der Laube sozial-psychiatrische Aktivitäten GmbH, in der Folge kurz „Laube GmbH“ genannt, für Personen, die in den persönlichen Anwendungsbereich der RL (EU) 2019/1937 fallen.

Allgemeines

Seit dem Inkrafttreten der „EU-Whistleblowing-Richtlinie“ (RL (EU) 2019/1937) existiert ein europaweites Regelwerk zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Es werden nicht nur Hinweisgeber*innen geschützt, sondern auch jene Personen, die von dem Hinweis betroffen sind. Dies dient zur Vorbeugung von Rufschädigung oder anderen negativen Folgen. Neben der EU-Richtlinie ist das „Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen“ (HinweisgeberInnenschutzgesetz - HSchG) idgF anzuwenden.

Der Schutz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht; konkret sind dies gem. § 3 Abs. 3 bis 5 HSchG:

  1. Öffentliches Auftragswesen
  2. Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,
  3. Produktsicherheit und -konformität,
  4. Verkehrssicherheit,
  5. Umweltschutz,
  6. Strahlenschutz und nukleare Sicherheit,
  7. Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz,
  8. öffentliche Gesundheit,
  9. Verbraucherschutz,
  10. Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen,
  11. Verhinderung und Ahndung von Straftaten nach den §§ 302 bis 309 des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974.
  12. Finanzielle Interessen der Union iSv Art. 325 AEUV
  13. Binnenmarktvorschriften iSv Art. 26 Abs. 2 AEUV

Ziel des Hinweisgeber*innenschutzsystem ist es, die Bereitschaft zu rechtmäßigem Verhalten zu bestärken, die Hinweisgeber*innen vor persönlichen Nachteilen und die Identität der von Hinweisen betroffene Personen zu schützen und gleichzeitig dabei    wissentlich falsche Informationsweitergaben bzw. Verdächtigungen zu verhindern.

Wie erfolgt die Abwicklung von internen Hinweisen?

  1. Hinweis einbringen
    • online über das Hinweisgeber*innenschutzsystem der Laube GmbH, erreichbar unter: https://laube.trusty.report/
    • in schriftlicher oder mündlicher Form: Kontaktdaten siehe Startseite des Systems
  2. Analyse des Hinweises durchführen
    • hinweisgebende Person erhält innerhalb von 7 Tagen eine Eingangsbestätigung
    • die interne Meldestelle führt Bewertung des Hinweises durch, ob dieser in den vorgesehenen Anwendungsbereich des HSchG fällt
    • Prüfung des Hinweises auf seine Stichhaltigkeit
  3. Behandlung des Hinweises
    • interne Meldestelle stimmt mit GF der Laube GmbH ab, welche Stellen zur Behandlung des Hinweises involviert werden
    • (im Bedarfsfall werden weiterführende Informationen von hinweisgebender Person nachgefordert)
    • erforderliche Folgemaßnahmen werden ergriffen
  4. Rückmeldung an die hinweisgebende Person
    • spätestens drei Monate nach Erhalt der Eingangsbestätigung wird eine Rückmeldung an die hinweisgebende Person erstattet
    • Information darüber, welche Folgemaßnahme die interne Stelle ergriffen hat bzw. beabsichtigt zu ergreifen oder eine Begründung warum ein Hinweis nicht weiterverfolgt wird
  5. Aufbewahrung und Löschung von Hinweisen (vgl. Punkt „Datenschutz“)
    • Hinweise, bzw. insbesondere personenbezogene Daten, werden ab dem Zeitpunkt der letztmaligen Verarbeitung (z.B. Abschlusses bzw. Ablehnung) für einen Zeitraum von zumindest fünf Jahren aufbewahrt, sofern keine anderweitigen Aufbewahrungspflichten vorliegen
    • Protokolldaten zu Verarbeitungstätigkeiten (Änderungen, Abfragen, etc.) weitere drei Jahre ab Ende der zuvor genannten Aufbewahrungspflicht

Welche Personen können den internen Meldekanal nutzen?

Dabei handelt es sich um

  • Arbeitnehmer*innen oder Bedienstete
  • Bewerber*innen, Praktikant*innen oder Volontär*innen
  • Selbständig erwerbstätige Personen
  • Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsorgans
  • Personen, die unter der Aufsicht von Auftragnehmer*innen, Subunternehmer*innen arbeiten oder Lieferant*innen sind und

die aufgrund laufender oder früherer beruflicher Verbindung zur Laube GmbH Informationen über Rechtsverletzungen erhalten haben. Eine direkte vertragliche Verbindung zwischen der hinweisgebenden und der vom Hinweis betroffenen Personen ist nicht Voraussetzung.

Welche Schutzmaßnahmen gibt es für die Hinweisgeber*innen?

  • Die Identität der Hinweisgeber*innen ist zu schützen und darf nicht offengelegt werden.
  • Dies gilt auch für alle anderen Informationen, die möglicherweise Hinweisgeber*innen identifizieren oder identifizierbar machen.
  • Ausnahmen: Bei verwaltungsbehördlichen oder gerichtlichen Verfahren oder Ermittlungsverfahren nach der Strafprozessordnung (StPO) können Offenlegungen erfolgen. Vor Offenlegung werden Hinweisgeber*innen von der Behörde unterrichtet, es sei denn die Unterrichtung würde das Ermittlungsverfahren gefährden.
  • Insbesondere sind im Gesetz der Schutz vor Vergeltungsmaßnahmen (z.B. Suspendierung, Kündigung, Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags, Herabstufung oder Versagung einer Beförderung) bei berechtigten Hinweisen vorgesehen.

WICHTIG: Hinweise, die offenkundig falsch gegeben wurden („unredliche“ Hinweise), werden mit einer Nachricht zurückgewiesen mit dem Hinweis, dass derartige Hinweise Schadenersatzansprüche nach sich ziehen und ggf. gerichtlich oder als Verwaltungsübertretung verfolgt werden.

Was ist das Hinweisgeber*innenschutzsystem der Laube GmbH?

Das Hinweisgeber*innenschutzsystem der Laube GmbH ist webbasiert und unter folgendem Link erreichbar:

https://laube.trusty.report/

Die Plattform wird nicht auf Systemen der Laube GmbH, sondern bei einem externen Dienstleister mit Sitz innerhalb des EU/EWR-Raums betrieben. Eine Auftragsverarbeitervereinbarung iSv Art 28 DSGVO wurde abgeschlossen.

Hinweise können sowohl personenbezogen als auch anonym abgegeben werden. Die gesamte Kommunikation zwischen Hinweisgeber*in und der mit der Aufgabe der internen Meldestelle betrauten Person(en) wird über die Plattform dokumentiert abgewickelt.

„Interne Meldestelle“ vs. „Externe Meldestelle“

Die Laube GmbH betreibt die interne Meldestelle nicht selbst, sondern hat zum Schutz der hinweisgebenden Personen einen unparteilichen und unvoreingenommen Dritten mit den Aufgaben der internen Meldestelle betraut. Die Kontaktdaten des Dritten können auf der Startseite des Hinweisgeber*innenschutzsystems der Laube GmbH entnommen werden. Eine Auftragsverarbeitervereinbarung iSv Art 28 DSGVO wurde abgeschlossen.

Der Gesetzgeber sieht vor, dass Hinweise auch an eine externe Meldestelle abgegeben werden können, wobei Hinweise jedoch bevorzugt an die interne Meldestelle gerichtet werden sollen.

Als externe Meldestelle ist iSv § 15 Abs. 1 HSchG das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung zuständig für alle Hinweise auf Rechtsverletzungen.

  • Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK)
    Herrengasse 7 | 1010 Wien
    T:  +43 1 53 126-906800
    E: bmi-iii-bak-spoc@bak.gv.at

Datenschutz

Die Betroffenenrechte (Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Berichtigung bei Datenschutzverletzungen) kommen für natürliche oder juristische Personen nicht zur Anwendung, solange dies zum Schutz der Identität der hinweisgebenden Person und zur Zweckerreichung erforderlich ist. Interne und externe Meldestellen haben es zu unterlassen, einer vom Hinweis betroffenen Person Informationen und Auskünfte zum Hinweis zu erteilen.

Personenbezogene Daten, die nicht für die Bearbeitung des Hinweises erforderlich sind, dürfen nicht erhoben werden und müssen unverzüglich gelöscht werden, falls sie unabsichtlich erhoben wurden.

Personenbezogene Daten sind vom Verantwortlichen ab der letztmaligen Verarbeitung fünf Jahre aufzubewahren. Dies kann sich verlängern, sofern diese für bereits eingeleitete verwaltungsbehördliche oder gerichtliche Verfahren erforderlich sind. Nach Entfall der Aufbewahrungspflicht sind die personenbezogenen Daten zu löschen.

Verarbeitungsvorgänge (Änderungen, Abfragen, Übermittlungen, etc.) sind zu protokollieren. Diese Protokolldaten sind vom Verantwortlichen ab der letztmaligen Verarbeitung bis drei Jahre nach der zuvor genannten Aufbewahrungspflicht aufzubewahren.

Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten beruht auf Art. 6 Abs 1 lit c DSGVO iVm § 8 HSchG idgF. Eine Datenschutzfolgenabschätzung ist gem. § 8 Abs. 13 HSchG nicht durchzuführen, da die Verarbeitungstätigkeiten bereits Gegenstand einer allgemeinen Datenschutzfolgenabschätzung sind.