Sonder-Newsletter zur Whistleblower-Richtlinie – und was das für Unternehmen bedeutet
1. Die Whistleblower-Richtlinie – um was geht es?
Mit der sog. Whistleblower- oder Hinweisgeber-Richtlinie (Richtlinie (EU) 2019/1937 vom 23.10.2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, im Folgenden kurz: Whistleblower-RL), sollen Hinweisgeber von drohenden Konsequenzen bei Meldungen von Rechtsverstößen geschützt werden. Dazu sollen EU-weite gemeinsame Mindeststandards für einen Hinweisgeberschutz festgelegt werden.
Die Whistleblower-RL ist am 16.12.2019 in Kraft getreten und vom österreichischen Gesetzgeber bis zum 17.12.2021 in nationales Recht umzusetzen.
In Österreich gibt es bisher keine branchenübergreifenden Meldesysteme. Bekannte Whistleblower-Systeme in Österreich gibt es bei der Finanzmarktaufsicht (FMA), bei der Wirtschafts- und Korruptionsstaatsanwaltschaft (WKStA) oder der Bundeswettbewerbsbehörde (BWB).
2. TO-DOs für Unternehmen und FRISTEN
Unternehmen sowohl im privaten als auch im öffentlichen Sektor müssen interne, gesicherte Kanäle und Verfahren für die Übermittlung und Weiterverfolgung von Meldungen einrichten und Folgemaßnahmen zu den Meldungen setzen.
Im Privatsektor kommt es dabei darauf an, ob sie gewisse Schwellenwerte erreichen:
- 50 oder mehr Mitarbeiter
- Unternehmen in bestimmten Geschäftsfeldern wie zB im Finanzdienstleistungsbereich, Zivilluft- oder Seefahrt oder betroffene Geschäftsfelder, die Geldwäschebestimmungen unterliegen (vgl. Anhänge der Whistleblower-RL)
Folgende Maßnahmen haben diese Unternehmen zu setzen:
- Einrichtung eines sicheren, vertraulichen Hinweisgebersystems: Meldungen müssen schriftlich und mündlich abgegeben werden können.
- Verhinderung eines Zugriffs nicht berechtigter Personen auf das Hinweisgebersystem
- Benennen von zuständigen Verantwortlichen im Unternehmen
- Empfangsbestätigung bei Eingang einer Meldung binnen 7 Tagen
- Inhaltliche Rückmeldung nach der Empfangsbestätigung über die Meldung binnen 3 Monaten
- Ordnungsgemäße Folgemaßnahmen (zB Untersuchung durch unparteiische Personen)
- Dokumentation und Aufbewahrung der Meldungen
- Klare und leicht zugängliche Information über das intern eingerichtete Meldesystem
Zu empfehlen sind weiters folgende Maßnahmen, um der Whistleblower-RL gerecht zu werden:
- Abstimmung, wer das Hinweisgebersystem betreuen wird; auch eine externe Betreuung ist möglich
- Abstimmung, welche Abteilungen/Personen zum Hinweisgebersystem miteinzubeziehen sind (zB Betriebsrat, Datenschutzbeauftragter)
- Erstellen von internen Richtlinien/Policy zum Hinweisgebersystem und Ablauf iZm einer Meldung
- Fristenmanagement für die Meldungen (Empfangsbestätigung, Rückmeldung, Aufbewahrung)
- Mitarbeiterschulungen und -information
- Evaluierungen und Aktualisierungen zum Hinweisgebersystem (zB Anpassungs- oder Verbesserungsbedarf)
Für Details ist die nationale Umsetzung abzuwarten. Die Umsetzungsfrist für Unternehmen ist grundsätzlich der 17.12.2021; für Unternehmen unter 250 Arbeitnehmern jedoch der 17.12.2023.
3. Arbeitsrechtlicher Aspekt – Mitwirkung des Betriebsrates?
1. Besteht in einem Unternehmen ein Betriebsrat, ist mit diesem eine Betriebsvereinbarung abzuschließen, wenn Kontrollsysteme eingeführt werden sollen, die die Menschenwürde berühren. Whistleblower-Systeme bzw. Hinweisgebersysteme können die Menschenwürde berühren. Stimmt der Betriebsrat nicht zu oder kündigt die Betriebsvereinbarung auf, darf das Kontrollsystem bzw. die durch die Whistleblower-RL angedachten Maßnahmen im Unternehmen nicht eingeführt bzw. nicht mehr verwendet werden.
