Das neue Hinweisgeberschutzgesetz (HSchG) – Was bedeutet es für Unternehmen?
Neue Regeln für das Internet der Dinge
Stichwörter: IoT, Internet of Things, Maschinendaten
Das HSchG setzt die EU-Whistleblower-Richtlinie (RL (EU) 2019/1937) in nationales österreichisches Recht um. Österreich ist der Verpflichtung zur Umsetzung der Richtlinie (verspätet) nachgekommen und so trat das HSchG größtenteils mit 25.02.2023 bzw. mit 17.12.2023 in Kraft.
Das Gesetz dient primär dazu, Hinweisgeber (sog. Whistleblower) vor Vergeltungsmaßnahmen zu schützen, wenn diese Missstände oder Verstöße gegen EU-Recht melden.
Das HSchG gilt für alle Unternehmen mit 50 und mehr Arbeitnehmern.
Hinweisgeber, die auf Grund ihrer beruflichen Tätigkeit Kenntnisse von Rechtsverstößen erlangen, sind durch das HSchG geschützt.
Darunter versteht man beispielsweise:
Wird gegen einen Hinweisgeber eine Vergeltungsmaßnahme wie Kündigung, Suspendierung oder Nichtverlängerungen, Herabstufung, Versetzung, negative Leistungsbeurteilung, Disziplinarmaßnahme, Vertragsbeendigung, Lizenzentzug, finanzielle Schlechterstellung ausgeübt, so ist diese Vergeltungsmaßnahme rechtsunwirksam. Das Unternehmen ist verpflichtet den rechtmäßigen Zustand wiederherzustellen, einen etwaigen Vermögensschaden zu ersetzen und eine Entschädigung für die erlittene persönliche Beeinträchtigung des Hinweisgebers zu leisten.
Geschützte Hinweisgeber sowie Personen in deren Umkreis (zB Familienangehörige) haften nicht für tatsächliche oder rechtliche Folgen eines berechtigten Hinweises. Ein Hinweisgeber, der einen Verstoß berechtigt meldet, verletzt dadurch keine gesetzlichen oder vertraglichen Geheimhaltungsverpflichtungen und haftet nicht dafür.
Vom HSchG erfasste Unternehmen sind verpflichtet ein Hinweisgebermeldesystem einzurichten, welches die Meldung von Missständen im Unternehmen ermöglicht. Es muss eine geschützte, anonyme Kommunikation sichergestellt werden. Außerdem ist die Identität des Hinweisgebers zu schützen, sie muss also geheim gehalten werden und zwar sowohl gegenüber anderen Mitarbeitenden als auch gegenüber der Unternehmensleitung. Hinweise müssen schriftlich oder mündlich gemeldet werden können.
Für ein Hinweisgebermeldesystem bedarf es iSd DSGVO einer Rechtsgrundlage für die Datenverarbeitung, zumal personenbezogene Daten verarbeitet werden.
In § 8 HSchG ist eine solche Rechtsgrundlage für die Verarbeitung der in Hinweisen enthaltenen personenbezogenen Daten normiert.
Demnach dürfen folgende personenbezogene Daten verarbeitet werden:
An die Verarbeitung der personenbezogenen Daten sind aber weitere Voraussetzungen geknüpft.
Die Verarbeitung der personenbezogenen Daten muss:
Werden bei einem Hinweis sensible Daten iSd Art 9 Abs 1 DSGVO verarbeitet, so ist dies nur zulässig wenn:
Um den Hinweisgeber noch stärker zu schützen hat derjenige, der vom Hinweis betroffen ist nicht die in der DSGVO normierten Rechte auf Information, Auskunft, Berichtigung, Löschung der Daten, Einschränkung der Verarbeitung, Widerspruch und auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten.
Personenbezogene Daten, welche für die Bearbeitung eines Hinweises nicht notwendig sind, dürfen nicht erhoben werden und sind unverzüglich zu löschen, sollten sie unbeabsichtigt erhoben worden sein.