EU-Whistleblower-Richtlinie: konforme mehrsprachige Meldekanaele
Die Richtlinie (EU) 2019/1937 hat interne Meldungen von der Kuer zur Rechtspflicht gemacht — EU-weit. Dieser Leitfaden erklaert, was ein konformer Meldekanal leisten muss: Eingangsbestaetigung binnen 7 Tagen, Rueckmeldung binnen 3 Monaten, Vertraulichkeit, unparteiische Bearbeitung. Dazu: warum Mehrsprachigkeit bei internationaler Belegschaft nicht optional ist, wo Schweizer Gruppen stehen und warum Ende-zu-Ende-Verschluesselung das Vertrauen der Meldenden traegt.
Jahrelang war ein interner Meldeweg etwas, das eine gut gefuehrte Organisation aus guter Praxis vorhielt. Die Richtlinie (EU) 2019/1937 — die EU-Whistleblower-Richtlinie — hat das geaendert. In der gesamten Europaeischen Union ist er heute eine Rechtspflicht: Organisationen oberhalb definierter Schwellen muessen einen internen Meldekanal betreiben, der konkrete, durchsetzbare Anforderungen erfuellt. Die Umsetzungsfristen sind verstrichen. Das ist geltendes Recht in jedem Mitgliedstaat, kein Zukunftsplan.
Dieser Leitfaden richtet sich an die Personen, die diesen Kanal real machen muessen: Compliance-Verantwortliche, Rechtsabteilungen, HR-Leitung, Interne Revision, Ombudspersonen — und die IT- oder Security-Leute, die das Intake-Tool auswaehlen sollen. Er erklaert, was die Richtlinie verlangt, wo die ueblichen Compliance-Luecken liegen, warum eine internationale Belegschaft das Design veraendert, wo Schweizer Gruppen stehen, obwohl die Schweiz nicht in der EU ist, und warum die Verschluesselungseigenschaften des Kanals selbst darueber entscheiden, ob ihm jemand genug vertraut, um ihn zu nutzen.
Fuer wen dieser Beitrag ist
Compliance- und Ethik-Verantwortliche, Rechtsabteilungen, HR- und Betriebsrats-Vertreter, Interne Revision und Risiko-Teams sowie die Security- oder IT-Kolleginnen, die Intake-Tools bewerten — in Organisationen, die in der EU, in der Schweiz oder in beiden Raeumen taetig sind.
Was die Richtlinie (EU) 2019/1937 verlangt
Die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstoesse gegen das Unionsrecht melden, trat im Dezember 2019 in Kraft. Die Mitgliedstaaten mussten sie bis Dezember 2021 in nationales Recht umsetzen, mit einer spaeteren Frist bis Dezember 2023 fuer private Unternehmen im Band von 50 bis 249 Beschaeftigten. Beide Fristen liegen hinter uns, sodass die Pflichten unionsweit praktisch gelten — umgesetzt ueber die jeweilige nationale Transposition jedes Mitgliedstaats, und genau dort koennen die Details abweichen.
Die Pflicht, einen internen Meldekanal zu betreiben, gilt im Wesentlichen fuer:
- Juristische Personen des privaten Sektors mit 50 oder mehr Beschaeftigten
- Oeffentliche Stellen sowie Gemeinden ab 10'000 Einwohnern (Mitgliedstaaten koennen die kommunale Schwelle anpassen)
- Einrichtungen im Finanzdienstleistungsbereich, in der Geldwaeschereipraevention und in bestimmten weiteren regulierten Feldern — unabhaengig von der Beschaeftigtenzahl
Im nationalen Umsetzungsrecht steckt das Detail
Die Richtlinie setzt einen Mindeststandard, keine Obergrenze. Jeder Mitgliedstaat hat sie in ein eigenes Gesetz ueberfuehrt, und diese Gesetze unterscheiden sich — etwa darin, ob anonyme Meldungen entgegengenommen werden muessen, bei Sanktionen, bei der gemeinsamen Kanalnutzung mittlerer Unternehmen und bei genauen Schwellen. Lesen Sie das Recht des Landes, dessen Beschaeftigte melden, nicht nur die Richtlinie selbst.
