Wer anonym Missstände in einer Organisation aufzeigen will, soll sich in letzter Konsequenz straflos an Medien wenden dürfen.
Wien. Nicht erst seit den Panama-Papers, jenen vertraulichen Unterlagen eines panamaischen Beratungsunternehmens, die bemerkenswerte internationale Steuergestaltungen offenbart haben, ist klar: Skandale kommen oft erst ans Licht, wenn sich Mitarbeiter dazu entschließen, sie publik zu machen. Effektive Whistleblowing-Systeme sind deshalb eine wichtige Voraussetzung für die Wirksamkeit von Compliance-Management-Systemen. Doch sie funktionieren nur dann, wenn Whistleblower keine Angst vor Vergeltungsmaßnahmen haben müssen, also ausreichend geschützt sind.
Umfassende Regelungen zum Schutz von Whistleblowern bestehen derzeit nur in rund einem Drittel der Mitgliedstaaten der Europäischen Union. Doch ohne rechtliche Regelungen besteht für Whistleblower nicht nur kein (ausreichender) Schutz, sondern diesen drohen sogar langwierige Rechtsstreitigkeiten. Unter diesen Umständen traut sich fast niemand, Fehlverhalten aufzuzeigen.
Zersplittere Rechtslage
Der EU-Kommission ist diese fragmentierte Rechtslage in den Mitgliedstaaten ein Dorn im Auge. Die Kommission möchte nun einen einheitlichen Mindeststandard für den Schutz von Whistleblowern innerhalb der EU verankern und in allen Mitgliedstaaten Whistleblower vor Sanktionen schützen. Für besonderes Aufsehen sorgt der Vorschlag, dass in letzter Konsequenz Whistleblower auch dann geschützt sein sollen, wenn sie Informationen an die Medien weitergeben.
Uneinheitlich geregelt ist in den Mitgliedstaaten nicht nur, für welche Branchen und für welche Delikte der Schutz von Whistleblowern gilt, sondern auch, welche Personen als Whistleblower überhaupt infrage kommen. Die vorgeschlagene Richtlinie zieht hier einen sehr weiten Kreis: Nach den Vorstellungen der Kommission sollen nicht nur Arbeitnehmer, sondern auch Berater, Auftragnehmer und Lieferanten geschützt sein. Sogar ehrenamtlich Tätige, unbezahlte Praktikanten und Stellenbewerber sollen vom Whistleblower-Schutz profitieren.
Dem Vorschlag der Kommission liegt ein dreigliedriges System zugrunde: Ein Whistleblower soll sich demnach zuerst an ein unternehmensinternes Meldesystem wenden. Alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als zehn Millionen Euro würden verpflichtet sein, ein solches internes Whistleblowing-System einzuführen. Davon wären auch alle österreichischen Mittelbetriebe betroffen, die Whistleblowing-Systeme bislang als Vernaderung abgelehnt haben. Kleinere Unternehmen trifft diese Verpflichtung nicht, es sei denn, sie sind im Finanzdienstleistungsbereich tätig. Verpflichtet sollen auch alle Gemeinden mit mehr als 10.000 Einwohnern werden.
Sollte aber kein unternehmensinternes Meldesystem bestehen oder bleibt eine Meldung erfolglos, so kann sich der Whistleblower an die staatlichen Behörden wenden. Erhält der Whistleblower auch hier innerhalb einer bestimmten Zeit (drei bis maximal sechs Monate in komplexen Fällen) keine Antwort, kann er als letzte Konsequenz auch an die Öffentlichkeit gehen – und wird dabei durch die Richtlinie geschützt.
Damit besteht für Unternehmen ein faktischer Druck, effektive interne Systeme zu implementieren, selbst wenn aufgrund der Unternehmensgröße gar keine Verpflichtung dazu besteht. Der Whistleblower wird Treiber bei (vermeintlichen) Missständen und kann nicht abgewürgt werden.
Dass der Gang an die Öffentlichkeit nur dann geschützt ist, wenn die ersten beiden Kontrollstufen versagen, soll Racheaktionen unterbinden. Eine direkte Weitergabe von Informationen an die Medien soll nach den Vorstellungen der Kommission nur in Ausnahmesituationen zulässig sein, etwa beim Verdacht der Komplizenschaft zwischen Unternehmensorganen und der staatlichen Behörde oder einer drohenden schwerwiegenden Gefährdung öffentlicher Interessen.
Vernaderungsklima blieb aus
Weil ohne unternehmensinterne Whistleblowing-Systeme Compliance-Management-Systeme weitgehend wirkungslos sind, sehen alle relevanten Normen wie zum Beispiel die österreichische ONR 192050 oder die internationalen ISO 19600 und ISO 37001 seit Langem deren Einrichtung zwingend vor. Größere Unternehmen haben bereits in den vergangenen Jahren begonnen, interne Meldesysteme zu schaffen, und sind damit zufrieden. Das mitunter befürchtete Klima der Vernaderung ist nicht eingetreten. Dennoch haben diese positiven Erfahrungen der großen die Berührungsängste der kleineren Unternehmen noch nicht wirklich beseitigen können. Der Implementierungsbedarf auf dem heimischen Markt ist nach wie vor groß.
Das könnte sich nun rasch ändern: Nach den Vorstellungen der Kommission könnte die Richtlinie noch im ersten Halbjahr 2019 beschlossen werden. Deren Umsetzung wäre insbesondere in Österreich ein Meilenstein im Bereich Compliance.
DDr. Alexander Petsche ist Partner der Kanzlei Baker McKenzie, Mag. Matthias Edtmayer ist ebendort Junior Associate.