Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Whistleblower/Whistleblower-RL
📢Hinweisgeberschutz

Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Whistleblower-Richtlinie)

Analyse vom 17. April 20262 QuellenKonsolidierte Fassung vom 30.12.2024EUR-Lex Original

Haben wir einen rechtskonformen Meldekanal eingerichtet — und was passiert, wenn ein Hinweisgeber bei uns auf eine Mauer stößt?

Unternehmen ab 50 Beschäftigten müssen seit Dezember 2023 einen internen Meldekanal betreiben — wer Meldungen behindert oder Hinweisgeber benachteiligt, riskiert wirksame und abschreckende Sanktionen nach nationalem Recht, in Deutschland Bußgelder bis 50.000 EUR [Art. 8 Abs. 3, Art. 23 Abs. 1].

Kurzantwort

Die Whistleblower-Richtlinie verpflichtet juristische Personen des privaten Sektors ab 50 Arbeitnehmern, sichere interne Meldekanäle einzurichten, über die Verstöße gegen EU-Recht vertraulich gemeldet werden können [Art. 8 Abs. 1, Abs. 3]. Eingangsmeldungen müssen innerhalb von 7 Tagen bestätigt und innerhalb von 3 Monaten mit einer Rückmeldung über ergriffene Folgemaßnahmen beantwortet werden [Art. 9 Abs. 1 lit. b, f]. Hinweisgeber genießen umfassenden Schutz vor Repressalien — von Kündigung über Mobbing bis zur schwarzen Liste — und bei Streitigkeiten gilt eine Beweislastumkehr zulasten des Arbeitgebers [Art. 19, Art. 21 Abs. 5]. Die Mitgliedstaaten müssen zudem wirksame, angemessene und abschreckende Sanktionen für Verstöße festlegen [Art. 23 Abs. 1].

Betroffen

Juristische Personen des privaten Sektors mit 50 oder mehr Arbeitnehmern [Art. 8 Abs. 3]. Unternehmen mit 50 bis 249 Arbeitnehmern dürfen Ressourcen für die Entgegennahme von Meldungen und Untersuchungen teilen [Art. 8 Abs. 6]. Unternehmen im Finanzsektor und in weiteren in Teil I.B und Teil II des Anhangs genannten Bereichen unterliegen unabhängig von der Beschäftigtenzahl der Pflicht [Art. 8 Abs. 4]. Alle juristischen Personen des öffentlichen Sektors sind ebenfalls erfasst [Art. 8 Abs. 9].

Frist

Laufende Pflicht, permanent: Interne Meldekanäle müssen seit 17. Dezember 2023 auch für Unternehmen mit 50 bis 249 Arbeitnehmern betriebsbereit sein [Art. 26 Abs. 2]. Die allgemeine Umsetzungsfrist lief am 17. Dezember 2021 ab [Art. 26 Abs. 1]. In Deutschland ist das Hinweisgeberschutzgesetz (HinSchG) seit 2. Juli 2023 in Kraft. Operative Fristen: 7 Tage für Eingangsbestätigung, 3 Monate für Rückmeldung — permanent einzuhalten [Art. 9 Abs. 1 lit. b, f].

Risiko

Die Richtlinie verlangt wirksame, angemessene und abschreckende Sanktionen [Art. 23 Abs. 1] für: Behinderung von Meldungen, Repressalien gegen Hinweisgeber, mutwillige Gerichtsverfahren (SLAPP) und Verletzung der Vertraulichkeit. Die konkrete Höhe bestimmt der nationale Gesetzgeber. In Deutschland: Bußgelder bis 50.000 EUR nach § 40 HinSchG. Zusätzlich haften Unternehmen zivilrechtlich auf Schadensersatz und vollständige Wiedergutmachung gegenüber benachteiligten Hinweisgebern [Art. 21 Abs. 8]. Die Beweislastumkehr [Art. 21 Abs. 5] erhöht das Prozessrisiko erheblich.

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-04-17
  • Konsolidierte Fassung vom 30.12.2024

Primärquellen

Was jetzt zu tun ist

Legal / DPO

  • Prüfen Sie, ob Ihr interner Meldekanal die Vertraulichkeitsanforderungen des Art. 16 erfüllt — die Identität des Hinweisgebers darf nur gegenüber befugten Mitarbeitern offengelegt werden [Art. 16 Abs. 1].
  • Stellen Sie sicher, dass arbeitsvertragliche Klauseln (z. B. Geheimhaltungsvereinbarungen, Schiedsklauseln) den Schutz von Hinweisgebern nicht einschränken — solche Klauseln sind nach Art. 24 unwirksam [Art. 24].
  • Implementieren Sie ein Verfahren für die Beweislastumkehr: Bei behaupteten Repressalien muss der Arbeitgeber nachweisen, dass die Maßnahme auf hinreichend gerechtfertigten Gründen basierte [Art. 21 Abs. 5].

