Whistleblower-Policy / Internes Meldereglement Schweiz (OR Art. 321a; GwG)

Das Whistleblower-Policy / Internes Meldereglement ist ein in der Schweiz nach Schweizer Obligationenrecht (OR) Art. 321a (SR 220) geregeltes rechtsverbindliches schriftliches Dokument. Für bestimmte Branchen bestehen weitergehende gesetzliche Regelungen. Finanzintermediäre, die dem Geldwäschereigesetz (GwG, SR 955.0) unterstellt sind, sind nach GwG Art. 9 zur Verdachtsmeldung an MROS (Meldestelle für Geldwäscherei, fedpol) verpflichtet — und nach GwG Art. 11 immun von strafrechtlicher Verfolgung für gutgläubige Meldungen. Für FINMA-beaufsichtigte Institute verlangen FINMA-Rundschreiben wie FINMA-RS 17/1 interne Meldesysteme als Teil der Compliance-Infrastruktur. Angestellte, die Verstösse bei ihrer Arbeitgeberin melden, sind nach OR Art. 328 vor Vergeltungsmassnahmen geschützt — eine missbräuchliche Kündigung nach OR Art. 336 kann Entschädigungsansprüche begründen.

In Anlehnung an die EU-WB-RL 2019/1937, die für Unternehmen mit 50 oder mehr Beschäftigten in der EU gilt, haben viele internationale Konzerne mit Schweizer Tochtergesellschaften konzernweite Whistleblower-Systeme eingeführt, die auch die Schweizer Gesellschaft einschliessen. Rein Schweizer KMU und Grossunternehmen hingegen richten ihr internes Meldewesen nach Schweizer Recht aus. Die Policy regelt typischerweise: Meldekanäle (intern und extern), Ansprechpersonen oder Ombudspersonen, Schutz der Vertraulichkeit, Verfahren nach Meldungseingang, Schutz des Hinweisgebers vor Vergeltung, Aufbewahrungsfristen und Datenschutz (revDSG, SR 235.1). Auf forms-legal.com steht das vollständige Muster-Meldereglement für Schweizer Gesellschaften zum sofortigen Download bereit.

Der internationale Kontext hat auch die Schweizer Praxis beeinflusst: Grossbanken wie UBS und Credit Suisse sowie kotierte Gesellschaften an der SIX Swiss Exchange haben interne Meldewesen eingeführt, die an internationalen Standards (OECD Anti-Bribery Convention, UN Global Compact) ausgerichtet sind. Das Bundesgericht hat in mehreren Urteilen — insbesondere BGE 4A_694/2015 — klargestellt, dass Hinweisgeber, die intern melden, durch OR Art. 328 geschützt sind, während externe Meldungen an Behörden oder Medien nur unter strengeren Voraussetzungen zulässig sind.

Praktisch bedeutet dies: Unternehmen, die eine klare und funktionierende Whistleblower-Policy einführen, schaffen Vertrauen bei Mitarbeitenden, reduzieren das Risiko externer Enthüllungen und demonstrieren regulatorischen Stellen — FINMA, MROS, kantonalen Behörden — eine proaktive Compliance-Kultur. Das Bundesgericht hat in BGE 6B_608/2021 zudem festgehalten, dass strafrechtlich relevante Informationen über den Arbeitgeber unter bestimmten Umständen an Behörden gemeldet werden dürfen, ohne dass der Arbeitnehmer seine Treuepflicht verletzt. Die Whistleblower-Policy schafft den internen Rahmen, der eine solche Eskalation strukturiert auffängt, bevor sie behördlich oder medial eskaliert.

Eine Whistleblower-Policy ist in der Schweiz in folgenden Situationen besonders wichtig oder zwingend erforderlich.

Situation 1: FINMA-beaufsichtigte Finanzinstitute. Banken (BankG, SR 952.0), Vermögensverwalter nach FINIG (SR 954.1), Versicherungen nach VAG (SR 961.01) und Effektenhändler müssen nach FINMA-RS 17/1 interne Meldesysteme als Teil ihrer Compliance-Organisation betreiben. Die FINMA prüft die Existenz und Funktionsfähigkeit des Meldesystems im Rahmen der ordentlichen Aufsicht. Das Fehlen einer formellen Policy gilt als Compliance-Mangel.

Situation 2: GwG-Finanzintermediäre — interne Verdachtsmeldung. Alle dem GwG unterstellten Finanzintermediäre müssen nach GwG Art. 9 bei Verdacht auf Geldwäscherei oder Terrorismusfinanzierung eine Verdachtsmeldung an MROS erstatten. Die interne Eskalation des Verdachts — vom beobachtenden Mitarbeitenden über den Compliance Officer bis zur MROS-Meldung — setzt einen klaren internen Meldeprozess voraus. Die Whistleblower-Policy beschreibt diesen Prozess.

