Whistleblower: Warum Unternehmen nicht auf das Gesetz warten sollten
Gastbeitrag. Hinweisgebern muss ermöglicht werden, Missstände aufzudecken. Schon jetzt Vertrauen in interne Systeme zu schaffen, ist vorteilhaft.
Wien. Die wachsende Bedeutung von Hinweisgebern bzw. Whistleblowern für das Aufdecken von Missständen ist unbestritten, die möglichen negativen Folgen für Hinweisgeber für das vermeintliche Vernadern ebenso. Die EU hat deshalb eine Richtlinie zum Schutz von Whistleblowern erlassen. Österreich muss die Vorgaben bis 17. Dezember umsetzen. Ein Gesetzesentwurf zur Umsetzung der Richtlinie wurde bisher noch nicht präsentiert. Eine rechtzeitige Umsetzung ist daher praktisch ausgeschlossen. Können sich Unternehmen zurücklehnen? Mitnichten.
Die US Securities and Exchange Commission hat berichtet, dass heuer bereits mehr als 12.200 Hinweise eingelangt sind und Hinweisgebern 564 Mio US-Dollar Belohnung ausbezahlt wurden. Von diesen Zuständen und einer entsprechenden positiven Einstellung gegenüber Hinweisgebern sind wir noch weit entfernt. Die EU-Hinweisgeberrichtlinie soll in einem ersten Schritt einheitliche Schutzstandards in der EU schaffen. In knapp einem Monat müssen Unternehmen mit mehr als 250 Mitarbeitern (kleinere erst später), Gemeinden ab 10.000 Einwohnern und Behörden einen internen Meldekanal für Hinweisgeber einrichten. Gesetzgeber müssen Hinweisgeber umfassend vor Repressalien schützen. So weit die Theorie. Die Umsetzung lässt auf sich warten.
Die Säumigkeit des Gesetzgebers erinnert an die Umsetzung der EU-Richtlinie gegen unlautere Geschäftspraktiken. Die Richtlinie aus 2019 wäre bis 1. Mai 2021 umzusetzen gewesen, sodass die entsprechenden Maßnahmen ab spätestens 1. November gelten. Ende Juli eröffnete die EU-Kommission ein Vertragsverletzungsverfahren gegen Österreich (und elf weitere säumige Mitgliedstaaten). Der Gesetzesentwurf wurde schließlich am 30. September mit dreiwöchiger (!) Frist in Begutachtung geschickt. Vorige Woche hat der Ministerrat die Regierungsvorlage beschlossen, das Gesetz soll ab Jänner 2022 gelten. Das bedeutet lediglich drei Monate konkrete Vorbereitungszeit für Unternehmen.
Wenig Zeit zur Vorbereitung
Unternehmen müssen sich darauf einstellen, dass die Umsetzung der Hinweisgeberrichtlinie ähnlich durchgepeitscht wird. Das lässt wenig Zeit für Vorbereitungsschritte, insbesondere bei jenen Unternehmen, die noch keine ausgeprägte Compliance-Kultur haben. Für solche Unternehmen ist ein Hinweisgebersystem ein wesentlicher organisatorischer Einschnitt und bedarf einiger Umsetzung. Unabhängig vom möglichen sachlichen Anwendungsbereich des österreichischen Umsetzungsgesetzes (dem Vernehmen nach wird z. B. in Ergänzung der Richtlinie auch ein Hinweisgeberschutz zu Korruption diskutiert) müssen Unternehmen entsprechende organisatorische Maßnahmen setzen. Losgelöst von der technischen Lösung des Hinweisgeberkanals (ob E-Mail-System, externer Ombudsmann, Whistleblowing-Plattform oder Ähnliches) muss jedes Unternehmen Personen bestimmen, welche Hinweise entgegennehmen sollen, Arbeitsabläufe zum Bearbeiten von Hinweisen festlegen und vorsehen, wer über Maßnahmen zu entscheiden hat, sollte sich der Verdacht eines Verstoßes bestätigen. Daneben sind sowohl auf betrieblicher als auch auf arbeitsvertraglicher Ebene Maßnahmen zu setzen, die ein Einbetten des Hinweisgeberkanals in das Unternehmen und gleichzeitig die Einhaltung datenschutzrechtlicher Vorgaben ermöglichen.
Insbesondere müssen sich Unternehmen schnellstmöglich Gedanken dazu machen, wie sie die beiden wesentlichen Vorgaben intern sicherstellen wollen: den Schutz der Vertraulichkeit der Identität des Hinweisgebers einerseits und den Schutz vor arbeitsrechtlichen Konsequenzen (wie Kündigung oder Gehaltskürzung) für den Hinweisgeber andererseits.
All das braucht Zeit. Die Gefahr für Unternehmen besteht dabei nicht primär darin, dass ein nicht rechtzeitiges Handeln zu Geldbußen führt (es wird allgemein erwartet, dass es keine bußgeldbewehrte Pflicht zum Einführen eines Kanals gibt, sondern nur Sanktionen für ein Verletzen der Schutzvorschriften). Viel eher besteht das Risiko, dass Mitarbeiter, die unsicher sind, ob ihr Unternehmen ein taugliches System hat, sich lieber anonym an öffentliche Stellen wenden. Dadurch berauben sich Unternehmen, die kein Vertrauen in ihre Systeme schaffen, oder ein solches schlicht noch nicht haben, der wichtigen Chance, Missstände intern aufzuklären, und setzen sich der Gefahr externer Berichte und Untersuchungen aus.
Beschränkte Direktwirkung
Unternehmen mögen die Säumigkeit trotzdem als Schonfrist sehen. Aber ist es wirklich eine solche? Vielerorts wird auf die direkte Anwendbarkeit von Richtlinien hingewiesen. Auch wenn es stimmt, dass ein zelne Vorschriften ausnahmsweise auch eine sog. Direktwirkung entfalten und damit unmittelbar Anwendung finden können, bleibt zu beachten, dass Private laut EuGH nicht unmittelbar aus Richtlinien verpflichtet werden dürfen. Eine unmittelbare Verpflichtung aus der Richtlinie für private Unternehmen, ab 17. Dezember Meldekanäle vorzuschreiben und Hinweisgeber zu schützen, scheidet damit aus.
Allerdings müssen Gesellschaften im öffentlichen Eigentum beachten, dass sie an direkt wirksame Bestimmungen gebunden sein könnten. In der Rechtsprechung wurde nämlich wiederholt befunden, dass ausgelagertes Handeln der öffentlichen Hand in den Adressatenkreis der Richtlinie einbezogen werden kann. Das sollten die entsprechenden Unternehmen auch in Bezug auf die Hinweisgeberrichtlinie berücksichtigen.
Wichtig scheint auch, dass wesentliche Behörden und öffentliche Einrichtungen in Österreich schon jetzt funktionierende Hinweisgebersysteme betreiben, etwa die Finanzmarktaufsicht, die Wirtschafts- und Korruptionsstaatsanwaltschaft oder die Bundeswettbewerbsbehörde. Die Stadt Wien verfügt seit 2021 ebenfalls über eine eigene Whistleblower-Plattform. Auch das setzt private Unternehmen unter Zugzwang, rasch tätig zu werden und nicht auf den Gesetzgeber zu warten.