2. Gibt es keinen Betriebsrat, sind Einzelvereinbarungen abzuschließen bzw. ist von jedem einzelnen Arbeitnehmer die Zustimmung einzuholen.
3. Es bleibt abzuwarten, wie dies der österreichische Gesetzgeber, der die Whistleblower-RL in nationales Recht umsetzen muss, lösen wird.
4. Datenschutzrechtlicher Aspekt
Die im Rahmen eines Hinweisgebersystems/Meldesystems erfolgte Verarbeitung von personenbezogenen Daten unterliegt der Datenschutzgrundverordnung (DSGVO). Es sind daher die datenschutzrechtlichen Bestimmungen zu berücksichtigen. Als Rechtfertigungsgrund für die Datenverarbeitung wird die Erfüllung der rechtlichen Verpflichtungen aus der Whistleblower-RL bzw. aus dem nationalen Umsetzungsgesetz herangezogen werden können.
5. Wer ist für welche Meldebereiche geschützt?
Geschützt sind Hinweisgeber, die im Rahmen ihres beruflichen Kontexts Informationen über Verstöße gegen ua. folgende Bereiche des EU-Rechts erlangen und melden:
- Öffentliches Auftragswesen/ Vergabe
- Finanzdienstleistungen und -produkte und Verhinderung von Geldwäsche und Terrorismusfinanzierung
- Umweltschutz
- Öffentliche Gesundheit
- Verbraucherschutz
- Schutz der Privatsphäre und Datenschutz
- Sicherheit von Netz- und Informationssystemen
- Wettbewerb
- Staatliche Beihilfen
Der österreichische Gesetzgeber kann diese Bereiche in seiner nationalen Umsetzung noch erweitern.
Geschützt sind Hinweisgeber, die im beruflichen Kontext Informationen über solche Verstöße erlangt haben, wie zB Arbeitnehmer, Praktikanten, Geschäftsführer, Anteilseigner, Selbstständige, Lieferanten, etc. Dafür muss (noch) kein Vertragsverhältnis bestehen (zB Bewerbungsphase, inzwischen beendetes Arbeitsverhältnis). Es ist für ihren Schutz unbeachtlich, ob sie im privaten oder öffentlichen Sektor tätig sind.
Ein Hinweisgeber ist geschützt, wenn er hinreichenden Grund zur Annahme hatte, dass die von ihm gemeldeten Informationen einen Verstoß aus den oben genannten Bereichen beinhalten (zB Geldwäscherei) und richtig sind. Dh, wenn er redlich war. Macht er wissentlich eine Falschmeldung, ist er nicht geschützt.
6. Schutzumfang – Schutz vor was?
Gegen geschützte Hinweisgeber dürfen wegen einer Meldung keine direkten oder indirekten Repressalien gesetzt werden, wie zB negative arbeitsrechtliche Folgen (Entlassung, Gehaltsminderung, Änderung der Arbeitszeiten, Streichen von Fortbildungen, etc.), disziplinarische Maßnahmen, Schädigung oder Herbeiführung finanzieller Verluste, Erfassen auf einer schwarzen Liste, Vertragsbeendigung, Diskriminierung, etc.
Hinweisgeber, die im Schutzbereich der Richtlinie melden, verstoßen nicht gegen Geheimhaltungspflichten und haften nicht für die Offenlegung (kein Schadenersatzanspruch).
Zudem wird zugunsten des Whistleblowers vermutet, dass eine Benachteiligung eine Repressalie bzw. Vergeltungsmaßnahme für die Meldung oder Offenlegung war (Beweislastumkehr).
7. Whistleblower-Meldungen
Ein Hinweisgeber kann einen Verstoß gegen das Unionsrecht entweder intern innerhalb des Unternehmens oder auch extern an Behörden melden. Er ist auch geschützt, wenn er den Verstoß publik macht (zB über die Medien). Dies setzt aber voraus, dass er intern/extern gemeldet hat, aber keine geeigneten Maßnahmen auf seine Meldung ergriffen wurden oder von ihm die Verwendung der internen/externen Meldekanäle aus bestimmten Gründen nicht erwartet werden konnte (zB Gefährdung des öffentlichen Interesses wie eine Notsituation oder Gefahr eines irreversiblen Schadens).
Meldungen von Whistleblowern sind stets vertraulich zu behandeln.