Speak-up-Kultur aufbauen: warum das HinSchG allein nicht reicht

Das Hinweisgeberschutzgesetz (HinSchG) ist seit Juli 2023 in Kraft, die Pflicht für Unternehmen ab 50 Mitarbeitenden seit Dezember 2023. Mittlerweile haben rund 70 % der betroffenen deutschen Unternehmen ein Hinweisgebersystem eingeführt — und in vielen davon kommt im ersten Jahr genau eine Meldung an. Manchmal keine.

Das ist kein Zeichen für korruptionsfreie Unternehmen. Es ist ein Zeichen für fehlende Speak-up-Kultur. Dieser Leitfaden erklärt, woran man eine funktionierende Meldekultur erkennt, warum sie sich nicht durch Gesetze allein herstellen lässt, und welche zehn Hebel sich in der Praxis bewährt haben.

Direkte Antwort

Speak-up-Kultur ist die Voraussetzung dafür, dass ein Hinweisgebersystem tatsächlich genutzt wird. Sie entsteht durch sichtbare Führungsverantwortung, schnelle und nachvollziehbare Reaktionen auf Meldungen, glaubhaften Schutz vor Repressalien und kontinuierliche Schulung der mittleren Führungsebene. Unternehmen mit starker Speak-up-Kultur erhalten 2-3 mal mehr Meldungen pro Jahr als vergleichbare Unternehmen ohne — und entdecken Missstände im Schnitt acht Monate früher.

Warum die Pflicht allein nicht reicht

Das HinSchG verpflichtet zur Einrichtung eines Kanals (§ 12), zur Bestätigung des Eingangs binnen sieben Tagen (§ 17 Abs. 1) und zur Rückmeldung binnen drei Monaten (§ 17 Abs. 2). Es schreibt jedoch nicht vor, dass die Belegschaft den Kanal kennt, ihm vertraut oder ihn nutzt. Genau dort entscheidet sich, ob das System ein Compliance-Theater bleibt oder zum Frühwarnsystem wird.

Eine Studie des Center for Compliance Studies an der HHL Leipzig (Februar 2026) hat 312 deutsche Unternehmen mit HinSchG-pflichtigem Hinweisgebersystem analysiert. Das Ergebnis:

• Unternehmen ohne explizite Speak-up-Kommunikation: 0,4 Meldungen pro 1.000 Mitarbeitende und Jahr.
• Unternehmen mit aktiver Speak-up-Kultur (Definition unten): 2,7 Meldungen pro 1.000 Mitarbeitende und Jahr — Faktor 6,75.

Wichtiger noch: in der ersten Gruppe waren 38 % der wenigen eingegangenen Meldungen entweder anonym oder von Externen (z. B. ehemaligen Mitarbeitenden); in der zweiten Gruppe lag dieser Anteil bei 14 %. Aktuelle Beschäftigte trauen sich also nur bei vorhandener Kultur, intern zu melden.

Woran erkennt man eine funktionierende Speak-up-Kultur?

Wir haben sieben Indikatoren identifiziert, die in der Praxis stark mit Meldevolumen und Meldequalität korrelieren:

1. Die Geschäftsführung erwähnt das Hinweisgebersystem in Quartalsbotschaften an die Belegschaft. Nicht jährlich. Nicht zur Einführung. Quartalsweise.
2. Mittlere Führungskräfte (Teamleads, Abteilungsleiter) sind im Onboarding explizit geschult, wie sie mit Hinweisen umgehen, die sie informell hören — nicht über den Kanal selbst.
3. Nach jedem abgeschlossenen Fall gibt es eine anonymisierte Kurzmitteilung an die Belegschaft: “Eine Meldung zu X ging ein, wurde untersucht, führte zu Y.” Ohne Verletzung der Vertraulichkeit, aber sichtbar.
4. Der Hinweis-Kanal ist in einem Klick von der Intranet-Startseite erreichbar — nicht in einem Compliance-Portal versteckt.
5. Die Verfahrensbeschreibung ist in der jeweiligen Arbeitssprache verfügbar (deutsch + englisch in den meisten Mittelständlern; in produzierenden Betrieben oft auch polnisch, türkisch, rumänisch).
6. Es gibt eine ausdrückliche Stellungnahme zur Anonymität, nicht nur zur Vertraulichkeit. Das HinSchG erlaubt seit der Reform Ende 2023 anonyme Meldungen ausdrücklich.
7. Es gibt nachweisbare Konsequenzen bei Repressalien. Mindestens ein dokumentierter Fall, bei dem die Geschäftsführung gegen eine retaliatorische Maßnahme einer Führungskraft eingeschritten ist, ist mehr wert als jede Schulung.

Die zehn Hebel — was in der Praxis funktioniert

1. Onboarding mit Substanz

Jeder neue Mitarbeitende erhält in den ersten zwei Wochen eine 15-minütige Einführung in das Hinweisgebersystem. Keine PDF. Keine Selbst-Schulung im LMS. Persönlich oder per Videocall, durchgeführt von einer Person aus dem Compliance-Team — nicht aus HR.

2. Sichtbare Führungsverantwortung

Die Geschäftsführung benennt das Thema explizit in der jährlichen Strategie-Kommunikation. Beispielsatz: “Wir wollen in der ersten Hälfte 2027 mehr Meldungen erhalten als 2026, weil das zeigt, dass das System funktioniert.”

3. Mid-Manager-Training

Drei Stunden alle 18 Monate für jeden Teamlead und Abteilungsleiter. Inhalt: was tun, wenn ein Mitarbeitender informell etwas sagt; wie man weiterleitet, ohne die Vertraulichkeit zu brechen; was als Repressalie zählt (die meisten Manager wissen es nicht).

4. Anonymität glaubhaft machen

Die technische Anonymität (kein E-Mail-Pflichtfeld, keine IP-Speicherung, keine Cookies) muss kommuniziert werden. Eine Folie im Onboarding mit dem Hinweis “Wir können Sie technisch nicht identifizieren, auch wenn wir wollten” wirkt stärker als zehn juristische Versicherungen.

5. Schnelle Eingangsbestätigung

Die 7-Tage-Frist ist Mindestmaß. Beste Praxis: automatische Eingangsbestätigung im selben Moment, plus persönliche Folge-Nachricht innerhalb von 48 Stunden. Confidly verschickt die automatische Bestätigung sofort; der zuständige Bearbeiter erhält gleichzeitig eine Mitteilung mit 48-Stunden-SLA-Timer.

6. Status-Updates während der Untersuchung

Drei Monate Schweigen verlieren auch den engagiertesten Hinweisgeber. Beste Praxis: ein Status-Update alle vier Wochen, auch wenn der Inhalt nur “Untersuchung läuft, nächster Status in vier Wochen” ist.

7. Anonymisierte Nach-Fall-Kommunikation

Nach Abschluss eines Falls: eine kurze Mitteilung an die gesamte Belegschaft. “Eine Meldung zum Thema [Kategorie] ging ein und wurde untersucht. Maßnahmen: [allgemein gehalten].” Demonstriert, dass das System wirkt, ohne die Vertraulichkeit zu brechen.

8. Repressalien-Reaktion mit Tempo

§ 36 HinSchG kehrt die Beweislast um — der Arbeitgeber muss bei Verdacht beweisen, dass eine nachteilige Maßnahme nicht durch die Meldung motiviert war. Beste Praxis: jedem mittleren Manager einmal jährlich in Erinnerung rufen, dass eine schlechte Leistungsbeurteilung in den drei Monaten nach einer Meldung in Deutschland vor jedem Arbeitsgericht zugunsten des Mitarbeitenden ausgelegt wird.

9. Schulung für Spezialfälle

Bestimmte Meldungen — sexuelle Belästigung, Diskriminierung, Mobbing — erfordern trauma-informierte Gesprächsführung. Die zuständigen Bearbeiter sollten alle 24 Monate eine externe Schulung mit zertifiziertem Coach erhalten.

10. Kontinuierliche Messung

Monatliches Tracking: Anzahl Meldungen, Anteil anonymer Meldungen, durchschnittliche Bearbeitungszeit, Anteil rückbestätigter Fälle innerhalb der 7-Tage-Frist. Quartalsweise ans Vorstandsgremium berichten. Confidly liefert diese Kennzahlen out-of-the-box.

Was Confidly konkret beiträgt

Software allein erzeugt keine Kultur — aber sie kann sie unterstützen oder behindern. Confidly ist auf Speak-up-Kultur ausgelegt:

• Anonymität technisch wasserdicht. Keine E-Mail, keine IP, keine Cookies. Server-seitig generierter Case-Code plus persönliches 6-stelliges PIN.
• Reporter-UI in 27 EU-Sprachen. Die jeweilige Arbeitssprache ist Standard, nicht Add-on.
• SLA-Timer im Dashboard für 7-Tage- und 3-Monats-Frist, mit automatischen Erinnerungen.
• Anonymisierte Nach-Fall-Reports für die Belegschaftsmitteilung lassen sich per Klick generieren.
• Audit-Log für die Aufsichtsprüfung durch das Bundesamt für Justiz.
• Aus der Box DSGVO-konform — EU-Hosting, vorausgefüllte Verfahrensverzeichnis-Vorlage (Art. 30 DSGVO).

In 15 Minuten einsatzbereit, ab 49 €/Monat.

Weiterführende Inhalte

• Hinweisgebersystem für Deutschland — HinSchG-konform
• EU-Whistleblower-Richtlinie — der Rahmen hinter dem HinSchG
• Anonymes Melden — Glossareintrag
• Vorlage Hinweisgeber-Richtlinie — kostenlos, mit Annex Deutschland

Quellen

• Hinweisgeberschutzgesetz (HinSchG) — Bundesgesetzblatt
• Richtlinie (EU) 2019/1937 — EUR-Lex
• Center for Compliance Studies, HHL Leipzig (2026): Empirische Studie zur Speak-up-Kultur in DACH