S. 584. Der laufende Betrieb des Whistleblowing-Systems

Whistleblowing-Systeme sind Instrumente, die es Mitarbeiter:innen, Kund:innen, Lieferanten oder anderen Stakeholdern ermöglichen, Hinweise auf Fehlverhalten, Missstände oder Risiken in einer Organisation anonym oder vertraulich zu melden. Damit diese Systeme effektiv und glaubwürdig sind, sollte nicht nur deren Implementierung sorgfältig geplant werden, sondern auch der laufende Betrieb kontinuierlich überwacht werden.

Der laufende Betrieb eines Whistleblowing-Systems umfasst verschiedene Aspekte, wie zB:

• Die Sicherstellung der technischen Funktionalität und Sicherheit des Whistleblowing-Systems, zB durch regelmäßige Updates, Backups, Verschlüsselung.

• Die Bearbeitung und Prüfung der eingehenden Meldungen, zB durch qualifizierte und unabhängige Empfänger:innen, klare Verfahren, angemessene Fristen, Rückmeldung an die Whistleblower, aktive Verwaltung der Zugriffsberechtigungen.

• Die Einleitung und Durchführung von angemessenen Maßnahmen, zB durch interne oder externe Untersuchungen, Korrektur- oder Präventionsmaßnahmen, Sanktionen.

• Die Dokumentation und Auswertung der Meldungen und Maßnahmen, zB durch einheitliche Kriterien, Statistiken, Berichte, Lernprozesse.

In diesem Kapitel werden diese Aspekte näher erläutert und anhand von Beispielen und Praxistipps und Checklisten dargestellt.

Abb 6: To-dos zur Implementierung eines Whistleblowing-Systems

S. 594.1. Stichhaltigkeitsprüfung

Woran kann ich mich bei der Durchführung der Stichhaltigkeitsprüfung von Hinweisen orientieren?

Als stichhaltig kann ein Hinweis beispielsweise dann eingestuft werden, wenn er konkrete Vorwürfe entsprechend dem sachlichen Anwendungsbereich lt § 3 Abs 3 bis 5 HSchG beinhaltet oder der Hinweis in einem vom Unternehmen erweiterten Anwendungsbereich fällt (siehe Kap 2.2.).

Als nicht stichhaltig kann ein Hinweis insbesondere dann eingestuft werden, wenn er sich offensichtlich auf zB subjektive bzw allgemeine Unzufriedenheitsmeldungen ohne konkrete Vorwürfe, Sachverhalte außerhalb des Geschäftsbereichs des Unternehmens, reine Spekulationen oder nur Hinweise zu negativen Medienberichten bezieht. Allerdings ist darauf hinzuweisen, dass die Stichhaltigkeitsprüfung einzelfallbezogen erfolgen muss und nach keinem konkreten, allgemein gültigen Schema durchgeführt werden kann.

Darüber hinaus können nach dem ISO Standard 37002:2021 Whistleblowing Management Systems aus allgemeiner Sicht und unabhängig vom sachlichen Anwendungsbereich lt HSchG die folgenden Aspekte bei der Durchführung der Stichhaltigkeitsprüfung berücksichtigt werden:

• Handelt es sich bei dem vom Whistleblower beschriebenen Fehlverhalten um eine Straftat? Muss das Fehlverhalten an die Strafverfolgungs- oder Aufsichtsbehörden weitergeleitet werden?

• Wann hat das Fehlverhalten stattgefunden oder wird es bald stattfinden?

• Besteht die unmittelbare Notwendigkeit, die Geschäftstätigkeit einzustellen oder auszusetzen?

• Besteht eine unmittelbare Gefahr für die Gesundheit und Sicherheit?

• Besteht eine unmittelbare Gefahr für die Menschenrechte oder die Umwelt?

• Besteht die unmittelbare Notwendigkeit, Beweise zu sichern und zu schützen, bevor sie gelöscht oder vernichtet werden?

• Besteht ein Risiko für die Funktionen, Dienstleistungen und/oder den Ruf der Organisation?

• Wird die Geschäftskontinuität durch den zu untersuchenden Bericht beeinträchtigt?

• Könnte der Bericht über das Fehlverhalten das Interesse der Medien wecken?

• Wie kann dieser Bewertungsprozess gehandhabt werden, während gleichzeitig Vertrauen, Schutz und Unparteilichkeit gewährleistet werden?

• Stehen weitere bestätigende Informationen zur Verfügung?

• Welcher Art ist das Fehlverhalten (dh Art, Häufigkeit, Rolle und Dienstalter der Personen, über die berichtet wird)?

• S. 60Wie groß ist die Wahrscheinlichkeit, dass das Fehlverhalten außerhalb der Organisation gemeldet wird?

• Wurde das Fehlverhalten bereits früher gemeldet?

• Wie ist der Whistleblower an die Informationen gelangt: Handelt es sich um Informationen aus erster Hand oder vom Hörensagen?

Aus der Praxiserfahrung zeigt sich, dass keine Whistleblower-Meldung mit einer anderen Whistleblower-Meldung verglichen werden kann. Jede Meldung wird von einem Whistleblower individuell verfasst und ist auch individuell vom WO zu prüfen. Die oben angeführten Aspekte sind deswegen nicht abschließend zu sehen und bieten lediglich eine Richtschnur für die Durchführung der Stichhaltigkeitsprüfung.

Wie ist mit Hinweisen umzugehen, die nicht in den Anwendungsbereich des Whistleblowing-Systems fallen?

Generell gibt es keine gesetzliche Verpflichtung, Hinweisen, die nicht in den gesetzlichen Anwendungsbereich des HSchG fallen oder aus denen keine Anhaltspunkte für die Stichhaltigkeit hervorgehen, nachzugehen.

Zudem können offenkundig falsche Hinweise jederzeit zurückgewiesen werden. Die Zurückweisung kann mit der Nachricht erfolgen, dass derartige Hinweise Schadenersatzansprüche begründen und auch gerichtlich oder als Verwaltungsübertretungen gem § 24 Z 4 HSchG verfolgt werden können.

Von den gesetzlich festgelegten Maßnahmen zum Umgang mit derartigen Hinweisen abgesehen, kann allerdings auch auf diese Arten damit umgegangen werden:

• Freundlicher, respektvoller, aber auch klarer Hinweis, dass der Hinweis nicht im Rahmen des Whistleblowing-Systems bearbeitet werden kann. Zusätzlich sollte, sofern möglich, an die zuständigen Stellen verwiesen werden, die sich um die entsprechenden Themen kümmern können (zB Personalabteilung, Vorgesetzte, Kundenservice).

• Bearbeitung der Hinweise innerhalb des Whistleblowing-Systems als Präventivmaßnahme und zur Vermeidung einer möglichen Eskalation des Hinweises (zB Meldung an externe Stelle, Veröffentlichung in Medien).

Bei sämtlichen Vorgehensweisen bzw Überlegungen sollte jedoch nicht auf die Dokumentationsverpflichtung vergessen werden.

S. 61Abb 7: Umgang mit Hinweisen

Wie ist mit Hinweisen umzugehen, die nicht über das Whistleblowing-System eingehen?

Wie bereits im Kap 2.1. erwähnt, sind auch Whistleblower schutzwürdig, die einerseits in den Geltungsbereich des HSchG fallen, aber keinen direkten Zugang zum Whistleblowing-System haben (zB Implementierung im Intranet).

Dementsprechend sollten auch Hinweise geprüft werden, die nicht direkt über das Whistleblowing-System eingehen, sofern diese in den Geltungsbereich des HSchG fallen oder stichhaltig sind. Hierbei ist allerdings auch zu bedenken, dass Mitarbeiter:innen, die den Hinweis empfangen haben und nicht die interne Stelle des jeweiligen Unternehmens bilden, die Bekanntgabe des Inhalts des Hinweises oder der Identität des Whistleblowers untersagt ist. Davon ausgenommen ist selbstverständlich die Weiterleitung des Hinweises an die zuständige interne Stelle.

Abgesehen von den gesetzlichen Rahmenbedingungen ist allerdings zu hinterfragen, ob es nicht für das jeweilige Unternehmen trotzdem empfehlenswert wäre, Hinweisen, die nicht in den gesetzlichen Anwendungsbereich fallen, nachzugehen. Damit könnten uU größere Reputationsschäden vermieden werden, die bspw durch eine Veröffentlichung des Hinweises entstehen könnten.

Wie viele Hinweise sind zu erwarten?

Die Anzahl der zu erwartenden Hinweise in einem Whistleblowing-System variiert und hängt von mehreren Faktoren ab, wie der Größe und Branche des Unternehmens, der Unternehmenskultur, der Bekanntheit und Zugänglichkeit des Systems sowie der geografischen Lage. Forschungsergebnisse und Daten aus verschiedenen Studien sowie bisherige Praxiserfahrungen bieten jedoch einige Orientierungspunkte.

S. 62Aus der von EQS durchgeführten „Whistleblowing-Umfrage 2023“ zeigt sich zB, dass im Jahr 2022 55 % der befragten Unternehmen mindestens eine Whistleblowing-Meldung erhalten haben, 25 % haben mehr als 10 Meldungen erhalten. Demgegenüber stehen 31 % der Unternehmen, die keine erhaltene Meldung anführten.

Aus den persönlichen Praxiserfahrungen der letzten Jahre zeigt sich ein ähnlicher Eindruck. Die implementierten Whistleblowing-Systeme werden angenommen und verwendet. Allerdings bleibt die Anzahl der Fälle meist im geringen (oft einstelligen) Bereich pro Jahr, wobei die meisten Unternehmen ihr Whistleblowing-System auch über einen Link auf der Website der breiten Öffentlichkeit im Internet zugänglich machen. Auch wenn das Thema Whistleblowing durch die gesetzlichen Regelungen viel öffentliche Aufmerksamkeit bekam, so ist in der Praxis – zumindest nach unseren bisherigen Erfahrungen – die große Welle an eingehenden Meldungen bisher ausgeblieben.

Die ACFE gibt in ihrer Studie „Occupational Fraud 2022: A Report to the Nations“ zudem an, dass Whistleblower-Hinweise in 42 % der Fälle der Grund für die Aufdeckung von Betrugsfällen war, wobei dies nahezu drei Mal öfters ist als der nächsthäufigste Grund. Dies unterstreicht die Bedeutung eines effektiven Whistleblowing-Systems. Die ACFE stellt ebenfalls fest, dass die Anzahl der Hinweise mit der aktiven Förderung des Whistleblowing-Systems und Schulungsmaßnahmen für Mitarbeiter zunimmt.

Zusammengefasst zeigt sich aus der Praxis sowie der Empirie, dass Mitarbeiter:innen und sonstige Adressaten des Whistleblowing-Systems von der Möglichkeit, Meldungen abzugeben, Gebrauch machen, eine große Welle an dutzenden oder hunderten Meldungen pro Jahr aber bisher nicht verzeichnet wurde.

Unterliegt ein Whistleblower den Schutzbestimmungen des HSchG, obwohl der abgegebene Hinweis nicht in den sachlichen Geltungsbereich des HSchG fällt?

Aufgrund des abgegrenzten sachlichen Geltungsbereichs des HSchG stellt sich oft die Frage, welche Rechtskenntnisse überhaupt vom Whistleblower erwartet werden dürfen.

Dazu enthält § 6 Abs 1 HSchG eine aus der WB-RL übernommene Wortfolge, wonach sich Whistleblower auf die Schutzbestimmungen des HSchG berufen können, „[…] wenn sie zum Zeitpunkt des Hinweises auf der Grundlage der tatS. 63sächlichen Umstände und der ihnen verfügbaren Informationen hinreichende Gründe dafür annehmen können, dass die von ihnen gegebenen Hinweise wahr sind und in den Geltungsbereich dieses Bundesgesetzes fallen“.

Damit der Whistleblower in den Anwendungsbereich des HSchG fällt ist notwendig, dass

• der Whistleblower eine Information besitzt, die nach allgemeiner Erfahrung Richtigkeit für sich beanspruchen kann;

• ein Sachverhalt vorliegt, der nach allgemeiner Lebenserfahrung und mit durchschnittlichem Allgemeinwissen den Verdacht einer Rechtsverletzung nahelegt;

• der Whistleblower von der Richtigkeit der Information und der Verwirklichung des Sachverhalts überzeugt ist;

• der Whistleblower annehmen kann, dass durch die Hinweisabgabe sowohl der persönliche als auch der sachliche Geltungsbereich des HSchG erfüllt ist.

Dem Whistleblower werden daher keine juristischen Kenntnisse abverlangt. Es ist bei der Beurteilung vom „[…] Wissenshorizont eines nicht rechtskundigen Menschen auszugehen, der sich mit den Grundzügen des Gesetzes auseinandergesetzt hat“.

Falls ein Whistleblower trotz der Informationen bzw Erklärungen zur internen Meldestelle fälschlicherweise zur Überzeugung gelangt, dass ein Hinweis in den Geltungsbereich des HSchG fällt, ist die vom HSchG geforderte Sorgfalt bei der Einschätzung der Anwendbarkeit gewahrt und die interne Meldestelle hat sich mit dem Hinweis zu befassen.

Wie geht die interne Meldestelle mit Hinweisen um, die nicht stichhaltig sind bzw nicht in den Geltungsbereich des HSchG fallen?

Wie bereits oben dargestellt, hat sich die interne Meldestelle uU auch mit Hinweisen zu befassen, die nicht in den Geltungsbereich des HSchG fallen. Dementsprechend besteht auch die gesetzliche Verpflichtung, jeden Hinweis auf seine Stichhaltigkeit zu überprüfen.

Eine weitere Untersuchung des Hinweises ist allerdings aufgrund mangelnder Anhaltspunkte für die Stichhaltigkeit oder mangelnde Erfüllung des Geltungsbereichs des HSchG nicht verpflichtend vorgesehen. Selbstverständlich steht es allerdings den internen Stellen frei, den Hinweis trotz der mangelnden gesetzlichen Verpflichtung näher zu untersuchen, um ggf auch Verstöße gegen interne Richtlinien oder andere Rechtsverstöße aufzuarbeiten.

Offenkundig falsche Hinweise können außerdem direkt an den Whistleblower mit dem Hinweis zurückgewiesen werden, dass solche Hinweise ggf SchadenS. 64ersatzansprüche begründen und gerichtlich oder als Verwaltungsübertretung verfolgt werden können.

4.2. Kommunikation mit Whistleblowern

Kommunikation mit Whistleblowern, also – in diesem Zusammenhang – Personen, die Missstände oder Rechtsverletzungen in Organisationen offenlegen, ist eine Herausforderung für alle Beteiligten. Einerseits ist die Vertraulichkeit des Whistleblowers zu schützen, andererseits ist dem konkreten Hinweis möglichst gründlich nachzugehen.

Whistleblower können wichtige Informanten sein, weshalb die richtige Kommunikation umso wichtiger ist. Die Kommunikation mit Whistleblowern erfordert daher besondere Sensibilität, Kompetenz und Verantwortung von denjenigen, die mit ihnen in Kontakt treten, sei es als Vorgesetzte, Kolleg:innen oder Anwält:innen.

Im folgenden Kapitel wird dargestellt, welche rechtlichen, ethischen und praktischen Aspekte bei der Kommunikation mit Whistleblowern beachtet werden sollten und welche möglichen Tipps und Beispiele für eine effektive, vertrauensvolle und risikominimierende Gestaltung dieser Kommunikation herangezogen werden können.

Wie soll der Meldeeingang gegenüber dem Whistleblower bestätigt werden?

Die Bestätigung des Meldeeingangs an einen Whistleblower ist ein wichtiger Schritt im Prozess des Case-Managements. Sie dient nicht nur der Anerkennung des Whistleblowers, sondern auch der Sicherstellung, dass sich der S. 65Whistleblower gehört und unterstützt fühlt. Laut § 9 Abs 1 HSchG ist der Eingang der Meldung innerhalb von sieben Kalendertagen zu bestätigen. In der Praxis empfiehlt sich jedoch, den Eingang so schnell als möglich zu bestätigen. Whistleblower überlegen oft lange, ob sie eine Meldung abgeben sollen und welche Konsequenzen dies haben wird bzw überlegen innerlich intensiv, ob sich eine Meldung negativ auf sie auswirken wird. Eine zeitnahe Bestätigung vermittelt dem Whistleblower das Gefühl, dass sein Anliegen ernst genommen wird, und es wird die Gefahr reduziert, dass sich das Zeitfenster der Aussagebereitschaft des Whistleblowers wieder schließt. Der Whistleblower sollte deswegen in seiner Entscheidung, einen Hinweis abzugeben, bestärkt werden und sollte die Bestätigung des Meldeeingangs auch Elemente der Wertschätzung, der Anerkennung und der Bestärkung enthalten.

Im Hinblick auf den Aufbau einer kommunikativen Beziehung mit dem Whistleblower ist eine individualisierte Nachricht gegenüber einer unpersönlichen Standardbestätigung über den Eingang eindeutig zu bevorzugen. In der persönlichen Nachricht sollten aus Praxissicht im Optimalfall die folgenden Inhalte enthalten sein:

• Ein Dank für die Übermittlung der Meldung.

• Der Name des WO sowie dessen Aufgabe iZm der Bearbeitung des Hinweises (zB Stichhaltigkeitsprüfung, Untersuchungshandlungen). Bei Unternehmen mit einer großen Anzahl an Endkunden sowie in bestimmten sensiblen Branchen kann nach Abwägung der Vor- und Nachteile von einer Nennung des Namens abgesehen werden, um eine zu große Exponiertheit der Person(en) zu vermeiden.

• Hinweis auf die Kompetenz und die Erfahrung des WO.

• Der Hinweis, dass die abgegebene Meldung sowie allfällige Anhänge sorgfältig durchgesehen wurden.

• Die Zusicherung der Vertraulichkeit bzw ein Hinweis auf die Wahrung der Anonymität.

• Angebot eines persönlichen Treffens.

Welche Fragen kann ich dem Whistleblower stellen, um weitere Informationen zum Sachverhalt zu erhalten?

