HinweisgeberInnen-Schutzgesetz: von der Pflicht zur Chance.
ein Beitrag von Martin Reichetseder (dieser Beitrag ist im aktuellen Rundbrief 6/2023 erschienen).
Im Herbst 2019 wurde von der EU die Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, erlassen und die Mitgliedsstaaten zur nationalgesetzlichen Umsetzung aufgefordert. Seit Februar 2023 reiht sich auch Österreich (mit dem HinweisgeberInnenschutzgesetz; kurz „HSchG“) unter jene Länder, in denen der Schutz von Hinweisgeber*innen gesetzlich verankert ist und die Implementierung angemessener Compliance-Maßnahmen verpflichtend werden.
Organisationen, die mehr als 250 Mitarbeiter*innen beschäftigen, sind bereits seit 25. August 2023 in der Pflicht, ein rechtskonformes Whistleblowing Management System einzurichten (jene Organisationen, die weniger als 250 aber mehr als 50 Mitarbeiter*innen haben, folgen im Dezember 2023).
Der Schutz von Hinweisgeber*innen vor Repressalien (sohin Nachteilen, die ihnen aufgrund eines berechtigten Hinweises drohen) besteht jedoch bereits seit Februar – unabhängig von der Größe der Organisation!
Die Rolle von Hinweisgeber*innen wird in der Praxis (trotz der erfolgreichen Aufarbeitung aufgezeigter Skandale, zB Dieselskandal) oft kritisch gesehen. Viele Organisationen hegen Zweifel gegen die Pflicht einer verpflichtenden Meldekultur, gegen die Möglichkeit von anonymen Meldungen und gegen den erforderlichen Schutz der Melder*innen. Tatsächlich steht in diesen Fällen oft die (zumeist jedoch unbegründete) Angst vor der Förderung eines Denunziantentums im Vordergrund. Diese Bedenken erweisen sich in der Praxis jedoch als unbegründet (vorausgesetzt, Organisationen kämpfen nicht schon bisher mit derartigen Herausforderungen).
Zweck?
Der Zweck des HSchG liegt darin, die Bereitschaft der Bevölkerung zu einem rechtmäßigen Verhalten zu erhöhen und zu bestärken. Es geht sohin um das Fördern von Integrität. Dies erfolgt unter anderem durch den Schutz von Hinweisgeber*innen. Es ist eine Tatsache, dass diese eine wesentliche Quelle zur Identifikation von Risiken darstellen. Viele Verstöße und illegale Handlungen blieben ohne sie unentdeckt. Schon deshalb dürfen/sollen/müssen die gesetzlichen Regelungen – insbesondere die Pflicht zur Implementierung konkreter Compliance-Maßnahmen – als Chance und Investition in ein nachhaltiges Risikomanagement verstanden werden.
Pflicht zur Implementierung eines „vertraulichen und sicheren Systems“
Viele Organisationen setzen bei der Umsetzung der gegenständlichen Verpflichtungen auf „Altbewährtes“ und vermeinen, dass ein rechtskonformes Whistleblowing Management System durch die Zurverfügungstellung einer E-Mail (zB whistleblowing@xxx.at), eines Briefkastens oder sogar eines „open-door“-Konzepts gewährleistet werden. Hierbei handelt es sich um einen Irrglauben und geht dieses „Altbewährte“ an der Vorstellung des Gesetzes völlig vorbei.
Das HSchG beinhaltet nämlich nicht nur die Pflicht zur Einrichtung entsprechender Meldekanäle, sondern fordert von Organisationen die Einführung konkreter Prozesse und die Ernennung hierfür verantwortlicher Personen. Der Prozess sieht neben der Vertraulichkeit auch die Wahrung konkreter Fristen vor (binnen 7 Tagen muss Hinweisgeber*innen der Erhalt der Meldung bestätigt werden; binnen 3 Monaten sind Hinweisgeber*innen über Folgemaßnahmen zu informieren) und die Pflicht zur umfassenden Dokumentation.
Die Bearbeitung eingehender Meldungen erfolgt dabei durch Personen, die hierfür explizit ernannt und bevollmächtigt sind. Sie sind bei Ausführung dieser Tätigkeiten unabhängig und weisungsfrei. Diese internen Stellen haben die Aufzeichnungen in einem vertraulichen und sicheren System zu bearbeiten, zu speichern, den Zugang zu diesem System zu protokollieren und so zu beschränken, dass die darin gespeicherten Daten nur den hierfür notwendigen (und berechtigten) Personen zugänglich sind. Durch diese strenge Vertraulichkeitsverpflichtung soll die Identität der Hinweisgeber*innen und aller Personen, die von der Meldung/dem Hinweis betroffen sind, geschützt werden („need-to-know-Prinzip“).
