Rechtsprechung

Schweigen ist Silber, Reden ist Gold?

Die „Whistleblowing-Richtlinie“ 

Das Erkennen, Kanalisieren und Abwenden (soweit möglich) von Risiken sind Aufgaben, die ohne Zweifel dem Tätigkeitsfeld der Unternehmensjuristen und/oder Compliance-Officer zurechenbar sind. Da „Compliance“ in den meisten Fällen eine „Kompetenz“ der Rechtsabteilung ist, obliegt es im Ergebnis sohin den Juristen, rechtliche Änderungen oder Neuerungen rechtzeitig zu erkennen, die Folgen für das Unternehmen herauszufinden, die Geschäftsführung über Risiken aufzuklären und Maßnahmen vorzuschlagen. Eines dieser Themen ist die sogenannte „Whistleblowing-Richtlinie“.

Es bedarf nicht immer der Blick auf die großen Skandale der letzten Jahre (zB „Dieselgate“, „Panama-Papers,“ etc.) sondern es reicht der Blick ins eigene Unternehmen, um festzustellen, wie wichtig couragierte Hinweisgeber zur Herstellung der erforderlichen Integrität sind. Viele Fälle im Unternehmen wären ohne Mithilfe sogenannter „Whistleblower“ nicht oder erst viel später aufgedeckt worden. „Mut ist die Tugend, die für Gerechtigkeit eintritt.“ (Marcus Tullius Cicero) Besser könnte man es daher kaum sagen. 

Whistleblower genießen unter Kollegen jedoch eher den Ruf als „Denunzianten“, obgleich ihre Mitwirkung zur Aufklärung komplexer Rechtsverstöße wichtig (und nahezu erforderlich) ist. Selbst die Geschäftsführung erkennt in anonymen Hinweisen oftmals zuerst ein „Anschwärzen“ anstatt einer Chance. Eine ungerechtfertigte Vorverurteilung von Whistleblowern? Durchaus…

Hinweisgeber hatten bislang keinen ausreichenden Schutz vor persönlichen Nachteilen. Die Frage, ob ein Whistleblower im Unternehmen geschützt ist, hängt aktuell stark von der Persönlichkeit des Compliance-Officers und seiner Standhaftigkeit im Zusammenhang mit der Wahrung der Identität des Hinweisgebers gegenüber der Geschäftsführung ab. Nach meinem Verständnis stellt ein Beharren zur Offenlegung entsprechender Informationen bzw. das bewusste Befragen von Mitarbeitern zur Ausforschung des Hinweisgebers für sich genommen bereits einen Compliance-Verstoß der Geschäftsführung dar. Dennoch ist dieser Umstand kein Schutz vor Repressalien.

Es ist generell bedauerlich, dass Hinweisgeber bis jetzt keinen einheitlichen Schutz vor persönlichen Nachteilen genossen haben. Am 16.04.2019 hat das EU-Parlament zum Glück die „Whistleblowing-Richtlinie“ beschlossen, welche im Herbst 2019 vom EU-Rat bestätigt wurde. Im Gegensatz zur Datenschutzgrundverordnung (wir erinnern uns noch ganz genau) bedarf es hingegen einer gesetzlichen Umsetzung in den Mitgliedsstaaten. Hierfür wird ihnen eine Dauer von zwei bis vier Jahren eingeräumt. Die erste Frist liegt sohin bereits im Jahr 2021.

Was ist das Ziel der Whistleblowing-Richtlinie?

Das Ziel der sogenannten Whistleblowing-Richtlinie ist der Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sogenannte Hinweisgeber oder Whistleblower). Unter einem Hinweisgeber im Sinne der Richtlinie wird „eine natürliche Person, die im Zusammenhang mit ihren Arbeitstätigkeiten erlangte Informationen über Verstöße meldet oder offenlegt.“ verstanden. Hinweisgeber können unterschiedlichste Personen sein, ua Praktikanten, Bewerber, Arbeitnehmer, Aufsichtsräte, Lieferanten, etc.

Was ist mit „Unionsrecht“ gemeint?

Der Verweis auf „Unionsrecht“ vermag bei manchem Geschäftsführer zu Gelassenheit führen, doch der Schein trügt. Verstöße im Zusammenhang mit Unionsrecht umfassen nämlich alle Verstöße im Hinblick auf öffentliche Auftragsvergabe, Finanzdienstleistungen, Geldwäsche, Gesundheitswesen, Wettbewerb, Konsumentenschutz, Produktsicherheit, Datenschutz usw.

Wichtig: jedes Unternehmen ist im täglichen Geschäft mit zumindest einem der genannten Schutzbereiche konfrontiert. Produkthaftung, Konsumentenschutz, Datenschutz sind nämlich Themen, vor denen sich kaum ein Unternehmen verschließen kann.

Herzlich willkommen im „Unionsrecht“.

Wann ist eine Meldung schutzwürdig?

Hinweisgeber erhalten Schutz, sofern sie bei ihrer Meldung hinreichenden Grund zu der Annahme hatten, dass die gemeldeten Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprachen. Es ist zudem erforderlich, dass sie die Hinweise über interne oder externe Meldekanäle erstattet bzw. berechtigterweise offengelegt haben. 

Die Meldung muss mündlich, schriftlich und persönlich möglich sein, wobei die Identität des Hinweisgebers zwingend vertraulich zu behandeln ist. Das Einrichten eines „Briefkastens“ oder einer „Compliance-E-Mail-Adresse“ genügen für sich genommen jedenfalls noch nicht. 

Der interne Meldekanal

Die Richtlinie verpflichtet Unternehmen – mit mehr als 50 Beschäftigten oder aus dem Finanzbereich – und Gemeinden – mit mehr als 10.000 Einwohnern – zur Implementierung interner Meldekanäle. Tatsächlich sind somit ein großer Teil an Unternehmen in Österreich betroffen. Willkommen im Thema „Compliance“! 

Entsprechende Meldekanäle müssen so eingerichtet und betrieben werden, dass die Meldung richtlinienkonform (siehe oben) erfolgen kann und die Identität der Hinweisgeber (und jene von Dritten, die in einer Meldung erwähnt werden) vertraulich behandelt wird. Aus diesem Grund sieht die Richtlinie auch vor, dass jedes Unternehmen verantwortliche Personen oder Abteilungen mit der Bearbeitung von Hinweisen betraut. In der Regel wird es sich um Compliance-Abteilungen und/oder Compliance-Officer handeln. Das „need-to-know“-Prinzip etabliert sich sohin zum Schutz für den Hinweisgeber!

Tatsächlich finden nun bekannte Compliance-Standards (wie zB ISO 19600, ONR 192050) Eingang in die österreichische bzw. europäische Rechtsordnung und somit in einen Großteil der Unternehmensstrukturen. In diesem Zusammenhang führt die Richtlinie jedoch zu einem Dilemma, wenn in einem Unternehmen noch keine Compliance-Organisation etabliert ist. Die Umsetzung wird sohin zu einer entsprechenden Herausforderung.

Hat man eine verantwortliche Person/Abteilung gefunden, ist diese verpflichtet, den Eingang der Meldung binnen 7 (sieben) Tagen zu bestätigen. Zudem ist es erforderlich, dass man mit dem Hinweisgeber in Kontakt tritt, den Dialog sucht und diesen über die Fortschritte und weiteren Maßnahmen informiert (Frist: 3 Monate).

Wichtig: Entsprechende Hinweisgebersysteme waren auch schon vor der Whistleblowing-Richtlinie wirkungsvolle Maßnahmen und wichtige Voraussetzungen für ein effektives Compliance-Management-System (siehe hierzu zB ONR 192050, ISO 19600, etc.). 

Hierarchie der Meldekanäle 

Neben juristischen Personen und Gemeinden müssen auch Behörden („Verwaltung“) entsprechende Hinweisgeber-Systeme einrichten. Diese Kanäle gelten im Sinne der Richtlinie als „externe Meldekanäle“. Warum ist das wichtig? Externe Meldekanäle gelten sekundär und sind zu verwenden, wenn man intern weder Hilfe noch ausreichend Schutz vor persönlichen Nachteilen erwarten kann. 

Werden die Hinweise weder über interne noch über externe Meldekanäle gemeldet, sondern direkt der Öffentlichkeit zugänglich gemacht, spricht die Richtlinie von einer „Offenlegung“. Eine öffentliche Aufarbeitung unternehmensinterner Vorkommnisse wünscht sich kein Unternehmen. Aus diesem Grund ist es wichtig, die erforderlichen Maßnahmen entsprechend umzusetzen.