Die am Markt etablierten SaaS-Lösungen ermöglichen eine einfache und anonyme Kommunikation mit Whistleblowern. Aus der Praxiserfahrung zeigt sich, dass die Aufrechterhaltung eines Kommunikationskanals zum Whistleblower einen großen Vorteil darstellt, da sich im Zuge der Aufarbeitung ergebende Fragen einfach an den Whistleblower kommuniziert werden können. Abseits von S. 67konkreten, den Sachverhalt betreffenden Fragen, können zB die nachfolgenden Fragen übermittelt werden, um weitere Informationen zu erhalten:

• Wo hat das Fehlverhalten stattgefunden (Gerichtsbarkeit)?

• Wann hat das Fehlverhalten stattgefunden (Vergangenheit, Gegenwart, Zukunft, laufend)?

• Wer ist an dem Fehlverhalten beteiligt?

• Haben Sie dies bereits früher gemeldet? Wenn ja, was, wann und an wen? Welche Maßnahmen wurden ergriffen?

• Welche Auswirkungen hat dies aus Ihrer Sicht für die Organisation?

• Ist die Geschäftsleitung an dem Fehlverhalten beteiligt oder weiß sie davon?

• Besteht ein Risiko für Sie oder andere?

• Haben Sie Dokumente oder andere Beweise, zB Bilder, die den Bericht untermauern?

• Gibt es noch andere Personen, die über Kenntnisse aus erster Hand verfügen, die wir kontaktieren können?

• Habe ich Ihr Anliegen richtig verstanden?

• Hat jemand versucht, dies zu verbergen oder Sie davon abzuhalten, Ihre Bedenken mitzuteilen? Wenn ja, sagen Sie uns bitte, wer und wie.

Zu welchen Konsequenzen kann eine Verletzung der Vertraulichkeit führen?

Whistleblowing ist ein wichtiges Instrument, um Rechtsverletzungen bzw Missstände in bestimmten Bereichen aufzudecken und zu verfolgen. Um einerseits dem Whistleblower die Möglichkeit einer vertraulichen Hinweisabgabe zu ermöglichen, andererseits aber auch die Aufarbeitung des Hinweises nicht zu gefährden, ist die Wahrung der Vertraulichkeit eines der fundamentalen Prinzipien des HSchG.

Eine Verletzung der Vertraulichkeit kann insbesondere zu folgenden Konsequenzen für den Whistleblower führen:

• Einschüchterung oder Mobbing.

• Erfüllung der Strafbestimmungen des HSchG gem § 24 Z 3 HSchG.

• Verwirklichung einer Datenschutzverletzung gem Art 33 DSGVO.

• Um die Identität des Whistleblowers sowie Dritter, die ggf auch in dem Hinweis erwähnt werden, zu schützen und damit auch die Vertraulichkeit zu wahren, sind die internen Stellen dementsprechend zu planen, einzurichten und zu betreiben. Zur Erfüllung dieser Verpflichtungen soll jedenfalls auch ein dem Stand der Technik entsprechendes Whistleblowing-System implementiert und damit die notwendigen datenschutzrechtlichen Grundsätze wie Datenschutz durch Technikgestaltung und Datenschutz durch Voreinstellungen umgesetzt werden (siehe dazu oben).

Kann/darf die Identität des Whistleblowers offengelegt werden?

Grundsätzlich ist die Identität des Whistleblowers vertraulich zu behandeln und (falls keine anonyme Meldung vorliegt) diese Vertraulichkeit ist zu wahren. Eine Aufhabung der Vertraulichkeit ist nur in eingeschränkten Fällen möglich.

Die internen Stellen, die die Meldung entgegennehmen oder weiterverfolgen, sind verpflichtet, die Identität der Meldung zu schützen und nur dann offenzulegen, wenn

• eine Verwaltungsbehörde,

• ein Gericht oder

• S. 69die Staatsanwaltschaft dies im Rahmen eines Verfahrens für unerlässlich und verhältnismäßig hält.

Aber wann liegt eine Unerlässlichkeit bzw Verhältnismäßigkeit vor?

Diese Frage ist von der verfahrensleitenden Behörde, dem Gericht oder der Staatsanwaltschaft zu prüfen. Bei der Prüfung ist ua auch das Risiko, dass Whistleblower durch Bekanntgabe ihrer Identität Repressalien ausgesetzt werden können, zu berücksichtigen.

Entsprechend den Erläuterungen können zur Beurteilung der Unerlässlichkeit auch vergleichbare Regelungen iZm dem Ermittlungsverfahren gem Strafprozessordnung („StPO“) herangezogen werden. Ein Fall von „Unerlässlichkeit“ könnte beispielsweise dann vorliegen, wenn die Identität des Whistleblowers für die Untersuchung und Bearbeitung des Hinweises unbedingt erforderlich ist und beispielsweise auch eine Zeugenvernehmung des Whistleblowers notwendig ist. Eine Zeugenvernehmung setzt aber die Offenlegung der Identität des Whistleblowers gegenüber der vernehmenden Behörde oder dem Gericht voraus. Eine solche Zeugenvernehmung ist natürlich auch für andere, vom Hinweis betroffene Personen möglich.

Vor der Offenlegung hat die Behörde allerdings den Whistleblower über die geplante Offenlegung zu informieren. Eine solche Information kann entfallen, wenn diese das Verfahren gefährden würde. Die Gründe für diese Offenlegung sind jedenfalls auch schriftlich zu dokumentieren.

Diese Einschränkungen gelten auch für alle vom Hinweis betroffenen Personen (zB Beschuldigte, Zeug:in).

4.3. Arbeitsrecht und Schutzbestimmungen

Bereits der Name des HSchG („HinweisgeberInnenschutzgesetz“) deutet darauf hinzeigt, dass der Schutz von Whistleblowern ein zentraler Aspekt der aktuell geltenden gesetzlichen Regelungen im Zusammenhang mit Whistleblowing ist. Da ein Großteil der Hinweise in der Praxis von Arbeitnehmer:innen der betroffenen Unternehmen abgegeben wird, steht der Schutz von Whistleblowern oft auch in einem engen Zusammenhang mit dem Arbeitsrecht.

Im nachfolgenden Kapitel gehen wir daher näher auf arbeitsrechtliche Aspekte des laufenden Betriebs eines Whistleblowing-Systems sowie konkret auf die derzeit geltenden gesetzlichen Schutzbestimmungen für Whistleblower ein.

S. 70Welcher Rechtsschutz besteht nach HSchG für Whistleblower bei Vergeltungsmaßnahmen?

Das HSchG normiert in § 20 Schutzbestimmungen für Whistleblower vor Vergeltungsmaßnahmen, die als Folge eines berechtigten Hinweises gesetzt werden.

Gem § 6 HSchG sind Whistleblower ab interner oder externer Erstattung einer Meldung zur Inanspruchnahme der Verfahren und des Schutzes für die Hinweisgebung berechtigt („berechtigter Hinweis“), wenn sie

• zum Zeitpunkt des Hinweises auf der Grundlage der tatsächlichen Umstände und der ihnen verfügbaren Informationen

• hinreichende Gründe dafür annehmen können, dass die von ihnen gegebenen Hinweise wahr sind und

• in den Geltungsbereich des HSchG fallen.

Nach der Systematik des HSchG wird zwischen reversiblen und irreversiblen Vergeltungsmaßnahmen unterschieden. Für die nicht abschließend in § 20 Abs 1 HSchG aufgezählten reversiblen Maßnahmen, wie zB eine Vergeltungskündigung, sieht das HSchG in erster Linie als Folge die Rechtsunwirksamkeit der Maßnahme vor. Zusätzlich besteht eine Verpflichtung zur Wiederherstellung des rechtmäßigen Zustandes sowie zur Leistung von Schadenersatz, wobei das HSchG in diesem Zusammenhang auch einen immateriellen Schadenersatz für die erlittene persönliche Beeinträchtigung normiert.

Für in § 20 Abs 2 HSchG aufgezählte irreversible Maßnahmen, wie zB Mobbing oder Diskriminierung, die nicht (zur Gänze) rückgängig gemacht werden können, sieht das HSchG ebenfalls eine Wiederherstellungs- und Schadenersatzpflicht vor.

Zu beachten ist, dass die in § 20 HSchG explizit aufgezählten Vergeltungsmaßnahmen zudem unter Verwaltungsstrafe gestellt sind (§ 24 Z 2 HSchG). Eine Vergeltungskündigung kann daher zugleich rechtsunwirksam sein und auch Verwaltungsstrafen nach § 24 Z 2 HSchG nach sich ziehen. Auch die (versuchte) Behinderung oder Unterdrucksetzung von Whistleblowern kann eine Verwaltungsstrafe zur Folge haben (§ 24 Z 1 HSchG).

Wie sind Whistleblower im Bereich des erweiterten Anwendungsbereichs vor Vergeltungskündigungen geschützt?

Zu beachten ist, dass die Schutzbestimmungen des HSchG grundsätzlich nur im gesetzlichen Anwendungsbereich zur Anwendung gelangen. Auf Meldungen im erweiterten Anwendungsbereich kommt das HSchG hingegen grundsätzlich nicht (automatisch) zur Anwendung.

S. 71Sofern der Rechtsschutz des HSchG somit nicht freiwillig von Unternehmensseite auf den erweiterten Anwendungsbereich auf vertraglicher Ebene ausgeweitet wird, könnte ein Schutz vor Vergeltungsmaßnahmen dennoch auch nach allgemeinen arbeitsrechtlichen Grundsätzen bestehen: Nach der einschlägigen Literatur könnte zB eine Kündigung, die als Vergeltungsmaßnahme auf eine berechtigte Meldung ausgesprochen wurde, insbesondere gem § 105 Abs 3 Z 1 lit i ArbVG anfechtbar oder gem § 879 ABGB nichtig sein. Gemäß § 105 Abs 3 Z 1 lit i ArbVG kann eine Kündigung „wegen der offenbar nicht unberechtigten Geltendmachung vom Arbeitgeber in Frage gestellter Ansprüche aus dem Arbeitsverhältnis durch den Arbeitnehmer“ angefochten werden. Sittenwidrig gem § 879 ABGB und somit nichtig ist nach der Rechtsprechung eine Kündigung, die aus „gänzlich unsachlichen“ Gründen ausgesprochen wird.

Ob eine Kündigung, die in Vergeltung eines berechtigten Hinweises im erweiterten Anwendungsbereich ausgesprochen wird, tatsächlich erfolgreich bekämpft werden kann, hängt natürlich stets von den Umständen im Einzelfall ab. Bislang liegt noch keine höchstgerichtliche Judikatur zum Rechtsschutz von Whistleblowern im erweiterten Anwendungsbereich vor.

Greifen die Schutzbestimmungen des HSchG auch dann, wenn Whistleblower selbst Mittäter:innen sind?

Generell sind Whistleblower schutzwürdig, wenn ein berechtigter Hinweis vorliegt. Sofern diese Voraussetzung erfüllt ist, greifen die Schutzbestimmungen daher grundsätzlich auch dann, wenn Whistleblower selbst in die gemeldete Rechtsverletzung involviert sind (zB als Mittäter).

Zu beachten ist jedoch, dass auch in diesem Fall insbesondere arbeitsrechtliche Folgemaßnahmen aufgrund der Rechtsverletzung selbst weiterhin zulässig sind. Wesentlich ist hierbei aus Unternehmenssicht eine umfassende Dokumentation, dass konkrete Maßnahmen nicht als Vergeltung in Bezug auf den Hinweis selbst, sondern als Folge der eigentlichen Rechtsverletzung gesetzt wurden.

Gilt der rechtliche Schutz des HSchG auch für bereits aus dem Unternehmen ausgeschiedene Arbeitnehmer:innen?

Gemäß § 2 Abs 1 HSchG gilt das Gesetz explizit auch für Personen, die aufgrund früherer beruflicher Verbindung zu einem Rechtsträger Informationen über Rechtsverletzungen erlangt haben.

Dementsprechend erstrecken sich die gesetzlichen Schutzbestimmungen des HSchG – sofern die sonstigen gesetzlichen Voraussetzungen erfüllt sind – auch auf Meldungen bereits aus dem Unternehmen ausgeschiedener Arbeitnehmer:innen.

S. 72Welche prozessualen Erleichterungen sieht das HSchG für Verfahren im Zusammenhang mit einer Vergeltungsmaßnahme vor?

In der Praxis kann sich der Nachweis, dass eine bestimmte Maßnahme als Vergeltung für einen erstatteten Hinweis erfolgt ist, schwierig gestalten.

§ 23 HSchG normiert daher sowohl für gerichtliche als auch verwaltungsbehördliche Verfahren eine Herabsetzung des Beweismaßes, welche in der rechtlichen Ausgestaltung an die Beweislastreduktion in anderen Gesetzen, zB im Gleichbehandlungsgesetz, angelehnt ist: So muss ein Whistleblower im Verfahren das Gericht nicht davon überzeugen, dass eine Maßnahme als Vergeltungsmaßnahme gesetzt wurde, sondern ist es ausreichend, wenn das Gericht dies als „wahrscheinlich“ ansieht. Hier ist somit an Stelle des regulären Beweismaßes („voller Beweis“) lediglich eine „Glaubhaftmachung“ erforderlich.

Sofern dem Whistleblower eine solche Glaubhaftmachung gelingt, trifft das Unternehmen (in richtlinienkonformer Auslegung) wiederum die volle Beweislast, nachzuweisen, dass mit höherer Wahrscheinlichkeit ein anderes Motiv für die Maßnahme ausschlaggebend war (zB schlechte wirtschaftliche Lage).

Fraglich ist, ob die im HSchG enthaltene Bestimmung tatsächlich eine korrekte Umsetzung von Art 21 WB-RL darstellt, welcher konkret vorsieht, dass in derartigen Verfahren „vermutet“ werden soll, dass eine Vergeltungsmaßnahme vorliegt. Nach dem Wortlaut der WB-RL wäre somit richtigerweise die Normierung einer Beweislastumkehr und nicht – wie vom österreichischen Gesetzgeber vorgesehen – bloß einer Beweismaßreduktion erforderlich gewesen.

S. 73Gegen wen richten sich die Verwaltungsstrafbestimmungen des HSchG konkret?

Gemäß § 24 HSchG begeht eine Verwaltungsübertretung, wer

• vom HSchG erfasste Personen im Zusammenhang mit einer Hinweisgebung behindert oder zu behindern sucht oder durch mutwillige gerichtliche oder verwaltungsbehördliche Verfahren unter Druck setzt (Z 1),

• eine der im § 20 aufgezählten Vergeltungsmaßnahmen setzt (Z 2; zB Kündigung, Mobbing etc),

• die Bestimmungen der §§ 7 oder 17 Abs 1 HSchG zum Schutz der Vertraulichkeit verletzt (Z 3; zB mangelnder Schutz der Identität von Whistleblowern) oder

• wissentlich einen falschen Hinweis gibt (Z 4).

Es können Geldstrafen bis zu EUR 20.000 (im Wiederholungsfall bis zu EUR 40.000) verhängt werden.

Während die Bestimmung betreffend die wissentliche Abgabe eines falschen Hinweises wohl „nur“ auf vermeintliche Whistleblower persönlich abzielen kann, stellt sich bei den anderen drei Verwaltungsstraftatbeständen (Z 1 bis Z 3) die Frage, gegen wen derartige Strafen im Fall eines Rechtsverstoßes konkret verhängt werden können.

Ganz generell können juristische Personen mangels Verschuldensfähigkeit nicht direkt bestraft werden, sodass gemäß § 9 VStG in Verwaltungsstrafsachen stets die zur Vertretung der juristischen Person nach außen berufenen Personen (zB Geschäftsführer) strafrechtlich verantwortlich sind.

Anders als in anderen arbeitsrechtlichen Gesetzen, welche explizit eine Strafbarkeit von „Arbeitgeber:innen“ bei Verletzung bestimmter Normen vorsehen (zB Arbeitszeitgesetz, Arbeitsruhegesetz oder Gleichbehandlungsgesetz), schränkt das HSchG eine potenzielle Strafbarkeit aber nicht auf konkrete Personen ein, sondern verwendet hier nur den sehr allgemeinen, die unbestimmte weite Personenangabe „wer“. Die Verwaltungsübertretungen nach HSchG können somit grundsätzlich von jeder Person unabhängig von ihrer konkreten Position verwirklicht werden.

Wird ein Whistleblower zB in Vergeltung eines berechtigten Hinweises gekündigt, so handelt es sich dabei idR um eine Vergeltungsmaßnahme iSd § 20 HSchG, welche wohl dem jeweiligen Unternehmen als Arbeitgeber:in zuzurechnen sein wird; schließlich kann eine Kündigung von Arbeitsverhältnissen nur durch Arbeitgeber:innen (als Vertragspartner) erfolgen. Dementsprechend käme hier (im Fall einer juristischen Person als Arbeitgeber:in) in erster Linie wiederum eine Strafbarkeit der zur Vertretung nach außen berufenen Personen nach § 24 Z 2 HSchG in Betracht.

S. 74Schwieriger gestaltet sich die Lage hingegen, wenn Whistleblower zB in Folge eines berechtigten Hinweises gemobbt werden. Mobbing kann schließlich nicht bloß durch Arbeitgeber:innen (bzw deren Vertreter:innen) selbst erfolgen, sondern oft auch durch Arbeitskolleg:innen. In solchen Fällen kommt aufgrund des weiten Anwendungsbereichs der Strafbestimmungen des HSchG neben einer potenziellen Verantwortlichkeit der zur Vertretung nach außen berufenen Personen des Unternehmens (sofern zurechenbar) uE jedenfalls auch eine direkte Strafbarkeit der „mobbenden“ Kolleg:innen in Betracht. Diese Frage bedarf jeweils einer vertieften Beurteilung im Einzelfall.

In diesem Zusammenhang ist aktuell mangels einschlägiger verwaltungsstrafrechtlicher Entscheidungen noch abzuwarten, wie Behörden bzw Verwaltungsgerichte in Hinkunft bei der Verhängung von Verwaltungsstrafen nach dem HSchG vorgehen werden.

Gelten die Strafbestimmungen des HSchG auch für Repressalien im erweiterten Anwendungsbereich?

Die in § 24 HSchG normierten Strafbestimmungen kommen generell bloß dann zur Anwendung, wenn eine Meldung unter den Anwendungsbereich des HSchG fällt. Dies setzt gemäß § 3 HSchG unter anderem voraus, dass sich der Hinweis auf einen der in § 3 Abs 3 bis 5 genannten Bereiche bezieht.

