HinSchG, Schutz

HinSchG: Neuer Schutz für Whistleblower bei Cyberangriffen

07.12.2025 - 05:11:12

HinSchG: Neuer Schutz für Whistleblower bei Cyberangriffen - Foto: über boerse-global.de
HinSchG: Neuer Schutz für Whistleblower bei Cyberangriffen - Foto: über boerse-global.de

Die deutsche Whistleblower-Regelung hat sich über Nacht verändert. Mit Inkrafttreten des neuen NIS-2-Umsetzungsgesetzes am Samstag erweitert sich der Schutzschirm für Hinweisgeber massiv – vor allem in der Cybersicherheit. Was bedeutet das für Unternehmen, die kritische Infrastrukturen betreiben?

Der Gesetzgeber hat die Lücke zwischen IT-Sicherheitspflichten und Whistleblower-Rechten geschlossen. Tausende Firmen müssen ihre internen Meldekanäle jetzt überarbeiten. Die Änderung kam still, aber mit Wucht: Im Bundesgesetzblatt Nr. 301 vom 5. Dezember 2025 versteckt sich in Artikel 14 eine Anpassung des Hinweisgeberschutzgesetzes (HinSchG), die es in sich hat.

Wer künftig Verstöße gegen die verschärften Cybersicherheitsvorschriften meldet, genießt ausdrücklichen gesetzlichen Schutz vor Repressalien. Das gilt nicht mehr nur für klassische Kritische Infrastrukturen, sondern für alle Unternehmen, die unter die neuen EU-Vorgaben fallen.

Anzeige

Viele Unternehmen unterschätzen die praktische Umsetzung des HinSchG – gerade nach der NIS‑2‑Anpassung sind interne Meldekanäle oft nicht DSGVO‑konform oder technisch ungeeignet. Unser kostenloser Praxisleitfaden erklärt Schritt für Schritt, wie Sie Meldestellen rechts- und datenschutzkonform einrichten, anonyme Hinweise sicher bearbeiten und Bußgelder vermeiden. Ideal für Compliance-, Datenschutz- und Rechtsabteilungen. Praxisleitfaden Hinweisgeberschutzgesetz kostenlos herunterladen

Die entscheidende Änderung findet sich im Paragrafen 2 des HinSchG, der den sachlichen Anwendungsbereich regelt. Bislang schützte das Gesetz Hinweisgeber, die Verstöße bei “Betreibern kritischer Anlagen” oder “Anbietern digitaler Dienste” nach altem BSI-Gesetz meldeten.

Diese Begriffe gehören ab sofort der Vergangenheit an. Das neue Gesetz verweist nun auf § 28 des reformierten BSI-Gesetzes und dessen breiter gefasste Kategorien:

  • Besonders wichtige Einrichtungen – die Hochsicherheitszone der Digitalisierung
  • Wichtige Einrichtungen – ein deutlich größerer Kreis betroffener Organisationen

Die Sektoren reichen von Energie und Transport bis zu digitaler Infrastruktur. Ein Compliance-Analyst bringt es auf den Punkt: “Das ist keine redaktionelle Pflege. Hier wird das Netz der geschützten Meldungen erheblich ausgeweitet.”

Konkret heißt das: Meldet eine Mitarbeiterin, dass ihr Arbeitgeber die neuen NIS-2-Risikomanagement-Vorgaben ignoriert, steht sie unter dem Anti-Vergeltungsschutz des HinSchG. Ohne Wenn und Aber.

Handlungsdruck für Unternehmen: Sofort, nicht später

Für viele Firmen beginnt der Stress am Montag. Während die allgemeine Frist zur Einrichtung interner Meldekanäle bereits im Dezember 2023 ablief (für Unternehmen mit 50-249 Beschäftigten), schafft die NIS-2-Umsetzung eine neue Dringlichkeitsstufe.

Besonders betroffen sind Organisationen, die sich bisher nicht als Teil kritischer Infrastruktur verstanden haben. Wer jetzt als “wichtige Einrichtung” eingestuft wird, muss sicherstellen, dass die Whistleblowing-Kanäle auch komplexe IT-Sicherheitsmeldungen verarbeiten können.

Die To-Do-Liste ist konkret:

  • Policy-Updates erforderlich: Interne Richtlinien, die noch auf alte BSI-Gesetz-Paragrafen verweisen, sind obsolet. Der Verweis muss auf § 28 BSI-Gesetz neu gefasst werden.

