Hinweisgeberschutz ab 50 Mitarbeiter: Pflicht, Frist und Meldestelle

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um. § 12 HinSchG verpflichtet Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten, eine interne Meldestelle einzurichten und zu betreiben. Für Unternehmen mit 50 bis 249 Beschäftigten galt eine verlängerte Frist bis zum 17. Dezember 2023. Seitdem ist die Pflicht voll wirksam und das Bundesamt für Justiz ahndet Verstöße mit Geldbußen von bis zu 50.000 Euro.

Dieser Artikel beschreibt, wer genau unter die Pflicht fällt, welche technischen, organisatorischen und personellen Anforderungen das HinSchG stellt, wie der Vertraulichkeitsschutz und die Drei-Monats-Rückmeldefrist umgesetzt werden und welche Konsequenzen Verstöße haben. Sie erhalten eine prüffeste Checkliste für die Bestellung und den Betrieb einer Meldestelle, einschließlich der Abgrenzung zwischen interner Meldestelle und externer Beauftragung.

Nach § 12 Absatz 1 HinSchG sind Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten zur Einrichtung und zum Betrieb einer internen Meldestelle verpflichtet. Beschäftigungsgeber ist jeder Arbeitgeber im Sinne des Arbeitsrechts, also natürliche und juristische Personen, rechtsfähige Personengesellschaften, Behörden und sonstige Stellen. Die Schwelle bezieht sich auf die Gesamtzahl der Beschäftigten unabhängig vom Vertragsstatus: Vollzeit, Teilzeit, Auszubildende, Leiharbeitnehmende und Werkstudierende zählen mit. Geringfügig Beschäftigte sind voll zu zählen, anders als in Teilen des Arbeitsrechts.

Ohne Schwellenwertbindung gilt die Pflicht für bestimmte Sektoren bereits ab dem ersten Beschäftigten: Kreditinstitute, Finanzdienstleistungsinstitute, Wertpapierinstitute, Versicherungsunternehmen, Kapitalverwaltungsgesellschaften und weitere Adressaten der EU-Finanzmarktregulierung nach § 12 Absatz 3 HinSchG. Auch Konzernmütter mit mindestens 50 Beschäftigten erfüllen die Pflicht regelmäßig konzernweit. Für die Konzernstruktur erlaubt § 14 HinSchG, dass eine zentrale Meldestelle innerhalb der Unternehmensgruppe die Meldestelle einzelner Konzerngesellschaften übernimmt, sofern bestimmte Voraussetzungen erfüllt sind. Ein Hinweis auf den Hinweisgeberschutz und die interne Meldestelle findet sich in jeder rechtssicheren Unternehmensstruktur, weil die Pflicht weder verhandel- noch befristet ist.

Die Meldestelle ist mehr als ein Postfach. § 16 HinSchG verlangt einen Kanal, der mündliche und schriftliche Meldungen ermöglicht. Schriftlich umfasst Schriftform per Brief, E-Mail oder elektronisches Hinweisgebersystem. Mündlich umfasst Telefon und auf Wunsch der hinweisgebenden Person ein persönliches Treffen innerhalb angemessener Frist. Die Meldekanäle müssen die Vertraulichkeit der Identität der hinweisgebenden Person und der in der Meldung genannten Personen wahren. Anonyme Meldungen müssen seit dem 17. Dezember 2023 ebenfalls bearbeitet werden, eine Möglichkeit zur anonymen Meldung soll bestehen.

§ 17 HinSchG verlangt vier Pflichten beim Eingang: Bestätigung des Eingangs der Meldung innerhalb von sieben Tagen an die hinweisgebende Person, Prüfung der Stichhaltigkeit, gegebenenfalls Aufnahme weiterer Kontakte zur Aufklärung, Rückmeldung über die ergriffenen oder beabsichtigten Folgemaßnahmen innerhalb von drei Monaten nach der Eingangsbestätigung. § 18 HinSchG listet zulässige Folgemaßnahmen auf: interne Untersuchungen, Verweisung an zuständige Stellen, Beendigung des Verfahrens mit Begründung oder Abgabe an die externe Meldestelle des Bundes. Die Meldestelle handelt unabhängig von Weisungen und ist sachlich, personell und finanziell ausgestattet, ihre Aufgaben effektiv wahrzunehmen, § 15 HinSchG.