Die Richtlinie staffelt das Melden in drei Stufen: interne Kanaele der Organisation, externe Kanaele zustaendiger Behoerden und Offenlegung in der Oeffentlichkeit als letztes Mittel mit eigenen Bedingungen. Dieser Leitfaden konzentriert sich auf die erste Stufe — den internen Kanal — weil ihn jede Organisation selbst aufbauen und betreiben muss.
Was als konformer interner Meldekanal gilt
Ein interner Kanal ist nicht bloss ein Postfach. Die Richtlinie knuepft konkrete, fristgebundene Pflichten daran. Die zentralen Anforderungen, die eine Organisation erfuellen muss, sind:
| Anforderung | Was es praktisch bedeutet |
|---|---|
| Vertraulichkeit der Identitaet | Der Kanal muss die Identitaet der meldenden Person und jeder im Bericht genannten Drittperson schuetzen und den Zugriff auf befugtes Personal beschraenken. |
| Sichere Gestaltung | Der Kanal muss so eingerichtet und betrieben werden, dass unbefugter Zugriff auf die uebermittelten Informationen verhindert wird. |
| Eingangsbestaetigung binnen 7 Tagen | Der Eingang einer Meldung ist der meldenden Person innert sieben Tagen zu bestaetigen. |
| Unparteiische Bearbeitung | Eine unparteiische Person oder Stelle ist zu benennen, die Meldungen bearbeitet, sorgfaeltig nachgeht und den Kontakt zur meldenden Person haelt. |
| Rueckmeldung binnen 3 Monaten | Die meldende Person muss innert eines angemessenen Zeitraums von hoechstens drei Monaten ab Bestaetigung eine Rueckmeldung erhalten. |
| Schriftliche und/oder muendliche Kanaele | Meldungen koennen schriftlich, muendlich oder beides erfolgen; muendlich per Telefon oder auf Wunsch in einem persoenlichen Treffen. |
| Aufzeichnung | Meldungen sind unter Wahrung der Vertraulichkeit und des Datenschutzes zu dokumentieren und aufzubewahren. |
| Datenschutzkonformitaet | Die Verarbeitung personenbezogener Daten im Kanal muss der DSGVO entsprechen, einschliesslich Datenminimierung und Rechtsgrundlage. |
| Schutz vor Repressalien | Personen, die in gutem Glauben melden, sind vor Kuendigung, Herabstufung und anderen Repressalien zu schuetzen. |
Ein Tool ist die Intake-Ebene, nicht die ganze Pflicht
Software kann die sichere, vertrauliche Annahme liefern und beim Verfolgen der Fristen helfen. Sie kann jedoch nicht von sich aus eine unparteiische Fallbearbeiterin benennen, Ihre Richtlinie verfassen oder die Untersuchung fuehren. Der konforme Kanal ist die Kombination aus sicherem Intake und dem organisatorischen Prozess darum herum.
Vertraulich ist nicht dasselbe wie anonym
Die Richtlinie ist hier praezise, und das sollte man es auch sein. Sie verlangt Vertraulichkeit: Die Identitaet der meldenden Person ist zu schuetzen und nicht ueber den befugten Bearbeitungskreis hinaus offenzulegen. Sie verlangt nicht flaechendeckend, dass Organisationen vollstaendig anonyme Meldungen annehmen. Ob anonymes Melden anzunehmen ist, bleibt jedem Mitgliedstaat ueberlassen — und die nationalen Umsetzungen unterscheiden sich tatsaechlich. Manche schreiben es vor, manche stellen es frei, manche foerdern es, ohne es zu verlangen.
Das sind zwei verschiedene Eigenschaften. Eine vertrauliche Meldung traegt die Identitaet der meldenden Person, doch der Kanal verspricht, sie abzuschirmen. Eine anonyme Meldung traegt von vornherein keine Identitaet. Beides zu verwechseln fuehrt zu Kanaelen, die ihr eigenes Versprechen leise brechen.
Wo ein Vertraulichkeitsversprechen leise bricht
Ein Kanal kann keinen Namen erheben und die meldende Person dennoch entlarven. IP-Logs beim Formular-Anbieter oder seinem CDN, Browser-Fingerprinting-Analyse auf der Intake-Seite, ein SSO-Login vor dem Formular, ein E-Mail-Versand, der Zeitstempel und Quell-IPs setzt — all das kann eine Identitaet wieder anheften, die die meldende Person fuer geschuetzt hielt. Ein Vertraulichkeitsversprechen, das nur am Formularfeld haelt und nicht ueber die umliegenden Metadaten und Tracker hinweg, ist kein Vertraulichkeitsversprechen.
Die praktische Erkenntnis: Klaeren Sie zuerst das auf Ihre Meldenden anwendbare Recht und gestalten Sie den Kanal dann so, dass der angebotene Modus — vertraulich, anonym oder beides — tatsaechlich von Anfang bis Ende geliefert wird. Eine Kanalseite mit Drittanbieter-Trackern und dauerhaften IP-Logs kann eine Anonymitaetszusage nicht ehrlich tragen und untergraebt auch eine Vertraulichkeitszusage.
Die Mehrsprachigkeitsanforderung in der Praxis
Die Richtlinie verlangt, dass interne Kanaele fuer die meldeberechtigten Personen zugaenglich und nutzbar sind. Fuer eine internationale Belegschaft hat das eine unvermeidbare praktische Folge: Ein nur in der Sprache der Zentrale veroeffentlichter Kanal ist nicht wirklich von allen nutzbar, die er schuetzen soll. Eine Lagermitarbeiterin, die einen Sicherheitsverstoss meldet, ein Fabrikangestellter, der Fehlverhalten beobachtet, eine Sachbearbeiterin, die Betrug bemerkt — sie melden in der Sprache, in der sie tatsaechlich denken und sprechen, oder sie melden gar nicht.
Ein Meldekanal, den niemand in seiner Sprache nutzen kann, verfehlt seinen Zweck, lange bevor eine Frist versaeumt wird. Die Meldungen treffen schlicht nie ein. Fuer Organisationen mit Beschaeftigten in mehreren Laendern ist mehrsprachige Annahme kein Feinschliff, sondern der Unterschied zwischen einem Kanal, der Probleme sichtbar macht, und einem, der eine falsche Compliance-Sicherheit erzeugt, waehrend die Probleme verborgen bleiben.
Ein Meldekanal wirkt nur in einer Sprache, der die meldende Person genug vertraut, um ihre Wahrheit darin niederzuschreiben. Alles andere ist Papierkram.
Die Schweiz macht den Punkt anschaulich, noch bevor eine EU-Pflicht ins Bild kommt. Ein Schweizer Arbeitgeber mit deutsch-, franzoesisch- und italienischsprachigem Personal — dazu Englisch als gemeinsame Geschaeftssprache — lebt bereits die Vier-Sprachen-Realitaet, der Multis grenzueberschreitend begegnen. Ein Kanal, der in Bern funktioniert, aber nicht in Lausanne oder Lugano, waere offensichtlich unzureichend. Dieselbe Logik skaliert direkt auf eine ueber Mitgliedstaaten verteilte Belegschaft.
Der Schweizer Blickwinkel: ausserhalb der EU, nicht ausserhalb der Pflicht
Die Schweiz ist nicht Mitglied der Europaeischen Union und hat kein gleichwertiges allgemeines Hinweisgeberschutzgesetz. Ein Versuch, 2020 eigene Bestimmungen ins Obligationenrecht einzufuehren, wurde vom Parlament abgelehnt. Eng gelesen ist ein rein inlaendisches Schweizer Unternehmen nicht unmittelbar an die Richtlinie (EU) 2019/1937 gebunden.
Realistisch gelesen werden viele Schweizer Organisationen dennoch erfasst:
- Schweizer Unternehmen mit Tochtergesellschaften, Niederlassungen oder Betrieben in EU-Mitgliedstaaten fallen fuer die dort ansaessigen Einheiten unter deren nationale Umsetzung
- In der Schweiz ansaessige, EU-weit taetige Gruppen benoetigen oft gruppenweite Meldeloesungen, die das Recht der Mitgliedstaaten erfuellen, in denen ihre Leute arbeiten
- Finanzdienstleister sehen sich unabhaengig von Grenzen Vertraulichkeits- und Meldeerwartungen gegenueber, die mit der Richtlinie konvergieren
- Erwartungen von Investoren, Beschaffung und ESG draengen Schweizer Unternehmen zunehmend, den EU-Standard als gute Unternehmensfuehrung zu uebernehmen
Es gibt auch eine positive Schweizer Dimension. Fuer sensible interne Meldungen — besonders solche, die Kolleginnen, Fuehrungskraefte oder grenzueberschreitende Sachverhalte betreffen koennen — ist die Schweiz ein neutraler, souveraener Hosting-Standort ausserhalb sowohl der EU- als auch der US-Jurisdiktion. Die verschluesselte Annahme auf Schweizer Infrastruktur zu halten, verkleinert die rechtliche Zugriffsoberflaeche gegenueber dem Umweg ueber US-Anbieter und fuegt sich natuerlich in die Datenschutzhaltung des Schweizer nDSG.
Gruppenweite Kanaele, lokale Rechtsdetails
Spannt Ihre Gruppe ueber die Schweiz und mehrere EU-Staaten, lautet die Designfrage nicht 'EU oder nicht', sondern 'welches umgesetzte Recht welches Mitgliedstaats regelt welche Gruppe von Meldenden, und erfuellt unser Gruppenkanal jedes davon'. Ein einziger, gut gestalteter mehrsprachiger Kanal kann die ganze Gruppe bedienen, waehrend lokale Beratung die laenderspezifischen Details bestaetigt.
Warum Ende-zu-Ende-Verschluesselung fuer das Vertrauen der Meldenden zaehlt
Jeder Meldekanal schiebt eine dritte Partei zwischen die meldende Person und die Fallbearbeitung: das Tool, das die Meldung traegt. Dieses Tool ist eine Angriffsflaeche. Kann der Kanal-Anbieter Einsendungen lesen, haengt die Vertraulichkeit jeder Meldung von der Personaldisziplin des Anbieters, seinen Zugriffskontrollen, seiner Vorfallhistorie und den Rechtsbefehlen ab, die er erhalten koennte — nichts davon kann die meldende Person sehen oder pruefen.
Betrachten Sie die Szenarien, die jemanden vom Absenden abhalten, und wie jedes mit einem herkoemmlichen Tool gegenueber einem mit Zero-Knowledge-Ende-zu-Ende-Verschluesselung aussieht:
| Szenario | Herkoemmliches Intake-Tool | Zero-Knowledge-E2EE-Kanal |
|---|---|---|
| Neugier oder Noetigung des Anbieter-Personals | Personal mit Produktionszugriff kann Meldungsinhalt lesen | Anbieter haelt nur Chiffrat; Personal kann es nicht lesen |
| Herausgabeersuchen oder Anordnung an den Anbieter | Klartext-Meldungen koennen produziert werden | Nur Chiffrat vorhanden; ohne Schluessel der Inhaberin nutzlos |
| Vorfall oder Fehlkonfiguration beim Anbieter | Lesbare Meldungen und Identitaeten offengelegt | Chiffrat offengelegt; Inhalt und Identitaet bleiben unlesbar |
| Interner IT-Administrator mit Infrastrukturzugriff | Kann gespeicherten Meldungsinhalt erreichen | Sieht nur verschluesselte Blobs; kann nicht entschluesseln |
Mit Zero-Knowledge-Ende-zu-Ende-Verschluesselung wird die Meldung im Browser der meldenden Person verschluesselt, bevor sie das Geraet verlaesst, und nur die benannten Fallbearbeiter — mit einem Schluessel, den der Anbieter nie sieht — koennen entschluesseln. Der Betreiber kann nicht offenlegen, was er nicht lesen kann. Das ist die staerkste moegliche Antwort auf die Frage, die jede meldende Person implizit stellt: Wer sonst kann das sehen?
Vertraulichkeit durch Gestaltung, nicht durch Versprechen
Die Richtlinie erwartet, dass Kanaele so gestaltet und betrieben werden, dass die Identitaet der meldenden Person geschuetzt ist. Eine kryptographische Garantie, dass der Kanal-Anbieter Einsendungen nicht lesen kann, ist ein starker, belegbarer Weg, diese Gestaltungserwartung zu erfuellen — Vertraulichkeit, die durch Mathematik durchgesetzt wird statt durch Vertrauen in das gute Verhalten eines Anbieters.
