WHISTLEBLOWING – Das Ende der Umsetzungsfrist für die EU Richtlinie naht

376
Lisa Kulmer, Rechtsanwältin bei DORDA in der Praxisgruppe Arbeitsrecht und Alexandra Ciarnau, Rechtsanwältin bei Dorda Rechtsanwälte und auf Datenschutzrecht und E-Commerce spezialisiert
Lisa Kulmer, Rechtsanwältin bei DORDA in der Praxisgruppe Arbeitsrecht und Alexandra Ciarnau, Rechtsanwältin bei Dorda Rechtsanwälte und auf Datenschutzrecht und E-Commerce spezialisiert

Neue Herausforderungen für Unternehmer: Bis 17.12.2021 hat der Gesetzgeber noch Zeit, die EU-Whistleblowerrichtlinie umzusetzen. Die RL bringt neue Compliance-Pflichten für Unternehmen mit 50 oder mehr Arbeitnehmern, juristische Personen im Finanzdienstleistungsbereich und alle öffentlichen Einrichtungen.

Sie müssen insbesondere interne Meldekanäle implementieren, Hinweise nach einem vorgegebenen Verfahren bearbeiten und Tippgeber schützen. Dadurch soll ein EU-weiter Mindeststandard für einen wirksamen Hinweisgeberschutz geschaffen werden. Allerdings fehlt in Österreich noch ein Umsetzungsentwurf. Das stellt Unternehmer vor viele compliance-, datenschutz- und arbeitsrechtliche Herausforderungen. Diese sind aber Großteils zu bewältigen:

Die „Whistleblowing-Hotline“

Unternehmen müssen interne Whistleblowing-Kanäle für Arbeitnehmer einrichten. Meldungen müssen schriftlich oder mündlich möglich sein – auf Ersuchen des Hinweisgebers auch persönlich. Dabei ist wesentlich, dass die Meldestelle im Unternehmen den Whistleblower auch über die Untersuchungen auf dem Laufenden hält. Aufgrund der potentiellen Benachteiligung von Whistleblowern ist allerdings ihre Identität streng zu wahren. Nach dem „need-to-know“-Prinzip dürfen zudem ausschließlich berechtigte Personen Zugriff auf die Meldung und Untersuchungsergebnisse haben. In der Praxis können diese Anforderungen im Wesentlichen nur mehr über eine Online-Plattform sinnvoll erfüllt werden. Der Beschwerdebriefkasten hat damit ausgedient. Am Markt gibt es daher auch ein buntes Angebot an diversen IT-Lösungen. Bei der Wahl des Anbieters sollten Unternehmen insbesondere auf die Datenschutzcompliance des Tools achten.

Lisa Kulmer: "Arbeitnehmer sollten Informationen nicht leichtfertig melden, sondern diese vorab zuverlässig prüfen."
Lisa Kulmer: „Arbeitnehmer sollten Informationen nicht leichtfertig melden, sondern diese vorab zuverlässig prüfen.“

Neben den einzuhaltenden hohen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten sind außerdem Speicherbegrenzungen zu beachten. Die Informationen dürfen nur solange gespeichert werden, als dies erforderlich und verhältnismäßig ist. Darauf legte die österreichische Datenschutzbehörde schon bisher bei freiwillig eingerichtete Systeme großen Wert. Daten müssen nach aktueller Rechtsprechung zwei Monate nach Beendigung der Untersuchungen gelöscht werden, wenn sie nicht mehr zur Rechtsverteidigung benötigt werden. Dies kann mangels konkreter Regelung in der Richtlinie auch zukünftig als Leitschnur dienen.

Umfassendes Repressalienverbot

Unternehmen dürfen einen Hinweisgeber allein aufgrund einer Meldung nicht sanktionieren. Neben einer Kündigung scheiden auch sämtliche andere Repressalien, wie zB unterlassene Beförderungen oder Mobbing aus. Hinweisgeber, die wissentlich falsche Meldungen abgeben, können sich allerdings nicht auf den Schutz der Richtlinie berufen. Entscheidend ist, dass der Hinweisgeber zum Zeitpunkt der Meldung redlich handelt und berechtigterweise von der Richtigkeit der Informationen ausgehen durfte. Zusätzlich muss der Hinweisgeber darauf vertrauen, dass der gemeldete Verstoß in den Anwendungsbereich der Richtlinie fällt. Auch der konkret gewählte Meldekanal ist wichtig: Die meldende Person hat entweder den internen oder externen Kanal an öffentliche Behörden zu nutzen. Nur dann, wenn über beide Kanäle keine Behebung oder Besserung zu erwarten ist, kommt eine Information direkt an die Öffentlichkeit in Frage. Doch wie verhält sich das mit dem Schutz vertraulicher Informationen?

Spannungsverhältnis Geheimnisschutz – Whistleblowing?

Alexandra Ciarnau: "Mit effektiven Whistleblowing-Systemen können Unternehmen Verstöße rechtzeitig abstellen und Verfahren verhindern."
Alexandra Ciarnau: „Mit effektiven Whistleblowing-Systemen können Unternehmen Verstöße rechtzeitig abstellen und Verfahren verhindern.“

Arbeitnehmer müssen im Rahmen ihrer Treuepflicht, Betriebs- und Geschäftsgeheimnisse absolut vertraulich zu behandeln. Im Dienstvertrag wird diese Pflicht regelmäßig noch erweitert. Gleichzeitig ist aber auch anerkannt, dass Arbeitnehmer verpflichtet sind, ihren Arbeitgeber über drohende Schäden zu informieren. Je höher die Position des Arbeitnehmers und je schwerer die konkreten Verdachtsmomente, umso eher greift diese Pflicht. Das kann auch zu Ausnahmen von der generellen Verschwiegenheitspflicht führen. In der Praxis sind (i) die Interessen des Arbeitgebers an der Geheimhaltung, einerseits, mit (ii) den Interessen des Mitarbeiters an der Offenlegung des konkreten Sachverhalts, anderseits, abzuwägen: Macht ein Tippgeber wissentlich oder leichtfertig falsche Angaben, so drohen ihm arbeitsrechtliche Konsequenzen.

Bemerkenswert ist in diesem Zusammenhang eine jüngste Entscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR), die eine fristlose(!) Beendigung des Dienstverhältnisses mit einem Whistleblower für zulässig erklärt: Der Hinweisgeber hatte seinen Verdacht direkt bei der Staatsanwaltschaft angezeigt, ohne die Vorfälle vorab intern näher zu prüfen. Nach der Entscheidung des EGMR ging das zu weit: Angesichts der Schwere der Vorwürfe hätte der Hinweisgeber den Sachverhalt vorab sorgfältiger prüfen müssen, um festzustellen ob die Informationen „zutreffend und zuverlässig“ waren. Nachdem sich der Hinweisgeber hier allgemein auf sein Recht auf freie Meinungsäußerung stützte und der Schutz der Richtlinie nicht anzuwenden war, bleibt es abzuwarten, ob die Gerichte künftig bei dieser Linie bleiben.

6-Step-Plan zur Compliance

Obwohl sich aus dem noch fehlenden nationalen Umsetzungsentwurf später noch weitere Verpflichtungen und Änderungen ergeben können (insbesondere hinsichtlich der Mitwirkungsrechte des Betriebsrats), sollten sich Unternehmen und öffentliche Einrichtungen daher jetzt schon mit den neuen Verpflichtungen vertraut machen und mit der Implementierung starten. Dann können sie die nationalen Spezifika auch kurzfristig und damit zeitgerecht nachziehen. Konkret können bereits folgende Schritte gesetzt werden:

  1. Meldekanal und Meldestelle festlegen
  2. Meldekanal rechtskonform ausgestalten
  3. Entwurf der Compliance-Dokumentation, wie zB Informationsschreiben
  4. Abschluss aktuell noch zwingend notwendiger Betriebsvereinbarungen
  5. Prüfung und Anpassung der Datenschutzdokumentation
  6. Inhouse-Schulungen für Mitarbeiter und Schlüsselpersonen

Alexandra Ciarnau ist Rechtsanwältin im IT, IP und Datenschutzteam sowie Co-Leiterin der Digital Industries Group bei Dorda, Lisa Kulmer ist Rechtsanwältin in der Praxisgruppe Arbeitsrecht und auf betriebliche Mitbestimmung, komplexe Arbeitszeitthemen und Vertragsgestaltung für Führungskräfte spezialisiert.

www.dorda.at

Redaktion, Fotos: Walter J. Sieberer

Die besten Anwälte finden im:  best lawyers directory

Foto von Alexandra Ciarnau

Alexandra Ciarnau

Mag.DORDA Rechtsanwälte GmbH
Anschrift geschäftl. Universitätsring 10 Wien 1010 ÖsterreichTelefon geschäftl.: +43 1 5334795-23Webseite: https://www.dorda.at
Flower