Whistleblower-System

Ein Whistleblower-System ist ein vertraulicher Meldekanal, über den Beschäftigte und externe Hinweisgeber Verstöße gegen Recht und Compliance an eine geschützte interne oder externe Stelle melden können, ohne berufliche oder rechtliche Nachteile fürchten zu müssen. Im DACH-Mittelstand ist das System seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 02.07.2023 für Unternehmen ab 50 Beschäftigten gesetzlich verpflichtend; der Einkauf nutzt das System auch als Eingangskanal für das [[beschwerdeverfahren-lksg]], wenn Lieferanten oder deren Beschäftigte Missstände melden.

Detaillierte Erklärung

Rechtsgrundlage in Deutschland ist das HinSchG, das die EU-Richtlinie 2019/1937 (sogenannte Whistleblower-Richtlinie, beschlossen am 23.10.2019) in nationales Recht umsetzt. Das Gesetz wurde am 02.06.2023 im Bundesgesetzblatt veröffentlicht und trat am 02.07.2023 in Kraft. Unternehmen ab 250 Beschäftigten mussten das System ab diesem Datum betreiben, für Unternehmen mit 50 bis 249 Beschäftigten galt eine verlängerte Frist bis zum 17.12.2023. Verpflichtend sind drei Eigenschaften des Meldekanals: Vertraulichkeit (Identität bleibt geschützt), Mehrkanalfähigkeit (mindestens mündlich und in Textform, auf Wunsch persönlich) und dokumentierte Bearbeitungsfristen (Eingangsbestätigung in 7 Tagen, Rückmeldung in 3 Monaten). Postbriefkästen ohne IT-Unterstützung gelten nicht als ausreichend. Bußgelder regelt §40 HinSchG: bis zu 20.000 EUR, wenn das Unternehmen kein Meldesystem betreibt, bis zu 50.000 EUR bei Behinderung oder Repressalien. Die externe Meldestelle des Bundes ist beim Bundesamt für Justiz angesiedelt. Anbieter wie Integrity Line, Whistly, Legaltegrity, EQS Integrity Line und LegalTech-Plattformen liefern HinSchG-konforme Lösungen ab etwa 1.500 EUR pro Jahr für mittlere Unternehmen.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein nordrhein-westfälischer Kunststoffverarbeiter mit 180 Mitarbeitern führt im März 2024 ein Whistleblower-System ein, weil die HinSchG-Frist seit 17.12.2023 abgelaufen ist und der erste Buchprüfungsbericht eine Compliance-Lücke moniert hatte. Die Einkaufsleitung wählt eine SaaS-Lösung für 2.880 EUR pro Jahr, die deutsch- und türkischsprachig erreichbar ist. Im September 2024 geht über das Portal eine anonyme Meldung ein: Ein osteuropäischer Sub-Lieferant für Spritzguss-Werkzeuge soll Beschäftigten 14-Stunden-Schichten ohne Pausenausgleich abverlangen. Der Hinweis triggert binnen 24 Stunden eine Eingangsbestätigung, die Compliance-Beauftragte führt eine Voruntersuchung durch und beauftragt ein [[sozialaudit]] beim Sub-Lieferanten. Die Meldung und ihre Bearbeitung fließen in den nächsten BAFA-Bericht nach [[bafa-berichtspflicht-lksg]] ein, ohne die Identität des Hinweisgebers offenzulegen.

Typische Fehler & Verhandlungskontext

Drei Fehler treten wiederholt auf. Erstens betreiben Unternehmen das System nur in deutscher Sprache; bei einer Belegschaft mit hohem Anteil polnischer, türkischer oder rumänischer Beschäftigter ist die faktische Erreichbarkeit nicht gegeben und Aufsichtsbehörden können die Konformität anzweifeln. Zweitens werden Bearbeitungsfristen nicht eingehalten; verstreicht die Drei-Monats-Frist ohne Rückmeldung, kann der Hinweisgeber legitim die externe Bundesstelle einschalten, was die unternehmensinterne Kontrolle verliert. Drittens wird der Kanal nicht in den [[code-of-conduct-lieferanten]] und nicht in das LkSG-Beschwerdeverfahren integriert; das führt zu doppelten Meldewegen und Inkonsistenzen. In der Anbieterauswahl ist ein Punkt zentral: Daten müssen in der EU verarbeitet werden, idealerweise in Deutschland, sonst kollidiert das System mit DSGVO Artikel 44 (Drittlandtransfer). Eine SLA-Klausel sollte die Vertraulichkeit der IP-Adressen ausdrücklich regeln; viele Anbieter loggen IPs trotz Anonymitätsversprechens.

Verwandte Begriffe

[[beschwerdeverfahren-lksg]], [[code-of-conduct-lieferanten]], [[anti-korruptionsrichtlinie]], [[sorgfaltspflicht-lieferkette]], [[compliance-quote-einkauf]], [[bafa-berichtspflicht-lksg]]