Legal Insights

Das HinweisgeberInnenschutzgesetz: ein Überblick über die wichtigsten Fakten

13. Februar 2023

Lange ließ es auf sich warten: Anfang Februar wurde das HinweisgeberInnenschutzgesetz („HSchG“), welches die Whistleblowing-Richtlinie (EU/2019/1937) in nationales Recht umsetzt, im Nationalrat beschlossen.

Das Gesetz enthält Bestimmungen, die Unternehmen zur Einrichtung von internen Meldekanälen verpflichten.

Die Umsetzung der neuen Bestimmungen stellt viele Unternehmen vor organisatorische, rechtliche und auch technische Herausforderungen. Aus diesem Grund haben wir die wichtigsten Fragen im Zusammenhang mit dem HSchG kurz für Sie zusammengefasst:

1. Was ist in den Unternehmen umzusetzen – Eckpunkte des Gesetzes

Das Gesetz sieht konkrete Regelungen vor, auf welche Art und Weise Unternehmen mit eingelangten Hinweisen umzugehen haben. Für Unternehmen ab einer gewissen Größe (siehe unten) besteht die Verpflichtung, interne Meldekanäle einzurichten. Zusätzlich ordnet das Gesetz an, dass von öffentlicher Hand externe Meldekanäle eingerichtet werden müssen, um die Möglichkeiten der Hinweisgebung entsprechend abzusichern. Weitere zentrale Themen sind der umfassende Schutz von Hinweisgeber:innen vor möglichen Vergeltungsmaßnahmen (Repressalien), sowie der Umgang mit bewusst falschen Hinweisen.

Zweck des Gesetzes ist es daher, die Möglichkeit der Hinweisgebung auf Rechtsverletzungen in bestimmten Bereichen zu vereinfachen. Dadurch soll unter anderem die Bereitschaft zu rechtmäßigem Verhalten bestärkt werden.

2. Wer ist von den Regelungen des HSchG betreffend die Einrichtung interner Meldestellen betroffen?

Unternehmen sowie juristische Personen des öffentlichen Sektors mit mehr als 50 Beschäftigten sind zukünftig dazu verpflichtet, interne Hinweisgeber:innensysteme einzurichten. Für die Umsetzung sieht das Gesetz einen eigenen Zeitplan vor:

  • Für Unternehmen und juristische Personen des öffentlichen Sektors ab 250 Beschäftigten gilt ab Inkrafttreten des Gesetzes eine sechsmonatige Übergangszeit.
  • Für Unternehmen und juristische Personen des öffentlichen Sektors mit über 49 aber unter 250 Beschäftigten gilt diese Verpflichtung erst ab 18. Dezember 2023.

Für bestimmte Bereiche (zB Finanzdienstleistungen) sind die obig genannten Schwellenwerte unbeachtlich, sofern es spezifischere Bestimmungen zum Hinweisgeber:innenschutz und zur Einrichtung interner Meldesysteme unabhängig von einem solchen Schwellenwert gibt.

Zur Feststellung der Anzahl der Beschäftigten gilt: Bei schwankender Belegschaftsstärke ist zur Abgrenzung die durchschnittliche Anzahl der Arbeitnehmer:innen während des vorangegangenen Kalenderjahres relevant.

Juristische Personen des öffentlichen Sektors sind nach der im Gesetz festgelegten Definition Rechtsträger der Hoheits- und Privatwirtschaftsverwaltung, soweit sie juristische Personen sind. Der Unternehmensbegriff ist weit gefasst und umfasst alle sonstigen juristischen Personen des Privatrechts. Darunter fallen Kapitalgesellschaften wie GmbH und AG genauso wie (gemeinnützige) Vereine, Genossenschaften, politische Parteien, Anstalten und Stiftungen. Ebenso erfasst sind rechtsfähige Personengesellschaften, dies sind OG, KG, EWIV.

3. Welche Rechtsbereiche sind vom Hinweisgeber:innenschutz umfasst?

Die Rechtsbereiche, die vom gesetzlichen Hinweisgeber:innenschutz umfasst sind, werden im Gesetz abschließend aufgezählt. Hier sind beispielsweise Verhinderung von Geldwäsche und Terrorismusfinanzierung, Umweltschutz, öffentliche Gesundheit, Verbraucherschutz, Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen umfasst. Nach wie vor stark diskutiert ist die Tatsache, dass lediglich die Straftatbestände der Verhinderung und Ahndung von Straftaten nach den §§ 302 bis 309 des Strafgesetzbuches (Bestechlichkeit, Vorteilsannahme etc) und keine darüberhinausgehenden Straftatbestände in die abschließende Aufzählung aufgenommen wurden.

