Mit über einem halben Jahr Verspätung hat das Arbeitsministerium den langersehnten Entwurf des HinweisgeberInnenschutz-Gesetzes („HSchG“) in Begutachtung geschickt. Damit beginnt die seit Dezember 2021 überfällige Umsetzung der Whistleblowing-RL (EU/2019/1937). Diese führt EU-weit einen gesetzlichen Schutz von Tippgebern ein. Sie soll durch die verpflichtende Einrichtung von Whistleblower-Hotlines die Aufdeckung von Rechtsverstößen im privaten und öffentlichen Sektor fördern.
Der österreichische Entwurf setzt alle zwingenden Mindestvorgaben der Whistleblowing-RL (EU/2019/1937) um (die RL haben wir hier zusammengefasst). Obwohl der österreichische Gesetzgeber grundsätzlich dem Ansatz kein gold plating zu betreiben treu bleibt, hat er aber in zwei wesentlichen Punkten von bestehenden Öffnungsklauseln Gebrauch gemacht. Spätere, zusätzliche Erweiterungen (zB des sachlichen Geltungsbereichs) sind nach den Materialen zum Entwurf aber noch möglich.
Key Facts des Entwurfs
Zu den acht wichtigsten Punkten:
1. Identifizierte und anonyme Hinweisgeber geschützt: Der Entwurf geht insoweit über die RL hinaus, als er auch anonyme Meldungen von Hinweisgebern schützt. Unter den Hinweisgeber-Begriff fallen dabei sämtliche Personen, die im beruflichen Kontext Informationen über eine Rechtsverletzung erlangt haben. Das umfasst richtlinienkonform einen weiten Personenkreis, der bei Aufzeigen von Verstößen Repressalien befürchten könnte (zB Kündigung, Versetzung, Geschäftsboykott).
2. Ausweitung auf nationales Recht und Korruptionsstrafrecht: Von den ersten Rückmeldungen zum Entwurf unbemerkt, aber auch in den begleitenden Pressemeldungen bei Veröffentlichung nicht thematisiert wurde der sachliche Anwendungsbereich offenbar erweitert: Die Richtlinie sah zwei inhaltliche Begrenzungen vor: Zum einen zählt die Richtlinie gewisse Rechtsbereiche wie zB Verbraucher- und Datenschutz, Produkt- und Verkehrssicherheit auf. Diese Auflistung wurde in § 3 Abs 3 HSchG aufgenommen und – daran wurde Kritik geübt – lediglich um die strafrechtlichen Korruptionstatbestände in §§ 302 bis 309 StGB erweitert. Allerdings sieht die Richtlinie dann auch vor, dass nur bestimmte Umsetzungsvorschriften zu taxativ aufgezählten Unionsrechtsakten relevant sind. Abweichend zur RL sieht der Wortlaut des § 3 Abs 3 HSchG diese Beschränkung aber nicht vor und hat auch die Anlage nicht übernommen. Damit bleibt es aber ohne Einschränkung auf unionsrechtsbasierte Rechtsakte. Damit sind auch Informationen über Verletzungen entsprechender sektorspezifischer Regelungen des nationalen Rechts unabhängig von ihrem Ursprung erfasst. Dadurch entfallen auch die sonst in der Praxis für Normunterworfenen kaum vorhersehbaren Abgrenzungsfragen, ob ein Thema privilegiert ist oder nicht, weg. Und damit auch unsachliche Unterschiede – warum sollten DSGVO Verstöße erfasst sein, aber Verletzungen gegen das nationale DSG nicht? Oder wäre dieses, da auf Öffnungsklauseln der DSGVO beruhend, so und so im Anwendungsbereich gewesen.
3. Verpflichtung zur Einrichtung interner Whistleblowing-Systeme: Die verpflichtende Einrichtung interner Meldekanäle trifft konkret
- Unternehmen und juristische Personen des öffentlichen Rechts mit 50 oder mehr Arbeitnehmern;
- unabhängig vom Schwellenwert juristische Personen im privaten und öffentlichen Sektor, die im Bereich der Finanzdienstleistungen, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Verkehrssicherheit und Umweltschutz tätig sind.
In Österreich soll daher die Arbeitnehmerschwelle nun auch für den öffentlichen Sektor gelten.
4. Die Meldekanäle und das -verfahren: Die allgemeinen Anforderungen zur Einrichtung interner Meldekanäle orientieren sich weitgehend an die RL.
- So müssen Meldungen schriftlich oder mündlich möglich sein - auf Ersuchen des Hinweisgebers auch persönlich. In der Praxis setzen die meisten Unternehmen auf eine Plattformlösung, weil diese die besonderen Vertraulichkeits- und Datenschutzanforderungen besser umsetzen kann (vgl Pkt 5 und 6).
- Meldungen über Verstöße sind beim betroffenen Unternehmen bei einer unparteiischen Person oder Abteilung zu bündeln. Doppelfunktionen wie zB Konzentration bei Datenschutzbeauftragten sind möglich, wenn die Unabhängigkeit gewahrt wird.
- Weiters muss die Bearbeitung von Meldungen nach einem transparenten Verfahren erfolgen (zB Bestätigung des Erhalts der Meldung binnen 7 Tagen, Bearbeitung binnen 3 Monaten, etc).
- Offenkundig falsche und irreführende Hinweise dürfen direkt zurückgewiesen werden. Zudem droht dem Hinweisgeber bei wissentlich falscher Meldung auch eine Geldbuße (vgl Pkt 8). Die Klarstellung und Sanktionierung sind zu begrüßen. Dadurch können Missbrauchsfälle in Unternehmen besser eingedämmt und Ressourcen geschont werden.
5. Strenge Vertraulichkeitsverpflichtungen: Der Entwurf konkretisiert zum Schutz der Whistleblower weiters das datenschutzrechtliche „need-to-know“-Prinzip.
- Die Identität der Tippgeber ist auch intern geheim zu halten. Es dürfen daher nur Mitarbeiter und sonstige hinzugezogene Berater zur Bearbeitung von Meldefällen eingebunden werden, die hierfür zwingend erforderlich sind. Das schließt nicht automatisch die Führungsebene mit ein.
- Weiters ist die Offenlegung der Identität in Verfahren nur dann zulässig, wenn diese unerlässlich und hinsichtlich der potentiellen Gefährdung der Personen verhältnismäßig ist.
- Die Verletzung der Vertraulichkeitsverpflichtungen wird mit hohen Bußgeldern geahndet (vgl Pkt 8). Die Meldestelle sollte daher wohl überlegt besetzt werden und auf die Vorkehrungen zur Sicherstellung der Vertraulichkeit ein entsprechendes Augenmerk gelegt werden.
6. Datenschutzrechtliche Sonderbestimmungen: Weiters regelt das HSchG umfassend die datenschutzrechtlichen Aspekte beim Betrieb von Whistleblower-Kanälen.
a. Aufbewahrungspflichten und Speichervorgaben
- Alle eingehenden Hinweise sind zu dokumentieren.
- Personenbezogene Daten sind 30 Jahre (!) und darüber hinaus so lange aufzubewahren, als sie für die Durchführung von Verfahren oder zum Schutz der Hinweisgeber und sonstiger involvierter Personen erforderlich sind.
- Protokolldaten sind bis zu drei Jahren ab ihrer letztmaligen Verarbeitung zu speichern.
- Daten über strafrechtliche Verurteilungen und Straftaten dürfen nach Rechtskraft der Entscheidung nur im unbedingt erforderlichen Ausmaß verfügbar gehalten werden und sind möglichst ohne Aufbereitung zu speichern.
Die nun vorgesehenen, langen Speicherfristen sind überraschend. Sie widersprechen uE nämlich dem Zweckbindungs- und Speicherbegrenzungsgrundsatz der DSGVO sowie dem bisherigen Ansatz der österreichischen Datenschutzbehörde. So war die Aufbewahrung von Whistleblower-Daten bislang für maximal zwei Monate nach Beendigung der Untersuchung bzw des Verfahrens zulässig.
b. Konzernregelung: Bei der Verarbeitung von Whistleblowing-Daten agiert jede Einrichtung als eigenständige Verantwortliche. Betreiben jedoch mehrere Verantwortliche gemeinsam ein Hinweisgebersystem, sind sie als gemeinsame Verantwortliche zu qualifizieren. Sie müssen daher eine Art-26-DSGVO-Vereinbarung abschließen. Der Entwurf stellt in diesem Punkt aber nur auf den Betrieb ab. Das spricht dafür, dass jedes Unternehmen für die inhaltliche Bearbeitung ihrer Meldefälle dennoch eigenständige Verantwortliche bleiben soll und lediglich den technischen Betrieb gemeinsam verwalten darf. Insoweit ist uE die bisherige Rechtsprechung der Datenschutzbehörde auch unter dem neuen Regime weiterhin relevant. Demnach dürfen Meldung gegen Arbeitnehmer nur lokal in der jeweiligen Gesellschaft durch diese bzw einen Auftragsverarbeiter bearbeitet werden. Eine Ausnahme besteht nur bei schweren Anschuldigungen gegen Schlüsselpersonal – hier darf eine übergeordnete Einheit hinzugezogen werden – und bei Bestellung eines Konzernunternehmens als bloßen Dienstleister.
7. Übergangsfristen: Die neuen Pflichten gelten aber nicht ab sofort.
- Für Unternehmen und öffentliche Einrichtungen mit mindestens 250 Beschäftigte sowie Einrichtungen in gewissen Geschäftsbereichen gilt eine sechsmonatige Übergangsfrist nach Inkrafttreten des Gesetzes.
- Für Unternehmen mit weniger als 250 Beschäftigte gilt das Gesetz erst ab 18.12.2023.
8. Geldbußen: Die Behinderung von Hinweisgebern, die Ergreifung von Repressalien, die Verletzung der Vertraulichkeit sowie ein wissentlich falscher oder irreführender Hinweis wird mit einer Verwaltungsstrafe von bis zu EUR 20.000,- (oder EUR 40.000,- im Wiederholungsfall) bestraft.
Fazit
Der Entwurf bringt endlich Klarheit über die konkreten Anforderungen an die Einrichtung der Whistleblower-Konzepte. Mit den großzügigen Übergangsfristen haben Unternehmen und öffentliche Einrichtungen ausreichend Zeit für die faktische Implementierung der Hotlines. Die Vorbereitungszeit sollte auch genutzt werden. Schließlich hat der Entwurf keine Erleichterung aus arbeitsrechtlicher Sicht gebracht. Obwohl die Einrichtung von Whistleblower-Hotlines gesetzlich verpflichtend ist, stellen sie eine Kontrollmaßnahme dar bzw berühren die Menschenwürde. Unternehmen müssen daher zusätzlich Betriebsvereinbarungen nachverhandeln bzw Individualzustimmungen von Arbeitnehmern in Betrieben ohne Betriebsrat einholen.
Wie geht es weiter?
Die Frist zur Stellungnahme im Gesetzgebungsprozess endet am 15.7.2022. Anschließend können noch Änderungen am Entwurf des HSchG vorgenommen werden, bevor das Gesetz vom Parlament verabschiedet wird. Wir rechnen daher mit einem Inkrafttreten im frühestens Herbst.
Mit über einem halben Jahr Verspätung hat das Arbeitsministerium den langersehnten Entwurf des HinweisgeberInnenschutz-Gesetzes („HSchG“) in Begutachtung geschickt. Damit beginnt die seit Dezember 2021 überfällige Umsetzung der Whistleblowing-RL (EU/2019/1937). Diese führt EU-weit einen gesetzlichen Schutz von Tippgebern ein. Sie soll durch die verpflichtende Einrichtung von Whistleblower-Hotlines die Aufdeckung von Rechtsverstößen im privaten und öffentlichen Sektor fördern.
Der österreichische Entwurf setzt alle zwingenden Mindestvorgaben der Whistleblowing-RL (EU/2019/1937) um (die RL haben wir hier zusammengefasst). Obwohl der österreichische Gesetzgeber grundsätzlich dem Ansatz kein gold plating zu betreiben treu bleibt, hat er aber in zwei wesentlichen Punkten von bestehenden Öffnungsklauseln Gebrauch gemacht. Spätere, zusätzliche Erweiterungen (zB des sachlichen Geltungsbereichs) sind nach den Materialen zum Entwurf aber noch möglich.
Key Facts des Entwurfs
Zu den acht wichtigsten Punkten:
1. Identifizierte und anonyme Hinweisgeber geschützt: Der Entwurf geht insoweit über die RL hinaus, als er auch anonyme Meldungen von Hinweisgebern schützt. Unter den Hinweisgeber-Begriff fallen dabei sämtliche Personen, die im beruflichen Kontext Informationen über eine Rechtsverletzung erlangt haben. Das umfasst richtlinienkonform einen weiten Personenkreis, der bei Aufzeigen von Verstößen Repressalien befürchten könnte (zB Kündigung, Versetzung, Geschäftsboykott).
