Whistleblowing. Das Gesetz hat den Nationalrat passiert. Juristen sehen nach wie vor Lücken, aber auch Verbesserungen im Vergleich zum Erstentwurf.
Wien. Wer bestimmte Missstände in Unternehmen aufzeigt, steht künftig auch in Österreich unter gesetzlichem Schutz. Am 1. Februar – mit mehr als einem Jahr Verspätung – hat der Nationalrat das Umsetzungsgesetz zur EU-Whistleblower-Richtlinie (HinweisgeberInnenschutzgesetz, HSchG) beschlossen. Die Reaktionen fielen differenziert aus: Die Koalitionsparteien lobten die Regelung als „praktikable, gute Lösung“, Kritik kam von der Opposition, aber etwa auch von Transparency International Austria und vom Verband für Interne Revision, die den Schutz weiterhin für unzureichend halten.
Dass mehr möglich gewesen wäre, bestätigen auch Rechtsexperten. „Der Anwendungsbereich des HSchG wurde trotz entsprechender Anregungen nicht weiter ausgedehnt“, sagt Rechtsanwalt Axel Anderl, Managing Partner in der Kanzlei Dorda, zur „Presse“. Erfasst sind demnach zum Beispiel Meldungen über Verstöße in den Bereichen Datenschutz, Produktsicherheit oder öffentliches Auftragswesen und gewisse Straftatbestände wie Missbrauch der Amtsgewalt, Geschenkannahme und Bestechung (§§ 302 bis 309 StGB). Ein Kritikpunkt sei indes, „dass damit die in der Praxis höchst relevanten Betrugsverdachtsmeldungen final nicht erfasst sind“. Fehlt dafür jedoch der spezifische Schutz, würden auch praxisnahe Anwendungsfälle wahrscheinlich nicht an die Meldestelle herangetragen. „Damit kann die Geschäftsleitung aber auch potenziellen Haftungsrisiken nicht rechtzeitig begegnen.“
Wobei sich die Risken hier nicht aufs rein Rechtliche beschränken – sehr stark geht es auch um Reputationsschäden. Um ein Extrembeispiel zu nennen: Hätte ein Gesetz wie das österreichische die US-Whisteblowerin Frances Haugen dazu bewegen können, ihre Vorwürfe gegen ihren ehemaligen Arbeitgeber Meta bzw. Facebook, die sich vor allem auf dessen Umgang mit Hassbotschaften bezogen, unternehmensintern anzubringen, statt sie nach ihrem Ausscheiden aus dem Unternehmen in die Öffentlichkeit zu tragen? Wohl kaum. Fälle dieser Dimension wären freilich auch durch ein weiter gefasstes Gesetz kaum abzubilden.
Letzter Stichtag im Dezember
Mit der Pflicht, Meldekanäle einzurichten, wird es in den nächsten Monaten ernst, letzter Stichtag (für Firmen mit einer Mitarbeiterzahl von 50 bis 249) ist der 17. Dezember. „Wir sehen hier einen enormen Nachholbedarf“, sagt Anderls Kanzleikollegin Alexandra Ciarnau. Durch die bislang zögerliche Vorgehensweise des Gesetzgebers seien viele Unternehmen in den Wartemodus gegangen. Dazu kämen „eine gewisse Frustration und Ausgelaugtheit bei den Unternehmen nach der großen DSGVO-Anpassung“. Ungeachtet dessen seien die Hotlines auch für sie selbst ein wichtiges Tool.
Was hat sich geändert?
Gegenüber dem Erstentwurf vom Juni 2022 gibt es in der Endfassung einige Änderungen: So sind bei der Bearbeitung von Meldungen nur noch offenkundig falsche Hinweise zurückzuweisen. Weiters wurden die im Erstentwurf zu weit gehenden Datenverarbeitungen eingeschränkt: Insbesondere die Kritik an der systemwidrig langen Aufbewahrungsdauer von 30 Jahren wurde teilweise berücksichtigt: Personenbezogene Daten dürfen nunmehr nur noch fünf Jahre und darüber hinaus so lange, als dies für ein eingeleitetes Verfahren notwendig ist, aufbewahrt werden. „Die Frist ist jedoch nach wie vor vergleichsweise lang: So war die Aufbewahrung von Whistleblower-Daten nach der bisherigen Position der Datenschutzbehörde nur für maximal zwei Monate nach Beendigung der Untersuchung bzw. des Verfahrens zulässig“, sagt Anderl. Neu sei auch, dass bei Datenverarbeitungen auf Grundlage des HSchG das Unternehmen ausdrücklich keine Datenschutz-Folgenabschätzung durchführen muss. Eröffnet ein Unternehmen die Hotline aber freiwillig auch für andere Verstöße außerhalb des Gesetzes (z. B. Mobbing, Betrug, Untreue, Verstöße gegen interne Policies etc.), greift diese Ausnahme nicht. Was freilich nicht gegen eine sinnvolle Ausweitung der Hotline sprechen sollte.
("Die Presse", Print-Ausgabe, 03.02.2023)