HinSchG Referentenentwurf: Historie, aktueller Stand, was die kommende Novelle für interne Meldestellen bedeutet

Der Referentenentwurf zum Hinweisgeberschutzgesetz (HinSchG-RefE) wurde vom Bundesministerium der Justiz am 13. April 2022 veröffentlicht und löste eine intensive Verbändebeteiligung mit über 80 Stellungnahmen aus Wirtschaft, Gewerkschaften und Zivilgesellschaft aus. Das Gesetz trat schließlich am 2. Juli 2023 in Kraft, deutlich verspätet gegenüber der Umsetzungsfrist der EU-Richtlinie 2019/1937 vom 17. Dezember 2021. Die Europäische Kommission hatte gegen Deutschland deshalb ein Vertragsverletzungsverfahren eingeleitet und am 15. Februar 2023 Klage vor dem Europäischen Gerichtshof erhoben, was die politische Dringlichkeit der Verabschiedung deutlich erhöhte. Die Verzögerung hat den Referentenentwurf zu einem zentralen Dokument der Gesetzgebungsgeschichte gemacht, weil viele seiner Begründungselemente in der heutigen Auslegungspraxis weiterleben und bei einer absehbaren Novelle nach EU-Bewertung 2025/2026 wieder relevant werden.

Dieser Beitrag ordnet den Referentenentwurf in die Gesetzgebungshistorie ein, zeigt die wesentlichen Änderungen zwischen Entwurf und verabschiedetem Gesetz, beschreibt den aktuellen Stand der Pflichten für interne Meldestellen und bewertet, welche Anpassungen 2026 zu erwarten sind. Er richtet sich an Compliance-Beauftragte, Personalleitungen und Geschäftsleitungen in Unternehmen ab 50 Mitarbeitern, die nach § 12 Absatz 2 HinSchG zur Einrichtung einer internen Meldestelle verpflichtet sind. CIVAC als Compliance-Plattform und Officer-as-a-Service liefert dazu die Bestellurkunde der internen Meldestelle, die Verfahrensanweisung und auf Wunsch die externe Meldestellenfunktion innerhalb von zwei Werktagen.

Die EU-Whistleblower-Richtlinie 2019/1937 wurde am 23. Oktober 2019 vom Europäischen Parlament und vom Rat verabschiedet und musste von den Mitgliedstaaten bis 17. Dezember 2021 in nationales Recht umgesetzt werden, was nur wenige Mitgliedstaaten fristgerecht geschafft haben. Sie geht zurück auf die Erfahrungen mit Hinweisgeber-Skandalen wie Luxembourg Leaks, Panama Papers, Cambridge Analytica und Dieselgate, in denen die Anzeigenden persönliche und berufliche Nachteile erlitten und teilweise jahrelang gerichtlich um ihre Rechte kämpfen mussten. Ziel der Richtlinie ist ein einheitlicher Schutz für Personen, die Verstöße gegen Unionsrecht melden, mit klar definierten Meldekanälen, Fristen und Repressalienschutz. Der sachliche Anwendungsbereich umfasst zwölf Rechtsgebiete des Unionsrechts, darunter öffentliche Auftragsvergabe, Finanzdienstleistungen, Geldwäschebekämpfung, Produktsicherheit, Verkehrssicherheit, Umweltschutz, Verbraucherschutz, Datenschutz und Schutz der finanziellen Interessen der Union sowie Steuerrecht und Wettbewerbsrecht.

Die Richtlinie ist als Mindestharmonisierung formuliert. Den Mitgliedstaaten steht es frei, den Anwendungsbereich auf weitere Rechtsgebiete des nationalen Rechts auszudehnen, was die meisten europäischen Staaten unterschiedlich weit getan haben. Deutschland hat im HinSchG genau diese Erweiterung vorgenommen und den Anwendungsbereich auf strafbewehrte Verstöße und bestimmte bußgeldbewehrte Verstöße gegen nationales Recht ausgedehnt, soweit sie dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen. Der Referentenentwurf vom April 2022 war an dieser Stelle deutlich konservativer formuliert als das spätere Gesetz, was die spätere Debatte erklärt. Die Erweiterung des Anwendungsbereichs durch den Bundestag im Dezember 2022 hat zentrale Streitpunkte ausgelöst, die im Bundesrat zur Ablehnung führten und ein Vermittlungsverfahren erforderlich machten, in dem der Anwendungsbereich teilweise wieder zurückgenommen wurde.

Der Referentenentwurf des Bundesministeriums der Justiz vom 13. April 2022 (BMJ-RefE) sah ursprünglich folgende Kernpunkte vor: Anwendungspflicht ab 50 Mitarbeitern (mit Übergangsfrist bis 17. Dezember 2023 für Unternehmen mit 50 bis 249 Mitarbeitern), interne Meldestelle mit Vertraulichkeitspflicht und Fristen (Eingangsbestätigung binnen sieben Tagen, Rückmeldung binnen drei Monaten), externe Meldestelle beim Bundesamt für Justiz mit eigener Bearbeitungspflicht, Schutz vor Repressalien mit Beweislastumkehr, Bußgelder bis 100.000 Euro für vorsätzliche Verstöße. Anonyme Meldungen waren im Referentenentwurf ausdrücklich nicht verpflichtend zu bearbeiten, was später zum zentralen Streitpunkt wurde und zur Bundesrats-Ablehnung beitrug. Auch die Übernahme der gesamten Kosten durch den Beschäftigungsgeber war im RefE noch nicht eindeutig geregelt.

In der Verbändebeteiligung haben Wirtschaftsverbände (BDI, BDA, DIHK) den Anwendungsbereich kritisiert, weil er deutlich über die EU-Richtlinie hinausging und eine erhebliche Bürokratielast für kleine und mittlere Unternehmen bedeutet hätte. Gewerkschaften und NGOs (DGB, Transparency International, Whistleblower-Netzwerk) haben den fehlenden Schutz anonymer Meldungen, die unklare Beweislastregelung und die geringe Höhe der Bußgelder kritisiert. Der Bundesrat hat den Gesetzentwurf am 10. Februar 2023 abgelehnt, weil er trotz mehrerer Änderungen weiterhin über die EU-Richtlinie hinausging und eine wettbewerbsverzerrende Wirkung für deutsche Unternehmen entfaltete. Im Vermittlungsverfahren wurde der Anwendungsbereich auf nationale strafbewehrte und bestimmte bußgeldbewehrte Verstöße begrenzt, die Pflicht zur Bearbeitung anonymer Meldungen entfiel, das Bußgeld wurde auf 50.000 Euro halbiert. Das HinSchG wurde am 11. Mai 2023 vom Bundestag erneut beschlossen und trat am 2. Juli 2023 in Kraft. Die Übergangsfrist für Unternehmen mit 50 bis 249 Beschäftigten endete am 17. Dezember 2023, seitdem gilt die Pflicht uneingeschränkt für alle 50plus-Unternehmen.

Die Änderungen zwischen Referentenentwurf 2022 und geltendem HinSchG 2023 sind in der Praxis erheblich und prägen die Auslegung der heutigen Pflichten. Erstens: Anwendungsbereich. Der RefE umfasste Verstöße gegen sämtliche bußgeldbewehrte Normen, was praktisch jedes Ordnungswidrigkeitsverfahren betraf und die Meldestellenbelastung enorm gewesen wäre. Das geltende Gesetz beschränkt den Anwendungsbereich auf strafbewehrte Verstöße und solche bußgeldbewehrten Verstöße, die dem Schutz von Leben, Leib, Gesundheit oder Beschäftigtenrechten dienen. Zweitens: Anonyme Meldungen. Der RefE sah eine Sollvorschrift zur Bearbeitung vor, das geltende Gesetz verzichtet auf eine Bearbeitungspflicht, lässt die Möglichkeit aber zu, mit klarer Empfehlung in § 16 Absatz 1 Satz 4 HinSchG.

Drittens: Bußgeldhöhe. Der RefE sah Bußgelder bis 100.000 Euro vor, das geltende Gesetz bis 50.000 Euro nach § 40 HinSchG, was kritisiert wurde, weil der abschreckende Charakter im EU-Vergleich gering blieb. Viertens: Beweislastumkehr. Der RefE sah eine umfassende Beweislastumkehr bei Repressalienvorwurf vor, das geltende Gesetz in § 36 HinSchG eine Vermutungsregelung mit Gegenbeweismöglichkeit für den Arbeitgeber. Fünftens: Übergangsfrist. Der RefE gewährte für 50- bis 249-Mitarbeiter-Unternehmen eine Übergangsfrist bis 17. Dezember 2023, das geltende Gesetz bis 17. Dezember 2023 nach § 42 HinSchG ohne wesentliche Änderung. Die Auslegungspraxis des Bundesamts für Justiz und der BaFin orientiert sich an der Gesetzesbegründung und der Materialien aus dem Vermittlungsverfahren. Wer den Referentenentwurf kennt, erkennt die Auslegungsspielräume und kann die interne Meldestelle entsprechend dokumentieren. Im CIVAC-Workspace sind die Verfahrensvorlagen so gestaltet, dass sie auch unter strengerer Auslegung einer künftigen Novelle Bestand haben. Der Prüfer ruft an, der Nachweis liegt bereit.

Unternehmen mit in der Regel mindestens 50 Beschäftigten sind nach § 12 Absatz 1 HinSchG zur Einrichtung einer internen Meldestelle verpflichtet. Die Meldestelle muss vertraulich, unabhängig und mit ausreichenden Ressourcen ausgestattet sein, was sich auf Personal, Schulung, IT-Infrastruktur und Eskalationswege bezieht. Sie kann intern besetzt (etwa Compliance-Abteilung, Personalabteilung, Beauftragter) oder an externe Dritte vergeben werden, etwa an Rechtsanwälte, Ombudspersonen oder spezialisierte Plattformen mit eigener Beratungskompetenz. § 14 Absatz 1 Satz 1 HinSchG erlaubt mehreren Unternehmen mit jeweils bis zu 249 Beschäftigten den Zusammenschluss zu einer gemeinsamen Meldestelle, etwa innerhalb eines Konzerns oder einer Verbandsstruktur. Die Anforderung der Unabhängigkeit verbietet die Kombination mit Funktionen, die in einem Interessenkonflikt zur Meldestellentätigkeit stehen, etwa Vorgesetztenfunktion über meldende Beschäftigte.

Die Pflichtfristen der Meldestelle sind eng. Nach § 17 Absatz 1 HinSchG muss der Eingang einer Meldung innerhalb von sieben Tagen bestätigt werden, soweit dies nicht den Schutz der Identität gefährdet. Spätestens drei Monate nach der Eingangsbestätigung erhält die hinweisgebende Person eine Rückmeldung über geplante oder ergriffene Folgemaßnahmen und Gründe für diese, was eine Zwischeninformation über den Bearbeitungsstand einschließen kann. Die Dokumentation der Meldung erfolgt nach § 11 HinSchG mit Aufbewahrungsfrist von drei Jahren nach Abschluss des Verfahrens. Verstöße werden nach § 40 HinSchG geahndet, etwa mit Bußgeld bis 20.000 Euro bei Behinderung von Meldungen oder bis 50.000 Euro bei Verstoß gegen das Vertraulichkeitsgebot. Eine Übersicht der Pflichten ist im CIVAC-Workspace als Verfahrensanweisung mit Versionsstand hinterlegt, sodass jede Anpassung an spätere Novellen ohne Übergangsrisiken erfolgt.

Nach § 16 Absatz 1 HinSchG müssen die internen Meldekanäle sowohl mündliche als auch schriftliche Meldungen ermöglichen, und zwar in den Kommunikationssprachen, die für die Belegschaft relevant sind. Auf Verlangen der hinweisgebenden Person ist eine persönliche Zusammenkunft binnen angemessener Frist anzubieten, was praktisch bedeutet, dass die Meldestelle telefonisch oder per Video-Konferenz erreichbar sein muss und auch Vor-Ort-Termine ermöglichen kann. Die schriftliche Meldung erfolgt typischerweise über ein webbasiertes Hinweisgebersystem, das die Identität der meldenden Person verschlüsselt überträgt und der Meldestelle vertraulich zur Verfügung stellt, idealerweise mit Möglichkeit zum Dialog ohne Identitätspreisgabe. Eine bloße E-Mail-Adresse genügt nicht, weil sie keine ausreichende Vertraulichkeit gewährleistet und keine strukturierte Fallakte ermöglicht.

Vertraulichkeit ist der Kernschutz des Hinweisgebers. § 8 HinSchG verbietet die Offenlegung der Identität der hinweisgebenden Person an Personen außerhalb der Meldestelle, mit eng begrenzten Ausnahmen für Strafverfolgungsbehörden auf gerichtliche Anordnung oder bei Einwilligung der hinweisgebenden Person. Vertraulichkeit umfasst auch Personen, die Gegenstand der Meldung sind, sowie sonstige in der Meldung genannte Personen, was den Datenschutz für Beschuldigte einschließt. Eine Verletzung der Vertraulichkeit ist nach § 40 Absatz 2 Nummer 5 HinSchG ein Bußgeldtatbestand mit bis zu 50.000 Euro und kann zusätzlich Schadensersatzansprüche auslösen. Anonyme Meldungen sind nach geltendem Recht zulässig, aber nicht zwingend zu bearbeiten. Praktisch empfiehlt sich die Bearbeitung, weil anonyme Meldungen häufig zu wertvollen Hinweisen führen und der Verzicht auf Bearbeitung im Schaden- oder Strafverfahren als Aufsichtspflichtverletzung gewertet werden kann. Im CIVAC-Workspace werden die Kanäle einschließlich anonymem Eingang als integrierte Funktion bereitgestellt mit EU-Datenresidenz und Audit-Trail.

Der Schutz vor Repressalien ist das materielle Herz des HinSchG. § 36 Absatz 2 HinSchG stellt eine Vermutung auf: Erleidet eine hinweisgebende Person eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit, so wird vermutet, dass diese Benachteiligung eine Repressalie ist und damit nach § 36 Absatz 1 HinSchG verboten. Es obliegt dem Arbeitgeber, im Streitfall darzulegen, dass die Maßnahme auf hinreichend gerechtfertigten Gründen beruht oder dass sie nicht auf der Meldung beruht. Diese Beweislastregelung ist gegenüber dem allgemeinen Arbeitsrecht eine erhebliche Verschärfung und wird in Kündigungsschutzprozessen, Versetzungsstreitigkeiten, Lohnminderungen, Beförderungsverweigerungen und vergleichbaren personalwirtschaftlichen Entscheidungen relevant.

Praktisch bedeutet das: Wenn ein Arbeitgeber einem Mitarbeiter, der zuvor eine Hinweismeldung abgegeben hat, kündigt, versetzt oder eine Beförderung verweigert, muss der Arbeitgeber die Maßnahme aus dokumentierten, nachvollziehbaren Gründen ableiten können. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ohne durchgängige Dokumentation der Leistungs- oder Verhaltensbeurteilung vor und nach der Meldung ist die Gegenbeweisführung schwer und wird vor dem Arbeitsgericht typischerweise scheitern. Der Compliance-Beauftragte sollte daher mit der Personalabteilung schriftlich abstimmen, wie personalbezogene Maßnahmen nach einer Hinweismeldung dokumentiert werden, ohne den Schutz der Vertraulichkeit zu verletzen. Die Verfahrensanweisung der Meldestelle enthält dazu klare Regeln, etwa die Trennung der Meldestellenakte von der Personalakte und die Festlegung der Zugriffsrechte. Im CIVAC-Workspace sind diese Trennregeln technisch umgesetzt, sodass kein Zugriff auf Hinweismeldungen durch Vorgesetzte oder Personalverantwortliche möglich ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese technische Trennung ist im Prozess gegen den Repressalienvorwurf entscheidend, weil sie nachweist, dass die personalverantwortliche Stelle keine Kenntnis von der Meldung haben konnte.

Die EU-Kommission hat nach Artikel 27 der Richtlinie 2019/1937 spätestens am 17. Dezember 2025 einen Bericht über die Anwendung der Richtlinie vorgelegt, der die nationalen Umsetzungen vergleichend bewertet und Empfehlungen für eine Weiterentwicklung enthält. Auf Basis dieses Berichts können Anpassungen der Richtlinie folgen, die wiederum eine deutsche Umsetzung erfordern. Die laufende Bewertung beleuchtet insbesondere die Wirksamkeit der nationalen Umsetzungen, die Bearbeitung anonymer Meldungen, die Höhe der Sanktionen, die Beweislastregelung und die Schutzwirkung in der Praxis. Wer den Stand der Berichte verfolgt, kann absehen, in welche Richtung eine künftige Novellierung gehen wird, und seine interne Meldestelle entsprechend vorbereiten, ohne von einer plötzlichen Gesetzesänderung überrascht zu werden.

Auf nationaler Ebene gibt es mehrere Reformforderungen. Erstens wird die Erweiterung der Bearbeitungspflicht auf anonyme Meldungen diskutiert, was den Wegfall einer der Hauptdifferenzen zwischen RefE und geltendem Gesetz bedeuten würde. Zweitens wird die Anhebung des Bußgeldrahmens auf das Niveau anderer EU-Mitgliedstaaten gefordert, in Frankreich bis 60.000 Euro für Behinderung von Hinweisgebern, in Belgien bis 250.000 Euro für vorsätzliche Verstöße. Drittens wird eine klarere Regelung zur Wahrung der Vertraulichkeit gegenüber Konzernmuttergesellschaften gefordert, etwa in international tätigen Unternehmen mit Holdingstruktur und Cross-Border-Meldungen. Eine Novelle wird voraussichtlich nicht vor Ende 2026 verabschiedet. Wer seine interne Meldestelle heute auf den strengeren Standard ausrichtet (anonyme Meldungen werden bearbeitet, Vertraulichkeit gegenüber Konzern wird gewährleistet, Beweislastdokumentation wird systematisch geführt), ist auf jede Variante einer Novelle vorbereitet. Frist läuft ab Kenntnis. Damit wird die Meldestelle nicht zum reaktiven Compliance-Element, sondern zur strukturellen Funktion mit langer Halbwertszeit.

Die interne Meldestelle steht in zahlreichen Schnittstellen zu anderen Compliance-Funktionen, die ohne klare Regelung zu Konflikten und Pflichtverletzungen führen können. Datenschutz: Die Verarbeitung der personenbezogenen Daten der hinweisgebenden Person und der von der Meldung Betroffenen ist nach Art. 6 Absatz 1 Buchstabe c DSGVO auf eine Rechtspflicht aus § 10 HinSchG gestützt. Die Verarbeitung ist im Verzeichnis nach Art. 30 DSGVO einzutragen, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit externer Meldestelle oder Plattformanbieter ist erforderlich. Datenschutzfolgenabschätzung nach Art. 35 DSGVO ist bei hohem Risiko durchzuführen, was bei Meldestellen mit besonders sensiblen Inhalten regelmäßig der Fall ist. Der Datenschutzbeauftragte ist in den Aufsetzprozess einzubinden.

Geldwäsche: Verdachtsmeldungen nach § 43 GwG haben eigene strenge Vertraulichkeitsregeln. Eine Hinweismeldung an die interne Meldestelle, die einen geldwäscherelevanten Sachverhalt offenlegt, muss vom Geldwäschebeauftragten geprüft werden, ohne die Meldepflicht oder das Tipping-off-Verbot zu verletzen, was eine klare Abgrenzung der Zuständigkeiten erfordert. Compliance: Die Meldestelle ist in das allgemeine CMS einzubinden, mit Berichtslinie an die Geschäftsleitung und Aufsichtsrat (sofern vorhanden), in regelmäßigen Berichtsrhythmen. Berichte sollten anonymisierte Aggregate enthalten (Anzahl Meldungen, Themenfelder, Bearbeitungsstand), keine Einzelpersonen identifizieren. Wenn Sie zusätzlich einen Compliance-Beauftragten einsetzen, koordiniert dieser die Berichtslinien aller spezialisierten Beauftragten. Im CIVAC-Workspace werden 25 Beauftragten-Rollen in einer Plattform geführt, mit getrennten Rechten, gemeinsamer Berichtslinie und EU-Datenresidenz. Audit-fest, dokumentiert, § 8 HinSchG-fest. Die zentrale Plattform macht aus parallelen Beauftragten-Silos eine konsistente Compliance-Funktion mit einheitlicher Berichts- und Eskalationslogik. Damit lassen sich Meldungen, die mehrere Rechtsgebiete berühren, ohne Reibung in die jeweils zuständige Beauftragten-Funktion routen, mit vollständiger Audit-Spur und ohne Verletzung der Vertraulichkeit.

Wer eine interne Meldestelle aufbauen oder eine bestehende auf den aktuellen Stand bringen will, beginnt mit einem klaren Startpaket: Bestellung der internen Meldestelle mit Bestellurkunde, Festlegung der Berichtslinie an die Geschäftsleitung, Aufsetzen der Verfahrensanweisung mit Fristen und Vertraulichkeitsregeln, Einrichtung eines verschlüsselten Meldekanals (schriftlich und mündlich), Schulung aller Mitarbeiter über das Bestehen und die Funktion der Meldestelle. Innerhalb von 30 bis 60 Tagen lässt sich eine prüfbare Meldestelle aufsetzen, die die Pflichten nach § 12 ff. HinSchG erfüllt und gegen Bußgeldverfahren geschützt ist.

CIVAC begleitet diesen Aufbau als Compliance-Plattform und Officer-as-a-Service in zwei Modellen. Im Workspace-Modell lizenzieren Sie die Plattform für Ihre intern besetzte Meldestelle und nutzen die 490 Audit-Vorlagen, die Bestellurkundenvorlage, die Verfahrensanweisung und den verschlüsselten Meldekanal als sofort einsetzbares Gerüst mit EU-Datenresidenz. Im Officer-as-a-Service-Modell stellen wir die externe Meldestelle innerhalb von zwei Werktagen, statt der klassischen zwei bis sechs Wochen bei Kanzleien oder Ombudsstellen. Beide Modelle nutzen denselben Workspace, dieselbe Berichtslinie und dieselben Vorlagen, sodass ein späterer Wechsel ohne Datenmigration möglich bleibt. Wenn Sie wissen möchten, welche Lösung für Ihre Unternehmensgröße angemessen ist und wie Sie die Meldestelle für eine künftige Novelle robust aufsetzen, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq. Sie erhalten innerhalb eines Werktages eine erste Einschätzung mit konkreten nächsten Schritten, einer Empfehlung für das passende Modell und einem indikativen Zeitplan für den 30- bis 60-Tage-Aufbau. So wird aus der Pflicht eine strukturierte Funktion, die im Bußgeldverfahren standhält. Aus dem Lesen einen Auftrag machen.