Schon heute bestehen in größeren bzw. internationalen Unternehmen auf freiwilliger Basis bzw. zur Erfüllung ausländischer Erfordernisse Whistleblowing-Hotlines. In der Praxis wurden diese vor allem aus datenschutzrechtlicher Sicht kritisch beäugt. Doch nun wird auch auf europäischer Ebene eine (weite) Verpflichtung zum Schutz von Tippgebern verankert: Die neue Whistleblowing-Richtlinie schafft einen europaweiten Mindeststandard für ein wirksames Hinweisgebersystem zur effektiven Aufdeckung von Verstößen gegen Unionsrecht.

Der Anwendungsbereich ist weit: Unternehmen mit 50 oder mehr Arbeitnehmern, juristische Personen im Finanzdienstleistungsbereich und alle öffentlichen Einrichtungen sind betroffen. Sie müssen interne Meldekanäle implementieren, potenzielle Hinweisgeber umfassend informieren und Hinweise nach einem vorgegebenen Verfahren bearbeiten. Das stellt den privaten und öffentlichen Sektor vor neue Herausforderungen und Fragen.

Die "Whistleblowing-Hotline"

Meldungen müssen schriftlich oder mündlich möglich sein – auf Ersuchen des Hinweisgebers auch persönlich. Ob die Wahl nun auf Online-Plattformen oder den klassischen Beschwerdebriefkasten fällt, die Kanäle müssen in jedem Fall datenschutzkonform sein und die besonderen Vorgaben der Richtlinie berücksichtigen.

Aufgrund der potenziellen Benachteiligung von Whistleblowern ist ihre Identität streng zu wahren. Nach dem Need-to-know-Prinzip dürfen zudem ausschließlich berechtigte Personen Zugriff haben. Wie die Praxiserfahrung rund um die DSGVO-Umsetzung zeigt, besteht gerade hier aus technischer und organisatorischer Sicht großer Aufholbedarf. Oft scheitert es nämlich bereits an einer klaren Abgrenzung der Verantwortlichkeiten.

Mitarbeiter sollen in Zukunft fast überall in der Lage sein, Missstände im Unternehmen zu melden, ohne ein persönliches Risiko einzugehen.
Foto: Getty Images, Collage: Lukas Friesenbichler

Die personenbezogenen Daten dürfen nur so lange gespeichert werden, als dies erforderlich und verhältnismäßig ist. Das entspricht dem Zweckbindungs- und Speicherbegrenzungsgrundsatz der DSGVO. Einem ähnlichen Ansatz folgt auch die österreichische Datenschutzbehörde für die derzeitigen, freiwilligen Systeme, legt aber zugleich eine maximale Aufbewahrungsdauer fest: Sofern Daten zur Rechtsverteidigung nicht mehr benötigt werden, müssen sie zwei Monaten nach Beendigung der Untersuchungen gelöscht werden. Das kann – sofern bei der Richtlinienumsetzung keine konkrete Regelung erfolgt – auch zukünftig als Leitschnur dienen.

Meldungen über Verstöße sind beim betroffenen Unternehmen bei einer unparteiischen Person oder Abteilung zu bündeln. Doppelfunktionen sind möglich, wenn die Unabhängigkeit gewahrt wird. In kleineren Unternehmen kann daher z. B. der Leiter der Compliance- und Personalabteilung, der Rechts- oder Datenschutzbeauftragte, ein Finanzvorstand, Auditverantwortlicher oder Vorstandsmitglied neben seiner eigentlichen Funktion auch als Meldestelle nominiert werden.

Einheitliche Meldestellen

Die Richtlinie schließt außerdem auch eine konzernweite gemeinsame Stelle nicht aus. Nach bisheriger Rechtsprechung der Datenschutzbehörde dürfen Meldungen gegen Arbeitnehmer nur lokal in der jeweiligen Gesellschaft bearbeitet werden. Eine Ausnahme besteht nur bei schweren Anschuldigungen gegen Schlüsselpersonal und bei Bestellung eines Konzernunternehmens als bloßer Dienstleister.

Es bleibt abzuwarten, ob der österreichische Gesetzgeber den weitergehenden Ansatz der Richtlinie aufgreift und einheitliche Meldestellen für Konzerne ohne die derzeitigen Beschränkungen zulässt.

Hinweisgeber sind Personen, die im beruflichen Kontext Informationen über Verstöße erlangt haben. Das schließt einen weiten Personenkreis ein, wie (ausgeschiedene) Arbeitnehmer, Selbstständige, Anteilseigner, aber auch Lieferanten und Subauftragnehmer. Sie müssen ihre Meldungen in Bezug auf Verstöße gegen das Unionsrecht und unter ihrem Namen tätigen; anonyme Hinweisgeber sowie Meldungen über die Verletzung nationaler Bestimmungen sind nicht geschützt. Allerdings steht es den Mitgliedsstaaten frei, bei der Umsetzung den Anwendungsbereich auszudehnen und auch die Verletzung von nationalen Rechtsvorschriften oder auch anonyme Whistleblower demselben Regime zu unterstellen.

Hoher Abstimmungsbedarf

Erfahrungsgemäß löst insbesondere die datenschutzkonforme Umsetzung einen hohen technischen und organisatorischen Abstimmungsbedarf aus. Neben der DSGVO bzw. dem DSG ist auch die gefestigte Rechtsprechung der Datenschutzbehörde iZm Whistleblowing-Hotlines zu berücksichtigen. Weiters sind etwaige strengere Bestimmungen im Finanzdienstleistungsbereich sowie arbeitsrechtliche Implikationen aufgrund des strengen Repressalienverbotes gegen Whistleblower zu beachten.

Obwohl sich aus dem noch fehlenden nationalen Umsetzungsentwurf später noch weitere Verpflichtungen ergeben können, sollten sich Unternehmen und öffentliche Einrichtungen daher bereits mit den neuen Verpflichtungen vertraut machen und die ersten Schritte setzen. Wer nun beginnt, die Umsetzung der europäischen Mindestvorgaben einzuleiten, hat dann genug Zeit, die nationalen Spezifika nachzuziehen. (Axel Anderl, Alexandra Ciarnau, 8.9.2020)