HinSchG-Entwurf: Was die finale Fassung für Ihre interne Meldestelle bedeutet

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Hinweisgeberrichtlinie (2019/1937/EU) in deutsches Recht um. Der Weg dorthin war ungewöhnlich lang: Ein erster Regierungsentwurf scheiterte im November 2022 im Bundesrat, ein überarbeiteter Entwurf passierte den Vermittlungsausschuss erst im Mai 2023. Für Unternehmen mit 50 bis 249 Beschäftigten galt eine verlängerte Umsetzungsfrist bis zum 17. Dezember 2023; Unternehmen ab 250 Beschäftigten mussten bereits ab dem 2. Juli 2023 eine interne Meldestelle betreiben.

Dieser Artikel rekonstruiert die wesentlichen Änderungen zwischen den Entwurfsstufen, benennt die heute geltenden Pflichten nach §§ 12 ff. HinSchG und zeigt, welche organisatorischen Voraussetzungen eine rechtssichere Meldestelle erfüllen muss. Ob Sie die Funktion intern besetzen oder extern vergeben: Die Anforderungen an Vertraulichkeit, Dokumentation und Rückmeldefrist sind gesetzlich fixiert und aufsichtsbehördlich durchsetzbar.

Die EU-Hinweisgeberrichtlinie (2019/1937/EU) verpflichtete die Mitgliedstaaten, bis zum 17. Dezember 2021 nationale Umsetzungsgesetze zu erlassen. Deutschland verfehlte diese Frist erheblich und setzte sich damit dem Vertragsverletzungsverfahren durch die EU-Kommission aus, das im Februar 2022 eingeleitet wurde.

Ein erster Referentenentwurf des Bundesjustizministeriums aus dem Frühjahr 2022 sah einen weiten sachlichen Anwendungsbereich vor, der auch Verstöße gegen rein nationales Recht erfasste. Der darauffolgende Regierungsentwurf wurde am 11. November 2022 durch den Bundesrat blockiert: Eine Ländermehrheit lehnte insbesondere die obligatorische Möglichkeit anonymer Meldungen und die weite Auslegung des sachlichen Schutzbereichs ab. Die Abstimmung im Bundesrat war keine Formalie, sondern spiegelte genuine Bedenken über Rechtsunsicherheit und Verwaltungsaufwand für Unternehmen wider.

Der Vermittlungsausschuss erarbeitete einen Kompromiss, der in zentralen Punkten abwich: Anonymität blieb möglich, war aber nicht mehr zwingend für interne Meldestellen vorgeschrieben (§ 16 Abs. 1 HinSchG). Der Schutzbereich wurde auf Verstöße gegen EU-Recht und bestimmte nationale Strafvorschriften begrenzt. Die finale Fassung des HinSchG wurde am 31. Mai 2023 vom Bundesrat gebilligt und am 2. Juli 2023 im Bundesgesetzblatt (BGBl. I Nr. 140) verkündet. Für Compliance-Verantwortliche ist der Vergleich der Entwurfsstufen relevant, weil er erklärt, wo Spielräume bewusst eingeräumt wurden und wo nicht. Eine externe Interne Meldestelle kann beide Aspekte vollständig abdecken.

Der sachliche Anwendungsbereich des HinSchG ergibt sich aus § 2 Abs. 1. Erfasst sind Verstöße gegen unmittelbar geltende EU-Rechtsakte in den dort aufgezählten Bereichen – darunter Finanzdienstleistungen, Produktsicherheit, Umweltschutz, Lebensmittelsicherheit und öffentliches Auftragswesen – sowie Straftaten und Ordnungswidrigkeiten nach deutschem Recht, sofern sie dem Schutz von Leben, Leib oder Gesundheit dienen oder mit erheblichen Sanktionen bewehrt sind. Steuerliche Verstöße, die ausschließlich interne Unternehmensregeln betreffen, fallen grundsätzlich nicht in den gesetzlichen Schutzbereich.