2. Ausweitung auf nationales Recht und Korruptionsstrafrecht: Von den ersten Rückmeldungen zum Entwurf unbemerkt, aber auch in den begleitenden Pressemeldungen bei Veröffentlichung nicht thematisiert wurde der sachliche Anwendungsbereich offenbar erweitert: Die Richtlinie sah zwei inhaltliche Begrenzungen vor: Zum einen zählt die Richtlinie gewisse Rechtsbereiche wie zB Verbraucher- und Datenschutz, Produkt- und Verkehrssicherheit auf. Diese Auflistung wurde in § 3 Abs 3 HSchG aufgenommen und – daran wurde Kritik geübt – lediglich um die strafrechtlichen Korruptionstatbestände in §§ 302 bis 309 StGB erweitert. Allerdings sieht die Richtlinie dann auch vor, dass nur bestimmte Umsetzungsvorschriften zu taxativ aufgezählten Unionsrechtsakten relevant sind. Abweichend zur RL sieht der Wortlaut des § 3 Abs 3 HSchG diese Beschränkung aber nicht vor und hat auch die Anlage nicht übernommen. Damit bleibt es aber ohne Einschränkung auf unionsrechtsbasierte Rechtsakte. Damit sind auch Informationen über Verletzungen entsprechender sektorspezifischer Regelungen des nationalen Rechts unabhängig von ihrem Ursprung erfasst. Dadurch entfallen auch die sonst in der Praxis für Normunterworfenen kaum vorhersehbaren Abgrenzungsfragen, ob ein Thema privilegiert ist oder nicht, weg. Und damit auch unsachliche Unterschiede – warum sollten DSGVO Verstöße erfasst sein, aber Verletzungen gegen das nationale DSG nicht? Oder wäre dieses, da auf Öffnungsklauseln der DSGVO beruhend, so und so im Anwendungsbereich gewesen.
3. Verpflichtung zur Einrichtung interner Whistleblowing-Systeme: Die verpflichtende Einrichtung interner Meldekanäle trifft konkret
· Unternehmen und juristische Personen des öffentlichen Rechts mit 50 oder mehr Arbeitnehmern;
· unabhängig vom Schwellenwert juristische Personen im privaten und öffentlichen Sektor, die im Bereich der Finanzdienstleistungen, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Verkehrssicherheit und Umweltschutz tätig sind.
In Österreich soll daher die Arbeitnehmerschwelle nun auch für den öffentlichen Sektor gelten.
4. Die Meldekanäle und das -verfahren: Die allgemeinen Anforderungen zur Einrichtung interner Meldekanäle orientieren sich weitgehend an die RL.
· So müssen Meldungen schriftlich oder mündlich möglich sein - auf Ersuchen des Hinweisgebers auch persönlich. In der Praxis setzen die meisten Unternehmen auf eine Plattformlösung, weil diese die besonderen Vertraulichkeits- und Datenschutzanforderungen besser umsetzen kann (vgl Pkt 5 und 6).
· Meldungen über Verstöße sind beim betroffenen Unternehmen bei einer unparteiischen Person oder Abteilung zu bündeln. Doppelfunktionen wie zB Konzentration bei Datenschutzbeauftragten sind möglich, wenn die Unabhängigkeit gewahrt wird.
· Weiters muss die Bearbeitung von Meldungen nach einem transparenten Verfahren erfolgen (zB Bestätigung des Erhalts der Meldung binnen 7 Tagen, Bearbeitung binnen 3 Monaten, etc).
· Offenkundig falsche und irreführende Hinweise dürfen direkt zurückgewiesen werden. Zudem droht dem Hinweisgeber bei wissentlich falscher Meldung auch eine Geldbuße (vgl Pkt 8). Die Klarstellung und Sanktionierung sind zu begrüßen. Dadurch können Missbrauchsfälle in Unternehmen besser eingedämmt und Ressourcen geschont werden.
5. Strenge Vertraulichkeitsverpflichtungen: Der Entwurf konkretisiert zum Schutz der Whistleblower weiters das datenschutzrechtliche „need-to-know“-Prinzip.
· Die Identität der Tippgeber ist auch intern geheim zu halten. Es dürfen daher nur Mitarbeiter und sonstige hinzugezogene Berater zur Bearbeitung von Meldefällen eingebunden werden, die hierfür zwingend erforderlich sind. Das schließt nicht automatisch die Führungsebene mit ein.
· Weiters ist die Offenlegung der Identität in Verfahren nur dann zulässig, wenn diese unerlässlich und hinsichtlich der potentiellen Gefährdung der Personen verhältnismäßig ist.
· Die Verletzung der Vertraulichkeitsverpflichtungen wird mit hohen Bußgeldern geahndet (vgl Pkt 8). Die Meldestelle sollte daher wohl überlegt besetzt werden und auf die Vorkehrungen zur Sicherstellung der Vertraulichkeit ein entsprechendes Augenmerk gelegt werden.
6. Datenschutzrechtliche Sonderbestimmungen: Weiters regelt das HSchG umfassend die datenschutzrechtlichen Aspekte beim Betrieb von Whistleblower-Kanälen.
a. Aufbewahrungspflichten und Speichervorgaben
· Alle eingehenden Hinweise sind zu dokumentieren.
· Personenbezogene Daten sind 30 Jahre (!) und darüber hinaus so lange aufzubewahren, als sie für die Durchführung von Verfahren oder zum Schutz der Hinweisgeber und sonstiger involvierter Personen erforderlich sind.
· Protokolldaten sind bis zu drei Jahren ab ihrer letztmaligen Verarbeitung zu speichern.
· Daten über strafrechtliche Verurteilungen und Straftaten dürfen nach Rechtskraft der Entscheidung nur im unbedingt erforderlichen Ausmaß verfügbar gehalten werden und sind möglichst ohne Aufbereitung zu speichern.
Die nun vorgesehenen, langen Speicherfristen sind überraschend. Sie widersprechen uE nämlich dem Zweckbindungs- und Speicherbegrenzungsgrundsatz der DSGVO sowie dem bisherigen Ansatz der österreichischen Datenschutzbehörde. So war die Aufbewahrung von Whistleblower-Daten bislang für maximal zwei Monate nach Beendigung der Untersuchung bzw des Verfahrens zulässig.
b. Konzernregelung: Bei der Verarbeitung von Whistleblowing-Daten agiert jede Einrichtung als eigenständige Verantwortliche. Betreiben jedoch mehrere Verantwortliche gemeinsam ein Hinweisgebersystem, sind sie als gemeinsame Verantwortliche zu qualifizieren. Sie müssen daher eine Art-26-DSGVO-Vereinbarung abschließen. Der Entwurf stellt in diesem Punkt aber nur auf den Betrieb ab. Das spricht dafür, dass jedes Unternehmen für die inhaltliche Bearbeitung ihrer Meldefälle dennoch eigenständige Verantwortliche bleiben soll und lediglich den technischen Betrieb gemeinsam verwalten darf. Insoweit ist uE die bisherige Rechtsprechung der Datenschutzbehörde auch unter dem neuen Regime weiterhin relevant. Demnach dürfen Meldung gegen Arbeitnehmer nur lokal in der jeweiligen Gesellschaft durch diese bzw einen Auftragsverarbeiter bearbeitet werden. Eine Ausnahme besteht nur bei schweren Anschuldigungen gegen Schlüsselpersonal – hier darf eine übergeordnete Einheit hinzugezogen werden – und bei Bestellung eines Konzernunternehmens als bloßen Dienstleister.
7. Übergangsfristen: Die neuen Pflichten gelten aber nicht ab sofort.
· Für Unternehmen und öffentliche Einrichtungen mit mindestens 250 Beschäftigte sowie Einrichtungen in gewissen Geschäftsbereichen gilt eine sechsmonatige Übergangsfrist nach Inkrafttreten des Gesetzes.
· Für Unternehmen mit weniger als 250 Beschäftigte gilt das Gesetz erst ab 18.12.2023.
8. Geldbußen: Die Behinderung von Hinweisgebern, die Ergreifung von Repressalien, die Verletzung der Vertraulichkeit sowie ein wissentlich falscher oder irreführender Hinweis wird mit einer Verwaltungsstrafe von bis zu EUR 20.000,- (oder EUR 40.000,- im Wiederholungsfall) bestraft.
Fazit
Der Entwurf bringt endlich Klarheit über die konkreten Anforderungen an die Einrichtung der Whistleblower-Konzepte. Mit den großzügigen Übergangsfristen haben Unternehmen und öffentliche Einrichtungen ausreichend Zeit für die faktische Implementierung der Hotlines. Die Vorbereitungszeit sollte auch genutzt werden. Schließlich hat der Entwurf keine Erleichterung aus arbeitsrechtlicher Sicht gebracht. Obwohl die Einrichtung von Whistleblower-Hotlines gesetzlich verpflichtend ist, stellen sie eine Kontrollmaßnahme dar bzw berühren die Menschenwürde. Unternehmen müssen daher zusätzlich Betriebsvereinbarungen nachverhandeln bzw Individualzustimmungen von Arbeitnehmern in Betrieben ohne Betriebsrat einholen.
Wie geht es weiter?
Die Frist zur Stellungnahme im Gesetzgebungsprozess endet am 15.7.2022. Anschließend können noch Änderungen am Entwurf des HSchG vorgenommen werden, bevor das Gesetz vom Parlament verabschiedet wird. Wir rechnen daher mit einem Inkrafttreten im frühestens Herbst.