Was bringt die Whistleblower-Richtlinie?
Whistleblowing-Systeme (auch Hinweisgebersysteme genannt) sind in Österreich schon bislang bekannt. Bei einigen Behörden in Österreich (etwa der Wirtschafts- und Korruptionsstaatsanwaltschaft, der Finanzmarktaufsicht und der Bundeswettbewerbsbehörde) gibt es schon seit mehreren Jahren Whistleblowing-Systeme. Per Internet können anonym Meldungen über Rechtsverstöße eingebracht werden und die Behörden können in der Folge auch mit dem Whistleblower Kontakt halten. Eine branchenunabhängige allgemeine Pflicht für Unternehmen zur Einführung eines Hinweisgebersystems gibt es allerdings bislang nicht. Einige Unternehmen in Österreich haben in den vergangenen Jahren als Teil ihrer Compliance-Strukturen ein Whistleblowing-System eingeführt.

Die Whistleblower-Richtlinie, die am 07.10.2019 final vom Rat der Europäischen Union beschlossen wurde, führt eine solche allgemeine Verpflichtung ein. Die Richtlinie sieht vor, dass Unternehmen mit mindestens 50 Mitarbeitern oder mit einem Jahresumsatz von mindestens zehn Millionen Euro interne Prozesse aufsetzen müssen, um Hinweise von Whistleblowern vertraulich annehmen zu können. Auch für Gemeinden mit mehr als 10.000 Einwohnern besteht die Pflicht, ein Hinweisgebersystem zu haben. Oberster Grundsatz dabei ist, dass die Identität des Whistleblowers geheim bleibt. Auch Unternehmen mit flachen Hierarchien und einer „open door“-Policy für Mitarbeiter können somit zukünftig nicht mehr auf ein Meldesystem „auf Vertrauensbasis“ bauen, sondern müssen nachschärfen.

Solange die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt, kann das Unternehmen selbst festlegen, welche Art von Hinweisgebersystem es einrichtet. Das Hinweisgebersystem sollte schriftliche Meldungen per Post, über einen Beschwerde-Briefkasten, über eine Online-Plattform (Intranet oder Internet) oder mündliche Meldungen über eine Telefon-Hotline ermöglichen.

Die EU-Mitgliedstaaten haben nunmehr zwei Jahre zur Umsetzung der Richtlinie Zeit.

Was kann gemeldet werden?
Die Richtlinie legt Mindeststandards für den Schutz von Mitarbeitern fest, die Verstöße gegen das EU-Recht betreffend unter anderem öffentliches Auftragswesen, Kartellrecht, Geldwäsche, Produkt- und Verkehrssicherheit, Umweltschutz, öffentliche Gesundheit, Verbraucherschutz und Datenschutz melden. Die Richtlinie regt aber an, dass die Mitgliedstaaten im jeweiligen Umsetzungsgesetz einen weiteren Anwendungsbereich vorsehen. Spannend wird sein, ob der österreichische Gesetzgeber von dieser Möglichkeit Gebrauch machen wird. Auch wenn von einem sogenannten „Golden Plating“ in Österreich eher nicht auszugehen sein wird, so sollten doch die in der Richtlinie genannten Bereiche kritisch dahingehend geprüft werden, ob nicht zumindest bestimmte Annexmaterien im österreichischen Gesetz mitumfasst werden. Für das Kartellrecht würde es zB Sinn machen, dass auch Verstöße gegen nationale Kartellrechtsvorschriften umfasst sind.

Wie wird der Whistleblower geschützt?
Die vollständige Bezeichnung der Richtlinie („Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden„) bringt den Regelungsgegenstand der Richtlinie auf den Punkt. Mitarbeiter sollen keine Angst haben, eine Vergeltungsmaßnahme zu erleiden, wenn sie ihrem Arbeitgeber einen Rechtsverstoß, von dem sie im Unternehmen Kenntnis erlangt haben, melden. Die Richtlinie nennt beispielhaft, was unter Vergeltungsmaßnahmen zu verstehen ist. So wird etwa neben rein internen Maßnahmen (wie Entlassung, Versagung einer Beförderung oder der Ausstellung eines Arbeitszeugnisses) auch das Erstellen einer „schwarzen Liste“ auf Basis einer informellen oder formellen branchenspezifischen Vereinbarung mit der Folge, dass der Hinweisgeber branchenweit keine Beschäftigung mehr findet, erfasst. Ziel ist, dass der Hinweisgeber keine Sorge haben muss, einen Nachteil zu erleiden, sofern seine Identität in der Folge doch bekannt wird.

Geschützt ist der Mitarbeiter, wenn er davon ausgehen konnte, dass der von ihm eingemeldete Sachverhalt zum Zeitpunkt der Meldung der Wahrheit entsprach und dass der Sachverhalt in den Anwendungsbereich der Richtlinie fällt. Die Sorge, die in der Entstehungsphase der Richtlinie immer wieder kommuniziert wurde, dass aufgrund der Anonymität Mitarbeiter Unwahrheiten über ihre Kollegen einmelden werden, ist somit unberechtigt.

Wie kann man sich schon jetzt vorbereiten?
Aufgrund der zweijährigen Umsetzungsfrist haben Unternehmen auf den ersten Blick noch lange Zeit, sich auf die neue Rechtslage vorzubereiten. Gerade Unternehmen, die noch nicht über etablierte Compliance-Strukturen verfügen, sollten aber rechtzeitig mit den Überlegungen zur Implementierung im Unternehmen beginnen. Neben der Auswahl des für das Unternehmen am besten geeignetsten Hinweisgebersystems stellt sich insbesondere die Frage, wo das Whistleblower-System im Unternehmen am besten organisatorisch angesiedelt wird. In Frage kommt hier insbesondere (je nach Größe des Unternehmens) Vorstand bzw Geschäftsführung, der Compliance Officer, die Rechts- oder Personalabteilung. Die kommenden zwei Jahre sollten außerdem dazu genutzt werden, um Mitarbeiter hinsichtlich der für sie im Unternehmen wesentlichen Verhaltensregeln sowie Bedeutung und Funktion des Hinweisgebersystems zu schulen. Ganz im Sinne der Richtlinie kann somit der Startpfiff für die Implementierung bereits erfolgen.