Neues zur Umsetzung der Whistleblowing-Richtlinie
Vor knapp zwei Jahren, am 23. Oktober 2019, wurde die Whistleblowing-Richtlinie (EU 2019/1937) erlassen. Ganz nach amerikanischem Vorbild soll dadurch auch in Europa für mehr Rechtstreue (=Compliance) in den (auch öffentlichen) Unternehmen gesorgt werden. Die Richtlinie ist von den EU-Mitgliedstaaten bis spätestens 17. Dezember 2021 in nationales Recht umzusetzen. Wie es darum in Österreich steht und welche datenschutzrechtlichen Fragen damit verknüpft sind, erfahren Sie in den folgenden Zeilen.
Gleich vorweg, knapp drei Monate vor Ende der Umsetzungsfrist der Whistleblowing-RL gibt es – soweit ersichtlich und bekannt – von österreichischer Seite noch keine Anstrengungen, den zukünftigen Rechtsunterworfenen einen Gesetzesentwurf zu präsentieren. Es ist somit davon auszugehen, dass sich ein solcher sehr eng an der Textierung der Richtlinie orientieren wird. Überraschungen können jedoch nie ausgeschlossen werden.
Ab einer gewissen Größe (50 Mitarbeiter) werden Unternehmen dazu verpflichtet, interne Meldesysteme zu schaffen, über die Hinweisgeber Verstöße gegen das EU-Recht (z.B. iZm Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, sowie Umweltschutz) melden können. Da die Richtlinie lediglich Mindeststandards festlegt, steht es dem nationalen Gesetzgeber grundsätzlich frei, die gemeldeten Rechtsverletzungen auch auf Verstöße gegen das innerstaatliche Recht auszuweiten. Stets ist der Schutz der Hinweisgeber vor Repressalien (z.B. Kündigung oder Entlassung, aber auch andere ungerechtfertigte Nachteile wie Rückstufungen), vor allem auch durch die Möglichkeit anonymer Meldungen, zu gewährleisten.
Zunächst (grundsätzlich ab dem 17. Dezember 2021, sofern die Richtlinie tatsächlich rechtzeitig in nationales Recht umgesetzt wird) richten sich die in der Richtlinie genannten Verpflichtungen an Unternehmen mit einer Mitarbeiteranzahl von 250. Die Frist für Unternehmen mit 50 bis 249 Mitarbeiter ist grundsätzlich der 17. Dezember 2023. Selbst wenn eine Umsetzung der Richtlinie nicht rechtzeitig erfolgt, sollten Unternehmen schon jetzt entsprechende Meldesysteme einrichten. Außerdem müssen die Mitgliedstaaten Behörden benennen, die Meldungen über Verstöße entgegennehmen und entsprechende Folgemaßnahmen ergreifen können.
Da Hinweisgebersysteme immer personenbezogene Daten natürlicher Personen verarbeiten, müssen dabei auch die datenschutzrechtlichen Vorgaben der DSGVO beachtet werden. Dementsprechend müssen nicht nur geeignete technische und organisatorische Maßnahmen (z.B. Verschlüsselungen) getroffen werden, sondern sind auch gegebenenfalls Auftragsverarbeitungsverträge mit externen Dienstleistern gemäß Art. 28 DSGVO abzuschließen.
Problematisch könnte der Hinweisgeberschutz im Hinblick auf die Informationspflichten des Art. 14 DSGVO und die Auskunftspflichten gemäß Art. 15 DSGVO gegenüber dem Beschuldigten sein. Hier ist zu prüfen ob und inwieweit die DSGVO nicht Ausnahmen von diesen Verpflichtungen vorsieht. So entfällt das Recht auf Auskunft beispielsweise dann, wenn durch die Auskunft Informationen offenbart werden würden, die wegen überwiegender berechtigter Interessen eines Dritten geheim gehalten werden müssen. Es ist somit im konkreten Einzelfall zu beurteilen, ob dem Beschuldigten tatsächlich ein solches Auskunftsrecht zusteht oder nicht. Eine pauschale Beurteilung, die zu einer generellen Verweigerung des Auskunftsrechts führt, ist somit nicht zulässig.
Das zuvor aufgezeigte Spannungsverhältnis zwischen Hinweisgeberschutz und dem Datenschutzrecht könnte beispielsweise durch eine Regelung im österreichischen Datenschutzgesetz aufgelöst werden. In Deutschland gibt es im Bundesdatenschutzgesetz (§ 29 Abs. 1 BDSG) bereits eine Regelung, von einer Informationsverpflichtung abzusehen, „soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“.
In den nächsten Wochen ist somit zu beobachten, wie eine Umsetzung der Richtlinie in Österreich erfolgt und ob möglicherweise das Spannungsverhältnis mit dem Datenschutz entschärft werden wird.
DISCLAIMER
Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.