§ 8 HinSchG ist die Schutznorm: die Identität der hinweisgebenden Person, der von der Meldung betroffenen Personen und sonstiger in der Meldung erwähnter Personen darf grundsätzlich nur den für die Entgegennahme oder die Folgemaßnahmen zuständigen Personen bekannt sein. Eine Offenlegung ohne ausdrückliche Einwilligung ist nur in eng begrenzten Ausnahmen zulässig, etwa auf Anordnung der Strafverfolgungsbehörden oder im Rahmen behördlicher Untersuchungen. Verstöße gegen die Vertraulichkeit können mit Geldbußen geahndet werden und führen zu Schadensersatzpflichten nach § 37 HinSchG.

Die technische Umsetzung verlangt Verschlüsselung in Übertragung und Speicherung, Zugriffsbeschränkung durch dokumentierte Berechtigungen, Protokollierung jeder Zugriffshandlung und revisionssichere Aufbewahrung. Ein dedizierter Tenant oder ein abgegrenzter Mandant pro Beschäftigungsgeber ist erforderlich, um Mandantentrennung sicherzustellen. Auf der organisatorischen Seite werden die Mitarbeitenden der Meldestelle auf Vertraulichkeit verpflichtet, die Berichtslinie führt direkt an die Geschäftsleitung ohne Zwischeninstanzen. Die DSGVO-Konformität ist parallel sicherzustellen: das Verzeichnis nach Art. 30 DSGVO enthält die Verarbeitungstätigkeit Hinweisgeberschutz, die Rechtsgrundlage ist Art. 6 Absatz 1 Buchstabe c DSGVO in Verbindung mit § 10 HinSchG, die Löschfristen nach § 11 HinSchG sind dokumentiert (drei Jahre nach Abschluss des Verfahrens, sofern keine längere Aufbewahrungspflicht besteht).

§ 14 HinSchG erlaubt ausdrücklich die Beauftragung Dritter mit den Aufgaben der internen Meldestelle. Diese Option entlastet kleine und mittlere Unternehmen, die keine eigene Compliance-Funktion vorhalten. Die Beauftragung erfolgt durch schriftlichen Vertrag, der die Pflichten nach §§ 15 bis 18 HinSchG vollständig abbildet und die Auftragsverarbeitung nach Art. 28 DSGVO regelt. Die Verantwortung bleibt beim Beschäftigungsgeber: er bleibt für die Einrichtung, das Funktionieren und die Folgemaßnahmen verantwortlich.

Die Wahl zwischen interner und externer Bestellung folgt drei Kriterien. Erstens: Vertraulichkeit. Eine externe Stelle ist organisatorisch von der Geschäftsleitung getrennt und reduziert das Risiko von internen Loyalitätskonflikten. Zweitens: Qualifikation. Externe Dienstleister halten geschulte Ombudspersonen vor, häufig mit juristischer oder forensischer Ausbildung. Drittens: Kosten. Eine interne Meldestelle bindet Personal und Infrastruktur, eine externe Lösung läuft auf einen monatlichen Retainer. CIVAC bietet Compliance-Plattform und Officer-as-a-Service für genau diese Aufgabe. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen denselben technischen Meldekanal und denselben Audit-Trail. Der Wechsel zwischen Modellen ist im laufenden Betrieb möglich.

Die Sieben-Tage-Frist nach § 17 Absatz 1 Nummer 1 HinSchG läuft ab Eingang der Meldung. Eine Eingangsbestätigung an die hinweisgebende Person ist Pflicht, sofern keine ausdrückliche Mitteilung dagegen vorliegt oder die Bestätigung die Vertraulichkeit gefährden würde (etwa bei anonymen Meldungen ohne Rückkanal). Die Frist gilt unabhängig von Wochenenden oder Feiertagen. Operative Konsequenz: ein automatischer Eingangsbestätigungs-Workflow mit Zeitstempel ist Standard.

Die Drei-Monats-Frist nach § 17 Absatz 1 Nummer 4 HinSchG läuft ab dem Tag der Eingangsbestätigung. Innerhalb dieser drei Monate muss die hinweisgebende Person Rückmeldung über die geplanten oder ergriffenen Folgemaßnahmen erhalten, soweit dadurch interne Nachforschungen oder Ermittlungen nicht beeinträchtigt werden und keine schutzwürdigen Interessen entgegenstehen. Ist das Verfahren nach drei Monaten noch nicht abgeschlossen, ist eine Zwischenmeldung mit Hinweis auf die voraussichtliche weitere Bearbeitung erforderlich. Die Frist läuft ab Kenntnis. Praktisch heißt das, ein Fallmanagement mit Fristenkalender, Aufgaben, Zuständigkeiten und automatischen Erinnerungen. Jeder Schritt wird mit Zeitstempel und verantwortlicher Person dokumentiert. Der Prüfer ruft an, der Nachweis liegt bereit. Eine fehlende oder verspätete Rückmeldung ist nicht nur ein formaler Fehler, sondern kann den Hinweisgeber zur externen Meldung an Behörden oder zur Offenlegung gegenüber der Öffentlichkeit nach § 32 HinSchG berechtigen.

§ 40 HinSchG ist die Bußgeldnorm. Wer keine interne Meldestelle einrichtet oder betreibt, kann mit Geldbuße bis 20.000 Euro belangt werden. Wer Repressalien gegen hinweisgebende Personen ergreift (Kündigung, Versetzung, Benachteiligung, Mobbing), riskiert eine Geldbuße bis 50.000 Euro. Wer die Vertraulichkeit der hinweisgebenden Person verletzt, kann ebenfalls mit bis zu 50.000 Euro Bußgeld belegt werden. Die Bußgeldverfolgung obliegt dem Bundesamt für Justiz, das seit Inkrafttreten des HinSchG bereits Bußgeldverfahren eingeleitet hat.

Besonders folgenreich ist § 36 HinSchG: die Beweislastumkehr. Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit, wird vermutet, dass diese Benachteiligung eine Repressalie ist. Der Arbeitgeber muss beweisen, dass die Maßnahme auf hinreichend gerechtfertigten Gründen beruhte. In der arbeitsgerichtlichen Praxis ist diese Umkehr ein erheblicher Hebel: ohne saubere Personalaktenführung und dokumentierte sachliche Gründe für Personalmaßnahmen gehen Streitfälle regelmäßig zugunsten der hinweisgebenden Person aus. Die Schadenersatzpflicht nach § 37 HinSchG erstreckt sich auf materielle und immaterielle Schäden, einschließlich Schmerzensgeld. Wer den Compliance-Beauftragten in dieser Frage unbesetzt lässt, verfehlt nicht nur die HinSchG-Pflicht, sondern öffnet ein Haftungsrisiko mit hoher Eintrittswahrscheinlichkeit.

Das HinSchG steht nicht isoliert. Es greift in mehrere bestehende Pflichten hinein. § 4d FinDAG verlangt für Beaufsichtigte der BaFin eigene Meldewege, die nun mit dem HinSchG-Kanal abgestimmt werden müssen. § 8 GwG verlangt für Verpflichtete des Geldwäschegesetzes interne Sicherungsmaßnahmen einschließlich eines Hinweisgebersystems. § 8 LkSG verlangt für Unternehmen unter dem Lieferkettensorgfaltspflichtengesetz ein wirksames Beschwerdeverfahren entlang der Lieferkette, das mit der HinSchG-Meldestelle technisch und organisatorisch zusammenwirken kann.

