Zum Hauptinhalt springen Gesetzlich vorgeschrieben (HinSchG) für Unternehmen ab 50 Beschäftigten

Compliance-Checkliste zur EU-Hinweisgeberrichtlinie für Unternehmen #

Alle 27 EU-Mitgliedstaaten haben die EU-Richtlinie 2019/1937 in nationales Recht umgesetzt — darunter das Hinweisgeberschutzgesetz (HinSchG) in Deutschland, die Loi Waserman in Frankreich, Ley 2/2023 in Spanien, D.Lgs. 24/2023 in Italien und das Gesetz vom 14. Juni 2024 in Polen. Ihre Organisation muss das nationale Recht im Land ihrer Tätigkeit einhalten, und die Durchsetzung ist aktiv.

Diese Checkliste führt Sie in zwölf Schritten zur vollständigen Compliance. Zu jedem Punkt nennen wir den einschlägigen Artikel der Richtlinie, geben praktische Hinweise und zeigen auf, wo Tools unterstützen können. Länderspezifische Anforderungen finden Sie in unserer Übersicht der Hinweisgebergesetze nach Land.

Die Checkliste #

1. Anwendungsbereich prüfen #

Artikel: Art. 8 Abs. 3–4

Alle juristischen Personen im privaten Sektor mit mindestens 50 Beschäftigten müssen interne Meldekanäle einrichten. Öffentliche Stellen, Kommunen und Einrichtungen in bestimmten regulierten Sektoren (Finanzdienstleistungen, Luftfahrtsicherheit, Seeverkehr etc.) sind unabhängig von der Größe einbezogen.

Praxistipp: Zählen Sie alle Beschäftigten, nicht nur Vollzeitkräfte. Teilzeitbeschäftigte, Fremdpersonal vor Ort und Leiharbeitnehmer:innen können je nach nationalem Recht in die Schwelle eingerechnet werden. Einige Länder gehen weiter: Italien verlangt unabhängig von der Größe einen Kanal für alle Unternehmen mit einem Modell-231-Compliance-Programm, und Spanien erfasst alle öffentlichen Stellen.

2. Internen Meldekanal einrichten #

Artikel: Art. 8 Abs. 1, Art. 9 Abs. 1 lit. a

Der Kanal muss schriftliche Meldungen (Online-Formular, E-Mail, Post) oder mündliche Meldungen (Telefon, Sprachnachrichtensystem) ermöglichen — oder beides. Auf Anfrage muss zusätzlich ein persönliches Treffen innerhalb einer angemessenen Frist möglich sein.

Praxistipp: Ein webbasiertes Portal ist die praktikabelste Option — rund um die Uhr verfügbar, automatische Protokollierung, Unterstützung anonymer Zwei-Wege-Kommunikation. Vermeiden Sie generische E-Mail-Adressen; sie bieten weder Verschlüsselung noch Anonymität noch Audit-Protokolle.

Wie EthicsPortal hilft: Bietet ein markenindividualisiertes Webportal mit verschlüsselter anonymer Meldung und Zwei-Wege-Nachrichten, in Minuten einsatzbereit.

3. Unparteiische Person oder Stelle für die Fallbearbeitung benennen #

Artikel: Art. 9 Abs. 1 lit. c

Sie müssen eine Person oder Stelle benennen, die für die Nachverfolgung von Meldungen zuständig ist. Diese muss unparteiisch sein und darf keinen Interessenkonflikt zum Inhalt der Meldungen haben.

Praxistipp: Häufige Besetzungen sind Compliance-Verantwortliche, Rechtsabteilung, HR-Leitung oder eine externe Ombudsperson. In kleineren Organisationen kann die Geschäftsführung diese Rolle übernehmen, sofern sie nicht voraussichtlich selbst Gegenstand von Meldungen wird. Benennen Sie auch eine Vertretung.

4. Prozess für die Eingangsbestätigung aufsetzen (7-Tage-Frist) #

Artikel: Art. 9 Abs. 1 lit. b

Sie müssen den Eingang einer Meldung innerhalb von sieben Kalendertagen bestätigen. Dies gilt für alle Meldungen, einschließlich anonymer.

Praxistipp: Automatisieren Sie diesen Schritt. Ein manueller Prozess birgt das Risiko, die Sieben-Tage-Frist über Feiertage oder Abwesenheiten hinaus zu überschreiten.

