Nun hat auch Österreich seine Version des Whistleblowing-Gesetzes beschlossen. Es könnte an manchen Stellen ambitionierter sein. Axel Anderl und Alexandra Ciarnau von Dorda Rechtsanwälten analysieren die Bestimmungen.
Österreich hat Anfang Februar mit dem HinweisgeberInnenschutzgesetz (HSchG) den europaweit geforderten Mindeststandard für die effektive Aufdeckung von Compliance-Verstößen beschlossen. Unternehmen mit mehr als 50 Beschäftigten müssen daher heuer interne Whistleblowing-Hotlines implementieren, eine Meldestelle einrichten und Hinweise nach einem vorgegebenen Verfahren bearbeiten.
Das stellt Wirtschaftstreibende vor neue Herausforderungen. Damit haben sich bislang aber nur die wenigsten beschäftigt. Gründe sind neben der aktuellen wirtschaftlichen Lage und allgemeiner Ausgelaugtheit nach der Regulierungswelle der letzten Jahre wohl auch die zögerliche Haltung des Gesetzgebers selbst. So hat er die Umsetzungsfrist von Ende Dezember 2021 deutlich überschritten. Dabei sind die einzuführenden Hotlines aber ein wichtiges Tool für ein Unternehmen selbst.
Bestimmungen im Gesetz
Meldungen müssen schriftlich oder mündlich möglich sein - auf Ersuchen des Hinweisgebers auch persönlich. In der Praxis empfehlen wir dafür Plattformlösungen. Onlinetools können nämlich die hohen Vertraulichkeitsanforderungen effektiver erfüllen und sind für die Korrespondenz mit dem Tippgeber geeigneter. Der klassische Beschwerdebriefkasten erlaubt schließlich nur einseitige Kommunikation, die Einrichtung einer Telefonhotline bindet meist zu viele Ressourcen.
Die Whistleblowing-Hotline ist von einer eigenen Meldestelle nach einem spezifischen Verfahren zu betreuen. So ist der Erhalt der Meldung dem Whistleblower binnen sieben Tagen zu bestätigen. Offenkundig falsche Hinweise sind zurückzuweisen. Mit allen sonstigen Meldungen muss sich die Compliance-Stelle beschäftigen und Folgemaßnahmen setzen.
Die personenbezogenen Whistleblowerdaten müssen nach fünf Jahren bzw. nach Beendigung eines länger andauernden Verfahrens jedenfalls gelöscht werden. Damit wurde die im Erstentwurf kritisierte Aufbewahrungsdauer von 30 Jahren zu Recht gekürzt. Dennoch ist die Frist nach wie vor vergleichsweise lange. So war die Aufbewahrung von Whistleblowerdaten nach der bisherigen Position der Datenschutzbehörde nur für maximal zwei Monate nach Beendigung der Untersuchung bzw. des Verfahrens zulässig. Um die Wiederholung von Compliance-Verstößen im Unternehmen zu vermeiden, ist es jedenfalls sinnvoll und zulässig, die Whistleblower-Eingaben zu anonymisieren.
Die neuen Verpflichtungen sind unseres Erachtens auch als Chance zu sehen: Unternehmen können nicht nur rechtzeitig Verstöße abstellen und damit Haftungsund Reputationsrisiken minimieren, sondern auch langfristig die Compliance im Unternehmen stärken. Dadurch werden nachhaltig Ressourcen eingespart.
Strategische Fragen zum Schutz der Whistleblower
Meldeberechtigt sind Arbeitnehmer, Bewerber, Selbstständige, Lieferanten, Anteilseigner und anonyme Whistleblower bei nachträglicher Offenlegung ihrer Identität, sofern das Thema in den Anwendungsbereich des HSchG fällt. Das sind Meldungen über Verstöße in den spezifischen Sektoren (z. B. Datenschutz, Produktsicherheit, öffentliches Auftragswesen) und gewisse Straftatbestände (z. B. Missbrauch der Amtsgewalt oder Geschenkannahme und Bestechung).
Der Anwendungsbereich des HSchG wurde trotz entsprechender Anregungen nicht weiter ausgedehnt. Damit sind die in der Praxis höchst relevanten Betrugsverdachtsmeldungen beispielsweise nicht erfasst. Das sehen wir kritisch, zumal die neuen Compliance-Regelungen gerade zur frühzeitigen Intervention bei Missständen dienen sollen. Um den maximalen Nutzen zu erzielen, sind Unternehmen gut beraten, die Hotline daher freiwillig auch für andere Verdachtsmeldungen zu öffnen.
Die Meldestelle hat zum Schutz vor potenzieller Benachteiligung die Identität von Whistleblowern streng geheim zu wahren. Nach dem "Need to know"-Prinzip dürfen ausschließlich berechtigte Personen Zugriff auf die Datenbank haben. Diese schließt nicht automatisch auch die Geschäftsführung mit ein. Abhängig vom Ermittlungsstadium und der Schwere des Verdachts ist ihnen gegenüber gegebenenfalls auch nur ein anonymisierter Bericht zulässig.
Mit dem Inkrafttreten des Gesetzes ist in den nächsten Wochen zu rechnen. Unternehmen und öffentliche Einrichtungen mit mehr als 250 Beschäftigten müssen dann innerhalb einer sechsmonatigen Schonfrist die Umsetzungsmaßnahmen ergreifen. Ab 17. Dezember 2023 werden dann auch juristische Personen des privaten und öffentlichen Sektors mit mehr als 50 Beschäftigten in die Pflicht genommen. Dass das Gesetz zum Gamechanger für die Wirtschaft wird, ist aber fraglich.
Den Gastkommentar finden sie auch in der trend. PREMIUM Ausgabe vom 10.2.2023
Über die Autoren
Axel Anderl
AXEL ANDERL ist Managing Partner bei Dorda Rechtsanwälte, leitet das IT/IP Team, die Digital Industries Group und ist Co-Leiter der Datenschutzgruppe.
Alexandra Ciarnau
ALEXANDRA CIARNAU ist auf IT/IP/Datenschutz spezialisierte Rechtsanwältin bei Dorda Rechtsanwälte und Co-Leiterin der Digital Industries Group.
