FAQ

The Confidant ist Ihre sofort einsetzbare One-Stop-Solution und Ihr Rundum-sorglos-Paket zum Thema Whistleblowing. 

The Confidant ist mehr als nur eine Softwarelösung.

The Confidant ist mehr als eine bloße Ersteinschätzung des Sachverhalts.

Ihr interner Meldekanal und das Whistleblowing Management wird voll umfänglich an uns ausgelagert und…

• Sie müssen keine internen (Personal-)Ressourcen für die Bearbeitung einlangender Hinweise aufwenden.
• Sie stellen sicher, dass sämtliche Hinweise neutral und unvoreingenommen analysiert und fristgerecht bearbeitet werden.
• keine Interessenskonflikte, wie sie etwa im Falle einer Bearbeitung durch Interne Revision oder Unternehmensanwalt zwangsläufig  entstehen, beeinträchtigen die Wirksamkeit des internen Meldekanals.

Unternehmen mit 250 oder mehr Arbeitnehmer:innen müssen bereits bis 25.08.2023 eine interne Meldestelle einrichten. 

Unternehmen ab 50 Arbeitnehmer:innen müssen – bis zum 17.12.2023 über ein richtlinien- und HSchG-konformes Meldesystem verfügen.

Öffentlich-rechtliche Organisationen, einschließlich Stellen, die im Eigentum oder unter der Kontrolle einer solchen juristischen Person stehen, unterliegen ebenso der Verpflichtung zur Einrichtung eines Meldesystems bis 17.12.2023. Im Rahmen einer Öffnungsklausel haben die Mitgliedstaaten allerdings die Möglichkeit, juristische Personen des öffentlichen Sektors mit weniger als 50 Arbeitnehmern auszunehmen.

Weitere Details können Sie unseren Information zum Hinweisgeberschutzgesetz entnehmen.

Unternehmen oder Organisationen, die Meldungen (versuchen zu) behindern, Repressalien ergreifen, mutwillig Gerichtsverfahren gegen (potenzielle) Whistleblower anstrengen oder gegen die Verpflichtung zur Vertraulichkeit verstoßen, drohen wirksame, angemessene und abschreckende Sanktionen.  Diese in der Richtlinie verwendete Formulierung zur Art der Sanktionen kennt man bereits im Zusammenhang mit den behördlichen Maßnahmen iZm Verstößen gegen die DSGVO.

Wenn gem § 24 HSchG bereits die Behinderung bzw der Versuch der Behinderung der Hinweisgebung sanktioniert wird, gilt dies umso mehr für das gänzliche Fehlen eines internen Hinweisgebersystems. Es drohen Verwaltungsstrafen von € 20.000 bzw. im Wiederholungsfalle € 40.000!

Whistleblowing Regelungen haben ihr Grundlage in der EU-Richtlinie EU/2019/1937,  „Whistleblowing-Richtlinie“ oder kurz „WB-RL“.  

Im Gegensatz zu EU-Verordnungen wie zB der Datenschutz-Grundverordnung, kurz DSGVO, sind  EU-Richtlinien wie die Whistleblowing-Richtline in den Mitgliedstaaten nicht unmittelbar anwendbar. Jeder Mitgliedstaat ist daher verpflichtet, EU-Richtlinien durch Gesetze oder Verordnungen zu konkretisieren und in nationales Recht umzusetzen. Die Whistleblowing-Richtline hat den Mitgliedstaaten eine Frist zur Umsetzung bis 17.12.2021 eingeräumt. 

Die nationale österreichische Umsetzung erfolgte mit über 1-jähriger Verspätung im Hinweisgeberschutzgesetz.

Mit der Whistleblowing-Richtline wird primär der Zweck verfolgt, durch Hinweisgebersysteme und Regelungen zum Schutz jener Personen, die Verstöße gegen Unionsrecht melden, dem EU-Recht zur Durchsetzung zu verhelfen. „49 % der EU-Bürger wissen nicht, an wen sie sich wenden sollen, wenn sie Korruption melden wollen, und nur 15 % wissen über die bestehenden Regelungen zum Schutz von Hinweisgebern Bescheid.“

Verpflichtend einzurichtende Meldesysteme müssen die Meldungen in schriftlicher und/oder mündlicher Form ermöglichen und eine Dokumentation der Meldungen sicherstellen. Mündliche Meldungen müssen neben der Meldemöglichkeit per Telefon oder mittels einer anderen Art der Sprachübermittlung auf Ersuchen des Hinweisgebers im Wege einer physischen Zusammenkunft innerhalb eines angemessenen Zeitrahmens möglich sein.