Bezieht sich eine Meldung hingegen auf eine Rechtsverletzung in einem anderen Bereich („erweiterter Anwendungsbereich“), kommt das HSchG grundsätzlich nicht zur Anwendung. Auch eine Ausdehnung der Schutzbestimmungen des HSchG im Falle eines erweiterten Anwendungsbereichs kann uE keine Anwendbarkeit der Verwaltungsstrafbestimmungen nach § 24 HSchG begründen.

Wie ist vorzugehen, wenn Mitarbeiter:innen im Rahmen eines Whistleblowing-Systems zu Unrecht beschuldigt werden?

Wenn einzelne Mitarbeiter:innen eines Unternehmens von einem abgegebenen Hinweis betroffen sind bzw darin einer Rechtsverletzung beschuldigt werden, müssen Arbeitgeber:innen sorgfältig vorgehen, um sowohl ihren Verpflichtungen gegenüber dem Whistleblower als auch den Verpflichtungen gegenüber den beschuldigten Mitarbeiter:innen nachzukommen.

Sollte sich herausstellen, dass im Rahmen eines Whistleblowing-Systems eine bewusste Diffamierung durch vermeintliche Whistleblower erfolgt ist, sind Arbeitgeber:innen bereits aufgrund der arbeitsrechtlichen Fürsorgepflicht insbesondere auch dazu verpflichtet, die Reputation der betroffenen Personen entsprechend zu schützen und in der Folge Maßnahmen gegen die wissentlich diffamierenden Personen zu setzen.

S. 75Als arbeitsrechtliche Konsequenzen kommen in Bezug auf den vermeintlichen Whistleblower – je nach konkreter Situation – insbesondere eine Kündigung oder ggf sogar Entlassung, eine Verwarnung, eine Versetzung oder eine Disziplinarstrafe in Betracht, sofern im Unternehmen eine Disziplinarordnung besteht.

Zudem ist zu bedenken, dass die wissentliche Abgabe eines falschen Hinweises mit einer Verwaltungsstrafe geahndet werden kann (§ 24 Z 4 HSchG).

4.4. Betroffenenrechte

Die DSGVO beinhaltet verschiedene Rechte, die direkt von natürlichen Personen ausgeübt werden können, die durch eine Datenverarbeitung betroffenen sind. Dazu gehört das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch oder Datenübertragbarkeit. Diese Rechte sollen die Selbstbestimmung und den Schutz der Privatsphäre der Betroffenen fördern und ihnen die Möglichkeit geben, die Kontrolle über ihre personenbezogenen Daten auszuüben und zu haben.

Allerdings können diese Rechte in bestimmten Situationen mit anderen Interessen oder Rechtsvorschriften kollidieren, die eine andere oder eingeschränkte Datenverarbeitung erfordern bzw rechtfertigen. Ein solches Spannungsverhältnis besteht vor allem vor dem Hintergrund von Gesetzen zum Schutz von Whistleblowern. Dieses Spannungsverhältnis fällt vor allem dann auf, wenn beispielsweise ein Hinweis auch personenbezogene Daten Dritter enthält (zB Zeuge, Beschuldigter) und damit von dieser Person personenbezogene Daten verarbeitet werden, ohne dass diese davon Kenntnis hat oder ihre Einwilligung erteilt hat.

Wie gehe ich mit einem Betroffenenbegehren eines im Hinweis namentlich erwähnten Dritten (zB Zeuge, Beschuldigter) um?

Durch das HSchG wird das Spannungsverhältnis zwischen der Gefahr, die für Whistleblower und einer wirksamen Verfolgung des Hinweises bei einer Bekanntgabe der personenbezogenen Daten entstünde, und den datenschutzrechtlichen Ansprüchen der von einem Hinweis betroffenen Person (Recht auf Geheimhaltung der personenbezogenen Daten, Recht auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit und Widerspruchsrecht) aufgelöst. Um die Ermittlung und Verfolgung der in einem Hinweis vorgeworfenen Rechtsverletzungen nicht zu gefährden, sowie zum Schutz der Whistleblower, wurden die datenschutzrechtlichen Ansprüche der von einem Hinweis betroffenen Person gem Art 23 DSGVO eingeschränkt.

Solange dies zum Schutz des Whistleblowers oder Personen, die entweder von den Folgemaßnahmen betroffen sind oder den Whistleblower unterstützen und von nachteiligen Folgen betroffen sein könnten, und zur Erreichung der Zwecke S. 76des HSchG, nämlich die Bereitschaft zu rechtmäßigem Verhalten zu bestärken, notwendig ist, finden die Betroffenenrechte keine Anwendung.

Falls sich ein Unternehmen allerdings für die Implementierung des erweiterten Anwendungsbereichs entschieden hat, ist das HSchG und damit die eingeschränkte Anwendbarkeit der Betroffenenrechte nicht anwendbar.

Folgende Punkte sind – im Falle des erweiterten Anwendungsbereichs – dann zu beachten:

Wie sind die Informationspflichten gegenüber den im Hinweis erwähnten Personen zu erfüllen?

Gem Art 14 DSGVO sind auch Personen, deren personenbezogene Daten nicht direkt durch sie selbst zur Verfügung gestellt werden (zB Beschuldigter, Zeuge) innerhalb eines Monats nach Erlangung der personenbezogenen Daten insbesondere über folgende Punkte zu informieren:

• Name und Kontaktdaten des Verantwortlichen/ggf des Vertreters

• Kontaktdaten des Datenschutzbeauftragten

• Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage

• Kategorien personenbezogener Daten, die verarbeitet werden

• Ggf die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

• Ggf die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in ein Drittland oder einer internationalen Organisation zu übermitteln

• Dauer der Speicherung

• Ausführungen zum berechtigten Interesse, sofern dieses als Rechtsgrundlage verwendet wird

• Bestehen der Betroffenenrechte

• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

• Quelle, aus der die personenbezogenen Daten stammen

• Bestehen einer automatisierten Entscheidungsfindung

Allerdings kann – gestützt auf Art 14 Abs 5 lit b DSGVO – die Informationserteilung an den Dritten aufgeschoben werden, wenn und soweit dadurch die Untersuchung unmöglich gemacht oder ernsthaft beeinträchtigt wird. Sobald der Grund für die Aufschiebung weggefallen ist – da zB alle für die Untersuchung relevanten Informationen ermittelt wurden –, ist der Beschuldigte jedoch entsprechend zu informieren.

Falls die Informationserteilung tatsächlich aufgeschoben werden soll, sollten die Gründe für die Aufschiebung der Informationserteilung hinreichend genau und für jeden einzelnen Fall dokumentiert werden.

S. 77Abb 8: Informationsrechte

Darf die Identität des Whistleblowers offengelegt werden?

Auch die Frage nach der Offenlegung der Identität des Whistleblowers im Rahmen der Erfüllung der Informationspflichten oder des Auskunftsrechts gegenüber dem Beschuldigten bzw etwaigen Dritten (zB Zeugen) stellt sich in diesem Zusammenhang.

Der Beschuldigte ist nach Art 14 DSGVO über die Verarbeitung seiner personenbezogenen Daten zu informieren, allerdings wird wiederum das angesprochene Spannungsverhältnis besonders deutlich. Wie bereits angeführt, wäre diese Person auch über die Quelle zu informieren, aus der die personenbezogenen Daten stammen. Dies wäre mit einer Offenlegung der Identität des Whistleblowers verbunden, sollte dieser eine nicht-anonyme Meldung erstatten. Die Verpflichtung steht jedoch in einem klaren Widerspruch zum Grundgedanken, die Vertraulichkeit des Whistleblowers zu wahren.

Nach Ansicht der Artikel-29-Datenschutzgruppe ist gem Art 14 Abs 2 lit f DSGVO die genaue Datenquelle anzugeben, wenn und soweit sich dies nicht als unmöglich darstellt. Die Frage der Unmöglichkeit bezieht sich im konkreten Fall auf die Möglichkeit der Rückführbarkeit der personenbezogenen Daten auf die konkrete Datenquelle. Im Falle der nicht namentlichen Bezeichnung der Datenquelle ist der betroffenen Person nach Ansicht der Artikel-29-Datenschutzgruppe zumindest die Art der Quelle (dh privat oder öffentlich) und die Art der Organisation, der Industrie bzw des Sektors zur Kenntnis zu bringen.

Im Zusammenhang mit Whistleblowing handelt es sich in der Regel allerdings um keine Organisation bzw juristische Person, die einer bestimmten Industrie oder einem bestimmten Sektor zuordenbar wäre. Whistleblower sind üblicherweise natürliche Personen.

S. 78Falls man dennoch der Ansicht der Artikel-29-Datenschutzgruppe folgt, bestünde im Falle der nicht-namentlichen Bezeichnung einer Datenquelle auch die Möglichkeit einer bloß kategorischen Bezeichnung derselben (zB Mitarbeiter, Auftragnehmer), um die Voraussetzungen des Art 14 Abs 2 lit f DSGVO zu erfüllen. Ein völliger Ausschluss der Identifizierbarkeit des Whistleblowers ist damit nicht zwangsläufig verbunden. Denn aufgrund eines eingeschränkten Sachverhaltes kann sich der Verdacht gegenüber einer konkreten Person als Whistleblower verdichten. Die derzeitige österreichische Rechtslage ermöglicht im Ergebnis keine zufriedenstellende Auflösung dieses Spannungsverhältnisses, bei einem über den gesetzlichen Anwendungsbereich des HSchG hinausgehenden Whistleblowing-System.

Wie können die Auskunftsrechte erfüllt werden, ohne die Aufarbeitung eines Hinweises unmöglich zu machen?

Generell, wenn keine Ausnahmen nach HSchG zur Anwendung kommen, hat grundsätzlich jede betroffene Person gem Art 15 DSGVO das Recht auf Auskunft über die zu ihrer Person verarbeiteten Daten. Auch in diesem Zusammenhang stellt sich die Frage, ob die Identität des Whistleblowers – zB gegenüber dem antragstellenden Beschuldigten – offengelegt werden darf oder muss.

Allerdings darf die Erfüllung des Auskunftsrechts nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Falls durch die Erfüllung dieses Auskunftsanspruchs daher auch andere Personen betroffen sein sollten, ist eine Interessenabwägung durchzuführen. Dementsprechend sind Daten Dritter nur dann preiszugeben, wenn die Gründe für die Durchführung der Beauskunftung die Gründe für die Geheimhaltung überwiegen. Dies rechtfertigt jedoch im Falle einer dem Whistleblower zugesicherten Geheimhaltung nicht die gänzliche Auskunftsverweigerung, sondern ist auch hier im Einzelfall zu ermitteln, inwieweit gegebenenfalls dem Antragsteller (bzw Beschuldigten) – sei es auch nur im Wege einer Teilauskunft – Auskunft erteilt werden muss.

Im Gegensatz zur österreichischen Rechtslage ist es allerdings nach dem Datenschutzgesetz der Bundesrepublik Deutschland möglich, die Informationspflicht soweit zu beschränken, soweit durch ihre Erfüllung Informationen offenbart werden würden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.

Im Dezember 2018 beschäftigte sich das Landesarbeitsgericht Baden-Württemberg in einem deutschen „Whistleblowing-Fall“ mit dieser Frage. Das deutsche Gericht kam zu dem Ergebnis, dass bei einer Beschränkung des Auskunftsrechts gegenüber dem Antragsteller (bzw Beschuldigten) aufgrund der Geheimhaltungsinteressen des Whistleblowers jedenfalls eine Interessenabwägung vorzunehmen sei. Es müsse in jedem Einzelfall das konkrete Interesse des Antragstellers an der S. 79Auskunftserteilung ermittelt und gegen das betriebliche Interesse des Unternehmens an der Auskunftsversagung bzw den berechtigten Interessen Dritter abgewogen werden. Es sei nach der Ansicht des Landesarbeitsgerichts Baden-Württemberg nicht von vornherein ausgeschlossen, dass durch eine Auskunftserteilung legitime Interessen des Unternehmens oder berechtigte Interessen Dritter berührt werden. Es könne ein legitimes Interesse an der Geheimhaltung einer Informationsquelle darstellen, wenn das Unternehmen zum Zwecke der Aufklärung innerbetrieblichen Fehlverhaltens Whistleblowern Anonymität zusichert. Bestimmte Arten von Regelverstößen innerhalb einer hierarchischen Struktur können effektiver durch anonyme Meldeverfahren aufgedeckt werden. Allerdings seien auch bei einem im Grundsatz – aus Gründen des Informantenschutzes – anerkennenswerten Geheimhaltungsinteresse Konstellationen denkbar, in denen das Geheimhaltungsinteresse hinter dem Auskunftsinteresse des Antragstellers zurückzutreten hat. Dies könne aus Sicht des Landesarbeitsgerichts Baden-Württemberg Fälle betreffen, in denen etwa ein Informant wider besseres Wissen oder leichtfertig dem Unternehmen unrichtige Informationen gegeben hat. In einem solchen Fall dürfte das Auskunftsinteresse des Antragstellers wegen eines dann erhöhten Schutzbedürfnisses ein überwiegendes Gewicht haben. Nach Ansicht des Landesarbeitsgerichts Baden-Württemberg sei es ausreichend, aber auch erforderlich, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll.

Die unterschiedliche Rechtslage ändert jedoch nichts an der Tatsache, dass auch in Österreich – sofern die Rechte und Freiheiten anderer Personen beeinträchtigt sein könnten – eine Interessenabwägung durchgeführt werden muss.

Der oben ausgeführte Sachverhalt zeigt auch deutlich, dass die Rechtsordnungen der einzelnen Mitgliedstaaten ebenso im Einzelfall beachtet werden müssen und bei der Implementierung eines konzernweiten, innerhalb mehrerer Mitgliedstaaten zu implementierenden Whistleblowing-Systems zu beachten sind.

S. 80Abb 9: Auskunftsrechte

4.5. Datenschutzrechtliche Herausforderungen

Durch den eingeschränkten sachlichen Anwendungsbereich des HSchG und der Überlegung von vielen Unternehmen bzw juristischen Personen des öffentlichen Rechts, das Whistleblowing-System etwas weiter zu gestalten (zB Freitextfeld, Mobbing), stellen sich einige datenschutzrechtliche Fragen, die bereits teilweise in diesem Praxisbuch behandelt wurden (zB Betroffenenrechte).

Zusätzlich sind bei einer solchen Zweigleisigkeit (gesetzlicher- und erweiterter Anwendungsbereich) allerdings auch noch andere datenschutzrechtliche Aspekte zu beachten. Beispielsweise sind uU unterschiedliche Löschfristen für Hinweise und/oder Protokolldaten zu beachten, je nachdem ob ein Hinweis im sachlichen Anwendungsbereich des HSchG liegt oder nicht. Für den sachlichen Anwendungsbereich sieht der österreichische Gesetzgeber spezifische Aufbewahrungsfristen vor.

Bei Hinweisen, die nicht den sachlichen Anwendungsbereich des HSchG berühren, sind allerdings keine spezifischen Aufbewahrungsfristen vorgegeben. Daher stellt sich die Frage, ob ggf dieselben Aufbewahrungsfristen herangezogen werden könnten, oder unabhängig von den gesetzlichen Erfordernissen und unter Heranziehung der allgemeinen datenschutzrechtlichen Grundsätze eine einzelfallabhängige Aufbewahrungsfrist innerhalb des Whistleblowing-Systems implementiert werden kann?

S. 81Was genau ist unter datenschutzrechtlichen Löschfristen zu verstehen?

Datenschutzrechtliche Löschfristen sind Fristen, innerhalb derer personenbezogene Daten zu löschen sind, wenn:

• die personenbezogenen Daten für den ursprünglichen Zweck ihrer Erhebung oder Verarbeitung nicht mehr erforderlich sind oder

• die betroffene Person ihre Einwilligung widerruft oder

• andere Betroffenenrechte ausübt.

Löschfristen dienen vor allem auch der Umsetzung der Grundsätze der Datenminimierung und der Zweckbindung, die besagen, dass personenbezogene Daten nur in dem Umfang und für die Dauer verarbeitet werden dürfen, wie es für den festgelegten und legitimen Zweck angemessen und erforderlich ist.

Diese Löschfristen können sich aus gesetzlichen Vorgaben, vertraglichen Vereinbarungen oder auch internen Richtlinien (zB unternehmensinterne Aufbewahrungsregelungen) ergeben. Sie sind transparent und nachvollziehbar abzubilden und auch regelmäßig zu überprüfen und anzupassen. Die Verantwortlichen für die Datenverarbeitung haben geeignete technische und organisatorische Maßnahmen vorzusehen, um die Einhaltung der Löschfristen zu gewährleisten und die Daten sicher und unwiederbringlich zu löschen.

Wie lange dürfen personenbezogene Daten im Rahmen des Whistleblowing-Systems aufbewahrt werden?

Entsprechend den Grundsätzen der Datenminimierung und Zweckbindung sind personenbezogene Daten nur so lange aufzubewahren bzw zu verarbeiten, wie es für die Erfüllung des Zwecks der Verarbeitung erforderlich ist. Wird daher eine Meldung als nicht relevant eingestuft, ist eine Weiterverarbeitung der personenbezogenen Daten nicht zulässig. Die personenbezogenen Daten sind folglich unverzüglich zu löschen.

Wie in anderen nationalen Gesetzen (zB Gleichbehandlungsgesetz – Aufbewahrungsfrist von Bewerbungsschreiben) legt auch das HSchG eine Aufbewahrungsfrist fest. Diese beträgt für die zur Bearbeitung des Hinweises benötigten personenbezogenen Daten fünf Jahre ab der letztmaligen Verarbeitung oder Übermittlung. Darüber hinaus ist eine Aufbewahrung nur im Ausnahmefall sowie nach Vornahme einer Verhältnismäßigkeitsprüfung zulässig.

Protokolldaten sind von dem Verantwortlichen, ab ihrer letztmaligen Verarbeitung oder Übermittlung, bis drei Jahre nach Entfall der fünfjährigen Aufbewahrungspflicht aufzubewahren.

Des Weiteren sollten auch nur jene personenbezogenen Daten verarbeitet werden, die für die Untersuchung der Meldung unbedingt erforderlich sind. Es ist daher sicherzustellen, dass für das Verfahren irrelevante Daten unverzüglich gelöscht bzw unrichtige/unvollständige Daten unverzüglich berichtigt/vervollständigt werden.

