EU-Whistleblower-Richtlinie zum Schutz von Hinweisgebern
Finden Sie heraus, was die Direktive für Ihr
Unternehmen bedeutet und ob Handlungsbedarf besteht.

Während die meisten Menschen bei Whistleblowing vermutlich zuerst an Namen wie Edward Snowden oder Julian Assange denken, spielt das Thema bereits seit vielen Jahren eine entscheidende Rolle in vielen Unternehmen.
In rund 43% aller deutschen Firmen treten Missstände wie Geldwäsche, sexuelle Belästigung und Steuerbetrug auf. Diese können oft nur durch die Hinweise von Whistleblowern aufgedeckt werden. Durch die Implementierung eines Hinweisgebersystems können Unternehmen schneller gegen Betrugsfälle und andere Gesetzesverstöße vorgehen und dadurch enorme Geldsummen sparen.
Seit dem 17. Dezember 2021 ist dieses Thema auch aufgrund gesetzlicher Vorgaben für die meisten Firmen besonders relevant. Erfahren Sie hier, wer betroffen ist, was zu tun ist und welche Lösungen es gibt.
Warum ist Whistleblowing seit 2021 wichtig?
Bereits im Dezember 2019 wurde die EU-Direktive 2019/1937 zum Schutz von Hinweisgebern, auch bekannt als EU-Whistleblower-Richtlinie, verabschiedet. Seit dem 17. Dezember 2021 ist es demnach für Unternehmen mit mehr als 50 Mitarbeitern, Gemeinden ab 10.000 Einwohnern, für Behörden und Einrichtungen des öffentlichen Sektors verpflichtend, ein Hinweisgebersystem zu implementieren, das den hohen Anforderungen durch die EU-Whistleblower-Richtlinie genügen muss.
Wissenswertes rund um die Themen Whistleblowing und Hinweisgeberschutz
Definition und Bedeutung von Whistleblowing
Whistleblowing kommt aus dem Englischen und bedeutet soviel wie “aufdecken” oder “enthüllen”.
Unter Whistleblowing versteht man also das Melden von Missständen oder kriminellen Vorfällen in Unternehmen, öffentlichen Behörden oder auch Gemeinden.
Als Hinweisgeber oder auch Whistleblower fungieren dabei meist aktuelle oder
ehemalige Mitarbeiter, Kunden oder auch Geschäftspartner wie Lieferanten.
Neue Gesetzesgrundlage
zum Schutz der Hinweisgeber
In der Vergangenheit barg Whistleblowing für hinweisgebende Personen in vielen Fällen ein großes Risiko, da es keine gesetzlichen Regelungen zu deren Schutz gab. So konnte die Meldung rechtlicher oder moralischer Verstöße oft Repressalien oder auch Vergeltungsmaßnahmen zur Folge haben, die sich negativ auf die Karriere oder den Ruf der Hinweisgeber auswirkten.
Diesem Missstand nimmt sich die EU-Hinweisgeberrichtlinie, auch EU-Whistleblower-Richtlinie genannt, an. Die Direktive trat im Dezember 2019 in Kraft und sorgt für den EU-weiten Schutz der Hinweisgeber.
Denn durch die wertvollen Hinweise der sogenannten “Whistleblower” konnten zwei Drittel aller Fälle in der Wirtschaftskriminalität aufgedeckt werden. Über 50% dieser Hinweise kamen von Mitarbeitern, die infolgedessen unter anderem mit der Angst vor rechtlichen und finanziellen Konsequenzen zu kämpfen hatten.
Wer ist von der neuen
Gesetzgebung betroffen und wann?
Von der EU-Hinweisgeberrichtlinie betroffen sind folgende Einrichtungen:
Unternehmen mit mindestens 50 Mitarbeitern
Juristische Personen des öffentlichen Sektors
(Städte, Gemeinden und Kommunen
mit mindestens 10.000 Einwohnern)
Die Direktive ist bereits im Dezember 2019 in Kraft getreten und sollte bis zum 16. Dezember 2021 von den EU-Mitgliedstaaten in nationales Recht implementiert werden.
Kann ein Land dieser Vorgabe nachkommen, haben sich betroffene Unternehmen, öffentliche Ämter und regionale Behörden seit dem 17. Dezember 2021 an die nationale Gesetzgebung zu halten, andernfalls gilt vorerst die EU-Whistleblower-Richtlinie.
Wie ist der Stand der nationalen
Umsetzung in Deutschland?
In Deutschland soll die EU-Hinweisgeberrichtlinie in Form des Hinweisgeberschutzgesetztes umgesetzt werden. Laut Entwurf wären folgende Einrichtungen in der Pflicht eine Möglichkeit zur Abgabe von Hinweisen anzubieten:
- große und mittelständische Unternehmen mit mehr als 250 Mitarbeitern (seit 17. Dezember 2021)
- kleinere Unternehmen ab 50 Mitarbeitern (ab 17. Dezember 2023)
- öffentliche Einrichtungen, Behörden und Kommunen ab 1.000 Einwohnern
Da sich die große Koalition in einigen Streitpunkten den Gesetzentwurf betreffend noch nicht einigen konnte, wurde er im April 2021 gekippt. Die Ampelregierung hat das Gesetzgebungsverfahren bereits wieder aufgegriffen und im Koalitionsvertrag festgelegt, dass es ein nationales Hinweisgeberschutzsystem geben soll. Verabschiedet ist dies aber noch nicht. Somit gilt vorerst die EU-Whistleblower-Richtlinie.
EU-Whistleblower-Richtlinie vs. Hinweisgeberschutzgesetz

Was besagt die EU-
Whistleblower-Richtlinie?
Die EU-Hinweisgeberrichtlinie (EU-Whistleblower-Directive) gewährt der hinweisgebenden Person einen umfassenden Schutz vor negativen Folgen wie einer Kündigung oder Versetzung aufgrund der Meldung von Gesetzesverstößen. Zu beachten ist bei der Umsetzung Folgendes:
- Schutz von Whistleblowern: Ziel der Direktive ist der Schutz von Personen, die Verstöße und Missstände melden, die sie in Unternehmen oder im öffentlichen Sektor beobachtet haben. Zu diesen Personen zählen neben Arbeitnehmern auch Bewerber, Praktikanten und ehrenamtlich Tätige sowie Auftragnehmer und Zulieferer. Der Schutz beinhaltet die Wahrung der Anonymität der Whistleblower und ein Verbot von Repressalien wie Suspendierung, Kündigung, Einschüchterung, Diskriminierung oder auch Rufschädigung.
- Dreistufiges Meldesystem: Die Hinweisgeber haben laut Direktive drei Meldekanäle zur Auswahl.
1. Bevorzugt verwendet werden sollen die internen Meldestellen von Unternehmen. Diese können entweder In-House oder von einem externen Dienstleister betreut werden.
2. Der Weg über eine externe Meldestelle kann dann genommen werden, wenn die interne Meldung zu keinem Ergebnis geführt hat. Hier kümmert sich die zuständige Behörde um die Betreuung der Meldestelle.
3. Erst wenn der Hinweisgeber auch über die externe Meldestelle scheitert oder das öffentliche Interesse unmittelbar gefährdet ist, kann er sich als dritte Meldestelle an die Öffentlichkeit wenden. - Meldekanäle: Whistleblower müssen Ihre Meldungen über Missstände oder Rechtsverstöße in Unternehmen schriftlich und/oder mündlich beziehungsweise persönlich machen können.
- Eingangs- und Rückmeldepflicht: Unabhängig davon, ob sich die hinweisgebende Person an eine interne oder externe Meldestelle gewandt hat, steht ihr zu, über den Status der Meldung auf dem Laufenden gehalten zu werden. So muss der Whistleblower innerhalb von sieben Tagen nach Einreichung einer Meldung eine Eingangsbestätigung bekommen und binnen drei Monaten über die Ergreifung geeigneter Folgemaßnahmen informiert werden.
Was besagt das Hinweisgeberschutzgesetz?
Das Hinweisgeberschutzgesetz ist die nationale Umsetzung der EU-Hinweisgeberrichtlinie in Deutschland und richtet sich in seinen Grundsätzen nach dessen Vorgaben. Obwohl das Gesetz noch nicht verabschiedet ist, können sich Unternehmen schon jetzt auf Folgendes vorbereiten:
- Meldekanäle: In Deutschland müssen Whistleblower die Möglichkeit haben, Meldungen sowohl schriftlich als auch mündlich und bei Bedarf auch persönlich anzugeben.
- Umfang: Das Hinweisgeberschutzgesetz sieht vor, dass Whistleblower nicht nur Verstöße gegen europäisches Recht, wie es in der EU-Whistleblower-Richtlinie vorgesehen ist, melden dürfen, sondern auch Verstöße gegen deutsches Recht.
- Anonyme Hinweise: Bei der Umsetzung der EU-Hinweisgeberrichtlinie in Deutschland ist eine Einschränkung der Bearbeitungspflicht anonymer Hinweise vorgesehen. Dadurch sollen die Meldestellen vor einer Überlastung bewahrt und die Qualität der gemeldeten Missstände gesichert werden.
- Beweislastumkehr: Whistleblower sind nach dem deutschen Gesetzentwurf vor Repressalien geschützt. Sollten sie beispielsweise von Ihrem Arbeitgeber gekündigt werden, kommt die Beweislastumkehr zum Einsatz. Demnach muss der Arbeitgeber nachweisen, dass die Kündigung in keinerlei Zusammenhang mit dem Whistleblowing steht.
- Verstöße: Wer das Hinweisgeberschutzgesetz missachtet beziehungsweise dagegen verstößt, dem wird eine Ordnungswidrigkeit zur Last gelegt.

Pflichten für betroffene Unternehmen
Für betroffene Unternehmen und den öffentlichen Sektor beinhalten die EU-Whistleblower-Richtlinie und das Hinweisgeberschutzgesetz verschiedene Pflichten:
- Beide Gesetze beinhalten die Pflicht zur Einrichtung eines internen Hinweisgebersystems bzw. einer internen Meldestelle für Whistleblower, die entweder In-House oder von einem externen Dienstleister betrieben werden kann.
- Während die Betroffenen nach der EU-Direktive die Wahl haben, ein schriftliches und/oder mündliches bzw. persönliches Meldeverfahren zu implementieren, sind nach dem Hinweisgeberschutzgesetz alle drei Meldekanäle verpflichtend.
- Die Pflicht zur Bearbeitung von Meldungen ist in beiden Gesetzen zu finden. Demnach muss der Hinweisgeber nach spätestens sieben Tagen darüber informiert werden, dass seine Meldung eingegangen ist. Nach spätestens drei Monaten muss dann eine Rückmeldung über die ergriffenen Folgemaßnahmen erfolgen.
Inwiefern können betroffene
Unternehmen von Hinweisen profitieren?
Unternehmen und Behörden können erheblich von der Implementierung eines Whistleblower-Systems und der Pflege einer gesunden Hinweisgeberkultur profitieren. Hinweisgeber sorgen dafür, dass Missstände frühzeitig erkannt und entsprechende Maßnahmen ergriffen werden können.
Der Whistleblowing Report 2019 der Hochschule für Technik und Wirtschaft HTW Chur und dem Münchener Technologieanbieter EQS Group zeigt, wie wichtig Hinweisgebersysteme für Unternehmen sind. So sind laut der Studie in 17% der befragten Unternehmen finanzielle Schäden von mehr als 100.000€ infolge von Missständen entstanden. Gleichzeitig konnten mehr als 60% der gesamten Schäden in deutschen Unternehmen mit Hilfe von Meldestellen aufgedeckt werden.
Durch Hinweise von Whistleblowern lassen sich allerdings nicht nur monetäre Schäden vermeiden. Zusätzlich fördert die Implementierung eines Hinweisgebersystems auch das Vertrauen der Mitarbeiter in deren Arbeitgeber und stärkt somit die Integrität der Unternehmen.
Dadurch hat der Erfolg der betroffenen Unternehmen einen höheren Stellenwert für deren Mitarbeiter und es werden mehr interne Meldungen gemacht. Dadurch können Unternehmensprozesse optimiert und Reputationsschäden vermieden werden, da Hinweisgeber nicht mehr die Öffentlichkeit als erste Anlaufstelle für ihre Meldungen sehen.
Profitieren auch Sie von einem Hinweisgebersystem
Möchten auch Sie von den zahlreichen Vorteilen eines Hinweisgebersystems profitieren? Die All-in-One-Lösung von Snubes garantiert Ihnen die sorgenfreie Nutzung eines Whistleblower-Systems, das genau zu Ihrem Unternehmen passt.
Diese Optionen haben Sie
für die gesetzeskonforme Einrichtung
eines Hinweisgebersystems
Sowohl die EU-Whistleblower-Richtline als auch das Hinweisgeberschutzgesetz beinhalten die Pflicht zur Einrichtung von Meldestellen, bei denen Whistleblower Verstöße gegen das Unionsrecht und im Fall des Hinweisgeberschutzgesetzes auch gegen deutsches Recht melden können. Zur Implementierung interner Meldestellen stehen Unternehmen und Behörden die unterschiedlichsten Hinweisgebersysteme zur Auswahl.
Sich als Unternehmen für das richtige Whistleblower-System zu entschieden, ist nicht einfach. Wir schaffen einen Überblick über die drei gängigsten Meldekanäle.

Online-Plattform
- Bei einer Online-Plattform handelt es sich um ein digitales Hinweisgebersystem.
- Hinweise können über jegliche Geräte wie Laptop, Tablet oder Smartphone, die internetfähig sind, gemeldet werden.
- Unternehmen profitieren von den automatisierten Vorgängen und werden nicht nur über den Eingang neuer Hinweise informiert, sondern auch an Fristen für eine Eingangsbestätigung und Rückmeldung an die Hinweisgeber erinnert.
Call-Center
- Die hinweisgebende Person wendet sich mit ihrer Meldung direkt an einen Call-Center-Agenten. Sie kann sich also direkt mit einer anderen Person austauschen.
- Hinweise werden durch gezielte Fragen aus einem standardisierten Fragebogen von den Call-Center-Mitarbeitern erfasst und dokumentiert.
- Die Call-Center-Agenten sind optional 24/7 erreichbar.


Ombudsperson
- Bei einer Ombudsperson handelt es sich um einen externen, neutralen Ansprechpartner wie beispielsweise einen zur Verschwiegenheit verpflichteten Rechtsanwalt.
- Die Ombudsperson nimmt Meldungen von Hinweisgebern per Telefon, E-Mail oder in einem persönlichen Gespräch entgegen.
- Sie ist dafür verantwortlich, entsprechende Folgemaßnahmen zur Aufklärung der gemeldeten Missstände zu ergreifen.
In-House-Implementierung oder Outsourcing des Hinweisgebersystems?
Die EU-Whistleblower-Richtlinie wie auch das Hinweisgeberschutzgesetz sehen eine Pflicht für Unternehmen vor, eine interne (also nicht-öffentliche) Meldestelle für Hinweisgeber einzurichten. Eine solche Hinweisstelle soll als erste Anlaufstelle für Whistleblower dienen, um Missstände und Verstöße zu melden.
Zu den Aufgaben einer internen Meldestelle gehören die Bereitstellung und das Betreiben der Meldekanäle. Außerdem müssen sie die eingegangenen Meldungen prüfen, eventuell erforderliche Folgemaßnahmen planen und ergreifen und Informationen zu externen Meldeverfahren bereitstellen.
Bei der Organisation haben betroffene Unternehmen und Behörden zwei Möglichkeiten. Sie können die interne Meldestelle entweder selbst betreiben (In-House) oder an einen externen Dienstleister auslagern.
In-House-Lösung
Wird die Meldestelle In-House betrieben, so sind vom Unternehmen beschäftigte unabhängige und qualifizierte Personen oder Organisationseinheiten zuständig. Dabei kann es sich um Datenschutzbeauftragte oder Mitglieder der Rechtsabteilung handeln oder um die Compliance-Abteilung.
Für Unternehmen kann es eine Schwierigkeit darstellen, geeignetes Personal für die Betreuung der Meldestellen zu finden, da sich keine der beauftragten Personen in einem Interessenkonflikt befinden darf. Zusätzlich sind regelmäßige Schulungen bezüglich der besonderen Anforderungen einer Meldestelle verpflichtend, deren Kosten das Unternehmen zu tragen hat.
