15. März 2026

Kostenlose Vorlage für eine Hinweisgeberrichtlinie nach EU-Richtlinie 2019/1937 #

Jede Organisation ab 50 Beschäftigten in der EU benötigt eine schriftliche Hinweisgeberrichtlinie. Das ist nicht optional — es ist unter den nationalen Umsetzungsgesetzen wie dem Hinweisgeberschutzgesetz (HinSchG) in Deutschland, der Loi Waserman in Frankreich, Ley 2/2023 in Spanien und dem Gesetz vom 14. Juni 2024 in Polen vorgeschrieben, die alle die EU-Richtlinie 2019/1937 umsetzen. Die Sanktionen bei Nichteinhaltung variieren je nach Land — Details finden Sie auf unserer Sanktionsseite.

Eine Hinweisgeberrichtlinie erfüllt zwei Funktionen: Sie sagt Beschäftigten, wie sie Fehlverhalten melden können, und sie sagt Ihrer Organisation, wie sie mit Meldungen umzugehen hat. Ohne klare Richtlinie gehen Meldungen verloren, Bearbeiter:innen improvisieren, und Ihre Organisation riskiert rechtliche und reputative Schäden.

Unten finden Sie eine vollständige, kopierfähige Vorlage. Ersetzen Sie die Platzhalter in eckigen Klammern durch die Angaben Ihrer Organisation. Die Vorlage deckt alle von der Richtlinie geforderten Elemente ab.

Vorlage Hinweisgeberrichtlinie #

[NAME DER ORGANISATION]

Richtlinie zum Hinweisgeberschutz

Gültig ab: [DATUM]

Genehmigt durch: [NAME / FUNKTION]

Version: 1.0

1. Zweck und Geltungsbereich #

Diese Richtlinie schafft einen Rahmen für die Meldung mutmaßlicher Verstöße gegen Gesetze, Vorschriften oder interne Regeln innerhalb von [NAME DER ORGANISATION]. Sie setzt die Anforderungen der EU-Richtlinie 2019/1937 über den Schutz von Personen, die Verstöße gegen das Unionsrecht melden, in der Umsetzung in das nationale Recht von [MITGLIEDSTAAT] um.

Die Richtlinie gilt für alle Geschäftsbereiche, Tochtergesellschaften und Geschäftseinheiten von [NAME DER ORGANISATION] innerhalb der Europäischen Union.

2. Wer kann melden #

Gemäß Art. 4 der Richtlinie können folgende Personen Meldungen über die in dieser Richtlinie beschriebenen Kanäle einreichen:

• Aktuelle und ehemalige Beschäftigte, einschließlich in Probezeit oder Kündigungsfrist
• Bewerber:innen, die Informationen während des Rekrutierungsprozesses erlangt haben
• Auftragnehmer:innen, Subunternehmen und Lieferant:innen
• Anteilseigner:innen und Mitglieder des Verwaltungs-, Management- oder Aufsichtsgremiums
• Freiwillige und Praktikant:innen, bezahlt oder unbezahlt
• Personen, die unter Aufsicht und Leitung von Auftragnehmer:innen, Subunternehmen oder Lieferant:innen tätig sind
• Personen, deren arbeitsbezogenes Verhältnis noch nicht begonnen hat, sofern Informationen zu Verstößen während des Rekrutierungsprozesses oder vorvertraglicher Verhandlungen erlangt wurden

Der Schutz erstreckt sich auch auf Unterstützende, mit der hinweisgebenden Person verbundene Dritte (etwa Kolleg:innen oder Angehörige) und juristische Personen, an denen die hinweisgebende Person beteiligt ist, für die sie arbeitet oder zu denen sie im arbeitsbezogenen Kontext anderweitig in Verbindung steht (Art. 4 Abs. 4).

3. Was gemeldet werden kann #

Meldungen können Verstöße gegen das Unionsrecht in den von der Richtlinie erfassten Bereichen betreffen (Art. 2), einschließlich, aber nicht beschränkt auf:

• Unregelmäßigkeiten im öffentlichen Auftragswesen
• Verstöße in Finanzdienstleistungen, bei Geldwäschebekämpfung und Terrorismusfinanzierung
• Verstöße gegen Produktsicherheit und -konformität
• Verkehrssicherheitsverstöße
• Verstöße gegen den Umweltschutz
• Fragen des Strahlenschutzes und der nuklearen Sicherheit
• Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und -wohl
• Verstöße gegen die öffentliche Gesundheit
• Verstöße gegen den Verbraucherschutz
• Verletzungen des Datenschutzes und der Privatsphäre
• Sicherheit von Netz- und Informationssystemen
• Verstöße gegen Wettbewerbs- und Beihilferecht
• Steuergestaltungen, die Sinn und Zweck des anwendbaren Steuerrechts unterlaufen
• Betrug, Korruption oder andere Straftaten, die die finanziellen Interessen der EU beeinträchtigen

Meldungen können auch Verstöße gegen interne Unternehmensrichtlinien, Verhaltenskodizes und anwendbares nationales Recht betreffen, sofern das nationale Umsetzungsrecht von [MITGLIEDSTAAT] den Schutz auf solche Meldungen ausdehnt.

4. Wie gemeldet wird #

Interner Meldekanal #

[NAME DER ORGANISATION] bietet einen sicheren, vertraulichen internen Meldekanal:

• Online-Portal: [URL DES MELDEPORTALS]
• Benannte Person: [NAME / FUNKTION DER BENANNTEN PERSON ODER ABTEILUNG]
• Alternative Wege: [POSTANSCHRIFT / E-MAIL / PROZESS FÜR PERSÖNLICHE GESPRÄCHE, falls zutreffend]

Meldungen können anonym eingereicht werden. Hinweisgeber:innen, die anonym bleiben, erhalten einen Zugangscode, um den Status ihrer Meldung einzusehen und sicher mit der bearbeitenden Person zu kommunizieren.

[NAME DER ORGANISATION] ermutigt zur Nutzung des internen Meldekanals als erster Anlaufstelle, damit die Organisation Verstöße zeitnah prüfen und adressieren kann.

Externe Meldung an zuständige Behörden #

Hinweisgeber:innen haben jederzeit das Recht, extern an die zuständige Behörde zu melden, wie in Art. 10 der Richtlinie vorgesehen. Sie sind nicht verpflichtet, zuerst den internen Kanal zu nutzen.

Die zuständige Behörde in [MITGLIEDSTAAT] ist: [NAME UND KONTAKTDATEN DER NATIONALEN BEHÖRDE].

Offenlegung in der Öffentlichkeit #

In den in Art. 15 der Richtlinie definierten Ausnahmefällen können Hinweisgeber:innen Informationen öffentlich machen und dennoch geschützt bleiben — etwa wenn sie hinreichende Gründe zu der Annahme haben, dass der Verstoß eine unmittelbare oder offenkundige Gefahr für das öffentliche Interesse darstellt, oder wenn Repressalien drohen.

5. Vertraulichkeit #

Die Identität der hinweisgebenden Person wird ohne deren ausdrückliche Zustimmung niemandem außerhalb der autorisierten Mitarbeitenden, die für Entgegennahme oder Nachverfolgung zuständig sind, offengelegt (Art. 16).

Diese Vertraulichkeitspflicht gilt für alle Informationen, aus denen sich die Identität der hinweisgebenden Person unmittelbar oder mittelbar ableiten lässt.

Die Identität darf nur offengelegt werden, soweit dies eine notwendige und verhältnismäßige Verpflichtung nach Unions- oder nationalem Recht im Rahmen von Ermittlungen nationaler Behörden oder Gerichtsverfahren ist, einschließlich zur Wahrung der Verteidigungsrechte der betroffenen Person.

Wer die Identität einer hinweisgebenden Person unter Verstoß gegen diese Richtlinie offenlegt, wird disziplinarisch belangt.

6. Verbot von Repressalien #

[NAME DER ORGANISATION] untersagt gemäß Art. 19–21 der Richtlinie jede Form von Repressalien gegen hinweisgebende Personen. Repressalien umfassen unter anderem:

• Suspendierung, Kündigung oder gleichwertige Maßnahmen
• Herabstufung, Vorenthalten einer Beförderung, Änderung von Aufgaben oder Arbeitsort
• Gehaltskürzung oder Änderung der Arbeitszeit
• Vorenthalten von Weiterbildung
• Negative Leistungsbeurteilung oder negatives Arbeitszeugnis
• Nötigung, Einschüchterung, Belästigung oder Ausgrenzung
• Diskriminierung oder ungünstige Behandlung
• Nichtumwandlung eines befristeten in einen unbefristeten Arbeitsvertrag
• Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags
• Schaden, einschließlich Rufschädigung oder finanziellem Verlust
• Blacklisting
• Vorzeitige Beendigung oder Kündigung eines Liefer- oder Dienstleistungsvertrags
• Entzug einer Lizenz oder Genehmigung
• Psychiatrische oder medizinische Überweisung

Die Beweislast in Repressalien-Verfahren ist umgekehrt: Legt eine hinweisgebende Person dar, dass sie eine Meldung erstattet hat und anschließend einen Nachteil erlitten hat, wird vermutet, dass der Nachteil aus Vergeltung erfolgt ist. Die Person, die den nachteiligen Akt vorgenommen hat, muss nachweisen, dass er auf hinreichend begründeten, von der Meldung unabhängigen Gründen beruhte (Art. 21 Abs. 5).

