Hinweisgeberschutz in der Zielgeraden
Das neue HinweisgeberInnenschutzgesetz könnte im Februar in Kraft treten. Spätestens in den Monaten danach müssen Unternehmen Meldekanäle einrichten. Was kommt da auf sie zu?
wien. Spät, aber doch ist es nun so weit: Die Umsetzung der EUWhistleblower-Richtlinie kommt in die Zielgerade. Der Gesetzesentwurf für das HinweisgeberInnenschutzgesetz (HSchG) wurde am 25. Jänner im Arbeits- und Sozialausschuss behandelt, eine Beschlussfassung im Februar wird damit realistisch.
Größere Unternehmen ab 250 Beschäftigten haben dann noch sechs Monate ab Inkrafttreten Zeit, um einen internen Meldekanal für Hinweise einzurichten. Für sie dürfte es demnach im August so weit sein. Der Stichtag für Firmen mit 50 bis 249 Mitarbeiterinnen und Mitarbeitern folgt dann laut EU-Vorgabe am 17. Dezember.
Und sogar auf Unternehmen mit weniger als 50 Beschäftigten könnte das Thema bald durch die Hintertür zukommen – im Umweg über Lieferkettengesetze, die in einzelnen EU-Ländern bereits in Kraft sind und für die es in absehbarer Zeit wohl auch einheitliche EU-Vorgaben geben wird. Österreich hat zwar noch kein solches Regulativ, seit Jahresbeginn gilt aber in Deutschland ein Lieferkettengesetz. „Dieses verlangt auch, dass Meldesysteme implementiert werden“, sagt Martin Eckel, Partner bei Taylor Wessing in Wien, zur „Presse“. Das kann dann auch österreichische Zulieferer betreffen.
Droht Flut von Hinweisen?
Aber welche Erfahrungen gibt es damit bei Unternehmen, die solche Systeme bereits implementiert haben? Vor allem: Ist nun zu erwarten, dass die Meldestellen in einer Flut von Hinweisen untergehen? „Etwas mehr könnten es am Anfang schon sein“, meint Eckel. Leicht möglich, dass einige Hinweisgeber warten, bis sie durch das neue Gesetz besser geschützt sind. Es hängt aber wohl auch stark davon ab, wie bisher mit dem Thema umgegangen wurde. „Wir haben seit 2013 ein Compliance Management System, seither gibt es auch eine eigene Mailadresse für Hinweise“, sagt Elisabeth Kolar, Compliance Officer in der Vivatis Holding in Linz, zur „Presse“. Eine Plattform, die anonyme Hinweise ermöglicht, gebe es seit Anfang des Vorjahres. „Wir haben damit gerechnet, dass die Meldungen dann mehr werden. Aber der Ansturm ist ausgeblieben“, sagt Kolar. Nachsatz: Wichtig seien vor allem die begleitende Information und Kommunikation. „Dass es für das Unternehmen wichtig ist, über allfällige Missstände informiert zu werden. Und dass Hinweise kein Verrat sind, sondern Zivilcourage.“
In dieselbe Richtung deuten die Ergebnisse des von der Fachhochschule Graubünden gemeinsam mit dem Compliance-Technologieanbieter EQS Group publizierten, länderübergreifenden Whistleblowing-Reports. An der Online-Umfrage für den Report 2021 nahmen 1239 Unternehmen aus Deutschland, Frankreich, Großbritannien und der Schweiz teil. Mehr als 60 Prozent der Befragten hatten damals bereits eine Meldestelle, und die große Mehrheit davon sei von deren Nutzen und Effektivität überzeugt, heißt es in dem Bericht. Viele Unternehmen nehmen es demnach auch als Chance wahr, sich durch die eingehenden Meldungen zu verbessern.
Wobei die Zahl der Hinweise auch hier überschaubar blieb: Im Schnitt verzeichneten die Unternehmen 34 Meldungen im Jahr, von denen – wenn auch mit länderspezifischen Abweichungen – gut die Hälfte tatsächlich ein compliance-relevantes Thema betraf und sich als gehaltvoll erwies. Die übrigen waren großteils ebenfalls nicht missbräuchlich – sondern bloß bei der Meldestelle an der falschen Adresse, weil es zum Beispiel um technische Probleme oder um das Führungsverhalten ging. Die Zahl tatsächlich missbräuchlicher Meldungen blieb demnach im Schnitt im einstelligen Prozentbereich. Und sie erhöht sich laut dem Report auch nicht, wenn Hinweise anonym gegeben werden können.
Anonymität ist wichtig
Aus Sicht von Eckel ist Anonymität besonders wichtig – das nicht zu ermöglichen, sei aus Unternehmenssicht geradezu eine „Todsünde“, sagt er. Und ganz generell steige der Druck auf die Unternehmen, webbasierte Systeme anzubieten, „die gleich attraktiv sind wie externe Meldekanäle“. Denn davon hängt es ab, ob Hinweise im Unternehmen bleiben – oder eben doch bei externen Meldestellen landen, was laut den neuen Regeln ja ebenfalls legitim ist.
Eckel warnt auch vor „handgestrickten Lösungen“– zumal Geldbußen drohen, wenn dabei etwas falsch gemacht wird. Wichtig seien ganz generell die Sicherheit und Barrierefreiheit des Systems – etwa, dass jene, die keinen Computerzugriff haben, via Handy melden können, ergänzt Mirco Schmidt, Country Manager Austria beim Softwareanbieter EQS. Und bei Konzernlösungen – die, wie Eckel meint, nach österreichischem Recht wohl offenbar doch möglich sein werden –, sei es auch von Vorteil, wenn das System eine Übersetzung aus anderen Sprachen liefert. „Denn sobald man ein Übersetzungsbüro einschalten muss, entsteht schon ein Vertraulichkeitsproblem.“Zudem sollte es möglich sein, ein Postfach für Rückfragen einzurichten. „Einsteigen kann man dann über ein Passwort und auf diese Weise anonym bleiben“, erklärt Schmidt. Eckel rät zudem, den Meldekanal auch für Themen zu öffnen, die vom doch recht engen Geltungsbereich des österreichischen Gesetzes nicht umfasst sind. In der deutschen Regelung habe man beispielsweise das gesamte Strafrecht miterfasst, in Österreich ist das nicht der Fall. Eine unternehmensinterne Erweiterung könne jedoch im Rahmen der Betriebsvereinbarung, die für eine webbasierte Lösung ohnehin nötig sei, gleich mit vereinbart werden, sagt Eckel.
Der recht eingeschränkte Geltungsbereich war einer der Kritikpunkte im Begutachtungsverfahren – dabei ist es freilich ebenso geblieben wie bei der Straflosigkeit für jene Unternehmen, die keinen internen Meldekanal einrichten. Einige weitere Streitpunkte wurden jedoch inzwischen ausgeräumt: „Komplett gefallen ist der § 13 im ersten Entwurf, wonach die Unternehmensleitung nicht hätte informiert werden dürfen“, sagt Dietmar Mühlböck, externer Datenschutzbeauftragter und Anbieter eines Hinweisgebersystems, zur „Presse“. „Und die Aufbewahrungsfrist wurde von 30 auf fünf Jahre reduziert.“Zudem seien jetzt auch ehemalige Mitarbeiter eines Subunternehmers in den Schutz inkludiert. „Und der Datenschutz erstreckt sich auch auf Personen, die den Hinweisgeber unterstützen“, so Mühlböck. Die Haftung bei Repressalien gegen Hinweisgeber wurde zudem auf juristische Personen ausgeweitet.