HinweisgeberInnenschutzgesetz kompakt E-Book

Impressum

ISBN 978-3-85402-450-7

Auch als e-Pub verfügbar:

978-3-85402-449-1

1. Auflage 2024

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme auf oder in sonstige Medien oder Datenträger, auch bei nur auszugsweiser Verwertung, sind nur mit ausdrücklicher Zustimmung der Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr und eine Haftung der Herausgeber, der Autoren oder des Verlages ist ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2024

Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards International.

AUSTRIAN STANDARDS PLUS GMBH

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-355

E [email protected]

www.austrian-standards.at/fachliteratur

PROJEKTmanagement

Gertraud Reznicek

LEKTORAT

Evelin Hofer

COVER – FOTOCREDIT

© stock.adobe.com/Parradee

GESTALTUNG

Alexander Mang

Inhalt

Abkürzungsverzeichnis

1 Das neue HinweisgeberInnenschutzgesetz

2 Anwendungsbereich

2.1 Sachlicher Geltungsbereich

2.2 Persönlicher Geltungsbereich

2.3 Bedingungen für den Schutz

2.4 Wovor Whistleblower geschützt werden müssen

2.4.1 Reversible Vergeltungsmaßnahmen

2.4.2 (Teilweise) Nicht-reversible Vergeltungsmaßnahmen

3 Meldesysteme

3.1 Überblick über die Meldestellen

3.2 Interne Meldekanäle

3.2.1 Pflicht zur Errichtung interner Meldesysteme

3.2.2 Ausgestaltung des internen Meldesystems

3.2.3 Wahl des internen Meldesystems

3.2.4 Internes Vorgehen nach erfolgter Meldung

3.2.5 Informationspflicht

3.2.6 Folgen bei Fehlen eines internen Meldesystems

3.3 Externe Meldekanäle

3.3.1 Hierarchie der Meldesysteme

3.3.2 Die Meldestellen

3.4 Veröffentlichung

4 Strafbestimmungen

5 Whistleblowing und Arbeitsrecht

5.1 Arbeitsvertragsrechtliche Rahmenbedingungen

5.1.1 Treuepflicht – Nebenpflichten aus dem Arbeitsverhältnis

5.1.2 Meldung von Verstößen in der Belegschaft und allgemeine Missstände aufgrund der Treuepflicht

5.1.3 Whistleblowing durch den Betriebsrat – Besonderheiten

5.1.4 Meldung von Verstößen der Arbeitgeberin oder des Arbeitgebers

5.1.5 Verpflichtung zur internen Anzeige vs. Meldung nach dem HSchG

5.1.6 Fürsorgepflicht und Whistleblowing

5.1.7 Fazit der arbeitsvertraglichen Rahmenbedingungen

5.2 Mitbestimmung und Betriebsvereinbarung

5.2.1 Mitwirkung des Betriebsrats bei Errichtung eines internen Meldesystem

5.2.2 Berechnung der Anzahl der Beschäftigten und dessen Bedeutung

5.2.3 Mögliche Regelungstatbestände für eine Betriebsvereinbarung

5.3 Arbeitsrechtliche Konsequenzen von Whistleblowing

5.4 Internal Investigations

5.4.1 Mitarbeiterbefragungen

5.4.2 Screening von E-Mails

5.4.3 Fazit von Internal Investigations

6 Whistleblowing und Geheimnisschutz

7 Whistleblowing und Compliance

7.1 Warum ist Whistleblowing ein Compliance-Thema?

7.1.1 Whistleblowing als wesentlicher Teil eines CMS

7.1.2 Compliance Officer als unternehmensintern zuständige Stelle

7.2 Whistleblowing-Managementsysteme

8 Whistleblowing und Datenschutz

8.1 Datenschutzrechtliche Ausgangssituation

8.2 Whistleblowing-Systeme aus datenschutzrechtlicher Sicht

8.3 Datenschutzrechtliche Vorkehrungen

8.3.1 Datenschutz-Folgenabschätzung (DSFA)

8.3.2 Verarbeitungsverzeichnis

8.3.3 Datenschutzinformation

8.3.4 Vertraulichkeitsvereinbarung

8.3.5 Schulungspflicht

8.3.6 Dokumentationspflichten

8.3.7 Aufbewahrungs- und Löschpflichten personenbezogener Daten

8.3.8 Technische und organisatorische Maßnahmen (TOM)

8.3.9 Betroffenenrechte (Informations- und Auskunftsrechte)

8.3.10 Auslagerung der internen Meldestelle

8.3.11 Datenschutzbeauftragte als interne Meldestelle

9 FAQ

10 Ausblick

Literaturverzeichnis

Die Herausgeber und Autoren

Abkürzungsverzeichnis

AktG

Aktiengesetz

AN

ArbVG

Arbeitnehmerinnen und Arbeitnehmer

Arbeitsverfassungsgesetz

Art.

Artikel

AVRAG

Arbeitsvertragsrechts-Anpassungsgesetz

BAK

Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung

BGH

Bundesgerichtshof

BWB

Bundeswettbewerbsbehörde

CMS

Compliance-Managementsystem

CO

Compliance Officer

EGMR

Europäischer Gerichtshof für Menschenrechte

EU

Europäische Union

EuGH

Europäischer Gerichtshof

FMA

Finanzmarktaufsichtsbehörde

GmbH

Gesellschaft mit beschränkter Haftung

GmbHG

Gesetz über Gesellschaften mit beschränkter Haftung

hA

herrschende Ansicht

ISO

International Organization for Standardization

KMU

kleine und mittlere Unternehmen

OGH

Oberster Gerichtshof

StAG

Staatsanwaltschaftsgesetz

StGB

Strafgesetzbuch

StPO

Strafprozessordnung

VStG

Verwaltungsstrafgesetz

WKStA

Wirtschafts- und Korruptionsstaatsanwaltschaft

WMS

Whistleblowing-Managementsystem

Vorwort

Die Bedeutung des Whistleblowings für das effiziente Funktionieren der Märkte, des Wettbewerbs, der Rechtsverfolgung und zuletzt auch der Vorbeugung von Schäden des öffentlichen Interesses hat in den letzten Jahren europaweit zugenommen. Die uneinheitliche Rechtslage in den Mitgliedsstaaten führte zu großer Rechtsunsicherheit bei Hinweisgeberinnen und Hinweisgebern. Vor diesem Hintergrund wurde im Jahr 2019 die Whistleblower-Richtlinie[1] erlassen. Nun wurde die Richtlinie in nationales Recht umgesetzt und ist am 25. Februar 2023 als „HinweisgeberInnenschutzgesetz“[2] in Kraft getreten.

Das Gesetz enthält Bestimmungen, die den Schutz von Whistleblowern sicherstellen sollen, aber auch Unternehmen profitieren von der Pflicht zur Errichtung von internen Meldestellen, da die Hinweisgebung im Unternehmen zahlreiche Vorteile mit sich bringt. Ohne die Hinweiserstattung bestehen für die Führungsebenen nur beschränkt Möglichkeiten, von unternehmensinternen Fehlverhalten und Verstößen Kenntnis zu erlangen. Gerade dieses Wissen kann jedoch entscheidend dazu beitragen, Haftungen vorzubeugen und Reputationsschäden zu vermeiden.

Die Frist zur Einrichtung einer internen Meldestelle endete für Unternehmen ab 250 Beschäftigte bereits im August 2023. Kleinere Unternehmen müssen mit 17. Dezember 2023 ein solches Meldesystem installiert haben.

Dieses Buch soll daher jeder interessierten Leserin und jedem interessierten Leser einen Überblick über das neue HinweisgeberInnenschutzgesetz geben und zeigen, welche Schritte Unternehmen zukünftig setzen müssen, um einen hinreichenden Hinweisgeberschutz zu garantieren. Die Maßnahmen zum Hinweisgeberschutz werden aus praktischer Sicht und im Zusammenspiel mit anderen Rechtsgebieten erläutert.

Über Ihre Kommentare und Ihr Feedback freuen wir uns unter [email protected].

Wien, im Dezember 2023 Mag. Martin Eckel, LL.M. Mag. Wolfgang Kapek

1Das neue HinweisgeberInnenschutzgesetz

Clemens Gunacker

1 Das neue HinweisgeberInnenschutzgesetz

Nachdem bisher schon vereinzelt nationale Whistleblowing-Gesetze bestanden, welche jedoch nur partiellen Schutz gewährleisteten, wuchs in der EU das Verlangen nach Mindeststandards zum Schutz von Hinweisgeberinnen und Hinweisgebern in den Mitgliedsstaaten. Ein erster Schritt war die im Jahr 2019 erlassene Richtlinie (EU) 2019/1937 „Whistleblower-Richtlinie“, die binnen zwei Jahren von allen EU-Staaten in nationales Recht umgesetzt hätte werden sollen.

Wie viele andere Staaten hat auch Österreich die Frist zur Umsetzung mit Ende 2021 verpasst, und auch ein erster Ministerialentwurf im Jahr 2022 (210/ME) wurde wieder verworfen, wobei die EU-Kommission bereits ein Vertragsverletzungsverfahren eingeleitet hat. Erst im zweiten Anlauf wurde der Initiativantrag 3087/A am 1. Februar 2023 im Nationalrat angenommen und trat mit 25. Februar 2023 als „HinweisgeberInnenschutzgesetz – HSchG“ teilweise in Kraft. Für die Einrichtung von internen Meldestellen sieht das Gesetz eine Übergangsfrist von 6 Monaten vor, wobei Unternehmen mit 50 bis 249 Mitarbeiterinnen und Mitarbeitern sogar bis 17. Dezember 2023 Zeit haben.

Auch wenn der Grundsatz „Gut Ding braucht Weile“ ebenfalls bei Gesetzen angewendet werden kann, kann im Fall des HSchG hiervon nicht die Rede sein. Es setzt nämlich nur die Mindestanforderungen der EU-Richtlinie um. Die wesentliche Kritik betrifft die Themenbereiche anonyme Meldungen, Strafbestimmung bei fehlendem Meldesystem und sachlicher Anwendungsbereich.

Obwohl die meisten Meldungen in bereits bestehenden Whistleblowing-Systemen anonym erfolgen, sieht das nationale Gesetz keine Verpflichtung zur Bearbeitung von ebensolchen Hinweisen durch interne Meldestellen vor. Auch ist das gänzliche Fehlen eines internen Meldesystems nicht strafbewehrt. Der größte Kritikpunkt betrifft jedoch den sachlichen Anwendungsbereich, welcher lediglich um die Korruptionstatbestände (§§ 302 bis 309 StGB) erweitert wurde und ansonsten nicht von der Whistleblower-Richtlinie abweicht. Dies führt dazu, dass Meldungen in Bezug auf wichtige Straftatbestände des Strafgesetzbuches, wie z. B. Betrug (§ 146 StGB), ebenso wie arbeitsrechtliche Bestimmungen nicht vom HSchG geschützt werden. Hier sind nun die Unternehmen gefragt, welchen eine interne Scope-Erweiterung nur ans Herz gelegt werden kann – die zahlreichen Vorteile einer solchen Ausweitung des Anwendungsbereichs werden an späterer Stelle noch näher erläutert.

2Anwendungsbereich

Clemens Gunacker

2 Anwendungsbereich

2.1 Sachlicher Geltungsbereich

Der österreichische Gesetzgeber hat zwar von der Möglichkeit des „Gold-Plating“[3] Gebrauch gemacht, jedoch den sachlichen Anwendungsbereich der Whistleblower-Richtlinie lediglich um die Korruptionstatbestände der §§ 302 bis 309 StGB erweitert. Ansonsten weicht das nationale Gesetz nicht von der Whistleblower-Richtlinie ab und bietet daher Whistleblowern in Bezug auf folgende Bereiche Schutz:

+öffentliches Auftragswesen,

+Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,

+Produktsicherheit und -konformität,

+Verkehrssicherheit,

+Umweltschutz,

+Strahlenschutz und nukleare Sicherheit,

+Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz,

+öffentliche Gesundheit,

+Verbraucherschutz,

+Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen,

+Verhinderung und Ahndung von Straftaten nach den §§ 302 bis 309 des Strafgesetzbuches.[4]

Hinweisgeberinnen und Hinweisgeber sind auch dann geschützt, wenn sich ihre Meldungen auf Verstöße beziehen, welche die

+finanziellen Interessen der Europäischen Union (iSd Art 325 AEUV),

+Binnenmarktvorschriften (iSd Art 26 Abs 2 AEUV), einschließlich Vorschriften des

+Körperschaftssteuerrechts,

+Wettbewerbsrechts und staatlicher Beihilfen,

betreffen.[5]

Praxistipp:Scope-Erweiterung

Das Gesetz bietet also keinen umfassenden Schutz, da Meldungen von Verstößen außerhalb des Geltungsbereichs nicht den strengen Schutzvorschriften des HSchG unterliegen. Daher sind beispielsweise Meldungen über einen Korruptionsverdacht geschützt, jene, die einen Betrugsverdacht betreffen, aber nicht. Eine Erweiterung des Geltungsbereichs (Scope) ist daher empfehlenswert und kann mittels unternehmensinterner Policy ausgeweitet werden. Diese kann dann beispielsweise das gesamte Strafgesetzbuch umfassen, wodurch dann auch besonders praxisrelevante Verstöße wie z. B. Betrug (§ 146 StGB) gemeldet werden können. Hierzu kann jedoch eine Betriebsvereinbarung nötig sein (siehe Kapitel 5.2).

Zu beachten ist jedoch, dass ohne vertragliche Vereinbarung oder Policy zur Erweiterung des Scopes kein vollständiger Schutz im Sinne des HSchG vorliegt, wenn der sachliche Anwendungsbereich nicht erfüllt ist, da Whistleblower nur dann von den Schutzmaßnahmen des § 20 HSchG erfasst sind, wenn ihr Hinweis in einen der in § 3 Abs 3 HSchG aufgezählten Bereiche fällt. Darauf ist im Rahmen der Fürsorgepflicht des Arbeitgebers hinzuweisen, beispielsweise als Hinweis in Online-Tools oder in der Informationskampagne, welche in Kapitel 3.2.5 näher erläutert wird. Hierzu würde ein kurzer Hinweis genügen, der wie folgt aussehen könnte: „Bitte beachten Sie, dass Ihr Hinweis der Wahrheit entsprechen muss und nur dann gemeldet werden sollte, wenn er in einen der folgenden Bereiche fällt, da ansonsten kein Schutz nach dem HinweisgeberInnenschutzgesetz besteht.“. Anschließend sollten der Gesetzestext des § 3 Abs 3 HSchG und etwaige freiwillige Tatbestände zur Scope-Erweiterung angeführt werden.

2.2 Persönlicher Geltungsbereich

Primär umfasst das HSchG alle Personen, die aufgrund aktueller oder früherer beruflicher Verbindung zu einem Unternehmen oder einer öffentlichen Einrichtung Informationen über Rechtsverletzungen erlangt haben, wenn sie

+als Arbeitnehmerin, Arbeitnehmer oder Bedienstete oder überlassene Arbeitskräfte oder

+als Bewerberin, Bewerber um eine Stelle als Praktikant/Volontär oder sonstige Auszubildende oder

+als selbständig erwerbstätige Personen oder

+als Mitglied eines Verwaltungs-, Leitungs- oder Aufsichtsorgans des Rechtsträgers oder

+unter der Aufsicht und Leitung eines Auftragsnehmers, eines Subunternehmers oder dessen Lieferanten

arbeiten oder arbeiteten.[6]

Um keine Sanktionen gegen Whistleblower zuzulassen, ist der persönliche Anwendungsbereich des HSchG weit gefasst und erstreckt sich daher nicht nur auf die Whistleblower selbst, sondern auch auf Personen aus deren Umfeld, welche ebenfalls Nachteile erleiden könnten. Es sind daher auch folgende Personen mitgeschützt, auch wenn kein beruflicher Kontext vorliegt:

+Personen, die Whistleblower bei der Hinweisgebung unterstützen (z. B. Betriebsräte, AN-Vertreter, Arbeitskollegen),

+Personen, die zwar nicht bei der Hinweisgebung helfen, aber aus dem Umfeld des Whistleblowers stammen (z. B. Verwandte, Freunde) sowie

+juristische Personen im Eigentum der Hinweisgeberin oder des Hinweisgebers.[7]

Der persönliche Geltungsbereichdarf nicht mit dem Personenkreis der Whistleblower, denen Zugang zu internen Meldesystemen zu gewähren ist, gleichgesetzt werden. Es gilt daher zu beachten, dass alle oben genannten Personen zwar den Schutz des HSchG genießen, jedoch nur aktuellen Arbeitnehmerinnen und Arbeitnehmern (inklusive Lehrlingen) bzw. überlassenen Arbeitskräften in Unternehmen ab 50 Mitarbeiterinnen und Mitarbeitern Zugang zum internen Meldesystem zu gewähren ist.[8] Gelingt es betriebsfremden Personen trotzdem einen Hinweis an die interne Stelle abzugeben, sind sie dennoch von den Schutzpflichten des § 20 HSchG erfasst.[9]

Praxistipp:Ermöglichen der Meldung durch andere

Da eine interne Meldung im Gegensatz zu einer direkten externen Meldung zahlreiche Vorteile aufweist, auf die in Kapitel 3.3.1 noch näher eingegangen wird, ist es vorteilhaft, wenn Unternehmen den Kreis der Hinweisgeberinnen und Hinweisgeber auch auf Dritte ausweiten, welche grundsätzlich nicht vom persönlichen Anwendungsbereich erfasst wären. Hierbei kann es sich beispielsweise um Lieferanten oder Subunternehmer handeln. Damit diese auch von dieser Möglichkeit Kenntnis erlangen, sollte die interne Meldestelle nach außen hin beworben werden, indem diese im Code of Conduct erläutert wird oder in Verträgen explizit darauf hingewiesen wird, dass eine Meldung möglich und erwünscht ist.

2.3 Bedingungen für den Schutz

Der Schutz gilt nicht unbeschränkt, sondern wird von der Erfüllung bestimmter Bedingungen abhängig gemacht. Geschützt ist nämlich nur derjenige Whistleblower, der zum Zeitpunkt der Meldung angesichts der Umstände und der verfügbaren Informationen hinreichend Grund zu der Annahme hatte, dass die von ihm gemeldeten Sachverhalte der Wahrheit entsprechen. Gleichzeitig muss die Hinweisgeberin oder der Hinweisgeber auch davon überzeugt sein, dass der persönliche und sachliche Geltungsbereich des HSchG erfüllt ist – er also eine der in Kapitel 2.2 genannten Personen ist und die Meldung einen der in Kapitel 2.1 genannten Bereiche betrifft. Hierbei wird keine juristische Expertise des Whistleblowers erwartet, sondern es genügt eine laienhafte Einschätzung hierüber.[10]

Der Schutz gilt nicht nur bei Meldung an eine interne oder externe Stelle, sondern auch für gerechtfertigte Veröffentlichungen (mehr dazu in Kapitel 3.3).

Praxistipp:Anonyme Meldungen

Zwar sind interne Meldekanäle nicht dazu verpflichtet, anonyme Meldungen entgegenzunehmen und zu bearbeiten, jedoch genießt ein anfangs anonymer Whistleblower den Schutz des HSchG, wenn seine Identität später bekannt wird, egal ob dies mit oder ohne sein Zutun geschieht.[11] Weiters ist zu bedenken, dass eine Hinweisgeberin oder ein Hinweisgeber, welche(r) nicht die Möglichkeit hat, unternehmensintern eine anonyme Meldung zu erstatten, eher dazu neigt, sich direkt an eine Behörde zu wenden, da diese idR eine anonyme Hinweisgebung zulässt. Dies kann jedoch für das Unternehmen negative Konsequenzen haben.

Somit sollten Unternehmen, obwohl sie nicht zur Ergreifung von Folgemaßnahmen verpflichtet sind, anonyme Meldungen ebenfalls ernst nehmen und verfolgen. In der Praxis stellen anonyme Meldungen einen wesentlichen Teil der Meldungen dar. Unternehmen, die diese Hinweise nicht näher untersuchen, riskieren den Verlust der Glaubwürdigkeit gegenüber ihren Mitarbeitern und weiteren Stakeholdern. Zusätzlich verschließen sie sich der Möglichkeit, vermeintliche Verstöße zunächst intern aufzuklären und die positiven Effekte des Whistleblowings für sich zu nutzen.

2.4 Wovor Whistleblower geschützt werden müssen

Personen, die von einem relevanten Rechtsverstoß Kenntnis erlangt haben, sollen keine negativen Konsequenzen in Form von Vergeltungsmaßnahmen aufgrund der Meldung eines Rechtsverstoßes erleiden. Die Ergreifung von Repressalien gegen Whistleblower als Reaktion auf ihre Hinweismeldung führt daher zur Unwirksamkeit der gesetzten Vergeltungsmaßnahme. Außerdem löst diese Schadenersatzansprüche gegen den Ergreifer der Maßnahmen aus, welcher sowohl für die entstandenen Vermögensschäden