Ein Hinweisgeber, der Informationen offenlegt, hat Anspruch auf Schutz, wenn er seine Meldung zunächst intern und extern erstattet hat, aber weder im Unternehmen noch von der Behörde geeignete Maßnahmen ergriffen wurden. Die Richtlinie schafft sohin eine Hierarchie der Meldekanäle (1. Interne Meldung, 2. Externe Meldung, 3. Offenlegung). 

Ein Hinweisgeber kann von der Verpflichtung zur Nutzung interner und externer Kanäle jedoch abweichen, wenn ein Verstoß gegen Unionsrecht eine Gefährdung des öffentlichen Interesses darstellen kann (iS eines Notfalles) oder wenn der Hinweisgeber auch bei Nutzen eines externen Kanals mit persönlichen Nachteilen („Repressalien“) rechnen muss. 

Was sind Repressalien?

Hinweisgeber sind vor persönlichen Nachteilen („Repressalien“) zu schützen, die ihnen durch eine berechtigte Meldung drohen. Die Richtline benennt als Repressalien folgende Beispiele: Suspendierung, Kündigung, Versagen einer Beförderung, Diskriminierung, etc. 

Whistleblowing und die Menschenwürde

Die Richtlinie führt in Österreich zu einer Herausforderung bei der Einrichtung von Hinweisgeber-Systemen, zumal hierzulande die Rechtsmeinung überwiegt, dass Whistleblowing-Kanäle einem Kontrollsystem gleichkommen. Bei Vorliegen von Kontrollmechanismen gilt die Menschenwürde des Arbeitnehmers als berührt, wodurch die zwingende Einbindung des Betriebsrates erforderlich wird. 

Man darf in diesem Zusammenhang aber nicht vergessen, dass Unternehmen in Zukunft per Gesetz verpflichtet werden, entsprechende Meldekanäle einzurichten. Unternehmen geraten dadurch in ein Spannungsfeld zwischen der gesetzlichen Verpflichtung und dem Erfordernis einer Zustimmung/Mitwirkung durch den Betriebsrat. 

Whistleblowing und Datenschutz

Hinweise beinhalten zwingend auch personenbezogene Daten. Whistleblowing erfolgt ohne Datenschutz (und sohin ohne Berücksichtung der Vorgaben aus der DSGVO) nicht. Es werden Informationen über den Hinweisgeber, des Beschuldigten, etwaiger Zeugen, etc. bekanntgegeben und im weiteren Verlauf entsprechend verarbeitet. Experten sehen in diesem Zusammenhang eine Datenschutzfolgeabschätzung als erforderlich. 

Wichtig ist, dass Unternehmen im Falle von Hinweisen über Verstöße meines Erachtens jedenfalls ein berechtigtes Interesse zur Verarbeitung personenbezogener Daten haben.

Wie weiter? Die nächsten Schritte…

Unternehmensjuristen sind gut beraten, sich frühestmöglich mit dem Thema „interner Meldekanal“ bzw. „Whistleblowing“ zu beschäftigen und entsprechende Möglichkeiten zur Umsetzung zu prüfen. Vielleicht hat man bereits einen effektiven internen Meldekanal und kann sohin der zu erwartenden Gesetzgebung gelassen entgegensehen. Falls nicht und fällt man in die Verpflichtung zur Einrichtung eines entsprechenden Kanals, bedarf es entsprechender Compliance-Maßnahmen. Ein Blick auf die Unternehmenskultur, vorhandene Ressourcen, Budget, etc. bleibt der Rechtsabteilung daher keinesfalls erspart. Auf „Compliance“ und „Whistleblowing-Systeme“ spezialisierte Unternehmen – zB fobi solutions GmbH – bieten oftmals einfache Lösungen (zB digitale Hinweisgebersysteme, automationsunterstützte Whistleblowing-Plattformen und/oder Compliance-Tools). Gerne mehr unter www.loupe.link!

Auch beim Thema „Compliance“ führen viele Wege nach Rom (an das A1-Formular gedacht? 🙂 …lesen Sie mehr)… viel Erfolg bei der Suche nach der einfachsten und effektivsten Route.

Teilen Sie uns doch Ihre Erfahrungen und Lösungsideen in den Kommentaren mit!

Gefällt Ihnen der Artikel? Dann bitte teilen!

Eine Antwort schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.