Das war einer der zentralen Streitpunkte im Gesetzgebungsverfahren: Verbände des Mittelstands hatten vor einer übermäßigen Ausdehnung des Schutzbereichs auf jede Compliance-Verletzung gewarnt. Die finale Fassung begrenzt diesen Bereich, erlaubt Unternehmen nach § 3 Abs. 1 HinSchG jedoch ausdrücklich, den sachlichen Anwendungsbereich ihrer Meldestelle freiwillig zu erweitern. In der Praxis empfiehlt sich diese Erweiterung auf konzernangehörige Unternehmen, da eine konzernweite Meldestelle unter bestimmten Voraussetzungen nach § 14 Abs. 2 HinSchG zulässig ist.

Unternehmen sollten die Entscheidung über den Scope ihrer Meldestelle in einer Verfahrensordnung dokumentieren und diese regelmäßig überprüfen. Eine nicht dokumentierte Scope-Entscheidung kann im Prüfungsfall als fehlende Strukturierungsleistung gewertet werden und das Bußgeldrisiko erhöhen. Frist läuft ab Kenntnis – und nicht ab dem Zeitpunkt einer behördlichen Anfrage. Eine freiwillige Erweiterung des Scopes sollte schriftlich begründet und von der Geschäftsleitung genehmigt werden, um die Scope-Entscheidung gegenüber der Aufsichtsbehörde nachvollziehbar zu machen.

§ 1 Abs. 1 HinSchG definiert den persönlichen Schutzbereich: Geschützt sind natürliche Personen, die im beruflichen Kontext Informationen über Verstöße erlangt haben und diese melden oder offenlegen. Das schließt Beschäftigte, Beamte, Selbstständige, Anteilseigner, Lieferanten und Praktikanten ein sowie Personen, die sich in einem vorvertraglichen Verhältnis befinden – also bereits im Bewerbungsverfahren Kenntnis von Verstößen erlangen könnten.

Bedeutsam ist auch der Schutz von Personen, die den Hinweisgeber unterstützen: Kollegen, die Aussagen bezeugen, Ombudspersonen, die vertrauliche Beratung anbieten, und Personen, die dem Hinweisgeber persönlich nahestehen, sind nach § 34 HinSchG vor Repressalien geschützt. Die Begriffsweite geht über den ursprünglichen Richtlinientext hinaus und war in früheren Entwurfsstufen noch nicht so eindeutig formuliert.

Für Unternehmen ist entscheidend: Die Meldestelle muss so ausgestaltet sein, dass potenzielle Hinweisgeber tatsächlich von ihr Kenntnis haben und ihr im Ernstfall vertrauen. § 7 Abs. 3 HinSchG verpflichtet zum aktiven Bewerben der internen Meldewege gegenüber Beschäftigten. Eine Meldestelle, die formal existiert, aber intern nicht kommuniziert wird, erfüllt den gesetzlichen Zweck nicht. Belegbare Kommunikationsmaßnahmen – Intranet, Onboarding-Dokumente, Aushang am schwarzen Brett – gehören deshalb zur Dokumentationspflicht und sollten revisionssicher abgelegt werden. Unternehmen sollten daher sowohl die interne als auch die externe Kommunikation über die Meldestelle dokumentieren – Screenshots, Intranet-Postings und Protokolle aus Betriebsversammlungen sind geeignete Belege.

§ 15 Abs. 1 HinSchG schreibt vor, dass die mit Aufgaben der internen Meldestelle betrauten Personen bei der Erfüllung ihrer Tätigkeit unabhängig sind und keine Weisungen erhalten dürfen, die sie in der Ausübung ihrer Funktion beeinflussen. Diese Anforderung an die organisatorische Unabhängigkeit ist das Kernprinzip des Bestellungskonzepts: Eine Meldestelle, die dem Vorstand oder der Geschäftsführung unterstellt ist und faktisch weisungsgebunden agiert, genügt den gesetzlichen Anforderungen nicht und schafft erhebliche Haftungsrisiken.