Die DSGVO ist parallel zu beachten. Die Verarbeitung personenbezogener Daten in der Meldestelle benötigt eine Rechtsgrundlage (§ 10 HinSchG in Verbindung mit Art. 6 Absatz 1 Buchstabe c DSGVO), ein Verarbeitungsverzeichnis nach Art. 30 DSGVO, technische und organisatorische Maßnahmen nach Art. 32 DSGVO und eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, weil die Verarbeitung systematisch personenbezogene Daten zu Beschäftigten und Dritten umfasst. Die Aufbewahrungsfrist von drei Jahren nach § 11 HinSchG ist mit anderen Aufbewahrungspflichten (HGB, AO, AGG, GwG) abzustimmen, um Konflikte zu vermeiden. Eine einheitliche Compliance-Plattform mit dokumentierten Verzeichnissen und Verknüpfungen zwischen den Pflichten erleichtert die Konsistenz. Audit-fest, dokumentiert, § 12-fest.

Die Einrichtung einer rechtssicheren Meldestelle gelingt in 30 Tagen, sofern die Geschäftsleitung Entscheidungen klar trifft. Tag eins bis fünf: Grundsatzbeschluss intern oder extern, Auswahl des Anbieters bei externer Bestellung, Festlegung der Berichtslinie, Benennung der Ombudsperson oder der Meldestellenleitung mit schriftlicher Bestellung nach § 15 HinSchG. Tag sechs bis zehn: technische Einrichtung des Meldekanals mit Verschlüsselung, anonymem Eingangsmodul und Verwaltung mehrerer Eingangsformen (schriftlich, mündlich, persönlich).

Tag elf bis zwanzig: Erstellung der Verfahrensordnung mit Eingangsbestätigung, Stichhaltigkeitsprüfung, Folgemaßnahmen, Rückmeldungsworkflow und Aufbewahrung. Parallel: Datenschutzfolgenabschätzung nach Art. 35 DSGVO, Verarbeitungsverzeichnis, TOM-Dokumentation, Anpassung der Personaldatenschutzerklärung. Tag einundzwanzig bis dreißig: interne Kommunikation, Schulung der Meldestellen-Mitarbeitenden, Veröffentlichung der Meldekanäle (Intranet, Aushänge, Onboarding-Material), Konnektivität zu BaFin-, BAFA-, oder Geldwäsche-spezifischen Sondermeldewegen, falls einschlägig. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ab Tag dreißig läuft der Regelbetrieb. Jährliche Wirksamkeitsprüfung wird im Kalender verankert. Wer die 30 Tage überschritten hat, sollte die Einrichtung priorisieren: das Bundesamt für Justiz prüft anlassbezogen und auf Beschwerde.

Die Pflicht aus § 12 HinSchG ist nicht aufschiebbar und die Bußgelder sind real. Eine interne Meldestelle ist eine operative Funktion, kein juristisches Dokument. Sie braucht einen sicheren Meldekanal, geschulte Ombudspersonen, einen sauberen Fristenkalender, ein dokumentiertes Verfahren und eine belastbare Verknüpfung mit DSGVO, GwG, LkSG und BaFin-Spezialnormen. CIVAC liefert Compliance-Plattform und Officer-as-a-Service mit Workspace, Audit-Vorlagen, Bestellurkunde und EU-Datenresidenz für genau diese Pflicht.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de mit Ihrer Beschäftigtenzahl, der Konzernstruktur, der bestehenden Lösung (falls vorhanden) und der branchenspezifischen Zusatzpflicht (BaFin, GwG, LkSG, FinDAG). Sie erhalten innerhalb von 48 Stunden eine skopierte Empfehlung interner oder externer Aufstellung, einen namentlich benannten Ombudsdienstleister bei Outsourcing-Option und den Entwurf der Bestellurkunde. Die Einrichtung des Meldekanals erfolgt innerhalb von zwei Werktagen. Die Frist läuft ab Kenntnis. Verspätung kostet.