Ein Meldesystem gilt nur dann als regelungskonform, wenn es auch wirksam ist. Ein Feigenblatt-System auf dem Papier erfüllt nicht die rechtlichen Anforderungen und kann neben Reputationsschäden empfindliche Sanktionen nach sich ziehen. 

Wesentlich ist daher, dass es sich um ein wirksames Hinweisgebersystem handeln muss. Folglich reicht es nicht aus, einen Meldekanal bloß einzurichten. Parallel dazu müssen jedenfalls  

• Mitarbeiter:innen sensibilisiert und informiert werden,  
• das Hinweisgebersystem niederschwellig für den gesamten Adressatenkreis zugänglich gemacht werden 
• ein strukturierter Prozess zur Hinweisbearbeitung implementiert werden. 

Das Whistleblowing Managementsystem von The Confidant erfüllt die Voraussetzungen und entspricht höchsten technischen, organisatorischen und fachlichen Standards. Jeder Hinweis und alle Informationen werden systematisch erfasst, von Expert:innen thematisch eingeordnet und im Rahmen einer Ersteinschätzung bewertet. Entsprechend dem Ergebnis der Ersteinschätzung werden Untersuchungen zur vollständigen Aufarbeitung des Meldungsinhaltes eingeleitet und soweit notwendig Maßnahmen und Strategien vorgeschlagen, die Hinweisthematik unternehmensintern zu behandeln. 

Bei Integration des Ideas & Improvement Systems werden Hinweise zu Verbesserungspotentialen und innovative Ideen nach thematischer Einordnung aufbereitet und an die unternehmensintern Verantwortlichen weitergeleitet. 

Jede Meldung wird professionell dokumentiert und mit den regelmäßigen Reviews von The Confidant behalten Sie stets den Überblick über all ihre Meldungen. 

Das Whistleblowing Management von The Confidant erfüllt aber nicht nur Whistleblowing-Standards, sondern selbstverständlich auch datenschutzrechtliche Vorgaben sowie betriebliche Compliance-Regeln.  

Mit der Einrichtung eines wirksamen Meldesystems müssen die folgenden wesentlichen Pflichten erfüllt werden: 

Das Hinweisgebersystem muss die Vertraulichkeit der Identität des Whistleblowes sowie Dritter, die in der Meldung erwähnt werden, gewährleisten.

Berechtigungskonzepte müssen eine Entgegenahme und Behandlung ausschließlich berechtigter Mitarbeiter:innen und/oder Dritter sicherstellen. Die Untersuchung der Meldung und Setzung notwendiger Folgemaßnahmen muss durch geeignete, diesbezüglich unabhängige und konkret benannte Person bzw Einheiten erfolgen.

Folgemaßnahmen zur Bearbeitung und Aufarbeitung der Meldung sind in geeigneter Form vorzusehen. Damit besteht eine Prüf- und Nachforschungsverpflichtung in Bezug auf die Stichhaltigkeit der Meldung, aber auch ein Gebot zur Setzung von gegebenenfalls notwendigen Maßnahmen. Darüber hinaus sollte die Möglichkeit bestehen, Whistleblower während der Untersuchung um Bekanntgabe weiterer Informationen zu ersuchen, wobei diesbezüglich keinerlei Mitwirkungsverpflichtung der Whistleblower besteht.

Whistleblowern muss  binnen sieben Tagen nach Einlangen der Meldung eine Empfangsbestätigung und binnen maximal drei Monaten ab Ablauf der 7-Tages-Frist eine inhaltliche Rückmeldung erteilt werden.

Repressalien gegen Whistleblower sind unzulässig. 

Geschützte Whistleblower können in folgendem Verhältnis zum Unternehmen stehen 

• Bewerber:innen, Arbeitnehmer:innen und ehemalige Arbeitnehmer:innen 
• Selbstständige  
• Gesellschafter, Aktionäre und Personen, die dem Verwaltungs- Leitungs- oder Aufsichtsorgan eines Unternehmens angehören, einschließlich nicht geschäftsführender Mitglieder, Freiwillige, bezahlte oder unbezahlte Praktikanten 

• Personen, die unter Aufsicht oder Leitung von Auftragnehmern, Unterauftragnehmern und Lieferanten arbeiten 

Zusätzlich gelten die Schutzmaßnahmen der WB-Regelungen auch für  

• Mittler 
• Dritte, die mit dem Whistleblower in Verbindung stehen und in einem beruflichen Kontext Repressalien erleiden könnten, wie zB Kolleg:innen oder Verwandte des Whistleblowers 

• juristische Personen, die im Eigentum des Whistleblowers stehen oder für die der Whistleblower arbeitet oder mit denen er in einem beruflichen Kontext anderweitig in Verbindung steht. 

