Vor diesem Hintergrund verfolgte auch die Gesetzgebung auf Ebene der Europäischen Union (EU) bereits seit dem Jahr 2014 das Ziel, einen gemeinsamen Mindeststandard zur Gewährleistung eines wirksamen Hinweisgeberschutzes zu erlassen. Dies wurde mit der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (kurz: Whistleblower-RL), realisiert. Sie basiert auf dem Grundgedanken, dass durch Whistleblower gewonnene Informationen massiv zur Aufdeckung und Verfolgung von Rechtsverstößen beitragen können. Das erklärte Ziel der Whistleblower-RL ist es also, einen unionsweit einheitlichen Mindeststandard zum Schutz von Whistleblowern zu schaffen.
1.2 Inkrafttreten
Dem Unionsgesetzgeber kommt aufgrund des Vertrags über die Arbeitsweise der Europäischen Union eine Harmonisierungskompetenz über diverse Rechtsgebiete zu. Gestützt auf diese Rechtsgrundlage wurde die Whistleblower-RL am 7. Oktober 2019 vom Europäischen Rat verabschiedet und ist seit dem 16. Dezember 2019 in Kraft.
Die Mitgliedsstaaten der EU haben nun zwei Jahre Zeit, um die Vorgaben in nationales Recht umzusetzen. Somit ist vorgesehen, dass mit Wirkung zum 17. Dezember 2021 der nationale Gesetzgeber rechtliche Rahmenbedingungen geschaffen hat, welche es Whistleblowern ermöglichen, den vorgesehenen Schutz in Anspruch zu nehmen.
Abweichend von dieser allgemeinen Umsetzungsverpflichtung, haben die nationalen Gesetzgeber jedoch auch eine Erleichterung vorzusehen: Die nationale Umsetzung muss vorsehen, dass juristische Personen des privaten Sektors, die 50 bis 249 Arbeitnehmer beschäftigen, bis zum 17. Dezember 2023 Zeit haben, Meldekanäle einzurichten.[2] Kleine und mittlere Unternehmen (kurz: KMU) haben somit zwar eine Schonfrist hinsichtlich der Implementierung von Whistleblowingsystemen erhalten, jedoch ist es auch für sie zum jetzigen Zeitpunkt schon notwendig, entsprechende Vorbereitungsmaßnahmen zu treffen.
1.3 Bisherige Rechtslage
Insbesondere im Bereich der Finanzdienstleistungen enthielten einige Rechtsakte der Union bereits detaillierte Vorschriften zum Schutz von Hinweisgebern. Die verschiedenen nationalen Rechtsordnungen sahen ähnliche Regelungen vor. Diese sind jedoch von Uneinheitlichkeit geprägt und beziehen sich meist nur auf spezielle Bereiche.
1.3.1 Nationale Grundlagen
In Österreich sind Hinweisgebersysteme bereits bekannt und werden häufig genutzt, sind diese doch schon seit mehreren Jahren bei einigen Behörden im Einsatz, so etwa bei
+Wirtschafts- und Korruptionsstaatsanwaltschaft (kurz: WKStA), gemäß § 2a (6) StAG:
7.148 Meldungen zum Stichtag 31.12.2018[3] (insgesamte Anzahl der Meldungen seit der Implementierung im Jahr 2013),
+Finanzmarktaufsichtsbehörde (kurz: FMA), gemäß § 99 g (2) BWG:
263 Meldungen im Jahr 2019[4],
+Bundeswettbewerbsbehörde (kurz: BWB), gemäß § 11b (6) WettbG:
39 Meldungen im Jahr 2018[5].
Eine branchenunabhängige allgemeine Pflicht für Unternehmen zur Einrichtung von Hinweisgebersystemen gab es bislang nicht. Lediglich einzelne Rechtsnormen sehen vor, dass unternehmensinterne Stellen einzurichten sind, bei denen Mitarbeiter Verstöße gegen bestimmte Gesetze melden können. So bspw. § 99g Bankwesengesetz, welcher Kreditinstitute dazu verpflichtet, Hinweisgebersysteme einzurichten und vorsieht, die Anonymität der Meldenden zu wahren sowie diese vor Vergeltungsmaßnahmen zu schützen.
1.3.2 Internationale Grundlagen
Auch in anderen Ländern gab es bereits Rechtsnormen, die Ähnlichkeiten zu jenen der Whistleblower-RL aufweisen. Im Folgenden wird ein kurzer beispielhafter Überblick über entsprechende Länder und Bestimmungen gegeben.
Deutschland: Im deutschen Corporate Governance Kodex für börsennotierte AGs lässt sich eine Verpflichtung zur Einrichtung einer Stelle zur Meldung von Rechtsverstößen für Mitarbeiter und Dritte finden.
Frankreich: Das französische Antikorruptionsgesetz SAPIN II verpflichtet Unternehmen mit mehr als 50 Mitarbeitern eine Meldestelle für Whistleblower einzurichten. Es ist für Schutz vor Strafverfolgungen und der Wahrung der Anonymität zu sorgen.
Slowakei: Mit dem Gesetz über bestimmte, mit Anzeige der gesellschaftswidrigen Tätigkeit zusammenhängenden Maßnahmen (č. 54/2019) verfügt die Slowakei seit 2015 (novelliert 2019) über ein umfassendes Regelwerk zum Thema Whistleblowing. Durch den weiten Schutzbereich und der Einrichtung einer unabhängigen Zentralbehörde gilt sie als unionsweiter Vorreiter.
USA: Der Sarbanes-Oxley Act[6] trägt den an US-Börsen gelisteten Unternehmen sowie deren Tochterunternehmen, die Einrichtung von Whistleblower-Hotlines auf. Damit verbunden ist ein genereller Schutz von Whistleblowern.
Durch die neue Whistleblower-RL wird die bereits anerkannte Bedeutung dieses Themas nun endgültig auf europäischer Ebene vereinheitlicht. Die Mindeststandards stellen einen bedeutenden Schritt in Richtung Hinweisgeberschutz und der Bekämpfung von Rechtsverstößen dar und sind insofern zu begrüßen.
1.3.3 Internationale Standards
Neben verbindlichen Rechtsnormen spielen internationale Standards als allgemein anerkannte Regelwerke in der Unternehmerpraxis eine zunehmende Rolle. In einigen von ihnen wurde Whistleblowing schon vor Beginn des Gesetzgebungsprozesses der Whistleblower-RL in unterschiedlichem Ausmaß thematisiert. Dazu zählen vor allem:
+ÖNORM ISO 19600 – Compliance-Managementsysteme – Leitlinien
Dieser Standard legt die Einrichtung eines Whistleblowingsystems als risikominimierende Maßnahme innerhalb eines Compliance- Management-Systems (kurz: CMS) nahe. Die ÖNORM ISO 19600 ist ein Typ-B Standard, damit ist eine Leitlinie gemeint. Die Kriterien in diesem Standard haben Empfehlungscharakter. Zertifizierbar ist dieser Standard aber trotzdem, weil die Empfehlungen als konkrete Anforderungen formuliert werden können und die Umsetzung dieser im Rahmen eines Audits geprüft wird. Die ISO 19600 wird derzeit überarbeitet und soll bis Ende des Jahres 2020 in die neue ISO 37301 überführt werden, es bleibt daher abzuwarten, inwieweit – bzw. ob die Bestimmungen zum Whistleblowing verändert werden.
+ÖNORM EN ISO 26000 – Leitfaden zur gesellschaftlichen Verantwortung
Diese ÖNORM EN ISO zeichnet sich durch ihren ausschließlichen Empfehlungscharakter aus, denn eine Zertifizierung ist nicht möglich. Als Leitfaden für eine gesellschaftlich verantwortliche Organisationsführung wird auch hier dazu geraten, Meldesysteme einzurichten, um Verstöße gegen grundlegende Prinzipien und Rechte bei der Arbeit aufzudecken.
+ISO 37001 – Anti-bribery management systems — Requirements with guidance for use
Dieser ISO-Standard sieht vor, dass Organisationen interne Richtlinien aufsetzen, welche der Prävention von Korruption und Bestechung dienen. Darüber hinaus sind Hinweisgeber-Meldekanäle verpflichtend einzurichten, um Verstöße gegen eben diese internen Richtlinien melden zu können. Zertifizierungen nach der ISO 37001 sind möglich und werden von Unternehmen auch vielmals angestrebt. Auffällig ist, dass diese Hinweisgebersysteme zwingend die Möglichkeit der anonymen Meldungserstattung vorsehen müssen.
Die