Logo
Kontakt
Home

Hinweisgebersystem - Whistleblowing und Datenschutz

  • 1. Worum geht es beim Hinweisgeberschutz bezüglich Datenschutz?

    Whistleblower sind mittlerweile auch in Österreich besser geschützt. Seitens der EU wurde eine Richtlinie erlassen, wonach Hinweisgebersysteme für Rechtsverletzungen (Whistleblowing) einzurichten sind. Zur Regelung der Details waren die Mitgliedsstaaten bis Ende 2021 verpflichtet, wobei Österreich (wie auch andere Staaten) dem nicht fristgerecht nachgekommen ist. Nunmehr ist das Gesetz aber doch in Kraft getreten:

    Ziel ist es, Personen, die Informationen über rechtlich fragwürdige Praktiken in ihrem beruflichen Umfeld wie Datenschutzverletzungen, Betrug, Korruption, Gesundheitsgefährdung oder Umweltgefährdung weitergeben, vor negativen Konsequenzen zu schützen. So sind unter anderem etwa Kündigungen, Suspendierungen, Gehaltskürzungen und Disziplinarmaßnahmen verboten. Auch die vorzeitige Auflösung geschäftlicher Verträge oder anderer Vereinbarungen mit GeschäftspartnerInnen ist untersagt.

    Wer gegen diese Bestimmungen verstößt kann auf Schadenersatz geklagt werden. Zudem werden hohe Verwaltungsstrafen fällig. Unternehmen, gemeinnützige Einrichtungen und Vereine sind außerdem verpflichtet, eine interne Meldestelle einzurichten, sofern sie mehr als 50 MitarbeiterInnen beschäftigen. Der Meldestelle sind die notwendigen Befugnisse, um ihre Aufgaben wahrzunehmen, um Meldungen zu prüfen und Folgemaßnahmen zu ergreifen, einzuräumen.

  • 2. Welche Bereiche sind vom Hinweisgeberschutz inhaltlich erfasst?

    • Öffentliche Gesundheit
    • Verbraucherschutz
    • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
    • Verhinderung und Ahndung von Straftaten
    • Verkehrssicherheit
  • 2. Bist auch du und dein Unternehmen betroffen?

    Die Bestimmungen samt Einrichtung einer internen Meldestelle gelten für Betriebe ab 50 Beschäftigten. Wobei zwischen 50 und 249 Beschäftigten die Umsetzung erst mit 17.12.2023 zu erfolgen hat. Größere Betriebe haben bereits früher eine Umsetzung vorzunehmen!

    Als Beschäftigte gelten neben ArbeitnehmerInnen und die zu ihrer Berufsbildung Beschäftigten auch Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind.

    Solltest du betroffen sein, empfehle ich dir rasch mit der Erstellung des Prozesses zu beginnen. Bei Fragen zum Datenschutz beim Hinweisgebersystem wende dich an mich: Kontakt

  • 3. Schutz der Hinweisgeber und Schadenersatz

    Geschützt werden die HinweisgeberInnen selbst (ArbeitnehmerInnen, BewerberInnen, Auszubildende, Selbständige, Leitungsorgane…), als auch unterstützende Personen und Dritte, die mit der hinweisgebenden Person in Verbindung stehen. Anonyme HinweisgeberInnen fallen ebenfalls unter die Schutzbestimmungen, wenn ihre zunächst verdeckte Identität später bekannt wird.

    Gegen hinweisgebende Personen gerichtete Repressalien (Kündigung, Nichtverlängerung von Verträgen, Disziplinarmaßnahmen…) sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Erleidet eine hinweisgebende Person nach einer Meldung oder Offenlegung eine Benachteiligung, so wird vermutet, dass dies eine Repressalie ist. Es reicht also eine bloße Glaubhaftmachung vor Gericht.

    Den HinweisgeberInnen ist folglich der Schaden zu ersetzen.

    Sollte dieser vorsätzliche oder grob fahrlässige eine Meldung oder Offenlegung unrichtiger Informationen vornehmen, so hat auch er den Schaden zu ersetzen.

  • 4. Wie ist der Datenschutz bei Hinweisgebersystemen umzusetzen?

    Die Identität der HinweisgeberInnen ist zu schützen.

    Die Meldestelle in deinem Unternehmen ist aber befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

    Wesentlich ist es, die Dokumentation des Hinweisgebersystems in deinen Datenschutzunterlagen vorzunehmen.

    Auch auf die vorgegebenen datenschutzrechtliche Löschfristen solltest du ein Auge werfen. Das sollten wir in deinem Löschkonzept berücksichtigen. (Siehe auch: Datenschutzbeauftragte)

  • 5. Was gilt bei Missachtung?

    Es sind Geldstrafen bis zu 20.000€ bzw. 40.000€ im Wiederholungsfall vorgesehen.


1 RICHTLINIE (EU) 2019/1937 DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden
2 Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für HinweisgeberInnenschutzgesetz