Whistleblower sind durch die Whistleblowing-Regelungen geschützt, wenn 

• sie hinreichenden Grund zur Annahme hatten, dass die Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprachen, 
• der Meldeinhalt in den Anwendungsbereich der gesetzlichen WB-Regelungen fällt und  
• eine interne – bspw. über The Confidant Whistleblowing Management – oder externe Meldung erstattet wurde; 

Bei Offenlegung der Informationen – dh Veröffentlichung – muss neben der Wahrheitsannahme und dem gesetzesspezifischen Meldeinhalt 

• eine vorab erfolgte interne oder externe Meldung zu keinen geeigneten Maßnahmen geführt haben, oder  

• hinreichender Grund zur Annahme bestanden haben, dass der Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann, oder 
• im Fall einer externen Meldung Repressalien zu befürchten sind oder geringe Aussichten bestehen, dass wirksam gegen den Verstoß vorgegangen wird. 

Repressalien gegen geschützte Whistleblower sind verboten. Die WB-RL führt insbesondere folgende verbotene Repressalien an: 

• Suspendierung, Kündigung, Entlassung oder vergleichbare Maßnahmen; 
• Herabstufung oder Versagung einer Beförderung; 
• Aufgabenverlagerung, Änderung des Arbeitsortes, Gehaltsminderung, Änderung der Arbeitszeit; 
• Versagung der Teilnahme an Weiterbildungsmaßnahmen; 
• negative Leistungsbeurteilung oder Ausstellung eines schlechten Arbeitszeugnisse;
• Disziplinarmaßnahme, Rüge oder sonstige Sanktion einschließlich finanzieller Sanktionen;
• Nötigung, Einschüchterung, Mobbing oder Ausgrenzung; 
• Diskriminierung, benachteiligende oder ungleiche Behandlung; 
• Nichtumwandlung eines befristeten Arbeitsvertrags in einen unbefristeten Arbeitsvertrag in Fällen, in denen der Arbeitnehmer zu Recht erwarten durfte, einen unbefristeten Arbeitsvertrag angeboten zu bekommen; 
• Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags; 
• Schädigung (einschließlich Rufschädigung), insbesondere in den sozialen Medien, oder Herbeiführung finanzieller Verluste (einschließlich Auftrags- oder Einnahmeverluste); 
• Erfassung des Hinweisgebers auf einer „schwarzen Liste“ auf Basis einer informellen oder formellen sektor- oder branchenspezifischen Vereinbarung mit der Folge, dass der Hinweisgeber sektor- oder branchenweit keine Beschäftigung mehr findet; 
• vorzeitige Kündigung oder Aufhebung eines Vertrags über Waren oder Dienstleistungen; 
• Entzug einer Lizenz oder einer Genehmigung; 
• psychiatrische oder ärztliche Überweisungen. 

Maßnahmen, die Mitgliedstaaten zur Durchsetzung des Verbotes von Repressalien vorzusehen haben, müssen geschützten Whistleblowern  

• umfassende und unabhängige Informationen sowie Beratung zu Abhilfemaßnahmen bieten, 
• Verfahren gegen Repressalien gewähren, 
• Unterstützung bei Behördenkontakten ermöglichen, 
• Prozesskosten- und Verfahrenshilfe gewähren. 

Darüber hinaus sind zumindest Schutzmaßnahmen dahingehend vorzusehen, dass 

• Meldungen nicht als Verletzung einer gesetzlichen oder vertraglichen Geheimhaltungsverpflichtung angesehen werden; 
• Whistleblower für eine richtlinienkonforme Meldung nicht haftbar gemacht werden können, dh nicht schadenersatzpflichtig werden; 
• Whistleblower für die Art und Weise der Informationsbeschaffung nicht haftbar gemacht werden, sofern diese keine eigenständige Straftat darstellt; 
• eine Beweislastumkehr in Verfahren gegen Repressalien vorgesehen wird und daher der Verfahrensgegner des Hinweisgebers nachweisen muss, dass die bekämpften Maßnahmen nicht aufgrund der Meldung gesetzt wurden, wobei vermutet wird, dass die Benachteiligung eine Repressalie für die Meldung oder Offenlegung war. 

Betriebsvereinbarungen sind grundsätzlich immer dann abzuschließen, wenn Hinweisgebersysteme ohne gesetzliche Verpflichtung eingerichtet oder in ihrer Ausgestaltung über die gesetzlichen Anforderungen hinausgehen. 

Beruht der Betrieb des Hinweisgebersystems als interner Meldekanal in seiner konkreten Ausgestaltung ausschließlich auf einer gesetzlichen Verpflichtung, kann grundsätzlich auf die Ausnahmeregelung zum Erfordernis der Zustimmung des Betriebsrates zurückgegriffen werden. 

Gemeinsam mit renommierten Anwaltskanzleien als starke Partner unterstützen wir auch arbeitsrechtliche Belange mit professioneller Expertise und sorgen für Ihr Rundum-sorglos-Paket. 

Die Informationspflicht des  Arbeitgebers kann – wie beim Whistleblowing Management von The Confidant – insbesondere durch unternehmensinterne Whistleblowing Guidelines, Informationstexte zum System und nicht zuletzt durch regelmäßige Workshops und Schulungen erfüllt werden.  

Dem datenschutzrechtlichen Grundprinzip folgend, dass jede Datenverarbeitung verboten ist, sofern sie nicht auf Basis einer wirksamen Rechtsgrundlage erfolgt, bedarf es für die Implementierung eines Hinweisgebersystems einer Auseinandersetzung mit Art. 6 und Art. 9 DSVGO zur Definition der jeweiligen Verarbeitungsgrundlage.

Datenverarbeitungsgrundlage im Zusammenhang mit in den Anwendungsbereich der WB-RL bzw. der nationalen Umsetzungsgesetze fallenden Meldungen ist regelmäßig Art. 6 Abs. 1 lit. c DSGVO bzw. Art. 9 Abs. 2 lit. f bzw. lit. g DSGVO. 

Datenschutzrechtliche Grundsätze wie insbesondere jener der Datenminimierung, Zweckbindung, privacy by design und privacy by default, sowie jener der Gewährleistung eines angemessenen Datensicherheitsniveaus sind ebenso wie die Informationspflicht entsprechend Art. 12ff DSGVO zu erfüllen. Das Hinweisgebersystem ist weiters im Verarbeitungsverzeichnis zu erfassen und in die Datenschutzinformation aufzunehmen. 

Mit The Confidant steht Ihnen in allen datenschutzrechtlichen Belangen unser know how als zertifizierte Datenschutzbeauftragte zur Verfügung – wir entwickeln für jedes Anliegen individuelle und praxistaugliche Lösungen. 

Ein wichtiger Aspekt der nachhaltigen Verantwortung einer Organisation (Corporate Sustainable Responsibility CSR) ist das Einhalten geltender Gesetze. Dazu zählt auch der Umgang mit eventuellen Verstößen gegen gesetzliche Bestimmungen sowie die korrekte Handhabung von internen und externen Hinweisen.

Bekräftigt wird dies durch das Prinzip Nr. 10 „Korruptionsbekämpfung“ des UN Global Compact, einem weltweiten Pakt zwischen Unternehmen und den Vereinten Nationen, um die Globalisierung sozialer und ökologischer zu gestalten. Auch der globale Berichtsstandard GRI (Global Reporting Initiative) bedingt unter GRI 205 die Behandlung dieses Themas. Die nationale Umsetzung der EU-Whistleblower-Richtlinie macht ein Hinweisgeber-System (für bestimmter Organisationen) zur Pflicht, und verlangt den Schutz von Hinweisgeber vor Benachteiligungen jeder Art.

Oft wird in diesem Zusammenhang von „Whistleblowern“ gesprochen. Das Einhalten von Gesetzen sowie Hinweise darauf, dass gegebenenfalls dagegen verstoßen wird, müssen wir jedoch klar vom negativ besetzten Begriff „vernadern“ trennen. Damit hat das Hinweisgeben nichts gemeinsam. Ganz im Gegenteil, von internen und externen Hinweisen können Organisationen nachhaltig profitieren.

Entwicklungspotenziale für den eigenen nachhaltigen Geschäftserfolg ziehen Organisationen aus Hinweisen insbesondere dann, wenn diese gleichzeitig als „Ideenbörse“ verstanden werden. Anregungen für Verbesserungen, Ideen für Innovationen und Lösungsansätze für Probleme machen aus dem Hinweisgeber-System ein wertvolles Kommunikationsmedium, über das sich interne und externe Stakeholder mit dem Unternehmen aktiv austauschen können.

Entscheidend, auch um den gesetzlichen Bestimmungen gerecht zu werden, ist, dass auf einlangende Hinweise sicher und zeitnahe reagiert wird. Hinweisgeber sollen wertschätzend über die Bearbeitung sowie ggf. über die positiven Auswirkungen des Hinweises informiert werden. So werden Hinweisgeber-Systeme zum integralen Bestandteil der nachhaltigen Verantwortung im Sinne einer „Good Governance“ gemäß den ESG-Kriterien. 

Weitere Informationen zu den Themen ESG, Nachhaltigkeit, Corporate Sustainability und Public Sustainability etc. hat unser Experte, Andreas Dolezal, für Sie.

Gastbeitrag von Andreas Dolezal: Vorteile nachhaltiger Verantwortung

Ein wirksames Hinweisgebersystem entspricht allen rechtlichen Vorgaben, lässt sich mühelos in die individuelle Struktur des Unternehmens einfügen, bringt nachhaltige Erfolge und minimiert Risiken.  

The Confidant erfüllt all diese Ansprüche auf höchstem Niveau und bietet maßgeschneiderte Lösungen mit dem entscheidenden Vorteil stets professioneller persönlicher Beratung.   

The Confidant

• berücksichtigt die konkreten betrieblichen Strukturen,  
• bindet alle Stakeholder mit ein und  
• schafft mit einem durchdachten Konzept ein effizientes Hinweisgebersystem. 

Wir erfüllen daher nicht nur gesetzliche Vorgaben, sondern gehen im Gegensatz zu „08/15 Tools“ den entscheidenden Schritt weiter und sorgen für einen messbaren Mehrwert des Hinweisgebersystems. Indem wir insbesondere auch  Compliance-Regeln, Betriebs- und Dienstvertragsvereinbarungen sowie Dienstanweisungen und betriebliche Übungen mit Konnex zu Informations- oder Hinweisgebersystemen evaluieren, werden Widersprüche und Doppelgleisigkeiten zum Hinweisgebersystem ausgeschlossen.  

Wir passen die Ausrichtung des Hinweisgebesystems zielgerichtet an den festgelegten Scope an und können mit dem Whistleblowing Management zusätzlich punktgenaue Compliance Maßnahmen setzen, aber auch ein innovatives Ideas & Improvement Management integrieren oder neu etablieren.  

Die Hinweise können in einem zentralen System

• schriftlich – digital und je nach individueller Systemausgestaltung auch anonym –
• mündlich – über eine anonyme Schnittstellen-Telefonnummer – und
• persönlich – über direkt im System buchbare Termine –

gemeldet werden. Das Whistleblowing System entspricht in allen Bereichen den technischen Anforderungen der geltenden gesetzlichen Vorgaben und das bei optimaler Usability für das Unternehmen und für die Hinweisgeber.

Das zentrale Meldesystem vereint Hinweisdokumentation, -bearbeitung und Verwaltung aller offenen und abgeschlossenen Hinweisfälle in einem System – sicher und professionell.

Im Hintergrund bedient sich TheConfidant der technischen Umsetzung des österreichischen IOB-ausgezeichneten Anbieters .LOUPE.

The Confidant als Whistleblowing System erfüllt durch Know-how gepaart mit persönlichem Engagement und praxiserprobter, modernster Informationstechnologie nicht nur verpflichtende Standards sondern alle individuellen Bedürfnisse Ihrer Organisation.

Compliance auf höchstem Niveau – ohne Kompromisse, ohne versteckte Kosten.

• umfassendes Fallmanagement (Berichte, Protokolle, Informationsmanagement etc.)
• Fristenmanagement
• Nutzer- und Berechtigungsmanagement
• Revisionssicheres Zugriffsprotokoll/Audit-Log
• Sharing-Funktion für sicheres Teilen von Fallinformationen
• DSGVO-konformes Fall Archiv und Löschfristenmanagement
• Verwendung ISO 27001 zertifizierter Server
• State of the art AES-256 Daten-Verschlüsselung
• Chatfunktion zur Kommunikation mit den Hinweisgebern
• Responsive Multi-Device-Design – automatische Anpassung an Nutzer-Endgerät
• Anonymity-Score für Hinweisgeber
• Viren-Scan für Attachments
• Regelmäßige System- und Sicherheits-Updates
• Logo- und Corporate-ID-Anpassungen

Das individuelle Hinweisgebersystem sowie alle Informationen dazu sind – je nach Wunsch – über einen Link auf Ihrer eigenen Website in Ihrer Corporate Identity oder über die Website von The Confidant für alle potentiellen Hinweisgeber direkt und unkompliziert zugänglich.

Die Einrichtung einer Demoversion ist jederzeit kurzfristig möglich.