Umsetzung der Whistleblowing-RL für Unternehmer

Am 23.10.2019 wurde die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Whistleblowing-RL), erlassen. Die Richtlinie ist von den Mitgliedstaaten der EU bis zum 17.12.2021, bzw für kleinere Unternehmen bis 249 Arbeitnehmer bis zum 17.12.2023, in nationales Recht umzusetzen. In Österreich erfolgte die Umsetzung noch nicht. Laut Anfragebeantwortung zur rechtzeitigen Umsetzung der EU-Whistleblowerrichtlinie 6793/AB vom 02.08.2021 soll der Gesetzesentwurf im Laufe des Spätsommers in Begutachtung geschickt werden und das Gesetz dem Parlament im Herbst zur Beschlussfassung vorgelegt werden. Für Unternehmer sind in weiterer Folge insbesondere betriebsverfassungs- und datenschutzrechtliche Gesichtspunkte zu beachten.


Inhaltsübersicht


I. Zum Begriff des Whistleblowings

Unter „Whistleblowing“ wird die Offenlegung illegaler oder unmoralischer Praktiken von Unternehmen/Organisationen durch einen Hinweisgeber – den sogenannten „Whistleblower“ verstanden.

Mit der Whistleblowing-RL sollen institutionelle und verfahrensmäßige Vorkehrungen und Mindeststandards für den Schutz von Whistleblowern geschaffen werden. Die Whistleblowing-RL sieht überdies Sanktionen gegen Unternehmen und Organisationen vor, wenn diese bspw mit Kündigungen, Gehaltsminderungen, etc gegen die Hinweisgeber vorgehen.

II. Aufbau eines Meldesystems

Die Richtlinie sieht ein dreistufiges Meldesystem vor:

  1. interne Meldekanäle
  2. externe Meldekanäle an Behörden
  3. Veröffentlichung der Informationen

Ein Whistleblower muss grundsätzlich (mit einigen Ausnahmen) zuerst die unternehemens- bzw organisationsinternen Meldekanäle ausschöpfen, bevor er das weitere Meldesystem nutzen kann.

Zur Einrichtung interner Meldekanäle sind Unternehmen mit zumindest 50 Arbeitnehmern (zunächst aber erst ab 250 Arbeitnehmern), sowie unabhängig von der Arbeitnehmerzahl Unternehmen, die einer risikogeneigten Tätigkeit nachgehen (bspw Finanzdienstleistungssektor) und juristische Personen des öffentlichen Sektors verpflichtet.

Nach der RL ist für die Beurteilung des Schutzbereiches auf den autonomen unionsrechtlichen Arbeitnehmerbegriff abzustellen. Demnach sind neben den Arbeitnehmern in typischen Beschäftigungsverhältnissen (einschließlich Teilzeit- und befristet Beschäftitgten) auch Leiharbeitnehmer, sowie Beamte, öffentlich Bedienstete und andere Personen, die im öffentlichen Sektor arbeiten, vom Schutzbereich der RL erfasst. Der unionsrechtliche Arbeitnehmerbegriff ist auch bei Beurteilung der Arbeitnehmeranzahl heranzuziehen, weshalb auch beschäftigte Leiharbeitnehmer ohne Erfordernis einer Mindestbeschäftigungsdauer in den Beschäftigerbetrieb einzurechnen sind (vgl OGH 9ObA65/20d).

Als interne Meldekanäle kommen Online-Plattformen und Briefkästen für die schriftliche Weitergabe von Hinweisen oder eine Whistleblowing-Hotline bzw eine unparteiische Person für die mündliche Weitergabe des Hinweises in Betracht.

III. Betriebsverfassungsrechtliche Problemstellungen

Derzeit ist noch unklar, ob der österreichische Gesetzgeber für die Einrichtung interner Meldesysteme einen eigenen Betriebsvereinbarungstatbestand schaffen wird. Ohne explizite Rechtsgrundlage ist zu hinterfragen, ob das interne Kontrollsystem aufgrund der bestehenden rechtlichen Bestimmungen der Zustimmung des Betriebsrates bzw der einzelnen Arbeitnehmer bedarf.

Ein Kontrollsystem, das die Menschenwürde gemäß § 96 Abs 1 Z 3 ArbVG berührt, darf nur dann eingeführt werden, wenn der Betriebsrat zustimmt bzw wenn jeder einzelne Arbeitnehmer zustimmt sofern kein Betriebsrat besteht (§ 10 AVRAG). Ein solches Kontrollsystem ist jedoch nur dann anzunehmen, wenn durch das System ein Zustand ununterbrochener Kontrolle entsteht und nicht bereits dann, wenn damit einzelne, konkrete Verstöße gegen bestimmte Normierungen gemeldet werden können. Es ist somit mangels ununterbrochener Kontrolle davon auszugehen, dass bei Einführung eines Systems, das lediglich den Mindestanforderungen der RL entspricht, keine Betriebsvereinbarung nach § 96 Abs 1 Z 3 ArbVG bzw Zustimmung der Arbeitnehmer erforderlich ist.

Des Weiteren könnte es sich beim internen Meldekanal um ein automationsunterstütztes Personaldatensystem gemäß § 96a Abs 1 ArbVG handeln. Dieses erfordert jedoch nur dann die Zustimmung des Betriebsrates, wenn die Datenverarbeitung über die Erfüllung von gesetzlichen, kollektiv- oder arbeitsvertraglichen Pflichten hinausgeht. Bei Erfüllung der Mindeststandards laut RL (bzw Gesetz) ist somit eine Zustimmung des Betriebsrates aus derzeitiger Sicht nicht erforderlich.

Doch selbst bei Annahme der Erforderlichkeit einer Zustimmung könnte argumentiert werden, dass die vom österreichischen Gesetzgeber noch zu schaffenden Gesetzesbestimmungen als lex specialis den Bestimmungen des ArbVG zur Mitbestimmung des Betriebsrates vorgehen. Diese Ansicht entspricht auch dem Zweck der arbeitsverfassungsrechtlichen Bestimmungen: nämlich nur dort eine Mitbestimmung zu ermöglichen, wo Vertragsfreiheit besteht und die Gestaltungsfreiheit nicht bereits aufgrund von zwingenden gesetzlichen Bestimmungen fehlt.

In jedem Fall ist jedoch davon auszugehen, dass eine „Übererfüllung“ der Standards laut Whistleblowing-RL bzw deren innerstaatlicher Umsetzung zu einer Zustimmungspflicht des Betriebsrates oder – mangels eines solchen – der einzelnen Arbeitnehmer führt.

IV. Datenschutzrechtliche Problemstellung

Datenschutzrechtliche Erleichterungen für Whistleblowing-Systeme sind in der Whistlewlower-RL nicht vorgesehen, weshalb Arbeitgeber verpflichtet sind, die diesbezüglichen Datenverarbeitungen mit Art 6 oder Art 9 DSGVO zu rechtfertigen und die Arbeitnehmer entsprechend Art 13, 14 DSGVO zu informieren. Auch eine Datenschutz-Folgenabschätzung kann im Einzelfall erforderlich sein.

Die Rechtfertigung kann zunächst auf die gesetzliche Verpflichtung zur Verarbeitung gestützt werden. Daneben liegt aber auch der Zweck der Verarbeitung (wie auch der RL selbst) im öffentlichen Interesse und rechtfertigt die Datenverarbeitung. Um das System sinnvoll gestalten zu können, ist die Verarbeitung personenbezogener Daten auch erforderlich.

Entsprechend dem Datenminimierungsprinzip der DSGVO sind personenbezogene Daten unverzüglich zu löschen, wenn sich ein Vorwurf nicht bestätigt.

Für Detailfragen stehen wir gerne zur Verfügung.

Autoren:

Dr. Roland Heinrich
Mag. Anna Langreiter