Transparenz ist kein Luxus, sondern ein Grundpfeiler einer funktionierenden Demokratie. Whistleblower, also Personen, die Missstände aufdecken und melden, spielen dabei eine oft unterschätzte, aber essenzielle Rolle. Lange Zeit war ihr Schutz in Europa jedoch lückenhaft und uneinheitlich. Die Europäische Union hat mit der Richtlinie (EU) 2019/1937 einen wichtigen Schritt unternommen, um europaweit Mindeststandards für den Schutz von Hinweisgebern zu etablieren. Österreich hat diese Vorgabe, wenn auch mit einiger Verspätung, mit dem HinweisgeberInnenschutzgesetz (HSchG) in nationales Recht umgesetzt. Dieser Artikel beleuchtet die Hintergründe der EU-Richtlinie, die Kernpunkte des österreichischen Gesetzes und wirft einen kritischen Blick auf die Herausforderungen und Chancen, die sich daraus ergeben.
Der europäische Impuls: Notwendigkeit eines einheitlichen Schutzes
Vor der Verabschiedung der EU-Whistleblower-Richtlinie im Oktober 2019 war der Schutz für hinweisgebende Personen in den Mitgliedstaaten der Europäischen Union stark fragmentiert. Nur wenige Länder verfügten über umfassende gesetzliche Regelungen, wie die Europäische Kommission bereits früh feststellte (Quelle: LexisNexis). Dies führte zu Rechtsunsicherheit und schreckte potenzielle Hinweisgeber oft davon ab, schwerwiegende Verstöße gegen das Unionsrecht – etwa in Bereichen wie öffentliches Auftragswesen, Finanzdienstleistungen, Umweltschutz oder Lebensmittelsicherheit – zu melden. Die Richtlinie (EU) 2019/1937 verfolgt daher das Ziel, EU-weit verbindliche Mindeststandards zu schaffen. Sie soll Personen schützen, die im beruflichen Kontext Kenntnis von solchen Rechtsverstößen erlangen und diese melden. Damit soll nicht nur der Binnenmarkt gestärkt, sondern auch das Vertrauen der Bürger in die Institutionen gefördert werden. Die Umsetzungsfrist für die Mitgliedstaaten endete am 17. Dezember 2021, jedoch gestaltete sich der Prozess in vielen Ländern, einschließlich Österreich, zunächst schleppend, was unter anderem auf die COVID-19-Pandemie und komplexe Gesetzgebungsverfahren zurückgeführt wurde (Quelle: NAVEX).
Österreichs Antwort: Das HinweisgeberInnenschutzgesetz (HSchG) – Umsetzung mit Licht und Schatten
Österreich setzte die EU-Vorgaben schließlich mit dem Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen, kurz HinweisgeberInnenschutzgesetz (HSchG), um. Dieses wurde am 1. Februar 2023 im Nationalrat beschlossen und trat kurz darauf in Kraft (Quelle: Toplaw). Das erklärte Ziel des Gesetzes ist es, die Bereitschaft zu gesetzeskonformem Verhalten zu stärken, indem klare und sichere Verfahren für die Meldung von Rechtsverstößen geschaffen werden. Zentral sind dabei der Schutz der Hinweisgeber vor Benachteiligungen und die Wahrung der Vertraulichkeit ihrer Identität, um ungerechtfertigte Nachteile oder Verdächtigungen zu vermeiden.
Wer wird geschützt und wovor?
Der persönliche Anwendungsbereich des HSchG ist bewusst breit gefasst. Geschützt sind nicht nur Arbeitnehmerinnen und Arbeitnehmer im klassischen Sinn (egal ob Vollzeit, Teilzeit, befristet oder unbefristet), sondern auch Selbstständige, freie Dienstnehmer, Lieferanten, Auftragnehmer, Personen in Ausbildung, ehemalige Beschäftigte und sogar Bewerberinnen und Bewerber. Bemerkenswert ist, dass der Schutz über die hinweisgebende Person hinausgeht und auch unterstützende Dritte sowie Personen im Umfeld des Hinweisgebers, wie Kolleginnen oder Angehörige, umfassen kann, sofern diese von Repressalien betroffen sein könnten (Quelle: Whistle.law). Der Kern des Schutzes liegt im Verbot jeglicher Repressalien. Das Gesetz zählt beispielhaft auf, was darunter zu verstehen ist: Kündigung, Suspendierung, Nichtverlängerung befristeter Verträge, Herabstufung, Versagung einer Beförderung, Aufgabenverlagerung, Gehaltsminderung, Änderung der Arbeitszeiten, negative Leistungsbeurteilung, Disziplinarmaßnahmen oder Rufschädigung. Entscheidend ist die Beweislastumkehr: Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung, muss der Arbeitgeber beweisen, dass diese Maßnahme nicht auf der Meldung beruht, sondern sachlich gerechtfertigt ist. Voraussetzung für den Schutz ist jedoch, dass die Meldung im guten Glauben erfolgt ist; wissentlich falsche Anschuldigungen sind selbstverständlich nicht geschützt und können sogar sanktioniert werden.
