Whistleblower-Richtlinie („Hinweisgeber­system“) für private Unternehmen und öffentliche Stellen

Die qualityaustria Experten Eckehard Bauer, MSc, Prokurist Business Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport und Mag.iur. Martin Fridl, Netzwerkpartner, Produktexperte Managementsysteme für Compliance und Korruptionsbekämpfung haben alle wichtigen Informationen kompakt für Sie zusammengefasst!

Zeitlicher Ablauf:

• Grundsätzliche Umsetzung der EU-Richtlinie in nationales Recht bis zum 17. Dezember 2021 (derzeit offen).
• Die österreichische Gesetzgebung muss noch festlegen, welche Behörde(n) für solche Meldungen in Österreich zuständig sein werden.
• Staffelung des Inkrafttreten nach Unternehmensgröße:
  • > 249 Beschäftigte: 17. Dezember 2021 Verpflichtende Einhaltung mit internen Kanälen zum Whistleblowing
  • 50-249 Beschäftigte: Verpflichtende Einhaltung für Organisationen ab 17. Dezember 2023

Anwendungsbereich:

In den Anwendungsbereich fällt jede Meldung eines Verstoßes oder eines potenziellen Verstoßes gegen EU-Recht. Das bedeutet:

• Die Vorschriften der Richtlinie gelten nur für Hinweise über Rechtsverstöße in bestimmten Bereichen des Unionsrechts. Erfasst werden z. B.
  • Verstöße im Zusammenhang mit dem öffentlichen Auftragswesen (Vergabeverfahren), Finanzdienstleistungen, der öffentlichen Gesundheit,
  • dem Schutz der Privatsphäre und Datenschutz oder den Binnenmarktvorschriften („Arbeitnehmerfreizügigkeit“),
  • Fehlverhalten in anderen Bereichen/zu anderen Themen – wie etwa im Anti-Diskriminierungsrecht (das wird aber der größte Anteil sein!) – werden von der Richtlinie nicht erfasst. Die österreichische Legislative könnte diese Rechte und Pflichten zwar auch auf andere Bereiche ausdehnen, im Regierungsprogramm ist davon aber noch nichts enthalten.

Ablauf – dreistufiges Meldesystem:

1. interne Meldekanäle,
2. externe Meldekanäle und
3. eine Offenlegung (im Rahmen derer Informationen öffentlich zugänglich gemacht werden).

Grundregel ist, dass zunächst die internen Meldekanäle ausgeschöpft werden müssen, bevor Informationen weiter gemeldet werden. Unter bestimmten Voraussetzungen darf man sich direkt an die dafür zuständigen Behörden wenden (sogenannte externe Meldekanäle). So etwa, wenn nach einer internen Meldung keine „geeigneten Maßnahmen“ getroffen werden oder es kein internes Meldesystem gibt. Funktionieren (auch) diese Meldesysteme nicht oder haben die Whistleblower*innen z. B. von vorneherein „hinreichenden Grund“, davon auszugehen, dass ein Verstoß das „öffentliche Interesse“ unmittelbar oder offenkundig gefährden könnte, dürfen sie Informationen über einen Verstoß direkt öffentlich zugänglich machen (z. B. an die Medien gehen). Die öffentliche Zugänglichmachung von Informationen soll zwar gemäß der Richtlinie nur im Ausnahmefall zulässig sein, dennoch beschreibt sie die Voraussetzungen dafür sehr allgemein (ev. zu komplizierte Auslegungsfragen in der Praxis).

Was ist jedenfalls rechtlich wichtig für das System und den Umgang mit Informationen, die von Whistleblower*innen kommen?

• Sicher konzipiert, eingerichtet und betrieben (Art. 9.1.a)
• Bestätigung des Eingangs der Meldung innerhalb von sieben Tagen (Art. 9.1.b)
• Benennung einer Person oder Abteilung (Art. 9.1.c). Achtung: Unabhängigkeit!
• Ordnungsgemäße Folgemaßnahmen in Bezug auf anonyme und nicht anonyme Meldungen (Art. 9.1.d-e)
• Zeitnahe Rückmeldung, innerhalb von drei Monaten (Art. 9.1.f)
• Gewährleistung der Vertraulichkeit (Art. 16)
• Konformität mit der DSGVO (Art. 17)
• Dokumentation der Meldungen (Art. 18)

Normative Unterstützung bieten folgende Managementsystemstandards ISO 37001 (Managementsysteme) und die ONR 192050 „Compliance Management Systeme (CMS) - Anforderungen und Anleitung zur Anwendung“ und in Teilen die ISO 37301 (Compliance Management Systeme).