Zum Hauptinhalt springen Gesetzlich vorgeschrieben (HinSchG) für Unternehmen ab 50 Beschäftigten

Methodik #

Dieses Dokument hält fest, wie EthicsPortal Bestimmungen der Richtlinie 2019/1937 auslegt, die mehr als eine vertretbare Lesart zulassen. Es richtet sich an Compliance-Verantwortliche, Datenschutzbeauftragte und Rechtsabteilungen, die ohne abschließende Auslegungshinweise der Europäischen Kommission oder des Gerichtshofs der Europäischen Union operationsfeste Entscheidungen treffen müssen.

Es ist ein lebendes Dokument. Erlässt der Gerichtshof, der Europäische Datenschutzausschuss oder eine zuständige nationale Behörde verbindliche Auslegung, die von den unten genannten Positionen abweicht, wird dieses Dokument angepasst und die frühere Position im Revisionsprotokoll bewahrt.

Die Zuordnung von Funktionen zu Anforderungen — welche EthicsPortal-Fähigkeit welche Vorschrift erfüllt — finden Sie auf der Seite Compliance. Die beiden Dokumente ergänzen sich: Compliance dokumentiert, was das Produkt tut; die Methodik dokumentiert, wie wir das Gesetz lesen.

Zuletzt aktualisiert: April 2026.

§1. Geltungsbereich und Quellen #

Diese Methodik behandelt die Richtlinie 2019/1937 in der Umsetzung durch das nationale Recht der 27 EU-Mitgliedstaaten. Wo nationales Umsetzungsrecht strenger ist als die Richtlinie, gilt für Organisationen mit Tätigkeit in diesem Mitgliedstaat die nationale Regelung (siehe §9).

Verbindliche Quellen, in der Reihenfolge ihres Vorrangs:

  1. Der Richtlinientext selbst — Richtlinie (EU) 2019/1937 vom 23. Oktober 2019, einschließlich Erwägungsgründen.
  2. Nationale Umsetzungsgesetze — im jeweiligen Mitgliedstaat verbindlich. Siehe Länderübersicht für konkrete Gesetze und zuständige Behörden.
  3. Urteile des Gerichtshofs der Europäischen Union — unionsweit verbindlich.
  4. Leitlinien des Europäischen Datenschutzausschusses — für datenschutzrechtliche Aspekte (Art. 17, DSGVO-Überlagerung).
  5. Leitlinien nationaler Aufsichtsbehörden — im erlassenden Staat überzeugend.

Dieses Dokument ist Betriebsmethodik. Es ist keine Rechtsberatung. Organisationen sollten Auslegungen mit ihrer Rechtsabteilung validieren, bevor sie sich in Audit oder Streitverfahren darauf stützen.

§2. Konventionen #

Die Richtlinie bestimmt leitet eine Aussage zum Text der Richtlinie ein.

In der Praxis bedeutet dies leitet die Auslegung durch EthicsPortal ein, wo der Text mehrere Lesarten zulässt.

EthicsPortal setzt dies um durch leitet die Umsetzung im Produkt ein. Organisationen mit abweichender Auslegung müssen ggf. Konfiguration oder Verfahren anpassen.

Alle Artikelverweise beziehen sich auf die Richtlinie 2019/1937, sofern nicht anders angegeben.

§3. Der 50-Beschäftigten-Schwellenwert (Art. 8) #

Die Frage. Art. 8 Abs. 3 verlangt von Einrichtungen mit „50 oder mehr Arbeitnehmern" die Einrichtung interner Meldekanäle. Die Richtlinie definiert nicht, wie die Kopfzahl berechnet wird, wie Teilzeit- und befristet Beschäftigte zählen und ob der Schwellenwert je juristischer Person oder je Konzern gilt.

Die Richtlinie bestimmt, dass „juristische Personen des privaten Sektors mit 50 oder mehr Arbeitnehmern" die Pflichten zu erfüllen haben (Art. 8 Abs. 3). Erwägungsgrund 48 stellt klar, dass die Schwelle „nach Maßgabe nationaler Rechtsvorschriften zur Umsetzung des einschlägigen Unionsrechts" berechnet wird.

In der Praxis bedeutet dies, dass die Berechnung den bestehenden arbeits- und sozialrechtlichen Zählregeln des jeweiligen Mitgliedstaats folgt:

Die Schwelle gilt je juristischer Person, nicht je Konzern. Mutter- und Tochtergesellschaft sind für Art. 8 getrennte Einheiten, sofern nationales Recht nichts anderes bestimmt. Art. 8 Abs. 6 lässt gemeinsame Ressourcen in Konzernen bis 249 Arbeitnehmer zu — die Pflicht zur Einrichtung eines Kanals entsteht jedoch weiterhin je Einheit, wenn die 50-Personen-Schwelle überschritten ist.

Dienstleister, Leiharbeiter und Praktikanten zählen grundsätzlich in die Schwelle, wenn sie unter den nationalen Arbeitnehmerbegriff fallen — der unionsrechtlich weiter ist als „Arbeitnehmer" im engen Sinne. Der Gerichtshof hat durchgehend entschieden, dass der unionsrechtliche Arbeitnehmerbegriff jede Person umfasst, die gegen Entgelt Leistungen nach Weisung eines anderen erbringt (siehe Lawrie-Blum, Rs. C-66/85).

EthicsPortal setzt dies um durch einen zugriffsoffenen Ansatz ohne Kopfzahl-Beschränkung. Jede Organisation kann ein Portal bereitstellen, unabhängig von der Größe. Organisationen unter der 50-Beschäftigten-Schwelle betreiben häufig freiwillig ein Portal — aus Risikomanagement-Gründen, weil nationales Recht für ihren Sektor eine niedrigere Schwelle vorsieht (z. B. Finanzdienstleister) oder weil eine Konzernrichtlinie dies vorschreibt.

§4. Die Bestätigungsfrist (Art. 9 Abs. 1 lit. b) #

Die Frage. Art. 9 Abs. 1 lit. b verlangt die Bestätigung des Eingangs „innerhalb von sieben Tagen nach Eingang". Die Richtlinie legt weder Kalender- noch Werktage fest; auch nicht, wann die Frist bei außerhalb der Geschäftszeiten eingegangenen Meldungen beginnt.

Die Richtlinie bestimmt die Bestätigung „innerhalb von sieben Tagen nach Eingang". Weitere Konkretisierung fehlt.

In der Praxis bedeutet dies sieben Kalendertage, beginnend mit dem Zeitpunkt, zu dem die Meldung im Kanal eingeht. Dies entspricht dem Grundsatz, dass unionsrechtliche Fristen in Kalendertagen laufen, sofern nichts anderes bestimmt ist (Verordnung (EWG, Euratom) Nr. 1182/71, Art. 3). Die Umsetzungen der Mitgliedstaaten behandeln die Sieben-Tage-Frist konsistent als Kalendertage (§ 17 Abs. 1 Nr. 2 HinSchG; D.Lgs. 24/2023 Art. 5 Abs. 1 lit. d; Loi Waserman Art. 8).

Eine Meldung, die sonntags um 23:59 Uhr abgegeben wird, gilt als an diesem Sonntag eingegangen. Die Sieben-Tage-Frist beginnt am Folgetag (Tag 1 = Montag) und endet mit Ablauf des siebten Tages. Dies entspricht Art. 3 Abs. 1 der Verordnung 1182/71, wonach bei einer in Tagen bemessenen Frist der Tag des auslösenden Ereignisses nicht zählt.

Die Bestätigung ist nicht identisch mit der inhaltlichen Rückmeldung. Die Bestätigung ist ein Empfangsnachweis. Sie muss keine Bewertung der Meldung oder den Namen der bearbeitenden Person enthalten.

EthicsPortal setzt dies um durch automatische Bestätigung im Moment der Abgabe — angezeigt im Portal und (bei vorhandenen Kontaktdaten) per E-Mail. Die Bestätigung enthält die Vorgangs-ID und die gesetzliche Drei-Monats-Rückmeldefrist. Organisationen mit manueller Bestätigung erhalten Fristenerinnerungen 48 Stunden vor Ablauf der Sieben-Tage-Frist und am Tag des Ablaufs.