Einen konformen Kanal aufsetzen — Schritt fuer Schritt
Ein konformer Kanal ist ein Prozess, nicht bloss ein Stueck Software. Das Intake-Tool ist eine Komponente; die folgenden Schritte zeigen, wo es hingehoert und was die Organisation drumherum weiterhin selbst tragen muss.
Umfang und Sprachen festlegen
Entscheiden Sie, welche Verstoesse der Kanal abdeckt, welches mitgliedstaatliche Recht fuer welche Gruppe von Meldenden gilt und welche Sprachen Ihre Belegschaft tatsaechlich spricht. Planen Sie mehrsprachige Annahme von Anfang an, nicht nachtraeglich.
Sicheres Intake waehlen
Waehlen Sie einen Annahmekanal, der die Identitaet der meldenden Person bauartbedingt schuetzt — idealerweise mit Ende-zu-Ende-Verschluesselung, damit der Anbieter Meldungen nicht lesen kann — auf einer stabilen, zugaenglichen URL und frei von Drittanbieter-Trackern.
Klare Meldepolitik veroeffentlichen
Sagen Sie der Belegschaft, wofuer der Kanal da ist, wie man ihn nutzt, welche Vertraulichkeit und (falls angeboten) Anonymitaet sie erwarten darf und welcher Schutz vor Repressalien gilt. Verlinken Sie sie im Intranet, Handbuch und Onboarding.
Benannte Fallbearbeiter schulen
Benennen Sie eine unparteiische Person oder Stelle und schulen Sie sie zu Vertraulichkeit, Fristen, Umgang mit Interessenkonflikten und Dokumentation. Sie — nicht der IT-Anbieter — sind die zum Lesen von Meldungen befugten Personen.
Binnen 7 Tagen bestaetigen
Bauen Sie einen Prozess, der der meldenden Person den Eingang innert sieben Tagen bestaetigt, auch bei anonymen Meldungen, wenn ein Rueckkanal existiert (etwa ein Referenzcode, den die meldende Person pruefen kann).
Unparteiisch untersuchen
Gehen Sie sorgfaeltig nach, managen Sie Interessenkonflikte, halten Sie die meldende Person wo moeglich informiert und beziehen Sie die richtigen Funktionen (Recht, HR, Revision) unter kontrolliertem Zugriff ein.
Binnen 3 Monaten rueckmelden
Geben Sie der meldenden Person innert eines angemessenen Zeitraums von hoechstens drei Monaten ab Bestaetigung eine Rueckmeldung zu den geplanten oder ergriffenen Massnahmen.
Dokumentieren und aufbewahren
Halten Sie Meldungen und deren Bearbeitung fest, wenden Sie einen Aufbewahrungsplan an, der Vertraulichkeit und DSGVO/nDSG entspricht, und seien Sie bereit, die Funktionsfaehigkeit des Kanals auf Behoerdenanfrage zu belegen.
