Hinweisgeberschutzgesetz (HinSchG): Pflichten, Meldestellen und Umsetzung

Das Hinweisgeberschutzgesetz (HinSchG) vom 2. Juli 2023 setzt die EU-Hinweisgeberrichtlinie (Richtlinie EU 2019/1937) in nationales Recht um und schafft erstmals in Deutschland einen umfassenden gesetzlichen Schutz für Personen, die Rechtsverstöße in Organisationen melden. Das Gesetz verpflichtet Unternehmen, Behörden und sonstige Einrichtungen ab 50 Mitarbeitern zur Einrichtung und zum Betrieb einer internen Meldestelle, die Hinweisgebern eine sichere, vertrauliche Kommunikation ermöglicht.

Für die Geschäftsleitung bedeutet das eine neue dauerhafte Compliance-Pflicht: Die Meldestelle muss nicht nur technisch existieren, sondern gesetzlich konforme Verfahrensabläufe haben, dokumentiert betrieben werden und mit anderen Compliance-Funktionen koordiniert sein. Dieser Artikel erläutert den vollständigen gesetzlichen Rahmen – von der Bestellpflicht bis zum Bußgeldrisiko.

Die Richtlinie EU 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, war bis zum 17. Dezember 2021 in nationales Recht umzusetzen. Deutschland hat diese Frist erheblich überschritten und das HinSchG erst am 2. Juli 2023 in Kraft gesetzt. Wegen der verspäteten Umsetzung hat die EU-Kommission ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, das nach Inkrafttreten des Gesetzes eingestellt wurde.

Das HinSchG besteht aus 42 Paragraphen und regelt: den persönlichen und sachlichen Schutzbereich, die Pflichten zur Einrichtung interner Meldestellen, das Verfahren der Meldungsbearbeitung, die externen Meldestellen (Bundesamt für Justiz, BfJ), den Schutz vor Repressalien und den Bußgeldrahmen. Es enthält keine Pflicht zur anonymen Entgegennahme von Meldungen, empfiehlt dies aber.

Im Verhältnis zur EU-Richtlinie weicht das HinSchG in einigen Punkten ab. Es beschränkt den sachlichen Anwendungsbereich enger als von der Richtlinie erlaubt; der Bundesrat hatte in seiner Stellungnahme eine weitere Erweiterung gefordert. Eine Überarbeitung des HinSchG zur vollständigen Richtlinienkonformität ist möglich, derzeit aber nicht terminiert. Externe Meldestellen-Beauftragte über CIVAC werden bei Gesetzesänderungen automatisch auf den aktuellen Stand gebracht.

§ 1 HinSchG definiert den persönlichen Schutzbereich. Schutz genießen natürliche Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden. Erfasst sind insbesondere: Arbeitnehmer (auch solche in der Probezeit, Teilzeitkräfte, Leiharbeitnehmer), Auszubildende, Selbstständige und Freiberufler, Lieferanten und deren Beschäftigte sowie ehemalige Mitarbeiter und Bewerber.

Nicht erfasst von § 1 HinSchG sind Personen, die Informationen über Verstöße ohne beruflichen Kontext erlangt haben – also klassische Zivilgesellschafts-Whistleblower ohne Insideren-Hintergrund. Für diese Gruppe gibt es weiterhin keinen spezifischen gesetzlichen Schutz in Deutschland, auch wenn die EU-Richtlinie eine weitreichendere Umsetzung ermöglicht hätte.

Der Schutz gilt auch für Personen, die die meldende Person unterstützen (sog. Facilitators), und für Dritte, die in einer Beziehung zur meldenden Person stehen und Repressalien erleiden könnten (z. B. Familienangehörige, Kollegen). Diese Erweiterung des Schutzbereichs auf Dritte ist eine wesentliche Neuerung gegenüber dem früheren Rechtszustand.

§ 2 HinSchG definiert den sachlichen Anwendungsbereich abschließend. Meldeschutz genießen Hinweisgeber, die Verstöße in folgenden Bereichen melden: Finanzdienstleistungen, Finanzprodukte und Finanzmärkte (einschließlich Geldwäscheprävention und Terrorismusfinanzierung), Produktsicherheit und -konformität, Transportsicherheit, Umweltschutz (einschließlich Strahlen- und Kernkraftsicherheit), Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz, öffentliche Gesundheit, Datenschutz (DSGVO, BDSG), Netzwerk- und Informationssystemsicherheit (NIS-2), Verbraucher- und Anlegerschutz, öffentliches Auftragswesen.

Darüber hinaus sind strafrechtliche Verstöße und Ordnungswidrigkeiten erfasst, soweit das betroffene Rechtsgut der Schutz von Leben, Gesundheit, persönlicher Freiheit oder Beschäftigtenschutz ist. Rein schuldrechtliche Streitigkeiten (z. B. Zahlungsverzug, Vertragsauslegungskonflikte) ohne Strafrechtsrelevanz fallen nicht unter § 2 HinSchG.

Wichtig: Meldungen zu Sachverhalten außerhalb des § 2 HinSchG-Schutzbereichs können keine Repressalienfreiheit nach dem HinSchG beanspruchen. Unternehmen, die ihren internen Meldebereich freiwillig erweitern, müssen kommunizieren, in welchen Fällen der gesetzliche Repressalienschutz gilt und in welchen nicht.

§§ 12 bis 17 HinSchG regeln die Anforderungen an interne Meldestellen. Die wichtigsten Pflichten im Überblick:

• Kanalvielfalt (§ 16 Abs. 1): Die Meldestelle muss Meldungen sowohl schriftlich als auch mündlich entgegennehmen. Auf Wunsch des Hinweisgebers muss eine persönliche Besprechung möglich sein.
• Eingangsbestätigung (§ 17 Abs. 1 Nr. 1): Innerhalb von sieben Tagen nach Eingang der Meldung muss der Meldestellen-Beauftragte dem Hinweisgeber den Eingang bestätigen.
• Unparteilichkeit (§ 15 Abs. 1): Die für die Meldestelle beauftragte Person muss unabhängig und frei von Interessenkonflikten sein. Sie darf nicht gleichzeitig als Berichtslinie für die gemeldeten Sachverhalte fungieren.
• Fachkunde (§ 15 Abs. 2): Der Beauftragte muss über die notwendige Sachkunde verfügen, insbesondere über Kenntnisse des Datenschutzrechts, des Arbeitsrechts und der relevanten Fachgebiete des § 2 HinSchG.
• Rückmeldung (§ 17 Abs. 1 Nr. 4): Innerhalb von drei Monaten nach der Eingangsbestätigung muss Rückmeldung über die ergriffenen Folgemaßnahmen gegeben werden.

Für Unternehmen mit 50 bis 249 Mitarbeitern ermöglicht § 14 Abs. 2 HinSchG eine gemeinsame Meldestelle mit anderen Unternehmen, was insbesondere für Konzerne und Unternehmensverbünde relevant ist.

§ 9 HinSchG stellt das Vertraulichkeitsgebot als zentrales Schutzprinzip auf: Die Identität des Hinweisgebers darf ohne seine ausdrückliche Zustimmung nicht offenbart werden. Ausnahmen gelten nur, wenn eine Offenbarung zur Einleitung eines Strafverfahrens zwingend erforderlich ist und die zuständige Behörde die Identität benötigt. Auch in diesen Fällen ist der Hinweisgeber vorab zu informieren, sofern dies die Ermittlungen nicht gefährdet.

Das Vertraulichkeitsgebot erstreckt sich auf alle an der Bearbeitung beteiligten Personen. Unternehmen müssen daher sicherstellen, dass die Dokumentation der Meldung technisch so gesichert ist, dass nur die mit der Bearbeitung befassten Personen Zugang haben. Eine rollenbasierte Zugangskontrolle (RBAC) ist faktisch unverzichtbar.

Die Verarbeitung personenbezogener Daten im Rahmen des Meldeverfahrens unterliegt der DSGVO. Der Datenschutzbeauftragte (DSB) muss in die Gestaltung des Meldesystems eingebunden sein und die Datenschutz-Folgenabschätzung (DSFA nach Art. 35 DSGVO) prüfen, da die Verarbeitung von Meldedaten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen kann. Der externe Datenschutzbeauftragte über CIVAC kann diese DSFA im Rahmen seiner Tätigkeit durchführen und dokumentieren.

§§ 19 ff. HinSchG regeln die externen Meldestellen. Das Bundesamt für Justiz (BfJ) ist als zentrale externe Meldestelle des Bundes benannt. Daneben können auf Landesebene weitere externe Meldestellen eingerichtet werden. Sektorspezifische externe Meldestellen bestehen bei der BaFin (für Finanzdienstleistungen und Kapitalmarkt) und beim Bundeskartellamt (für Wettbewerbsverstöße).

Hinweisgeber haben nach § 7 HinSchG das Recht, Meldungen direkt an externe Stellen zu richten, ohne zunächst die interne Meldestelle zu nutzen. Das Gesetz enthält keine Pflicht zur internen Vorabmeldung. Unternehmen können Hinweisgeber zwar ermutigen, zunächst intern zu melden, aber nicht rechtlich dazu zwingen.