§5. Die Rückmeldefrist (Art. 9 Abs. 1 lit. f) #

Die Frage. Art. 9 Abs. 1 lit. f verlangt eine Rückmeldung „innerhalb eines angemessenen Zeitrahmens von höchstens drei Monaten nach der Bestätigung des Eingangs oder, wenn keine Bestätigung erfolgt ist, drei Monaten nach Ablauf von sieben Tagen nach der Meldung". Die Richtlinie definiert nicht, was als „Rückmeldung" gilt.

Die Richtlinie bestimmt, dass „Rückmeldung" die „Unterrichtung des Hinweisgebers über die aufgrund der Meldung ergriffenen oder geplanten Folgemaßnahmen und die Gründe für solche Folgemaßnahmen" ist (Art. 5 Nr. 13).

In der Praxis bedeutet dies, dass die Rückmeldung inhaltlich sein muss. Eine erneute Bestätigung oder ein Hinweis, die Meldung sei „in Prüfung", ist keine Rückmeldung im Sinne von Art. 9 Abs. 1 lit. f. Die hinweisgebende Person hat nach spätestens drei Monaten Anspruch darauf, zu erfahren, welche Maßnahme die Organisation ergreifen wird (oder ergriffen hat) und warum.

Die Rückmeldung muss nicht abschließend sein. Eine Organisation kann mitteilen, dass die Sache weiterhin geprüft wird — sofern sie zugleich darlegt, was bisher geschehen ist, welche weiteren Schritte geplant sind und wann eine weitere Aktualisierung zu erwarten ist. Erforderlich sind Informationen, die der hinweisgebenden Person eine Bewertung erlauben, ob die Meldung ernsthaft bearbeitet wird.

Die Drei-Monats-Frist läuft ab dem Datum der Bestätigung, nicht ab dem Datum der Abgabe. Verzögerte Bestätigungen verkürzen das Fenster entsprechend — die späteste zulässige Rückmeldung ist drei Monate und sieben Tage nach Abgabe.

EthicsPortal setzt dies um durch Überwachung beider Fristen (7-Tage-Bestätigung, 3-Monats-Rückmeldung) je Fall und Überfälligkeits-Alerts an alle Admins. Die Rückmeldung an die hinweisgebende Person erfolgt über den zweiseitigen Nachrichtenkanal des Portals, der die Anonymität nicht offengelegter Identitäten wahrt.

§6. Sorgfältige Folgenbearbeitung (Art. 9 Abs. 1 lit. d) #

Die Frage. Art. 9 Abs. 1 lit. d verlangt eine „sorgfältige Folgenbearbeitung durch die benannte Person oder Abteilung gemäß Buchstabe c". „Sorgfältig" ist nicht definiert.

Die Richtlinie bestimmt, dass Folgenbearbeitung „jede vom Empfänger einer Meldung oder von einer zuständigen Behörde ergriffene Maßnahme zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß" ist (Art. 5 Nr. 12).

In der Praxis bedeutet dies, dass sorgfältige Folgenbearbeitung drei operative Mindestbestandteile hat:

  1. Bewertung. Eine dokumentierte Prüfung, ob die Behauptungen, soweit zutreffend, einen Verstoß innerhalb des sachlichen Anwendungsbereichs der Richtlinie (Art. 2) oder der nationalen Umsetzung darstellen.
  2. Angemessene Ermittlung. Ermittlungsschritte, die der Schwere des mutmaßlichen Verstoßes, der Beweislage und dem potenziellen Schaden angemessen sind. Nicht jede Meldung erfordert eine vollständige Untersuchung; eine unsubstantiierte Meldung kann mit dokumentierter Begründung geschlossen werden. Konkrete, gestützte Meldungen erfordern mehr.
  3. Zeitnahe Dokumentation. Ergriffene Maßnahmen, getroffene Entscheidungen und deren Begründung sind im Moment des Geschehens festzuhalten. Eine sorgfältige Bearbeitung ohne Spur ist von keiner Bearbeitung nicht unterscheidbar.

„Sorgfältig" ist ein objektiver Maßstab. Subjektive Gutgläubigkeit genügt nicht. Eine Organisation, die Meldungen routinemäßig ohne Prüfung schließt oder Monate bis zur Aktenanlage vergehen lässt, handelt nicht sorgfältig — auch wenn sie sich für sorgfältig hält.

