Mit dem Vorschlag für eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (2018/0106 [COD]), beabsichtigt die EU Kommission Whistleblower künftig besser zu schützen. Der Entwurf wurde am 16.04.2019 im EU Parlament angenommen. Die Annahme durch den Rat steht noch aus.
Nach Dieselgate, Panama Papers und Cambridge Analytica sollen Hinweisgeber in der EU künftig vor Repressalien des betroffenen Unternehmens geschützt werden. Konkret geht es um Meldungen von Verletzungen des Unionsrechts, dies u.a. in den Bereichen Finanzdienstleistungen, Geldwäscheprävention, Umwelt-, Konsumenten- und Datenschutz sowie Netz- und Informationssicherheit. Offen ist, ob die Aufzählung in Art 2 des Richtlinienentwurfs abschließend ist. Mitgliedstaaten können den Schutz von Hinweisgebern auch auf andere Rechtsbereiche ausdehnen.
Geschützt sind Hinweisgeber, die im privaten oder öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben, sofern der Hinweisgeber hinreichenden Grund zur Annahme hatte, dass die Informationen im Zeitpunkt der Meldung wahr sind und die Meldung gemäß den Bestimmungen der Richtlinie erfolgte (interne Meldung vor externer Meldung vor öffentliche Bekanntmachung). Soweit Geschäftsgeheimnisse bei einer zulässigen Meldung offengelegt werden, liegt darin kein Verstoß gegen den Schutz von Know-how. Hinweisgeber haften für falsche Meldungen nur dann, wenn wissentlich Falschangaben gemacht werden.
Privatrechtliche juristische Personen haben ab 50 Arbeitnehmer ein Hinweisgebersystem (Whistleblower-Hotline) einzurichten und zu jeder Meldung Folgemaßnahmen zu setzen, wobei folgende die Richtlinie einige Mindestvoraussetzungen vorsieht. Danach sind sichere und möglichst anonyme Meldekanäle und -systeme einzurichten, welche die Vertraulichkeit der Identität des Hinweisgebers und der in der Meldung genannten Personen gewährleisten. Meldungen sind ernst zu nehmen, deren Eingang dem Hinweisgeber zu bestätigen, und angemessene Aufklärungsmaßnahmen zu setzen. Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems hat nach Maßgabe der Bestimmungen der DSGVO zu erfolgen, wobei die Richtlinie die Grundprinzipien der DSGVO und die Grundsätze von „Privacy by Design“ und „Privacy by Default“ besonders hervorhebt.
Der Betrieb der Meldekanäle sowie die Durchführung der Folgemaßnahmen kann sowohl durch unternehmenseigene Mitarbeiter bzw. Abteilungen (zB Interne Revision, [unabhängige] Compliance-Funktion), als auch durch externe Dienstleister (zB Rechtsanwälte, Forensik-Experten) erfolgen. Gleich wie man sich entscheidet: die Mindestanforderungen sind stets einzuhalten, insbesondere die Unabhängigkeit und Unparteilichkeit der für die Behandlung von Meldungen und Durchführung der Folgemaßnahmen bestimmten Mitarbeiter bzw. Stelle. Bei der Entscheidung über den Einsatz interner oder externer Ressourcen sollten jedenfalls nachstehende Punkte berücksichtigt werden:
- Ist angemessen geschultes Personal verfügbar? (zB Ermittlungs- und Vernehmungstechnik, Datenforensik etc.)
- Kann die Vertraulichkeit auch bei Einsatz interner Ressourcen gewährleistet werden?
- Wie kann die Unparteilichkeit der in den Aufklärungsprozess involvierten Personen sichergestellt werden?
- Sind technische Ressourcen zur Sicherstellung der Vertraulichkeit und ggf. Anonymität des Hinweisgebers vorhanden?
- Wie und in welchem Ausmaß binde ich externe Ressourcen in den Prozess mit ein? (Co-Sourcing vs. Out-Sourcing)
In der Praxis ist die Beiziehung externer Ressourcen sinnvoll, um einen neutralen Blick auf den Sachverhalt und objektive Ermittlungen zu gewährleisten. Zugleich kann dadurch eine unabhängige Wächterfunktion etabliert werden, die den Schutz der Hinweisgeber vor Repressalien fördert. Nach Annahme durch den Rat wird die Richtlinie binnen zwei Jahren in nationales Recht umzusetzen sein. Es bleibt abzuwarten, inwieweit der österreichische Gesetzgeber von dem durch die Richtlinie eingeräumten Gestaltungsspielraum Gebrauch machen wird.
Dennoch sollten sich Unternehmen bereits jetzt Gedanken zur Umsetzung eines Hinweisgebersystems machen. Dabei können wir durch unsere ausgewiesenen Forensik-Experten bei der Aufklärung von Meldungen unterstützen und auch spezifische IT-Forensik Dienstleistungen (zB Datensicherung und -analyse) erbringen. Wir bieten eine Hinweisgeberplattform als Software as a Service Lösung an, welche den Anforderungen der Richtlinie entspricht, womit wir einen ganzheitlichen Lösungsansatz anbieten können.
Ihr Ansprechpartner:
Reinhard Hübelbauer
+43 1 537 37-0
reinhard.huebelbauer@bdo.at