close
Share with your friends

Im Oktober 2019 wurde vom Europäischen Parlament und dem Rat der EU die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ beschlossen. Ihr Ziel: die bessere Durchsetzung des Unionsrechts durch das geforderte Mindestschutzniveau für Hinweisgeber. Die sogenannte Whistleblower-Richtlinie bringt Neuerungen mit sich, die Unternehmen vor kleinere und größere Hürden stellen.

Die Whistleblower-Richtlinie (WhistleblowerRL) muss in Österreich grundsätzlich bis Ende 2021 umgesetzt werden. Dadurch wird die Einführung eines internen Meldesystems zur Pflicht – und zwar ua für Unternehmen mit 50 oder mehr Mitarbeitern, Unternehmen im Finanzdienstleistungssektor und für juristische Personen des öffentlichen Sektors.

Im Fall des Falles

Die Richtlinie sorgt für einen hinreichenden Schutz des Hinweisgebers. Dadurch soll dieser ermutigt werden, Missstände zu melden, bei der Aufdeckung von Bedrohungen zu unterstützen und somit Unternehmen bzw Rechtsträger des öffentlichen Rechts vor Schäden zu schützen. Geschützt sind neben den Arbeitnehmern zukünftig auch ehemalige Arbeitnehmer, Arbeitnehmer von Auftragnehmern und Lieferanten, Selbstständige sowie Anteilseigner und Personen in Leitungs- oder Aufsichtsorganen.

Für den Schutz gelten folgende Voraussetzungen: Erstens, dass der gemeldete Sachverhalt zum Zeitpunkt der Meldung der Wahrheit entspricht. Zweitens, dass eine ordnungsgemäße Meldung vorgenommen wurde. Drittens, dass ein Rechtsverstoß gegen einen geschützten Rechtsbereich vorliegt. Dazu zählen ua das Vergaberecht, die Finanzmärkte, die Produktsicherheit, das Kartellrecht, der Umweltschutz, die Lebensmittelsicherheit, Datenschutz, Beihilfenrecht, die öffentliche Gesundheit und der Verbraucherschutz.

Dem Hinweisgeber steht es frei, die Meldung über den internen Meldekanal im Unternehmen oder über einen externen Meldekanal bei der jeweils zuständigen Behörde vorzunehmen. Die Art des Meldekanals ist für die Unternehmen frei wählbar. Dem Hinweisgeber muss es jedoch möglich sein, schriftlich und mündlich Meldung zu erstatten. Denkbar ist daher der Postweg, ein Beschwerde-Briefkasten, Online-Plattformen oder über mündliche Meldung (zB über eine Telefon-Hotline oder andere Sprachaufzeichnungssysteme). Sofern entsprechende Garantien für Vertraulichkeit, Datenschutz, Unabhängigkeit und Geheimhaltung getroffen werden, können auch Dritte diese Meldungen entgegennehmen. Darüber hinaus steht es dem Hinweisgeber offen, eine physische Zusammenkunft zu fordern.

Zahlreiche Spielregeln

Welche Anforderungen müssen Unternehmen erfüllen? Oberstes Gebot ist die vertrauliche Behandlung der Identität des Hinweisgebers. Diese darf ohne dessen ausdrückliche Zustimmung niemanden, außer den damit betrauten Mitarbeitern, offengelegt werden. Ausgenommen sind unter anderem Offenlegungen als Pflicht im Rahmen einer behördlichen Untersuchung oder eines Gerichtsverfahrens. Alle eingegangenen Meldungen sind zu dokumentieren. Der Hinweisgeber ist vor Repressalien zu schützen: Er darf weder schlechter gestellt, gekündigt oder negativ beurteilt werden und auch sonst keinen (finanziellen) Nachteil erleiden. Ein durch die Repressalie erlittener Schaden ist vollständig wiedergutzumachen.

Auch datenschutzrechtliche Anforderungen sind zu erfüllen: Im Rahmen der Meldung und der Untersuchung des Rechtsverstoßes werden die personenbezogenen Daten der Personen, die eines Fehlverhaltens verdächtigt werden, verarbeitet. Gleichzeitig auch die personenbezogenen Daten des Hinweisgebers und/oder eventuell eines Dritten.

Unternehmen sind daher bei der Aufklärung und Ermittlung an die datenschutzrechtlichen Grundsätze gebunden: Die Zweckbindung der Verarbeitung, die Speicherbegrenzung, der Grundsatz der Datenminimierung und die Verwendung geeigneter technischer und organisatorischer Maßnahmen, die die Risiken von Datenschutzverletzungen minimieren und die Datensicherheit der betroffenen Personen gewährleisten. Die Rechte der betroffenen Person nach der DSGVO stehen den Rechten des Hinweisgebers auf Vertraulichkeit entgegen: Der österreichische Gesetzgeber wird zu dessen Schutz die Datenschutzrechte des Betroffen (zB das Recht auf Auskunft) angemessen einschränken müssen.

Keine leichte Aufgabe

Aus arbeitsrechtlicher Sicht ergibt sich bei der aktuellen Rechtslage durch die WhistleblowerRL ein gewisses Spannungsfeld: Auf der einen Seite besteht die Pflicht, ein internes Meldesystem einzurichten. Auf der anderen Seite kann es notwendig werden, dazu die Zustimmung des Betriebsrats oder des einzelnen Mitarbeiters einzuholen. Nach derzeitiger Rechtslage ist bei der Einführung eines Whistleblowing-Systems zwingend der Abschluss einer Betriebsvereinbarung erforderlich, wenn Folgendes zutrifft: Es handelt sich um eine Kontrollmaßnahme oder ein Kontrollsystem, das die Menschenwürde berührt. Stimmt der Betriebsrat nicht zu, kann das Whistleblowing-System nicht eingeführt werden.

Vieles spricht dafür, dass die Notwendigkeit einer Betriebsvereinbarung von der konkreten Ausgestaltung des Systems abhängen sollte. Auf jeden Fall ist dann eine Betriebsvereinbarung notwendig, wenn das Whistleblowing-System die Arbeitnehmer konstant zu Folgendem auffordert: Aufmerksamkeit walten zu lassen und eine Meldung zu erstatten, sobald der kleinste Verdacht geschöpft wird. Existiert kein Betriebsrat, muss über die Einführung eines solchen die Menschenwürde berührenden Systems mit jedem einzelnen Arbeitnehmer eine Vereinbarung abgeschlossen werden.

Wenn bei der Umsetzung der Richtlinie auf das derzeit geltende Betriebsverfassungsrecht nicht bedacht wird, ergibt sich im ungünstigsten Fall eine Pattstellung: Der Arbeitgeber hat die gesetzliche Pflicht, ein internes Meldesystem einzuführen. Der Betriebsrat oder, falls es diesen nicht gibt, der einzelne Mitarbeiter, muss der Einführung jedoch zustimmen.  

Eine sorgfältige Prüfung

Für die standardisierte und effiziente Bearbeitung von Hinweisen, ist ein strukturierter Ablauf zu definieren. Mit diesem ist vorgegeben, welche Tätigkeiten iZm eingehenden Hinweisen durchzuführen und innerhalb der (Compliance-)Organisation zu kommunizieren sind. Im Zuge der Implementierung des Whistleblowing-Systems sollte bereits festgelegt werden, wer (unparteiische Person oder Abteilung) für die Durchführung von Sonderuntersuchungen im Eintrittsfall herangezogen wird. Diese können sowohl durch interne Ressourcen als auch durch externe Forensic-Experten durchgeführt werden.

Bei Eintreffen eines Hinweises wird zuerst geprüft, in wessen Zuständigkeitsbereich er fällt. Im nächsten Schritt wird der Hinweis auf Wesentlichkeit näher analysiert bevor eine Sonderprüfung eingeleitet wird. Diese wird nur eingeleitet, wenn tatsächlich ein Verstoß gegen rechtliche oder unternehmensinterne Vorgaben gemeldet wurde. In Bezug auf die Whistleblower-Richtlinie gilt es, insbesondere Verstöße gegen EU-Recht zu verfolgen, jedoch sollten auch Hinweise auf andere Rechts- oder Richtlinienverstöße untersucht werden.

Autoren

Karin Bruchbacher

Sonja Irresberger

Valerie Livia Kalnein

Andrea Pilecky

Elisabeth Wasinger

Stand Up Line

„Stand Up Line“ – individueller Hinweisgeber

Unternehmen sollten sich mit der Frage des passenden Hinweisgebersystems auseinandersetzen: Wie soll es ausgestaltet sein, welche Meldekanäle sollen den Mitarbeitern zur Verfügung stehen und wie die Bearbeitung und Handhabung der Meldungen erfolgen?

KPMG hat gemeinsam mit EQS die „Stand Up Line“ entwickelt: Ein webbasiertes Hinweisgebersystem, auf das Mitarbeiter einfach und unkompliziert über einen Link zugreifen können. Die Plattform steht in bis zu 50 Sprachen zur Verfügung und ist daher insbesondere für international agierende Unternehmen bestens geeignet. Eingehende Meldungen werden verschlüsselt gespeichert, so wird zu jedem Zeitpunkt die Sicherheit sämtlicher Daten gewährleistet. Weiters ermöglicht das System eine Kommunikation mit dem Hinweisgeber – unter Wahrung seiner vollen Anonymität.

Die „Stand Up Line“ stellt einen vollumfassenden Service dar. KPMG übernimmt Konzeptionierung, technische Einrichtung und Wartung des Systems und bietet zusätzlich auch das Case Management an. Die Kunden erhalten in vordefinierten Abständen aussagekräftige Berichte und Reports sowie Statusberichte für die Geschäftsführung oder den Vorstand. Durch die Zusammenarbeit der Bereiche Compliance & Datenschutz, Forensic und Rechtsberatung kann aus einer Hand ein Full Service vom Case Management, der rechtlichen Beratung sowie der Durchführung unternehmensinterner Untersuchungen im Anlassfall angeboten werden.

Stand Up Line

Weitere Artikel der Ausgabe "IT ist alles"

Verwandte Themen