Whistleblowinggesetz 2022 – Fortsetzung

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Das Bundesministerium für Arbeit hat am 3. Juni 2022 im Nationalrat den Ministerialentwurf eines Bundesgesetzes über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen (HinweisgeberInnenschutzgesetz – HSchG) eingebracht.

 

Wie Sie wissen soll damit die ‚Whistleblower‘-Richtlinie 2019/1937 des europäischen Parlaments und des Rates vom 23. Oktober 2019 umgesetzt werden, was Österreich seit 17. Dezember 2021 verabsäumt hat.
Die Ziele seien unter anderem eine „Erhöhung der Bereitschaft zu rechtmäßigem Verhalten in Lebensbereichen von besonderem, öffentlichen Interesse“ sowie eine „Erhöhung des Schutzes von Hinweisgeberinnen/Hinweisgebern vor Vergeltungsmaßnahmen“.

Die ursprüngliche Whistleblower-Richtlinie zielt auf den Schutz von Personen ab, die Verstöße gegen das Unionsrecht melden. Im HinweisgeberInnenschutzgesetz wird inhaltlich nunmehr das seitens der RL vorgeschriebene Materienrecht übernommen - jedoch ohne Bezug, ob die Rechtsverletzung auf einen EU-Rechtsakt zurückzuführen ist.

Um diesen sachlichen Anwendungsbereich anhand eines Beispiels zu verdeutlichen: Artikel 2 der oben zitierten EU-Richtlinie spricht „Verstöße gegen das Unionsrecht“, genauer Verstöße im Anwendungsbereich der „im Anhang aufgeführten Rechtsakte der Union“, an. In diesem Anhang wird in der Folge unter anderem die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) zitiert. Der österreichische § 3 Abs 3 HinweisgeberInnenschutzgesetz spricht nun von „Verletzung von Vorschriften in einem der folgenden Bereiche“ und führt etwa in Ziffer 10. Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz und Informationssystemen an.

Daraus könnte man schließen, dass – um beim Beispiel Datenschutz zu bleiben – nicht nur auf die DSGVO zurückzuführende Meldungen von Rechtswidrigkeiten, sondern etwa auch Meldungen von Verstößen gegen das nationale Datenschutzgesetz dem Whistleblowing-Schutz unterliegen. Dies wäre meines Erachtens auch die einzige sinnvolle Lösung, da man von einem Whistleblower keine Beurteilung verlangen kann, ob durch den angezeigten Sachverhalt EU- oder nationales Recht berührt wurde.
Auch mündliche (etwa telefonische) oder schriftliche Meldungen sind entgegenzunehmen und ist eine Anonymität bietende Software – aus heutiger Sicht (Entwurf) – nicht gesetzlich verpflichtend.
§ 8 HSchG geht auf den Datenschutz – hier im Rahmen der Abwicklung des Meldewesens selbst – ein. Dabei fällt eine grundsätzliche Archivierungspflicht von dreißig (!) Jahren auf, welche bei Notwendigkeit (anhängige Verfahren) und Verhältnismäßigkeit ausgedehnt werden kann. Läuft diese Aufbewahrungspflicht ab seien die Personendaten zu löschen.

Nicht nur Datenschutzbeauftragten, welche sich regelmäßig mit Löschkonzepten befassen, werden diese 30 Jahre überschießend erscheinen. Es bleibt abzuwarten, ob es der Wortlaut „dreißig Jahre“ ins endgültige Gesetz schafft; Und wenn Ja – würde mich ein spätere Auseinandersetzung des Verfassungsgerichtshofs mit dieser eigenartigen „Löschfrist“ nicht wundern.

Meines Erachtens sollte die Regelung der Speicherdauer den Inhalt der Meldung des Whistleblowers nicht unberücksichtigt lassen. So leuchtet eine jahrelange Speicherung für strafrechtlich relevante Meldungen ein – anders sieht es jedoch bei einer Bagatelle aus.
Ob es noch zu Änderungen dieses Entwurfes zum HinweisgeberInnenschutzgesetz kommt bleibt abzuwarten.

Übrigens: Auch wenn das HSchG in seiner endgültigen Fassung keine Anonymität gewährende Meldekanäle vorschreiben sollte, empfehlen wir Ihnen dennoch ein Vorgehen, welches die Identität eines Hinweisgebers geheim hält. Mit der Anonymität steht und fällt meines Erachtens die Inanspruchnahme Ihres Meldewesens. Nur ein Meldekanal, welcher auch rege genutzt wird, kann zur Compliance beitragen.

Wir halten Sie auf dem Laufenden zum Hinweisgeberschutzrecht in Österreich. Melden Sie sich gerne für ein kostenloses Erstgespräch hinsichtlich Whistleblowing sowie Umsetzung in Ihrem Unternehmen.