EthicsPortal setzt dies um durch einen Fall-Workflow mit Statusübergängen (eingegangen, bestätigt, in Prüfung, abgeschlossen), interne Notizen für die Zusammenarbeit und ein revisionssicheres Audit-Protokoll, das jede Aktion mit Zeitstempel und ausführender Person festhält. Das Audit-Protokoll ist der zentrale Sorgfaltsnachweis im Audit oder vor der Aufsicht.

§7. Vertraulichkeit der Identität (Art. 16) #

Die Frage. Art. 16 Abs. 1 verlangt, dass die Identität der hinweisgebenden Person nicht über den Kreis der befugten Mitarbeitenden hinaus offengelegt wird. Die Richtlinie sagt nicht, ob „Identität" auch Metadaten umfasst, die eine Identifizierung ermöglichen (IP-Adressen, Browser-Fingerprints, Metadaten von Dateien, Zeitstempelmuster).

Die Richtlinie bestimmt, dass „die Identität des Hinweisgebers ohne dessen ausdrückliche Einwilligung keinen anderen Personen als den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für Folgemaßnahmen zuständig sind, offengelegt wird" (Art. 16 Abs. 1).

In der Praxis bedeutet dies, dass „Identität" funktional zu lesen ist: Erfasst sind alle Informationen, die — allein oder in Kombination — eine Identifizierung erlauben. Diese Lesart entspricht der DSGVO-Definition personenbezogener Daten (Art. 4 Nr. 1 DSGVO) und der ständigen Position des Europäischen Datenschutzausschusses, dass Identifizierbarkeit kontextabhängig ist.

Als Identitätsinformation gelten:

Organisationen, die IP-Adressen hinweisgebender Personen speichern oder Uploads ohne Metadaten-Bereinigung annehmen, sind einer Vertraulichkeitsverletzung ausgesetzt, die technisch ein Verstoß gegen Art. 16 ist — auch wenn der Name nie offengelegt wird.

EthicsPortal setzt dies um durch konsequenten Verzicht auf IP-Speicherung (Rate-Limiting über unumkehrbare Einweg-Hashes), Entfernung von EXIF- und Dokument-Metadaten vor Speicherung sowie nicht-deterministische Verschlüsselung der Identitätsfelder (so dass auch voller Datenbankzugriff keine Massensuche nach Namen erlaubt).

§8. Speicherdauer (Art. 18) #

Die Frage. Art. 18 Abs. 1 verlangt, dass Aufzeichnungen „nicht länger als nötig und angemessen" aufbewahrt werden, um die Anforderungen dieser Richtlinie oder anderer Unions- oder nationaler Vorgaben zu erfüllen. Eine Höchstdauer nennt die Richtlinie nicht.

Die Richtlinie bestimmt den Maßstab „erforderlich und angemessen", gebunden an Compliance-Zwecke.

In der Praxis bedeutet dies, dass die Speicherung einen konkreten rechtlichen oder betrieblichen Zweck haben muss, zeitlich begrenzt und im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert ist. Ohne laufende Ermittlung, Rechtsstreit oder besondere gesetzliche Pflicht wird eine Speicherung über den Abschluss hinaus zunehmend schwerer zu rechtfertigen.

Typische Begründungen und übliche Dauern:

ZweckTypische Speicherdauer
Laufender Fall (Eingang bis Abschluss)Falldauer
Nachfolgende Ermittlung oder RechtsstreitBis zum endgültigen Abschluss
Regulatorischer NachweisVom Sektorrecht bestimmte Dauer (häufig 5 Jahre im Finanzsektor)
Schutz vor Repressalienansprüchen (Art. 21)Nationale Verjährung für arbeitsrechtliche Ansprüche (meist 2–5 Jahre)
Statistische Berichte nach Art. 27 Abs. 2Nur anonymisierte Daten; personenbezogene Daten minimieren oder löschen

Nationale Umsetzungen können konkrete Zeiträume setzen:

Eine pauschale Aufbewahrung aus Bequemlichkeit („wir behalten alles 10 Jahre") ist weder mit Art. 18 noch mit Art. 5 Abs. 1 lit. e DSGVO vereinbar. Die Speicherdauer muss an den Zweck gebunden sein.