Situation 3: Kotierte Gesellschaften mit Insider-Risiken. Kotierte Gesellschaften an der SIX Swiss Exchange müssen Insider-Risiken nach FinfraG Art. 142 ff. managen. Ein internes Meldesystem ermöglicht es Mitarbeitenden, Insiderhandels-Verdacht anonym zu melden, bevor die FINMA oder die SIX intervenieren. Ein funktionierendes internes Meldewesen ist ein Beweis der Corporate Governance.

Situation 4: Unternehmen mit EU-Bezug oder internationalen Konzernen. Schweizer Tochtergesellschaften von EU-Unternehmen mit 50 oder mehr Beschäftigten müssen nach EU-WB-RL 2019/1937 in das konzernweite Meldesystem integriert werden. Auch für Schweizer Unternehmen, die in der EU Geschäfte betreiben, ist die Einführung einer EU-konformen Policy sinnvoll, um Haftungsrisiken zu minimieren.

Situation 5: Grosse Unternehmen mit hohem Reputationsrisiko. Grossunternehmen, Konzerne und Unternehmen mit öffentlichem Auftrag profitieren von einer formellen Whistleblower-Policy, weil interne Meldung Skandale verhindert, bevor sie extern werden. Die Kosten einer internen Untersuchung sind regelmässig geringer als die Reputationsschäden einer externen Enthüllung in Medien oder durch Behörden.

Situation 6: KMU in regulierten Branchen. Auch KMU in Branchen mit erhöhten Compliance-Anforderungen — Medizintechnik, Pharma, Lebensmittelproduktion, öffentliche Beschaffung — profitieren von einer einfachen internen Meldepolicy. Ausschreibungsregeln im öffentlichen Sektor verlangen zunehmend den Nachweis einer Compliance-Infrastruktur, zu der das interne Meldewesen gehört. forms-legal.com stellt die Whistleblower-Policy als vollständiges Muster zur Verfügung.

Situation 7: Vorbeugende Massnahme bei erhöhtem Korruptionsrisiko. Unternehmen, die in Ländern oder Branchen mit erhöhtem Korruptionsrisiko tätig sind, benötigen interne Meldewege, um aktive und passive Bestechung (StGB Art. 322ter ff.) frühzeitig zu erkennen. GwG Art. 9 verpflichtet Finanzintermediäre — und indirekt deren Kunden — zur Meldung von Verdachtsmomenten.

Eine vollständige und wirksame Whistleblower-Policy für Schweizer Unternehmen enthält folgende unverzichtbaren Kernelemente.

1. Geltungsbereich: Die Policy muss klar definieren, für wen sie gilt. Auf jeden Fall: alle festangestellten Mitarbeitenden; nach EU-WB-RL-Anlehnung auch: temporäre Arbeitskräfte, Praktikantinnen und Praktikanten, Freelancer und externe Dienstleister, Lieferanten sowie VR-Mitglieder und Geschäftsführung. Der Geltungsbereich beeinflusst das Schutzniveau: Nur innerhalb des Geltungsbereichs stehende Personen geniessen den Vergeltungsschutz der Policy.

2. Meldbare Sachverhalte: Die Policy muss klar aufzählen, welche Verstösse oder Verdachtsmomente gemeldet werden können oder sollen: Geldwäscherei und Terrorismusfinanzierung (GwG Art. 9); Korruption und Bestechung (StGB Art. 322ter ff.); Datenschutzverletzungen (revDSG); Verstösse gegen Schweizer Finanzmarktrecht (FinfraG, BankG, FINIG); Verletzungen von Arbeitsschutz und Diskriminierungsverboten (GlG, SR 151.1); Verletzungen von Rechnungslegungspflichten; Verletzungen interner Richtlinien.

3. Interne Meldekanäle: Beschreibung der konkreten Kanäle — E-Mail-Adresse (nur dem CCO zugänglich), telefonische Hotline, physische Postbox oder digitales Meldesystem (z.B. EQS, Navex, Whistlelink). Bei Unternehmen ab 50 Beschäftigten: ein dedizierter, sicherer Kanal, der Anonymität ermöglicht. Bei kleinen KMU: direkte Meldung an CEO oder Ombudsperson. forms-legal.com empfiehlt für alle Unternehmen einen zweiten, unabhängigen Kanal (externe Ombudsperson) für den Fall, dass der erste Kanal den betroffenen Bereich selbst involviert.