§ 16 Abs. 1 HinSchG regelt die Vertraulichkeit: Die Identität des Hinweisgebers und der von der Meldung betroffenen Personen darf nur mit deren ausdrücklicher Einwilligung oder in den abschließend geregelten Ausnahmefällen – insbesondere bei strafrechtlichen Ermittlungen auf gerichtliche Anordnung – weitergegeben werden. Ein vorsätzlicher Verstoß gegen diese Pflicht ist nach § 40 Abs. 2 Nr. 1 HinSchG mit einem Bußgeld bis zu 100.000 Euro bewehrt.

Die Dokumentationspflicht nach § 11 HinSchG verlangt, dass alle eingehenden Meldungen mit Datum, Sachverhalt und den ergriffenen Maßnahmen erfasst werden. Die Aufbewahrungsfrist beträgt mindestens drei Jahre nach Abschluss des Verfahrens. Für die praktische Umsetzung bedeutet das: Eine Meldestelle ohne revisionssicheres Dokumentationssystem ist strukturell nicht rechtskonform. Bestellurkunde, unterschrieben, abgelegt, belegbar – das gilt auch für die gesamte Verfahrensdokumentation der Meldestelle. Die Wahl eines externen Beauftragten ist dabei keine Schwäche, sondern eine strukturelle Stärke: Externe Beauftragte bringen die formale Unabhängigkeit bereits durch ihre Stellung mit, ohne dass das Unternehmen aufwändige interne Governance-Strukturen aufbauen muss.

§ 17 HinSchG legt drei operative Fristen fest, die für die technische Ausgestaltung der Meldestelle unmittelbar relevant sind. Erstens muss die Meldestelle dem Hinweisgeber den Eingang der Meldung innerhalb von sieben Tagen nach Eingang bestätigen. Zweitens muss innerhalb von drei Monaten nach der Eingangsbestätigung eine Rückmeldung über ergriffene oder geplante Folgemaßnahmen erfolgen. Drittens ist die Meldedokumentation mindestens drei Jahre nach Abschluss des Verfahrens aufzubewahren.

Die Sieben-Tage-Frist gilt auch für anonym eingegangene Meldungen, sofern der Hinweisgeber einen Rückkanal angegeben hat. Ein rein postalischer Meldekanal ohne systematisches Eingangserfassungssystem gefährdet die Fristeinhaltung strukturell. Unternehmen, die einen E-Mail-Postfach-Ansatz wählen, müssen sicherstellen, dass das Postfach täglich geprüft wird – einschließlich Vertretungsregelungen bei Urlaub, Krankheit oder Stellenwechsel des Beauftragten.

Die Drei-Monats-Frist für die Rückmeldung setzt voraus, dass intern Untersuchungsschritte eingeleitet werden. Das erfordert eine klare, dokumentierte Eskalationsmatrix: Wer erhält die Meldung, wer leitet die Untersuchung ein, welche Abteilungen werden eingebunden, wer kommuniziert mit dem Hinweisgeber? Unternehmen ohne solchen dokumentierten Prozessablauf haben bei einer Behördenprüfung erhebliche Nachweisschwächen. Die Frist läuft ab Kenntnis – nicht ab dem Zeitpunkt, an dem die Meldung zufällig entdeckt wird. Eine zusätzliche Sicherung besteht darin, dass der externe Beauftragter einen eigenen Fristenkalender führt und das Unternehmen proaktiv auf ablaufende Fristen hinweist, bevor eine Eskalation nötig wird.

Das HinSchG kennt zwei parallele Meldekanäle: interne Meldestellen beim verpflichteten Unternehmen nach § 12 HinSchG und externe Meldestellen bei Behörden nach § 19 HinSchG, in erster Linie beim Bundesamt für Justiz. Hinweisgeber haben gesetzlich freies Wahlrecht zwischen beiden Kanälen; das Gesetz verpflichtet Unternehmen jedoch ausdrücklich dazu, interne Kanäle so attraktiv zu gestalten, dass Hinweisgeber den internen Weg bevorzugen.

§ 7 Abs. 1 HinSchG begründet eine gesetzliche Präferenz für den internen Weg: Unternehmen sollen strukturelle Anreize schaffen. Das setzt voraus, dass die Meldestelle als vertrauenswürdig und tatsächlich unabhängig wahrgenommen wird. Eine Meldestelle, die mit dem Unternehmensvorstand personell verknüpft ist oder keine anonyme Meldeoption vorsieht, wird von rational handelnden Hinweisgebern gemieden. Der funktionale Wert einer internen Meldestelle hängt direkt von ihrem wahrgenommenen Schutzgrad ab.

Die externe Meldestelle nach § 19 HinSchG ist beim Bundesamt für Justiz angesiedelt und nimmt seit dem 1. Dezember 2023 Meldungen entgegen. In bestimmten regulierten Sektoren – Finanz- und Kapitalmarkt, Versicherung – bestehen sektorspezifische externe Meldestellen bei der BaFin nach § 21 HinSchG. Unternehmen aus diesen Sektoren müssen sicherstellen, dass ihre interne Meldestelle die Schnittstelle zu den sektorspezifischen externen Stellen kennt und Eskalationspfade definiert hat. Diese Funktion sollte daher bevorzugt besetzt werden, bevor der erste Vergabefall eintritt – reaktives Handeln ist im Hinweisgeberschutz keine geeignete Strategie.

§ 40 HinSchG listet die bußgeldbewehrten Tatbestände abschließend auf. Praxisrelevant sind vier Fallgruppen. Erstens das vorsätzliche oder leichtfertige Behindern oder Versuchen zu behindern von Meldungen oder Offenlegungen (§ 40 Abs. 1 Nr. 1 HinSchG), Bußgeld bis zu 50.000 Euro. Zweitens das vorsätzliche Ergreifen von Repressalien gegen Hinweisgeber (§ 40 Abs. 1 Nr. 2 HinSchG), Bußgeld bis zu 50.000 Euro. Drittens das vorsätzliche Offenbaren der Identität des Hinweisgebers in Verletzung von § 16 Abs. 1 (§ 40 Abs. 2 Nr. 1 HinSchG), Bußgeld bis zu 100.000 Euro. Viertens die vorsätzliche oder fahrlässige Nichteinrichtung einer internen Meldestelle durch Unternehmen ab 250 Beschäftigten (§ 40 Abs. 2 Nr. 2 HinSchG), Bußgeld bis zu 20.000 Euro.

Neben Bußgeldern treten mögliche Schadensersatzansprüche des Hinweisgebers nach § 37 Abs. 1 HinSchG sowie Reputationsrisiken bei öffentlich gewordenen Verletzungen. Die Beweislastumkehr nach § 36 HinSchG begünstigt den Hinweisgeber: Das Unternehmen muss nachweisen, dass ergriffene Maßnahmen keine Repressalie waren.

Für Unternehmen in der Größenklasse 50 bis 249 Beschäftigten ist der aktuelle Bußgeldrahmen bei Nichteinrichtung formal noch nicht vollständig sanktioniert; allerdings kann die Aufsichtsbehörde über Anordnungen die Einrichtung erzwingen. Vorausschauende Unternehmen etablieren ihre Meldestelle unabhängig vom aktuellen Sanktionsstand vollständig und revisionssicher. Für Compliance-Beauftragte und Juristen im Unternehmen empfiehlt sich zudem eine regelmäßige Überprüfung der geplanten EU-Änderungen: Eine Vollharmonisierung des HinSchG ist auf EU-Ebene diskutiert und könnte den Bußgeldrahmen weiter verschärfen.

Das HinSchG erlaubt es ausdrücklich, die interne Meldestelle an einen externen Dritten zu vergeben (§ 14 Abs. 1 HinSchG). Diese Lösung ist für Unternehmen attraktiv, die die Anforderungen an Unabhängigkeit, Vertraulichkeit und technische Ausstattung nicht intern abbilden können oder wollen. Die externe Lösung erfüllt die Anforderungen an die Unabhängigkeit in der Regel besser als eine interne Besetzung, da der externe Beauftragte keine Weisungsabhängigkeit gegenüber der Geschäftsleitung hat.

CIVAC bietet zwei Modelle an: die Lizenzierung des Workspace für einen intern bestellten Beauftragten für die Interne Meldestelle oder die Übernahme der Funktion durch einen extern bestellten Beauftragten aus dem CIVAC-Partnernetzwerk. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Beide Modelle teilen dieselbe technische Infrastruktur: digitaler Meldekanal nach § 16 HinSchG, automatische Eingangsbestätigung innerhalb der Sieben-Tage-Frist, Fristen-Dashboard für die Drei-Monats-Rückmeldung, revisionssichere Dokumentenablage und verschlüsselte Kommunikation mit dem Hinweisgeber.

Der CIVAC-SLA sieht Vertrag, Person und Urkunde in zwei Werktagen vor. Für Unternehmen, die im Rahmen einer Behördenprüfung oder eines arbeitsrechtlichen Verfahrens die Ordnungsmäßigkeit ihrer Meldestelle nachweisen müssen, ist diese Dokumentationskette entscheidend. Der Prüfer ruft an, der Nachweis liegt bereit – vollständig, strukturiert, rechtssicher. Der CIVAC-Workspace bietet zudem eine verschlüsselte Kommunikationsfunktion zwischen Hinweisgeber und Meldestelle, die den Vertraulichkeitsanforderungen des § 16 HinSchG entspricht und gleichzeitig die Fristen nach § 17 HinSchG automatisch überwacht.

Unternehmen, die noch keine interne Meldestelle eingerichtet haben oder deren bestehende Lösung die gesetzlichen Anforderungen nicht vollständig erfüllt, sollten drei Schritte strukturiert abarbeiten. Erstens: Bestandsaufnahme der aktuellen Situation – Existiert eine Meldestelle? Ist sie formal unabhängig? Sind Fristen technisch implementiert? Ist die Dokumentation revisionssicher? Welche Kommunikationsmaßnahmen gegenüber Beschäftigten wurden ergriffen? Zweitens: Entscheidung über das Modell – interne Besetzung mit Workspace oder externer Beauftragter – dokumentiert und formal durch die Geschäftsleitung freigegeben. Drittens: Bestellung und operative Inbetriebnahme einschließlich interner Kommunikation und Dokumentation der Kommunikationsmaßnahmen.

Der sachliche Scope der Meldestelle sollte parallel entschieden werden: gesetzliches Minimum nach § 2 Abs. 1 HinSchG oder freiwillige Erweiterung auf alle wesentlichen Compliance-Verstöße. Letztere Option schützt vor Parallelkanälen – informellen Beschwerden an den Betriebsrat, direkter Kontaktaufnahme mit Journalisten – und kanalisiert Hinweise in strukturierte Prozesse mit dokumentiertem Ausgang.

Technisch muss die Meldestelle nach § 16 Abs. 1 HinSchG einen sicheren Meldekanal bieten, über den Meldungen mündlich, schriftlich oder auf Wunsch in einem persönlichen Gespräch möglich sind. Eine reine E-Mail-Adresse ist zulässig, aber anfällig für Datenschutzlücken und Fristen-Versäumnisse. Eine datenschutzkonforme Plattformlösung mit automatisierten Fristen-Alerts ist branchenüblicher Standard. Aus dem Lesen einen Auftrag machen – schreiben Sie an info@civac.de oder rufen Sie das Kontaktformular auf, um die Interne Meldestelle in zwei Werktagen zu aktivieren.