Compliance,  Whistleblowing

Die „Whistleblowing-Richtlinie“ – don’t shoot the messenger

Ein Blick auf die großen Skandale der letzten Jahre (zB „Dieselgate“, „Panama-Papers,“ etc.) offenbart die Wichtigkeit couragierter Hinweisgeber. Viele der bekannten Fälle wären ohne Mithilfe sogenannter „Whistleblower“ nicht oder erst viel später aufgedeckt worden. Zum Schutz von Hinweisgebern hat die EU nun eine entsprechende Richtlinie (die sogenannte „Whistleblowing-Richtlinie“) erlassen und folgendes erkannt: 

„Mut ist die Tugend, die für Gerechtigkeit eintritt.“ (Marcus Tullius Cicero).

Es heißt also: Compliance.Muss.Jeder.

Richtlinie der EU zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (2018/0106 COD)

In der Praxis genießen Whistleblower im Allgemeinen jedoch eher den Ruf als „Denunzianten“, obgleich ihre Mitwirkung zur Aufklärung komplexer Rechtsverstöße wichtig (und nahezu unersetzlich) ist. Es ist bedauerlich, dass Hinweisgeber dennoch bislang keinen einheitlichen Schutz vor persönlichen Nachteilen genossen haben.

ABER: Am 16.04.2019 hat das EU-Parlament die „Whistleblowing-Richtlinie“ beschlossen, welche im Herbst 2019 vom EU-Rat bestätigt wurde. Im Gegensatz zur Datenschutzgrundverordnung (DSGVO) bedarf es einer gesetzlichen Umsetzung in den Mitgliedsstaaten. Hierfür wird eine Dauer von zwei bis vier Jahren eingeräumt. Die erste Frist liegt sohin bereits im Jahr 2021.

Das Thema „Whistleblowing“ beschäftigt und verpflichtet Unternehmen zur Einführung eines effektiven Compliance Management Systems!

Was ist das Ziel der sogenannten „Whistleblowing-Richtlinie“?

Das Ziel der Whistleblowing-Richtlinie ist der Schutz von Personen, die Verstöße gegen das Unionsrecht melden (zumindest lautet so der Titel der Richtlinie). Tatsächlich erscheint dies durchaus etwas kryptisch, zumal die Begriffe „Hinweisgeber“ und „Unionsrecht“ unklar erscheinen.

Unter einem Hinweisgeber versteht die Richtlinie „eine natürliche Person, die im Zusammenhang mit ihren Arbeitstätigkeiten erlangte Informationen über Verstöße meldet oder offenlegt.“ und umfasst als Personen ua Praktikanten, Bewerber, Arbeitnehmer, Aufsichtsräte, Lieferanten, etc.

Die Richtlinie macht klar, dass Hinweisgeber nicht zwingend aus dem Unternehmen kommen müssen, um Schutz zu genießen.

Was ist mit „Unionsrecht“ gemeint?

Schutzwürdig sind Meldungen in Bezug auf Verstöße gegen Rechtsakte der EU, wie zB Verstöße im Zusammenhang mit der öffentlichen Auftragsvergabe, Finanzdienstleistungen, Geldwäsche, Gesundheitswesen, Wettbewerb, Konsumentenschutz, Produktsicherheit, usw. Unternehmen/Unternehmer unterliegen einem Irrtum, sollten sie ihre Tätigkeiten ungeprüft außerhalb des Unionsrechtes erkennen.

Wichtig: Nahezu jedes Unternehmen ist im täglichen Geschäft mit zumindest einem der genannten Schutzbereiche konfrontiert (insbesondere Datenschutz, Produktsicherheit, Konsumentenschutz, etc.).

Wann ist eine Meldung schutzwürdig?

Hinweisgeber erhalten Schutz, sofern sie bei ihrer Meldung hinreichenden Grund zu der Annahme hatten, dass die gemeldeten Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprachen. Zudem müssen sie die Informationen über interne oder externe Meldekanäle erstattet bzw. berechtigterweise offengelegt haben. Dazu bedarf es natürlich der Implementierung entsprechender Hinweisgeber-Systeme.

Die Meldung muss mündlich, schriftlich und persönlich möglich sein, wobei die Identität des Hinweisgebers zwingend vertraulich zu behandeln ist. Lässt sich das machen? Natürlich. Compliance kann jeder!

Interne Meldekanäle

Unternehmen – mit mehr als 50 Beschäftigten oder aus dem Finanzbereich – und Gemeinden – mit mehr als 10.000 Einwohnern – müssen interne Meldekanäle installieren.

Entsprechende Meldekanäle müssen so eingerichtet und betrieben werden, dass die Meldung schriftlich sowie mündlich erfolgen kann und die Identität der Hinweisgeber (und jene von Dritten, die in einer Meldung erwähnt werden) vertraulich behandelt wird. Aus diesem Grund sieht die Richtlinie auch vor, dass jedes Unternehmen verantwortliche Personen oder Abteilungen mit der Bearbeitung von Hinweisen zu betrauen hat. In der Regel wird es sich um Compliance-Abteilungen und/oder Compliance-Officer handeln. Kleinere und mittlere Unternehmen laufen hier in ein Dilemma. Keine Sorge: es gibt Unternehmen, die einen entsprechenden Service („Outsourcing der Compliance-Abteilung“) anbieten!

Außerdem ist festzuhalten, dass Compliance ohnehin eine Verantwortlichkeit der Unternehmensleitung ist. Eine beauftragte Person gibt es daher ohne Zweifel (der Geschäftsführer als Compliance-Officer).

