Talents & New Work 10.05.2026

Whistleblower-Lücke: Erste Bußgelder im Mittelstand

5 Min. Lesezeit

Das Hinweisgeberschutzgesetz ist seit Dezember 2023 in Kraft, die zweite Stufe für Unternehmen ab 50 Beschäftigten seit Dezember 2023 und die zweijährige Schonfrist für sanktionsfreie Nachbesserung ist im Frühjahr 2026 abgelaufen. Erste Bußgelder bis 50.000 Euro treffen Mittelständler, die nie einen internen Meldekanal eingerichtet haben oder ihn nach kurzer Beraterphase still abgeschaltet haben. Geschäftsführungen haften persönlich, das Bundesamt für Justiz prüft im Hintergrund und der EU AI Act zieht zusätzliche Pflichten in dieselbe Meldestelle.

10.05.2026

Das Wichtigste in Kürze

Bußgelder bis 50.000 Euro werden verhängt: Wer als Unternehmen ab 50 Beschäftigten keinen internen Meldekanal betreibt, riskiert nach Paragraf 40 HinSchG ein Bußgeld bis 50.000 Euro. Falsch oder oberflächlich aufgesetzte Kanäle werden gleich behandelt wie ihr kompletter Verzicht.
Externe Meldestelle ist das Bundesamt für Justiz: Hinweisgeber dürfen jederzeit das BfJ in Bonn nutzen, statt den internen Kanal zu wählen. Wer den internen Pfad unattraktiv macht, sieht seine Fälle direkt bei der Behörde, einschließlich aller Konsequenzen für Reputation und Aufsichtskommunikation.
EU AI Act erweitert die Meldestelle: Ab Q2 2026 müssen interne Hinweisgebersysteme auch Verstöße gegen KI-Regeln aufnehmen. Wer den Kanal noch auf Korruption und Diskriminierung beschränkt, hat ihn de facto bereits unterschritten.

Verwandt:DORA-TLPT: Stresstests, die Banken gerade nicht bestehen / Microsoft-Stack-Lücke im Mittelstand

Was die zweijährige Schonfrist wirklich verschwiegen hat

Was ist ein Hinweisgeberschutz-Meldekanal? Ein Hinweisgeberschutz-Meldekanal ist ein vertraulicher interner Weg, über den Beschäftigte und externe Dritte Hinweise auf Rechtsverstöße melden können, ohne Repressalien fürchten zu müssen. Das Hinweisgeberschutzgesetz schreibt Unternehmen ab 50 Beschäftigten seit Dezember 2023 vor, einen solchen Kanal einzurichten und Meldungen innerhalb von sieben Tagen zu bestätigen.

Die ersten zwei Jahre haben viele Mittelständler genutzt, um eine Plattform einzukaufen, einen Hinweis-Mailbox-Link auf der Karriereseite zu setzen und das Thema abzuhaken. Was darunter selten gemacht wurde, war die zweite Hälfte der Pflicht: Schulungen für die Meldestellenbeauftragten, dokumentierte Bearbeitungspfade, eine echte Trennung von Personal- und HR-Strukturen und vor allem das jährliche Audit, das nachweist, dass der Kanal funktioniert. Die Aufsichten haben das in der Schonzeit toleriert. Seit Frühjahr 2026 nicht mehr.

Konkret laufen drei Eskalationspfade parallel. Direktanzeigen beim Bundesamt für Justiz, die in das Bußgeldverfahren münden. Beschäftigte, die nach erfolgloser interner Meldung den Klageweg gehen und vor Arbeitsgerichten Repressalien-Schadenersatz durchsetzen. Und die Aufsichten der Länder, die im Zuge ihrer Prüfungen die Meldestellen-Compliance gleich mit abfragen, etwa bei Datenschutz-Audits, Lieferketten-Prüfungen oder anlassbezogenen Steuerprüfungen.

50.000 €

Höchstes Bußgeld nach Paragraf 40 HinSchG für Unternehmen, die keinen internen Meldekanal eingerichtet haben. Hinzu kommen 20.000 Euro für die absichtliche Behinderung einer Meldung und persönliche Haftung der Geschäftsführung in Schadenersatzfällen.

Quelle: Hinweisgeberschutzgesetz Paragraf 40, Stand Mai 2026

Wer jetzt zuerst ins Visier rückt

Drei Profile sind in den Beratungspraxen gerade besonders sichtbar. Familienunternehmen mit 80 bis 250 Beschäftigten, deren Compliance-Funktion historisch im Personalbereich angesiedelt war und keine echte Trennung zur Meldestelle leisten kann. Banken und Versicherungen aus dem Genossenschafts- und Sparkassen-Sektor, die parallel mit der DORA-Umsetzung beschäftigt sind und Hinweisgeberschutz als zweite Compliance-Front unterschätzt haben. Und Health-Tech- sowie Pharma-Mittelständler, deren BfJ-Meldungen aus Patienten- und Studien-Kontexten zugenommen haben.

Hinzu kommt eine vierte Kategorie, die selten in Compliance-Whitepapers auftaucht. IT-Dienstleister und SaaS-Anbieter mit 50 bis 200 Beschäftigten, deren Kunden die Meldekanal-Struktur im Lieferantenaudit explizit abfragen. Wer einen großen Kunden im öffentlichen Sektor oder einer regulierten Branche bedient, wird die Meldestellen-Compliance ohnehin nachweisen müssen, sonst fliegt er aus dem Lieferantenpool.

Was alle vier Profile teilen, ist der typische Fehler. Eine externe Plattform wurde eingekauft, ein Beauftragter im Personalbereich nominiert, eine Schulung gemacht, danach lief das Thema unter dem Radar weiter. Die Aufsicht prüft heute genau dort, wo die Übergabe-Stelle vom Einkauf zur Operations sitzt und findet sie selten sauber dokumentiert.

Was sofort, was bis Sommer reicht

Sofort

Prüfen, ob der Meldekanal aktiv erreichbar ist (Telefon, Mail, Plattform). Tote Links und nicht zugestellte Mails sind das häufigste Audit-Finding.
Bestätigungs- und Rückmelde-Fristen prüfen: 7 Tage Eingangsbestätigung, 3 Monate inhaltliche Rückmeldung sind gesetzlich.
Trennung der Meldestelle von Disziplinar- und Personalentscheidungen schriftlich festhalten, Doppelrolle des HR-Leiters auflösen.

Bis Sommer

Schulung der Meldestellenbeauftragten dokumentieren, Wiederholung mindestens jährlich.
EU-AI-Act-Verstöße als Meldegrund explizit aufnehmen, Kategorien-Liste im internen Dokument erweitern.
Jahres-Audit aufsetzen, das die Anzahl der Meldungen, Bearbeitungszeiten und Eskalationen anonymisiert ausweist.
Lieferantenfragebögen aktualisieren, eigene Compliance-Belege bereitlegen.

Ein 60-Tage-Plan für die Geschäftsführung

Wer jetzt mit der Reparatur anfängt, braucht keine teure Beratung, sondern eine ehrliche Aufnahme.

60-Tage-Plan: Hinweisgeberschutz auf Audit-Stand bringen

Woche 1 bis 2

Bestandsaufnahme. Welcher Kanal existiert, welche Mailbox empfängt, wer ist Beauftragter, gibt es ein dokumentiertes Bearbeitungs-Protokoll der letzten 12 Monate. Anonyme Test-Meldung absetzen, Reaktionszeit messen.

Woche 3 bis 5

Strukturelle Reparatur. Trennung Personal vs. Meldestelle schriftlich, Stellvertreter-Regelung, Eskalationspfad zur Geschäftsführung definieren. KI-Act-Kategorien aufnehmen.

Woche 6 bis 8

Schulungs-Refresh, Dokumentations-Template, anonymisiertes Jahres-Reporting an Geschäftsführung. Belege für Lieferantenfragen vorbereiten.

ab Tag 60

Quartalsweiser Review-Termin, in dem die KI-Compliance-Themen aus der Buchhaltung und der Hinweisgeberschutz parallel betrachtet werden, statt in getrennten Silos.

Häufige Fragen

Greifen die Bußgelder rückwirkend, also auch für die Zeit der Schonfrist?

Nein, die Aufsichten arbeiten nicht rückwirkend. Bewertet wird der Zustand zum Zeitpunkt der Prüfung. Wer im Sommer 2026 keinen funktionierenden Kanal hat, riskiert das volle Bußgeld nach Paragraf 40 HinSchG. Wer dokumentiert nachbessert, kommt mit einer Frist und einer Auflage davon, das ist die übliche Verwaltungspraxis.

Reicht eine externe Plattform oder muss intern eine Person benannt sein?

Beides ist zulässig, aber selbst bei einer externen Plattform muss eine interne Meldestellenbeauftragte oder ein Beauftragter benannt sein, der die Bearbeitung verantwortet, Bestätigungen versendet und das Reporting macht. Die Plattform allein ist Werkzeug, nicht Pflicht-Erfüllung. Im Audit wird die Person geprüft, nicht das Tool.

Welche Rolle spielt der EU AI Act für die Meldestelle ab Q2 2026?

Der EU AI Act erweitert die Liste der meldefähigen Verstöße um Vorfälle rund um Hochrisiko-KI-Systeme, manipulative Anwendungen und unzulässige biometrische Verfahren. Unternehmen, die KI im Recruiting, im Kreditrating oder in der Mitarbeiterüberwachung einsetzen, müssen den Meldekanal explizit für solche Fälle öffnen. Eine Aktualisierung der Kategorien-Liste in der internen Richtlinie reicht meist aus.

Haftet die Geschäftsführung persönlich, wenn der Kanal versagt?

Bei Repressalien gegen Hinweisgeber kann die Geschäftsführung persönlich auf Schadenersatz in Anspruch genommen werden, ergänzt durch das Bußgeld an das Unternehmen. In der D&O-Versicherung ist das ein klassischer Ausschluss-Bereich, wenn vorsätzliches Versäumnis festgestellt wird. Die persönliche Haftung ist der Grund, warum HinSchG zunehmend in den Vorstands-Sitzungen statt nur in der Personalabteilung landet.

Über die Autorin

Angelika Beierlein ist COO bei Evernine. Sie kennt Boardroom-Realitäten aus mehreren Branchen und schreibt regelmäßig über die Stellen, an denen Compliance-Themen wirklich gestaltet werden, statt nur abgehakt. Sie hält wenig von Empowerment-Phrasen und viel von Strukturen, die unter Stress halten.

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Cloudflare Containers: Wenn Workers zu klein sind

mybusinessfuture

SAP-BPC: Die SQL-Hintertür in der Quartalsbilanz

digital-chiefs

Die 40-Prozent-Frage: Wo das KI-Budget wirklich herkommt

securitytoday

NIS2-Audit: Wo die Vendor-Liste in zwei Stunden zerbricht

Quelle Titelbild: KI-generiert mit Google Imagen 4 Fast, SynthID-verifiziert