Der sachliche Geltungsbereich: Wo das Gesetz greift – und wo nicht
Ein entscheidender Punkt, der auch zu Kritik Anlass gibt, ist der sachliche Anwendungsbereich des HSchG. Das Gesetz schützt Meldungen über Rechtsverletzungen in jenen Bereichen, die explizit in der EU-Richtlinie genannt sind. Dazu zählen unter anderem das öffentliche Auftragswesen, Finanzdienstleistungen und Geldwäscheprävention, Produktsicherheit, Verkehrssicherheit, Umweltschutz, nukleare Sicherheit, Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz, öffentliche Gesundheit, Verbraucherschutz sowie der Schutz der Privatsphäre und personenbezogener Daten (Quelle: TempChamp). Zusätzlich erfasst das österreichische Gesetz auch Verstöße gegen nationale Vorschriften im Bereich des Korruptionsstrafrechts. Was jedoch vielfach kritisiert wird, ist der Umstand, dass das HSchG nicht darüber hinausgeht und Verstöße gegen rein nationales Recht, die nicht unter die genannten EU-Bereiche oder das Korruptionsstrafrecht fallen, weitgehend unberücksichtigt lässt. Gerade im sensiblen Gesundheits- und Pflegebereich, wo Missstände oft gravierende Folgen haben können, greift der Schutz daher nach Ansicht von Experten zu kurz (Quelle: Periskop). Österreich hat sich hier bewusst dafür entschieden, die Mindestvorgaben der EU nicht zu überschreiten („Gold Plating“ zu vermeiden), obwohl die EU-Kommission die Mitgliedstaaten durchaus ermutigt hatte, den Schutz auszuweiten.
Interne und externe Meldewege: Wie und wo Hinweise gegeben werden können
Das HSchG sieht ein zweistufiges System von Meldewegen vor: interne Meldestellen innerhalb von Organisationen und externe Meldestellen bei Behörden. Unternehmen im privaten Sektor mit in der Regel mindestens 50 Beschäftigten sowie juristische Personen des öffentlichen Sektors (mit Ausnahmen) sind verpflichtet, interne Meldesysteme einzurichten und zu betreiben. Für größere Unternehmen (ab 250 Beschäftigten) galt diese Pflicht früher, für kleinere (50-249 Beschäftigte) gab es eine Übergangsfrist bis zum 17. Dezember 2023 (Quelle: Whistle.law). Das Gesetz liefert dabei eine klare Definition zur Berechnung der Beschäftigtenzahl, was Rechtsunsicherheiten vermeidet. Diese internen Stellen sollen als erste Anlaufstelle dienen und ermöglichen es Organisationen, Missstände rasch intern zu adressieren und abzustellen.
Anforderungen an interne Meldestellen
Die Anforderungen an die internen Meldestellen sind klar definiert. Sie müssen sicherstellen, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter gewahrt bleibt. Die Meldungen müssen unparteiisch und unabhängig bearbeitet werden. Die mit der Entgegennahme und Bearbeitung betrauten Personen müssen entsprechend geschult sein und dürfen keinen Weisungen unterliegen, die ihre Unabhängigkeit gefährden. Die Meldekanäle müssen Meldungen in schriftlicher (z.B. per Post, E-Mail, Online-Plattform) und mündlicher Form (z.B. per Telefon, Sprachnachrichtensystem) ermöglichen. Auf Wunsch des Hinweisgebers ist auch ein persönliches Treffen zu ermöglichen. Wichtig ist die Einhaltung von Fristen: Der Eingang einer Meldung muss binnen sieben Tagen bestätigt werden, und eine Rückmeldung über die geplanten oder ergriffenen Folgemaßnahmen sowie die Gründe dafür muss innerhalb von drei Monaten erfolgen. Unternehmen können diese Aufgabe auch an externe Dritte, wie spezialisierte Dienstleister oder Ombudspersonen, auslagern. Ein vieldiskutierter Punkt ist der Umgang mit anonymen Meldungen: Das österreichische Gesetz verpflichtet Unternehmen nicht zur Einrichtung von Kanälen für anonyme Meldungen oder zur Bearbeitung solcher Hinweise, obwohl dies technisch möglich wäre und von Experten oft empfohlen wird.
