova | Partner Financial Advisory
Das nationale HinweisgeberInnenschutzgesetz (HSchG) ist mit 25.02.2023 in Kraft getreten. Um Ihnen schon jetzt die Vorbereitung auf die neuen regulatorischen Vorgaben zu erleichtern, bietet Deloitte Ihnen einen Whistleblowing Quick-Check an.
Sie sind interessiert an unserem Whistleblowing Quick-Check? Kontaktieren Sie uns, wir helfen Ihnen gerne bei der optimalen Umsetzung der Anforderungen des neuen HSchG.
Das HinweisgeberInnenschutzgesetz (HSchG) ist mit 25.02.2023 in Kraft getreten. Damit hat Österreich die nationale Umsetzung der EU-Whistleblowing-Richtlinie abgeschlossen. Im Folgenden finden Sie das Wichtigste zu der EU-Richtlinie & dem HSchG zusammengefasst:
Beim HSchG handelt es sich um die nationale Umsetzung der EU-Whistleblowing-Richtlinie (2019/1937/EU).
Das HSchG regelt konkrete Mindestvorgaben für einen wirksamen Hinweisgeber:innenschutz. Zudem wird erstmals die Einrichtung verpflichtender Hinweiseisgebersysteme und Mindestvorgaben für die Bearbeitung von Meldungen von Whistleblowern normiert.
Die Pflicht zur Einrichtung eines internen Hinweisgebersystems betrifft Unternehmen mit 50 oder mehr Mitarbeiter:innen.
Unternehmen in bestimmten Branchen/Sektoren haben jedoch unabhängig von der Mitarbeiter:innenanzahl ein internes Hinweisgebersystem einzurichten (wie z.B. Finanzdienstleistungsindustrie).
Ein wirksames Hinweisgebersystem ist Teil eines State of the Art Compliance Management Systems. Missstände im Unternehmen können mit diesem frühzeitig erkannt und intern analysiert werden. Dadurch wird eine positive und offene Unternehmenskultur gefördert.
Fehlt ein internes Hinweisgebersystem bzw. ist ein System nicht ausreichend bekannt im Unternehmen, erhöht sich das Risiko, dass sich Hinweisgeber:innen mit ihren Meldungen direkt an Behörden bzw. die Öffentlichkeit wenden. Anzumerken ist, dass das HSchG keine Verpflichtung vorsieht, dass sich Hinweisgeber:innen zuerst an ein internes System wenden müssen, bevor sie sich an den externen Meldekanal wenden.
Informationen zur zeitlichen Umsetzung finden Sie unter Frage 3.
>> Sie sind unsicher, ob Sie von der Verpflichtung zur Einrichtung eines Hinweisgebersystems betroffen
sind? Kontaktieren Sie uns,
unsere Expert:innen unterstützen Sie gerne.
Das HSchG ist mit 25.02.2023 in Kraft getreten. Damit steht fest, dass Unternehmen mit 50 oder mehr Mitarbeiter:innen noch im Jahr 2023 ein Hinweisgebersystem einzurichten haben.
Für die Einrichtung von internen Hinweisgebersystemen sieht das HSchG allerdings Übergangsfristen vor:
Der persönliche Anwendungsbereich des HSchG umfasst:
Personen, die aufgrund ihrer beruflichen Verbindung zu einem Rechtsträger des Privatrechts/öffentlichen Rechts Informationen zu Rechtsverletzungen erlangt haben. Geschützt werden u.a.:
Auch anonyme Hinweisgeber:innen haben Anspruch auf Schutz iSd HSchG, wenn ihre Identität als Folge ihrer anonymen Meldung ohne ihr Zutun anderen bekannt wird und die Meldung an sich schutzwürdig ist. Dies gilt auch, wenn das Hinweisgebersystem an sich keine anonymen Meldungen vorsieht.
Im Gegensatz dazu sind Hinweisgeber:innen z.B. dann nicht geschützt, wenn sie sich Informationen, die Inhalt ihrer Meldung sind, durch eine eigenständige Straftat beschaffen.