4. Externe Meldekanäle und Behördenmeldung: Die Policy muss externe Kanäle benennen: FINMA (finma.ch; FINMA-Whistleblowing nach FINMAG Art. 22); MROS / fedpol für Geldwäscherei-Verdacht (goaml.admin.ch); SECO für Sanktionsverletzungen; kantonale Arbeitsinspektorate für Arbeitsverletzungen; EDÖB für Datenschutzverletzungen. Externe Meldung ist nach Schweizer Recht nur unter strengen Voraussetzungen zulässig (BGE 4A_694/2015) — die Policy sollte intern zuerst mahnen.

5. Vertraulichkeit und Datenschutz: Die Policy muss das Vertraulichkeitsversprechen klar formulieren und beschreiben, wie Personendaten des Hinweisgebers und der beschuldigten Person nach revDSG bearbeitet werden. Datenschutz-Folgenabschätzung (DSFA) nach revDSG Art. 22 ist bei digitalen Meldesystemen empfehlenswert. Aufbewahrungsfristen für Meldungsdokumentation (Empfehlung: 5 Jahre nach OR Art. 962).

6. Vergeltungsschutz: Das Kernstück der Policy. Vergeltungsmassnahmen — Kündigung, Lohnkürzung, Versetzung, Benachteiligung bei Beförderung, Mobbing — gegenüber gutgläubigen Hinweisgebern sind ausdrücklich verboten. Sanktionen bei Verstoss gegen das Vergeltungsverbot müssen benannt sein. OR Art. 336 Abs. 1 lit. b (Missbräuchliche Kündigung bei Ausübung eines verfassungsmässigen Rechts) und OR Art. 328 (Persönlichkeitsschutz) sind die gesetzliche Grundlage.

7. Untersuchungsverfahren: Klarer Ablauf nach Meldungseingang — Bestätigung des Eingangs (innert 7 Arbeitstagen), Voruntersuchung durch CCO, Einbezug externer Rechtsberatung bei schweren Verdachtsmomenten, Entscheid über Massnahmen, Rückmeldung an den Hinweisgeber. Das Verfahren muss fair sein und das Recht auf Gehör der beschuldigten Person wahren (nemo tenetur; Unschuldsvermutung). forms-legal.com bietet das vollständige Muster für die Whistleblower-Policy in der Schweiz.

8. Schulung und Kommunikation: Die Policy muss regelmässig kommuniziert werden — bei Onboarding, jährlicher Compliance-Schulung, Intranet-Publikation. Mitarbeitende müssen wissen, wie sie Meldungen erstatten können, bevor ein Verdachtsfall eintritt.

9. Dokumentation und Berichterstattung: Jede eingegangene Meldung muss dokumentiert werden — Eingang, Erstreaktion, Untersuchungsschritte, Ergebnis und ergriffene Massnahmen. Das Melderegister darf nicht öffentlich zugänglich sein, muss aber der FINMA, Revisionsstelle und dem Verwaltungsrat auf Verlangen vorgelegt werden können. forms-legal.com bietet das vollständige Muster für Schweizer Unternehmen aller Grössen.

Die Whistleblower-Policy für Schweizer Unternehmen wird in folgenden Schritten erarbeitet und eingeführt.

Schritt 1: Bedürfnisanalyse. Klären Sie zunächst, welche regulatorischen Anforderungen für Ihr Unternehmen gelten. Ist Ihre Gesellschaft FINMA-beaufsichtigt? Dem GwG unterstellt? Hat die Muttergesellschaft eine EU-WB-RL-Pflicht? Wie viele Beschäftigte hat die Gesellschaft? Die Antworten bestimmen, wie formal und ausführlich die Policy sein muss. KMU unter 50 Beschäftigten ohne Regulierungspflicht können mit einer einfachen 2-seitigen Policy beginnen.

Schritt 2: Formular ausfüllen. Im wizard von forms-legal.com geben Sie ein: Firma und Sitz der Gesellschaft, Anzahl Mitarbeitende, internen Meldekanal (E-Mail, Hotline oder Ombudsperson), Ansprechperson / Ombudsperson, ob anonyme Meldungen möglich sind, externen Meldekanal (FINMA, MROS, EDÖB), Vertraulichkeitsgarantie, Aufbewahrungsfrist, Datum und Unterzeichner (CEO und CCO).