3 Meldekanäle – mündlich, schriftlich, persönlich
Das HSchG fordert von Organisationen die Zurverfügungstellung von mündlichen oder schriftlichen und persönlichen Meldemöglichkeiten. Erlaubt ist auch die Möglichkeit von Sprachaufzeichnungen.
Organisationen sind gut beraten, ein System zu implementieren, mit dem sich Meldungen aus allen Kanälen zentral – vertraulich und sicher – bearbeiten lassen. Es ist unumgänglich, alle Informationen in ein System zusammenzuführen; von Vorteil ist dabei natürlich ein System, welches alle Meldemöglichkeiten, mitsamt der Prozesse und Erfordernisse, in einer Anwendung abbildet.
Anonyme Meldungen
Österreich hat sich dazu entschieden, auch anonyme Meldungen und die anonymen Hinweisgeber*innen zu schützen. Eine Pflicht, anonyme Meldekanäle einzurichten, ist damit jedoch nicht verbunden. Empfehlung? Aus der Praxis wissen wir, dass anonyme Meldekanäle zu einem besseren Meldeverhalten führen und Organisationen, die derartige Meldekanäle zur Verfügung stellen, vermehrt substanzielle Hinweise erhalten und somit ihre Risiken rasch identifizieren sowie vertraulich abarbeiten können.
Datenschutz
Der Betrieb eines Whistleblowing Management Systems erfordert die Berücksichtigung datenschutzrechtlicher Anforderungen. Das HSchG bildet den Rahmen für die rechtskonforme Bearbeitung jener personenbezogenen Daten, die mit der Bearbeitung eines Hinweises einhergehen. Organisationen sind jedoch verpflichtet, die Einhaltung entsprechender Löschfristen von 5 Jahren (personenbezogene Daten) und darüber hinaus noch von 3 Jahren (Protokolldaten) sicherzustellen. Allgemeine Grundsätze, wie das Prinzip der Datenminimierung, gelten auch hier. Organisationen sollten dem Thema bei der Auswahl ihres Systems daher frühzeitig Beachtung schenken. Spätestens bei der Auseinandersetzung mit den datenschutzrechtlichen Anforderungen verlieren die obengenannten Meldekanäle, wie E-Mail und Briefkasten, ihre Attraktivität.
Wichtig: Entscheiden sich Organisationen dazu, den sachlichen Anwendungsbereich des HSchG intern zu erweitern, bedarf es nach herrschender Meinung einer Datenschutzfolgenabschätzung.
Betriebsrat
Die ursprüngliche Auffassung (vor Erlass des HSchG), wonach interne Hinweisgebersysteme in jedem Fall Kontrollsysteme sind, die die Menschenwürde berühren und somit von der Zustimmung des Betriebsrates abhängig sind, hat sich mit dem HSchG überholt. Ein System, das im Einklang mit gesetzlichen Vorgaben implementiert wird, kann nach herrschender Ansicht nicht die Menschenwürde berühren und erfordert daher nicht den Abschluss einer notwendigen Betriebsvereinbarung.
Dennoch wird die frühzeitige Einbindung des Betriebsrates empfohlen, zumal es sich hier oft um Verbündete der Compliance handelt. Ferner ist es oft nicht ausgeschlossen, dass der sachliche Anwendungsbereich erweitert wird (zB um Themen wie „Diskriminierung). In diesen Fällen wird der Abschluss einer entsprechenden Betriebsvereinbarung ausdrücklich empfohlen.
Geldbußen
Verstoßen Organisationen (insbesondere) gegen die Vorgaben zum Schutz der Vertraulichkeit, begehen sie eine Verwaltungsübertretung. Von der zuständigen Bezirksverwaltungsbehörde können Geldstrafen bis zu EUR 20.000,00 (im Wiederholungsfall bis zu EUR 40.000,00) erlassen werden. Das Fehlen eines Meldekanals ist hingegen nicht sanktioniert.
Strafen (und die damit oftmals einhergehende Angst) sind jedoch ohnehin keine guten Motivatoren für die Umsetzung entsprechender Vorgaben. Organisationen sollten den Mehrwert eines rechtskonformen Whistleblowing Management Systems nicht erst durch „Schmerz“ lernen müssen, sondern im Thema „Compliance“ frühzeitig eine echte Chance und in ihren Mitarbeiter*innen wertvolle Risikomanager*innen erkennen.
Mag. Martin Reichetseder ist Leiter der Rechtsabteilung sowie Group Compliance Officer der TGW Logistics Group GmbH und Mitgründer von .LOUPE – focused on business integrity, einer oberösterreichischen Softwarelösung zur rechtskonformen Umsetzung eines Whistleblowing Management Systems. Martin Reichetseder ist zudem Mit-Autor des Praxiskommentars zur EU-Whistleblowing-Richtlinie und Experte im Netzwerk der Cogard – Compliance as a Service GmbH.