Der Hinweisgeber:innenschutz umfasst Verstöße gegen ausgewählte Rechtsbereiche des Unionsrechts, u.a. Bereiche wie Datenschutz, Umweltschutz, Verbraucher:innenschutz, Finanzdienstleistungen und Geldwäscheprävention. Berichte über Belästigungen oder Mobbing fallen grundsätzlich nicht in den Anwendungsbereich der Richtlinie. Den Mitgliedstaaten steht es jedoch frei, den Anwendungsbereich auf zusätzliche Rechtsgebiete (z.B. Korruption) auszudehnen. Österreich hat davon Gebrauch gemacht und den sachlichen Anwendungsbereich auch auf die Verhinderung und Ahndung von Korruptionsdelikten (Straftaten nach den §§ 302 bis 309 des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974) ausgeweitet.
>> Best Practice: Im Rahmen eines Best Practice Compliance Management Systems sollte die Erweiterung des Anwendungsbereichs des internen Hinweisgebersystems evaluiert werden. In Betracht kommen insbesondere Verstöße gegen interne Compliance Richtlinien, wie z.B. einen Code of Conduct.<<
Den Hinweisgeber:innen muss ermöglicht werden, ihre Meldungen mündlich, schriftlich oder in beiden Formen abzugeben. Auf Wunsch der Hinweisgeber:innen hat auch eine persönliche Zusammenkunft stattzufinden.
Der:die Hinweisgeber:in ist dazu berechtigt, einen abgegebenen Hinweis zu ergänzen oder zu berichtigen.
Das Hinweisgebersystem ist so auszugestalten, dass es die Hinweisgeber:innen dazu anregt, sich vorrangig an das interne System zu wenden, bevor sie von einer externen Meldestelle Gebrauch machen.
Weiters ist das Hinweisgebersystem so einzurichten, dass die Vertraulichkeit der Identität der Hinweisgeber:innen sowie der in der Meldung genannten Person gewahrt bleibt.
Des Weiteren regelt das HSchG ein Reihe von datenschutz- und arbeitsrechtlichen Fragestellungen. Siehe dazu die Fragen 9 bis 10.
>> Best Practice: In der Praxis haben sich webbasierte Plattformen etabliert, die 24/7 verfügbar sind. Diese bieten in der Regel ein hohes Maß an Vertraulichkeit und fördern daher das Vertrauen der Hinweiswegeber:innen in das System. Zudem bieten diese Systeme überwiegend die Möglichkeit einer sicheren 2-Wege-Kommunikation mit dem:der Hinweisgeber:in. Dies ist insbesondere in der Analyse der Meldung ein bedeutender Faktor.<<
Die interne Meldestelle ist mit den notwendigen finanziellen und personellen Mitteln, um ihre Aufgaben wahrnehmen zu können, auszustatten.
Des Weiteren müssen die eingegangenen Hinweise unparteilich und unvoreingenommen behandelt sowie die weisungsfreie inhaltliche Erledigung der Hinweise ermöglicht werden.
Dass die interne Stelle auch für das Ergreifen von Folgemaßnahmen (wie Prüfung der Stichhaltigkeit des Hinweises oder die Durchführung interner Nachforschungen) für zuständig erklärt wird, ist zwar möglich, jedoch nicht zwingend notwendig. Die Leitung des Unternehmens kann dazu auch ein anderes Organ betrauen.
Generell können Unternehmen die Aufgaben der internen Stelle auf eine gemeinsame Stelle übertragen. Außerdem ist es auch möglich, Dritte mit den Aufgaben der internen Stelle zu beauftragen. Siehe dazu auch die Frage 11.
>> Best Practice: Bei der Definition der internen Stelle im Unternehmen ist auf etwaige Interessenkonflikte zu achten bzw. sind diesbezügliche Vorkehrungen zu treffen. So sollte definiert werden, wie die interne Stelle mit Hinweisen umzugehen hat, die sie selbst betreffen.<<
Nachdem die Meldung eines Whistleblowers eingetroffen ist, ist dies dem Whistleblower innerhalb von 7 Tagen schriftlich zu bestätigen. Spätestens nach drei Monaten hat die interne Stelle dem:der Hinweisgeber:in bekanntzugeben, welche Folgemaßnahmen ergriffen werden, bzw. wieso der Hinweis nicht weiterverfolgt wird.
Beginnend mit der Implementierung des Hinweisgebersystems bis hin zur Betreuung der Meldeprozesse sind unterschiedliche arbeitsrechtliche Aspekte zu beachten und laufend zu evaluieren. Diese umfassen u.a. die Form der Einführung des Systems und die Gewährung des Schutzes des Whistleblowers. Die Whistleblower sind vor Repressalien, d.h. insbesondere Kündigung, negativen Arbeitszeugnissen, Auftrags- oder Einkommensverlusten, Mobbing oder der Eintragung in „schwarze Listen“ zu schützen. Die Setzung von Repressalien ist rechtsunwirksam und stellt eine Verwaltungsübertretung dar, die mit einer Geldstrafe von bis zu EUR 20.000 bestraft wird (im Wiederholungsfall mit bis zu EUR 40.000). Entscheidend ist, dass das Hinweisgebersystem in die Organisation unter Einbindung aller Beschäftigten sowie ggf. des Betriebsrates integriert ist.
Im Zuge der Implementierung sowie der anschließenden Betreuung des Hinweisgebersystems sind datenschutzrechtliche Aspekte iSd DSGVO bzw. des DSG zu berücksichtigen und laufend zu evaluieren. Datenschutzrechtliche Vorgaben sind insbesondere beim System (z.B. Adaption des Verfahrensverzeichnisses, Auftragsarbeitervertrag, Datenschutzfolgeabschätzung, Implementierung von technischen und organisatorischen Maßnahmen) sowie den personenbezogenen Daten (z.B. Aufbewahrungs- und Löschpflichten, Schutz der Daten, Zugriffsberechtigungen, Vertraulichkeit der Identität des Whistleblowers), die im System sowie im Zuge der Aufarbeitung der Meldung verarbeitet werden, von Relevanz.
Bei einer gemeinsamen Nutzung des Hinweisgebersystems innerhalb einer Unternehmensgruppe müssen zudem – abhängig von den gewünschten Verantwortlichkeiten – die datenschutzrechtlichen Rollen (Auftragsverarbeiter:in/Verantwortliche:r) richtig zugewiesen und vertraglich geregelt werden (Vereinbarung zur Auftragsverarbeitung bzw. gemeinsamen Verantwortlichkeit).
Gemäß HSchG dürfen personenbezogene Daten, welche für die Bearbeitung eines Hinweises nicht benötigt werden, nicht erhoben werden bzw. sind unverzüglich zu löschen.
Darüber hinaus sieht das HSchG prinzipiell eine 5-jährige Aufbewahrungspflicht vor.
Des Weiteren kann es durch das HSchG zur Beschränkung diverser Rechte iSd DSGVO der von einem Hinweis betroffenen Person kommen; wie etwa dem Recht auf Information oder dem Recht auf Löschung.
Ja, gemäß HSchG können Unternehmen die Aufgaben der internen Stelle an eine gemeinsame Stelle übertragen.
Außerdem können auch Dritte mit den Aufgaben der internen Stellen beauftragt werden.
Gerne begleiten wir Sie bei der rechtskonformen Ausgestaltung eines konzernweiten Hinweisgebersystems. Siehe zu unseren Services auch unter Frage 13.
Mit der Einrichtung eines wirksamen Hinweisgebersystems sorgen Organisationen dafür, Missstände frühzeitig zu erkennen. Dadurch können potenzielle Schäden möglicherweise reduziert sowie den rechtlichen und finanziellen Auswirkungen vorgebeugt werden.
Das heißt: Eine Organisation mit einem wirksamen Hinweisgebersystem schützt nicht nur seine Mitarbeiter:innen, sondern vor allem seine eigene Reputation. Zudem fördert ein Hinweisgebersystem eine offene & positive Unternehmenskultur.
Unsere Deloitte Expert:innen begleiten Sie in jeder Phase des Whistleblowing Managements.
Wir bieten insbesondere folgende Dienstleistungen an:
Sie haben noch offene Fragen? Kontaktieren Sie uns, falls Ihre Frage zum neuen HSchG nicht angeführt ist oder Sie gerne weitere Informationen zum Thema Hinweisgebersysteme erhalten würden.
Sehen Sie ein Hinweisgebersystem als Chance zur Verbesserung, nicht als Verpflichtung! Jeder Hinweis kann relevant sein und einen wichtigen Beitrag zum Schutz der Reputation sowie zur Optimierung Ihrer Organisation leisten.
Shahanaz Müller | Partner Financial Advisory
Beratung im Anlassfall und zur Prävention
Compliance- und Betrugsrisiken identifizieren, reduzieren und effektiv vorbeugen