Externe Meldestellen: Öffentliche Anlaufpunkte
Neben den internen Kanälen können sich Hinweisgeber auch an externe Meldestellen wenden. Als zentrale externe Meldestelle des Bundes fungiert das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK) (Quelle: TempChamp). Für spezifische Bereiche gibt es weitere zuständige Stellen, wie beispielsweise die Finanzmarktaufsicht (FMA) für den Finanzsektor, die bereits seit 2014 ein Hinweisgebersystem betreibt und nun offiziell als externe Meldestelle nach dem HSchG agiert (Quelle: FMA). Für Verstöße, die in die Zuständigkeit der Länder fallen, sind entsprechende Landesstellen eingerichtet. Hinweisgeber haben grundsätzlich die Wahl, ob sie sich zuerst an eine interne oder direkt an eine externe Stelle wenden. Das Gesetz legt jedoch nahe, dass die interne Meldung bevorzugt werden sollte, wenn davon ausgegangen werden kann, dass intern wirksam gegen den Verstoß vorgegangen wird und keine Repressalien zu befürchten sind.
Vertraulichkeit als Grundpfeiler: Datenschutz und Dokumentation im HSchG
Der Schutz der Identität des Hinweisgebers ist ein zentrales Element des HSchG, ähnlich wie es auch das deutsche Hinweisgeberschutzgesetz (HinSchG) in seinem § 8 betont (Quelle: HinSchG Deutschland). Die Meldestellen – interne wie externe – sind zur absoluten Vertraulichkeit verpflichtet. Informationen, die Rückschlüsse auf die Identität des Hinweisgebers oder anderer in der Meldung genannter Personen zulassen, dürfen nur an die für die Bearbeitung zuständigen Personen weitergegeben werden. Ausnahmen von dieser strengen Regel sind nur in eng definierten Fällen zulässig, etwa bei vorsätzlich oder grob fahrlässig falschen Meldungen, im Rahmen von Strafverfahren auf Anordnung der Behörden, aufgrund einer gerichtlichen Entscheidung oder wenn der Hinweisgeber zuvor ausdrücklich eingewilligt hat. Selbst in diesen Fällen muss der Hinweisgeber in der Regel vorab über die Offenlegung informiert werden, sofern dadurch nicht Ermittlungen gefährdet werden. Eng damit verknüpft sind die datenschutzrechtlichen Bestimmungen. Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems muss stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgen und auf das zur Aufklärung notwendige Maß beschränkt sein. Ebenso wichtig ist die ordnungsgemäße Dokumentation der eingegangenen Meldungen und der ergriffenen Folgemaßnahmen unter strikter Wahrung der Vertraulichkeit. Tonaufzeichnungen von mündlichen Meldungen sind nur mit Einwilligung zulässig, ansonsten sind Inhaltsprotokolle anzufertigen. Diese Dokumentation muss für eine bestimmte Dauer aufbewahrt und danach sicher gelöscht werden.
Zwischen Anspruch und Wirklichkeit: Herausforderungen und der Blick nach vorn
Die Einführung des HSchG ist zweifellos ein Fortschritt für den Whistleblower-Schutz in Österreich. Dennoch bleiben Herausforderungen bestehen. Die bereits erwähnte Beschränkung des sachlichen Anwendungsbereichs stellt eine wesentliche Schwachstelle dar, die insbesondere in Sektoren wie dem Gesundheitswesen Lücken lässt (Quelle: Periskop). Kritiker bemängeln zudem, dass bei der Gesetzwerdung nicht alle Bedenken aus dem Begutachtungsverfahren ausreichend berücksichtigt wurden. Für Unternehmen bedeutet die Umsetzung des Gesetzes einen nicht unerheblichen Aufwand, der Fragen in den Bereichen Compliance, Datenschutz und Arbeitsrecht aufwirft und oft externe Beratung erfordert (Quelle: Toplaw). Als mögliche Ergänzung auf betrieblicher Ebene werden Betriebsvereinbarungen diskutiert, um den Schutz über die gesetzlichen Mindeststandards hinaus zu verbessern. Der internationale Vergleich zeigt zudem, dass die Qualität der Umsetzung der EU-Richtlinie europaweit variiert, wie Beispiele aus Ungarn oder Italien verdeutlichen, wo zum Teil problematische Regelungen getroffen wurden (Quelle: Transparency.org). Für Österreich steht eine erste Evaluierung des HSchG im Jahr 2026 an. Es bleibt zu hoffen, dass diese Gelegenheit genutzt wird, um Schwachstellen zu analysieren und mögliche Nachbesserungen vorzunehmen. Letztlich geht es nicht nur um die formale Erfüllung einer EU-Vorgabe, sondern um die Etablierung einer Kultur, in der das Aufzeigen von Missständen nicht als Verrat, sondern als wertvoller Beitrag zur Integrität und Verbesserung von Organisationen und der Gesellschaft insgesamt gesehen wird. Ein wirksamer Hinweisgeberschutz ist somit ein Lackmustest für die Transparenz und Verantwortlichkeit in unserem Land.
