Home Blog Was darf ich melden? Meldefähige Verstöße nach dem Hinweisgeberschutzgesetz

Was darf ich melden? Meldefähige Verstöße nach dem Hinweisgeberschutzgesetz

Beitrag vom 28.02.2025

Seit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) im Juli 2023 sind Unternehmen mit mindestens 50 Mitarbeitenden dazu verpflichtet, interne Meldestellen für Whistleblower einzurichten. Das Gesetz zielt darauf ab, Hinweisgeber, die im beruflichen Umfeld Missstände aufdecken, effektiv vor Repressalien zu schützen und gleichzeitig zur Einhaltung gesetzlicher Vorschriften beizutragen.

Doch welche Arten von Verstößen sind überhaupt meldefähig und wann greift der Schutz durch das HinSchG tatsächlich?

In diesem Beitrag werfen wir einen praxisnahen Blick auf die meldefähigen Inhalte, die unter den Schutz des Gesetzes fallen. Damit liefern wir Orientierung für Unternehmen und potenzielle Hinweisgeber.

Was gilt als Meldung im Sinne des HinSchG?

Das Hinweisgeberschutzgesetz schützt natürliche Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über tatsächliche oder drohende Verstöße erlangen und diese melden. Der Schutz gilt dabei unabhängig vom Beschäftigungsstatus, also etwa für:

Arbeitnehmer
Auszubildende und Praktikanten
Bewerber
Ehemalige Mitarbeitende
Selbstständige
Dienstleister, Lieferanten oder Subunternehmer

Eine Meldung muss sich auf rechtswidriges Verhalten beziehen, das einen der im Gesetz genannten Themenbereiche betrifft. Persönliche Unstimmigkeiten oder allgemeine Unzufriedenheit sind nicht meldefähig.

Welche Verstöße sind meldefähig?

Das Hinweisgeberschutzgesetz unterscheidet verschiedene Kategorien meldefähiger Verstöße. Grundsätzlich gilt: Nur Verstöße gegen geltendes nationales oder europäisches Recht oder gegen unternehmensinterne Vorschriften mit rechtsverbindlichem Bezug können eine geschützte Meldung begründen.

1. Strafbare Handlungen

Meldungen über strafrechtlich relevante Vorgänge fallen grundsätzlich unter den Schutz des Gesetzes. Dazu zählen u.a.:

Korruption, Bestechung und Bestechlichkeit
Diebstahl, Unterschlagung oder Betrug
Steuerhinterziehung
Urkundenfälschung
Delikte im Bereich der Wirtschaftskriminalität, wie Insiderhandel oder Marktmanipulation

2. Bußgeldbewehrte Ordnungswidrigkeiten

Auch bestimmte Ordnungswidrigkeiten, die mit Bußgeldern geahndet werden können, sind meldefähig – vorausgesetzt, sie betreffen spezifisch geschützte Rechtsgüter.

Arbeits- und Gesundheitsschutz (z.B. Verstöße gegen das ArbSchG oder das MuSchG)
Umweltschutz (z.B. Verunreinigungen, rechtswidrige Entsorgung gefährlicher Stoffe)
Lebensmittel- und Produktsicherheit (etwa Verstöße gegen das ProdSG oder LFGB)
Verbraucherschutzvorschriften

Diese Ordnungswidrigkeiten sind deshalb relevant, weil sie über das allgemeine Ordnungsrecht hinaus besondere Risiken für Leib, Leben oder wesentliche Rechtsgüter darstellen.

3. Verstöße gegen EU-Rechtsakte

Ein besonders weitreichender Bereich: Das HinSchG integriert die Anforderungen der EU-Whistleblower-Richtlinie (2019/1937). Dadurch sind auch Verstöße gegen ausgewählte Rechtsakte der Europäischen Union meldefähig, darunter:

Produktsicherheit und -konformität (z.B. CE-Kennzeichnung)
Verkehrssicherheit (z.B. technische Zulassungsvorschriften)
Umweltrecht (z.B. REACH, Emissionsgrenzwerte)
Datenschutz (insbesondere Verstöße gegen die DSGVO)
öffentliche Gesundheit (z.B. Arzneimittelrecht, Infektionsschutz)
Finanzdienstleistungen, Geldwäschebekämpfung und Terrorismusfinanzierung
Vergabe- und Wettbewerbsrecht (z.B. unzulässige Preisabsprachen, unrechtmäßige Beihilfen)

Da EU-Rechtsakte teils direkt wirken, teils erst durch nationale Gesetze umgesetzt werden, lohnt eine fachkundige Bewertung, ob ein gemeldeter Verstoß in diesen Anwendungsbereich fällt.

4. Verstöße gegen unternehmensinterne Regelwerke

Auch interne Vorschriften – etwa ein Code of Conduct, ein Compliance Management System (CMS) oder Richtlinien zur Korruptionsprävention – können relevante Meldegegenstände betreffen. Voraussetzung ist, dass diese Regelwerke auf die Einhaltung gesetzlicher Anforderungen abzielen oder Bestandteil vertraglicher Pflichten sind.
Beispiel: Ein Verstoß gegen eine interne Richtlinie zur DSGVO-konformen Verarbeitung personenbezogener Daten kann dann meldefähig sein, wenn er zugleich einen Verstoß gegen Art. 5 DSGVO darstellt.

Keine Bagatellen

Das Gesetz schützt keine pauschale Kritik an Vorgesetzten oder Arbeitsbedingungen, keine bloßen Verdächtigungen und keine persönlichen Konflikte. Entscheidend ist, dass ein konkreter Anhaltspunkt für einen tatsächlichen oder bevorstehenden Rechtsverstoß vorliegt.

Unzulässige oder leichtfertige Meldungen können im Einzelfall sogar arbeitsrechtliche Konsequenzen nach sich ziehen, insbesondere dann, wenn bewusst falsche Angaben gemacht wurden (§ 38 HinSchG).

Fazit

Das Hinweisgeberschutzgesetz schafft einen klaren rechtlichen Rahmen dafür, welche Inhalte als meldefähig gelten und welche nicht. Für Unternehmen bedeutet das, dass sie nicht nur eine funktionierende Meldestelle bereitstellen müssen, sondern auch interne Aufklärungsarbeit leisten müssen. Mitarbeitende sollten wissen:

Was darf ich melden und was nicht?
Wie und wo kann ich sicher eine Meldung abgeben?
Welche Verfahren sichern meine Vertraulichkeit?

Ein durchdachtes Hinweisgebersystem lebt dabei nicht nur von technischer Infrastruktur, sondern vor allem von Vertrauen, Rechtsklarheit und Transparenz. Es geht nicht darum, einen „Kanal für Beschwerden“ zu schaffen, sondern um ein Instrument zur Frühidentifikation von Risiken und rechtlichen Verstößen.
Wer das Hinweisgeberschutzgesetz ernst nimmt, stärkt die eigene Compliance-Kultur und schützt somit nicht nur Hinweisgeber, sondern das gesamte Unternehmen.

Neueste Artikel

Die aktuellsten Beiträge aus unserem Blog

05.09.2025

EuGH Urteil: Pseudonymisierung nicht immer ausreichend

In einem aktuellen Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) klargestellt: Pseudonymisierte Daten gelten auch dann als personenbezogene Daten, wenn sie an Dritte weitergegeben werden.

11.08.2025

Phishing-Risiko testen: Wie anfällig sind Ihre Mitarbeitenden?

Phishing zählt zu den größten Cybergefahren für Unternehmen und wird oft erst bemerkt, wenn bereits ein Schaden entstanden ist. Mit realistischen Phishing-Simulationen zeigen wir Ihnen, wie anfällig Ihre Organisation tatsächlich ist.

04.08.2025

Hashwert und Hashfunktion: Erzeugung sicherer Passwörter verstehen

Hashwerte haben ein breites Anwendungsfeld, zum Beispiel als Marker für Speicherorte oder als digitaler Fingerabdruck zur Verifizierung von Dateien. Sie entstehen durch sogenannte Hashfunktionen, also mathematische Verfahren, die Eingabedaten in eine Zeichenkette fester Länge umwandeln.

16.07.2025

IT-Sicherheitskonzept: Entwicklung, Phasen & Umsetzung

Daten von Unternehmen sind zahlreichen Risiken wie Cyberangriffen, Systemausfällen oder Datenverlust ausgesetzt. Informationssicherheit hilft, diese Risiken zu minimieren.

04.07.2025

Datenschutzvorfall: Definition, Beispiele und Handlungspflichten

Ob gestohlener Laptop, gehackter E-Mail-Account oder eine Datei, die versehentlich im falschen Postfach landet – Datenpannen passieren schneller, als viele Unternehmen glauben. Oft wird so ein Vorfall im Alltag als technisches Problem oder Missgeschick abgetan.

Immer gut informiert - mit unserem Newsletter

Wir halten Sie auf dem Laufenden zu aktuellen Entwicklungen und praxisrelevanten Neuerungen aus den Bereichen Informationssicherheit, Compliance und Datenschutz.

Newsletter abonnieren