Das aus den USA stammende Konzept der Implementierung von Hinweisgebersystemen wurde in den letzten Jahrzehnten von vielen europäischen Konzernen freiwillig übernommen. Konkrete Mindestvorgaben für den Betrieb solcher Systeme bestehen – abgesehen von den datenschutz- und arbeitsrechtlichen Regelungen – hierfür bislang nicht. Daher sind derartige Systeme in der Praxis auch unterschiedlich effektiv. Die neue Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (EU/2019/1937, "Whistleblowing-RL") soll dies ändern. Sie bringt einen europaweiten Mindeststandard für einen wirksamen Hinweisgeberschutz und ist großteils bis zum 17.12.2021 in nat Recht umzusetzen.
1. Ziele der Richtlinie
Ziel der RL ist die Ermöglichung der wirksamen Aufdeckung, Untersuchung und Verfolgung von Verstößen gegen das Unionsrecht. Das soll durch die verpflichtende Einrichtung von internen Meldesystemen im privaten und öffentlichen Sektor erreicht werden. Daneben soll ein externer Meldekanal bei einer von den Mitgliedssaaten ausgewählten Behörde geschaffen werden. Damit die tatsächliche Nutzung dieser Kanäle gefördert wird, sind Hinweisgeber ("Whistleblower") umfassend geschützt.
2. Sachlicher und persönlicher Anwendungsbereich
So sind identifizierbare Hinweisgeber in folgenden Sektoren vom Anwendungsbereich erfasst: Öffentliches Auftragswesen, Produkt- und Verkehrssicherheit, Umwelt-, Strahlen-, Lebensmittel-, Tier-, Verbraucher- und Datenschutz sowie die Sicherheit von Netz- und Informationssystemen und öffentliche Gesundheit.
Als Hinweisgeber gelten Personen, die im beruflichen Kontext Informationen über Verstöße erlangt haben. Das schließt einen weiten Personenkreis ein, wie (ausgeschiedene) Arbeitnehmer, Selbständige, Anteilseigner, aber auch Kollegen und Verwandte der Hinweisgeber, die in einem beruflichen Kontext Repressalien erleiden könnten, sowie Lieferanten und Subauftragnehmer (ErwG 39). Gerade letztere müssen aufgrund des regelmäßig bestehenden Machtungleichgewichts bei Aufzeigen von Verstößen Repressalien befürchten, wie zB die vorzeitige Beendigung von Verträgen.
Meldungen über Verstöße gegen nat Recht sowie von anonymen Hinweisgebern sind von der Richtlinie nicht per se geschützt. Allerdings stellt sie nur eine Mindestharmonisierung dar. Es steht den Mitgliedsstaaten daher frei, im Rahmen ihrer Umsetzung den Anwendungsbereich auszudehnen und auch die Verletzung von nat Rechtsvorschriften zum Gegenstand der Regelungen zu machen oder auch anonyme Whistleblower zu schützen.
3. Verpflichtende Einrichtung interner Whistleblowing-Systeme
Die verpflichtende Einrichtung interner Meldekanäle trifft konkret
- juristische Personen des privaten Sektors mit 50 oder mehr Arbeitnehmern;
- unabhängig vom Schwellenwert juristische Personen, die bestimmten Unionsrechtsakten iZm Finanzdienstleistungen, der Verhinderung von Geldwäsche und Terrorismusfinanzierung, Verkehrssicherheit und Umweltschutz unterliegen (vgl Anhang I.B und II der RL);
- alle juristischen Personen des öffentlichen Sektors und die in ihrem Eigentum oder ihrer Kontrolle unterstehenden Einrichtungen (zB Gemeinden, Länder, Behörden).
Damit werden künftig eine Vielzahl an privaten Unternehmen, aber auch der öffentliche Sektor zur Implementierung von Whistleblowing-Hotlines verpflichtet. Den konkreten Umgang mit Meldungen regelt Art 9 der RL jedoch nur in Grundzügen:
- Meldekanal: Meldungen müssen schriftlich (zB per Beschwerdebriefkasten, Online-Plattform) oder mündlich (per Telefon oder über Sprachaufzeichnungen) möglich sein. Auf Ersuchen des Hinweisgebers kann die Meldung auch persönlich erfolgen.
- Meldestelle: Die Meldungen sind bei einer unparteiischen Person oder Abteilung zu bündeln. Wer hierfür geeignet ist, hängt von der Unternehmensstruktur ab. Eine Doppelfunktion des Zuständigen ist nicht ausgeschlossen, wenn die Unabhängigkeit gewahrt wird. So kann in kleineren Unternehmen zB der Leiter der Compliance- und Personalabteilung, ein Integritätsbeauftragter, der Rechts- oder Datenschutzbeauftrage, ein Finanzvorstand, Auditverantwortlicher oder Vorstandsmitglied nominiert werden (ErwG 56). Jedenfalls ist das "need-to-know"-Prinzip zum Schutz des Hinweisgebers streng einzuhalten.
- Meldeverfahren: Der Erhalt der Meldung ist dem Whistleblower binnen sieben Tagen nach Einlangen zu bestätigen. Auf eine Nachricht sind ordnungsgemäße Folgenmaßnahmen zu treffen. Welche konkreten Schritte (zB Anzeige an die Strafbehörde) zu ergreifen sind, lässt die Richtlinie jedoch offen. Spätestens drei Monate nach Eingang der Meldung ist der Whistleblower – soweit möglich und zulässig – über die getroffenen Folgenmaßnahmen zu informieren. Dadurch soll Vertrauen in das Meldesystem aufgebaut werden.
- Informationspflichten: Juristische Personen müssen sämtliche potentiellen Hinweisgeber in klarer und leichter Sprache über das Verfahren für Meldungen informieren.
Den Mitgliedssaaten steht es auch frei, bezüglich der Modalitäten einer Meldung konkretere bzw strengere Pflichten vorzusehen. Das kann insbesondere die Meldekanäle, zu treffende Folgemaßnahmen sowie drohende Sanktionen im Fall eines Verstoßes gegen diese Vorgaben betreffen.
4. Fazit
Die Whistleblowing-RL führt eine branchen- und sektorübergreifende, weite Verpflichtung zur Errichtung von internen Meldekanälen ein. Unternehmen sind daher gut beraten, sich schon jetzt mit den neuen Verpflichtungen vertraut zu machen und erste Vorbereitungsschritte zu treffen. Die notwendigen Umsetzungsmaßnahmen berührt schließlich unterschiedliche Rechtsbereiche und löst entsprechende Abstimmungserfordernisse aus: Im Mittelpunkt steht dabei der Datenschutz. Neben den gesetzlichen Verpflichtungen nach der DSGVO bzw dem DSG ist auch die bisherige gefestigte Rechtsprechung der Datenschutzbehörde iZm Whistleblowing-Hotlines zu berücksichtigen. Weiters sind etwaige strengere Bestimmungen im Finanzdienstleistungsbereich sowie arbeitsrechtliche Implikationen zu beachten. Aus dem noch fehlenden nationalen Umsetzungsentwurf können sich später noch weitere Verpflichtungen – sowohl hinsichtlich des Anwendungsbereiches als auch bezüglich der konkreten Abläufe – ergeben. Wer sich jetzt langsam auf die Umsetzung der europäischen Mindestvorgaben einstellt, hat dann genug Zeit, die nationalen Spezifika nachzuziehen.