Home / Publications / Die Whistleblower-Richtlinie der EU – was Sie wissen...

Die Whistleblower-Richtlinie der EU – was Sie wissen sollten

26/02/2020

Bis spätestens 17.12.2021 müssen die Mindeststandards der Whistleblower-Richtlinie (EU 2019/1937) auch in Österreich umgesetzt werden. Öffentliche Stellen und private Arbeitgeber sind – ab einer gewissen Größe – spätestens ab diesem Zeitpunkt verpflichtet, ein Whistleblowing-System zu haben. Gleichzeitig sieht die Richtlinie einen starken Schutz für Hinweisgeber und sogar deren Unterstützer vor. Ihre Umsetzung in die betriebliche Praxis führt zu Fragen in den Bereichen Datenschutzrecht, Arbeitsrecht und Compliance. Einige wurden bislang noch nicht beantwortet.

1. Die Mindeststandards für spezielle Bereiche

Die Mindeststandards der Richtlinie gelten nur für Hinweise über Rechtsverstöße in bestimmten Bereichen des Unionsrechts. Erfasst werden u.a. Verstöße im Zusammenhang mit dem öffentlichen Auftragswesen (Vergabeverfahren), Finanzdienstleistungen, der öffentlichen Gesundheit, dem Schutz der Privatsphäre und Datenschutz oder den Binnenmarktvorschriften (Arbeitnehmerfreizügigkeit).

Der in der Richtlinie festgelegte Schutz und die diesbezüglichen Pflichten von Unternehmen gelten daher nur für Rechtsverstöße in diesen speziellen Bereichen. Fehlverhalten in anderen Bereichen – wie etwa im Anti-Diskriminierungsrecht – werden von der Richtlinie nicht erfasst. Der österreichische Gesetzgeber könnte diese Rechte und Pflichten zwar auch auf andere Bereiche ausdehnen (sogenanntes Gold Plating), im aktuellen Regierungsprogramm ist davon aber keine Rede.

2. Das dreistufige Meldesystem

Gemäß der Richtlinie muss ein dreistufiges Meldesystem eingerichtet werden. Es soll umfassen:
1)    interne Meldekanäle;
2)    externe Meldekanäle und
3)    eine Offenlegung (im Rahmen derer Informationen öffentlich zugänglich gemacht werden).

Dieses dreistufige System legt auch die Hierarchie der Meldekanäle fest, die Whistleblower einhalten müssen. Als Grundregel gilt daher: Hinweisgeber müssen zunächst die internen Meldekanäle ausschöpfen.

Unter bestimmten Voraussetzungen darf sich der Hinweisgeber direkt an die dafür zuständigen Behörden wenden (externe Meldekanäle). So etwa, wenn nach einer internen Meldung keine „geeigneten Maßnahmen“ getroffen werden oder es gar kein internes Meldesystem gibt. Der österreichische Gesetzgeber muss noch festlegen, welche Behörden für solche Meldungen in Österreich zuständig sein werden (z.B. die Volksanwaltschaft, eine neue Ombudsstelle, die Datenschutzbehörde). 

Funktionieren (auch) diese Meldesysteme nicht oder hat der Hinweisgeber z.B. von vorneherein „hinreichenden Grund“, davon auszugehen, dass ein Verstoß das „öffentliche Interesse“ unmittelbar oder offenkundig gefährden kann, darf er Informationen über einen Verstoß sogar öffentlich zugänglich machen (z.B. an die Medien gehen). Die öffentliche Zugänglichmachung von Informationen soll zwar gemäß der Richtlinie nur im Ausnahmefall zulässig sein, dennoch beschreibt sie die Voraussetzungen dafür nur allgemein. Dadurch kann es in der Praxis zu komplizierten Auslegungsfragen kommen.

3. Die Pflicht zur Einrichtung von internen Meldesystemen

Die Einrichtung eines internen Meldekanals ist verpflichtend für:
•    private juristische Personen in speziellen Bereichen (z.B. in der Finanzbranche);
•    juristische Personen des öffentlichen Sektors (z.B. Gemeinden), einschließlich staatlich beherrschter Stellen bzw. Einrichtungen und
•    private juristische Personen mit mindestens 50 Arbeitnehmern (wobei jene mit 50 bis 249 Arbeitnehmern gemeinsame Meldekanäle einrichten dürfen).

Dem österreichischen Gesetzgeber stehen überdies zwei Gestaltungsmöglichkeiten offen: Er könnte einerseits kleinere Gemeinden (< 10.000 Einwohner) oder kleinere staatliche Einrichtungen (< 50 Arbeitnehmer) von dieser Pflicht ausnehmen. Andererseits könnte er diese Pflicht aber auch auf kleinere Privatunternehmen (< 50 Arbeitnehmer) ausdehnen. 

Ob der österreichische Gesetzgeber dieses Gestaltungsrecht nutzen wird, ist zwar unwahrscheinlich, bleibt jedoch abzuwarten. Die Umsetzungsfrist endet für größere Einheiten (ab 250 Arbeitnehmern) am 17.12.2021. Für kleinere Einheiten (bis 249 Arbeitnehmer) läuft die Frist bis zum 17.12.2023.

4. Die Ausgestaltung eines internen Meldekanals 

Die internen Meldekanäle müssen den Mindeststandards der Richtlinie entsprechen. Diese umfassen: 

•    Das interne Meldesystem muss den Arbeitnehmern der öffentlichen oder privaten Einrichtung zur Verfügung stehen (das Unternehmen kann es aber auch freiwillig Dritten, wie z.B. Geschäftspartnern oder Kunden zur Verfügung stellen).
•    Das Unternehmen kann die Form der Hinweisweitergabe frei wählen: Schriftliche (z.B. über eine Online-Plattform) und/oder mündliche Hinweise sind möglich (z.B. über eine Whistleblowing-Hotline und bei Bedarf auch im Rahmen eines persönlichen Treffens).
•    Es muss eine unparteiische Person oder Abteilung bestimmt werden. Diese ist zuständig für die Untersuchung, Folgemaßnahmen und den Kontakt zum Hinweisgeber.
•    Der Meldekanal muss sicher sein. Die Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, muss vertraulich behandelt werden. Unbefugte Mitarbeiter dürfen keinen Zugriff haben.
•    Eine Rückmeldung an den Whistleblower über Untersuchungen und Folgemaßnahmen hat spätestens innerhalb von drei Monaten zu erfolgen.
•    Das interne Meldesystem muss klar und leicht zugänglich darüber informieren, dass eine externe Meldung bei der zuständigen Behörde möglich ist, sowie über das dabei einzuhaltende Verfahren . 

Zusätzlich kann der österreichische Gesetzgeber die Unternehmen dazu verpflichten, auch anonyme Meldungen entgegenzunehmen. In diesem Fall gilt der in der Richtlinie vorgesehene Schutz auch für diese anonymen Hinweisgeber, sollten diese identifiziert werden.

Bei der tatsächlichen Umsetzung in der betrieblichen Praxis stellen sich sowohl datenschutzrechtliche als auch arbeitsrechtliche Fragen.

So enthalten Hinweise von Whistleblowern in der Regel auch personenbezogene Daten (z.B. eines Arbeitnehmers, der einen Rechtsverstoß begangen haben soll). Bei der Datenverarbeitung sind somit die Vorgaben der DSGVO und des DSG einzuhalten. Personenbezogene Daten, die für die Bearbeitung einer spezifischen Meldung „offensichtlich nicht relevant“ sind, werden gemäß der Richtlinie nicht erhoben (und dürfen daher auch nicht erhoben werden). Falls sie unabsichtlich erhoben wurden, müssen sie unverzüglich wieder gelöscht werden. Bei Einhaltung der Richtlinie soll die mit einem Whistleblowing-System verbundene Datenverarbeitung jedoch ausdrücklich zulässig sein (Art 17 der Richtlinie). Für Unternehmen folgt daraus: Bei der Planung und Einrichtung eines Meldesystems sind immer auch datenschutzrechtliche Aspekte zu berücksichtigen. So muss insbesondere die Erhebung von (offensichtlich) nicht relevanten Daten verhindert und die Löschung von nicht relevanten Daten unverzüglich durchgeführt werden.

Aus arbeitsrechtlicher Sicht sind etwa die Mitwirkungsrechte des Betriebsrates zu beachten. Bleibt die Rechtslage bis zum Ablauf der Umsetzungsfrist unverändert, muss die betriebliche Praxis – zumindest dort, wo das Arbeitsverfassungsgesetz gilt – auf die bestehenden Betriebsvereinbarungstatbestände (§§ 96 ff ArbVG) zurückgreifen. Abhängig von der tatsächlichen Ausgestaltung des Systems wäre dann in den allermeisten Fällen der Abschluss einer Betriebsvereinbarung notwendig, um ein den Anforderungen der Richtlinie entsprechendes internes Meldesystem einzuführen. Der österreichische Gesetzgeber könnte aber auch einen neuen Betriebsvereinbarungstatbestand oder eine völlig neue Rechtsgrundlage für die Einrichtung solcher internen Meldesysteme schaffen. Auch hier ist die Entscheidung des Gesetzgebers abzuwarten.

5. Drohende Sanktionen  

Die schlimmste Sanktion droht Unternehmen, die kein geeignetes Meldesystem errichtet haben. In diesem Fall kann sich der Hinweisgeber nämlich direkt an externe Meldekanäle oder sogar die Öffentlichkeit wenden. Dadurch kann ein nicht unerheblicher (Image-)Schaden entstehen.

Darüber hinaus ist der österreichische Gesetzgeber dazu verpflichtet, wirksame, angemessen und abschreckende Sanktionen für alle natürlichen und juristischen Personen festzulegen, die: Meldungen behindern (oder es versuchen), Repressalien gegen eine nach der Richtlinie geschützte Person ergreifen, mutwillige Gerichtsverfahren gegen diese Person führen oder die Vertraulichkeit der Identität dieser Person verletzen. Die Ausgestaltung dieser Sanktionen steht dem österreichischen Gesetzgeber frei. So könnte er etwa Verwaltungsstrafen vorsehen. Das ist in Kroatien bereits der Fall (nach kroatischem Recht drohen Geldstrafen bis zu rund EUR 7.000,00). 

6. Umfassender Schutz für Whistleblower

Die Richtlinie schützt Hinweisgeber, die Informationen über Verstöße gegen EU-Recht melden, die sie im beruflichen Kontext erlangt haben. Ein Whistleblower ist daher z.B. ein (ehemaliger) Arbeitnehmer, Aufsichtsratsmitglied, selbständiger Vertragspartner oder Geschäftspartner, Praktikant oder Bewerber. Der Schutz gilt darüber hinaus auch für Mittler (= eine Person, die den Whistleblower bei einem Meldeverfahren in einem beruflichen Kontext unterstützt und deren Unterstützung vertraulich ist, z.B. Betriebsratsmitglieder), Dritte, die mit dem Hinweisgeber verbunden sind und in einem beruflichen Kontext Sanktionen erleiden könnten (z.B. Arbeitskollegen). Investigative Journalisten, die ihre Informationen von Whistleblowern erhalten, sind daher in der Regel nicht vom Schutz der Richtlinie erfasst.
Es ist eine grundlegende Voraussetzung für den Schutz, dass der Hinweisgeber redlich ist (d. h. aus gutem Grund von der Wahrheit seiner Information ausgehen darf). Für unredliche Hinweisgeber hat der österreichische Gesetzgeber wiederum abschreckende Sanktionen vorzusehen.

Die Richtlinie verpflichtet die Mitgliedstaaten, einen umfassenden Schutz für redliche Hinweisgeber zu implementieren. Dazu zählt unter anderem:

•    ein starker Schutz der Identität des Hinweisgebers;
•    das Verbot von Repressalien (u.a. von Suspendierung, Kündigung oder Entlassung, Versetzung, Diskriminierung oder Nichtumwandlung eines befristeten Arbeitsverhältnisses in ein unbefristetes);
•    eine umfassende Information und Beratung von Hinweisgebern;
•    die Prozesskostenhilfe in Strafverfahren und in grenzüberschreitenden Zivilverfahren sowie der Zugang zu Verfahrenshilfe;
•    die Tatsache, dass die Informationsweitergabe keine Verletzung einer (vertraglichen) Geheimhaltungsverpflichtung ist; auch eine Haftung gegenüber dem (ehemaligen) Arbeitgeber für daraus resultierende Schäden ist ausgeschlossen;
•    die Beweislastumkehr (wenn ein Arbeitnehmer glaubhaft macht, dass eine Versetzung oder Kündigung wegen der Meldung erfolgte, hat der Arbeitgeber zu beweisen, dass diese aus anderen „hinreichend gerechtfertigten“ Gründen erfolgte);

Der starke Schutz für Whistleblower wird sich somit massiv auf die Ausgestaltung von Arbeitsverhältnissen auswirken und ist – ähnlich wie der Anti-Diskriminierungsschutz – bei jeder arbeitsrechtlichen Maßnahme zu berücksichtigen. Für Arbeitgeber, Führungskräfte und Personalisten ist es daher empfehlenswert, sich bereits vor Ablauf der Umsetzungsfrist über das konkrete Ausmaß des Schutzes zu informieren.

Die Whistleblower-Richtlinie bringt einen starken – arbeitsrechtlichen – Schutz für Hinweisgeber und einige offene Umsetzungsfragen für Unternehmen. Da diese Themen zunächst vom österreichischen Gesetzgeber zu klären sind, ist vor einer vorauseilenden Umsetzung in Unternehmen vorerst noch abzuraten. Eine frühzeitige Planung und Schulung betroffener Führungskräfte und Mitarbeiter ist dennoch empfehlenswert. Dadurch kann das Meldesystem zu gegebener Zeit schnell und rechtssicher im betrieblichen Alltag umgesetzt werden.

Authors

Picture of Jens Winter
Jens Winter
Partner
Vienna
Miriam-Mitschka-CMS-AT
Miriam Mitschka
Associate
Vienna