Wichtige Neuerungen bei der EU-Whistleblower-Richtlinie

Die Genehmigung der EU-Whistleblower-Richtlinie ist im Kommen. Die Richtlinie muss innerhalb der nächsten zwei Jahre – somit bis 2021 – im österreichischen Recht umgesetzt werden. Ein guter Zeitpunkt also, um sich anzusehen, welche Neuerungen auf uns zukommen.

Für wen werden die neuen Regeln gelten?

Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Jahresumsatz werden grundsätzlich ein Hinweisgebersystem installieren müssen. Österreich steht es freilich bei der Umsetzung der Richtlinie in nationales Recht frei, strengere Kriterien aufzustellen.

Was muss das Hinweisgebersystem können?

Der Schutz des Hinweisgebers ist oberstes Gebot der Richtlinie. Aus diesem Grund muss ein Hinweisgebersystem folgende Elemente enthalten:

1. Wahrung der Vertraulichkeit:
Meldewege müssen so eingerichtet werden, dass vertrauliche Meldungen von Hinweisgebern möglich sind.

2. Bestätigung:
Hinweisgeber müssen innerhalb von sieben Tagen eine Bestätigung über den Eingang ihrer Meldung erhalten.

3. Empfänger:
Unternehmen müssen entscheiden, ob jemand im Unternehmen die Rolle als Empfänger übernimmt (z.B. Compliance Officer) oder ob diese Aufgabe an einen externen unparteiischen Ombudsmann ausgelagert wird (z.B. Rechtsanwalt).

 4. Datenverarbeitung und Aufbewahrung:
Die Datenverarbeitung im System muss gemäß DSGVO erfolgen und alle eingegangenen Meldungen sind – auch zur Beweissicherung – datenschutzkonform und aufzubewahren.

 5. Information über Verständigung externer Behörden:
Mitarbeiter sollten auch informiert werden, welche externe Behörde sie im Anlassfall kontaktieren können.

Wie sind die Hinweisgeber geschützt?

Vergeltungsmaßnahmen gegen Hinweisgeber und die Behinderung von Meldungen sind mit Strafe bedroht. Ebenso geahndet werden soll eine Verletzung der Vertraulichkeitspflichten (Identität des Hinweisgebers). Die Höhe der Strafen und ihre Einordnung in das nationale Verwaltungsrecht wird Gegenstand der Transformierung ins österreichische Recht sein.

Fazit: Was sollten Sie jetzt schon tun?

• Unterziehen Sie Ihr derzeitiges Hinweisgebersystem einer Analyse, insbesondere hinsichtlich der neuen strengen Vertraulichkeitskriterien der EU-Whistleblower-Richtlinie.
• Wenn Sie kein Hinweisgebersystem haben, prüfen Sie, ob Sie eines brauchen werden und entscheiden Sie, ob es Sinn macht ein internes oder externes System zu etablieren.
• Prüfen Sie, ob Ihr Compliance System bereits die Möglichkeit enthält, anonym Missstände aufzudecken und wenn ja, wie diese Bestimmungen in ein neues Hinweisgebersystem einzufassen sind.
• Prüfen Sie, ob bereits jetzt die erforderlichen arbeitsrechtlichen und datenschutzrechtlichen Maßnahmen sowie internen Regeln vorliegen, um Hinweisgeber zu schützen.