HinSchG: Was das Hinweisgeberschutzgesetz von Unternehmen fordert

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, in deutsches Recht um. Für Unternehmen ab 50 Beschäftigten besteht eine Pflicht zur Einrichtung eines vertraulichen Meldekanals und einer Internen Meldestelle; Betriebe ab 250 Mitarbeitenden hatten diese Pflicht bereits ab dem 2. Juli 2023 zu erfüllen, Betriebe zwischen 50 und 249 Beschäftigten ab dem 17. Dezember 2023.

Das Gesetz schützt Hinweisgebende vor Repressalien, verpflichtet Unternehmen zu strukturierten Bearbeitungsfristen und sieht bei Verstößen Bußgelder bis zu 20.000 Euro vor. Dieser Artikel erklärt, welche Unternehmen betroffen sind, was eine rechtskonforme Interne Meldestelle leisten muss, wie die Bearbeitungsfristen einzuhalten sind und welche Haftungsrisiken bei Nichterfüllung bestehen.

Das Hinweisgeberschutzgesetz erfasst nach § 12 Abs. 2 HinSchG alle Unternehmen und sonstigen Beschäftigungsgeber, die in der Regel mindestens 50 Mitarbeitende beschäftigen. Maßgeblich für die Zählung ist die durchschnittliche Anzahl der Arbeitnehmerinnen und Arbeitnehmer im vorangegangenen Kalenderjahr; Leiharbeitnehmerinnen zählen beim Entleiher mit, sofern das Leiharbeitsverhältnis voraussichtlich länger als sechs Monate dauert.

Neben der Schwellenwertregelung enthält § 12 Abs. 3 HinSchG branchenspezifische Ausnahmen: Unternehmen aus dem Bereich der Finanzdienstleistungen, die nach § 43b WpHG oder § 25a KWG bereits eine Meldestelle unterhalten, und öffentliche Stellen, die nach dem Beamtenstatusgesetz oder vergleichbaren Landesregelungen zur Einrichtung einer Beschwerdestelle verpflichtet sind, können unter bestimmten Bedingungen eine gemeinsame Meldestelle mit anderen Unternehmen derselben Gruppe betreiben.

Für Konzerne mit Mutter- und Tochtergesellschaften gilt: Die Konzernmutter kann nach § 14 HinSchG eine zentrale Interne Meldestelle für Tochterunternehmen mit 50 bis 249 Beschäftigten betreiben. Tochterunternehmen ab 250 Beschäftigten müssen hingegen eine eigene Meldestelle einrichten.

Der sachliche Anwendungsbereich des HinSchG umfasst Meldungen über Verstöße gegen EU-Recht sowie gegen nationales Recht in den in Anlage 1 und 2 des HinSchG genannten Bereichen, darunter Steuerrecht, Finanzmarktrecht, Umweltrecht, Lebensmittelrecht, Produktsicherheit und Datenschutz (DSGVO). Verstöße, die ausschließlich das interne Arbeitsrecht betreffen, fallen grundsätzlich nicht unter den Schutzbereich des Gesetzes, können jedoch in der Praxis schwer abzugrenzen sein.

Mehr zu den Rollen und Zuständigkeiten finden Sie auf der CIVAC-Seite zur Internen Meldestelle.

Eine rechtskonforme Interne Meldestelle nach dem HinSchG muss mehrere strukturelle Anforderungen erfüllen, die sich aus §§ 12 bis 17 HinSchG ableiten.

Vertraulichkeit: Die Identität der hinweisgebenden Person und aller in der Meldung genannten Personen darf nur den Personen zugänglich sein, die für den Empfang und die Bearbeitung der Meldung zuständig sind (§ 8 HinSchG). Eine Weitergabe an andere Stellen ist nur unter engen gesetzlichen Voraussetzungen zulässig.

Kanalvielfalt: § 16 Abs. 1 HinSchG verlangt, dass Meldungen sowohl schriftlich als auch mündlich möglich sind; auf Wunsch der hinweisgebenden Person auch im persönlichen Gespräch. Ein rein schriftlicher Kanal ist demnach nicht ausreichend.

Anonyme Meldungen: Anonyme Eingaben müssen zwar nicht zwingend bearbeitet werden, aber § 16 Abs. 1 S. 5 HinSchG empfiehlt die Einrichtung entsprechender Systeme. Praxisrelevant ist, dass Unternehmen, die anonyme Meldungen grundsätzlich ignorieren, bei einer Behördenprüfung erklären müssen, warum sie diesen Hinweisen nicht nachgegangen sind.

Unabhängigkeit der beauftragten Person: Die mit der Aufgabe betraute Person oder Stelle muss bei der Ausübung ihrer Tätigkeit unabhängig sein und darf keinen Interessenkonflikten unterliegen (§ 15 HinSchG). Eine Personalunion mit Funktionen, die regelmäßig selbst Gegenstand von Meldungen sein könnten (z. B. HR, Recht), ist kritisch zu bewerten.

Dokumentation: § 11 HinSchG verlangt eine angemessene Dokumentation jeder Meldung. Die Aufbewahrungsfrist beträgt nach § 11 Abs. 5 HinSchG drei Jahre nach Abschluss des Verfahrens.

§ 17 HinSchG legt verbindliche Bearbeitungsfristen fest, die für alle Unternehmen mit Pflicht zur Einrichtung einer Internen Meldestelle gelten.

Nach Eingang einer Meldung ist der hinweisgebenden Person binnen sieben Tagen der Eingang zu bestätigen. Diese Bestätigungspflicht gilt unabhängig davon, ob die Meldung im Anwendungsbereich des HinSchG liegt und unabhängig von der Identität des Hinweisgebenden. Bei anonymen Meldungen kann die Bestätigung entfallen, sofern kein Rückkanal zur Verfügung steht.

Innerhalb von drei Monaten nach der Eingangsbestätigung muss die Meldestelle der hinweisgebenden Person eine Rückmeldung erteilen. Diese Rückmeldung muss Auskunft über geplante oder bereits ergriffene Folgemaßnahmen geben (§ 17 Abs. 2 HinSchG). Konkret bedeutet dies: Entweder wurde eine interne Untersuchung eingeleitet, oder die Weiterleitung an eine zuständige Behörde ist erfolgt, oder es wurde festgestellt, dass kein Verstoß im Sinne des Gesetzes vorliegt.

Die Drei-Monats-Frist ist eine gesetzliche Maximalfrist, keine Mindestfrist. Kann das Unternehmen das Verfahren schneller abschließen, ist eine frühere Rückmeldung vorzuziehen. In komplexen Fällen mit behördlicher Beteiligung kann die Frist nicht einseitig durch das Unternehmen verlängert werden.

Praxisrelevant ist die Frage, wann die Frist beginnt: Bei schriftlichen Meldungen läuft die Frist ab dem Tag des Eingangs; bei mündlichen Meldungen ab der Erstellung des Gesprächsprotokolls nach § 16 Abs. 3 HinSchG. Das Protokoll muss der hinweisgebenden Person zur Genehmigung vorgelegt werden.

Frist läuft ab Kenntnis. Systeme, die Eingänge nicht automatisch erfassen und fristen, verstoßen strukturell gegen § 17 HinSchG.

Das Verbot von Repressalien gegen Hinweisgebende ist das Herzstück des HinSchG. § 36 Abs. 1 HinSchG verbietet jegliche Benachteiligung im Zusammenhang mit einer Meldung, darunter Kündigung, Abmahnung, Versetzung, Gehaltskürzung, Verweigerung einer Beförderung, negative Leistungsbeurteilung sowie mittelbare Benachteiligungen wie die Drohung mit Repressalien oder sozialer Ausgrenzung am Arbeitsplatz.

Für Unternehmen besonders relevant ist die Beweislastumkehr nach § 36 Abs. 2 HinSchG: Wird die hinweisgebende Person nach einer Meldung benachteiligt, wird vermutet, dass diese Benachteiligung eine Repressalie ist. Das Unternehmen muss nachweisen, dass die Benachteiligung aus anderen Gründen erfolgt ist. Diese Umkehr der Beweislast unterscheidet das HinSchG erheblich von allgemeinen arbeitsrechtlichen Grundsätzen.

Bei einem Verstoß gegen das Repressalienverbot besteht nach § 37 HinSchG ein Schadensersatzanspruch der betroffenen Person, der immaterielle Schäden einschließt. Daneben kann die zuständige Behörde ein Bußgeld nach § 40 HinSchG von bis zu 50.000 Euro verhängen.

Für die Praxis bedeutet dies: Jede Personalentscheidung, die im zeitlichen Zusammenhang mit einer Meldung steht, sollte sorgfältig dokumentiert und auf sachliche Gründe gestützt sein. Die Dokumentation muss bereits vor der Entscheidung vorliegen und darf nicht rückwirkend erstellt werden. Der Beauftragte für die Interne Meldestelle sollte in solche Entscheidungsprozesse eingebunden werden, um die Unabhängigkeit der Stelle zu wahren.

Das Hinweisgeberschutzgesetz sieht in § 40 HinSchG einen gestaffelten Bußgeldrahmen vor, der verschiedene Pflichtverletzungen unterschiedlich gewichtet.

