Hinweisgeber­Innenschutz-Gesetz: Das gilt ab 17. Dezember 2023

Sechs Jahre dauerte es bis zur Einführung der Whistleblower Richtlinie der EU. Im Februar 2023 ist nun nach Verzögerungen auch in Österreich das HinweisgeberInnenschutz-Gesetz (HSchG) in Kraft getreten, das betroffene heimische Organisationen ab 50 Mitarbeitenden bis 17. Dezember 2023 zur Einrichtung vertraulicher interner Meldekanäle verpflichtet. Claudia Kerpe, Leitung Produktmanagement Compliance und Korruptionsbekämpfung bei Quality Austria, gibt Unternehmen wertvolle Tipps, wie sie im Bereich Compliance fit in der Umsetzung werden können.

1) Handlungsbedarf abstecken

Zum Schutz von vor negativen Konsequenzen wurde 2019 seitens der EU die Whistleblower Richtlinie beschlossen, im Februar 2023 wurden mit dem österreichischen HSchG Mindestanforderungen für private Unternehmen und öffentliche Stellen zum Schutz von Hinweisgebenden festgelegt. „Im HinweisgeberInnenschutz-Gesetz wird entsprechend der Größe des Unternehmens festgelegt, welche Meldesysteme und Compliance-Maßnahmen zum Schutz von Whistleblowern umzusetzen sind“, betont Kerpe. Grundsätzlich sind Unternehmen ab 50 Beschäftigten und öffentliche Einrichtungen mit mehr als 50 Mitarbeitenden von der neuen Regelung betroffen. „Auch für kleinere Unternehmen mit weniger als 50 Arbeitnehmer*innen ist das Gesetz gültig, wenn sie in Branchen wie Finanzdienstleistung, Finanzprodukte/-markt, Sicherheit der zivilen Luft- bzw. Schifffahrt oder ähnlichen sensiblen Bereichen tätig sind. Wir empfehlen aber auch Unternehmen, die von ihrem Tätigkeitsfeld her von Hinweisen in Gebieten wie öffentliches Auftragswesen, Verbraucherschutz, Produkt-, Verkehrs- oder Lebensmittelsicherheit betroffen sein könnten, die Einrichtung eines freiwilligen Hinweisgebersystems in Betracht zu ziehen“, so die Expertin.

2) Rahmenbedingungen schaffen

Der Aufbau eines Compliance-Systems im Unternehmen nimmt Zeit in Anspruch. Wichtig ist, sich eingangs damit auseinanderzusetzen, ob es – abhängig von der Größe und Struktur der Organisation – eventuell Sinn macht, eine eigene Compliance-Abteilung einzurichten, oder ob es eine andere Abteilung gibt, in der die Verantwortlichkeit eingebettet werden kann. „Für betroffene Unternehmen drängt die Zeit, denn sie müssen noch vor Weihnachten ein internes Hinweisgeber*innen-Meldesystem einrichten, das mittels Vertrauensregeln die Identität der hinweisgebenden Personen schützt“, erklärt Claudia Kerpe. Wer bereits ein Managementsystem wie die ISO 9001 oder ISO 14001 implementiert hat, kann mit der Ergänzung von Managementsystemen wie der ISO 37001 zur Korruptionsbekämpfung oder der ISO 37301 für Compliance Management ein wirksames Rechtsmanagementsystem im Unternehmen schaffen. „Damit wird die operative Umsetzung der HSchG-Anforderungen erleichtert und die Rechtssicherheit erhöht“, ist Kerpe überzeugt.

3) Painpoints identifizieren

Das Commitment und die Verpflichtung seitens der Geschäftsführung sind essenziell für den Erfolg der Implementierung von Anti-Korruptionsmaßnamen im Unternehmen. „Wichtig ist, dass zunächst eine Unternehmenskultur geschaffen wird, in der Korruption als No-Go gilt und die Mitarbeitende für dieses wichtige Thema sensibilisiert“, sagt die Expertin. Es sollte als selbstverständlich angesehen werden, dass über Missstände offen gesprochen werden kann, ohne dass die Person Konsequenzen wie Kündigung, Suspendierung oder andere persönliche Nachteile zu befürchten hat. Hier setzt das HSchG an, indem eine vertrauliche Kommunikationsplattform geschaffen wird, an die sich Personen wenden können, die im Rahmen ihrer beruflichen Tätigkeit Kenntnis von Gesetzesverstößen in gewissen Rechtsbereichen erhalten. „Zudem sollten klare Richtlinien vorgegeben werden und Compliance- bzw. Antikorruptionsbeauftragte mittels Schulungen das entsprechende Know-how erhalten. Last but not least bedarf es auch effektiver Kontrollmechanismen, damit das Einhalten der Vorgaben gewährleistet wird“, betont Kerpe.

4) Rechtssichere Meldekanäle schaffen

„Grundsätzlich verlangt das Gesetz, dass Hinweise entweder über mündliche Kanäle oder schriftlich ermöglicht werden sollen. Egal, auf welchem Weg die Meldung erfolgt, müssen Organisationen sicherstellen, dass die Vertraulichkeit und DSGVO-Konformität gegeben sind, eine entsprechende Dokumentation gemacht wird und Hinweise unparteilich und unvoreingenommen bearbeitet und beantwortet werden“, erklärt die Expertin. Eine Bestätigung über den Eingang des Hinweises muss innerhalb von sieben Tagen erfolgen. Neben internen Whistleblower-Hotlines existieren auch externe Meldestellen, an die sich Hinweisgebende direkt wenden können – dazu zählt beispielsweise das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BKA). Die Informationen über interne und externe Meldestellen sowie den Meldeprozess selbst müssen an die Mitarbeitenden kommuniziert werden. Zu beachten ist auch noch eine weitere Frist: Spätestens drei Monate nach der erfolgten Meldung müssen Hinweisgeber eine Rückmeldung über die erfolgten Nachforschungen bzw. Folgemaßnahmen erhalten. „Mit einem Compliance-Managementsystem werden nicht nur die nötigen Rahmenbedingungen innerhalb einer Organisation geschaffen, sondern die Einführung und Einhaltung der Korruptionsschutzmaßnahmen deutlich erleichtert“, so Kerpe abschließend.