Unkompliziert die neuen Pflichten rund um Whistleblower erfüllen

Das neue HinweisgeberInnenschutzgesetz: Wer ist betroffen und was wird verlangt?

Das am 25.02.2023 in Kraft getretene HinweisgeberInnenschutzgesetz (HSchG) setzt die EU-Whistleblowing-Richtlinie um und verpflichtet alle juristischen Personen des privaten und öffentlichen Sektors mit mindestens 50 Mitarbeiter:innen (sowie bestimmte Unternehmen im Finanzbereich größenunabhängig) zur Implementierung eines internen Meldekanals, über den bestimmte Rechtsverstöße gemeldet werden können sowie einer internen Stelle zur Bearbeitung der Hinweise. Hinweisgeber:innen und ihr Umfeld unterliegen dabei erstmals einem spezifischen Schutz vor Repressalien.

Durch Unternehmen mit mehr als 249 Mitarbeiter:innen musste eine Umsetzung bereits bis 25. August 2023 erfolgen, Unternehmen mit einer Mitarbeiter:innenzahl zwischen 50 und 249 hatten bis 17. Dezember 2023 Zeit.

Besondere Pflichten.

Aus den Bestimmungen des Gesetzes ergibt sich die Pflicht zum umfassende Identitätsschutz von Hinweisgeber:innen. Eine Abgabe von Hinweisen muss vertraulich ermöglicht werden, wobei mündliche oder schriftliche Meldewege zulässig sind. Vor dem Hintergrund der zahlreichen Pflichten ist die Einrichtung eines elektronischen Meldesystems in der Regel nicht nur als sicherer, sondern auch praktikabler anzusehen.

Mit der Einrichtung des Meldesystemes ist es allerdings nicht getan: Innerhalb des Unternehmens muss eine sogenannte „interne Stelle“ eingerichtet werden, die den Hinweisen explizit „unparteilich und unvoreingenommen“ nachzugehen hat und mit den dafür „notwendigen finanziellen und personellen Mitteln“ auszustatten ist, also auch entsprechend kompetent sein muss. Die interne Stelle muss Hinweisgeber:innen u.a. binnen 14 Tagen eine persönliche Besprechung ermöglichen, Dokumentations- und Aufbewahrungspflichten erfüllen, Datenschutzvorgaben einhalten, angemessene Folgemaßnahmen setzen und Hinweisgeber:innen zudem innerhalb vorgegebener Fristen informieren. Weiters ist von Beginn an zu evaluieren, ob der betreffende Hinweis überhaupt die vom Gesetz taxativ vorgesehenen, spezifisch eingeschränkten Bereiche berührt.

Zusammengefasst werden daher rechtliches, betriebswirtschaftliches und technisches Fachwissen benötigt – die Sorgepflichten zum Schutz der Identität der Hinweisgebenden umfassen etwa auch die auch die indirekte Ableitbarkeit der Identität. Um dies bei zur Verfügung gestellten digitalen Dokumenten korrekt zu erfüllen, muss das Team der internen Stelle wissen, welche Informationen aus solchen Datenbeständen ausgelesen werden können. Und die Verpflichtung zur relativ zügigen Information an Hinweisgebende über Folgemaßnahmen binnen drei Monaten erfordert geeignete Kenntnisse rund um interne Ermittlungen.

Wesentliches Element des HSchG ist es, die Hinweisgeber:innen vor Repressalien und Vergeltungsmaßnahmen zu schützen. Eine in der EU-Richtlinie vorgesehene Beweislastumkehr zulasten der Unternehmen wurde in Österreich zwar nicht direkt umgesetzt, jedoch müssen Hinweisgebende eine Vergeltungsmaßnahme lediglich glaubhaft machen und das Beweismaß wurde abgesenkt, was auch zu erhöhtem Dokumentationsbedarf rund um Hinweisgebende und ihr Umfeld führt.

Schutz für interne und externe Personen.

Nach den gesetzlichen Bestimmungen müssen Meldemöglichkeiten nur für Mitarbeiter:innen angeboten werden. Da jedoch auch externe Personen wie z.B. Mitarbeiter:innen von Lieferanten durch das Gesetz geschützt werden, ist die Einrichtung eines generell zugänglichen Meldekanals dringend anzuraten: Ist kein interner Kanal verfügbar, sind externe Personen gezwungen, Meldungen bei einer externen Stelle – also einer Behörde – vorzunehmen und lösen damit behördliche Ermittlungshandlungen aus.

Im Gesetz wird explizit vorgesehen, dass ein einfacher Zugang zu klaren Informationen über die Hinweisgabe und das Verfahren eingerichtet wird. Unternehmen müssen Hinweisgeber dazu anregen, die interne Meldestelle einer externen Meldung vorzuziehen, und auch Hinweisgeber:innen werden angehalten, zu prüfen, ob zunächst ein Hinweis an eine interne Stelle gegeben werden kann. Hieraus ergibt sich ein Stufenbau für Hinweisgaben, nach dem erst eine interne Stelle, dann eine externe Stelle und nur bei Aussichtslosigkeit eine tatsächliche Veröffentlichung des Sachverhaltes unter Aufrechterhaltung des gesetzlichen Schutzes möglich ist.

Mehrwert eines Hinweisgebersystems.

Neben der Erfüllung rechtlicher Anforderungen bietet ein gut implementiertes Hinweisgebersystem wesentliche Vorteile: Es stellt einen zentralen Bestandteil des Risiko- und Compliancemanagements dar und kann verhindern, dass etwaige Probleme in Ihrer Organisationsstruktur oder Ihrer Unternehmenskultur in den Medien landen oder Ihr Unternehmen langwierigen behördlichen Ermittlungen ausgesetzt wird. Ein wirksamer Meldekanal minimiert dadurch sowohl Reputations- als auch Haftungsrisiken. Weiters entsteht eine abschreckende Wirkung auf potenzielle Täter:innen und somit eine präventive Wirkung.

Mehreren Studien zufolge sind Hinweisgebersysteme die Hauptquelle für die Aufdeckung von Compliance-Verstößen. Ein vom Top-Management unterstützter Meldekanal trägt zu einer transparenten Unternehmenskultur bei, verhindert „böse Überraschungen“ und fördert somit den Unternehmenserfolg.

Mit wie vielen Hinweisgaben ist zu rechnen?

Schlüssel zu einer erfolgreichen Einführung ist die Anpassung des Meldesystems an die unternehmensspezifische Struktur und Risikosituation, die offene Kommunikation gegenüber der Belegschaft und die Begleitung durch kurze Schulungsmaßnahmen.

Durch eine derart abgewickelte Einführung werden Fehlverwendungen des Meldesystems deutlich reduziert. Im Falle gut eingeführter Systeme ist im Weiteren grundsätzlich mit nur wenigen Meldungen zu rechnen: Aus den Erfahrungen der Vergangenheit zeigt sich, dass die weitaus überwiegende Mehrheit der Unternehmen nur mit wenigen, sporadischen Fällen von Hinweisgaben zu rechnen hat.

Auslagerung von Hinweisgebersystem und interner Stelle.

Anhand der gering zu erwartenden Zahl an Meldungen zeigt sich, dass die Einrichtung eigener betriebsinterner Strukturen für zahlreiche Unternehmen keine ideale Situation darstellt. Vielfach bestehen weder die organisatorischen Umstände, noch kann das entsprechende Fachwissen vernünftig aufgebaut und vor allem auch aufrechterhalten werden.

Abhilfe kann die im Gesetz vorgesehene Auslagerungsmöglichkeit der notwendigen Leistungen schaffen: Gerne unterstützt Sie unser Team im Bereich Forensic Advisory unkompliziert und kostengünstig bei der Einrichtung und Einführung eines Hinweisgebersystems basierend auf der in Europa marktführenden Lösung „EQS Integrity Line“ (oder auf Grundlage einer von Ihnen bereits eingerichteten anderen technischen Lösung) und übernimmt im Weiteren auch die Aufgaben der internen Stelle.

So können Hinweise von rechtskundigen Spezialisten weisungsfrei eingeordnet, behandelt und bei Bedarf durch unabhängige forensische Ermittlungsmaßnahmen weiterverfolgt werden, dies vor allem auch ohne Risken interner Interessenskonflikte.

Monatliche Fixkosten für das technische System beginnen, abhängig von Funktionsumfang, Sprachen und Mitarbeiter:innenzahl bei EUR 99,– (zzgl. USt) und umfassen bereits die Ersteinordnung von einer Meldung pro Monat durch unsere Experten – was in der Regel den typischen Bedarf deckt. Setupkosten beginnen bei EUR 500,– (zzgl. USt) einmalig. 

^{Bitte beachten Sie, dass dieser Beitrag keine individuelle Rechtsberatung ersetzt und Sachverhalte ggfs. verkürzt oder auf Grundlage derzeitiger Einschätzungen dargestellt werden. Grant Thornton übernimmt keine Haftung für die Vollständigkeit oder Richtigkeit der dargestellten Informationen.}