Für Unternehmen ist es daher strategisch wichtig, die interne Meldestelle so zu gestalten, dass sie das Vertrauen der Mitarbeiter gewinnt und eine ehrliche Alternative zur externen Meldestelle darstellt. Ein gut dokumentierter Umgang mit internen Meldungen, der zeigt, dass Hinweisen nachgegangen wird und Folgemaßnahmen ergriffen werden, ist die wirksamste Maßnahme zur Stärkung der internen Meldequote.

§ 36 HinSchG enthält ein umfassendes Repressalienverbot. Folgende Maßnahmen sind verboten, wenn sie im Zusammenhang mit einer Meldung stehen: Kündigung, Abmahnung, Versetzung, Gehaltskürzung, Nichtbeförderung, negative Leistungsbeurteilung, Nötigung, Einschüchterung, Diskriminierung sowie jede Form sozialer Ausgrenzung. Das Verbot gilt nicht nur für unmittelbare Maßnahmen des Arbeitgebers, sondern auch für Handlungen von Kollegen oder Vorgesetzten, die der Arbeitgeber duldet.

Die Beweislastumkehr nach § 36 Abs. 2 HinSchG ist für Arbeitgeber besonders bedeutsam: Wenn ein Hinweisgeber nach einer Meldung eine Benachteiligung erleidet, wird vermutet, dass diese Benachteiligung eine Repressalie ist. Der Arbeitgeber muss beweisen, dass die Maßnahme auf anderen, objektiv begründbaren Gründen beruht. Diese Umkehr der Beweislast macht die Dokumentation von Personalentscheidungen, die Hinweisgeber betreffen, zu einem Haftungsthema.

In der Praxis bedeutet das: Jede Personalmaßnahme (Abmahnung, Kündigung, Nichtbeförderung), die nach einer Meldung gegenüber dem Meldenden ergeht, muss mit einem lückenlosem, zeitlich vorgelagertem Dokumentationsnachweis abgesichert sein, der zeigt, dass die Maßnahme unabhängig von der Meldung beschlossen wurde.

§ 40 HinSchG definiert den Bußgeldrahmen für Ordnungswidrigkeiten. Die Tatbestände und Höchstbeträge im Überblick:

• Verstoß gegen das Vertraulichkeitsgebot (§ 40 Abs. 1 Nr. 1): bis 100.000 Euro
• Repressalien gegen Hinweisgeber (§ 40 Abs. 1 Nr. 2): bis 50.000 Euro
• Behinderung von Meldungen (§ 40 Abs. 1 Nr. 3): bis 100.000 Euro
• Fehlende interne Meldestelle (§ 40 Abs. 2 Nr. 2): bis 20.000 Euro

Zuständig sind die nach Landesrecht bestimmten Bußgeldbehörden, in der Regel die Gewerbeaufsichtsämter oder Staatsanwaltschaften. Erste Bußgeldverfahren wurden 2024 eingeleitet; Prüfschwerpunkte der Behörden sind die Existenz der Meldestelle und die Einhaltung der Vertraulichkeitspflicht.

Neben den Bußgeldern droht die zivilrechtliche Haftung nach § 37 HinSchG: Schadensersatz für materielle und immaterielle Schäden bei Repressalien. Besonders haftungsrelevant ist die Kombination aus fehlender Dokumentation des Meldeverfahrens und einer zeitlich danach erfolgten Personalmaßnahme – diese Konstellation ist im Prozess schwer zu widerlegen.

Die Einrichtung einer HinSchG-konformen internen Meldestelle erfordert fünf operative Schritte: Beauftragten benennen und Interessenkonfliktprüfung dokumentieren, Meldekanalstruktur (schriftlich + mündlich + persönlich) aufsetzen, Verfahrensablauf für Eingangsbestätigung, Prüfung und Rückmeldung definieren, Datenschutzkonzept und DSFA erstellen sowie Mitarbeiter über die Meldestelle und den Schutzbereich informieren.

Die Kombination aus technischer Plattform und bestelltem Beauftragten ist für viele Unternehmen die praktikabelste Lösung. CIVAC bietet beide Modelle: Lizenzieren Sie den Workspace für Ihren internen Meldestellen-Beauftragten – mit vorstrukturierten Verfahrensabläufen, automatischem Audit-Log und rollenbasierter Zugangsbeschränkung. Oder bestellen Sie einen externen Meldestellen-Beauftragten über CIVAC. Bestellurkunde, unterschrieben, abgelegt, belegbar – in zwei Werktagen.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wenn Sie Ihre Meldestelle aufsetzen, prüfen oder auf einen externen Beauftragten umstellen möchten, schreiben Sie uns: info@civac.de. Aus dem Lesen einen Auftrag machen.