Whistleblowing in Österreich: DORDA Rechtsanwälte beantwortet 6 brennende Fragen

Am 1. Februar 2023 hat der Österreichische Nationalrat das HinweisgeberInnenschutzgesetz (HSchG) verabschiedet. Im Zuge dessen hat sich ComplyLogs Head of Sales, Madlen Rapberger, mit den Experten der führenden Wiener Wirtschaftskanzlei DORDA Rechtsanwälte GmbH zum Interview getroffen. Arbeitsrechtexpertin Mag. Lisa Kulmer, Mag. Alexandra Ciarnau, Datenschutzexpertin und Co-Leiterin der Digital Industries Group sowie Dr. Elias Schönborn, Strafrechts- und Compliance-Experte haben das Gesetz und seine Auswirkungen für österreichische Unternehmen von unterschiedlichen Aspekten beleuchtet.

1. Was waren die größten Herausforderungen in Bezug auf das Melden von Fehlverhalten für Unternehmen und Mitarbeiter vor der Umsetzung der EU Whistleblower Direktive?

Es stellte sich vor allem die Frage der Vertraulichkeit einer Meldung und des Schutzes der Identität des Hinweisgebers. So war z.B. nicht gesetzlich geregelt, ob es zulässig ist, die Identität eines Hinweisgebers bekannt zu geben. Das verursachte Rechtsunsicherheit. Rein praktisch gab es für Mitarbeiter bisher kaum geeignete Wege, ein Fehlverhalten unternehmensintern zu melden, ohne gleichzeitig die eigene Position zu gefährden. Freiwillige Whistleblowing Policies oder Tools gab es de facto nämlich fast ausschließlich in großen und internationalen Konzernen. Hinzu kommt, dass die breite Masse Whistleblowing bislang schlicht nicht als Chance gesehen hat, besser zu werden. Genau hier will das neue Gesetz ansetzen und dazu führen, dass Missstände künftig häufiger aufgedeckt und schneller geklärt werden.

2. In welchen Aspekten unterscheidet sich das HSchG von der EU Whistleblower Direktive?

Das Gesetz orientiert sich Großteils an der Richtlinie. In den folgenden wesentlichen Punkten ist der österreichische Gesetzgeber aber weiter gegangen:

1. Der sachliche Anwendungsbereich wurde um die strafrechtlichen Korruptionstatbestände in §§ 302 bis 309 StGB erweitert. Abweichend zur Richtlinie sieht das HSchG auch keine Beschränkung auf reine Unionsverstöße vor, sondern erfasst auch Verletzungen entsprechender sektorspezifischer Regelungen des nationalen Rechts unabhängig von ihrem Ursprung. Das heißt, die sonst in der Praxis kaum vorhersehbaren Abgrenzungsfragen, ob ein Thema geschützt ist oder nicht, fallen hier weg. Und damit auch unsachliche Unterschiede – warum sollten DSGVO Verstöße erfasst sein, aber Verletzungen gegen das nationale DSG beispielsweise nicht? Der gewählte Ansatz ist richtig.

2. Außerdem konkretisiert das HSchG zum Schutz der Whistleblower das datenschutzrechtliche "need-to-know"-Prinzip und ahndet Verletzungen mit hohen Bußgeldern.

3. Schließlich regelt das HSchG abweichend zur Richtlinie im Detail die datenschutzrechtlichen Aspekte und sieht etwa konkrete Speicherfristen vor (z.B. 5 Jahre für personenbezogene Daten aus Hinweisgebermeldungen, 3 Jahre für Protokolldaten ab ihrer letztmaligen Verarbeitung).

3. Mit welchen Konsequenzen müssen Unternehmen rechnen, sofern sie nicht rechtzeitig ein internes Meldesystem einrichten?

Während Unternehmen mit 50 – 249 Mitarbeitern bis 17. Dezember 2023 einen Meldekanal eingerichtet haben müssen, gilt für größere Firmen (250+ Mitarbeitern) eine kürzere Implementierungsfrist von 6 Monaten ab Inkrafttreten des Bundesgesetzes, also bis zum 25. August 2023 . Das Gesetz unterscheidet hier zwar in Bezug auf die Umsetzungsfrist, jedoch nicht bei den Konsequenzen. Wird kein Meldekanal eingerichtet, sieht das HSchG keine Verwaltungsstrafe vor. Wenn durch das fehlende Meldesystem Hinweisgeber bei der Meldung behindert werden, kommt aber eine Verwaltungsstrafe von EUR 20.000 bzw. EUR 40.000 im Wiederholungsfall in Frage.

4. Wie sieht der Ablauf bei einer internen Meldung normalerweise aus? Welche Personen und/oder Abteilungen sind involviert?

Die in der Praxis am häufigsten genutzten Meldekanäle sind online abrufbar und lassen den Hinweisgeber einen konkreten Sachverhalt zunächst in unterschiedliche Kategorien einordnen. In einem zweiten Schritt können dann spezifische Informationen ergänzt werden. Auf Unternehmensseite ist wichtig, dass der Meldekanal von einer unparteiischen Abteilung oder Person betreut wird. In Frage kommen dabei etwa die Rechtsabteilung, die Interne Revision oder die Compliance-Abteilung. Die interne Stelle kann auch berechtigt sein, die Leitung des Unternehmens über den Inhalt einer Meldung zu informieren. Das wäre z.B. dann der Fall, wenn die Verständigung geeignet erscheint, von vergleichbaren künftigen Rechtsverletzungen abzuhalten.

5. Auf welche Aspekte sollten sich Unternehmen bei der Umsetzung ihres Hinweisgeberprozesses zuerst fokussieren?

Ganz konkret sollten sich Unternehmen mit den folgenden 4 Kernthemen auseinandersetzen:

1. Geltungsbereich: Wichtig ist die Definition, welche Meldungen umfasst sein sollen (z.B. Übernahme des Geltungsbereichs des HSchG oder auch darüber hinausgehende Themen). Damit sowohl das Unternehmen als auch der Hinweisgeber Klarheit haben, empfehlen wir, dass das Meldesystem einen weiteren Scope umfasst als vom Gesetz vorgesehen, insbesondere was Meldungen von Delikten des Strafrechts betrifft. Auch Verstöße gegen arbeitsrechtliche Bestimmungen kommen z.B. in Frage.

2. Meldestelle und -verfahren: Meldungen über Verstöße sind beim betroffenen Unternehmen bei einer unparteiischen Person oder Abteilung zu bündeln. Doppelfunktionen wie z.B. Konzentration bei Datenschutzbeauftragten sind möglich, wenn die Unabhängigkeit gewahrt wird. Diese hat die Hinweise nach einem transparenten Verfahren zu bearbeiten, offenkundig falsche Hinweise zurückzuweisen und intern die richtigen Ansprechpartner ins Boot zu holen.

3. Mitwirkung des Betriebsrats: Die Einrichtung eines internen Meldekanals kann als Kontrollsystem, das die Menschenwürde berührt (oder Personaldatensystem) den Abschluss einer Betriebsvereinbarung mit dem Betriebsrat erforderlich machen. Das hängt vom konkret gewählten Tool und dem vorgesehenen Geltungsbereich ab – ob z.B. nur vom HSchG umfasste Verstöße oder auch darüberhinausgehende Themen gemeldet werden können. Ist eine Betriebsvereinbarung notwendig, sollte der Betriebsrat frühzeitig eingebunden werden, um eine verspätete Umsetzung zu vermeiden. Gibt es im Unternehmen keinen Betriebsrat, so könnte diesfalls eine Einzelvereinbarung notwendig sein.

4. Dokumentation: Unternehmen haben außerdem Compliance-Informationen zur Verfügung zu stellen und die interne Datenschutzdokumentation anzupassen (z.B. Datenschutzhinweise, Verarbeitungsverzeichnis etc.).

Für eine effektive Implementierung eines internen Kanals muss sich das Unternehmen das Gesamtbild anschauen. Nur dann kann die HSchG-Konformität vollständig gewährleistet werden. Zum Beispiel ist die Erstellung einer dezidierten Whistleblower-Policy von großem Vorteil für die Mitarbeitenden und auch natürlich für die Unternehmen selbst. Hier unterstützen wir selbstverständlich gerne, wie auch bei der Ausarbeitung einer allenfalls erforderlichen Betriebsvereinbarung.

6. Welche Vorteile bringt ein digitales Whistleblowing Tool für Unternehmen, aber auch Hinweisgeber?

Eine online-basierte Plattformlösung wie sie auch IntegrityLog darstellt, wird in der Praxis von vielen Unternehmen aus mehreren Gründen bevorzugt. Zum einen ermöglicht es die anonyme Hinweisabgabe, die den Hinweisgebern mehr Schutz vor potentiellen negativen Konsequenzen gibt. Weiters ermöglicht es die zweiseitige Kommunikation und bietet inhärent gesicherte Zugriffs- und Löschkonzepte. Dadurch kann die Einhaltung der strengen Vertraulichkeitsverpflichtungen nachgewiesen werden und insbesondere auch die Einhaltung der DSGVO besser gewährleistet werden. Ein weiterer großer Vorteil für Unternehmen ist auch die leichtere Nachvollziehbarkeit der Entwicklung der eingereichten Fälle, weil die meisten online-basierten Lösungen ein dezidiertes Fallmanagement mitliefern.

By: COMPLYLOG

Link zum ursprünglichen Artikel:

Whistleblowing in Österreich: DORDA beantwortet 6 brennende Fragen (complylog.com)