Compliance

  • Richten Sie den internen Meldekanal so ein, dass schriftliche und mündliche Meldungen möglich sind, einschließlich physischer Zusammenkünfte auf Wunsch des Hinweisgebers [Art. 9 Abs. 2].
  • Dokumentieren Sie alle eingehenden Meldungen im Einklang mit Art. 18 und stellen Sie sicher, dass die 7-Tage-Eingangsbestätigung und die 3-Monats-Rückmeldungsfrist systematisch eingehalten werden [Art. 9 Abs. 1 lit. b, f].
  • Benennen Sie eine unparteiische Person oder Abteilung, die für Folgemaßnahmen zuständig ist und den Kontakt zum Hinweisgeber hält [Art. 9 Abs. 1 lit. c].

IT / Security

  • Konzipieren, errichten und betreiben Sie die Meldekanäle so, dass die Vertraulichkeit der Identität des Hinweisgebers und erwähnter Dritter gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff verwehrt wird [Art. 9 Abs. 1 lit. a].
  • Stellen Sie die dauerhafte und abrufbare Speicherung von Meldungsdaten sicher — einschließlich Tonaufzeichnungen und Protokollen — unter Beachtung der DSGVO-Löschpflichten [Art. 18 Abs. 1, Art. 17].
  • Löschen Sie personenbezogene Daten, die für die Bearbeitung einer spezifischen Meldung offensichtlich nicht relevant sind, unverzüglich nach Kenntnisnahme [Art. 17].

Product / Engineering

  • Wenn Sie Meldekanal-Software entwickeln oder betreiben: Stellen Sie sicher, dass die Lösung schriftliche und mündliche Meldewege abbildet und eine nachvollziehbare Fristenverwaltung für die 7-Tage- und 3-Monats-Fristen bietet [Art. 9 Abs. 1, Abs. 2].
  • Ermöglichen Sie die sichere Dokumentation mündlicher Meldungen — entweder als Tonaufzeichnung oder als Niederschrift mit Möglichkeit zur Überprüfung und Bestätigung durch den Hinweisgeber [Art. 18 Abs. 2].
  • Implementieren Sie ein Berechtigungskonzept, das den Zugriff auf Meldungsdaten ausschließlich auf befugte Mitarbeiter beschränkt und jede Zugriffserweiterung protokolliert [Art. 9 Abs. 1 lit. a, Art. 16 Abs. 1].

Wichtige Begriffe

Hinweisgeber
Natürliche Person, die im Zusammenhang mit ihren Arbeitstätigkeiten erlangte Informationen über Verstöße gegen Unionsrecht meldet oder öffentlich offenlegt [Art. 5 Nr. 7].
Interne Meldung
Mündliche oder schriftliche Mitteilung von Informationen über Verstöße innerhalb einer juristischen Person des privaten oder öffentlichen Sektors [Art. 5 Nr. 4].
Externe Meldung
Mündliche oder schriftliche Mitteilung von Informationen über Verstöße an die zuständigen nationalen Behörden [Art. 5 Nr. 5].
Repressalien
Direkte oder indirekte Handlungen oder Unterlassungen im beruflichen Kontext, die durch eine Meldung oder Offenlegung ausgelöst werden und dem Hinweisgeber einen ungerechtfertigten Nachteil zufügen [Art. 5 Nr. 11].
Mittler
Natürliche Person, die einen Hinweisgeber bei dem Meldeverfahren in einem beruflichen Kontext unterstützt und deren Unterstützung vertraulich sein sollte [Art. 5 Nr. 8].
Folgemaßnahmen
Vom Empfänger einer Meldung ergriffene Maßnahmen zur Prüfung der Stichhaltigkeit und zum Vorgehen gegen den gemeldeten Verstoß, z. B. interne Nachforschungen, Ermittlungen oder Strafverfolgung [Art. 5 Nr. 12].
Offenlegung
Öffentliches Zugänglichmachen von Informationen über Verstöße, z. B. gegenüber Medien, als dritte Eskalationsstufe nach interner und externer Meldung [Art. 5 Nr. 6, Art. 15].
?

Häufige Fragen

Welche Unternehmen müssen einen internen Meldekanal einrichten?
Juristische Personen des privaten Sektors ab 50 Arbeitnehmern [Art. 8 Abs. 3]. Im Finanzsektor und in weiteren regulierten Bereichen (Anhang Teil I.B und Teil II) gilt die Pflicht unabhängig von der Beschäftigtenzahl [Art. 8 Abs. 4]. Alle juristischen Personen des öffentlichen Sektors sind ebenfalls verpflichtet [Art. 8 Abs. 9].
Können Unternehmen mit 50 bis 249 Beschäftigten Meldekanäle gemeinsam betreiben?
Ja. Art. 8 Abs. 6 erlaubt das Teilen von Ressourcen für die Entgegennahme von Meldungen und für Untersuchungen. Die Pflichten zu Vertraulichkeit, Rückmeldung und Folgemaßnahmen bleiben jedoch bei jedem Unternehmen individuell bestehen [Art. 8 Abs. 6].
Welche Fristen gelten für die Bearbeitung einer Meldung?
Der Eingang muss innerhalb von 7 Tagen bestätigt werden [Art. 9 Abs. 1 lit. b]. Eine Rückmeldung über ergriffene oder geplante Folgemaßnahmen muss innerhalb von maximal 3 Monaten ab Eingangsbestätigung erfolgen [Art. 9 Abs. 1 lit. f]. Bei externen Meldungen an Behörden kann die Rückmeldungsfrist in begründeten Fällen auf 6 Monate verlängert werden [Art. 11 Abs. 2 lit. d].
Wer ist als Hinweisgeber geschützt?
Der Schutz gilt für Arbeitnehmer, Beamte, Selbstständige, Anteilseigner, Organmitglieder, Freiwillige, Praktikanten sowie Personen unter Aufsicht von Auftragnehmern und Lieferanten [Art. 4 Abs. 1]. Der Schutz erstreckt sich auch auf ehemalige Beschäftigte und auf Personen, die im Einstellungsverfahren Kenntnis erlangten [Art. 4 Abs. 2, 3]. Mittler, verbundene Dritte und juristische Personen des Hinweisgebers sind ebenfalls geschützt [Art. 4 Abs. 4].
Was gilt als verbotene Repressalie?
Art. 19 enthält einen umfangreichen, nicht abschließenden Katalog: Kündigung, Herabstufung, Gehaltsminderung, Versagung von Beförderung oder Weiterbildung, Disziplinarmaßnahmen, Mobbing, Diskriminierung, Rufschädigung, schwarze Listen, Entzug von Lizenzen und psychiatrische Überweisungen — einschließlich der Androhung solcher Maßnahmen [Art. 19].
Müssen anonyme Meldungen entgegengenommen werden?
Die Richtlinie überlässt es den Mitgliedstaaten zu entscheiden, ob Unternehmen und Behörden zur Entgegennahme anonymer Meldungen verpflichtet sind [Art. 6 Abs. 2]. Wird ein anonymer Hinweisgeber nachträglich identifiziert und erleidet Repressalien, hat er dennoch Schutzanspruch [Art. 6 Abs. 3].
Wann darf ein Hinweisgeber Informationen öffentlich offenlegen?
Eine Offenlegung ist geschützt, wenn zuvor intern und/oder extern gemeldet wurde und binnen der Fristen keine geeigneten Maßnahmen ergriffen wurden [Art. 15 Abs. 1 lit. a]. Auch bei unmittelbarer Gefahr für das öffentliche Interesse oder bei befürchteten Repressalien bei externer Meldung ist die Offenlegung zulässig [Art. 15 Abs. 1 lit. b].

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau
11
Gap-Checks
2
SOPs
2
Vorlagen
Entscheidungen

1. Gap-Analyse Checkliste

!

Haben Sie als Unternehmen mit 50 oder mehr Arbeitnehmern interne Kanäle und Verfahren für Meldungen und Folgemaßnahmen eingerichtet?

Art. 8 Abs. 3|Interne Meldekanäle
!

Ist sichergestellt, dass die Identität des Hinweisgebers und Dritter vertraulich behandelt wird und der Zugriff auf die Meldung auf befugte Personen beschränkt ist?

Art. 9 Abs. 1 lit. a, Art. 16|Vertraulichkeit und Datenschutz
~

Wird dem Hinweisgeber der Eingang seiner Meldung innerhalb von 7 Tagen bestätigt?

Art. 9 Abs. 1 lit. b|Prozessanforderungen

2. SOP-Vorlagen

SOP: Bearbeitung einer internen MeldungArt. 9, Art. 16, Art. 18

Zweck: Diese SOP stellt die konforme, vertrauliche und fristgerechte Bearbeitung von internen Meldungen über Verstöße gemäß der EU-Whistleblower-Richtlinie sicher.

Geltungsbereich: Diese SOP gilt für alle Mitarbeiter, die mit der Entgegennahme und Bearbeitung von Meldungen über den internen Meldekanal betraut sind.

Schritte:
  1. 1

    Entgegennahme der Meldung (schriftlich/mündlich). Unverzügliche und sichere Dokumentation der Meldung gemäß Art. 18 (z.B. durch Niederschrift oder Aufzeichnung mit Zustimmung).

    Verantwortlich: Meldestellenbeauftragter | Output: Dokumentierte Meldung im gesicherten Fallbearbeitungssystem.

  2. 2

    Versand einer Eingangsbestätigung an den Hinweisgeber.

    Verantwortlich: Meldestellenbeauftragter | Output: Protokollierter Versand der Bestätigung innerhalb von 7 Tagen nach Eingang.

  3. 3

    Ersteinschätzung (Triage): Prüfung der Plausibilität, des sachlichen Anwendungsbereichs (Art. 2) und möglicher Interessenkonflikte des Bearbeiters.

    Verantwortlich: Meldestellenbeauftragter | Output: Triage-Vermerk mit Empfehlung für das weitere Vorgehen.

  4. 4

    Einleitung von Folgemaßnahmen: Dies kann die Einleitung einer internen Untersuchung, die Anforderung weiterer Informationen vom Hinweisgeber oder (in begründeten Fällen) den Abschluss des Verfahrens umfassen.

    Verantwortlich: Meldestellenbeauftragter / Leitung Compliance | Output: Beschluss und Plan für Folgemaßnahmen.

  5. 5

    Durchführung der Untersuchung unter strikter Wahrung der Vertraulichkeit der Identität des Hinweisgebers und der betroffenen Personen (Art. 16).

    Verantwortlich: Benanntes Untersuchungsteam (z.B. Compliance, Legal, HR) | Output: Vertraulicher Untersuchungsbericht mit Ergebnissen und Empfehlungen.

  6. 6

    Rückmeldung an den Hinweisgeber über die geplanten oder ergriffenen Folgemaßnahmen und die Gründe dafür.

    Verantwortlich: Meldestellenbeauftragter | Output: Protokollierte Rückmeldung innerhalb von 3 Monaten nach Eingangsbestätigung.

  7. 7

    Abschluss des Falls: Umsetzung von Abhilfemaßnahmen, Information des Hinweisgebers über das Endergebnis (soweit rechtlich möglich) und revisionssichere Archivierung des Falls.

    Verantwortlich: Leitung Compliance / Geschäftsführung | Output: Abschlussvermerk und Dokumentation der umgesetzten Maßnahmen.

Prüffrequenz: Jährlich

3. Textbausteine

Klausel für interne Hinweisgeber-Richtlinie (Verpflichtungserklärung & Schutzversprechen)Art. 7, Art. 19

Anwendungsfall: Zur Aufnahme in eine interne Unternehmensrichtlinie zum Hinweisgeberschutz, einen Verhaltenskodex (Code of Conduct) oder für die Veröffentlichung im Intranet.

Die [Name des Unternehmens] verpflichtet sich zu höchsten Standards der Integrität und Gesetzestreue. Eine offene Kommunikationskultur ist dafür unerlässlich. Wir ermutigen daher alle Mitarbeiterinnen und Mitarbeiter sowie unsere Geschäftspartner, potenzielle oder tatsächliche Verstöße gegen Gesetze oder unsere internen Richtlinien über unseren sicheren und vertraulichen Meldekanal zu melden. Jede Person, die in gutem Glauben eine Meldung erstattet, wird umfassend geschützt. [Name des Unternehmens] toleriert keinerlei Form von Repressalien, Benachteiligung oder Einschüchterung gegenüber Hinweisgebern. Jede Handlung, die als Repressalie im Sinne von Art. 19 der EU-Richtlinie 2019/1937 verstanden werden kann (z.B. Kündigung, Herabstufung, Mobbing), ist strengstens verboten und wird als schwerwiegendes Fehlverhalten behandelt, das zu disziplinarischen Maßnahmen bis hin zur Kündigung führen kann. Alle Meldungen werden streng vertraulich von der zuständigen [Name der zuständigen Abteilung, z.B. Compliance-Abteilung] behandelt. Detaillierte Informationen zu den Meldeverfahren und Ihren Rechten finden Sie in unserer vollständigen Hinweisgeber-Richtlinie unter [Link zur Richtlinie im Intranet].

Platzhalter: Name des Unternehmens, Name der zuständigen Abteilung, z.B. Compliance-Abteilung, Link zur Richtlinie im Intranet

+8 Gap-Checks, 1 SOPs, 1 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.

3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.