Wie Schweizerform hineinpasst
Schweizerform ist ein Zero-Knowledge-Ende-zu-Ende-verschluesselter Formularbaukasten, ausschliesslich in der Schweiz gehostet. Fuer einen internen Meldekanal liefert es die sichere mehrsprachige Intake-Ebene, von der mehrere der obigen Anforderungen abhaengen:
- Mehrsprachige Meldeformulare in EN / DE / FR / IT — derselbe Kanal, nutzbar von einer Belegschaft, die nicht eine gemeinsame Sprache teilt
- Zero-Knowledge-Ende-zu-Ende-Verschluesselung bei jeder Einsendung — Meldungen werden im Browser der meldenden Person verschluesselt, und Schweizerform speichert nur Chiffrat, das es nicht lesen kann
- Verschluesselte Beweis-Dateien — Dokumente, Screenshots und Aufzeichnungen (bis 25 MB pro Datei) werden im Browser verschluesselt, bevor sie das Geraet verlassen
- Keine Drittanbieter-Tracker auf der Formularseite und ausschliesslich First-Party-Analyse — die Intake-Seite gibt nicht leise Identitaet ueber Analyse oder Fingerprinting preis
- Passwortgeschuetzte Formulare und formular-individuelle Access Codes, auf die benannten Fallbearbeiter zugeschnitten — der entschluesselungsberechtigte Kreis ist streng begrenzt
- Schweizer Hosting bei Infomaniak, ohne US- oder EU-Anbieter im Datenpfad der Antwort-Payload, ausgerichtet am Schweizer nDSG und an DSGVO-konformer Handhabung
Ehrlicher Hinweis zum Umfang
Schweizerform ist die sichere Intake-Ebene, keine vollstaendige Fallmanagement- oder Whistleblowing-Suite. Es benennt nicht Ihre unparteiische Fallbearbeiterin, fuehrt nicht Ihre Untersuchung und verfolgt nicht Ihre 7-Tage- und 3-Monats-Fristen fuer Sie. Diese Schritte — der Prozess rund um den Kanal — vervollstaendigen das Compliance-Bild und verbleiben bei Ihrer Organisation. Die Use-Case-Seite 'HR- & Hinweisgeber-Meldeformulare' auf der Website behandelt diese Intake-Rolle vertiefter.
Mit anderen Worten: Schweizerform beantwortet den Teil der Richtlinie, der wirklich ein Technologieproblem ist — sichere, vertrauliche, mehrsprachige Annahme, die der Anbieter nicht lesen kann — und belaesst den organisatorischen Prozess dort, wo er hingehoert: bei Ihnen.
Das Fazit
Die Richtlinie (EU) 2019/1937 hat einen internen Meldekanal zur Rechtspflicht gemacht, und die Umsetzungsfristen liegen hinter uns. Ein konformer Kanal schuetzt die Identitaet vertraulich, bestaetigt binnen sieben Tagen, geht unparteiisch nach, meldet binnen drei Monaten zurueck, fuehrt Aufzeichnungen und beachtet das Datenschutzrecht. Fuer eine internationale oder mehrsprachige Belegschaft muss er ausserdem in den Sprachen, die die Menschen sprechen, tatsaechlich nutzbar sein — und fuer Schweizer Gruppen mit EU-Betrieben muss er das mitgliedstaatliche Recht dort erfuellen, wo ihre Leute arbeiten.
Die Technologiefrage darin ist eng und beantwortbar: Kann der Kanal garantieren, dass nur Ihre benannten Fallbearbeiter — und nicht der Anbieter des Tools — lesen koennen, was Meldende einreichen? Zero-Knowledge-Ende-zu-Ende-Verschluesselung, mehrsprachige Annahme und Schweizer Hosting machen aus dieser Frage ein zuversichtliches Ja und lassen Ihren Compliance-Prozess den Rest erledigen.
Schweizerform liefert die sichere, mehrsprachige, Ende-zu-Ende-verschluesselte Intake-Ebene fuer einen internen Meldekanal — Schweizer Hosting, keine Drittanbieter-Tracker, volle EN- / DE- / FR- / IT-Unterstuetzung und keine Kreditkarte im kostenlosen Tarif.
Hinweis: Dieser Artikel ist allgemeine Information und Marketinginhalt, keine Rechts- oder Compliance-Beratung. Bezugnahmen auf die Richtlinie (EU) 2019/1937, ihre nationalen Umsetzungen, die DSGVO, das Schweizer nDSG und das Schweizer Obligationenrecht sind konzeptionell zusammengefasst und unterliegen nationaler Umsetzung, jurisdiktionsspezifischer Auslegung und kuenftigen Gesetzesaenderungen — darunter, ob anonymes Melden anzunehmen ist, sowie genaue Schwellen, Fristen und Sanktionen, die je Mitgliedstaat variieren. Die Verantwortung fuer einen konformen Meldekanal — einschliesslich Benennung einer unparteiischen Fallbearbeitung, Einhaltung der Bestaetigungs- und Rueckmeldefristen, Dokumentation und Repressalienschutz — verbleibt bei der Organisation. Ziehen Sie qualifizierte EU-/nationale und Schweizer Rechtsberatung sowie eine Datenschutz-Fachperson bei, bevor Sie Compliance- oder Beschaffungsentscheidungen treffen.