Schritt 3: Policy an eigene Situation anpassen. Das Muster von forms-legal.com enthält Standardformulierungen. Passen Sie folgende Elemente an Ihre Situation an: Liste der meldbaren Sachverhalte (ergänzen Sie branchenspezifische Verstösse); technischer Meldekanal (ersetzen Sie die Platzhalter durch Ihre echte E-Mail oder Hotline-Nummer); Name der Ombudsperson; Verfahrensschritte nach Meldungseingang (passen Sie die Fristen an Ihre Grösse an).

Schritt 4: Datenschutzprüfung. Wenn Sie ein digitales Whistleblower-System einsetzen (externe Plattform), müssen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter nach revDSG Art. 9 abschliessen. Prüfen Sie, ob eine Datenschutz-Folgenabschätzung (DSFA) nach revDSG Art. 22 erforderlich ist. Nehmen Sie das Whistleblower-System ins Verzeichnis der Bearbeitungstätigkeiten nach revDSG Art. 12 auf.

Schritt 5: Rechtliches Review. Lassen Sie die Policy von einem Arbeitsrechtsanwalt und einem Compliance-Spezialisten prüfen — insbesondere den Abschnitt zum Vergeltungsschutz (OR Art. 328, Art. 336) und zur Meldepflicht (GwG Art. 9). Bei FINMA-beaufsichtigten Instituten ist der Compliance-Berater mit Kenntnissen der FINMA-RS 17/1 beizuziehen.

Schritt 6: Genehmigung und Inkrafttreten. Die Policy muss durch die Geschäftsleitung oder — bei FINMA-beaufsichtigten Instituten — durch den Verwaltungsrat formell verabschiedet werden. Der Beschluss ist im GV- oder VR-Protokoll zu dokumentieren.

Schritt 7: Kommunikation an alle Mitarbeitenden. Verteilen Sie die Policy schriftlich (E-Mail, Intranet) und fordern Sie eine schriftliche Kenntnisnahme-Bestätigung. Integrieren Sie die Policy in die Onboarding-Unterlagen für neue Mitarbeitende. Führen Sie eine Erstschulung durch und wiederholen Sie die Schulung im Compliance-Jahresplan.

Schritt 8: Testen des Meldesystems. Vor dem produktiven Einsatz empfiehlt sich ein interner Testlauf — eine fingierte Meldung, die den gesamten Prozess von Eingang über Untersuchung bis Rückmeldung durchläuft. So werden Schwachstellen im System identifiziert, bevor ein echter Verdachtsfall eintritt. Das Testergebnis ist zu dokumentieren und dem VR zu berichten.

Der Rechtsrahmen für Whistleblowing in der Schweiz basiert auf mehreren Rechtsquellen, die zusammen den Schutz von Hinweisgebern bestimmen.

OR Art. 321a (Treuepflicht): Arbeitnehmer sind nach OR Art. 321a zur Treue gegenüber dem Arbeitgeber verpflichtet und dürfen Betriebsgeheimnisse nicht unbefugt weitergeben. Eine interne Meldung verletzt diese Treuepflicht grundsätzlich nicht — die Whistleblower-Policy institutionalisiert den internen Meldeweg und schützt den Hinweisgeber vor Vorwürfen der Pflichtverletzung.

OR Art. 328 (Persönlichkeitsschutz): Der Arbeitgeber muss die Persönlichkeit des Arbeitnehmers achten und schützen (OR Art. 328 Abs. 1). Vergeltungsmassnahmen gegen Hinweisgeber verletzten OR Art. 328 und können Schadenersatzansprüche begründen. Das Bundesgericht hat in BGE 4A_234/2017 den Persönlichkeitsschutz als Schranke für unverhältnismässige Massnahmen gegen Hinweisgeber anerkannt.

OR Art. 336 Abs. 1 (Missbräuchliche Kündigung): Kündigt der Arbeitgeber dem Arbeitnehmer, weil dieser in gutem Glauben eine interne oder externe Meldung gemacht hat, kann die Kündigung nach OR Art. 336 Abs. 1 missbräuchlich sein. Die Entschädigung beträgt maximal 6 Monatslöhne (OR Art. 336a). Rechtsprechung des Bundesgerichts (BGE 4A_694/2015): Externe Meldung ist nur unter strengen Voraussetzungen zulässig (ultimaratio; interne Meldung zuerst; öffentliches Interesse).

GwG Art. 9 und Art. 11 (SR 955.0): Finanzintermediäre müssen bei Verdacht auf Geldwäscherei nach GwG Art. 9 eine Verdachtsmeldung an MROS erstatten. Wer in gutem Glauben meldet, handelt nach GwG Art. 11 nicht pflichtwidrig und ist strafrechtlich immun. Diese Immunität gilt auch für den meldenden Compliance Officer und den CCO.

revDSG Art. 6 und Art. 22 (SR 235.1): Personendaten von Hinweisgebern und Beschuldigten sind nach den Grundsätzen des revDSG zu bearbeiten: Verhältnismässigkeit, Zweckbindung, Vertraulichkeit. Bei digitalen Whistleblower-Systemen ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Systemanbieter nach revDSG Art. 9 abzuschliessen. Datenschutz-Folgenabschätzung (DSFA) nach revDSG Art. 22 bei Systemen mit hohem Risiko.

FINMA-RS 17/1 Rz. 19 ff.: Für FINMA-beaufsichtigte Institute muss das Compliance-System interne Meldekanäle umfassen. Mitarbeitende müssen die Möglichkeit haben, Bedenken oder Verstösse anonym zu melden, ohne Repressalien befürchten zu müssen.

StGB Art. 102 (SR 311.0): Organisationsmängel, die dazu führen, dass Straftaten wie Geldwäscherei (StGB Art. 305bis) oder Bestechung (StGB Art. 322ter ff.) innerhalb des Unternehmens nicht erkannt werden, können zur Bestrafung des Unternehmens führen (Busse bis CHF 5 Mio.). Ein funktionierendes internes Meldewesen ist zentrales Verteidigungsargument.

Bei der Einführung von Whistleblower-Policies in Schweizer Unternehmen treten regelmässig folgende Fehler auf.

Fehler 1: Kein funktionierender Meldekanal. Viele Gesellschaften verabschieden eine Whistleblower-Policy, ohne einen echten, funktionierenden internen Meldekanal einzurichten. Eine Policy ohne E-Mail-Adresse oder Hotline, die tatsächlich von einer unabhängigen Person überwacht wird, ist wirkungslos. Stellen Sie sicher, dass der Meldekanal für alle Mitarbeitenden zugänglich ist und regelmässig überwacht wird.

Fehler 2: Fehlende Anonymitätsoption. Nach Best Practice und EU-WB-RL-Anlehnung muss eine Whistleblower-Policy die anonyme Meldung ermöglichen. Policies, die Identifikation verlangen, schrecken Hinweisgeber ab — besonders bei Meldungen gegen Vorgesetzte. Prüfen Sie, ob Ihr Meldesystem echte Anonymität garantiert (nicht nur Pseudonymität).

Fehler 3: Interessenkonflikt der Ansprechperson. Wenn der CCO oder die Compliance-Abteilung direkt an den CEO berichtet, der aber selbst Gegenstand einer Meldung sein könnte, fehlt die notwendige Unabhängigkeit. Richten Sie für solche Fälle eine externe Ombudsperson ein — eine unabhängige Anwaltskanzlei oder ein spezialisierter Ombudsdienstleister.

Fehler 4: Fehlender Datenschutzvertrag beim Einsatz externer Systeme. Wenn die Gesellschaft ein externes Whistleblower-System (z.B. EQS Integrity Line, Navex Global, Whistlelink) einsetzt, müssen ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach revDSG Art. 9 und eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden. Ohne diese Verträge verstösst die Gesellschaft gegen revDSG.

Fehler 5: Keine Schulung der Mitarbeitenden. Eine Whistleblower-Policy, die niemandem bekannt ist, hat keine Wirkung. Kommunizieren Sie die Policy aktiv — Intranet, Onboarding, jährliche Compliance-Schulung. Dokumentieren Sie die Schulungsteilnahme. FINMA-RS 17/1 und GwG Art. 8 verlangen nachgewiesene Schulung.

Fehler 6: Unklares Verfahren nach Meldungseingang. Fehlt eine klare Verfahrensbeschreibung, wissen Compliance Officers nicht, wie eine Meldung zu bearbeiten ist. Das führt zu uneinheitlicher Behandlung, Fehlern und Haftungsrisiken. Legen Sie die Schritte fest: Eingangsbestätigung, Voruntersuchung, Eskalation, Entscheid, Rückmeldung.

Fehler 7: Verwechslung von interner Meldepflicht und externer Behördenmeldung. OR Art. 321a schützt interne Meldungen; externe Meldungen (an FINMA, Medien, Aufsichtsbehörden) sind nach Schweizer Recht nur unter strengen Voraussetzungen zulässig (Subsidiarität; ultima ratio). Die Policy muss klar beschreiben, wann externe Meldung zulässig oder sogar gesetzlich vorgeschrieben ist (GwG Art. 9) und wann sie ein Vertragsbruch sein könnte.