close
Share with your friends

Whistleblower – Aufgedeckte Skandale in unterschiedlichsten Organisationen und Branchen in jüngster Vergangenheit sind ihnen zu verdanken. Gemäß des „ACFE Report to the Nations 2020“ decken Whistleblower 43 Prozent aller Fraud-Fälle auf. Die EU-Hinweisgeberrichtlinie soll den Schutz von Whistleblowerinnen und -blowern auf ein EU-weit einheitliches Niveau heben.

Im Oktober 2019 haben das Europäische Parlament und der Rat die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (EU-Whistleblowing-Richtlinie), beschlossen und damit einen Mindeststandard für Hinweisgebersysteme gesetzt. Seit diesem Zeitpunkt läuft für die Mitgliedsstaaten eine zweijährige Frist, um die Richtlinie in nationales Recht umzusetzen. Auch wenn der österreichische Gesetzgeber bisher (Stand Mai 2021) die Umsetzung in die nationale Gesetzgebung noch nicht veröffentlicht hat, können die betroffenen Unternehmen die geltenden Umsetzungsfristen beachten und entsprechende Maßnahmen vorbereiten.

Welche Unternehmen sind betroffen?

Mit Dezember 2021 sind alle juristischen Personen des privaten Rechts ab 250 Beschäftigten sowie – unabhängig von der Anzahl der Mitarbeiterinnen und Mitarbeiter – juristische Personen, die bestimmten Unionsrechtsakten iZm Finanzdienstleistungen, der Verhinderung von Geldwäsche und Terrorismusfinanzierung, Verkehrssicherheit und Umweltschutz unterliegen, zur Einrichtung interner Meldekanäle verpflichtet. Die Pflicht zur Implementierung von Hinweisgebersystemen gilt ebenfalls für alle juristischen Personen des öffentlichen Sektors, einschließlich Stellen, die im Eigentum oder unter dem beherrschenden Einfluss einer solchen juristischen Person stehen. Zwei Jahre später müssen auch kleinere Unternehmen des privaten Sektors mit 50 bis 249 Beschäftigten richtlinienkonforme Meldekanäle einrichten.

Wie sieht das erforderliche Meldesystem aus?

Die Richtlinie sieht ein dreistufiges Meldesystem aus interner Meldung, externer Meldung und Offenlegung vor. Halten Whistleblowerinnen und -blower die jeweiligen Vorgaben ein, so haben sie Anspruch auf Schutz nach Maßgabe der Richtlinie.

Unternehmen müssen daher in der ersten Stufe ein internes System schaffen, durch das Whistleblowerinnen und -blower die Möglichkeit haben, anonym schriftlich oder mündlich Hinweise abzugeben. Als zweite Stufe gelten Meldungen an vom Gesetzgeber festgelegte externe Stellen, das sind staatliche Behörden, wie die Datenschutzbehörde, die Bundeswettbewerbsbehörde oder die Wirtschafts- und Korruptionsstaatsanwaltschaft. Wesentlich ist in diesem Zusammenhang die Gleichrangigkeit von internen und externen Meldekanälen.

Die dritte Stufe betrifft die Offenlegung gegenüber der Öffentlichkeit (insb gegenüber Medien), die, ohne die Schutzmechanismen der Richtlinie zu verlieren, unter folgenden Voraussetzungen erfolgen kann:

  • Auf eine zuvor erfolgte interne bzw externe Meldung wurden keine geeigneten Maßnahmen ergriffen.
  • Whistleblowerin oder -blower sieht eine Gefährdung des öffentlichen Interesses.
  • Befürchtung von Repressalien bei der externen Meldung oder geringe Aussichten auf eine wirksame Vorgehensweise gegen den Verstoß.

Interne Organisation und Ablauf einer Meldung

Mit den Aufgaben einer internen Meldestelle ist eine unparteiische Person oder Abteilung zu betrauen, die die Meldungen entgegennimmt und die weiteren Schritte einleitet. Für die standardisierte und effiziente Bearbeitung von Hinweisen ist es empfehlenswert, einen strukturierten Ablauf inklusive klaren Verhaltensanweisungen festzulegen, mit dem vorgegeben ist, welche Tätigkeiten iZm eingehenden Hinweisen durchzuführen sind. Zudem ist ein revisionssicheres Dokumentationssystem verpflichtend einzurichten. Innerhalb von drei Monaten ist der Whistleblowerin oder dem -blower eine Rückmeldung über die eingeleiteten Maßnahmen basierend auf seiner bzw ihrer Meldung zu geben. Folgemaßnahmen sind auch in Bezug auf anonyme Meldungen zu definieren.

Sollte sich herausstellen, dass durch den Hinweis tatsächlich ein Verstoß gegen rechtliche oder unternehmensinterne Vorgaben gemeldet wurde, muss entsprechend der internen Vorgaben gehandelt werden. Im Regelfall bedeutet dies, dass eine Sonderuntersuchung eingeleitet wird. Um im Eintrittsfall bestmöglich vorbereitet zu sein und keine Zeit zu verlieren sollte bereits im Zuge der Implementierung des Whistleblowing-Systems festgelegt werden, wer für die Durchführung von Sonderuntersuchungen herangezogen wird – interne Ressourcen oder externe Forensic-Experten.

Rechtzeitige Umsetzung

Obwohl der Gesetzgeber noch Ergänzungen im Detail beschließen kann, stehen die wesentlichen Rahmenbedingungen des künftigen Regimes für Whistleblowerinnen und -blower durch die Richtlinie fest. Da für die Implementierung des Systems auch arbeits- sowie datenschutzrechtliche Aspekte zu berücksichtigen und daher Vorbereitungsmaßnahmen notwendig sind, sollte daher nicht bis zum Ablauf der Umsetzungsfrist gewartet werden.

Ein effektives Hinweisgebersystem liegt auch im Interesse des Aufsichtsrates. Im Rahmen seiner Überwachungsfunktion muss der Aufsichtsrat auch hinterfragen, ob ein den gesetzlichen Erfordernissen entsprechendes Hinweisgebersystem besteht und dieses auch in Anspruch genommen wird.

Die Aufsichtsratsvorsitzende bzw der Aufsichtsratsvorsitzende sollte sicherstellen, dass er sich über Hinweise informieren lässt, Dies vor allem in Anbetracht des Risikos der öffentlichen Bekanntmachung im Falle keiner geeigneten Maßnahmenergreifung.

Balken

KPMG Integrity Line – alles aus einer Hand

KPMG und EQS haben gemeinsam mit der „Integrity Line“ ein richtlinienkonformes Hinweisgebersystem entwickelt. Es handelt sich hierbei um ein webbasiertes System, auf
das Mitarbeiterinnen und Mitarbeiter oder auch Externe einfach und unkompliziert über einen Link zugreifen können. Die Plattform steht in bis zu 60 Sprachen zur Verfügung
und ist für Unternehmen unterschiedlichster Größe bis hin zu international agierenden Konzernen geeignet. Weiters ermöglicht das System eine Kommunikation mit der Hinweisgeberin oder dem -geber – unter Wahrung der vollen Anonymität.

Durch die Zusammenarbeit der Bereiche Compliance und Datenschutz, Forensic und Law bieten wir aus einer Hand ein Full Service, vom Case Management über die rechtliche
Beratung bis hin zur Durchführung unternehmensinterner Sonderuntersuchungen im Anlassfall.

Balken