Wie EthicsPortal hilft: Verfolgt die Eingangsbestätigungsfrist für jede Meldung und zeigt Fallbearbeiter:innen an, welche Meldungen ihre Aufmerksamkeit benötigen.

5. Rückmeldungsprozess definieren (3-Monats-Frist) #

Artikel: Art. 9 Abs. 1 lit. f

Sie müssen der hinweisgebenden Person innerhalb von drei Monaten ab der Eingangsbestätigung Rückmeldung geben. Rückmeldung umfasst: ob die Meldung geprüft wird, untersucht wird oder abgeschlossen ist, sowie das Ergebnis etwaiger Ermittlungen.

Praxistipp: „Rückmeldung" erfordert keine vollständige Offenlegung des Ermittlungsergebnisses. Die Information, dass die Angelegenheit untersucht und angemessene Maßnahmen ergriffen wurden, reicht aus. Bei anonymen Hinweisgeber:innen muss die Rückmeldung über den Meldekanal verfügbar sein (z. B. per Zugangscode).

Wie EthicsPortal hilft: Verfolgt die Drei-Monats-Rückmeldefrist pro Fall und unterstützt Zwei-Wege-Kommunikation mit anonymen Hinweisgeber:innen per Zugangscode.

6. Vertraulichkeitsmaßnahmen umsetzen #

Artikel: Art. 16

Die Identität der hinweisgebenden Person darf ohne deren ausdrückliche Zustimmung niemandem außerhalb der autorisierten Fallbearbeitung offengelegt werden. Das gilt auch für Informationen, aus denen die Identität mittelbar abgeleitet werden kann.

Praxistipp: Begrenzen Sie den Zugriff auf Meldungen strikt. Teilen Sie Meldedetails nicht in Besprechungen mit nicht autorisierten Personen. Beim internen Verweisen von Fällen: identifizierende Angaben zur hinweisgebenden Person schwärzen. Stellen Sie sicher, dass Ihre IT-Systeme Zugriffskontrollen durchsetzen.

Wie EthicsPortal hilft: Rollenbasierte Zugriffskontrolle stellt sicher, dass nur benannte Fallbearbeiter:innen Meldungen einsehen. Die Identität der hinweisgebenden Person wird nie offengelegt, sofern sie diese nicht freiwillig preisgibt.

7. Schutz vor Repressalien etablieren #

Artikel: Art. 19, 20, 21

Hinweisgebende Personen, Unterstützende und verbundene Dritte müssen vor Repressalien geschützt werden. Die Richtlinie definiert Repressalien weit: Kündigung, Degradierung, Einschüchterung, Blacklisting und mehr. Die Beweislast wird umgekehrt — erleidet eine hinweisgebende Person nach einer Meldung einen Nachteil, muss der Arbeitgeber nachweisen, dass der Nachteil nicht mit der Meldung zusammenhängt.

Praxistipp: Dokumentieren Sie diesen Schutz in Ihrer Hinweisgeberrichtlinie. Schulen Sie Führungskräfte, was als Repressalie gilt. Dokumentieren Sie personelle Maßnahmen gegenüber Personen, die eine Meldung erstattet haben, um nachweisen zu können, dass Entscheidungen auf legitimen Gründen beruhten.

8. Fallbearbeiter:innen schulen #

Artikel: Art. 9 Abs. 1 lit. c–f (implizit)

Die Richtlinie schreibt keine konkrete Schulung vor, aber Fallbearbeiter:innen müssen in der Lage sein, die Pflichten zu erfüllen: Vertraulichkeit wahren, Eingangsbestätigung binnen sieben Tagen, sorgfältige Nachverfolgung und Rückmeldung binnen drei Monaten.

Praxistipp: Mindestinhalte der Schulung: Nutzung des Meldekanals, Vertraulichkeitspflichten, Grundlagen der Ermittlung, Regeln zum Schutz vor Repressalien und Datenschutz. Dokumentieren Sie die Schulung. Jährliche Auffrischung.

9. Beschäftigte über den Meldekanal informieren #

Artikel: Art. 9 Abs. 1 lit. g

Sie müssen klare und leicht zugängliche Informationen zur Nutzung des internen Meldekanals bereitstellen. Zusätzlich müssen Sie Beschäftigte über ihr Recht informieren, extern bei zuständigen Behörden zu melden.

Praxistipp: Veröffentlichen Sie die Informationen im Intranet, nehmen Sie sie in Onboarding-Materialien auf und hängen Sie sie in allgemein zugänglichen Bereichen aus. Ein QR-Code zum Meldeportal macht den Kanal wirksam auffindbar.

Wie EthicsPortal hilft: Generiert einen QR-Code und einen teilbaren Link zu Ihrem Portal, den Sie drucken und verteilen können.

10. Aufbewahrung und Löschung regeln #

Artikel: Art. 17 Abs. 1–3

Personenbezogene Daten in Meldungen dürfen nicht länger als nötig gespeichert werden. Daten, die offensichtlich nicht relevant sind, sind unverzüglich zu löschen. Konkrete Aufbewahrungsfristen richten sich nach dem nationalen Recht, der Grundsatz lautet jedoch: so lange aufbewahren, wie für die Ermittlung und etwaige Folgeverfahren nötig, dann löschen.

Praxistipp: Legen Sie eine Aufbewahrungsfrist in Ihrer Richtlinie fest. Nationale Gesetze variieren — zum Beispiel verlangt Frankreich 5 Jahre, Deutschland 3 Jahre (§ 11 HinSchG) und Italien 5 Jahre (D.Lgs. 24/2023). Einen vollständigen Vergleich finden Sie in unserem Leitfaden DSGVO und Hinweisgebermeldungen. Setzen Sie Kalendererinnerungen, um abgeschlossene Fälle zu prüfen und zu löschen.

11. Schriftliche Hinweisgeberrichtlinie vorbereiten #

Artikel: Art. 8, 9 (implizit) sowie die meisten nationalen Umsetzungsgesetze

Die Richtlinie selbst verlangt zwar kein eigenständiges Policy-Dokument ausdrücklich, die meisten nationalen Umsetzungsgesetze tun es jedoch, und es ist praktisch notwendig, um die Informationspflichten aus Art. 9 Abs. 1 lit. g zu erfüllen.

Praxistipp: Ihre Richtlinie sollte umfassen: Geltungsbereich, Wer kann melden, Was kann gemeldet werden, Wie gemeldet wird, Vertraulichkeit, Schutz vor Repressalien, Ermittlungsprozess, Rückmeldefristen und Datenschutz. Nutzen Sie unsere kostenlose Vorlage für eine Hinweisgeberrichtlinie als einsatzbereites Dokument.

12. Compliance für die aufsichtsrechtliche Prüfung dokumentieren #

Artikel: Art. 11 Abs. 2 (externe Kanäle), nationale Umsetzungsgesetze (interne)

Mehrere Mitgliedstaaten verlangen, dass Organisationen die Erfüllung ihrer Pflichten dokumentieren und die Unterlagen den Behörden auf Anfrage vorlegen.

Praxistipp: Dokumentieren Sie: Wann der Meldekanal eingerichtet wurde, wer als Fallbearbeiter:in benannt ist, Schulungsnachweise, die Hinweisgeberrichtlinie (mit Versionshistorie) sowie aggregierte Statistiken zu empfangenen und bearbeiteten Meldungen. Speichern Sie Einzelfalldaten nicht länger, als Ihre Aufbewahrungsfrist zulässt.

Nächste Schritte #

Wenn Sie alle Punkte abgehakt haben, erfüllt Ihre Organisation die Kernanforderungen der Richtlinie und ihrer nationalen Umsetzung. Compliance ist keine einmalige Angelegenheit — überprüfen Sie Ihren Aufbau jährlich, schulen Sie Bearbeiter:innen nach und aktualisieren Sie Ihre Richtlinie, wenn sich das nationale Recht ändert. Länderspezifische Anforderungen, die über die Richtlinie hinausgehen, finden Sie in unserer Übersicht der Hinweisgebergesetze nach Land.

Benötigen Sie einen Meldekanal? EthicsPortal stellt in Minuten ein konformes, anonymes Meldeportal bereit — pauschal 49 €/Monat, keine Pro-Kopf-Preise, keine Vertriebsanrufe. Heute starten.

Zuletzt aktualisiert: