Wer muss die EU-Hinweisgeberrichtlinie einhalten? #
Kurze Antwort: Hat Ihre Organisation 50 oder mehr Beschäftigte und ist sie in der EU tätig, benötigen Sie mit großer Wahrscheinlichkeit einen internen Meldekanal. Das ist nicht optional. Es ist geltendes Recht in allen 27 EU-Mitgliedstaaten.
Im Folgenden finden Sie alles, was Sie brauchen, um festzustellen, ob Sie unter die Pflicht fallen, was die Einhaltung konkret verlangt und welche Folgen ein Verstoß hat.
Die Schwelle: 50 Beschäftigte #
Art. 8 Abs. 3–4 der EU-Richtlinie 2019/1937 begründet die Pflicht:
- Ab 250 Beschäftigten: Interner Meldekanal seit 17. Dezember 2021 erforderlich (ursprüngliche Umsetzungsfrist nach Art. 26 Abs. 1).
- 50–249 Beschäftigte: Interner Meldekanal seit 17. Dezember 2023 erforderlich (verlängerte Frist nach Art. 26 Abs. 2).
Haben Sie 50 oder mehr Beschäftigte in der EU, ist die Frist bereits abgelaufen. Ein Kanal sollte bereits eingerichtet sein.
Wie Beschäftigte gezählt werden #
Die Richtlinie definiert den Beschäftigtenbegriff nicht eng. Die Mitgliedstaaten zählen in der Regel:
- Vollzeit- und Teilzeitkräfte (Teilzeit wird in manchen Ländern anteilig gezählt)
- Befristet Beschäftigte und Leiharbeitnehmer:innen
- In einigen Mitgliedstaaten: entsandte Arbeitnehmer:innen, Auszubildende und Praktikant:innen
Gezählt wird je juristischer Person, nicht konzernweit. In Konzernen benötigt jede Einheit ab 50 Beschäftigten einen eigenen Kanal — Einheiten mit 50–249 Beschäftigten dürfen jedoch Ressourcen zur Entgegennahme und Bearbeitung von Meldungen gemeinsam nutzen (Art. 8 Abs. 6).
Wer unabhängig von der Kopfzahl erfasst ist #
Mehrere Kategorien müssen unabhängig von der Beschäftigtenzahl einhalten:
Finanzdienstleister (Art. 8 Abs. 4) #
Alle Unternehmen im Finanzsektor — Banken, Wertpapierfirmen, Versicherer, Zahlungsinstitute, Kryptoasset-Dienstleister — benötigen unabhängig von der Größe einen Meldekanal. Das gilt auch bei 5 Beschäftigten. Die Richtlinie verweist hierfür auf das in Teil I.B und Teil II des Anhangs aufgeführte Sekundärrecht.
Öffentlicher Sektor (Art. 8 Abs. 9) #
Die Mitgliedstaaten dürfen Kommunen und andere öffentliche Stellen zur Einrichtung interner Kanäle verpflichten. Viele haben das getan, häufig mit niedrigeren oder ohne Schwellen.
Nationale Erweiterungen #
Einige Mitgliedstaaten gehen über das Richtlinien-Minimum hinaus:
- Deutschland: § 2 HinSchG erweitert den sachlichen Anwendungsbereich gegenüber der Richtlinie auf weitere Verstoßkategorien.
- Italien: Organisationen mit einem „Modell 231"-Compliance-Programm müssen unabhängig von der Größe einhalten. Quelle: Norton Rose Fulbright
- Belgien: Unternehmen ab 250 Beschäftigten müssen anonyme Meldungen entgegennehmen (strenger als das Richtlinien-Minimum). Quelle: Van Olmen & Wynant
- Frankreich: Die Loi Waserman (2022-401) zur Umsetzung der Richtlinie hat die Pflicht aufgehoben, zuerst interne Kanäle zu nutzen — hinweisgebende Personen können direkt intern oder extern wählen. Die breiteren Anti-Korruptionspflichten aus Sapin II (unabhängig vom Meldekanal) gelten weiterhin für Unternehmen ab 500 Beschäftigten und 100 Mio. € Umsatz.
Wer melden darf #
Die Richtlinie schützt einen weiten Kreis „hinweisgebender Personen" — nicht nur Beschäftigte. Nach Art. 4 sind bei einer Meldung über Ihren Kanal geschützt:
- Arbeitnehmer:innen (Beschäftigte, Beamt:innen, Praktikant:innen, Auszubildende)
- Selbstständige (freie Mitarbeitende, Freelancer)
- Anteilseigner:innen und Mitglieder von Leitungsorganen
- Ehrenamtliche
- Lieferanten und deren Beschäftigte (jede Person in Ihrer Lieferkette)
- Bewerber:innen (Personen, die im Bewerbungsverfahren von Verstößen erfahren)
- Ehemalige Beschäftigte (Personen, die während einer früheren Beschäftigung von Verstößen erfahren haben)
Ihr Meldekanal muss all diesen Gruppen offenstehen, nicht nur aktiven Beschäftigten.
Was „Einhaltung" konkret verlangt #
Einen Kanal zu betreiben bedeutet, die Anforderungen aus Art. 8, 9 und 16 der Richtlinie zu erfüllen. Das Minimum:
1. Ein sicherer Meldekanal (Art. 8) #
Ein interner Kanal, über den schriftlich (und optional mündlich) gemeldet werden kann. Er muss:
- allen von der Richtlinie erfassten Personen offenstehen (Beschäftigte, Selbstständige, Lieferanten usw.)
- die Vertraulichkeit der Identität wahren
- keine Identifizierung verlangen (anonyme Meldungen sind in den meisten Mitgliedstaaten zulässig)
2. Ein dokumentiertes Verfahren (Art. 9) #
Der Kanal muss einem definierten Verfahren folgen:
| Anforderung | Frist | Artikel |
|---|---|---|
| Eingang der Meldung bestätigen | innerhalb von 7 Tagen | Art. 9 Abs. 1 lit. b |
| Unparteiische Person oder Stelle zur Bearbeitung benennen | bei Eingang | Art. 9 Abs. 1 lit. a |
| Sorgfältige Folgenbearbeitung | laufend | Art. 9 Abs. 1 lit. c |
| Rückmeldung an die hinweisgebende Person | innerhalb von 3 Monaten | Art. 9 Abs. 1 lit. f |
| Über externe Meldemöglichkeiten informieren | bei Abgabe | Art. 9 Abs. 1 lit. g |
3. Vertraulichkeitsschutz (Art. 16) #
Die Identität der hinweisgebenden Person darf ohne ihre ausdrückliche Einwilligung niemandem außerhalb des Kreises der bearbeitenden Personen offengelegt werden. Das heißt:
- Zugriffskontrollen: nur berechtigte Bearbeitende sehen Meldungen
- keine IP-Protokollierung oder Tracking, das anonyme hinweisgebende Personen identifizieren könnte
- Verschlüsselte Speicherung
4. Dokumentationspflicht (Art. 18) #
Meldungen sind sicher zu speichern und nach nationalem Recht aufzubewahren. Ein Audit-Protokoll muss die Einhaltung gegenüber der Aufsicht nachweisen können.
5. Repressalienverbot (Art. 19–21) #
Repressalien gegen hinweisgebende Personen sind unzulässig. Erfasst sind Kündigung, Degradierung, Vorenthalten einer Beförderung, Aufgabenänderungen und jede sonstige Benachteiligung. Hinweisgebende Personen sind über diesen Schutz zu informieren.
Was NICHT als Einhaltung zählt #
Einiges, das Organisationen versuchen, erfüllt die Anforderungen nicht:
- Eine allgemeine E-Mail-Adresse (z. B. compliance@unternehmen.de). Kein Vertraulichkeitsschutz, keine Fristüberwachung, kein Audit-Protokoll.
- Ein anonymer Kummerkasten. Keine Zweiwegkommunikation, keine Bestätigung, keine Rückmeldung.
- Eine Seite im Mitarbeiterhandbuch. Der Kanal muss einsatzbereit sein, nicht nur dokumentiert.
- Eine externe Hotline ohne Fallmanagement. Ohne systematische Fristenüberwachung und Audit-Protokoll erfüllen telefonische Meldungen Art. 9 nicht.
Was passiert bei Verstößen #
Jeder Mitgliedstaat hat Sanktionen festgelegt. Sie variieren stark:
| Land | Sanktion bei fehlendem Meldekanal | Quelle |
|---|---|---|
| Spanien | bis 1.000.000 € | Ley 2/2023 |
| Belgien | 24.000–576.000 € + bis 3 Jahre Haft | CMS Expert Guide |
| Deutschland | 20.000–500.000 € (juristische Personen) | § 40 HinSchG |
| Italien | 10.000–50.000 € | D.Lgs. 24/2023 |
| Polen | bis 1.080.000 PLN (~250.000 €) | Ustawa z dnia 14 czerwca 2024 |
Der Vollzug ist keine Theorie. Im März 2025 hat der Gerichtshof der EU fünf Mitgliedstaaten mit zusammen 39 Mio. € wegen verspäteter Umsetzung belegt. Die nationalen Aufsichtsbehörden sind in den meisten Ländern inzwischen arbeitsfähig und verhängen aktiv Bußgelder.
Die vollständige Übersicht finden Sie auf unserer Seite Bußgelder nach Ländern.
Der schnellste Weg zur Compliance #
Liegt Ihre Organisation bei 50+ Beschäftigten, ist die Frist bereits abgelaufen. So werden Sie konform:
- Meldekanal einrichten. EthicsPortal ist in Minuten einsatzbereit — anmelden, Portal konfigurieren, Link teilen. 49 €/Monat, alles enthalten.
- Bearbeitende Person benennen. Mindestens eine unparteiische Person für die Entgegennahme und Prüfung benennen.
- Beschäftigte informieren. Portal-URL und QR-Code über Aushänge, Onboarding-Unterlagen und interne Kommunikation teilen.
- Verfahren dokumentieren. Eine interne Hinweisgeber-Richtlinie beschließen, die Ablauf, Fristen und Repressalienschutz regelt.
Die Software ist der einfache Teil. Die gesamte Einrichtung — Kanal, Konfiguration, QR-Code — lässt sich in einer Mittagspause erledigen. Die organisatorischen Schritte (Benennung, Richtlinie, Schulung) dauern länger, sind aber geradlinig.
Eine Artikel-für-Artikel-Übersicht, wie EthicsPortal die Anforderungen der Richtlinie erfüllt, finden Sie auf der Compliance-Seite.
Zuletzt aktualisiert: