Datenschutz & Compliance

Whistleblower-System einrichten: Was Pflicht ist und was hilft

6 Min. Lesezeit
Kurze Antwort

Unternehmen ab 50 Mitarbeitern müssen einen vertraulichen internen Meldekanal für Hinweisgeber betreiben. Die Einrichtung ist rechtlich verpflichtend und kann intern oder extern erfolgen.

Das Hinweisgeberschutzgesetz (HinSchG) ist seit Juli 2023 in Kraft – Unternehmen ab 50 Mitarbeitern müssen seit Dezember 2023 einen internen Meldekanal betreiben.

Was das HinSchG verlangt

Voraussetzungen für ein rechtskonformes System

  • Vertraulichkeit: Identität des Hinweisgebers darf nur mit dessen Zustimmung weitergegeben werden
  • Anonymität: Möglichkeit zur anonymen Meldung muss technisch unterstützt werden
  • Bestätigung: Eingangsbestätigung innerhalb von 7 Tagen
  • Rückmeldung: Information über Maßnahmen innerhalb von 3 Monaten
  • Schutz vor Repressalien: Kündigungsschutz und keine sonstigen Nachteile für Hinweisgeber
  • Dokumentation: Alle Meldungen müssen 3 Jahre aufbewahrt werden
  • Zugänglichkeit: Der Kanal muss leicht auffindbar und nutzbar sein

Whistleblower-System Schritt für Schritt einrichten

  1. Schritt 1: Größe und Pflicht prüfen

    Zählen Sie alle Mitarbeiter – auch Teilzeit- und Leiharbeitnehmer (Vollzeitäquivalente). Ab 50 Mitarbeitern besteht die Pflicht. Für Unternehmen zwischen 50 und 249 Mitarbeitern gibt es die Möglichkeit, einen gemeinsamen Meldekanal mit anderen Unternehmen zu betreiben.

  2. Schritt 2: Internes oder externes System wählen

    Intern: Eine Vertrauensperson (Datenschutzbeauftragter, Compliance-Officer, Rechtsanwalt) übernimmt die Ombudsperson-Funktion. Extern: Spezialisierte Anbieter wie EQS, Trusty oder Whistleblower Software bieten digitale Meldesysteme mit anonymen Kanälen ab ca. 100 Euro/Monat an.

  3. Schritt 3: Technische Lösung implementieren

    Das System muss anonyme Kommunikation ermöglichen – ein einfaches E-Mail-Postfach reicht nicht, da E-Mails Metadaten enthalten. Empfohlen werden spezialisierte Plattformen mit verschlüsselten Webformularen und anonymisierten Kommunikationskanälen.

  4. Schritt 4: Ombudsperson benennen und schulen

    Benennen Sie eine oder mehrere Personen, die Meldungen entgegennehmen und bearbeiten. Diese müssen über Vertraulichkeit, Interessenkonflikte und die gesetzlichen Fristen informiert sein. Externe Ombudspersonen (z. B. Rechtsanwälte) sind möglich und oft sinnvoll.

  5. Schritt 5: Mitarbeiter informieren

    Informieren Sie alle Mitarbeiter über den Meldekanal: Wie ist er erreichbar? Was kann gemeldet werden? Welchen Schutz genießen Hinweisgeber? Die Information muss leicht zugänglich sein – z. B. im Intranet, auf der Website oder im Arbeitsvertrag.

  6. Schritt 6: Prozess für eingehende Meldungen festlegen

    Definieren Sie, wie mit Meldungen umgegangen wird: Eingangsbestätigung, interne Untersuchung, Dokumentation, Rückmeldung an den Hinweisgeber. Legen Sie fest, wer bei schwerwiegenden Fällen die Geschäftsführung oder externe Stellen einschaltet.

Sanktionen bei Nichterfüllung

Wer den Meldekanal nicht einrichtet, begeht eine Ordnungswidrigkeit – Bußgeld bis 20.000 Euro. Wer Hinweisgeber aktiv benachteiligt oder ihre Identität ohne Zustimmung weitergibt, riskiert bis zu 100.000 Euro Bußgeld.

Praxistipp: Externe Ombudsperson spart Aufwand

Viele mittelständische Unternehmen beauftragen einen spezialisierten Rechtsanwalt als externe Ombudsperson. Das schafft Vertrauen bei Mitarbeitern, entlastet die interne Organisation und stellt die rechtssichere Bearbeitung sicher.

Fazit

Sie brauchen ein rechtssicheres Whistleblower-System? INREMA berät Sie bei der Auswahl und Einrichtung.

Jetzt beraten lassen

Häufige Fragen

Ab wann gilt die Whistleblower-Pflicht?
Seit Juli 2023 für Unternehmen ab 250 Mitarbeitern, seit Dezember 2023 für Unternehmen ab 50 Mitarbeitern.
Reicht ein E-Mail-Postfach als Meldekanal?
Nein. E-Mail ermöglicht keine echte Anonymität und erfüllt die technischen Anforderungen des HinSchG nicht. Es braucht eine spezialisierte Softwarelösung.
Müssen auch Meldungen von externen Personen akzeptiert werden?
Das HinSchG schützt auch externe Hinweisgeber (z. B. Lieferanten, Kunden). Der Kanal sollte technisch für externe Nutzer zugänglich sein.
Wie lange müssen Meldungen aufbewahrt werden?
Mindestens 3 Jahre nach Abschluss des Verfahrens, unter Beachtung der DSGVO-Anforderungen zur Datensparsamkeit.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Compliance Management im Mittelstand: Mehr als nur Regelkonformität
9 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
Hinweisgeberschutzgesetz: Was Unternehmen ab 50 Mitarbeitern jetzt umsetzen müssen
5 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen