Is whistleblowing software mandatory?

In the EU, organizations with 50 or more employees are legally required to have a secure, confidential internal reporting channel under the EU Whistleblowing Directive. Dedicated whistleblowing software is the standard way to meet this obligation, as generic email and informal processes do not satisfy the confidentiality, access control, and follow-up timeline requirements. In the US, whistleblower obligations are sector-specific, covering areas such as financial fraud under Sarbanes-Oxley and securities violations under Dodd-Frank. US-headquartered companies with employees in EU member states are fully subject to the EU directive for those operations.

What is the difference between whistleblowing and making a complaint?

A complaint typically concerns a personal grievance: a dispute with a manager, a pay issue, or a disagreement about working conditions. Whistleblowing involves disclosing conduct that threatens others, the organization, or the public interest, not just the individual raising the concern. Examples include reporting fraud, safety violations, bribery, harassment, or breaches of environmental law. The legal protections available to whistleblowers (such as those under the EU Whistleblowing Directive) apply specifically to this category of disclosure.

Can a whistleblower report anonymously?

Yes. The EU Whistleblowing Directive does not require organizations to accept anonymous reports, but it does not prohibit them. Many national implementations, including Germany's HinSchG, explicitly permit anonymous reporting. Effective whistleblowing programs make anonymous submission easy and default, because reporters who fear identification often do not report at all. Anonymous reporters retain the ability to follow up through a secure two-way channel without revealing their identity.

What protections does a whistleblower have against retaliation?

Under the EU Whistleblowing Directive, retaliation in any form is prohibited: dismissal, demotion, salary reduction, harassment, negative references, and blacklisting are all covered. The burden of proof is reversed: if a reporter suffers adverse treatment after making a report, the organization must prove the treatment was unrelated to the report. This applies as long as the whistleblower had reasonable grounds to believe the information was true at the time of reporting, even if the concern is later found to be unfounded.

What should a whistleblowing policy include?

A whistleblowing policy should explain what the reporting channel is, how it works, what conduct can be reported, what protections apply to reporters, and what the organization commits to in terms of confidentiality and non-retaliation. It must be written in plain language accessible to all employees, communicated actively and repeatedly, and backed by visible leadership commitment and consistent consequences for retaliation.

How long does an organization have to respond to a whistleblowing report?

Under the EU Whistleblowing Directive, organizations must acknowledge receipt of a report within 7 days. Reporters must then receive meaningful feedback on the actions taken or planned within 3 months of the acknowledgment date. These are legal obligations, not targets. Organizations handling high report volumes typically use automated acknowledgment workflows to ensure consistent compliance.

Vollständiger Leitfaden

Was ist Whistleblowing?

Whistleblowing hilft Organisationen, Fehlverhalten aufzudecken, bevor es zur Krise wird. Dieser Leitfaden erklärt den Rechtsrahmen, die Anforderungen an ein regelkonformes Programm und wie eine Kultur entsteht, in der Melden zur Normalität wird.

Was ist Whistleblowing?

Whistleblowing bezeichnet die Meldung rechtswidriger, unethischer oder unsicherer Verhaltensweisen innerhalb einer Organisation: intern an die Compliance-Abteilung oder einen Vorgesetzten, extern an eine Behörde oder anonym über einen dedizierten Meldekanal. Was eine solche Meldung von einer persönlichen Beschwerde unterscheidet: Das gemeldete Verhalten gefährdet andere, die Organisation oder das öffentliche Interesse, nicht nur die meldende Person.

Warum Whistleblowing für Organisationen wichtig ist

Schwerwiegendes Fehlverhalten ist häufig bekannt, bevor es eskaliert. Mitarbeitende sind oft die Ersten, die Warnsignale erkennen: Betrug, umgangene Sicherheitsvorkehrungen, ignorierte Belästigungen. Entscheidend ist, ob sie sich sicher genug fühlen, etwas zu sagen. Organisationen, die das Melden erleichtern und zur Normalität machen, erkennen Probleme, wenn sie noch lösbar sind. Andere erfahren davon erst in behördlichen Untersuchungen, vor Gericht oder in der Presse. Hinweisgebersysteme sind zudem gesetzlich vorgeschrieben. Die EU-Whistleblowing-Richtlinie verpflichtet alle Organisationen mit 50 oder mehr Beschäftigten in einem EU-Mitgliedstaat zur Einrichtung eines internen Meldekanals.

