HinweisgeberInnenschutzgesetz nach 3 Jahren: Was Selbstständige ab 50 Mitarbeitern jetzt prüfen sollten

Das HinweisgeberInnenschutzgesetz (HSchG, BGBl. I Nr. 6/2023) ist seit 25. Februar 2023 in Kraft. Für Unternehmen mit 50 bis 249 Mitarbeitern lief die Schonfrist zur Einrichtung eines internen Meldekanals am 17. Dezember 2023 aus. Nach gut drei Jahren Praxis zeigt sich: Viele KMU haben einen Meldekanal aufgesetzt, aber kaum gepflegt. Erste Strafverfahren wegen fehlender Bestätigungs- oder Folgepflichten sind dokumentiert, der häufigste Auslöser ist nicht der spektakuläre Whistleblower-Fall, sondern die formale Beschwerde eines verärgerten Ex-Mitarbeiters.

Wen das HSchG verpflichtet

§ 13 HSchG verpflichtet alle juristischen Personen des privaten Sektors mit 50 oder mehr Beschäftigten zur Einrichtung einer internen Meldestelle. Für bestimmte Branchen – Finanzdienstleistungen, Wertpapierfirmen, Versicherungen, Pensionskassen, Investmentfirmen – gilt die Pflicht ungeachtet der Mitarbeiterzahl, weil sie aus dem sektoralen EU-Recht ohnehin Compliance-Meldekanäle führen müssen.

Die Schwelle von 50 Mitarbeitern wird in Vollzeitäquivalenten berechnet, bewertet zum jeweiligen Stichtag (Beginn Kalenderjahr). Konzerne können nach § 13 Abs. 2 einen konzernweiten gemeinsamen Meldekanal führen, müssen aber sicherstellen, dass die rechtliche Verantwortung jeder einzelnen juristischen Person gewahrt bleibt. Unternehmen mit 50 bis 249 Beschäftigten dürfen sich zudem zu Meldestellengemeinschaften zusammenschliessen, was viele kleinere KMU über die Wirtschaftskammer-Beratungsangebote getan haben.

Für Selbstständige mit unter 50 Mitarbeitern gibt es keine direkte Einrichtungspflicht. Sie unterliegen aber dem Vergeltungsverbot des HSchG, sobald ihre Beschäftigten oder externe Personen Hinweise im sachlichen Anwendungsbereich abgeben – und sie können freiwillig einen Meldekanal einrichten, was im Hinblick auf Compliance und Reputation oft sinnvoll ist.

Welche Hinweise das Gesetz schützt

§ 3 HSchG zählt 16 Rechtsbereiche auf, in denen Hinweise vom Schutz erfasst sind:

• Öffentliches Auftragswesen (Vergaberecht)
• Finanzdienstleistungen, Finanzprodukte und Finanzmärkte
• Produktsicherheit
• Verkehrssicherheit
• Umweltschutz
• Strahlenschutz und nukleare Sicherheit
• Lebensmittel- und Futtermittelsicherheit
• Tiergesundheit und Tierschutz
• Öffentliche Gesundheit
• Verbraucherschutz
• Datenschutz und Schutz der Privatsphäre
• Sicherheit von Netz- und Informationssystemen (NIS)
• Verhinderung von Geldwäsche und Terrorismusfinanzierung
• Bestimmte Aspekte des Körperschaftsteuerrechts
• Verstösse gegen EU-Finanzinteressen
• Verstösse gegen Binnenmarktvorschriften

Nicht erfasst sind allgemeine arbeitsrechtliche Probleme, Mobbing, persönliche Auseinandersetzungen oder Konflikte ohne Bezug zum aufgelisteten Sachbereich. In der Praxis ist die Abgrenzung oft heikel – eine vermeintliche Mobbing-Beschwerde kann eine versteckte Diskriminierungs- oder Datenschutzmeldung sein.

Der Hinweisgeber muss vernünftigerweise davon ausgehen können, dass der gemeldete Sachverhalt tatsächlich vorliegt. Wer wissentlich falsche oder irreführende Informationen meldet, geniesst nicht den Schutz und kann selbst zur Verantwortung gezogen werden (§ 6 Abs. 2).

Anforderungen an den internen Meldekanal

§§ 13 bis 17 HSchG legen die technischen und organisatorischen Anforderungen fest:

Vertraulichkeit. Der Kanal muss so gestaltet sein, dass die Identität des Hinweisgebers nicht von Unbefugten erfasst werden kann. Eine ungeschützte E-Mail-Adresse compliance@… erfüllt das nicht. In der Praxis kommen browserbasierte Lösungen mit Verschlüsselung zum Einsatz, häufig SaaS-Plattformen wie Whispli, EQS Integrity Line, Got Ethics oder OpenSourceLösungen wie GlobaLeaks.

Mehrere Meldewege. Schriftlich (digital oder Brief), telefonisch oder auf Wunsch in persönlichem Gespräch innerhalb angemessener Frist (§ 13 Abs. 4).

Anonymität optional. Anonyme Hinweise sind zulässig, der Arbeitgeber muss sie aber nicht zwingend bearbeiten (§ 12 Abs. 5). In der Praxis empfiehlt sich Aufnahme und Prüfung, weil das Vertrauen in den Kanal steigt und die Mitarbeiter sonst zum externen Kanal greifen.

Bestätigungsfrist 7 Tage. Der Hinweisgeber erhält innerhalb von 7 Tagen ab Eingang eine Bestätigung des Eingangs (§ 16). Bei anonymen Meldungen ist das tricky – die Bestätigung muss über den anonymen Kanal zurückgespiegelt werden, was technisch eine Anonymitäts-erhaltende Lösung verlangt.

Rückmeldungsfrist 3 Monate. Innerhalb von 3 Monaten ist eine Rückmeldung zu den ergriffenen oder geplanten Folgemassnahmen zu geben (§ 17). Diese Frist wird in der Praxis oft verfehlt – ein häufiger Strafanlass.

Unparteiliche Person. Die mit der Bearbeitung betraute Person oder Stelle muss unparteilich sein, frei von Interessenskonflikten arbeiten und die nötige Fachkompetenz besitzen. In kleineren Unternehmen ist das die Geschäftsführung oder ein eigens benannter Compliance-Verantwortlicher, häufig wird die Funktion auch an externe Anwaltskanzleien oder Wirtschaftsprüfer ausgelagert.

Dokumentation und Aufbewahrung. Jede Meldung, der Bearbeitungsverlauf und die Rückmeldung sind zu dokumentieren und für mindestens 5 Jahre nach Verfahrensende aufzubewahren (§ 18).

Externe Meldekanäle als Konkurrenz

§ 19 HSchG benennt das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK) als zentrale externe Meldestelle. Daneben bestehen sektorale externe Stellen: Finanzmarktaufsicht (FMA), Datenschutzbehörde, Bundeswettbewerbsbehörde, AGES, Bundesamt für Verbrauchergesundheit u.a. – je nach Sachbereich.

Wichtig für Arbeitgeber: Der Hinweisgeber hat freie Wahl. Er muss nicht zuerst den internen Kanal nutzen. Wer das interne Verfahren als untauglich, kompromittiert oder nicht ausreichend wahrnimmt, kann direkt an die externe Stelle melden – mit gleichem Schutz. Praxisfolge: Ein interner Kanal, der nicht funktioniert, garantiert nicht die interne Klärung, sondern sorgt nur dafür, dass die Behörde von einem zweifelhaften Sachverhalt erfährt – mit allen Konsequenzen einer Aufsichtsanfrage.

Schutz vor Vergeltung

Das Herzstück des HSchG sind die Vergeltungsschutzregeln der §§ 20 bis 23. Vergeltung ist jede ungünstige Massnahme als Reaktion auf einen geschützten Hinweis: Kündigung, Versetzung, Gehaltskürzung, schlechte Beurteilung, Mobbing, Disziplinarmassnahmen, Vorbeigehen bei Beförderungen, Vertragsverlängerungs-Verweigerung, Repressalien gegen Familienangehörige.

§ 21 enthält eine Beweislastumkehr: Wenn der Hinweisgeber Anhaltspunkte für eine Vergeltungsmassnahme glaubhaft macht, hat der Arbeitgeber zu beweisen, dass die Massnahme aus anderen, von der Meldung unabhängigen Gründen erfolgt ist. Das verschiebt das Risiko deutlich zulasten des Arbeitgebers.

Wer geschützte Hinweisgeber Vergeltung zufügt, riskiert nach § 24 HSchG eine Verwaltungsstrafe bis 20.000 Euro, im Wiederholungsfall bis 40.000 Euro. Hinzu kommt die zivilrechtliche Haftung für entstandenen Schaden, der bei Kündigungs- oder Karriereblockaden schnell sechsstellig werden kann. In Strafverfahren der ersten zwei Jahre bewegten sich Bussen erfahrungsgemäss im unteren bis mittleren vierstelligen Bereich, eskalierende Fälle erreichen aber das gesetzliche Maximum.

Häufige Stolperstellen in der KMU-Praxis

Aus rund drei Jahren Praxis ergeben sich wiederkehrende Schwachstellen, die bei einer Behördenprüfung problematisch werden:

1. Meldekanal eingerichtet, aber nicht beworben. Wer den Link zum Whistleblower-Tool nur im Intranet versteckt, erfüllt formal das Gesetz, aber praktisch nicht. Mitarbeiter müssen wissen, dass und wie sie melden können. Aufklärung im Onboarding, jährliche Erinnerung, Hinweis auf Bezahl-Rückseite oder Aushang im Pausenraum.

2. Bestätigungs- und Rückmeldefristen verstreichen lassen. Die 7-Tage-Eingangsbestätigung und die 3-Monats-Rückmeldung sind harte Fristen. Wer urlaubsbedingt verpasst, hat eine Pflichtverletzung dokumentiert. Vertretungsregelung und automatische Eingangsbestätigung sind Pflicht.

3. Unklare Zuständigkeit. „Compliance macht das“ reicht nicht. Eine namentlich benannte Stelle mit Vertretung muss schriftlich festgelegt und intern kommuniziert sein.

4. Mangelnde Trennung zur HR-Funktion. Wenn die Personalleitung gleichzeitig Meldestelle ist, entsteht Interessenkonflikt – HR ist arbeitgeberfreundlich, der Meldekanal muss neutral sein. In kleineren Unternehmen lösen das externe Lösungen.

5. Vermischung mit Beschwerdesystem. Allgemeine Beschwerden („der Chef brüllt zu laut“) sind keine HSchG-Hinweise. Wer beides über einen Kanal abwickelt, läuft Gefahr, formale Hinweise im Beschwerde-Backlog zu verlieren und die Fristen zu versäumen.

6. Mangelnde Dokumentation. Wer einen Hinweis bearbeitet, aber den Verlauf nicht systematisch protokolliert, hat im Fall einer Aufsichtsprüfung nichts in der Hand. Pflicht ist die Dokumentation von Eingang, Beurteilung, Massnahmen und Rückmeldung.

Was Selbstständige jetzt prüfen sollten

Praktischer Check für die zweite Jahreshälfte 2026:

Schritt 1: Bestand prüfen. Existiert ein dokumentierter Meldekanal? Ist er erreichbar? Funktioniert er technisch? Wer ist die unparteiliche Stelle? Wie sind Vertretungsregeln?

Schritt 2: Praxis-Test. Eine Test-Meldung absetzen. Kommt die 7-Tage-Bestätigung? Funktioniert der Dialog? Wo bricht der Prozess?

Schritt 3: Kommunikation auffrischen. Wann wurde das letzte Mal aktiv intern über den Meldekanal informiert? Neue Mitarbeiter im Onboarding-Material? Hinweis auf Lohnzettel oder Mitarbeiter-Portal?

Schritt 4: Schulung der Meldestelle. Die mit der Bearbeitung betraute Person braucht Updates zur Rechtsprechung und zu neuen Sachbereichen (z.B. CSRD-Verstösse können künftig Hinweisgegenstand sein).

Schritt 5: Schnittstellen klären. Wie wird mit dem Datenschutzbeauftragten und der HR-Funktion zusammengearbeitet, wenn ein Hinweis beide Bereiche berührt?

Kosten und Anbieter im Überblick

Lösungen für interne Meldekanäle decken eine grosse Bandbreite ab. Stand Mai 2026 sind folgende Optionen am österreichischen Markt verbreitet:

• SaaS-Plattformen (EQS Integrity Line, Whispli, hintBox): 100 bis 800 Euro pro Monat je nach Unternehmensgrösse und Funktionsumfang
• Externe Ombudsperson per Anwaltskanzlei: 1.500 bis 4.000 Euro Setup, 100 bis 300 Euro pro Monat Pauschale plus zeitabhängige Bearbeitungshonorare
• Open-Source-Lösungen (GlobaLeaks): kostenfrei in der Software, dafür eigener Hosting- und Wartungsaufwand 3.000 bis 8.000 Euro jährlich
• Lösungen über Wirtschaftskammer-Pakete für KMU 50-249 MA: 50 bis 250 Euro pro Monat als Beitritt zu einer Sammellösung
• Reine E-Mail-Lösung ohne weitere Tools: faktisch ungeeignet, weil Vertraulichkeit und Audit-Trail nicht gewährleistet

Für eine 60-Mitarbeiter-GmbH ist die Sammellösung über Wirtschaftskammer oder Branchenverband oft der pragmatischste Einstieg, weil die Compliance-Verantwortung auf eine grössere Trägerstruktur verteilt wird.

Häufige Fragen zum HinweisgeberInnenschutzgesetz

Muss ich anonyme Hinweise wirklich bearbeiten?

Gesetzlich nicht zwingend. Aber Praxis-Empfehlung ja: Wer anonyme Hinweise ignoriert, vergrault Mitarbeiter aus dem internen Kanal in den externen, und das löst eine Aufsichtsanfrage aus, die meist mehr Aufwand bedeutet als die anonyme Prüfung. Plus: Anonyme Hinweise enthalten oft wertvolle Sach-Information unabhängig von der Person.

Was passiert, wenn ich die 3-Monats-Frist verpasse?

Die Fristverletzung allein ist nach § 24 strafbar. Wichtiger noch: Der Hinweisgeber gewinnt das Recht, sofort an den externen Kanal zu melden, ohne weiter intern zu warten. Damit gehen Sie als Unternehmen das Risiko ein, dass die Behörde von einem Vorgang erfährt, den Sie intern noch hätten lösen können.

Sind Geschäftsführer von der HSchG-Pflicht persönlich betroffen?

Ja. § 9 Verwaltungsstrafgesetz weist das Verschulden des Organisations- und Sorgfaltspflichtigen zu. Bei juristischen Personen ist das der Geschäftsführer oder Vorstand. Persönliche Haftung lässt sich durch dokumentierte Bestellung verantwortlicher Beauftragter im Sinne des § 9 VStG begrenzen.

Kann ich den Meldekanal auch für Beschwerden ohne HSchG-Bezug nutzen?

Praktisch oft sinnvoll, formal trennen. Empfehlung: zwei klar getrennte Kanäle – HSchG-Meldekanal mit allen rechtlichen Garantien, allgemeines Beschwerdesystem für arbeitsrechtliche Themen. Andernfalls riskieren Sie, dass HSchG-relevante Meldungen im Beschwerde-Stapel verloren gehen und Fristen versäumt werden.

Was passiert mit Hinweisen, die sich als falsch herausstellen?

Wenn der Hinweisgeber bei Abgabe ernsthaft an die Richtigkeit glauben konnte, bleibt der Schutz bestehen. Wer dagegen wissentlich falsche oder grob fahrlässig erfundene Hinweise abgibt, verliert den Schutz und kann selbst zur Verantwortung gezogen werden (§ 6).

Wie verhält sich das HSchG zur Compliance-Funktion grosser Konzerne?

Bestehende Compliance-Hotlines erfüllen das HSchG, wenn sie die gesetzlichen Fristen, Vertraulichkeitsregeln und Dokumentationspflichten einhalten. In der Praxis musste meist nachgeschärft werden bei Anonymität, Rückmeldefristen und Schutz der Hinweisgeber-Identität gegenüber internen Stellen.

Was zählt als Vergeltungsmassnahme?

Alle Massnahmen, die den Beschäftigten benachteiligen und zeitlich mit dem Hinweis im Zusammenhang stehen: Kündigung, Versetzung, Gehaltsreduktion, schlechte Beurteilung, Verweigerung von Karriere-Schritten, Mobbing, Disziplinarmassnahmen, Vertragsverlängerungs-Ablehnung. Auch indirekte Massnahmen gegen Familienangehörige oder Personen im Umfeld sind erfasst.