HinSchG und BMJV: Zuständigkeiten, Auslegungen und operative Folgen für Meldestellen

Das Hinweisgeberschutzgesetz, kurz HinSchG, gilt in Deutschland seit dem 2. Juli 2023 und seit dem 17. Dezember 2023 vollständig auch für Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden. Federführendes Ressort ist das Bundesministerium der Justiz, das die Umsetzung der EU-Whistleblower-Richtlinie 2019/1937 betreut, FAQ-Dokumente veröffentlicht und die Bundes-Meldestelle beim Bundesamt für Justiz, BfJ, verantwortet. Für Compliance-Verantwortliche ist das BMJV daher die zentrale Auslegungsinstanz.

Dieser Beitrag richtet sich an Geschäftsleitungen, Compliance-Beauftragte und Leitungen interner Meldestellen, die zwischen offiziellem Gesetzestext, Verwaltungsauslegung und operativem Alltag vermitteln müssen. Wir ordnen die zentralen BMJV-Veröffentlichungen, klären die Zuständigkeit zwischen interner Meldestelle, externer Meldestelle beim BfJ und sektorspezifischen Meldestellen, und zeigen, welche Bestellurkundenformulierungen das Ministerium implizit erwartet.

Das BMJV ist nach Geschäftsordnung der Bundesregierung für das HinSchG ressortzuständig. Es entwickelt Gesetzesänderungen, koordiniert die Umsetzung der EU-Whistleblower-Richtlinie und veröffentlicht erläuternde Materialien. Operative Aufsichtsfunktionen übt das Ministerium nicht aus. Das Bundesamt für Justiz, BfJ, betreibt die externe Meldestelle des Bundes nach §§ 19 ff. HinSchG, an die sich Hinweisgeber wenden können, wenn sie eine interne Meldung nicht für angemessen halten oder ihre Bedenken extern äußern wollen.

Sektorspezifische externe Meldestellen ergänzen das System. Die BaFin nimmt Meldungen zu Finanzmarktverstößen entgegen, das Bundeskartellamt zu Kartellverstößen, die EU-Kommission zu Verstößen gegen Unionsrecht, das BSI zu IT-Sicherheitsvorfällen nach NIS-2. Diese Vielfalt bedeutet operativ: Eine interne Meldestelle muss Hinweisgeber korrekt an die zuständige externe Stelle weiterleiten können, ohne den Vertraulichkeitsschutz zu verletzen.

Die Hinweisgeberschutz-Meldestelle nach HinSchG ist in der Praxis eine Schnittstellenfunktion. Sie verbindet interne Meldungen mit externen Verfahren, Datenschutz nach Art. 9 DSGVO mit Strafprozessrecht und Arbeitsrechtsschutz mit Geschäftsleitungs-Berichtspflicht. Bestellurkunde, unterschrieben, abgelegt, belegbar – die Funktion ist nicht delegierbar an eine Personalabteilung ohne klare Vertraulichkeitsstruktur.

Das BMJV veröffentlicht auf seiner Webseite ein FAQ-Dokument zum HinSchG, ergänzt durch eine Begründung des Regierungsentwurfs und gelegentliche Pressemitteilungen. Die FAQ ersetzen keine Rechtsprechung, prägen aber die Verwaltungspraxis. Drei Auslegungsschwerpunkte sind für Unternehmen besonders relevant. Erstens die Frage, welche Meldungen unter das HinSchG fallen und welche nicht. Zweitens die Pflicht zur Einrichtung interner Meldekanäle. Drittens die Anforderungen an die Vertraulichkeit und Identitätsverschleierung.

Die FAQ stellt klar, dass das HinSchG nicht auf Mitarbeitende beschränkt ist. Auch Geschäftspartner, ehemalige Mitarbeitende, Bewerber, Praktikanten und Personen, die Hinweise auf Verstöße aus dem beruflichen Kontext geben, fallen unter den Schutz. Das erweitert den Adressatenkreis erheblich gegenüber älteren Whistleblower-Modellen, die sich auf die eigene Belegschaft konzentrierten. Die interne Meldestelle muss Meldekanäle anbieten, die auch externen Personen zugänglich sind.

Eine weitere häufig zitierte Auslegung betrifft die Anonymität. § 16 Abs. 1 HinSchG sieht zwar keine Pflicht zur Bearbeitung anonymer Meldungen vor, das BMJV empfiehlt aber die Annahme anonymer Meldungen, um die Wirksamkeit des Schutzsystems zu erhöhen. In der Praxis bedeutet das: Wer anonyme Meldungen ausschließt, riskiert eine schwächere Verwaltungsbewertung bei einer späteren Kontrolle der Meldestelle. Audit-fest, dokumentiert, § 16-fest.

§ 12 HinSchG verpflichtet Beschäftigungsgeber mit mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Für Unternehmen ab 250 Beschäftigten gilt die Pflicht seit 2. Juli 2023, für Unternehmen mit 50 bis 249 Beschäftigten seit 17. Dezember 2023. Sektorspezifische Pflichten greifen unabhängig von der Mitarbeiterzahl, etwa für Finanzdienstleister nach § 23 KWG, Versicherungen nach § 30 VAG und Geldwäscheprävention nach § 6 GwG.

Konzernstrukturen werfen besondere Fragen auf. § 14 Abs. 1 HinSchG erlaubt zwar die gemeinsame Meldestelle für Konzerngesellschaften, die EU-Kommission und die EU-Mitgliedstaaten interpretieren die Whistleblower-Richtlinie aber strenger. Nach der EU-Auslegung muss jede Tochtergesellschaft mit mehr als 250 Mitarbeitenden eine eigene Meldestelle bereitstellen. Das BMJV vermittelt zwischen diesen Auslegungen und hat in der FAQ die deutsche Position bekräftigt, ohne die EU-Position rechtsverbindlich zu verwerfen.

Für die Praxis empfiehlt sich eine zweistufige Lösung: zentrale Meldestelle auf Konzernebene plus lokale Anlaufstellen mit eigener Bestellurkunde in den größeren Tochtergesellschaften. Diese Lösung deckt beide Auslegungen ab und ermöglicht zugleich eine konsolidierte Auswertung. Auf der CIVAC-FAQ finden sich Vorlagen für beide Strukturmodelle, einschließlich der Berichtslinien an die Geschäftsleitung der jeweiligen Gesellschaft.

§ 8 HinSchG verlangt strikte Vertraulichkeit zur Identität des Hinweisgebers. Die Daten dürfen nur an Personen weitergegeben werden, die für die Bearbeitung der Meldung zwingend zuständig sind. Das schließt in der Regel die Personalleitung, die Geschäftsführung und externe Dienstleister ohne ausdrückliche Erforderlichkeit aus. Verstöße gegen das Vertraulichkeitsgebot werden mit Bußgeld bis 50.000 Euro nach § 40 HinSchG geahndet.

Datenschutzrechtlich wird die Meldestelle zur Schnittstelle zwischen HinSchG und Art. 9 DSGVO. Wenn eine Meldung sensible Daten enthält, etwa Gesundheitsdaten, Gewerkschaftszugehörigkeit oder strafrechtliche Anschuldigungen, greifen die strengen Anforderungen der Art. 9 und 10 DSGVO. Eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO ist nahezu immer erforderlich. Das BMJV empfiehlt eine schriftliche Verfahrensbeschreibung mit Aufbewahrungsfristen, Löschkonzept und Zugriffsregelung.

Frist läuft ab Kenntnis – diese Logik aus dem Datenschutzrecht wirkt auch in die Meldestellenarbeit hinein. Bei einer Meldung, die zugleich einen Datenschutzvorfall nach Art. 33 DSGVO darstellt, beginnen die 72-Stunden-Meldefrist und die HinSchG-Bestätigungspflicht parallel. Eine integrierte Workspace-Struktur mit getrennten Berichtslinien für Datenschutz und Meldestelle reduziert das Risiko, eine der beiden Fristen zu reißen.

§ 17 HinSchG regelt die Pflichten der Meldestelle nach Eingang eines Hinweises. Innerhalb von sieben Tagen muss eine Eingangsbestätigung erfolgen, sofern der Hinweisgeber identifizierbar ist und der Bestätigung nicht widersprochen hat. Innerhalb von drei Monaten muss eine Rückmeldung über getroffene oder geplante Folgemaßnahmen erfolgen. Diese Frist beginnt mit der Eingangsbestätigung, nicht mit dem Eingang der Meldung.

§ 18 HinSchG verlangt die schriftliche Dokumentation jeder Meldung mit Aufbewahrung über drei Jahre nach Abschluss des Verfahrens. Die Dokumentation umfasst Datum und Form der Meldung, den Hinweisgeber, sofern bekannt und im Verfahren erforderlich, Folgemaßnahmen, Verfahrensabschluss und gegebenenfalls die externe Weitergabe. Bei strafrechtlich relevanten Meldungen verlängern sich die Aufbewahrungsfristen entsprechend der jeweiligen Verjährungsfristen.

In der Compliance-Plattform und Officer-as-a-Service von CIVAC bilden die 24/72-Logik und die HinSchG-Fristen denselben technischen Workflow ab. Der NIS-2 24/72-Meldepfad teilt Strukturmerkmale mit der HinSchG-7-Tage-Bestätigung: zeitkritische Eingangsregistrierung, getrennte Bearbeitungslinien, dokumentierter Eskalationspfad. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. In beiden Fällen liegt die Bestellurkunde innerhalb von zwei Werktagen vor.

§ 40 HinSchG sieht Bußgelder bis 50.000 Euro vor für die Behinderung einer Meldung, für Repressalien gegen Hinweisgeber, für Verstöße gegen das Vertraulichkeitsgebot und für die Nichteinrichtung einer Meldestelle trotz Pflicht. Das BfJ hat 2025 die ersten Bußgeldverfahren wegen Nichteinrichtung eröffnet, mit Schwerpunkt auf Unternehmen mit 50 bis 249 Mitarbeitenden, die nach dem 17. Dezember 2023 noch keine Meldestelle bereitgestellt hatten.

Die persönliche Haftung der Geschäftsleitung folgt § 130 OWiG. Wer die Aufsichtsorganisation zur Einrichtung und zum Betrieb der Meldestelle nicht trifft, haftet bei Pflichtverletzungen mit Bußgeldern bis 10 Millionen Euro nach § 30 OWiG. Hinzu kommen zivilrechtliche Schadensersatzansprüche von Hinweisgebern bei Repressalien, geregelt in § 37 HinSchG. Die Beweislastumkehr nach § 36 HinSchG erleichtert diese Ansprüche erheblich.

Versicherungsseitig wirken die Risiken doppelt. D&O-Versicherungen verlangen 2026 zunehmend nachweisbare Meldestellen mit dokumentierten Berichtslinien als Voraussetzung für den Versicherungsschutz. Eine fehlende Bestellurkunde führt zu höheren Prämien oder Deckungsausschlüssen. Der Prüfer ruft an, der Nachweis liegt bereit – diese Logik wirkt hier doppelt, weil die Bestellurkunde sowohl Behörden als auch Versicherern dient.

§ 19 HinSchG benennt die externe Meldestelle des Bundes beim Bundesamt für Justiz als alternative Anlaufstelle. Hinweisgeber dürfen frei wählen, ob sie intern oder extern melden. Eine Eskalationspflicht von intern zu extern besteht nicht, in der Praxis nutzen Hinweisgeber die externe Stelle aber häufig dann, wenn das Vertrauen in die interne Bearbeitung fehlt. Das BfJ veröffentlicht statistische Jahresberichte mit Meldekanal, Sektor und Verfahrensergebnis.

Für Unternehmen ergibt sich daraus eine indirekte Steuerungsaufgabe. Wer eine vertrauenswürdige interne Meldestelle betreibt, reduziert die Wahrscheinlichkeit, dass Hinweise direkt extern landen. Externe Meldungen führen zu längeren Verfahren, höherem Reputationsrisiko und stärkerer Behördenbeteiligung. Die BMJV-Materialien empfehlen daher klare Kommunikation über die internen Meldekanäle, niedrige Zugangshürden und eine sichtbare Unabhängigkeit der Meldestelle.

Die Compliance-Beauftragte-Funktion und die Meldestelle sind in vielen Unternehmen organisatorisch verbunden, aber sie sind nicht identisch. Die Meldestelle braucht eine eigene Bestellurkunde, eine eigene Berichtslinie und einen eigenen Datenschutz-Workflow. CIVAC trennt diese Funktionen im Workspace, ohne sie zu duplizieren. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Drei Hebel entscheiden 2026 über die Wirksamkeit der internen Meldestelle. Erstens die Erreichbarkeit. Die Meldestelle muss mehrere Kanäle anbieten, mindestens telefonisch, schriftlich und persönlich auf Verlangen. Anonyme Meldungen sollten zumindest entgegengenommen werden. Zweitens die Unabhängigkeit. Personalleitung und direkte Vorgesetzte des Hinweisgebers dürfen nicht in der ersten Bearbeitungslinie stehen, sonst greift der Vertraulichkeitsschutz nicht.

Drittens die Audit-Reife. Eine Meldestelle ohne Audit-Trail, ohne Versionierung und ohne dokumentierte Fristenkontrolle besteht eine Behördenprüfung nicht. § 18 HinSchG verlangt schriftliche Dokumentation, das BMJV erwartet darüber hinaus eine Verfahrensbeschreibung, eine Datenschutzfolgenabschätzung und einen Notfallplan für die Abwesenheit der zuständigen Beauftragten. Diese drei Dokumente fehlen 2026 nach Marktbeobachtung in den meisten KMU-Meldestellen.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. CIVAC bringt die Vorlagen mit, die das BMJV implizit erwartet: Verfahrensbeschreibung, DSFA-Template, Notfallplan, Berichtsmuster an die Geschäftsleitung, Fristenkalender mit 7-Tage- und 3-Monats-Triggern. Aus dem Lesen einen Auftrag machen ist hier wörtlich gemeint, weil die Meldestelle eine Bestellung braucht und keine Absichtserklärung.

Die BMJV-Auslegungen zum HinSchG sind keine bindende Rechtsprechung, aber sie sind der Maßstab, an dem Behörden und Wirtschaftsprüfer die interne Meldestelle messen. Wer 2026 eine Bestellurkunde unterschreibt, sollte die BMJV-FAQ kennen, die DSFA vorliegen haben und die Berichtslinie zur Geschäftsleitung dokumentieren. Diese drei Bausteine sind die Mindeststandards, an denen ein Audit beginnt.

CIVAC ist die Compliance-Plattform und Officer-as-a-Service für Unternehmen, die ihre Meldestelle audit-fest aufstellen wollen. 25 Beauftragten-Rollen sind live, 37 Audit-Vorlagen einsatzbereit, die EU-Datenresidenz erfüllt ISO 27001:2022-Anforderungen, der 24/72-Meldepfad deckt NIS-2 und HinSchG parallel ab. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Wege liefern die Aufsichtsorganisation, die § 130 OWiG verlangt.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de mit Mitarbeiterzahl, Branche und der aktuellen Meldestellen-Struktur. Sie erhalten innerhalb von zwei Werktagen eine schriftliche Einschätzung, welche Anpassungen an Bestellurkunde, Verfahrensbeschreibung und Berichtslinie erforderlich sind. Das Kontaktformular auf civac.de leitet direkt an das Bestellbüro weiter.