Whistleblower-Schutz: LAG Niedersachsen lehnt Manager-Klagen ab

Das Landesarbeitsgericht (LAG) Niedersachsen hat die Berufungen zweier Führungskräfte gegen eine Entscheidung des Arbeitsgerichts Braunschweig zurückgewiesen. Die Manager eines großen deutschen Automobilherstellers hatten Schadensersatz nach dem Hinweisgeberschutzgesetz (HinSchG) gefordert – und scheiterten.

Die zentrale Frage: Sind interne Meldungen aus der oberen Führungsebene überhaupt durch das Gesetz geschützt? Das Gericht verneinte dies in zwei Fällen (Az. 17 SLa 618/25 und 17 SLa 619/25) aus mehreren Gründen.

Die rechtssichere Organisation interner Meldestellen stellt viele Unternehmen vor große Hürden, insbesondere bei der Abgrenzung von Schutzansprüchen. Dieser kostenlose Praxisleitfaden unterstützt HR- und Compliance-Verantwortliche dabei, das HinSchG fehlerfrei umzusetzen und Haftungsrisiken zu minimieren. Kostenlosen Praxisleitfaden zum HinSchG herunterladen

Zeitliche Lücke und fehlende Nachweise

Die entscheidenden internen Kommunikationen der Kläger fanden statt, bevor das HinSchG überhaupt in Kraft getreten war. Damit fehlte bereits die zeitliche Grundlage für einen Schutzanspruch. Zudem konnten die Manager nicht ausreichend belegen, dass ihnen aufgrund ihrer Meldungen tatsächlich Nachteile entstanden waren.

Das LAG ließ jedoch die Revision zum Bundesarbeitsgericht (BAG) zu. Das könnte bedeuten: Die höchste Instanz muss klären, wie der Whistleblower-Schutz für interne Meldungen in Übergangsphasen eines Gesetzes genau anzuwenden ist.

Neue Regulierungsflut für Unternehmen

Das Urteil fällt in eine Zeit massiver regulatorischer Veränderungen für deutsche Unternehmen. Seit Ende 2025 gelten verschärfte Anforderungen:

• NIS-2-Umsetzungsgesetz (seit November 2025): Betrifft Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz in kritischen Sektoren wie Energie, Transport und Fertigung
• Digitale operationelle Resilienz (DORA): Seit Januar 2025 für den Finanzsektor aktiv
• EU AI Act: Vollständige Umsetzung für 2026 erwartet

Die Unternehmen müssen nun nicht nur Whistleblower-Meldungen bearbeiten, sondern auch formale Risikomanagement-Systeme und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) etablieren.

Neben dem Hinweisgeberschutz rücken neue EU-Vorgaben wie die KI-Verordnung in den Fokus der Compliance-Abteilungen. Ein kostenloser Umsetzungsleitfaden bietet Ihnen jetzt den notwendigen Überblick über Risikoklassen und Dokumentationspflichten, um rechtlich auf der sicheren Seite zu bleiben. Kostenloses E-Book zum EU AI Act sichern

Persönliche Haftung für Führungskräfte

Experten warnen: Die rechtliche Last auf das Management wächst erheblich. Geschäftsführer und Vorstände riskieren persönliche Haftung, wenn sie die neuen Berichts- und Risikobewertungsrahmen nicht ordnungsgemäß umsetzen.

Ein integrierter Ansatz wird zunehmend notwendig – die verschiedenen Regulierungen lassen sich kaum noch isoliert betrachten.

Daten-Governance unter dem neuen EU-Datengesetz

Seit dem 30. Mai 2026 gilt zudem das deutsche Umsetzungsgesetz zum EU Data Act (DADG). Es legt klare Aufsichtspflichten und hohe Geldstrafen fest:

• Die Bundesnetzagentur (BNetzA) ist zentrale Aufsichtsbehörde für private Unternehmen
• Der Bundesbeauftragte für den Datenschutz (BfDI) überwacht nicht-öffentliche Stellen bei personenbezogenen Daten
• Unternehmen mit über 250 Millionen Euro Jahresumsatz drohen Bußgelder von bis zu zwei Prozent des globalen Jahresumsatzes

Lieferketten unter Druck

Die operative Bedeutung robuster Meldekanäle und Datensicherheit zeigt ein Blick auf aktuelle Sicherheitszahlen. Laut dem Verizon Data Breach Investigations Report 2025 waren 30 Prozent aller Sicherheitsvorfälle auf Dritte zurückzuführen. Unstrukturierte Daten wie E-Mails und interne Dokumente bleiben eine Hauptrisikoquelle.

Die Bedrohungslage verschärft sich rasant: Über 48.000 neue Sicherheitslücken wurden 2025 veröffentlicht. Spezialberichte aus dem Folgejahr zeigen einen Anstieg manipulierter Softwarepakete in gängigen Entwickler-Registries um 451 Prozent.

Trotz dieser wachsenden Gefahren haben Studien zufolge nur 40 Prozent der Unternehmen wirksame Mechanismen, um schädliche Pakete in ihren Lieferketten zu erkennen.

de | wirtschaft | 69468762 |