S. 82Eine darüberhinausgehende Verarbeitung wäre nur dann zulässig, wenn weitergehende Umstände eine solche rechtfertigen könnten. Hierzu dürfte beispielsweise die Einleitung eines Strafverfahrens gegen die beschuldigte Person oder gegen den Whistleblower (zB weil sich die Meldung als wissentlich falsch herausgestellt hat) zählen.

Des Weiteren sollten auch nur jene personenbezogenen Daten verarbeitet werden, die für die Untersuchung der Meldung unbedingt erforderlich bzw richtig sind. Es ist daher sicherzustellen, dass für das Verfahren irrelevante Daten unverzüglich gelöscht bzw unrichtige/unvollständige Daten unverzüglich berichtigt/vervollständigt werden.

Was sind Protokolldaten?

Protokolldaten oder auch Log-Files sind Daten, die Informationen sowie Ereignisse während des Betriebs einer Anwendung protokollieren.

Protokolldaten im Zusammenhang mit dem Whistleblowing-System sind Informationen, die bei der Nutzung des Whistleblowing-Systems erzeugt, gespeichert oder übertragen werden, um die Kommunikation, die Sicherheit, die Nachvollziehbarkeit oder die Analyse des Whistleblowing-Systems zu ermöglichen oder zu verbessern.

Mögliche Beispiele für Protokolldaten sind:

• Zeitpunkte, Dauer, Häufigkeit oder Fehlermeldungen der Zugriffe oder Anfragen an das Whistleblowing-System.

• Verschlüsselungs-, Authentifizierungs- oder Identifikationsverfahren, die das Whistleblowing-System anwendet oder verlangt.

• Inhalte, Formate, Empfänger oder Absender der Meldungen, die über das Whistleblowing-System gesendet oder empfangen werden.

• Status, Kategorien, Bearbeitungsschritte oder Rückmeldungen der Meldungen, die über das Whistleblowing-System verarbeitet oder dokumentiert werden.

• Statistiken, Auswertungen, Berichte oder Indikatoren, die das Whistleblowing-System generiert oder anzeigt.

Protokolldaten können sowohl für die Funktion, die Kontrolle, die Optimierung oder die geforderte Dokumentationspflicht des Whistleblowing-Systems nützlich, als auch für die Anonymität, die Vertraulichkeit, die Integrität oder die Verfügbarkeit der Meldungen und der Meldepersonen relevant sein.

S. 83Protokolldaten können daher sehr aufschlussreich für Untersuchungen iZm einem Vorfall sein und sind dementsprechend essenziell für ein funktionierendes Whistleblowing-System. Dementsprechend sollten diese entsprechend sorgfältig und verantwortungsvoll behandelt werden.

Wer haftet für Datenschutzverstöße bei Vorliegen einer gemeinsamen internen Meldestelle?

Generell bleiben die Grundsätze der DSGVO auch bei der Beurteilung von Fragestellungen iZm dem HSchG bestehen.

Folglich ist als erster Schritt zu fragen, wie die Verantwortlichkeiten der internen Meldestelle festgelegt sind. Handelt es sich um gemeinsame Verantwortliche gem Art 26 DSGVO oder einen Auftragsverarbeiter gem Art 28 DSGVO?

Wenn die gemeinsame Stelle, zB die Konzernmutter, als selbständige Verantwortliche handelt und damit die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten festlegt, haftet sie für alle Datenschutzverstöße, die sie oder ihre Tochtergesellschaften begehen.

Wenn die gemeinsame Stelle als Auftragsverarbeiter handelt, dh personenbezogene Daten im Auftrag und nach Weisung der Tochtergesellschaften verarbeitet, haftet sie nur für die Datenschutzverstöße, die sie selbst begeht oder die auf ihre Verletzung der DSGVO oder des Vertrags mit den Tochtergesellschaften zurückzuführen sind. Die Tochtergesellschaften bleiben in diesem Fall als Verantwortliche für die Einhaltung der DSGVO und die Folgen ihrer eigenen Datenschutzverstöße verantwortlich.

S. 84Ungeachtet der internen Vereinbarungen kann die betroffene Person allerdings ihre Rechte im Rahmen der DSGVO bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen (Art 26 Abs 3 DSGVO).

Zusammengefasst haften bei Datenschutzverstößen durch eine gemeinsame interne Meldestelle im Konzern alle beteiligten Verantwortlichen, die gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Die betroffene Person kann ihre Rechte gegenüber jedem der Verantwortlichen geltend machen, und die Aufsichtsbehörde ist nicht an interne Vereinbarungen gebunden.

Es ist daher zu empfehlen, insbesondere bei komplexen Konzernstrukturen, klare Vereinbarungen zur Haftungsverteilung und Datenschutzverantwortlichkeiten treffen. Dies kann durch interne Richtlinien, Datenschutzvereinbarungen und Verträge erfolgen. Es ist auch empfehlenswert, rechtliche Beratung in Anspruch zu nehmen, um sicherzustellen, dass die Struktur den geltenden Datenschutzbestimmungen entspricht und die Haftungsfragen angemessen geregelt sind.

4.6. Interne Untersuchungen

Interne Untersuchungen stellen ein zentrales Element eines wirkungsvollen Whistleblowing-Systems dar. Sie sind ausschlaggebend für die Klärung von Anschuldigungen und Verdachtsfällen, die durch Hinweise aus dem Whistleblowing-System bekannt werden. Mit ihrem forensischen Ansatz zielen sie darauf ab, ein vollständiges Bild der Sachlage zu erstellen, indem sie nicht nur Anschuldigungen überprüfen, sondern auch darauf abzielen, diese zu bestätigen oder zu entkräften. Im Zentrum steht dabei nicht nur die Aufklärung der genauen Umstände eines Vorfalls, sondern auch die Identifikation von Verantwortlichkeiten, die Quantifizierung möglicher Schäden und die Aufdeckung von Defiziten in internen Abläufen und Kontrollmechanismen.

Die Kunst der internen Untersuchung ähnelt oft der Suche nach der Nadel im Heuhaufen. Zu Beginn steht man vor einem metaphorischen „großen Sack voller Puzzleteile“, deren Zusammenfügen eine herausfordernde Aufgabe darstellt. Ziel ist es, aus einer Vielzahl von Daten und Informationen – seien es Buchhaltungsdaten, Geschäftsunterlagen, E-Mails, Datensicherungen oder Chat-Konversationen – ein zusammenhängendes Bild der Situation zu erstellen. Die Herausforderung besteht darin, diese Daten nicht nur zu sammeln, sondern sie in einen sinnvollen Zusammenhang zu bringen, um tiefergehende Erkenntnisse zu gewinnen.

Ein wesentlicher Aspekt dabei ist die Beantwortung der klassischen W-Fragen:

• Was ist passiert?

• Wer ist verantwortlich?

• S. 85Wer wusste Bescheid?

• Welche Schäden sind entstanden?

• Welche Prozesse oder Kontrollen haben versagt?

• Was muss im Sinne der Prävention geändert werden, damit ein derartiger Vorfall zukünftig vermieden werden kann?

Diese Fragen bilden das Gerüst der Untersuchung und leiten die Ermittlungen in eine Richtung, die es ermöglicht, aus den Geschehnissen zu lernen und das zukünftige Risiko für ähnliche Vorfälle zu verhindern.

Gleichzeitig ist es von immenser Bedeutung, den Untersuchungsfokus zu bewahren. Angesichts meist begrenzter Ressourcen ist es entscheidend, sich nicht in weniger relevanten Details zu verlieren, sondern „den Zug zum Tor“ zu bewahren. Die Fähigkeit, wesentliche von unwesentlichen Informationen zu unterscheiden und sich auf die Kernaspekte des Falles zu konzentrieren, ist entscheidend für den Erfolg der Untersuchung.

In Kap 5.2. haben wir auf Basis der Literatur sowie umfassender praktischer Erfahrungen aus einer Vielzahl an Forensik-Projekten eine umfassende Checkliste an Fragen und Themen zu unterschiedlichen Teilbereichen der Planung und Durchführung von internen Untersuchungen zusammengestellt. Es liegt in der Natur von internen Untersuchungen, dass sich im Zuge der Durchführung jederzeit neue Entwicklungen ergeben können. Die Checkliste soll daher Praktikern als Orientierungshilfe dienen, kann aufgrund der vielen Facetten von internen Untersuchungen aber nicht als vollumfassend oder abschließend gesehen werden.

Darüber hinaus gehen wir nachfolgend auf weitere Fragen ein, die sich in der Praxis der internen Untersuchung regelmäßig stellen.

Wann soll eine externe Stelle mit an Bord geholt werden?

Ob eine externe Stelle mit an Bord geholt werden soll, hängt mitunter von der Schwere und Komplexität des Vorfalles ab. Erscheint der zu untersuchende Sachverhalt klar und unbestritten, kann die Untersuchung zB vom Whistleblowing Officer oder von einem/einer unabhängigen Mitarbeiter:in der Compliance-, Revisions- oder Personalabteilung durchgeführt werden.

Die folgenden Fragen sind bei der Auswahl der Person(en) bzw der unternehmensinternen Stelle, welche die Untersuchung durchführt, zu beachten:

• Ist/sind die Person(en) persönlich in den zu untersuchenden Sachverhalt involviert?

• Würde die Bestellung einen Interessenkonflikt verursachen?

• S. 86Besteht die Wahrscheinlichkeit, dass die Person(en) von im Sachverhalt involvierten Personen beeinflusst wird/werden?

• Besteht die Wahrscheinlichkeit, dass die Person(en) bei nachfolgenden Entscheidungsprozessen mitwirkt/en?

• Verfügt/en die Person/en über gute Kenntnisse der Organisation und ihrer Prozesse?

• Wie steht es um die Verfügbarkeit während des voraussichtlichen Zeitrahmens der Untersuchung?

• Ist/sind die Person/en erfahren bzw geschult, um eine derartige Untersuchung durchzuführen?

• Wie kompetent ist/sind die Person/en in der schriftlichen und mündlichen Kommunikation?

• Welches Training bzw welche Unterstützung würde benötigt werden?

• Von größter Bedeutung sind der Gerechtigkeitssinn und die Objektivität des/der ausgewählten Beauftragten.

Bei schwerwiegenderen bzw komplexeren Tatbeständen, bei denen externes Know-how benötigt wird, ist es anzuraten, eine geeignete, dritte Stelle einzubinden, welche den Sachverhalt objektiv untersucht. Darüber hinaus lagern Unternehmen Untersuchungen von Vorwürfen, die Führungskräfte betreffen, an Dritte aus, um eine objektive und neutrale Aufarbeitung zu ermöglichen.

Welche Analysen können in einer internen Untersuchung durchgeführt werden?

Bei der Durchführung interner Untersuchungen ist die Auswahl der Analysehandlungen maßgeblich vom konkreten Sachverhalt, im Fall von Whistleblowing von der übermittelten Meldung, abhängig. In einem ersten Schritt empfiehlt es sich, die in der Meldung enthaltenen Vorwürfe zu strukturieren und sich einen ersten Überblick zu verschaffen. Jeder Fall erfordert eine spezifische Herangehensweise, die sich an den Besonderheiten des gemeldeten Vorfalls orientiert. Um dieser Herausforderung gerecht zu werden, hat sich in der Praxis ein schrittweises bzw phasenweises Vorgehen bewährt. Diese Herangehensweise ermöglicht es, die Untersuchung strukturiert und effizient zu gestalten, indem jede Phase auf den Erkenntnissen der vorherigen aufbaut und so eine effektive, aber auch ressourcenschonende Aufklärung des Sachverhalts gewährleistet wird. Die folgenden Analysehandlungen werden in der Praxis vielfach angewandt:

Dokumentenanalyse: Die Dokumentenanalyse ist eine grundlegende Methode, bei der alle relevanten schriftlichen Unterlagen systematisch durchgesehen werden. Sie zielt darauf ab, Informationen zu sammeln, die Aufschluss über mögliche Unregelmäßigkeiten oder Verstöße geben können. Dabei kann es sich zB um Verträge (inkl Vorversionen), Schriftverkehr, Memos, Präsentationen, Berechnungen sowie alle weiteren im Unternehmen zur Verfügung stehenden Unterlagen handeln.

S. 87Forensic Accounting: Diese Analysen konzentrieren sich auf die Aufbereitung und den Review von Buchhaltungsdaten (inkl Belegen), Transaktionsdaten (zB von Bankkonten) und zB ERP-Daten. Ziel ist es, Auffälligkeiten und Beweise im Hinblick auf den Sachverhalt zu identifizieren.

Hintergrundrecherchen: Die Nutzung von Open Source Intelligence (OSINT) zur Sammlung und Analyse öffentlich zugänglicher Informationen ist ein Schlüsselelement, um ein tiefgreifendes Verständnis über betroffene natürliche und juristische Personen zu erlangen. Diese Methode beinhaltet die systematische Recherche und Auswertung von Daten aus einer Vielzahl von Quellen, darunter öffentliche Register wie das Firmenbuch, internationale Unternehmensdatenbanken, Medienarchive, Compliance-Datenbanken, Wirtschaftsauskunfteien sowie Bonitätsdatenbanken. Ebenso fließen Informationen aus sozialen Netzwerken und anderen online verfügbaren Ressourcen, die über Suchmaschinen zugänglich sind, in die Analyse ein. Durch diesen umfassenden Ansatz können wertvolle Einsichten (zB Funktionen als Gesellschafter oder Geschäftsführer, negative Medienberichte) gewonnen und das Verständnis für die untersuchten Personen oder Entitäten signifikant erweitert werden.

Interviews: Interviews mit Mitarbeitenden, Zeugen und anderen Beteiligten sind ein wesentliches Element einer internen Untersuchung. Sie bieten die Möglichkeit, aus erster Hand Informationen zu sammeln, die Perspektiven der Betroffenen zu verstehen und widersprüchliche Aussagen zu klären.

Digitale Forensik und eDiscovery: Interne Untersuchungen werden mittlerweile zum überwiegenden Teil mit Unterstützung von digitaler Forensik und eDiscovery durchgeführt, da vor allem die Analyse von Kommunikationsdaten vielfach das Bindeglied zwischen den aus den anderen Analysehandlungen gewonnen Erkenntnissen ist. Dabei handelt es sich in einem ersten Schritt um die forensische Sicherung der Daten von E-Mail-Postfächern, Chat-Verläufen, Laptops, Mobiltelefonen, Servern und weiteren Datenträgern. Eine gut dokumentierte Datensicherung („Chain of Custody“), die nachweist, dass die Datenbasis nach der Sicherung nicht mehr verändert wurde, ist das Fundament einer erfolgreichen Auswertung, da damit sichergestellt wird, dass die Auswertungsergebnisse zB in weiterer Folge bei Bedarf gerichtlich verwendet werden. Darauf folgt die Aufbereitung der Daten in forensischer Software zur weiteren Durchsuchung mittels Keywords. Durch die Abfrage/Filterung der aufbereiteten Datenmengen nach Keywords (zB einer Kombination aus Namen, E-Mail-Adressen und Begrifflichkeiten) und weiteren Filterungen, zB anhand des Zeitraums, werden jene Dokumente identifiziert, welche die gesuchten Kriterien aufweisen. Zur Festlegung der Keywords empfiehlt es sich auch, ein sogenanntes Early-Case-Assessment, zB mit einer Software wie Brainspace, durchzuführen. Dabei können verschiedene S. 88Suchwörter bzw Kombinationen von Suchwörtern abgefragt und bei Bedarf auch weiter konkretisiert werden. Zur Identifikation der relevanten Dokumente für den Review werden bereits vielfach Methoden des maschinellen Lernens eingesetzt und wird sich die Technologie in den nächsten Jahren aller Voraussicht nach noch umfangreich weiterentwickeln. Nachdem eine Auswahl von Suchwörtern definiert wurde, erfolgt die Review-Phase. Dabei werden die anhand der Keywords identifizierten Dokumente in einem Review-Tool durchgesehen und zB in „relevant“, „vielleicht relevant“, „nicht relevant“ und „Hot Document“ klassifiziert. Darüber hinaus können weitere Kategorien (zB Projektnamen, Kundenamen) zur Klassifikation im Review Tool hinterlegt werden. Zudem sollte in einem Freitextfeld in Stichworten angeführt werden, warum die Reviewer ein Dokument als „relevant“, „vielleicht relevant“ bzw „Hot Document“ kategorisiert haben. In der Praxis hat sich eine Priorisierung der Suchwörter für den Review als vorteilhaft erwiesen, damit zuerst die Dokumente durchgesehen werden, bei denen das Untersuchungsteam die relevantesten Dokumente erwartet. Zur Qualitätssicherung ist es Standard, dass die Review-Ergebnisse auch einen Second Level Review durchlaufen, bevor Sie in der weiteren Untersuchung Verwendung finden. Zusammengefasst kann Digitale Forensik und eDiscovery entscheidend sein, um den zeitlichen Ablauf von Ereignissen zu rekonstruieren und Beweismittel zu sichern, die für die Aufklärung von internen Verstößen unerlässlich sind.

Die Kunst einer internen Untersuchung ist es in weiterer Folge, die Ergebnisse der unterschiedlichen Analysehandlungen zu kombinieren und daraus ein gesamthaftes Bild zu zeigen, damit die der Untersuchung zugrunde liegenden Fragen bestmöglich beantwortet werden können.

Wie kann ein Bericht über die Untersuchungsergebnisse aufgebaut werden?

In der Regel markiert die Erstellung eines Berichts den Abschluss einer internen Untersuchung. Der Inhalt umfasst dabei die Darstellung der Untersuchungsbedingungen, die ergriffenen Untersuchungsmaßnahmen und die daraus gezogenen Schlussfolgerungen. Es ist essenziell, dass der Bericht eine klare und logische Struktur aufweist, um die Schlussfolgerungen auch für Außenstehende, sogenannte „Kaltleser“, die mit den Details des Falls nicht vertraut sind, nachvollziehS. 89bar und verständlich zu machen. Ein gut strukturierter Bericht ermöglicht es, dass die Adressaten des Berichts die zentralen Punkte schnell erfassen und begreifen können. Eine empfohlene Grundstruktur könnte folgendermaßen aussehen: