HinSchG aktueller Stand: Pflichten, Fristen und Umsetzung 2024

Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten und setzt die EU-Hinweisgeberrichtlinie (EU 2019/1937) in deutsches Recht um. Es verpflichtet Unternehmen ab 50 Mitarbeitern zur Einrichtung einer internen Meldestelle, die Hinweisgeber bei Rechtsverstößen schützt. Die Pflicht gilt unabhängig von Branche, Rechtsform oder Börsennotierung – maßgebend ist allein die Mitarbeiterzahl.

Seit Inkrafttreten des Gesetzes stellen Unternehmen zwei zentrale Fragen: Wer genau ist betroffen, und was muss eine konforme Meldestelle leisten? Dieser Artikel beantwortet beide Fragen auf Basis des aktuellen Rechtsstands, erläutert die Bußgeldrisiken bei Nichterfüllung und beschreibt die organisatorischen Optionen für die Umsetzung.

Das HinSchG unterscheidet nach Unternehmensgrößen und sieht unterschiedliche Umsetzungsfristen vor. Unternehmen mit 250 oder mehr Mitarbeitern sind seit dem 2. Juli 2023 verpflichtet, eine interne Meldestelle einzurichten. Für Unternehmen mit 50 bis 249 Mitarbeitern galt eine verlängerte Übergangsfrist bis zum 17. Dezember 2023.

Der Anwendungsbereich ist weitgefasst: Erfasst werden Kapitalgesellschaften (GmbH, AG, KGaA), Personengesellschaften, Genossenschaften, Vereine und öffentliche Körperschaften, sofern sie die Mitarbeiterzahl erreichen. Auch Konzerne müssen die Anforderungen auf Ebene der einzelnen Gesellschaft prüfen; eine konzerndimensionale Lösung ist möglich, wenn sie die gesetzlichen Anforderungen für jede betroffene Gesellschaft einzeln erfüllt (§ 14 HinSchG).

Unternehmen mit 50 bis 249 Mitarbeitern können gemäß § 14 Abs. 2 HinSchG eine gemeinsame interne Meldestelle einrichten – ein Modell, das für Unternehmensgruppen oder Branchenverbände relevant ist. Diese gemeinsame Meldestelle muss jedoch alle gesetzlichen Anforderungen erfüllen und darf keine unzumutbaren Zugangsbarrieren für Hinweisgeber schaffen. Externe Meldestellen-Beauftragte über CIVAC können diese Funktion für mehrere Unternehmen gleichzeitig übernehmen.

Die interne Meldestelle muss für Verstöße gegen bestimmte Rechtsbereiche erreichbar sein. § 2 HinSchG definiert den sachlichen Anwendungsbereich abschließend. Erfasst sind unter anderem: Verstöße gegen EU-Recht in den Bereichen Finanzdienstleistungen, Geldwäscheprävention, Produktsicherheit, Umweltschutz, Lebensmittel- und Futtermittelsicherheit, öffentliche Gesundheit, Strahlenschutz, nukleare Sicherheit, Datenschutz (DSGVO, BDSG), Netzwerksicherheit (NIS-2), Verbraucher- und Anlegerschutz sowie öffentliches Vergabewesen.

Zusätzlich erfasst das HinSchG Verstöße gegen deutsches Strafrecht und Ordnungswidrigkeiten, soweit diese mit dem Schutz von Leben, Gesundheit, persönlicher Freiheit oder dem Schutz von Beschäftigten zusammenhängen. Reine arbeitsrechtliche Beschwerden (z. B. Lohnzahlungsstreitigkeiten ohne Strafrechtsrelevanz) fallen nicht in den sachlichen Anwendungsbereich.

Praxishinweis: Viele Unternehmen weiten den sachlichen Anwendungsbereich intern über das gesetzliche Minimum hinaus aus und erlauben auch die Meldung allgemeiner Compliance-Verstöße gegen interne Richtlinien. Diese freiwillige Erweiterung ist zulässig und erhöht die Akzeptanz des Meldesystems. Sie muss aber klar kommuniziert und dokumentiert sein, um Missverständnisse über den Schutzstatus des Hinweisgebers zu vermeiden.

§ 17 HinSchG definiert die Verfahrensanforderungen für interne Meldestellen. Die wichtigsten Pflichten sind:

• Kanalvielfalt: Die Meldestelle muss sowohl schriftliche als auch mündliche Meldungen entgegennehmen. Auf Wunsch des Hinweisgebers muss auch eine persönliche Besprechung möglich sein (§ 16 Abs. 2 HinSchG).
• Eingangsbestätigung: Nach Eingang einer Meldung muss der Meldestellen-Beauftragte dem Hinweisgeber innerhalb von sieben Tagen den Eingang bestätigen (§ 17 Abs. 1 Nr. 1 HinSchG).
• Folgemaßnahmen: Die Meldestelle muss die Meldung prüfen, Folgemaßnahmen einleiten und dem Hinweisgeber innerhalb von drei Monaten nach der Eingangsbestätigung Rückmeldung über die ergriffenen Maßnahmen geben (§ 17 Abs. 1 Nr. 4 HinSchG).
• Vertraulichkeit: Die Identität des Hinweisgebers muss absolut vertraulich behandelt werden. Eine Weitergabe ist nur in engen Ausnahmen möglich (§ 9 HinSchG). Der Verstoß gegen die Vertraulichkeitspflicht ist eine der schwerwiegendsten Sanktionstatbestände des HinSchG.

Anonyme Meldungen muss die Meldestelle nicht zwingend bearbeiten – sie sollte es aber tun, sofern die Meldung substantielle Hinweise enthält. Der Umgang mit anonymen Meldungen muss intern geregelt sein.

Der Kern des HinSchG ist der Schutz von Hinweisgebern vor Repressalien. § 36 HinSchG enthält ein umfassendes Repressalienverbot: Entlassung, Abmahnung, Versetzung, Gehaltskürzung, negative Leistungsbeurteilung, Nötigung, Diskriminierung und soziale Ausgrenzung sind verboten, wenn sie im Zusammenhang mit einer Meldung stehen. Die Beweislastumkehr nach § 36 Abs. 2 HinSchG ist für Arbeitgeber besonders relevant: Wenn ein Arbeitnehmer nach einer Meldung eine Benachteiligung erleidet und diese zeitlich mit der Meldung zusammenfällt, muss der Arbeitgeber beweisen, dass die Maßnahme nicht kausal mit der Meldung zusammenhing.

Wer trotz des Repressalienverbots eine Benachteiligung erleidet, hat Anspruch auf Schadensersatz nach § 37 HinSchG. Dieser umfasst materiellen Schaden (z. B. entgangenes Gehalt) und immateriellen Schaden. Für den Arbeitgeber bedeutet das: Jede Personalmaßnahme, die nach einer Meldung ergeht und den Meldenden betrifft, muss lückenlos dokumentiert und auf einen sachfremden Zusammenhang hin geprüft werden.

Audit-fest, dokumentiert, HinSchG-fest: Die Dokumentation aller Meldungen, Prüfungsschritte und Folgemaßnahmen ist nicht nur gesetzlich vorgeschrieben, sondern auch das zentrale Beweismittel im Streitfall. Eine fehlende oder lückenhafte Dokumentation kehrt im Prozess die faktische Beweislast weiter zu Ungunsten des Arbeitgebers.

§ 40 HinSchG definiert den Bußgeldrahmen für Verstöße. Die wichtigsten Tatbestände und Bußgeldhöhen:

• Keine interne Meldestelle eingerichtet (§ 40 Abs. 2 Nr. 2): Bußgeld bis zu 20.000 Euro.
• Verstoß gegen das Vertraulichkeitsgebot (§ 40 Abs. 1 Nr. 1): Bußgeld bis zu 100.000 Euro.
• Behinderung oder Versuch der Behinderung einer Meldung (§ 40 Abs. 1 Nr. 3): Bußgeld bis zu 100.000 Euro.
• Repressalien gegen Hinweisgeber (§ 40 Abs. 1 Nr. 2): Bußgeld bis zu 50.000 Euro.

Zuständig für die Bußgeldverhängung sind die nach Landesrecht bestimmten Behörden; in manchen Bundesländern liegt die Zuständigkeit bei den Gewerbeaufsichtsämtern. Eine aktive behördliche Überprüfung der HinSchG-Konformität hat 2024 begonnen, fokussiert zunächst auf Unternehmen mit mehr als 250 Mitarbeitern.

Neben dem Bußgeldrisiko besteht das zivilrechtliche Schadensersatzrisiko nach § 37 HinSchG: Ohne eine korrekt aufgesetzte Meldestelle fehlt der Nachweis, dass das Unternehmen seine Pflichten erfüllt hat – was die Rechtsposition im Schadensersatzprozess erheblich verschlechtert.

Das HinSchG gibt keine Vorgaben zur organisatorischen Form der internen Meldestelle. In der Praxis haben sich drei Modelle etabliert:

• Interne Lösung: Ein Mitarbeiter (z. B. aus der Rechts- oder Compliance-Abteilung) wird als Meldestellen-Beauftragter benannt. Vorteil: Unternehmensnähe und schnelle Reaktion. Nachteil: Interessenskonflikte, wenn der Beauftragte in die gemeldeten Sachverhalte involviert ist; mangelndes Vertrauen der Mitarbeiter in die Vertraulichkeit.
• Externer Ombudsmann/Rechtsanwalt: Ein externer Anwalt oder Ombudsmann übernimmt die Meldestellen-Funktion. Vorteil: Anwaltliche Verschwiegenheit stärkt das Vertrauen der Hinweisgeber. Nachteil: Höhere Kosten, längere Reaktionszeiten.
• Externe Meldestellen-Plattform: Ein spezialisierter Dienstleister betreibt die technische Plattform und stellt geschulte Beauftragte für die Bearbeitung bereit. Vorteil: Skalierbar, dokumentiert, auditfest. Nachteil: Abstimmungsaufwand bei unternehmensinternen Folgemaßnahmen.

Gemäß § 14 HinSchG kann auch ein externer Dritter mit der Meldestellen-Funktion beauftragt werden – er muss aber über die notwendige Unabhängigkeit und Sachkunde verfügen. CIVAC bietet diese Funktion als Officer-as-a-Service an: Bestellurkunde, unterschrieben, abgelegt, belegbar.

§ 11 HinSchG verpflichtet zur Dokumentation jeder eingehenden Meldung. Die Dokumentation muss die Art des Meldekanals, das Datum der Meldung, den gemeldeten Sachverhalt (soweit ohne Vertraulichkeitsverletzung möglich), die eingeleiteten Folgemaßnahmen und das Ergebnis der Prüfung enthalten. Die Dokumente sind drei Jahre nach Abschluss des Verfahrens aufzubewahren, es sei denn, eine längere Aufbewahrungspflicht aus anderen Vorschriften greift.

Besondere Anforderungen gelten für die Vertraulichkeit der Dokumentation: Die Identität des Hinweisgebers darf nur solchen Personen zugänglich sein, die für die Bearbeitung der Meldung zuständig sind. Eine technische Zugangsbeschränkung (Role-Based Access Control) ist deshalb nicht nur Good Practice, sondern gesetzliche Anforderung.

Für die Beweisführung im Streitfall ist die Dokumentationsqualität entscheidend. Wenn ein Hinweisgeber nach einer Meldung Repressalien geltend macht, wird das Gericht die gesamte Dokumentation des Verfahrens heranziehen. Lücken in der Dokumentation werden faktisch als Beleg für eine unzulängliche Bearbeitung gewertet. Der CIVAC-Meldestellen-Beauftragte dokumentiert jeden Verfahrensschritt im Workspace mit automatischem Audit-Log.

Der Meldestellen-Beauftragte ist keine isolierte Funktion. Er arbeitet regelmäßig mit anderen Beauftragten zusammen: Wenn eine Meldung einen datenschutzrechtlichen Sachverhalt beschreibt, ist der Datenschutzbeauftragte (DSB) einzubeziehen. Bei einer Meldung zu IT-Sicherheitsvorfällen ist der Informationssicherheitsbeauftragte (ISB) zu informieren. Meldungen mit arbeitsrechtlicher Relevanz erfordern die Einbindung der Personalabteilung und ggf. des Betriebsrats.

Die Frage der Kompetenzabgrenzung muss im unternehmensinternen Meldestellenkonzept klar geregelt sein. Fehlt diese Regelung, entstehen Bearbeitungslücken und Zuständigkeitskonflikte, die im Prüfungsfall negativ bewertet werden.

Auch das Verhältnis zur externen Meldestelle der BfJ (Bundesamt für Justiz) muss kommuniziert werden. § 13 HinSchG schreibt vor, dass das Unternehmen seine Mitarbeiter über die externe Meldestelle informiert und klarstellt, dass diese die interne Meldestelle nicht ersetzt, sondern ergänzt. Hinweisgeber haben das Recht, direkt an die externe Meldestelle zu gehen – das Unternehmen kann dies nicht verhindern, sollte es aber durch eine funktionierende interne Meldestelle unattraktiver machen.

Das HinSchG ist seit Juli 2023 geltendes Recht – für Unternehmen ab 50 Mitarbeitern gibt es keinen legalen Weg, die Meldestellen-Pflicht zu vermeiden oder aufzuschieben. Wer noch keine konforme Lösung hat, riskiert Bußgelder und eine erheblich verschlechterte Rechtsposition in zukünftigen Schadensersatzverfahren.

CIVAC bietet zwei Umsetzungsmodelle: Lizenzieren Sie den Workspace für Ihren internen Meldestellen-Beauftragten – mit vorstrukturierten Bearbeitungsworkflows, automatischem Audit-Log und rollenbasierter Zugangsbeschränkung. Oder bestellen Sie einen externen Meldestellen-Beauftragten über CIVAC, der die Funktion vollständig übernimmt. Bestellurkunde, unterschrieben, abgelegt, belegbar – in zwei Werktagen.

Der Prüfer ruft an, der Nachweis liegt bereit. Wenn Sie Ihre Meldestelle aufsetzen oder prüfen möchten, schreiben Sie uns: info@civac.de. Aus dem Lesen einen Auftrag machen.