EthicsPortal setzt dies um durch konfigurierbare Aufbewahrungsdauern (12, 24, 36, 60 Monate) mit automatischer Löschung abgeschlossener Fälle nach Ablauf. Die Voreinstellung entspricht der kürzesten Dauer, die die meisten nationalen Umsetzungen erfüllen. Organisationen mit längeren sektoralen Aufbewahrungspflichten passen die Dauer entsprechend an.

§9. Rechtsgrundlage der Verarbeitung (DSGVO-Überlagerung) #

Die Frage. Art. 17 der Richtlinie verlangt, dass die Verarbeitung personenbezogener Daten der DSGVO entspricht. Die Richtlinie selbst ist keine Rechtsgrundlage nach Art. 6 DSGVO — der Verantwortliche muss die konkrete Rechtsgrundlage benennen.

Die Richtlinie bestimmt, dass die Verarbeitung „gemäß der Verordnung (EU) 2016/679 durchgeführt werden muss" (Art. 17).

In der Praxis bedeutet dies, dass die Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung ist, wenn die Organisation zum Betrieb eines Meldekanals rechtlich verpflichtet ist. Für Organisationen oberhalb der 50-Personen-Schwelle (oder unterhalb, wenn sektorspezifisches Recht dies auferlegt) ist Art. 6 Abs. 1 lit. c die richtige und ausreichende Grundlage. Eine Einwilligung der hinweisgebenden Person ist nicht erforderlich und sollte nicht eingeholt werden — sie würde ein theoretisches Widerrufsrecht begründen, das der Verantwortliche nicht erfüllen kann.

Für Organisationen, die einen Meldekanal freiwillig betreiben (unterhalb der 50-Personen-Schwelle und ohne sektorale Pflicht), ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f — berechtigtes Interesse, unter dokumentierter Abwägung. Das berechtigte Interesse an Prävention und Aufklärung organisationsinterner Verstöße ist anerkannt und in nationalen Leitlinien durchgängig bestätigt.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) können beiläufig in Meldungen vorkommen — eine Diskriminierungsmeldung kann Gesundheits- oder ethnische Daten offenlegen. Die Rechtsgrundlage für Art.-9-Daten ist i. d. R. Art. 9 Abs. 2 lit. g — erhebliches öffentliches Interesse, sofern die Verarbeitung verhältnismäßig ist und besondere Schutzmaßnahmen vorsieht. Meldungen mit strafrechtlichem Bezug (Art. 10 DSGVO) werden nach der entsprechenden nationalen Grundlage zu Art. 10 verarbeitet.

EthicsPortal setzt dies um durch Dokumentation von Art. 6 Abs. 1 lit. c DSGVO als Standard-Rechtsgrundlage im AVV und in den Datenschutzhinweisen. Organisationen unter der gesetzlichen Schwelle passen die Datenschutzhinweise auf Art. 6 Abs. 1 lit. f an und dokumentieren die Abwägung separat.

§10. Vorrang nationalen Rechts (Art. 25) #

Die Frage. Art. 25 Abs. 1 erlaubt den Mitgliedstaaten die Einführung oder Beibehaltung günstigerer Vorschriften zugunsten der Rechte hinweisgebender Personen. Die Richtlinie regelt nicht, wie Betreiber Konflikte lösen, wenn nationales Recht strenger ist.

Die Richtlinie bestimmt in Art. 25 Abs. 1, dass „die Mitgliedstaaten Bestimmungen einführen oder beibehalten [können], die für die Rechte der Hinweisgeber günstiger sind als die in dieser Richtlinie festgelegten Bestimmungen, unbeschadet des Artikels 22 [Rechte der betroffenen Personen] und des Artikels 23 Absatz 2 [Sanktionen bei wissentlich falschen Meldungen]".

In der Praxis bedeutet dies, dass bei strengerer nationaler Umsetzung das nationale Recht gilt — für Organisationen mit Tätigkeit in diesem Mitgliedstaat. Ein Rückgriff auf den Richtlinien-Mindeststandard ist nicht möglich, wenn das lokale Recht strenger ist. Die Richtlinie setzt ein Minimum, keine Obergrenze.

Beispiele strengerer nationaler Regelungen:

Für grenzüberschreitend tätige Organisationen gilt: in jedem Rechtsraum das Strengere aus (Richtlinie, nationales Recht) anwenden. Häufig empfiehlt sich eine einheitliche Konzernrichtlinie am strengsten anwendbaren nationalen Standard. Das ist meist besser als parallele Richtlinien pro Land, die den Verwaltungsaufwand und das Risiko falscher Rechtsanwendung erhöhen.

EthicsPortal setzt dies um durch Voreinstellungen auf dem strengsten gemeinsamen Nenner der 27 Mitgliedstaaten: kürzeste Bestätigungs- und Rückmeldefristen, engste Aufbewahrungsdauer, umfassendste Hinweise zum Repressalienverbot. Organisationen in einem einzigen Rechtsraum können einzelne Vorgaben an nationales Recht anpassen; die Basis liegt jedoch jeweils über dem Richtlinien-Minimum, wo nationale Umsetzungen dies tun.

§11. Anonyme Meldungen (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. e) #

Die Frage. Muss eine Organisation anonyme Meldungen akzeptieren?

Die Richtlinie bestimmt in Art. 6 Abs. 2, dass sie „die Befugnis der Mitgliedstaaten, zu entscheiden, ob juristische Personen […] anonyme Meldungen entgegennehmen und weiterverfolgen müssen, nicht berührt". Art. 9 Abs. 1 lit. e verlangt „sorgfältige Folgenbearbeitung, soweit im nationalen Recht vorgesehen, auch bei anonymen Meldungen".

In der Praxis bedeutet dies, dass das nationale Recht entscheidet. Zwei Ausprägungen:

Drei Folgen:

Nach Annahme verbindlich. Eine Organisation, die öffentlich erklärt, „wir nehmen anonyme Meldungen entgegen", löst Art. 9 Abs. 1 lit. e aus. Die Pflicht haftet an der Richtlinie, nicht an der einzelnen Meldung.

Repressalienverbot erst ab Identifikation. Art. 21 kann keine unbekannte Person schützen. Während der Anonymitätsphase ergriffene Handlungen sind nicht rückwirkend erfasst.

Anonymität ist ein technischer Standard, kein Versprechen. Ein Formular, das eine E-Mail abfragt, ist nicht anonym. Ein Kanal, der IP-Adressen protokolliert, ist nicht anonym. Die Vertraulichkeit nach Art. 16 schützt eine bekannte Identität vor Offenlegung; Anonymität verhindert Identifizierung.

EthicsPortal setzt dies um durch standardmäßige Annahme anonymer Meldungen. Kontaktdaten sind nicht erforderlich. IP-Adressen werden nie gespeichert (Rate-Limiting über unumkehrbare Einweg-Hashes). Dateimetadaten werden vor Speicherung entfernt. Organisationen können das Portal so konfigurieren, dass Kontaktdaten erforderlich sind, wo das nationale Recht identifizierte Meldungen verlangt. Angenommene anonyme Meldungen folgen demselben Fall-Workflow, denselben Fristen und demselben Sorgfaltsmaßstab wie identifizierte.

Revisionsprotokoll #

Korrekturen und Anfragen #

Dieses Dokument ist zur Zitation und zur Grundlage operativer Entscheidungen gedacht. Wenn Sie einen Fehler, eine Position im Widerspruch zu einem Urteil des Gerichtshofs, einer Stellungnahme des Europäischen Datenschutzausschusses oder verbindlichen nationalen Leitlinien erkennen, schreiben Sie an support@ethicsportal.eu. Korrekturen werden mit Datum und Zusammenfassung im Revisionsprotokoll veröffentlicht.

Für Fragen, wie eine Auslegung auf Ihre konkreten Umstände anzuwenden ist, ersetzt dieses Dokument keine Rechtsberatung. Wenden Sie sich an eine qualifizierte Rechtsabteilung oder Anwaltskanzlei in Ihrem Rechtsraum.

Zuletzt aktualisiert: