NIS-2-Gesetz schafft gefährliche Falle für Whistleblower

Deutschlands neue IT-Sicherheitsregeln gefährden ausgerechnet jene, die Verstöße aufdecken sollen. Ein juristischer Widerspruch im frischen NIS-2-Umsetzungsgesetz lässt Whistleblower im digitalen Raum im Regen stehen – sie könnten für ihre Meldung geschützt, aber für deren Beschaffung bestraft werden.

Seit Anfang Dezember 2025 gilt das verschärfte IT-Sicherheitsrecht. Rund 29.000 Unternehmen der kritischen Infrastruktur müssen nun hohe Standards etwa bei Verschlüsselung oder Störfallmeldung einhalten. Ein neuer Paragraf soll Mitarbeiter und Externe ermutigen, Verstöße zu melden. Doch der Teufel steckt im Detail.

Ein juristischer Blindflug mit Folgen

Artikel 14 des Gesetzes erweitert den Schutz des Hinweisgeberschutzgesetzes (HinSchG) explizit auf NIS-2-Verstöße. Die Idee: Die „Augen und Ohren“ der IT-Profis sollen die Cyber-Resilienz stärken. Doch der Gesetzgeber vergaß, die dazugehörigen Haftungsausschlüsse anzupassen.

Unternehmen und Whistleblower stehen jetzt vor einem juristischen Dilemma: Meldung ja, Beschaffung womöglich strafbar. Der kostenlose Praxisleitfaden zum Hinweisgeberschutzgesetz erklärt praxisnah, wie Sie interne Meldestellen DSGVO‑konform aufsetzen, welche Nachweispflichten bestehen und welche Verhaltensregeln Compliance‑Teams beachten sollten, um Haftungsfallen zu vermeiden. Inklusive Checklisten und Musterprozessen für interne und externe Meldestellen. Praxisleitfaden zum Hinweisgeberschutzgesetz jetzt kostenlos herunterladen

Rechtsexperten sprechen von einer „rechtlichen Falle“. Denn wer eine Schwachstelle wie eine offene Datenbank findet, muss oft selbst aktiv werden. Genau hier beginnt das Problem.

Der Strafrecht-Konflikt: Meldung ja, Methode nein?

Der Kern des Streits liegt in § 35 HinSchG. Whistleblower sind vor Strafe geschützt – es sei denn, die Art der Informationsbeschaffung ist selbst eine Straftat. Im Cyberspace ist diese Grenze fließend.

Das Strafrecht (§ 202a StGB: Datenausspähung) stellt bereits den unbefugten Zugriff unter Strafe. Selbst „White-Hat“-Hacker, die im guten Glauben handeln, könnten sich strafbar machen. Das NIS-2-Gesetz bietet hierfür keinen „Safe Harbor“.

Die paradoxe Folge: Ein Whistleblower könnte für seine Meldung vor Repressalien geschützt sein, gleichzeitig aber wegen der Art der Ermittlung angeklagt werden. Ein Unding, finden IT-Sicherheitsexperten.

Unternehmen im Compliance-Dilemma

Für die betroffenen Firmen entsteht ein massives Praxischaos. Sie müssen ihre Meldekanäle zwar für NIS-2-Hinweise öffnen. Doch wie gehen Compliance-Beauftragte mit Meldungen um, die möglicherweise illegal beschafft wurden?

Rechtsberater raten zu äußerster Vorsicht. Wer den Melder einfach anzeigt, verletzt den Geist des Whistleblower-Schutzes und riskiert einen Shitstorm. Wer die mutmaßlich kriminelle Beschaffung ignoriert, könnte sich jedoch der Beihilfe verdächtig machen.

Warten auf die erste Gerichtsentscheidung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Einhaltung der NIS-2-Standards 2026 forcieren. Für potenzielle Whistleblower bleibt die Lage prekär.

Fachleute rechnen damit, dass diese Lücke erst vor Gericht geklärt werden muss. Bis dahin lautet der Rat an alle, die Missstände aufdecken wollen: Seid vorsichtig, wie ihr an die Informationen kommt. Der Gesetzgeber will eure Hinweise – aber er garantiert nicht eure Sicherheit.

PS: Unsicher, wie Ihre Organisation mit möglicherweise illegal beschafften Hinweisen umgehen sollte? Der Gratis‑Leitfaden liefert 14 FAQ, konkrete Checklisten für interne und externe Meldestellen sowie Handlungsempfehlungen für Compliance, Datenschutz und IT‑Sicherheit. Er zeigt, welche Prozesse jetzt nötig sind, um Hinweiserfassung und Ermittlungen rechtssicher zu gestalten – und wie Sie Whistleblower bestmöglich schützen. Jetzt Praxisleitfaden gratis sichern