Die verantwortliche Person/Abteilung ist verpflichtet, den Eingang der Meldung binnen 7 (sieben) Tagen zu bestätigen. Zudem sieht die Richtlinie vor, mit dem Hinweisgeber in Kontakt zu treten, den Dialog zu suchen und diesen über die Fortschritte und Maßnahmen zu informieren (Frist: 3 Monate).

Wichtig: Entsprechende Hinweisgebersysteme sind bereits jetzt wirkungsvolle Maßnahmen und wichtige Voraussetzungen für ein effektives Compliance-Management-System (siehe hierzu zB ONR 192050, ISO 19600, etc.).

Hierarchie der Meldekanäle

Neben juristischen Personen und Gemeinden müssen auch Behörden entsprechende Hinweisgeber-Systeme einrichten. Bei den behördlichen Kanälen handelt es sich um sogenannte „externe Meldekanäle“. Diese Kanäle gelten sekundär und sind zu verwenden, wenn der Hinweisgeber intern weder Hilfe noch ausreichend Schutz vor persönlichen Nachteilen erwarten kann.

Werden die Hinweise weder über interne noch über externe Meldekanäle gemeldet, sondern direkt der Öffentlichkeit zugänglich gemacht (zB via Medien), spricht man von einer „Offenlegung“ im Sinne der Richtlinie. Ein Hinweisgeber, der Informationen offenlegt, hat Anspruch auf Schutz, wenn er seine Meldung zunächst intern und extern erstattet hat, aber weder im Unternehmen noch von der Behörde geeignete Maßnahmen ergriffen wurden. Die Richtlinie schafft sohin eine Hierarchie der Meldekanäle (1. Interne Meldung, 2. Externe Meldung, 3. Offenlegung).

Ein Hinweisgeber kann von der Verpflichtung zur Nutzung interner und externer Kanäle jedoch abweichen, wenn ein Verstoß gegen Unionsrecht eine Gefährdung des öffentlichen Interesses darstellen kann oder wenn der Hinweisgeber auch bei Nutzen eines externen Kanals mit persönlichen Nachteilen („Repressalien“) rechnen muss.

ACHTUNG: Unternehmen sollten vermeiden, Hinweisgeber zur Inanspruchnahme der Kanäle außerhalb ihrer Organisation zu zwingen. Es bedarf daher einer effektiven Compliance-Organisation (und/oder eines entsprechenden Hinweisgeber-Systems).

Was sind Repressalien im Sinne der Richtlinie?

Hinweisgeber sind vor persönlichen Nachteilen (sogenannte „Repressalien“) zu schützen, die ihnen durch eine berechtigte Meldung im Unternehmen drohen. Repressalien laut Richtlinie sind unter anderem Suspendierung, Kündigung, Versagen einer Beförderung, Diskriminierung, etc.

Hinweisgeber-Systeme als Kontrollmaßnahme?

Die Richtlinie führt in Österreich durchaus zu einer Herausforderung bei der Einrichtung von Meldekanälen, zumal hierzulande die Rechtsmeinung überwiegt, dass derartige Einrichtungen einem Kontrollsystem gleichkommen. Kontrollsysteme berühren die Menschenwürde, wodurch im Rahmen der Implementierung entsprechender Kanäle die zwingende Einbindung des Betriebsrates erforderlich wird.

Keinesfalls darf in diesem Zusammenhang aber vergessen werden, dass Unternehmen in Zukunft per Gesetz verpflichtet werden, entsprechende Meldekanäle einzurichten. Dadurch geraten Unternehmen in ein Spannungsfeld zwischen der gesetzlichen Verpflichtung und dem Erfordernis einer Zustimmung/Mitwirkung durch den Betriebsrat.

Whistleblowing und Datenschutz

Hinweise beinhalten zwingend auch personenbezogene Daten. Es werden Informationen über den Hinweisgeber, des Beschuldigten, etwaiger Zeugen, etc. bekanntgegeben und im weiteren Verlauf entsprechend verarbeitet. Experten sehen in diesem Zusammenhang eine Datenschutzfolgeabschätzung als erforderlich.

Meines Erachtens verfügen Unternehmen (im Falle von Hinweisen über Verstöße) jedenfalls über ein berechtigtes Interesse zur Verarbeitung personenbezogener Daten.

Man kommt bei der Einrichtung eines Hinweisgeber-Systems sohin nicht um die Expertisen im Arbeits- und Datenschutzrecht umhin.

Wie weiter? Die nächsten Schritte…

Unternehmen sind gut beraten, sich frühestmöglich mit dem Thema „interner Meldekanal“ bzw. „Whistleblowing“ und „Compliance“ zu beschäftigen. Es gilt insbesondere zeitnah entsprechende Möglichkeiten zur Umsetzung zu prüfen.

Wichtig: die Einbindung des Datenschutz-Verantwortlichen und des Betriebsrates (falls beides vorhanden) wird dringend empfohlen. Fällt man in die Verpflichtung zur Einrichtung eines entsprechenden Kanals, bedarf es entsprechender Compliance-Maßnahmen. Ein Blick auf die Unternehmenskultur, vorhandene Ressourcen, Budget, etc. bleibt einem nicht erspart.

Auf „Compliance“ und „Whistleblowing-Systeme“ (zB digitale Hinweisgebersysteme, Compliance-Tools,  automatisierte Whistleblowing-Kanäle) spezialisierte Unternehmen (mitsamt deren Netzwerk) bieten oftmals einfache Lösungen und helfen, den Wald vor lauter Bäumen tatsächlich auch zu finden. Wer heute denkt an morgen, hat morgen keine Sorgen. Compliance.Kann.Jeder.