  • Kompetenz der Meldestellen: Mitarbeiter, die Hinweise entgegennehmen, brauchen Schulungen. Sie müssen Meldungen zu NIS-2-Verstößen als “geschützte Offenlegungen” erkennen können.

  • System-Integration: Ratsam ist die Verzahnung der NIS-2-Incident-Meldung ans BSI mit den internen Whistleblower-Kanälen. Sonst drohen widersprüchliche Informationsflüsse.

Kritikpunkt: Die anonyme Lücke bleibt

Doch die Euphorie über mehr Schutz hat einen Dämpfer. Das Wirtschaftsprüfungs- und Beratungshaus BDO hat am 4. Dezember in einer Stellungnahme einen “handwerklichen Fehler” in der deutschen Umsetzung kritisiert.

Der Knackpunkt: Das HinSchG formuliert bei anonymen Meldungen im Konjunktiv. Meldestellen “sollen” anonyme Hinweise bearbeiten – müssen es aber nicht zwingend. Im Gegensatz zu den verpflichtend einzurichtenden nicht-anonymen Kanälen bleibt hier ein Ermessensspielraum.

“Tatsächlich sind es häufig die anonymen Hinweise, die zur Aufdeckung strafrechtlich relevanter Machenschaften mit erheblichem finanziellem Schaden führen”, mahnt BDO. Die Praxis zeige: Unternehmen, die auf simple Briefkästen oder E-Mail-Adressen setzen, bieten keine sichere Rückkanalkommunikation. Anonyme Hinweisgeber werden faktisch zum Schweigen gebracht.

Die Empfehlung der vergangenen 72 Stunden ist eindeutig: Digitale Plattformen mit verschlüsselter, bidirektionaler Kommunikation implementieren – unabhängig davon, was das Gesetz minimal verlangt.

Arbeitsgerichte legen die Messlatte hoch

Die Dringlichkeit für Compliance-Updates ist nicht theoretischer Natur. Deutsche Arbeitsgerichte interpretieren das HinSchG restriktiv. Ein Urteil des Arbeitsgerichts Braunschweig von Mitte 2025 (Az. 6 Ca 303/24) machte klar: Wer die formalen Meldewege nicht exakt einhält oder Verstöße meldet, die vor Inkrafttreten des Gesetzes lagen, riskiert den Schutz vor Kündigung.

Mit der seit gestern geltenden NIS-2-Änderung wird die Komplexität “korrekter” Meldungen noch größer. Eine Mitarbeiterin, die eine Sicherheitslücke in der IT meldet, muss sicherstellen, dass der Verstoß unter die neuen Definitionen des BSI-Gesetzes fällt. Sonst greift der Schutz möglicherweise nicht.

Wie sollen Beschäftigte ohne Jurastudium diese Differenzierung leisten? Die Verantwortung liegt bei den Unternehmen, ihre internen Stellen kompetent zu besetzen und zu briefen.

Ausblick: Die Prüfungswelle rollt an

Für Anfang 2026 rechnen Experten mit einer Welle von Compliance-Kontrollen. Das Bundesamt für Justiz und das BSI werden das neue Doppelregime aus NIS-2 und HinSchG durchsetzen – und zwar scharf.

Eine Gnadenfrist für diese spezifische Gesetzesänderung gibt es nicht. Sie gilt ab sofort. Rechtsabteilungen sollten noch diese Woche klären:

  • Hat sich der Entity-Status des Unternehmens unter dem neuen BSI-Gesetz verändert?
  • Sind die Informationsblätter für Hinweisgeber aktualisiert?
  • Kennen die Verantwortlichen in den Meldestellen die neuen Referenzparagrafen?

Denn wer keine funktionsfähige Meldestelle vorhält, riskiert Bußgelder bis zu 50.000 Euro. Diese Strafe kann jetzt auch ausgelöst werden, wenn ein Bericht über die neuen Cybersicherheitsstandards falsch behandelt wird.

Das Wochenende hat die Spielregeln geändert. Wer Montag nicht vorbereitet ist, spielt mit dem Feuer.

Anzeige

PS: Die NIS‑2‑Umsetzung erhöht das Risiko für Cybervorfälle und macht technische Absicherung zur Pflicht. Unser Gratis‑E‑Book “Cyber Security Awareness Trends” zeigt pragmatische Maßnahmen, mit denen IT‑ und Compliance‑Teams Abwehr stärken, Incident‑Meldungen integrieren und teure Prüfungen bestehen können. Kompakt, praxisnah und ohne große Investitionen. Jetzt Cyber‑Security‑Guide herunterladen

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler