Seit Dezember 2023 müssen Unternehmen ab 50 Mitarbeitern in Österreich einen anonymen Meldekanal betreiben. In Deutschland gilt die Pflicht seit Juli 2023. Trotzdem haben laut Schätzungen über 60% der betroffenen KMUs noch kein System eingerichtet.
Die häufigste Ausrede: "Uns betrifft das nicht." Doch — es betrifft dich. Und die Konsequenzen bei Nichteinhaltung sind real.
Was das Gesetz verlangt
Die EU-Whistleblower-Richtlinie 2019/1937 wurde in nationales Recht umgesetzt:
- Österreich: HinweisgeberInnenschutzgesetz (HSchG), in Kraft seit 25. Februar 2023 (ab 250 MA) bzw. 17. Dezember 2023 (ab 50 MA)
- Deutschland: Hinweisgeberschutzgesetz (HinSchG), in Kraft seit 2. Juli 2023 (ab 250 MA) bzw. 17. Dezember 2023 (ab 50 MA)
Die Kernpflichten im Überblick
| Pflicht | Detail |
|---|---|
| Interner Meldekanal | Anonyme oder vertrauliche Meldung muss möglich sein |
| Eingangsbestätigung | Innerhalb von 7 Tagen nach Eingang |
| Rückmeldung | Innerhalb von 3 Monaten über ergriffene Maßnahmen |
| Vertraulichkeit | Identität des Hinweisgebers darf nicht offengelegt werden |
| Repressalienverbot | Kündigung, Versetzung, Benachteiligung sind verboten |
| Dokumentation | Alle Meldungen und Maßnahmen müssen dokumentiert werden |
Wichtig: Die 7-Tage-Frist für die Eingangsbestätigung ist keine Empfehlung — sie ist gesetzlich vorgeschrieben. Wer sie versäumt, riskiert Bußgelder und gibt dem Hinweisgeber das Recht, sich direkt an Behörden zu wenden.
Was passiert wenn du keinen Meldekanal hast?
Bußgelder
- Deutschland: Bis zu 50.000 Euro für das Fehlen eines internen Meldekanals (§ 40 HinSchG)
- Österreich: Bis zu 20.000 Euro bzw. 40.000 Euro im Wiederholungsfall (§ 20 HSchG)
Reputationsschäden
Das Bußgeld ist oft das geringste Problem. Wenn ein Mitarbeiter mangels internem Kanal direkt an die Behörde oder an die Presse geht, ist der Reputationsschaden für dein Unternehmen ungleich größer.
Verlust des Erstbearbeitungsrechts
Ohne internen Meldekanal wenden sich Hinweisgeber direkt an die externe Meldestelle (in AT: Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung, in DE: Bundesamt für Justiz). Du verlierst die Möglichkeit, den Sachverhalt intern zu klären bevor er eskaliert.
Welche Anforderungen muss der Meldekanal erfüllen?
Nicht jede Lösung erfüllt die gesetzlichen Anforderungen. Ein E-Mail-Postfach oder ein Kummerkasten reicht nicht. Das Gesetz verlangt:
1. Anonymität ermöglichen
Der Meldekanal muss anonyme Meldungen ermöglichen (in DE empfohlen, in AT explizit gefordert). Das bedeutet: keine IP-Adressen loggen, keine Cookies setzen, keine identifizierenden Metadaten speichern.
2. Zweiwege-Kommunikation
Der Hinweisgeber muss die Möglichkeit haben, Rückfragen zu beantworten — ohne seine Identität preiszugeben. Ein einfaches Kontaktformular ohne Follow-up-Möglichkeit erfüllt diese Anforderung nicht.
3. Fristgerechte Bearbeitung
- 7 Tage: Eingangsbestätigung
- 3 Monate: Rückmeldung über ergriffene Maßnahmen
Dein System muss diese Fristen nachweisbar einhalten. Idealerweise mit automatischer Fristüberwachung.
4. Zugangsbeschränkung
Nur autorisierte Personen (Compliance Officer, Ombudsperson) dürfen Meldungen einsehen. Nicht der Geschäftsführer alleine — besonders nicht wenn er selbst Gegenstand einer Meldung sein könnte.
5. Dokumentationspflicht
Alle Meldungen, Kommunikation und ergriffenen Maßnahmen müssen lückenlos dokumentiert und mindestens 3 Jahre aufbewahrt werden.
Die 4 häufigsten Fehler bei der Umsetzung
Fehler 1: "Meine Tür steht immer offen"
Eine mündliche Meldung beim Chef ist kein Meldekanal im Sinne des Gesetzes. Es fehlt Anonymität, Dokumentation und Fristenüberwachung.
Fehler 2: E-Mail-Postfach als Meldekanal
Ein generisches compliance@firma.at erfüllt die Anforderungen nicht: - Keine Anonymität (Absender-Adresse sichtbar) - Keine sichere Zweiwege-Kommunikation - Keine Fristüberwachung - Keine verschlüsselte Speicherung
Fehler 3: Nur für bestimmte Themen
Der Meldekanal muss für alle Verstöße gegen EU-Recht offen sein — nicht nur für Korruption oder Betrug. Auch Datenschutzverstöße, Umweltvergehen, Arbeitssicherheit und Diskriminierung gehören dazu.
Fehler 4: Keine geschulten Zuständigen
Wer Meldungen bearbeitet, muss geschult sein — insbesondere zum Thema Vertraulichkeit, Repressalienverbot und Fristen. Ein ungeschulter HR-Manager kann mehr Schaden anrichten als helfen.
So wirst du in 5 Minuten compliant
-
Meldekanal einrichten — Mit einer Software-Lösung wie Kavra Speak in 5 Minuten: Workspace erstellen, öffentlichen Meldelink generieren, Kategorien anpassen.
-
Zuständige benennen — Mindestens 2 Personen sollten Meldungen bearbeiten können (Vertretungsregelung). Rollen: Compliance Officer, Reviewer, ggf. Betriebsrat.
-
Meldelink kommunizieren — Den öffentlichen Meldelink auf der Unternehmenswebsite verlinken, im Intranet publizieren und in Arbeitsverträge aufnehmen.
-
Fristen überwachen — Automatische Erinnerungen einrichten für die 7-Tage-Eingangsbestätigung und die 3-Monats-Rückmeldung.
-
Dokumentation sicherstellen — Alle Meldungen, Kommunikation und Maßnahmen werden automatisch protokolliert und archiviert.
Warum gerade jetzt handeln?
Die Schonfrist ist vorbei. In Deutschland hat das Bundesamt für Justiz bereits die ersten Bußgeldverfahren eingeleitet. In Österreich wird die Prüfpraxis verschärft — besonders bei Unternehmen die als Zulieferer für größere Unternehmen arbeiten (Stichwort: Lieferkettensorgfaltspflicht).
Tipp: Wenn du für Konzerne oder börsennotierte Unternehmen lieferst, wird der Nachweis eines funktionierenden Meldekanals zunehmend zur Voraussetzung für Auftragserteilungen. ESG-Ratings bewerten das Vorhandensein eines Whistleblower-Systems als Governance-Kriterium.
Die Einrichtung dauert 5 Minuten. Die Konsequenzen bei Nichteinhaltung können das Unternehmen Jahre beschäftigen.
Anonymer Meldekanal in 5 Minuten
Kavra Speak: EU-konformer Whistleblower-Kanal mit Ende-zu-Ende-Verschlüsselung. Ab €0, in 5 Minuten eingerichtet.
Speak kostenlos einrichten