Zum Hauptinhalt springen

Nur die Implementierung eines Meldekanals reicht nicht aus

Von Svetlana Gandjova und Shahanaz Müller

Recht
Svetlana Gandjova ist Partnerin und National Leader Forensic bei Deloitte Österreich.
© Deloitte / feelimage / Matern

Was Unternehmen alles rund um das neue HinweisgeberInnenschutzgesetz zu beachten haben.


Hinweis: Der Inhalt dieser Seite wurde vor 1 Jahr in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Lange wurde in Österreich über die Whistleblower-Richtlinie der Europäischen Union diskutiert, mit mehr als einem Jahr Verspätung sind den Worten nun endlich Taten gefolgt: Vergangene Woche wurde das neue HinweisgeberInnenschutzgesetz (HSchG) im Nationalrat beschlossen. Für Unternehmen ab 50 Mitarbeiterinnen und Mitarbeitern heißt das, dass sie noch im heurigen Jahr einen internen Meldekanal für Hinweise einrichten müssen. Wie sieht es allerdings mit der Umsetzbarkeit dieser Vorgaben in der Praxis aus? Und wie können Unternehmen eventuellen Herausforderungen in den kommenden Monaten vorgreifen?

Die Implementierung interner Meldekanäle stellt viele Firmen aktuell vor große Herausforderungen. Denn während die Einführung eines beispielsweise webbasierten Hinweisgebersystems oftmals relativ rasch umgesetzt ist, werden die internen Prozesse in der Praxis teilweise vernachlässigt. Dabei ist eine Konkretisierung der Zuständigkeiten und Abläufe unabdingbar, damit ein solcher Meldekanal seinen Zweck auch erfüllt. Wichtig ist, dass das System innerhalb des Unternehmens kommuniziert wird, Mitarbeiterinnen und Mitarbeiter über dessen Vorhandensein und Funktionsweise Bescheid wissen und jegliche rechtliche Parameter, wie Datenschutz oder Arbeitsrecht, bereits bei der Implementierung mitberücksichtigt werden.

Fristgerechte Rückmeldung nach Hinweisen

Das HSchG hält außerdem gewisse Mindestanforderungen in Bezug auf die praktische Anwendung und den Umgang mit dem Meldesystem fest, die von den Unternehmen auf freiwilliger Basis ausgeweitet werden können. Solch eine freiwillige Verschärfung der Regelungen durch die Unternehmen würde den Hinweisgebenden eine positive Botschaft vermitteln und die Hürde zum tatsächlichen Melden eines Verstoßes mindern.

Konkret verlangt das Gesetz, dass der Hinweisgeberin oder dem Hinweisgeber innerhalb von sieben Tagen der Eingang der Meldung bestätigt wird. Nach spätestens drei Monaten ist außerdem eine Rückmeldung zu den ergriffenen beziehungsweise noch geplanten Maßnahmen zu liefern. Werden keine weiteren Schritte gesetzt und wird dem Hinweis somit nicht weiter nachgegangen, sind die Gründe dafür innerhalb derselben Frist zu erläutern. Doch kann diese Vorgehensweise mit der Vertraulichkeit der Daten der Hinweisgeberin beziehungsweise des Hinweisgebers korrelieren?

Eine eindeutige Antwort darauf gibt es nicht. Zwar ermöglicht das HSchG anonyme Hinweise, die Bekanntgabe einer Post- oder E-Mail-Adresse kann aber aufgrund von sich ergebenden Fragen und dem Dokumentationsaustausch durchaus sinnhaft sein. Dies ist grundsätzlich bei webbasierten Systemen über die darin implementierte Kommunikationsplattform möglich. Andernfalls besteht das Risiko, dass Betrugsfälle aufgrund von zu generisch formulierten Tipps oder fehlenden Dokumenten schlichtweg nicht weiter nachgegangen werden kann, da der Sachverhalt nicht konkret genug formuliert wurde.

Um den Schutz der Whistleblowerinnen und Whistleblower zu wahren, setzt das HSchG jedenfalls einige Maßnahmen. Unternehmen sollten dahingehend von Beginn an festhalten, welche Daten wie aufbewahrt werden müssen. Außerdem muss der interne Meldekanal den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen, und die Vertraulichkeit der Identität der Hinweisgebenden sowie erwähnter Dritter ist durch das System unbedingt zu wahren. Jegliche Kommunikation mit der Whistleblowerin oder dem Whistleblower ist dabei zu dokumentieren und in einem sicheren System zu speichern, um Unbefugten den Zugriff darauf zu verwehren. Diese Erfordernisse sind im besten Fall bereits vor der verpflichtenden Einführung des Meldesystems abzuklären.

Deshalb gilt auch: Um sich auf die Herausforderungen der kommenden Monate vorzubereiten, sollte sich jedes Unternehmen heute schon damit beschäftigen, wie die internen Prozesse, Verantwortlichkeiten und Vorgaben zu definieren sind. Ausgehend von der Entgegennahme der Meldung über die Verarbeitung und Untersuchung bis hin zur Berichterstattung - all diese Abläufe sind klar zu regeln, um späteren Unstimmigkeiten und Verzögerungen vorzubeugen.

Von entscheidender Bedeutung ist auch die Schulung des Personals hinsichtlich der Funktionsweise des gewählten Systems sowie der Bearbeitung und Analyse der Meldung beziehungsweise des Meldungsinhaltes. Wenn diese Punkte eingehalten werden, kann das Meldesystem seinen Zweck erfüllen und als integrierter Bestandteil des Compliance-Management-Systems fungieren - mit dem Ziel, Compliance-Verstöße frühzeitig intern zu erkennen und risikomindernde Maßnahmen zu setzen, um Schäden vom Unternehmen abzuwenden.

Sie sind anderer Meinung?

Diskutieren Sie mit: Online unter www.wienerzeitung.at/recht oder unter recht@wienerzeitung.at