Weiters erfasst sind Rechtsverletzungen zum Nachteil der finanziellen Interessen der EU¸ Verletzung von Binnenmarktvorschriften, sowie Verletzungen von Unionsvorschriften über Wettbewerb und staatliche Beihilfen und Verletzungen von Binnenmarktvorschriften, die Körperschaftssteuervorschriften verletzen.

Verstöße gegen andere, nicht im Gesetz explizit genannte Rechtsbereiche, sind vom Anwendungsbereich des HSchG hingegen nicht umfasst. Dies hat zur Konsequenz, dass Hinweisgeber:innen bei Hinweisen auf im HSchG nicht explizit genannte Verstöße nicht den entsprechenden Schutzbestimmungen unterliegen. Unternehmen und juristischen Personen des öffentlichen Sektors steht es jedoch selbstverständlich frei, ihren internen Meldekanal auch für Hinweise zu öffnen, welche nicht vom Anwendungsbereich des HSchG umfasst sind.

4. Welche Anforderungen muss der interne Meldekanal erfüllen?

Detaillierte Anforderungen im Hinblick auf Technik oder Betreuung des internen Meldekanals sieht das Gesetz nicht vor. Es wird lediglich allgemein folgendes vorgegeben:

  • Interne Stellen sind mit den zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Mitteln auszustatten.
  • Die internen Stellen sind so sicher zu planen, einzurichten und zu betreiben, dass die Vertraulichkeit der Identität der Hinweisgeber:innen und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt.
  • Bei der Entgegenahme von Hinweisen ist unparteilich und unvoreingenommen vorzugehen.
  • Es sind entsprechende Vorkehrungen für eine unbefangene Entgegennahme und Behandlung von Hinweisen zu treffen, den verantwortlichen Mitarbeiter:innen muss eine weisungsfreie inhaltliche Erledigung der Hinweise ermöglicht werden.
  • Hinweise müssen der internen Stelle schriftlich oder mündlich oder in beiden Formen gegeben werden können, auch anonyme Hinweise müssen möglich sein.
  • Auf Ersuchen der Hinweisgeber:innen, welchem spätestens innerhalb von 14 Kalendertagen zu entsprechen ist, hat eine Zusammenkunft zur Besprechung des Hinweises stattzufinden.
  • Jeder Hinweis ist auf seine Stichhaltigkeit zu überprüfen. Ist er nicht stichhaltig oder fällt er außerhalb des sachlichen Anwendungsbereiches des Gesetzes, muss er nicht weiterverfolgt werden.
  • Offenkundig falsche Hinweise sind entsprechend zurückzuweisen.
  • Hinweisgeber:innen haben das Recht, ihre Hinweise jederzeit zu ergänzen und zu berichtigen.
  • Die interne Stelle hat auf Verlangen die Entgegennahme von Ergänzungen und Berichtigungen spätestens nach sieben Kalendertagen schriftlich zu bestätigen.
  • Spätestens drei Monate nach Entgegennahme eines Hinweises sind die Hinweisgeber:innen zu informieren, welche Folgemaßnahmen ergriffen wurden oder aus welchen Gründen der Hinweis nicht weiterverfolgt wird. Welche Art von Folgemaßnahmen zu ergreifen sind, wird gesetzlich nicht geregelt.

Die betroffenen Unternehmen haben sich an die obig genannten Vorgaben zu halten, hinsichtlich der personellen Struktur, konkreten Ausgestaltung und Beschaffenheit des internen Meldekanals jedoch eine eigene Einschätzung zu treffen und diese in weiterer Folge entsprechend umzusetzen. In diesem Zusammenhang wird in den meisten Fällen auch die Anpassung des unternehmensinternen Compliance Management Systems (soweit vorhanden) erforderlich sein. Unternehmen, welche bislang über kein entsprechendes Compliance Management System verfügen, wird dringend angeraten eines einzurichten.

Für die Organisationseinheiten des Bundes sieht das Gesetz eine gemeinsame interne Stelle vor, die beim Leiter bzw der Leiterin der Bundesdisziplinarbehörde angesiedelt ist. Entsprechende Ausnahmen sind beispielsweise für das Justizministerium oder das Parlament vorgesehen.

5. Besteht Identitätsschutz für Hinweisgeber:innen?

Interne Meldekanäle sind so sicher zu planen, einzurichten und zu betreiben, dass die Vertraulichkeit der Identität von Hinweisgeber:innen und Dritter, die in der Meldung erwähnt werden, gewahrt wird.

Die Bestimmung zur Befassung der Leitung eines Unternehmens mit Hinweisen innerhalb des Unternehmens unter bestimmten angeführten Voraussetzungen wurde wieder aus dem Gesetzesentwurf gestrichen, um in anderen Gesetzen normierten gesetzlichen Untersuchungs- und Kontrollpflichten (zB Kontrollrecht nach dem AktG) nicht zu widersprechen.

6. Müssen potenzielle Hinweisgeber:innen über Meldekanäle informiert werden?

Die Unternehmen und juristische Personen des öffentlichen Sektors haben sicherzustellen, dass der geschützte Personenkreis einfachen Zugang zu klaren Informationen über die Möglichkeit und das Verfahren der Hinweisgebung an interne Stellen und externe Stellen erhält. Da auch externe Personen in den geschützten Bereich fallen, wird es in der Regel notwendig sein, diese Information (zB über die Website) zu veröffentlichen.

7. Welche arbeitsrechtlichen Hürden sind zu meistern?

Der Hinweisgeber:innenschutz hat einige Schnittstellen zum Arbeitsrecht. Das gründet sich zum einen auf den Umstand, dass aller Voraussicht nach die Mehrheit der Hinweisgeber:innen Arbeitnehmer:innen sein werden. Die Einrichtung interner Meldestellen ist damit eine Maßnahme, die vor allem die eigene Belegschaft betrifft. Daraus ergibt sich zwangsläufig die Frage, ob und wie der Betriebsrat bei der Einrichtung eines Meldekanals zu involvieren ist, insbesondere ob vorab eine Betriebsvereinbarung abzuschließen ist.

Das Arbeitsverfassungsgesetz sieht einen Katalog an Maßnahmen vor, die arbeitgeber:innenseitig nur dann getroffen werden dürfen, wenn man dazu eine Betriebsvereinbarung abschließt. In diesen Bereichen hat der Betriebsrat ein starkes Mitbestimmungsrecht, weil ohne seine Zustimmung die Maßnahme nicht umgesetzt werden kann. Diese starke Mitbestimmung würde dann greifen, wenn das implementierte Hinweisgeber:innensystem als Kontrollmaßnahme einzustufen wäre, die die Menschenwürde berührt. Bei Systemen, die lediglich das gesetzlich verpflichtend vorgesehene Minimum umsetzen, wird dies in der Regel nicht der Fall sein. Auch ein betriebsvereinbarungspflichtiges qualifiziertes Personaldatensystem wird im Regelfall nicht vorliegen, da eine gesetzliche Verpflichtung für die Erhebung dieser personenbezogenen Daten besteht. Wird hingegen ein Meldekanal eingerichtet, der über die gesetzlichen Anforderungen hinausgeht, muss anhand des konkret geplanten Systems evaluiert werden, ob die Notwendigkeit für eine Betriebsvereinbarung besteht.

Betriebsinhaber:in und Betriebsrat steht es aber frei, zum hausinternen Meldesystem bzw flankierenden Maßnahmen eine Betriebsvereinbarung zu schließen. Ein von der Belegschaftsvertretung mitgetragenes System kann entscheidende Vorteile haben.

Ein anderer wesentlicher arbeitsrechtlicher Aspekt betrifft den Schutz von Hinweisgeber:innen. Dazu Näheres unter Punkt 8.

8. Wen schützt das Gesetz – wer kann Hinweisgeber:in sein?

Vom Geltungsbereich umfasst sind generell Personen, die aufgrund beruflicher Verbindung zu einem Rechtsträger des privaten oder des öffentlichen Sektors Informationen über Rechtsverletzungen erlangt haben. Eine direkte vertragliche Verbindung zum Rechtsträger ist jedoch nicht erforderlich. Der Schutzbereich ist weit gefasst und sollen so die Materialien auch weit ausgelegt werden.

Zu diesem Personenkreis gehören insbesondere Arbeitnehmer:innen (aktive und ehemalige aber auch überlassene), Bewerber:innen, Praktikant:innen, selbständig erwerbstätige Personen (auch freie Dienstnehmer:innen), Mitglieder der Geschäftsführung/der Aufsichtsorgane des betroffenen Rechtsträgers; Auftragnehmer:innen und Subauftragenehmer:innen und die dort Beschäftigten; Anteilseigner:innen (Gesellschafter:innen), Unterstützer:innen von Hinweisgeber:innen (Arbeitskolleg:innen) oder Personen im Umkreis von Hinweisgeber:innen, die ohne aktive Unterstützung von nachteiligen Folgen betroffen sein konnten (zB Verwandte). Geschützt sind auch juristische Personen, die im Eigentum des:der Hinweisgeber:in stehen.

9. Welchen Schutz haben Hinweisgeber:innen?

Wurde von dem:der Hinweisgeber:in ein vom Anwendungsbereich erfasster Rechtsverstoß gemeldet, soll das damit einhergehende persönliche Risiko durch zahlreiche Schutzvorschriften abgefedert werden.

Zum einen sollen alle Maßnahmen, die in Vergeltung eines berechtigten Hinweises erfolgt sind, rechtsunwirksam sein. Dazu sieht das Gesetz eine demonstrative, also eine beispielhafte Liste von sogenannten Repressalien vor. Der Großteil der genannten Repressalien (zB Kündigung, Suspendierung, Versetzung) betrifft das Arbeitsverhältnis. Genannt sind aber auch Entzug von Lizenz- oder Gewerbeberechtigung oder die vorzeitige Beendigung eines Warenlieferungs- oder Dienstleistungsvertrages – Sanktionen, die also die Vertragspartner:innen oder andere involvierte Dritte betreffen können.

Diese Akte sollen für den Fall, dass sie Vergeltungsmaßnahmen sind, unwirksam sein. Betroffene Arbeitnehmer:innen aber auch andere Betroffene können mit Klage gegen solche Maßnahmen vorgehen und begehren, dass diese gerichtlich für unwirksam erklärt werden. Eine bestimmte Frist zur Klagsführung ist nicht vorgesehen. Um sich bei Kündigungen oder anderen arbeitsrechtlichen Sanktionen keinen ungerechtfertigten Vorwürfen auszusetzen, empfiehlt sich – wie so oft – eine detaillierte Dokumentation der Entscheidungsgründe.

Im Weiteren nennt das Gesetz dann auch Tatbestände wie Mobbing, Nötigungen, Diskriminierungen. Hier soll der:die Verursacher:in verpflichtet sein, den rechtmäßigen Zustand wiederherzustellen. Zusätzlich kann ein Schadenersatz für die erlittene persönliche Beeinträchtigung verhängt werden.

Wesentlicher Baustein der Schutzbestimmungen ist darüber hinaus der Schutz der Identität von Hinweisgeber:innen (siehe oben Frage 5).

Zur Abrundung der Schutzmaßnahmen sind eine erleichterte Beweisführung im Verfahren sowie Befreiung von Haftung und Geheimhaltungsverpflichtungen vorgesehen. Schutzwürdige Hinweisgeber:innen haften nicht für tatsächliche oder rechtliche Folgen eines berechtigten Hinweises. Bei der Befreiung von Geheimhaltungsverpflichtungen muss der berechtigte Hinweis zudem für die Aufdeckung/Verhinderung der Rechtsverletzung notwendig sein.

10. Drohen bei falschen Hinweisen Sanktionen für die Hinweisgeber:innen?

Ja, wer Hinweisgeber:innen im Zusammenhang mit einer Hinweisgebung behindert oder zu behindern versucht, die Vertraulichkeit verletzt oder wissentlich einen falschen Hinweis gibt, begeht eine Verwaltungsübertretung und kann mit Geldstrafen von bis zu EUR 20.000 (oder EUR 40.000 im Wiederholungsfall) bestraft werden. Für die Nichteinrichtung von internen Meldekanälen ist im HSchG jedoch keine Sanktion vorgesehen.

11. Was ist aus Sicht des Datenschutzes zu bedenken?

Das HSchG sieht umfassende datenschutzrechtliche Sonderregeln für Hinweisgeber:innensysteme vor:

  • Rechtsgrundlage/Verantwortliche: Das HSchG sieht eine Ermächtigung vor, für Zwecke des Gesetzes normale, sensible und strafrechtlich relevante Daten zu verarbeiten. Die Datenverarbeitung muss im öffentlichen Interesse liegen, Rechtsverletzungen zu verhindern oder zu ahnden und zu diesem Zweck Hinweise zu geben und ihre Stichhaltigkeit zu überprüfen. Sie muss zudem auf Daten eingeschränkt werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden. Zur Verarbeitung von Daten sind jeweils mit bestimmten Einschränkungen Hinweisgeber:innen, interne und externe Stellen sowie Behörden ermächtigt. Als Verantwortliche im Sinne der DSGVO gelten die jeweiligen Behörden bzw im Falle von internen und externen Stellen, deren Rechtsträger. Hinweisgeber:innen gelten nur dann als Verantwortliche, wenn sie personenbezogene Daten verarbeiten, die über das für die Weiterverfolgung des Hinweises Erforderliche hinausgehen.
  • Datenlöschung/Dokumentationspflicht: Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, dürfen nicht erhoben werden. Falls sie unbeabsichtigt doch erhoben wurden, müssen sie unverzüglich (wieder) gelöscht werden. Für Daten, die zur Bearbeitung eines Hinweises notwendig waren, gibt es eine fünfjährige Aufbewahrungspflicht (bzw solange die Daten für die Durchführung eines Verfahrens benötigt werden). Das Gesetz wurde somit im Vergleich zum ursprünglichen Ministerialentwurf, welcher eine 30-jährige Aufbewahrungsfrist vorsah, wesentlich entschärft. Das HSchG erfordert aber dennoch ein durchdachtes Aufbewahrungs- und Löschkonzept für das interne Hinweisgeber:innensystem.
  • Information: Es sind einerseits Informationspflichten bzgl der Möglichkeit und des Verfahrens der Hinweisgebung und andererseits die datenschutzrechtlichen Informationspflichten der DSGVO einzuhalten. Das HSchG enthält zudem umfassende Sonderbestimmungen, mit denen datenschutzrechtliche Betroffenenrechte eingeschränkt werden können. Demnach finden bestimmte Betroffenenrechte nach der DSGVO (wie das Recht auf Information und das Recht auf Auskunft) keine Anwendung, wenn dies zum Schutz der Identität der Hinweisgeber:innen oder zum Erreichen der Zwecke des Hinweisgeber:innensystems erforderlich ist. Damit soll verhindert werden, dass von einer Meldung betroffene Personen durch die Ausübung ihrer datenschutzrechtlichen Betroffenenrechte im Sinne der DSGVO eine Untersuchung behindern oder vereiteln können.
  • Datenschutz-Folgenabschätzung: Das Erfordernis, für die mit der Umsetzung des HSchG einhergehenden Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen, entfällt (weil der Gesetzgeber bereits eine allgemeine Folgenabschätzung durchgeführt hat).

12. Was passiert mit bereits eingerichteten Hinweisgeber:innensystemen?

Bereits eingerichtete und etablierte Hinweisgeber:innensysteme sind an die neuen gesetzlichen Gegebenheiten anzupassen.

 

Fazit

Auch wenn die Übergangsfristen je nach Beschäftigtengröße großzügig gestaltet sind, sollte nicht allzu lange mit der Einrichtung von internen Hinweisgeber:innensystemen zugewartet werden. Es ist empfehlenswert, unmittelbar Schritte zur Planung der Umsetzung des HSchG zu setzen. Damit kann sichergestellt werden, dass die rechtlichen, organisatorischen und auch technischen Herausforderungen rechtzeitig, rechtskonform und effizient bewältigt werden können.

ANSPRECHPARTNER

Hannah Kercz

Elisabeth Wasinger

Elisabeth Wasinger

Karin Bruchbacher

Karin Bruchbacher

Aktuelles

Bleiben Sie informiert: aktuelle Rechtsthemen, neue Entwicklungen, neuer Beratungsbedarf.

Mehr erfahren

Über KPMG Law

Wir stehen für exzellente juristische Beratung durch hochqualifizierte Mitarbeiter:innen.

Mehr erfahren