Die schwerste Kategorie betrifft das aktive Vereiteln einer Meldung oder das Führen von Repressalien: Hier drohen nach § 40 Abs. 2 HinSchG Geldbußen bis zu 1.000.000 Euro für juristische Personen sowie bis zu 50.000 Euro für natürliche Personen. Fahrlässiges Handeln ist ebenso bußgeldbewehrt wie vorsätzliches.

Das Unterlassen der Einrichtung eines Meldekanals oder der Betrieb eines Kanals, der die gesetzlichen Anforderungen nicht erfüllt, wird nach § 40 Abs. 2 Nr. 2 HinSchG mit bis zu 20.000 Euro geahndet. Diese Bußgeldschwelle gilt auch für das Nichtbeachten der Bearbeitungsfristen nach § 17 HinSchG.

Die Verletzung der Vertraulichkeitspflicht nach § 8 HinSchG ist ebenfalls bußgeldbewehrt. Die zuständige Aufsichtsbehörde ist in den meisten Bundesländern das Landesamt für Datenschutz oder eine eigens benannte Behörde; in einigen Ländern ist das Bundesamt für Justiz (BfJ) zuständig für bundesunmittelbare Körperschaften.

Wichtig: Die Bußgeldvorschriften des HinSchG schließen eine Strafverfolgung nach allgemeinen Strafvorschriften nicht aus. Wer durch aktive Unterdrückung einer Meldung eine Straftat im Unternehmen verdeckt, kann sich nach §§ 258, 258a StGB (Strafvereitelung) strafbar machen. Dieses Strafbarkeitsrisiko trifft vor allem Compliance-Verantwortliche und Geschäftsführer, die von einer Meldung Kenntnis hatten.

Unternehmen, die noch keine konforme Meldestelle betreiben, sollten die Einrichtung zügig nachholen. Die zuständigen Aufsichtsbehörden haben 2024 begonnen, aktiv Kontrollen durchzuführen.

Das HinSchG unterscheidet zwischen internen Meldestellen (§§ 12 ff. HinSchG), die vom Unternehmen selbst eingerichtet werden, und externen Meldestellen (§§ 19 ff. HinSchG) bei staatlichen Behörden. Das Gesetz priorisiert ausdrücklich die interne Meldung: § 7 HinSchG formuliert, dass interne Meldestellen gefördert werden sollen, damit Verstöße unternehmensintern behoben werden können.

Hinweisgebende Personen haben jedoch das Recht, direkt an eine externe Meldestelle zu wenden, ohne vorher intern zu melden. Die externe Bundesbehörde ist das Bundesamt für Justiz (BfJ) nach § 19 HinSchG; auf Landesebene können eigene Stellen eingerichtet werden. Branchenspezifische externe Meldestellen bestehen zudem bei der BaFin (Finanzmarkt), dem Bundeskartellamt und der EZB.

Für Unternehmen bedeutet die Konkurrenz zwischen interner und externer Meldestelle: Eine attraktiv gestaltete und glaubwürdig unabhängige interne Meldestelle erhöht die Wahrscheinlichkeit, dass Hinweise zunächst intern eingehen und intern bearbeitet werden können. Hinweisgeber, die kein Vertrauen in die interne Meldestelle haben, werden direkt extern melden oder sich an die Öffentlichkeit wenden.

Nach § 14 HinSchG ist es außerdem zulässig, eine gemeinsame Meldestelle mit anderen Unternehmen derselben Unternehmensgruppe zu betreiben. Unternehmen zwischen 50 und 249 Beschäftigten können sich auch einem externen Ombudsmann-Dienst anschließen, sofern dieser die gesetzlichen Anforderungen an Vertraulichkeit, Unabhängigkeit und Bearbeitungsfristen erfüllt.

Der CIVAC-Workspace bildet die gesetzlichen Anforderungen an eine interne Meldestelle vollständig ab: verschlüsselte Eingangskanäle, automatische Fristenüberwachung, Dokumentationsmodul und revisionssicheres Archiv. Audit-fest, dokumentiert, § 17 HinSchG-fest.

§ 15 HinSchG verlangt, dass die mit der Aufgabe der Internen Meldestelle betraute Person die zur Erfüllung ihrer Aufgaben notwendige Fachkunde besitzt und bei der Ausübung ihrer Tätigkeit unabhängig ist. Das Gesetz nennt keine konkreten Qualifikationsanforderungen, aber Praxis und Behördenpraxis haben folgende Anforderungen herausgearbeitet.

Fachkunde bedeutet im Kontext des HinSchG: Kenntnisse des Anwendungsbereichs des Gesetzes und der einschlägigen EU-Richtlinie 2019/1937, Kenntnisse der bearbeitungsrelevanten Normbereiche (Steuerrecht, Finanzmarktrecht, Datenschutz, Umweltrecht etc.), Kenntnisse des Arbeitsrechts und der Beweislastumkehr nach § 36 HinSchG sowie praktische Erfahrung im Umgang mit vertraulichen Informationen.

Unabhängigkeit bedeutet: Die betraute Person darf keine Interessenkonflikte haben und darf keine Anweisungen zu den inhaltlichen Ergebnissen ihrer Prüfung erhalten. Eine Personalunion mit dem Personalleiter, dem Leiter Recht oder dem CFO ist kritisch zu bewerten, da diese Funktionen regelmäßig selbst Gegenstand von Meldungen sein könnten.

Viele Unternehmen lösen das Unabhängigkeitsproblem durch die Beauftragung eines externen Dritten: eines Rechtsanwalts, eines zertifizierten Compliance-Experten oder eines Anbieters wie CIVAC, der die Rolle des Beauftragten für die Interne Meldestelle vollständig übernimmt. Die externe Lösung hat einen weiteren Vorteil: Mitarbeitende vertrauen einer erkennbar unabhängigen externen Stelle eher als einer internen Funktion, die der Unternehmensleitung Bericht erstattet.

Bestellurkunde, unterschrieben, abgelegt, belegbar – dieser Standard gilt auch für den Beauftragten der Internen Meldestelle. Die Bestellung muss schriftlich erfolgen und den Umfang der Beauftragung, die Weisungsfreiheit und den Berichtspfad zur Geschäftsleitung klar definieren.

Das HinSchG steht nicht isoliert, sondern interagiert mit mehreren anderen Rechtsgebieten, die bei der praktischen Umsetzung zu berücksichtigen sind.

DSGVO: Die Verarbeitung personenbezogener Daten im Rahmen einer Meldung ist eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO. Die Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) i. V. m. dem HinSchG. Der Datenschutzbeauftragte sollte in die Gestaltung des Meldesystems eingebunden werden, insbesondere was Datensparsamkeit, Löschfristen (§ 11 Abs. 5 HinSchG: drei Jahre nach Abschluss) und Zugriffsrechte betrifft. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO kann je nach System erforderlich sein.

Arbeitsrecht: Die Einrichtung einer Internen Meldestelle kann Mitbestimmungsrechte des Betriebsrats auslösen. § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs und Verhalten der Arbeitnehmer) und Nr. 6 BetrVG (Einführung technischer Einrichtungen zur Überwachung) können einschlägig sein. Eine Betriebsvereinbarung ist in mitbestimmten Unternehmen regelmäßig empfehlenswert.

Strafrecht: § 5 HinSchG enthält keine Pflicht zur Strafanzeige, aber eine Pflicht zur angemessenen Folgemaßnahme. Ergibt die interne Untersuchung Hinweise auf eine Straftat, muss das Unternehmen entscheiden, ob eine Strafanzeige nach § 158 StPO erstattet wird. Eine bewusste Unterdrückung dieser Erkenntnis kann nach §§ 258, 258a StGB strafbar sein.

Für die Compliance-Praxis empfiehlt sich eine enge Abstimmung zwischen dem Beauftragten der Internen Meldestelle, dem Datenschutzbeauftragten und dem Compliance-Beauftragten, um Verfahren konsistent zu gestalten und Doppelarbeit zu vermeiden.

Unternehmen, die noch keine konforme Interne Meldestelle betreiben, sollten den Aufbau in fünf Schritten angehen. Erstens: Prüfen Sie den Anwendungsbereich (Mitarbeiterzahl, Konzernstruktur, branchenspezifische Ausnahmen). Zweitens: Wählen Sie die Organisationsform (intern, extern, gemeinsam) und identifizieren Sie eine geeignete Person oder Stelle mit nachweisbarer Fachkunde und struktureller Unabhängigkeit.

Drittens: Richten Sie technische Meldekanäle ein, die schriftliche und mündliche Meldungen sowie auf Wunsch persönliche Gespräche ermöglichen. Viertens: Implementieren Sie ein Fristenmanagement-System, das die Sieben-Tage-Bestätigung und die Drei-Monats-Rückmeldung automatisch überwacht. Fünftens: Stellen Sie die Dokumentation sicher – jede Meldung ist nach § 11 HinSchG zu dokumentieren und drei Jahre aufzubewahren.

CIVAC bietet beide Modelle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Der CIVAC-Workspace deckt alle fünf Schritte als integrierte Plattformfunktion ab: verschlüsselte Eingangskanäle (schriftlich, audio, persönlich), automatische Fristenüberwachung im Aufgaben-Dashboard, Dokumentationsmodul nach § 11 HinSchG und revisionssicheres Archiv mit definierten Zugriffsrechten. CIVAC-SLA: Vertrag, Person, Urkunde in zwei Werktagen.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Aus dem Lesen einen Auftrag machen. Schreiben Sie uns unter info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.