Ein Whistleblowing-System in 3 Wochen einführen: Ablauf, Stolpersteine, echte Zahlen

Wenn Unternehmen bei uns anfragen, ob wir ein Hinweisgebersystem einrichten können, klingt die erste Folgefrage meistens so: "Wie lange braucht ihr dafür?" Unsere Antwort liegt bei drei bis vier Wochen — technisch und organisatorisch. Die Reaktion ist fast immer dieselbe: "Das geht so schnell?"

Ja. Aber nur, wenn man die richtigen Weichen stellt.

Was das Hinweisgeberschutzgesetz tatsächlich verlangt

Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2. Juli 2023 in Kraft. Es verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldestellen. Für Unternehmen zwischen 50 und 249 Beschäftigten galt eine verlängerte Übergangsfrist bis zum 17. Dezember 2023.

Die Kernpflichten im Überblick:

• Interne Meldestelle einrichten, über die Hinweise auf Rechtsverstöße eingehen können
• Eingangsbestätigung innerhalb von sieben Tagen
• Folgemaßnahmen und Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten
• Vertraulichkeit und Schutz vor Repressalien sicherstellen
• Anonyme Meldungen entgegennehmen (kann — muss aber nicht — technisch unterstützt werden)

Was viele Unternehmen nicht wissen: Das System muss nicht extern betrieben werden. Eine interne Lösung ist zulässig — sie muss nur die gesetzlichen Anforderungen erfüllen, insbesondere die Vertraulichkeit und die Unabhängigkeit der zuständigen Person.

Wie unser Einführungsprojekt bei einem Handelsunternehmen aus Rosenheim ablief

Ein mittelständisches Handelsunternehmen aus dem Raum Rosenheim — 85 Mitarbeiter, Eigenhandel und Importgeschäft — kam im vergangenen Frühjahr zu uns. Sie hatten zwar von der Gesetzespflicht gehört, aber das Thema monatelang aufgeschoben. Konkret: keine Meldestelle, keine zuständige Person benannt, keine Information der Belegschaft.

Das Risiko war nicht nur theoretisch. Bei Verstößen gegen das HinSchG drohen Bußgelder von bis zu 20.000 Euro — nicht für die Person, die meldet, sondern für das Unternehmen, das keine funktionierende Meldestelle betreibt.

Woche 1: Analyse und Auswahl

Wir beginnen immer mit der Frage: Wer soll die interne Meldestelle betreiben? Das ist keine IT-Frage, sondern eine Organisationsfrage. Im Fall von Rosenheim war die Antwort: die Prokuristin, die bereits datenschutzrechtliche Aufgaben übernimmt und das Vertrauen der Belegschaft genießt.

Parallel dazu klären wir, ob eine technische Lösung mit anonymen Meldungen gewünscht ist. Das HinSchG schreibt Anonymität nicht vor, empfiehlt sie aber für die Akzeptanz. Wir haben das Whistleblowing-Modul aus HELITS HRIS eingesetzt: webbasiert, verschlüsselte Kommunikation, kein Klarname erforderlich, Eingangsbestätigung automatisiert, Fristen mit integriertem Reminder-System.

Woche 2: Technische Einrichtung und interne Richtlinie

Die technische Einrichtung dauerte in diesem Fall anderthalb Tage. Das System läuft auf unserer gehosteten Infrastruktur, DSGVO-konform nach deutschem Recht. Die eigentliche Arbeit dieser Woche war die Erstellung der internen Meldestellen-Richtlinie: Welche Verstöße können gemeldet werden? Wie läuft das Verfahren ab? Wer entscheidet über Folgemaßnahmen? Was passiert mit unbegründeten Meldungen?

Dieser Schritt ist der, der am häufigsten unterschätzt wird. Ein funktionierendes Hinweisgebersystem ist kein Tool — es ist ein Prozess. Das Tool macht den Prozess effizienter und rechtssicher, ersetzt ihn aber nicht.

Woche 3: Schulung und Kommunikation

Am Ende von Woche zwei stand ein kurzer Workshop mit der zuständigen Prokuristin: Wie nimmt sie eine Meldung entgegen? Wie dokumentiert sie den Vorgang? Was tut sie, wenn eine Meldung strafrechtliche Relevanz hat? Letzteres ist selten — aber der Prozess muss trotzdem stehen.

In Woche drei erfolgte die Information der Belegschaft. Kein Pflichttermin mit Präsentation, sondern eine kurze schriftliche Information per internem Newsletter, ergänzt durch ein einseitiges Merkblatt mit den wesentlichen Punkten: Was ist das System, wofür ist es da, wer ist zuständig, wie funktioniert Anonymität.

Das war bewusst knapp gehalten. Unternehmen, die das Hinweisgebersystem zu prominent bewerben, erzeugen gelegentlich das Gegenteil des gewünschten Effekts — nämlich Misstrauen, was mit Meldungen passiert. Vertrauen entsteht über Zeit und durch gelebte Praxis, nicht durch aufwendige Kommunikationskampagnen.

Was drei Monate danach war

Drei Monate nach dem Go-live haben wir mit der Prokuristin gesprochen. Zwei Meldungen waren eingegangen — eine davon anonym. Beide betrafen interne Verfahrensfragen, keine strafrechtlichen Sachverhalte. Beide wurden innerhalb der gesetzlichen Fristen bearbeitet und dokumentiert.

Das klingt unspektakulär — und das ist gut so. Ein gut eingeführtes Hinweisgebersystem läuft im Hintergrund, ohne Aufmerksamkeit zu brauchen. Die rechtliche Absicherung ist da. Der Prozess funktioniert. Und das Unternehmen hat ein klares Signal an die Belegschaft gesendet: Hinweise sind willkommen, nicht gefürchtet.

Für Rückfragen zur Einführung eines gesetzeskonformen Hinweisgebersystems sprechen Sie uns direkt an. Informationen zu den technischen Grundlagen finden Sie auch auf der Seite zu HELITS HRIS und zu unseren Digitalisierungslösungen für KMU.

---