Whistleblowing

[ˈwɪslbləʊɪŋ] · auch: Hinweisgebersystem, interne Meldestelle, Speak-Up-Kanal

Whistleblowing bezeichnet das System und die Prozesse, durch die Mitarbeiter und Externe Gesetzesverstösse, ethische Verfehlungen oder Compliance-Risiken anonym und ohne Angst vor Vergeltung melden können – geregelt durch das Hinweisgeberschutzgesetz (HinSchG) in Deutschland.

Warum Whistleblowing ein Governance-Kernbegriff ist

Whistleblowing ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Whistleblowing als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.

Wo Whistleblowing gefordert wird

Framework	Referenz	Anforderung
HinSchG	vollständig	Hinweisgeberschutzgesetz: Pflicht zur Einrichtung anonymer interner Meldestellen für Organisationen ab 50 Mitarbeiter seit 2023.
EU-Whistleblower-Richtlinie	2019/1937	Europäische Grundlage für Hinweisgeberschutz – in Deutschland durch das HinSchG umgesetzt.
ISO 37001	Kap. 8.9	Anti-Korruptionsmanagementsystem: Whistleblowing als Pflichtbestandteil.
NIS-2 / BSIG	§ 30	Meldewege für Sicherheitsvorfälle – interner Meldekanal als ergänzende Massnahme.
DSGVO	Art. 32	Vertraulichkeit des Meldeprozesses: Datenschutzanforderungen für Hinweisgebersysteme.

BAM-Objektreferenz

BAM-Objekt GOV-WB-01

BeschreibungWhistleblowing-System mit anonymem Meldekanal, Nicht-Diskriminierungsschutz und Reaktionsprozess

GitHubBAM Core →

Häufige Audit-Fehler

Konzept verstanden, aber nicht formal dokumentiert
Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
Keine regelmäßige Überprüfung der Umsetzung
Fehlende Evidence für den Auditor

Kernelemente in der Praxis

Ein wirksames Whistleblowing-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.

Abgrenzung und Einordnung

Whistleblowing steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Whistleblowing-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.

Nächste Ebene

Whistleblowing in der Praxis: Umsetzung, Nachweise und Evidence

Was Auditoren bei Whistleblowing konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →