Whistleblower-Richtlinie: Wie Unternehmen ein Hinweisgebersystem einrichten

Rechtsgrundlage: Was das Hinweisgeberschutzgesetz regelt

Mit der EU-Whistleblower-Richtlinie wurde ein europaweiter Rahmen geschaffen, der Personen schützt, die im beruflichen Umfeld auf Missstände hinweisen – etwa auf Verstöße gegen Umweltschutz, Datenschutz, Korruptions- oder Wettbewerbsrecht.

In Österreich ist dieser Schutz seit Februar 2023 durch das Hinweisgeberschutzgesetz (HSchG) verbindlich geregelt. Es legt fest:

• Wer geschützt ist: Arbeitnehmer*innen, Bewerber*innen, freie Dienstnehmer*innen, Praktikant*innen u. v. m.
• Welche Bereiche betroffen sind: z. B. öffentliches Auftragswesen, Finanzdienstleistungen, Produktsicherheit, Umweltschutz
• Welche Meldewege zulässig sind: primär intern, alternativ extern (z. B. an das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung)

Wichtig ist: Unternehmen sind verpflichtet, interne Kanäle einzurichten und so zu gestalten, dass Hinweisgeber*innen auf sie vertrauen können.

Wer laut Whistleblower-Richtlinie ein Hinweisgebersystem braucht

Nicht jedes Unternehmen ist automatisch zur Einrichtung eines Hinweisgebersystems verpflichtet – aber viele. Der Gesetzgeber knüpft die Pflicht an die Mitarbeiteranzahl: Unternehmen mit mehr als 50 Mitarbeitenden müssen ein geeignetes Meldesystem bereitstellen, das den gesetzlichen Anforderungen entspricht.

Größere Unternehmen (ab 250 Mitarbeitenden) waren bereits seit Mitte 2023 in der Pflicht, während kleinere Betriebe (50–249 Mitarbeitende) eine Übergangsfrist bis Dezember 2023 erhielten. Besonders regulierte Branchen wie Banken, Versicherungen oder Wertpapierfirmen sind grundsätzlich unabhängig von ihrer Größe zur Umsetzung verpflichtet.

Die Frage „Brauchen wir ein Hinweisgebersystem?“ lässt sich rechtlich betrachtet mit einem Blick auf Mitarbeiterzahl und Branchenspezifika beantworten. Doch jenseits der gesetzlichen Pflicht bietet ein Hinweisgebersystem auch einen ethischen Mehrwert – etwa im Hinblick auf Transparenz, Verantwortung und den Schutz von Mitarbeitenden. Dies bringt auch Dr. Georg Schildhammer, Lektor für Ethik und Wissenschaftstheorie und Referent der ARS Akademie zum Ausdruck, wenn er sagt: „Aus Sicht Immanuel Kants lässt sich argumentieren, dass Menschen aufgrund ihrer Autonomie ein moralisches Recht darauf haben zu wissen, ob ihnen Gefahr droht – um diese abwenden zu können. Es geht also um die Möglichkeit, auf Basis von Informiertheit selbstbestimmt entscheiden und entsprechend handeln zu können. Unternehmen, die dies berücksichtigen, werden von ihren Stakeholdern als ‚fair‘ wahrgenommen.“

Aus Sicht Immanuel Kants lässt sich argumentieren, dass Menschen aufgrund ihrer Autonomie ein moralisches Recht darauf haben zu wissen, ob ihnen Gefahr droht – um diese abwenden zu können. Es geht also um die Möglichkeit, auf Basis von Informiertheit selbstbestimmt entscheiden und entsprechend handeln zu können. Unternehmen, die dies berücksichtigen, werden von ihren Stakeholdern als ‚fair‘ wahrgenommen.

Dr. Georg Schildhammer

Technische & organisatorische Anforderungen

Ein Hinweisgebersystem ist weit mehr als eine bloße Formalität – es ist ein zentrales Instrument für gelebte Compliance. Ein korrekt eingerichtetes System muss sicherstellen, dass Meldungen vertraulich behandelt, zeitgerecht bearbeitet und datenschutzkonform dokumentiert werden. Die Anforderungen betreffen daher sowohl die technische Infrastruktur als auch die organisatorische Ausgestaltung der internen Prozesse.

Vertraulichkeit & Schutz vor Repressalien

Der zentrale Gedanke des HSchG ist der Schutz der meldenden Person. Denn nur wenn sich Whistleblower sicher fühlen, sind sie bereit, Missstände aufzudecken. Deshalb verpflichtet das Gesetz Unternehmen zur Wahrung der Vertraulichkeit – sowohl hinsichtlich der Identität der Hinweisgeber*innen als auch des Inhalts der Meldung.

Ebenso wichtig ist der Schutz vor Repressalien. Das bedeutet: Kündigungen, Versetzungen, Abmahnungen oder sonstige Benachteiligungen infolge einer Meldung sind unzulässig und können rechtlich geahndet werden. Hinweisgeber*innen genießen also rechtlichen Rückhalt, selbst wenn sich ein Verdacht später nicht bestätigt – solange die Meldung in gutem Glauben erfolgte.

Unternehmen sind verpflichtet:

• Die Identität der hinweisgebenden Person zu wahren
• Repressalien jeglicher Art zu unterlassen, z.B.:
  • Kündigung oder Abmahnung
  • Versetzung oder Leistungsverweigerung
  • Rufschädigung oder Mobbing

Bei Verstößen drohen Verwaltungsstrafen von bis zu 40.000 €. Hinweisgeber*innen können zudem Schadenersatz geltend machen. Doch nicht nur das Gesetz formuliert klare Anforderungen – auch die Ethik erhebt Anspruch: „Wer die Möglichkeit zu Whistleblowing etabliert, potenzielle Whistleblower jedoch für deren Nutzung bestraft, handelt selbstwidersprüchlich“, betont Schildhammer.
Und weiter: „Als durch Vernunft zur Selbstbestimmung fähige Wesen haben wir die direkte Pflicht, Schaden voneinander abzuwenden – und die daraus resultierende, indirekte Pflicht, Strukturen zu schaffen, die dies ermöglichen. Dazu zählt auch der entsprechende Schutz von Whistleblowern, etwa durch die Wahrung der Anonymität.“

Wer die Möglichkeit zu Whistleblowing etabliert, potenzielle Whistleblower jedoch für deren Nutzung bestraft, handelt selbstwidersprüchlich.

Dr. Georg Schildhammer

Interne Kommunikation: Transparenz schaffen

Ein funktionierendes Hinweisgebersystem lebt nicht nur von Technik und Rechtssicherheit – sondern auch davon, dass es bekannt und verständlich ist. Unternehmen sind daher laut Whistleblower-Richtlinie verpflichtet, ihre Mitarbeitenden aktiv über das System zu informieren: Wie funktioniert es? Wo kann ich einen Hinweis abgeben? Wer ist zuständig? „Die Implementierung klarer interner Regelungen ist unerlässlich, um Whistleblower zu schützen und eine vertrauensvolle Unternehmenskultur zu fördern“, erklärt Arbeitsrecht-Experte RA Hon.-Prof. (FH) Dr. Clemens Egermann. Denn „ohne die klare Kommunikation solcher Regelungen haben Whistleblower nicht die in der Praxis notwendige Klarheit darüber, dass ihre Meldungen keine negativen Auswirkungen auf ihre Karriere haben.“

Informiert werden müssen alle Beschäftigten – inklusive Leiharbeiter*innen und freie Dienstnehmer*innen. Am besten geschieht dies über gängige interne Kanäle: Intranet, E-Mails, Schulungsunterlagen oder Betriebsvereinbarungen.

Ergänzend empfiehlt es sich, den Hinweisgeberprozess im Compliance-Management-System zu verankern und regelmäßige Schulungen für Führungskräfte und potenzielle Anlaufstellen anzubieten.

Die Implementierung klarer interner Regelungen ist unerlässlich, um Whistleblower zu schützen und eine vertrauensvolle Unternehmenskultur zu fördern. Ohne die klare Kommunikation solcher Regelungen haben Whistleblower nicht die in der Praxis notwendige Klarheit darüber, dass ihre Meldungen keine negativen Auswirkungen auf ihre Karriere haben.

Dr. Clemens Egermann

Kontroll- & Dokumentationspflichten

Ein weiterer wesentlicher Bestandteil der gesetzlichen Vorgaben betrifft die Dokumentation. Unternehmen sind verpflichtet, alle Hinweise und Maßnahmen systematisch zu erfassen.

Dokumentiert werden müssen:

• Inhalt der Meldung und Eingangsdatum
• Durchgeführte Prüf- und Folgemaßnahmen
• Kommunikation mit der meldenden Person

Die Aufbewahrungsfrist beträgt drei Jahre – bei laufenden Verfahren kann sie verlängert werden. Die Dokumentation muss sicher aufbewahrt und vor unbefugtem Zugriff geschützt sein.

Tipp: Einheitliche Vorlagen, standardisierte Workflows und regelmäßige Audits unterstützen eine gesetzeskonforme Umsetzung.

So setzen Unternehmen ein Hinweisgebersystem erfolgreich um

Die Einführung eines Hinweisgebersystems ist keine rein technische Aufgabe – sie betrifft auch Prozesse, Rollen und Unternehmenskultur. Deshalb empfiehlt sich ein systematisches Vorgehen:

Fazit: Whistleblower-Richtlinie jetzt umsetzen

Mit dem Hinweisgeberschutzgesetz ist Whistleblowing zu einer zentralen Compliance-Anforderung geworden. Unternehmen, die sich frühzeitig mit den Anforderungen auseinandersetzen und ein funktionierendes System etablieren, sichern sich nicht nur rechtlich ab – sie schaffen auch Vertrauen, stärken ihre Unternehmenskultur und fördern verantwortungsbewusstes Verhalten. Ein gut eingeführtes Hinweisgebersystem ist kein Kontrollinstrument – sondern ein Zeichen gelebter Unternehmensverantwortung.