Seit 2023 sind Unternehmen ab 50 Mitarbeitern in Deutschland und Österreich gesetzlich verpflichtet, einen internen Meldekanal für Hinweisgeber einzurichten. Wer das nicht tut, riskiert Bußgelder bis zu €50.000. Trotzdem haben viele KMUs die Pflicht noch nicht umgesetzt — oft aus Unsicherheit, was genau gefordert ist.

Dieser Leitfaden erklärt die rechtlichen Grundlagen, zeigt was ein konformer Meldekanal braucht und führt dich Schritt für Schritt durch die Einrichtung.

Rechtliche Grundlage: HinSchG und HSchG

Die EU-Whistleblower-Richtlinie (2019/1937) wurde in nationales Recht umgesetzt:

  • Deutschland: Hinweisgeberschutzgesetz (HinSchG), in Kraft seit 2. Juli 2023
  • Österreich: HinweisgeberInnenschutzgesetz (HSchG), in Kraft seit 25. Februar 2023

Beide Gesetze verpflichten Unternehmen, einen sicheren Kanal einzurichten, über den Beschäftigte Verstöße melden können — ohne Angst vor Repressalien.

Wer ist betroffen?

Kriterium Deutschland (HinSchG) Österreich (HSchG)
Pflicht ab 50 Beschäftigte 50 Beschäftigte
In Kraft seit 2. Juli 2023 (ab 250 MA), 17. Dez. 2023 (ab 50 MA) 25. Februar 2023 (ab 250 MA), 14. August 2023 (ab 50 MA)
Bußgeld bei Verstoß Bis zu €50.000 Bis zu €20.000 (bei Wiederholung €40.000)
Sonderpflichten Finanzsektor, öffentliche Stellen: immer, unabhängig von Größe Gemeinden ab 10.000 Einwohnern, öffentliche Stellen

Wichtig: Die Schwelle von 50 Beschäftigten bezieht sich auf die Gesamtzahl — inklusive Teilzeitkräfte, Leiharbeitnehmer und geringfügig Beschäftigte. Wenn du unsicher bist ob du betroffen bist: Im Zweifel lieber einrichten. Die Kosten sind gering, die Bußgelder nicht.

Was muss ein konformer Meldekanal können?

Die Gesetze stellen konkrete Anforderungen an den internen Meldekanal. Nicht jede Lösung erfüllt alle Punkte:

Pflichtanforderungen

  1. Vertraulichkeit — Die Identität des Hinweisgebers muss geschützt werden. Nur befugte Personen dürfen Zugang haben
  2. Anonymität (empfohlen) — In Deutschland nicht gesetzlich vorgeschrieben, aber empfohlen. In der Praxis melden mehr Personen wenn Anonymität möglich ist
  3. Schriftliche und mündliche Meldung — Der Kanal muss beide Varianten ermöglichen (z.B. Online-Formular + Telefon oder persönliches Gespräch)
  4. Eingangsbestätigung — Innerhalb von 7 Tagen nach Eingang muss der Hinweisgeber eine Bestätigung erhalten
  5. Rückmeldung — Innerhalb von 3 Monaten muss der Hinweisgeber über ergriffene Maßnahmen informiert werden
  6. Dokumentation — Alle Meldungen müssen dokumentiert und mindestens 3 Jahre aufbewahrt werden (DSGVO-konform)
  7. Unabhängige Bearbeitung — Die zuständige Person muss unparteiisch und fachkundig sein

Was NICHT ausreicht

  • Eine E-Mail-Adresse — E-Mail ist nicht anonym, nicht vertraulich (Admins haben Zugang) und bietet keine strukturierte Dokumentation
  • Ein Briefkasten — Erfüllt die Anforderung an mündliche Meldung nicht und bietet keine Möglichkeit zur Rückmeldung bei anonymen Hinweisen
  • "Offene-Tür-Politik" — Kein dokumentierter Prozess, keine Vertraulichkeitsgarantie, keine Nachweisbarkeit

Meldekanal einrichten: Schritt für Schritt

Schritt 1: Verantwortliche Person benennen

Bestimme eine oder mehrere Personen, die Meldungen entgegennehmen und bearbeiten. Diese Personen müssen:

  • Unabhängig und weisungsfrei in dieser Funktion sein
  • Fachkundig sein (Schulung zu den relevanten Gesetzen)
  • Verschwiegen sein (schriftliche Verschwiegenheitsverpflichtung)

In KMUs ist das oft die Compliance-Beauftragte, die Rechtsabteilung oder eine externe Ombudsperson. Auch die Geschäftsführung kann die Rolle übernehmen — solange sie nicht selbst Gegenstand einer Meldung wird.

Schritt 2: Meldekanal technisch einrichten

Du hast grundsätzlich drei Optionen:

  • Interne Lösung — Eigenes System entwickeln oder konfigurieren. Aufwändig, teuer, schwer DSGVO-konform zu halten
  • Externe Software — Spezialisierte Whistleblower-Plattformen. In 30 Minuten eingerichtet, DSGVO-konform, ab ~€50/Monat
  • Externe Ombudsperson — Ein Rechtsanwalt übernimmt die gesamte Entgegennahme. Teurer (~€200-500/Monat), aber vollständig ausgelagert

Für die meisten KMUs ist eine spezialisierte Software der beste Kompromiss aus Kosten, Compliance und Aufwand.

Schritt 3: Prozesse definieren

Lege schriftlich fest:

  • Eingangsbestätigung: Automatisch innerhalb von 7 Tagen (besser sofort)
  • Erstprüfung: Ist die Meldung plausibel? Fällt sie in den Anwendungsbereich?
  • Untersuchung: Wer ermittelt? Welche Maßnahmen sind möglich?
  • Rückmeldung: Innerhalb von 3 Monaten an den Hinweisgeber
  • Eskalation: Was passiert bei schwerwiegenden Verstößen (z.B. Straftaten)?
  • Abschluss und Archivierung: Dokumentation DSGVO-konform aufbewahren

Schritt 4: Mitarbeiter informieren

Die Existenz des Meldekanals muss allen Beschäftigten bekannt sein. Informiere über:

  • Intranet, Aushang, E-Mail an alle Mitarbeiter
  • Onboarding neuer Mitarbeiter
  • Betriebsvereinbarung (falls Betriebsrat vorhanden)

Kommuniziere klar: Was kann gemeldet werden? Wie funktioniert der Kanal? Welcher Schutz besteht?

Schritt 5: Extern zugänglich machen

Der Meldekanal muss nicht nur für aktuelle Beschäftigte zugänglich sein, sondern auch für:

  • Ehemalige Mitarbeiter
  • Bewerber
  • Praktikanten und Leiharbeitnehmer
  • Lieferanten und Geschäftspartner (in AT)

Praxis-Tipp: Platziere einen Link zum Meldekanal im Footer deiner Website. Das erfüllt die Zugänglichkeitspflicht für externe Hinweisgeber und zeigt gleichzeitig Transparenz.

Strafen und Risiken bei Nicht-Umsetzung

Die Bußgelder sind ein Risiko — aber nicht das einzige:

  • Bußgelder: Bis zu €50.000 (DE) bzw. €20.000-€40.000 (AT) für das Fehlen eines Meldekanals
  • Repressalien-Verbot: Wenn ein Hinweisgeber benachteiligt wird (Kündigung, Versetzung, Mobbing), liegt die Beweislast beim Arbeitgeber. Schadensersatz und Entschädigungszahlungen können die Bußgelder weit übersteigen
  • Reputationsschaden: Wenn Mitarbeiter statt des internen Kanals die Medien oder Behörden nutzen (was sie bei fehlendem internen Kanal dürfen), wird es öffentlich
  • Externe Meldestellen: Hinweisgeber können sich direkt an externe Stellen wenden (z.B. Bundesamt für Justiz in DE). Dann hast du keine Chance, das Thema intern zu klären

Checkliste: Meldekanal-Compliance

  1. Verantwortliche Person benannt und geschult
  2. Technischer Kanal eingerichtet (schriftlich + mündlich)
  3. Anonyme Meldung möglich (empfohlen)
  4. Eingangsbestätigung innerhalb von 7 Tagen automatisiert
  5. Rückmeldungsfrist (3 Monate) im Prozess verankert
  6. Dokumentation und Aufbewahrung DSGVO-konform
  7. Alle Beschäftigten informiert
  8. Kanal für Externe zugänglich (Website-Link)
  9. Betriebsrat einbezogen (falls vorhanden)
  10. Verfahrensordnung schriftlich dokumentiert

Fazit

Einen Whistleblower-Meldekanal einzurichten ist keine optionale Compliance-Übung — es ist gesetzliche Pflicht für Unternehmen ab 50 Mitarbeitern. Die gute Nachricht: Mit einer spezialisierten Software ist die Umsetzung in weniger als einer Stunde erledigt.

Wer jetzt noch keinen Meldekanal hat, sollte nicht länger warten. Die Bußgelder sind real, die Prüfungen laufen, und der Reputationsschaden bei einem öffentlich gewordenen Versäumnis ist ungleich größer als die Einrichtungskosten.

Meldekanal in 30 Minuten einrichten

Kavra Speak ist ein DSGVO-konformer Whistleblower-Meldekanal für KMUs. Anonyme Meldungen, automatische Eingangsbestätigung, revisionssichere Dokumentation. Kostenlos testen.

Speak kostenlos testen
Teilen:
Stand: April 2026. Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Die Anforderungen können je nach Branche, Unternehmensgröße und nationalem Recht variieren. Prüfe die für dich geltenden Bestimmungen mit einem Rechtsberater.