Die HinweisgeberRL der EU ist in Österreich bis zum 17.12.2021 umzusetzen, und bringt für Unternehmen mit mehr als 250 Arbeitnehmern bereits am 17.12.2021 (und für Unternehmen mit 50 bis 249 Arbeitnehmern ab 17.12.2023) umfangreiche Verpflichtungen:
Verpflichtung #1
Implementierung eines (internen) Hinweisgebersystems
- mit der Möglichkeit vertraulicher Kommunikation zwischen der Person, die einen Hinweis gibt, und den Personen in der Organisation, die die Abwicklung übernehmen
- mit der notwendigen Dokumentation der einzelnen Schritte und des gesamten Abwicklungsprozesses
- mit dem erforderlichen Workflow zur Einhaltung der Fristen für die Rückmeldung an die Hinweisgeber (7 Tage für eine Empfangsbestätigung) bzw. inhaltliche Erledigung (drei Monate)
- eventuell der Anbindung externer unterstützender Professionisten (Rechtsanwälte. Sachverständige, Versicherungen, Steuerberater/Wirtschaftsprüfer, IT-Fachleute …)
Verpflichtung #2
Informationen an potentielle Hinweisgeber
Zum Beispiel auf der Website oder an Mitarbeiter*Innen in Schulungen und Kursen zur Ethik und Compliance.
Verpflichtung #3
Schutz der meldungslegenden Personen vor Repressalien
Zum Beispiel Versetzung, Kündigung, Verhinderung der Teilnahme an Fortbildungsveranstaltungen, etc.
Verpflichtung #4
Abklärung der Notwendigkeit einer Betriebsvereinbarung
Notwendig in einem Betrieb mit Betriebsrat oder der „Einzelvereinbarung“ iSd § 10 Abs 1 AVRAG in betriebsratslosen Betrieben
Verpflichtung #5
Einbindung in der bestehende, zu erweiternde Datenschutz-Dokumentation
Zum Beispiel Verzeichnis der Verarbeitungstätigkeiten, Ergänzung der Datenschutzinformation (auf der Website und für die Mitarbeiter*Innen) und Klärung ob eventuell eine Datenschutz-Folgenabschätzung notwendig ist.