Was gilt als Whistleblowing?

Nach der EU-Whistleblowing-Richtlinie gilt eine Meldung als schutzwürdig, wenn eine Person im beruflichen Kontext einen Verstoß gegen EU-Recht offenlegt und zum Zeitpunkt der Meldung hinreichenden Grund hatte, die Richtigkeit der Information anzunehmen. Maßstab ist die Gutgläubigkeit, nicht die spätere Richtigkeit. Meldbar sind unter anderem: Betrug und finanzielle Unregelmäßigkeiten, Bestechung und Korruption, Belästigung und Diskriminierung, Verstöße gegen Arbeitsschutzvorschriften, Umweltschäden, Datenschutzverletzungen sowie Verstöße gegen Wettbewerbs- und Vergaberecht. Nationale Umsetzungsgesetze, etwa das HinSchG oder die Wet bescherming klokkenluiders, erweitern den Anwendungsbereich häufig über das EU-Minimum hinaus.

Wen schützt das Gesetz?

Der Schutz für Hinweisgeber ist weiter gefasst, als viele Organisationen vermuten. Die Richtlinie erfasst alle Personen mit beruflicher Verbindung zur Organisation, nicht nur Festangestellte: Beschäftigte jeder Vertragsart, Selbstständige und Auftragnehmer, Anteilseigner und Vorstandsmitglieder, Ehrenamtliche und Praktikant:innen, Bewerber:innen und ehemalige Beschäftigte sowie Lieferanten und deren Personal. Geschützt sind auch Personen, die dem Hinweisgeber geholfen haben, und nahestehende Personen, die Repressalien ausgesetzt sein könnten. Maßstab ist der gute Glaube, nicht das Untersuchungsergebnis. Wer gegen einen Hinweisgeber vorgeht, dessen Meldung sich als unbegründet erweist, bleibt haftbar.

Drei Arten von Whistleblowing-Meldungen

Whistleblowing-Meldungen nehmen verschiedene Formen an. Das Verständnis der Unterschiede hilft Organisationen, die richtigen Kanäle zu schaffen. Interne Meldung: Die Meldung erfolgt über einen organisationsinternen Kanal: das Compliance-Team, die Ethikfunktion oder ein dediziertes Meldesystem. Dies ist, was die EU-Richtlinie für alle betroffenen Organisationen vorschreibt. Wichtig: Interne Meldungen können anonym erfolgen. Effektive Programme machen anonyme Eingaben zur Standardoption, denn wer identifiziert werden könnte, meldet häufig gar nicht. Externe Meldung: Die Meldung geht direkt an eine zuständige Behörde, etwa eine Regulierungsbehörde, eine Antikorruptionsstelle oder eine EU-Einrichtung wie OLAF oder ESMA. Der Schutz gilt unabhängig davon, ob intern oder extern gemeldet wird. Organisationen dürfen nicht verlangen, dass zunächst interne Kanäle genutzt werden. Öffentliche Bekanntmachung: Die Information gelangt an die Medien oder wird öffentlich zugänglich gemacht. Die Richtlinie schützt dies als letztes Mittel: wenn interne und externe Kanäle versagt haben oder eine unmittelbare Gefahr für das öffentliche Interesse besteht.

Was die EU-Whistleblowing-Richtlinie fordert

Die EU-Whistleblowing-Richtlinie (Richtlinie 2019/1937) ist die Rechtsgrundlage für den Schutz von Hinweisgebern in allen 27 EU-Mitgliedstaaten. Sie gilt seit Dezember 2021 und erfasst alle privatrechtlichen Organisationen mit 50 oder mehr Beschäftigten, alle öffentlichen Stellen unabhängig von ihrer Größe sowie Hochrisikosektoren wie Finanzdienstleistungen, Verkehrssicherheit und Umweltschutz. Jede betroffene Organisation muss fünf Kernpflichten erfüllen.

