Hinweisgeberschutzgesetz in Österreich : HinweisgeberInnenschutzgesetz: Was tun mit Whistleblowern?

Das österreichische HinweisgeberInnenschutzgesetz ist eine Umsetzung der bereits 2019 beschlossenen EU-Whistleblower-Richtlinie. Das Gesetz verpflichtet Unternehmen ab einer bestimmten Größe dazu, ein internes Meldesystem einzurichten, über das Rechtsverstöße gemeldet werden können. Konkret zielt das Gesetz unter anderem auf die folgenden Bereiche ab:

• öffentliches Auftragswesen
• Geldwäsche und Terrorismusfinanzierung
• Produktsicherheit
• Verkehrssicherheit
• Umweltschutz
• Verbraucherschutz
• Schutz der Privatsphäre und personenbezogener Daten sowie die Verhinderung und Ahndung von Korruption.

>>> Mehr zum Thema Compliance: Russland-Sanktionen: Wie können Unternehmen auf dem aktuellen Stand blieben?

Für Unternehmen bringt das eine Reihe an Herausforderungen mit sich. Sie betreffenzunächst einmal die einzurichtenden Systeme. Denn die müssen unter anderem so gestaltet sein, dass ein Whistleblower innerhalb von sieben Tagen eine Bestätigung darüber bekommt, dass sein Hinweis eingegangen ist und innerhalb von drei Monaten auch eine Nachricht darüber, wie damit verfahren wurde.

Das Meldesystem muss überdies gewährleisten, dass anonyme Eingaben möglich sind. Interessantes Detail am Rande: In der österreichischen Umsetzung der EU-Whistleblower-Richtlinie ist zwar die Pflicht der Unternehmen festgeschrieben, anonyme Eingabenzuzulassen, Unternehmen müssen solchen anonymen Hinweisen aber nicht nachgehen. Sie riskieren dann allerdings, dass sich der Hinweisgeber an eine externe Meldestelle wendet und der Imageschaden dann unter Umständen viel größer ist.

>>> Mehr zum Thema Compliance: Was bedeutet die Europäische Lieferketten-Richtlinie?

„Die Tatsache, dass Hinweise auf Rechtsverletzungen überhaupt abgegeben werden und zwar über ein internes System gibt den Unternehmen die Chance, rasch zu reagieren und großen Schaden und Reputationsverlust abzuwenden. Und genau das ist ja oft auch die Intention eines Whistleblowers“, kommentiert diesen Punkt Kathrin-Theres Hagenauer, DirectorContent Creation & Acquisition bei LexisNexis.

Beim Compliance Solution Day, den LexisNexis am 21. September in der Orangerie Schönbrunn veranstaltet, wird auch das Thema Whistle Blowing ausführlich behandelt werden. So gibt Jan Stappers, Whistleblowing-Spezialist bei NAVEX einen Überblick über die EU-Whistlebower-Richtlinie und darüber, welche Möglichkeiten Unternehmen haben, um interne Meldesysteme einzurichten. In Österreich ist es zum Beispiel möglich, solche Systeme auch von qualifizierten Partnern einrichten und betreiben zu lassen. Mit WhistleComplete (whistlecomplete.at) bietet unter anderem LexisNexis ein solches System an.

>>>Mehr zum Thema Compliance: EU AI Act: Welche Compliance-Vorgaben muss Künstliche Intelligenz erfüllen?

Spannend dürfte auch ein gemeinsamer Vortrag von Kristof Wabl, Partner bei StoneTurn, Louise-Marie Petrovic vom Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung und Luca Mak, Geschäftsführer von Transparency International Austria werden. Die Vortragenden werden darin den Hinweisgeberschutz aus der Perspektive des Bundesamts für Korruptionsbekämpfung sowie aus Sicht von Transparency Internationalbeleuchten und auch Praxisbeispiele geben, wie Hinweisgeberschutz in Unternehmen effektiv gestaltet werden kann.

Viel Zeit bleibt Unternehmen jedenfalls nicht mehr, um den entsprechenden gesetzlichen Vorgaben zu entsprechen. „Österreichische Unternehmen und öffentliche Einrichtungen ab 250 Mitarbeitenden müssen bis zum 25. August 2023 einen internen Meldekanal eingerichtet haben. Unternehmen und öffentliche Einrichtungen mit mehr als 50, aber weniger als 250 Mitarbeitenden haben eine verlängerte Umsetzungsfrist bis 17. Dezember 2023“, erklärt Kathrin-Theres Hagenauer.

>>> Das sind die größten Industrieunternehmen in Niederösterreich

Mit dem Einrichten eines Kanals allein, ist es allerdings nicht geschafft. So müssen Unternehmen, um den Hinweisgebern nachvollziehbare Aussagen darüber liefern zu können, was mit den eingegangenen Hinweisen passiert ist, auch über die entsprechende juristische Expertise verfügen.

>>> Das sind die größten Industrieunternehmen in Oberösterreich

Dabei gilt zu bedenken: Selbst für erfahrene Compliance-Verantwortliche dürfte es nach dem aktuellen Stand oft nicht einfach sein, zu entscheiden, ob ein bestimmter gemeldeter Sachverhalt tatsächlich in den Geltungsbereich des Hinweisgeberinnenschutzgesetzes fällt. Nicht minder schwierig dürfte sich in vielen Fällen das Urteil gestalten, ob nun tatsächlich ein Verstoß vorliegt oder nicht.

In Österreich ist es zum Beispiel möglich, solche Systeme auch von qualifizierten Partnern einrichten und betreiben zu lassen. Mit WhistleComplete (whistlecomplete.at) bietet unter anderem LexisNexis ein solches System an. Systeme wie WhistleComplete können hier eine große Unterstützung bieten. WhistleComplete lässt eigehende Hinweise von externen, selbstverständlich der Verschwiegenheit verpflichteten Experten von .LOUPE prüfen und in drei Kategorien einteilen.

Wird ein Hinweis mit grün beurteilt, besteht kein begründeter Verdacht, dass ein Normen- oder Complianceverstoß vorliegt. Gelb bedeutet, dass es entweder Anzeichen für einen Verstoß gibt, die weitergeprüft werden oder dass ein minder schwerer Verstoß vorliegt, der mit den Compliance-Verantwortlichen des Unternehmens direkt abgeklärt wird. Bei Rot liegt ein begründeter Verdacht auf einen schwereren Verstoß vor. In diesem Fall wird von der Kanzlei Baker McKenzie eine Handlungsempfehlung eingeholt und an die Compliance-Verantwortlichen weitergeleitet.