Newsletter zum neuen Hinweisgeberschutzgesetz - was bedeutet das für Unternehmen des Privatsektors?

Das HSchG setzt die EU-Whistleblower-Richtlinie (RL (EU) 2019/1937) in nationales Recht um. Zur Umsetzung sind die EU-Mitgliedstaaten verpflichtet. Dem ist nun auch Österreich (verspätet) nachgekommen. Das HSchG trat größtenteils mit 25.02.2023 bzw. tritt zT mit 17.12.2023 in Kraft.

Durch das Gesetz sollen Hinweisgeber (Whistleblower) Missstände oder Verstöße gegen EU-Recht melden können und dabei vor Vergeltungsmaßnahmen geschützt sein. Dies betrifft folgende Rechtsbereiche:

• öffentliches Auftragswesen (Vergabe)
• Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung
• Produktsicherheit und -konformität
• Verkehrssicherheit
• Umweltschutz
• Strahlenschutz und nukleare Sicherheit
• Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
• öffentliche Gesundheit
• Verbraucherschutz
• Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
• Amtsmissbrauch, Korruption, Bestechung, udgl.

Geschützt werden Hinweisgeber, welche aufgrund ihrer beruflichen Tätigkeit Kenntnisse von Rechtsverstößen erlangen. Darunter fallen

• Arbeitnehmer (auch ehemalige), überlassene Arbeitskräfte aber auch Selbstständige
• Bewerber, Praktikanten, Volontäre, Auszubildende
• Mitglieder eines Verwaltungs-, Leitungs- oder Aufsichtsorgans (zB Geschäftsführer, Aufsichtsräte)
• Auftragnehmer, Subauftragnehmer, Lieferanten

Hinweisgeber sind bei einem berechtigten Hinweis vor sog Vergeltungsmaßnahmen (also Verschlechterungen) geschützt, wie ua vor Kündigung, Suspendierung oder andere Beendigungen oder Nichtverlängerungen, Herabstufung, Versetzung, negative Leistungsbeurteilung, Disziplinarmaßnahmen, Vertragsbeendigung, Lizenzentzug, finanzielle Schlechterstellungen, etc. Diese Vergeltungsmaßnahmen sind rechtsunwirksam. Zudem ist das Unternehmen, der die Vergeltungsmaßnahme zuzurechnen ist, zur Wiederherstellung des rechtmäßigen Zustandes, zum Ersatz des Vermögensschadens sowie zu einer Entschädigung für die erlittene persönliche Beeinträchtigung des Hinweisgebers verpflichtet. Dies gilt auch für Fälle von Diskriminierung, Mobbing, Rufschädigung, uä.

Geschützte Hinweisgeber (und Personen in ihrem Umkreis, zB Familienangehörige) haften nicht für tatsächliche oder rechtliche Folgen eines berechtigten Hinweises. Ein Hinweisgeber, der berechtigt meldet, verletzt durch seine Meldung keine gesetzlichen oder vertraglichen Geheimhaltungsverpflichtungen und haftet dafür nicht.

Darüber hinaus kommt dem Hinweisgeber eine Beweiserleichterung zugute: Er muss lediglich glaubhaft machen, dass die nachteilige Maßnahme aufgrund einer erfolgten Hinweismeldung erfolgte (§ 23 HSchG).

Das HSchG gilt für alle Unternehmen ab 50 Arbeitnehmern. Einige Unternehmen sind jedoch unabhängig von ihrer Arbeitnehmeranzahl umfasst, nämlich abhängig von der Branchenzugehörigkeit, wie insbesondere des Finanzsektors, wie zB Finanzdienstleister, Banken, Wertpapierunternehmen.

Für die Anzahl der Arbeitnehmer gelten alle Arbeitnehmer, zB auch karenzierte Arbeitnehmer. Schwankt die Anzahl der Arbeitnehmer, zB saisonal bedingt, ist auf die durchschnittliche Anzahl der Arbeitnehmer während des vorherigen Kalenderjahres abzustellen.

Abhängig von der Anzahl der Arbeitnehmer müssen Unternehmen des privaten Sektors Maßnahmen zeitlich wie folgt umsetzen (§ 28 HSchG):

• ab 250 Arbeitnehmern bis 25.08.2023 (6 Monate Übergangsfrist nach dem Inkrafttreten des HSchG)
• ab 50 bis 249 Arbeitnehmern bis 17.12.2023.

Es ist ein Hinweisgebermelde-/Whistleblowing System einzurichten, über das Hinweisgeber Missstände im Unternehmen melden können. Dabei muss eine geschützte, anonyme Kommunikation mit dem Hinweisgeber gewährleistet sein. Die Identität des Hinweisgebers muss geschützt sein, dh geheim gehalten werden -  auch gegenüber anderen Mitarbeitern oder der Unternehmensleitung. Hinweise müssen schriftlich oder mündlich oder in beiden Formen gemeldet werden können.

Für das Hinweisgebermeldesystem zuständige Personen müssen weisungsfrei, unparteiisch und unvoreingenommen sein. Im Unternehmen kann dafür auch eine eigene Abteilung eingerichtet werden.

Hinweisgeber haben sich grundsätzlich zuerst an die interne Stelle im Unternehmen zu wenden. Sie können sich direkt an eine externe Stelle, zB Polizei oder Behörde, wenden, wenn die Behandlung des Hinweises im internen Hinweisgebersystem nicht möglich, nicht zweckentsprechend oder nicht zumutbar ist oder sich als erfolglos oder aussichtslos erwiesen hat.

Langt eine Meldung im Hinweisgebermeldesystem des Unternehmens ein, ist folgender Ablauf einzuhalten:

1. Offenkundig falsche Hinweise sind mit einer Nachricht an den Hinweisgeber zurückzuweisen, dass derartige Hinweise Schadenersatzansprüche begründen und ggf gerichtlich oder als Verwaltungsübertretungen verfolgt werden können.
2. Sonst ist jedem Hinweis nachzugehen und zu überprüfen, der in den Anwendungsbereich des HSchG fällt und der stichhaltig ist.
3. Dem Hinweisgeber ist binnen 7 Tagen nach Eingang der Meldung eine Bestätigung des Eingangs der Meldung zu übermitteln.
4. Auf Ersuchen des Hinweisgebers hat spätestens binnen 14 Tagen (ab dem Ersuchen) ein Besprechungstermin stattzufinden.
5. Hinweisgeber können Hinweise ergänzen oder berichtigen. Der Eingang einer Ergänzung oder Berichtigung ist dem Hinweisgeber ebenfalls binnen 7 Tagen zu bestätigen.
6. Der Hinweisgeber ist um weitere Auskunft zu ersuchen, wenn dies für die Einschätzung des Hinweises erforderlich ist.
7. Spätestens nach 3 Monaten ab Meldung des Hinweises ist dem Hinweisgeber bekanntzugeben, welche Folgemaßnahmen getroffen wurden oder werden oder aus welchen Gründen der Hinweis nicht weiterverfolgt wird. Folgemaßnahmen sind zB interne Nachforschungen, Ermittlungen oder die Einleitung eines Verfahrens.

Als Meldestelle dürfen auch Dritte beauftragt werden. Bei Konzernen genügt eine Meldestelle für den gesamten Konzern.

Es gibt bereits einige Anbieter am Markt für Hinweisgebermelde-/Whistleblowing Systeme. Diese bieten zB folgende Tools an:

• Erstprüfung, ob das Unternehmen aufgrund des HSchG Maßnahmen treffen muss und ob allenfalls bestehende Systeme verwendet oder ergänzt werden können oder gänzlich ein neues System eingerichtet werden muss
• ausgelagertes Whistleblower System webportalbasiert mit verschiedenen Meldekanälen wie zB Telefon oder E-Mail
• Unterstützung bei eingelangten Hinweisen, insbesondere in der Bearbeitung und Beantwortung, teilweise auch mit Angeboten von anwaltlichen Empfehlungen
• Prüfung der eingelangten Meldungen und Voreinstufung, zB mit einem Ampelsystem
• Anbieten von Fragenkatalogen oder Textvorschläge für Informationspflichten
• Integrierter Übersetzungsdienst für mehrsprachige Meldungen
• Erstellen von Statistiken, Diagrammen und Datenanalyse
• Schulung für Mitarbeiter
• Unterstützung bei Dokumentation und Aufbewahrung

Ein Hinweisgebermeldesystem braucht eine Rechtsgrundlage für die Datenverarbeitung, da personenbezogene Daten verarbeitet werden. § 8 HSchG bietet eine Rechtsgrundlage für die Verarbeitung der in Hinweisen enthaltenen personenbezogenen Daten. Zulässig ist demnach die Verarbeitung personenbezogener Daten

• des Hinweisgebers
• des vom Hinweis Betroffenen
• der Person, die den Hinweisgeber unterstützt oder - als Person im Umkreis des Hinweisgebers (zB Familie) - auch von nachteiligen Folgen des Hinweises betroffen sein kann
• der von/in Folgemaßnahmen betroffenen oder involvierten Person.

Die Datenverarbeitung muss

• im öffentlichen Interesse liegen, Rechtsverletzungen zu verhindern oder zu ahnden und zu diesem Zweck Hinweise zu geben und ihre Stichhaltigkeit zu überprüfen und
• auf Daten eingeschränkt werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden.

Bei einem Hinweis können allenfalls auch sensible Daten (Art 9 Abs 1 DSGVO) betroffen sein. Die Verarbeitung sensibler Daten ist zulässig, wenn

• die Verarbeitung der HSchG-Zwecke unbedingt erforderlich ist und
• das öffentliche Interesse an der Verarbeitung zur Erreichung der HSchG- Zwecke erheblich ist und
• wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

Zum Schutz des Hinweisgebers (und ihn unterstützenden Personen oder Personen in seinem nahem Umfeld, wie zB Familie) – soweit erforderlich – hat der vom Hinweis Betroffene keine Rechte auf Information, Auskunft, Berichtigung, Löschung der Daten, Einschränkung der Verarbeitung, Widerspruch und auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten.

Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, dürfen nicht erhoben werden und sind unverzüglich zu löschen, falls sie unbeabsichtigt erhoben wurden.

Alle eingehenden Hinweise sind zu dokumentieren und in einem vertraulichen und sicheren System zu speichern. Der Zugang zu diesem System ist zu protokollieren und zu beschränken. Nur die den Hinweis bearbeitenden Mitarbeiter dürfen darauf zugreifen.

Die Daten sind 5 Jahre lang aufzubewahren und dann zu löschen. Sie dürfen länger aufbewahrt werden, wenn es ein laufendes Verfahren gibt. Systemische Protokolldaten (Änderungen, Abfragen, Übermittlungen) sind bis 3 Jahre nach Ende dieser Aufbewahrungspflicht (zusätzlich) aufzubewahren.

Hinweisgebermeldesysteme sind grundsätzlich Kontrollmaßnahmen (Kontrollsysteme), die die Menschenwürde berühren, oder Systeme zur automationsunterstützten Verarbeitung von personenbezogenen Daten. Solche Systeme bedürfen für deren Einführung der Zustimmung des Betriebsrates, so im Unternehmen vorhanden (§§ 96, 96a ArbVG).

Der Gesetzgeber hat es leider unterlassen, dies zu regeln.

Zur Ausnahme von der Zustimmungspflicht des Betriebsrates kann argumentiert werden, dass nur die gesetzlichen Verpflichtungen nach dem HSchG umgesetzt werden. Da es dazu jedoch noch keine Rechtsprechung oder gefestigte Literaturmeinungen gibt, sollte vor der Einführung eines Hinweisgebermeldesystems im Betrieb die Zustimmung des Betriebsrates eingeholt werden.

Hinweisgebermeldesysteme sind grundsätzlich Kontrollmaßnahmen (Kontrollsysteme), die die Menschenwürde berühren. Besteht im Unternehmen kein Betriebsrat, bedarf die Einführung und Verwendung solcher Systeme die Zustimmung aller Arbeitnehmer (§ 10 AVRAG). Die Zustimmung der Arbeitnehmer kann, sofern keine schriftliche Vereinbarung über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden.

Da der Gesetzgeber bei der Einführung des HSchG es unterlassen hat, dies aus arbeitsrechtlicher Sicht zu regeln, bedarf es vor der Einführung des Hinweisgebermeldesystems der Zustimmung aller Arbeitnehmer.

• Der Hinweisgeber kann sich direkt an eine externe Stelle, zB an die Polizei oder an eine Behörde, wenden.
• Es droht eine Verwaltungsstrafe von EUR 20.000,00, bei Wiederholung bis zu EUR 40.000,00.
• Allenfalls könnte es auch zu einer Schadenersatzklage des Hinweisgebers kommen, insbesondere, wenn ihn Vergeltungsmaßnahmen treffen.