Wer Repressalien ausübt, muss mit disziplinarischen Maßnahmen bis hin zur Beendigung des Arbeitsverhältnisses rechnen.

7. Ermittlungsprozess #

Nach Eingang einer Meldung wird [NAME DER ORGANISATION]:

1. Den Eingang innerhalb von sieben Kalendertagen nach Eingang der Meldung bestätigen (Art. 9 Abs. 1 lit. b).
2. Die Meldung prüfen, um festzustellen, ob sie in den Anwendungsbereich dieser Richtlinie fällt und eine Untersuchung rechtfertigt.
3. Sorgfältig ermitteln, indem relevante Informationen erhoben, Zeug:innen bei Bedarf befragt und Dokumente gesichtet werden, unter durchgehender Wahrung der Vertraulichkeit.
4. Rückmeldung geben innerhalb von drei Monaten nach der Eingangsbestätigung. Die Rückmeldung enthält Angaben zum Status der Ermittlung und, soweit möglich, zum Ergebnis und zu getroffenen oder geplanten Maßnahmen (Art. 9 Abs. 1 lit. f).
5. Den Fall abschließen mit dokumentierten Feststellungen und, wo angemessen, Empfehlungen für Abhilfemaßnahmen, Disziplinarmaßnahmen oder Weiterleitung an zuständige Behörden.

Fällt eine Meldung nicht in den Anwendungsbereich dieser Richtlinie, wird die hinweisgebende Person informiert und, wo angemessen, an das zuständige Verfahren verwiesen.

8. Datenschutz #

Meldungen und alle damit verbundenen Daten werden gemäß Verordnung (EU) 2016/679 (DSGVO) und anwendbarem nationalem Datenschutzrecht verarbeitet.

Personenbezogene Daten, die für die Bearbeitung einer Meldung offensichtlich nicht relevant sind, werden nicht erhoben oder, falls versehentlich erhoben, ohne unangemessene Verzögerung gelöscht (Art. 17 Abs. 3).

Meldedaten werden nicht länger aufbewahrt, als dies zur Erfüllung dieser Richtlinie und des anwendbaren Rechts erforderlich und verhältnismäßig ist. [NAME DER ORGANISATION] legt konkrete Aufbewahrungsfristen gemäß nationalem Umsetzungsrecht fest und dokumentiert diese.

9. Schulung und Aufklärung #

[NAME DER ORGANISATION] wird:

• Alle benannten Fallbearbeiter:innen zu ihren Pflichten nach dieser Richtlinie und dem anwendbaren Recht schulen
• Alle Beschäftigten und sonstigen von Abschnitt 2 erfassten Personen über Verfügbarkeit und Nutzung des internen Meldekanals informieren
• Diese Richtlinie leicht zugänglich machen, u. a. im Firmen-Intranet und im Onboarding neuer Beschäftigter

10. Überprüfung #

Diese Richtlinie wird mindestens jährlich überprüft und bei Bedarf angepasst, um Änderungen des anwendbaren Rechts, der Organisationsstruktur oder bewährter Praktiken abzubilden.

11. Kontakt #

Fragen zu dieser Richtlinie oder zum Meldekanal:

• Benannte Person: [NAME / FUNKTION]
• E-Mail: [E-MAIL-ADRESSE]
• Meldeportal: [URL]

Ende des Richtliniendokuments.

Verwendung dieser Vorlage #

Kopieren Sie den obigen Text in Ihr Unternehmensdokument-Format, ersetzen Sie jeden Platzhalter in eckigen Klammern und lassen Sie ihn von Ihrer Rechtsabteilung prüfen. Die Vorlage deckt die Anforderungen der Richtlinie 2019/1937 ab, nationale Umsetzungen in Ihrem Mitgliedstaat können jedoch zusätzliche Pflichten auferlegen — stimmen Sie sich mit lokalen Rechtsberater:innen ab.

Sobald Ihre Richtlinie steht, benötigen Sie einen technischen Kanal zur Entgegennahme von Meldungen. EthicsPortal bietet ein sicheres, anonymes Meldeportal, das die Anforderungen der Richtlinie an interne Kanäle erfüllt — in Minuten eingerichtet, ab 49 €/Monat.

Zuletzt aktualisiert: 24. April 2026