Read the full EU Whistleblowing Directive guide

Sichere interne Meldekanäle

Es muss mindestens ein vertraulicher Kanal bestehen, über den Beschäftigte und andere berechtigte Personen Meldungen schriftlich, mündlich oder auf beide Arten abgeben können. Der Zugang ist auf autorisiertes Personal zu beschränken. Sammelpostfächer und HR-Weiterleitungen erfüllen diese Anforderung nicht.

Eingangsbestätigung innerhalb von 7 Tagen

Jede eingegangene Meldung ist innerhalb von sieben Tagen zu bestätigen. Es handelt sich um eine gesetzliche Pflicht, keinen Richtwert. Für Organisationen mit hohem Meldeaufkommen sind automatisierte Bestätigungs-Workflows die zuverlässigste Lösung.

Rückmeldung innerhalb von 3 Monaten

Hinweisgeber müssen innerhalb von drei Monaten nach der Eingangsbestätigung eine aussagekräftige Rückmeldung zum Stand ihrer Meldung erhalten. Das erfordert aktives Fallmanagement, nicht nur eine Aufnahme. Meldungen ohne dokumentierten Fortschritt begründen rechtliche Risiken und untergraben das Vertrauen in das System.

Vertraulichkeit und Datenschutz

Die Identität des Hinweisgebers sowie alle Informationen, die zur Identifizierung führen könnten, sind während des gesamten Verfahrens streng vertraulich zu behandeln. Alle im Zusammenhang mit einer Meldung verarbeiteten personenbezogenen Daten müssen DSGVO-konform sein, einschließlich Aufbewahrungsfristen, Zugriffskontrollen und Datensparsamkeit.

Kein Repressalien, umgekehrte Beweislast

Repressalien in jeder Form sind verboten: Kündigung, Degradierung, Gehaltskürzung, Belästigung, negative Referenzen, Berufsverbote. Die Beweislast ist umgekehrt. Erleidet ein Hinweisgeber nach einer Meldung eine Benachteiligung, muss die Organisation nachweisen, dass kein Zusammenhang besteht.

Eine wirksame Hinweisgeberrichtlinie erstellen

Eine Hinweisgeberrichtlinie erklärt, welcher Meldekanal existiert, wie er funktioniert, was gemeldet werden kann, welcher Schutz gilt und was die Organisation in Bezug auf Vertraulichkeit und Repressalienfreiheit zusichert. Die Richtlinie allein reicht jedoch nicht. Wirksame Richtlinien sind aus der Perspektive der meldenden Person verfasst, in verständlicher Sprache gehalten, aktiv kommuniziert, nicht nur beim Onboarding abgezeichnet, und durch konsequentes Führungsverhalten untermauert.

Speak-up-Kultur: mehr als gesetzliche Pflicht

Ein Meldekanal und eine regelkonforme Richtlinie bilden den rechtlichen Rahmen. Eine echte Speak-up-Kultur ist das, was Menschen dazu bringt, diesen Rahmen zu nutzen.

Organisationen mit wirksamer Speak-up-Kultur teilen gemeinsame Merkmale: Führungskräfte signalisieren offen, dass Hinweise ernst genommen werden. Manager sind im Umgang mit Meldungen geschult und kennen die Konsequenzen von Repressalien. Das Meldesystem ist leicht zugänglich, mehrsprachig und dort, wo es ankommt, nachweislich anonym.

Der zuverlässigste Indikator für ein funktionierendes Programm ist die Rückkehrquote: Bei SpeakUp kehren 49 % der anonymen Hinweisgeber zurück, um ihre Meldung weiterzuverfolgen. Der Branchendurchschnitt liegt unter 30 %. Wer zurückkommt, vertraut dem System.

National implementations: what changes by country

The directive sets a floor, not a ceiling. Member states may and often do go further. For organizations operating across multiple jurisdictions, the baseline EU requirements are the starting point, not the finish line. Track current EU implementation status across all member states at the EU Whistleblowing Monitor.

Deutschland: Hinweisgeberschutzgesetz (HinSchG)

In Kraft seit 2. Juli 2023. Gilt für Organisationen mit 50 oder mehr Beschäftigten. Erweitert den Meldebereich auf Verstöße gegen deutsches Strafrecht und bestimmte Ordnungswidrigkeiten. Erlaubt ausdrücklich anonyme Meldungen. Sieht umgekehrte Beweislast bei Repressalien vor. Bußgelder: bis zu 50.000 € bei Repressalien, bis zu 20.000 € bei fehlender Einrichtung eines Meldekanals.

Netherlands: Wet bescherming klokkenluiders

In Kraft seit Februar 2023. Gilt für Organisationen mit 50 oder mehr Beschäftigten. Erweitert den Schutz auf Meldungen über Verstöße gegen niederländisches Recht neben dem EU-Recht. Führt eine ausdrückliche Beweislastumkehr ein. Das Huis voor Klokkenluiders bleibt die zuständige externe Behörde und kann verbindliche Empfehlungen gegenüber Organisationen aussprechen.

Vereinigtes Königreich: Public Interest Disclosure Act (PIDA)

Das Vereinigte Königreich hat seinen Schutzrahmen nach dem Brexit über den PIDA beibehalten (in Kraft seit 1998). Anders als die EU-Richtlinie ist PIDA im Arbeitsrecht verankert. Schutz gilt für Arbeitnehmer, die eine qualifizierte Meldung über bestimmte Kategorien von Fehlverhalten erstatten. Vergeltungsansprüche werden vor Arbeitsgerichten geltend gemacht. Organisationen mit Präsenz in UK und EU müssen beiden Rahmenwerken entsprechen.

US companies operating in the EU

Die USA haben kein einheitliches Äquivalent zur EU-Whistleblowing-Richtlinie. Das US-Recht ist sektoral gegliedert: Sarbanes-Oxley gilt für Finanzbetrug bei börsennotierten Unternehmen, Dodd-Frank für SEC-Verstöße. US-Unternehmen mit Beschäftigten in EU-Mitgliedstaaten unterliegen jedoch für diese Aktivitäten der Richtlinie – unabhängig vom Sitz der Muttergesellschaft. Eine häufig übersehene Compliance-Lücke bei US-Konzernen mit Europa-Expansion.

Was gute Whistleblowing-Software leisten muss

Ein Meldekanal muss sicher genug sein, damit Hinweisgeber ihm vertrauen, leistungsfähig genug, damit Compliance-Teams ihn effektiv nutzen können, und belastbar genug, um gegenüber Behörden und Wirtschaftsprüfern als Nachweis zu dienen.

Bei der Auswahl von Whistleblowing-Software sind folgende Funktionen entscheidend: Mehrkanal-Eingang (Web, App, Telefon, Sprache), vollständige Vertraulichkeit ohne Protokollierung von IP-Adressen oder Gerätekennungen, anonyme Zwei-Wege-Kommunikation, strukturiertes Fallmanagement mit 7-Tage-Bestätigungs- und 3-Monats-Follow-up-Workflows, rollenbasierte Zugriffskontrollen mit Audit-Trails, DSGVO-Konformität mit definierten Aufbewahrungsfristen sowie unabhängige Sicherheitszertifizierungen wie ISO 27001 und ISAE3000 Typ II.

Die häufigste Schwachstelle in Whistleblowing-Programmen ist nicht der Eingang, sondern das Fallmanagement. Meldungen gehen ein und bleiben liegen. Bei hohem Meldeaufkommen sind automatisierte Bestätigungs-Workflows unverzichtbar.

SpeakUp in der Praxis erleben.

Sprechen Sie mit einem unserer Compliance-Experten. Kein Verkaufsgespräch – nur eine ehrliche Unterhaltung darüber, was Sie brauchen und ob SpeakUp die richtige Lösung ist.

Discover SpeakUp Report

Book a demo

Frequently asked questions

Ist Whistleblowing-Software Pflicht?

In der EU sind Organisationen mit 50 oder mehr Beschäftigten gesetzlich verpflichtet, einen sicheren, vertraulichen internen Meldekanal einzurichten. Die Richtlinie schreibt keine bestimmte Software vor, aber allgemeine E-Mail-Postfächer und informelle Prozesse erfüllen die Anforderungen an Vertraulichkeit, Zugangskontrolle und Fristeneinhaltung nicht. Dedizierte Whistleblowing-Software ist in der Praxis der Standardweg zur Erfüllung dieser Pflicht.

In den USA gibt es keine einheitliche Entsprechung: Whistleblower-Pflichten sind sektoral geregelt – Finanzbetrug unter Sarbanes-Oxley, Wertpapierverstöße unter Dodd-Frank, Gesundheits- und Umweltbereiche unter separaten Bundesgesetzen. US-Unternehmen mit Beschäftigten in EU-Mitgliedstaaten unterliegen für diese Aktivitäten jedoch vollumfänglich der EU-Whistleblowing-Richtlinie.

Do US companies operating in the EU need to comply with the EU Whistleblowing Directive?

Yes. The directive applies to any organization with 50 or more employees operating in an EU member state, irrespective of where the parent company is based or incorporated. A US company with operations in Germany, the Netherlands, France, or any other EU country must meet the directive's requirements, including establishing a secure internal reporting channel, acknowledging reports within seven days, and providing feedback within three months. National implementations such as Germany's HinSchG and the Dutch Wet bescherming klokkenluiders may impose additional obligations and penalties on top of the EU baseline.

Was unterscheidet Whistleblowing von einer persönlichen Beschwerde?

Eine Beschwerde betrifft in der Regel ein persönliches Anliegen der meldenden Person – etwa eine arbeitsrechtliche Situation. Whistleblowing hingegen bezeichnet die Meldung von Verhalten, das andere, die Organisation oder das öffentliche Interesse schädigt. Dieser Unterschied ist rechtlich entscheidend: Whistleblower-Schutzgesetze gelten für Letzteres. In der Praxis leiten viele Organisationen beide Meldearten über denselben Kanal weiter und triagieren entsprechend.

Muss ein Hinweisgeber Angestellte:r des Unternehmens sein?

Nein. Die EU-Whistleblowing-Richtlinie gewährt Schutz für alle Personen mit beruflicher Verbindung zur Organisation: Auftragnehmer, Lieferanten, Ehrenamtliche, Praktikant:innen, Bewerber:innen und ehemalige Beschäftigte. Maßgeblich ist die Verbindung zur Organisation, nicht die Vertragsform. Voraussetzung ist, dass die Meldung in gutem Glauben erfolgt.

Was passiert, wenn sich eine Meldung als unbegründet herausstellt?

Hinweisgeber sind geschützt, solange sie zum Zeitpunkt der Meldung hinreichenden Grund hatten, die Information für zutreffend zu halten. Maßstab ist die Gutgläubigkeit, nicht das Ergebnis. Eine später als unbegründet eingestufte Meldung hebt den Schutz nicht auf. Eine Organisation, die gegen einen Hinweisgeber vorgeht, dessen Meldung sich als unzutreffend erweist, bleibt dennoch haftbar.

Was ist der Unterschied zwischen interner und externer Meldung?

Interne Meldung bedeutet, ein Anliegen über einen organisationsinternen Kanal zu übermitteln – etwa an die Compliance-Abteilung, eine Ethikfunktion oder ein dediziertes Meldesystem. Dies ist, was die EU-Whistleblowing-Richtlinie für alle betroffenen Organisationen vorschreibt. Externe Meldung bedeutet, direkt an eine zuständige Behörde zu wenden – etwa eine Regulierungsbehörde, Antikorruptionsstelle oder EU-Einrichtung wie OLAF oder ESMA. Der Schutz gilt unabhängig davon, ob intern oder extern gemeldet wird, und Organisationen dürfen nicht verlangen, dass zunächst interne Kanäle genutzt werden.

Können Hinweisgeber direkt an Behörden melden, ohne den internen Weg zu nutzen?

Ja. Die Richtlinie schützt Hinweisgeber ausdrücklich, wenn sie externe Kanäle vor, anstelle von oder parallel zu internen Kanälen nutzen. Organisationen dürfen nicht verlangen, dass interne Kanäle zuerst ausgeschöpft werden, bevor eine Meldung an eine Behörde erfolgt.