HinweisgeberInnenschutzgesetz in Österreich in Kraft getreten
Die Republik Österreich hat das HinweisgeberInnenschutzgesetz verabschiedet. Dieses tritt am 25.02.2023 in Kraft. Das neue Gesetz dient der Umsetzung der EU-Whistleblower-Richtlinie. Es verpflichtet Unternehmen und Behörden zur Einführung von internen Meldestellen. Whistleblower, die Verstöße gegen im Gesetz genanntes Recht melden, erhalten einen rechtlichen Schutz u.a. vor Kündigung und Diskriminierung. Der folgende Beitrag gibt Ihnen einen Überblick, was nunmehr zu beachten ist.
Das Wichtigste auf einen Blick:
- Das HSchG verpflichtet Unternehmen und öffentliche Stellen ab dem 25.08.2023 zur Einführung von Hinweisgebersystemen. Unternehmen bis 250 Mitarbeitenden müssen interne Stellen bis zum 17.12.2023 implementieren.
- Hinweisgebersysteme müssen die Vertraulichkeit und das Datenschutzrecht wahren.
- Es gelten die vom Gesetz vorgegebenen Prozesse und Fristen zu beachten.
- Verstöße gegen das HSchG können Verwaltungsstrafen bis zu 40.000 € zur Folge haben.
Mit unserer ISO-27001-zertifizierten Hintbox können Sie schnell und einfach die Vorgaben des HinweisgeberInnenschutzgesetz umsetzen. Unser digitales Hinweisgebersystem ist DSGVO-konform und wahrt die Vertraulichkeit. Alle Hinweise werden Ende-zu-Ende verschlüsselt und es findet ein Hosting von Deutschen Anbietern in Deutschland statt.
Die Vorgaben des HSchG sind komplex. Mit dem Case-Management und der Fristenkontrolle der Hintbox können Sie die Anforderungen schnell und einfach bereits für 99,00 € pro Monat umsetzen.
Wer ist von dem neuen österreichischen Gesetz betroffen?
Das HinweisgeberInnenschutzgesetz richtet sich in erster Linie an Unternehmen und juristische Personen des öffentlichen Sektors mit 50 oder mehr Arbeitnehmerinnen und Arbeitnehmern oder Bediensteten (§ 3 Abs. 1 HSchG).
Unternehmen sind alle juristischen Personen des Privatrechts oder rechtsfähige Personengesellschaften, die keine Verbindung zum Öffentlichen Bereich aufweisen. Darunter fallen zum Beispiel Aktiengesellschaften und Gesellschaften mit beschränkter Haftung.
Juristische Personen des öffentlichen Sektors sind insbesondere Bundes-Organisationen und juristische Personen des privaten Rechts, an denen die Öffentliche Hand beteiligt ist. Es steht zu erwarten, dass etwa auch Kommunen Adressaten des österreichischen HSchG sind.
Unabhängig von dieser Anzahl der Mitarbeitenden gilt das Gesetz im Bereich der Vorschriften, die in den Teilen I.B und II des Anhangs zur Richtlinie 2019/1937/EU aufgezählt sind. Davon sind zum Beispiel Banken und Kreditinstitute erfasst.
Was haben Unternehmen und juristische Personen des öffentlichen Sektors zu beachten?
Hinweisgeberinnen und Hinweisgeber erhalten darüber die Möglichkeit, Meldungen über Rechtsverletzungen einzureichen.
Unter Rechtsverletzungen sind insbesondere Verstöße gegen verschiedene ausdrücklich genannte Rechtsvorschriften zu verstehen. Darunter fallen zum Beispiel Rechtsvorschriften des Öffentlichen Auftragswesen, Datenschutz, Geldwäsche und Verbraucherschutz.
Ab wann gilt das HinweisgeberInnenschutzgesetz?
Das österreichische Umsetzungsgesetz der Whistleblowing-Richtlinie (2019/1937/EU) ist grundsätzlich am 25.02.2023 in Kraft getreten. Es gilt allerdings gemäß § 28 Abs. 1 HSchG eine Übergangsfrist von sechs Monaten ab dem Inkrafttreten für die Einführung von digitalen Whistleblower-Systemen. Unternehmen und juristische Personen des öffentlichen Sektors mit 250 und mehr Beschäftigten müssen daher Meldestellen verpflichtend ab dem 25. August 2023 bereithalten.
Für Unternehmen und juristischen Personen zwischen 50 und 249 Mitarbeitenden gilt diese Pflicht seit dem 17. Dezember 2023.
Wie muss das interne Hinweisgebersystem ausgestaltet werden?
Die interne Meldestelle muss erreichbar und verfügbar sein. Dazu bietet sich es sich an, einen Link des digitalen Whistleblowing-Systems auf der Webseite zu platzieren.
Das Whistleblower-System muss Hinweisgeberinnen und Hinweisgeber dazu anregen, sich zuerst an eine interne Meldestelle gegenüber einer externen (staatlichen) Stelle zu wenden.
Das Unternehmen hat die interne Stelle mit den zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Mitteln auszustatten. Wichtiges Ziel ist dabei insbesondere die Wahrung der Vertraulichkeit der Identität des Whistleblowers und Dritter, die in der Meldung erwähnt werden (§ 13 Abs. 1 HSchG).
Wie sollen Hinweisgebende Meldungen abgeben können?
Unternehmen und die Öffentliche Hand müssen Hinweisgebersysteme so einrichten, dass sie schriftlich oder mündlich oder in beiden Formen eingereicht werden können. Schriftlich bedeutet auch digital. Mündlich bedeutet telefonisch oder via Voice Message.
Was hat die interne Stelle nach Eingang eines Hinweises zu tun?
Das österreichische Umsetzungsgesetz schreibt insbesondere in § 13 HSchG ein Verfahren vor, dass bei einem Empfang einer Compliance-Meldung einzuhalten ist.
- Die interne Stelle hat den Eingang eines Hinweises unverzüglich, spätestens jedoch nach 7 Kalendertagen, digital zu bestätigen.
- Zunächst ist der Hinweis auf seine Stichhaltigkeit zu überprüfen. Die interne Stelle hat einem Hinweis nicht nachzugehen, wenn er nicht in den Geltungsbereich des HSchG fällt oder nicht stichhaltig ist. Daher sind offenkundig falsche Hinweise gemäß § 13 Abs. 6 HSchG zurückzuweisen.
- Der Compliance Officer hat binnen 14 Kalendertagen eine Zusammenkunft zur Besprechung des Hinweises mit der Hinweisgeberin oder dem Hinweisgeber durchzuführen, sofern dies vom Whistleblower gefordert wird.
- Ebenso wie die interne Stelle sachdienliche Rückfragen stellen darf/muss sind auch Hinweisgeberinnen und Hinweisgeber berechtigt, gegebene Hinweise nach Entgegennahme durch die interne Stelle bei dieser zu ergänzen oder zu berichtigen.
- Die interne Stelle hat auf Verlangen die Entgegennahme von Ergänzungen und Berichtigungen spätestens nach 7 Kalendertagen schriftlich zu bestätigen.
- Die bzw. der Compliance Beauftragte bzw. das Unternehmen / Behörde führt die notwendigen Folgemaßnahmen gemäß § 6 Ziffer 3 HSchG durch. Folgemaßnahmen können sein: Prüfung der Stichhaltigkeit des Hinweises, interne Nachforschungen, Ermittlungen, oder die Veranlassung, Einleitung, Durchführung oder Beendigung eines Verfahrens oder sonstige Maßnahmen zum weiteren Vorgehen gegen den Verstoß, zur Strafverfolgung oder zur Wiederherstellung des rechtmäßigen Zustandes.
- Spätestens 3 Monate nach Entgegennahme eines Hinweises hat die interne Stelle dem Whistleblower bekanntzugeben, welche Folgemaßnahmen durchgeführt worden sind bzw. durchgeführt werden sollen oder warum der Hinweis nicht weiter verfolgt wird.
Was ist datenschutzrechtlich zu beachten?
Das HinweisgeberInnenschutzgesetz fordert die Einhaltung des Datenschutzrechts. Daher müssen die Hinweisgebersysteme technisch und organisatorisch den Anforderungen des Art. 25 DSGVO entsprechen. Solche Systeme müssen also dem Stand der Technik entsprechen, was eine Ende-zu-Ende Verschlüsselung, ISO 27001 Zertifizierung und angemessene technische und organisatorische Maßnahmen voraussetzt. Zudem sollte -auch wegen der EuGH-Rechtsprechung – ein Europäisches Hosting erfolgen.
Im Übrigen nennt § 8 HSchG umfassende Vorgaben bei dem Umgang mit den personenbezogenen Daten, die in dem Hinweis genannt werden. Die Verarbeitung der in Hinweisen enthaltenen personenbezogenen Daten ist für die Zwecke der Bearbeitung des Hinweises und des Schutzes der Hinweisgeberinnen und Hinweisgeber zulässig. Ebenso sieht das Gesetz einen Erlaubnistatbestand für die Verarbeitung von sensiblen Daten gemäß Art. 9 Abs. 1 DSGVO vor. Kategorien von betroffenen Personen können die Hinweisgeberinnen und Hinweisgeber, die von der Hinweisgebung betroffenen Personen sowie sonstige Personen sein, wie zum Beispiel Zeugen etc.
Entscheidend bei der Fallbearbeitung ist vor allem, dass nur solche Daten verarbeitet werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden.
Beachtlich ist, dass § 8 Abs. 13 HSchG vorgibt, dass Datenverarbeitungen gemäß dem Gesetz bereits Gegenstand einer allgemeinen Datenschutz-Folgenabschätzung sind. Sie erfüllen daher die Voraussetzungen des Art. 35 Abs. 10 DSGVO für den Entfall der Datenschutz-Folgenabschätzung.
Gibt es Löschfristen im HinweisgeberInnenschutzgesetz?
§ 8 Abs. 11 HSchG sieht eine Aufbewahrungsfrist vor. Danach sind personenbezogene Daten von einem Verantwortlichen ab ihrer letztmaligen Verarbeitung oder Übermittlung fünf Jahre und darüber hinaus so lange aufzubewahren, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist. Nach Entfall der Aufbewahrungspflicht sind personenbezogene Daten zu löschen.
Was gilt bei Verstößen gegen das HSchG?
Das Gesetz sieht Verwaltungsstrafen sogar bis zu 40.000 € bei Verstößen gegen das HinweisgeberInnenschutzgesetz vor. Dies gilt zum Beispiel bei einer Verletzung gegen die Vertraulichkeit. Ferner dann, wenn Mitarbeitende im Zusammenhang mit einer Hinweisgebung behindert oder zu behindern versucht werden (§ 24 HSchG).