Outsourcing-Lösung
Neben einer In-House-Umsetzung haben Unternehmen auch die Chance, die Betreuung der internen Meldestelle an einen externen Dienstleister zu übertragen. Dabei profitiert das Unternehmen von mehreren Vorteilen:
- Der externe Dienstleister hat bereits eine langjährige Erfahrung im Umgang mit Whistleblowing. Dadurch kann er die sensiblen Aufgaben, die mit der Betreuung einer Meldestelle einhergehen, professionell bearbeiten.
- Mit besonders sensiblen Hinweisen wenden sich Whistleblower erfahrungsgemäß lieber an Dritte als an Mitarbeiter des eigenen Unternehmens. Betreut also ein externer Dienstleister eine Meldestelle, senkt dies die Hemmschwelle der Hinweisgeber und sie wenden sich eher an die interne als eine externe staatliche Meldestelle.
- Wird ein externer Dienstleister mit der Betreuung der internen Meldestelle betraut, entfällt die Schulungspflicht für das beauftragende Unternehmen. Dadurch kann es sich erhebliche Kosten sparen.
Welche datenschutzrechtlichen Vorschriften
sind bei der Implementierung eines Hinweisgebersystems zu beachten?
Plant ein Unternehmen oder eine Behörde die Implementierung eines Hinweisgebersystems, so ist neben den Vorgaben der EU-Whistleblower-Richtlinie auch die Datenschutzgrundverordnung (DSGVO) zu beachten. Bei einer In-House-Umsetzung erweist sich dies als besonders anspruchsvoll, da eine ausführliche Auseinandersetzung mit den relevanten datenschutzrechtlichen Vorschriften nicht zu umgehen ist. Wird ein externer Dienstleister mit der Aufgabe der internen Meldestelle betraut, ist dieser für die Einhaltung der gegebenen Gesetze verantwortlich. Dies sollte bereits bei der Wahl des richtigen Partners beachtet werden.
Die relevantesten datenschutzrechtlichen Vorschriften im Überblick
- Art. 16 Richtlinie (EU) 2019/1937: Der Schutz der Whistleblower und somit auch der Schutz deren Identität ist einer der wichtigsten Grundsätze der EU-Hinweisgeberrichtlinie. Die Identität wie auch die Verarbeitung personenbezogener Daten muss vertraulich behandelt werden.
- Art. 14 DSGVO: Artikel 14 der DSGVO beinhaltet die Unterrichtspflicht, die sich auch auf die Arbeit mit Hinweisgebersystemen beziehen lässt. Demnach müssen Personen, deren Daten verarbeitet werden, vorher darüber in Kenntnis gesetzt werden. Geht bei einem Whistleblower-System eine Meldung ein, muss individuell beurteilt werden, ob die in der Meldung genannten Personen oder der Hinweisgeber selbst unter die Unterrichtspflicht fallen. Trifft dies zu, muss die betroffene Person innerhalb eines Monats benachrichtigt werden.
- Art. 15 DSGVO: Artikel 15 der DSGVO, in dem es um den Auskunftsanspruch bzw. die Auskunftspflicht geht, baut auf der Unterrichtspflicht auf. Nachdem ein Betroffener über die Verarbeitung seiner personenbezogenen Daten in Kenntnis gesetzt wurde, hat er nach Artikel 15 ein Anrecht darauf, zu erfahren, woher das Unternehmen seine Daten hat und weshalb sie genau bearbeitet werden. Dieses Recht wird durch die EU-Hinweisgeberrichtlinie eingeschränkt, da als Quelle der Daten oft der Hinweisgeber zu nennen wäre, dessen Recht auf Anonymität Vorrang hat.
- Art. 17 DSGVO: Artikel 17 der DSGVO befasst sich mit der Löschungspflicht. Demnach können betroffene Personen die Löschung ihrer personenbezogenen Daten fordern. Das Unternehmen steht dann in der Pflicht zu prüfen, ob der Forderung rechtlich nachgegangen werden kann. Dazu ist ein konsistentes Löschkonzept erforderlich.
Sind Sie auf der Suche nach dem idealen Hinweisgebersystem?
Mit whistleTAG haben wir ein ganzheitliches Hinweisgebersystem entwickelt, das zu jedem Unternehmen passt. Wählen Sie ganz einfach zwischen den Modulen BASIC, STANDARD und PREMIUM die passende Lösung für Ihr Unternehmen aus oder lassen Sie sich von unseren Experten beraten.