Whistleblower. Claudia Kerpe, Leitung Produktmanagement Compliance bei Quality Austria, analysiert was sich für Unternehmen durch das HinweisgeberInnenschutz-Gesetz ab 17. Dezember ändert.
Spätestens seit dem Fall Edward Snowden im Jahr 2013 ist der „Whistleblower“ auch hierzulande ein bekannter Begriff. Sechs Jahre dauerte es bis zur Einführung der Whistleblower Richtlinie der EU.
Interne Meldekanäle ab 17. Dezember
Im Februar 2023 ist in Österreich das HinweisgeberInnenschutz-Gesetz (HSchG) in Kraft getreten, das betroffene heimische Organisationen bis 17. Dezember 2023 zur Einrichtung vertraulicher interner Meldekanäle verpflichtet. Claudia Kerpe, Leitung Produktmanagement Compliance und Korruptionsbekämpfung bei Quality Austria, analysiert die Änderungen:
Handlungsbedarf abstecken
Zum Schutz von Hinweisgebern vor negativen Konsequenzen wurde 2019 seitens der EU die Whistleblower Richtlinie beschlossen, im Februar 2023 wurden mit dem österreichischen HSchG Mindestanforderungen für private Unternehmen und öffentliche Stellen zum Schutz von Hinweisgebenden festgelegt. „Im HinweisgeberInnenschutz-Gesetz wird entsprechend der Größe des Unternehmens festgelegt, welche Meldesysteme und Compliance-Maßnahmen zum Schutz von Whistleblowern umzusetzen sind“, so Kerpe.
Grundsätzlich sind Unternehmen ab 50 Beschäftigten und öffentliche Einrichtungen mit mehr als 50 Mitarbeitenden von der neuen Regelung betroffen. „Auch für kleinere Unternehmen mit weniger als 50 Arbeitnehmern ist das Gesetz gültig, wenn sie in Branchen wie Finanzdienstleistung, Finanzprodukte/-markt, Sicherheit der zivilen Luft- bzw. Schifffahrt oder ähnlichen sensiblen Bereichen tätig sind. Wir empfehlen aber auch Unternehmen, die von ihrem Tätigkeitsfeld her von Hinweisen in Gebieten wie öffentliches Auftragswesen, Verbraucherschutz, Produkt-, Verkehrs- oder Lebensmittelsicherheit betroffen sein könnten, die Einrichtung eines freiwilligen Hinweisgebersystems in Betracht zu ziehen.“
Rahmenbedingungen schaffen
Der Aufbau eines Compliance-Systems im Unternehmen nimmt Zeit in Anspruch. Wichtig ist es demnach, sich eingangs damit auseinanderzusetzen, ob es – abhängig von der Größe und Struktur der Organisation – eventuell Sinn macht, eine eigene Compliance-Abteilung einzurichten, oder ob es eine andere Abteilung gibt, in der die Verantwortlichkeit eingebettet werden kann.
„Für betroffene Unternehmen drängt die Zeit, denn sie müssen noch vor Weihnachten ein internes Hinweisgeber-Meldesystem einrichten, das mittels Vertrauensregeln die Identität der hinweisgebenden Personen schützt. Wer bereits ein Managementsystem wie die ISO 9001 oder ISO 14001 implementiert hat, kann mit der Ergänzung von Managementsystemen wie der ISO 37001 zur Korruptionsbekämpfung oder der ISO 37301 für Compliance Management ein wirksames Rechtsmanagementsystem im Unternehmen schaffen. Damit wird die operative Umsetzung der HSchG-Anforderungen erleichtert und die Rechtssicherheit erhöht.“
Painpoints identifizieren
Das Commitment und die Verpflichtung seitens der Geschäftsführung sind demnach essenziell für den Erfolg der Implementierung von Anti-Korruptionsmaßnamen im Unternehmen. „Wichtig ist, dass zunächst eine Unternehmenskultur geschaffen wird, in der Korruption als No-Go gilt und die Mitarbeitende für dieses wichtige Thema sensibilisiert“, so Kerpe. Es sollte als selbstverständlich angesehen werden, dass über Missstände offen gesprochen werden kann, ohne dass die hinweisgebende Person Konsequenzen wie Kündigung, Suspendierung oder andere persönliche Nachteile zu befürchten hat.
„Hier setzt das HSchG an, indem eine vertrauliche Kommunikationsplattform geschaffen wird, an die sich Personen wenden können, die im Rahmen ihrer beruflichen Tätigkeit Kenntnis von Gesetzesverstößen in gewissen Rechtsbereichen erhalten. Zudem sollten klare Richtlinien vorgegeben werden und Compliance- bzw. Antikorruptionsbeauftragte mittels Schulungen das entsprechende Know-how erhalten. Last but not least bedarf es auch effektiver Kontrollmechanismen, damit das Einhalten der Vorgaben gewährleistet wird.“
Rechtssichere Meldekanäle schaffen
„Grundsätzlich verlangt das Gesetz, dass Hinweise entweder über mündliche Kanäle oder schriftlich ermöglicht werden sollen. Egal, auf welchem Weg die Meldung erfolgt, müssen Organisationen sicherstellen, dass die Vertraulichkeit und DSGVO-Konformität gegeben sind, eine entsprechende Dokumentation gemacht wird und Hinweise unparteilich und unvoreingenommen bearbeitet und beantwortet werden.“ Eine Bestätigung über den Eingang des Hinweises muss innerhalb von sieben Tagen erfolgen.
Neben internen Whistleblower-Hotlines existieren auch externe Meldestellen, an die sich Hinweisgeber direkt wenden können – dazu zählt beispielsweise das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BKA). Die Informationen über interne und externe Meldestellen sowie den Meldeprozess selbst müssen an die Mitarbeitenden kommuniziert werden.
Compliance-Managementsystem hilft reagieren
„Zu beachten ist auch noch eine weitere Frist: Spätestens drei Monate nach der erfolgten Meldung müssen Hinweisgeber eine Rückmeldung über die erfolgten Nachforschungen bzw. Folgemaßnahmen erhalten. Mit einem Compliance-Managementsystem werden nicht nur die nötigen Rahmenbedingungen innerhalb einer Organisation geschaffen, sondern die Einführung und Einhaltung der Korruptionsschutzmaßnahmen deutlich erleichtert“, so Kerpe.