Meldekanal nach Hinweisgeberschutzgesetz einrichten: Schritt für Schritt zur rechtskonformen Meldestelle

Das Hinweisgeberschutzgesetz (HinSchG), in Kraft seit dem 2. Juli 2023, verpflichtet Unternehmen mit in der Regel mindestens 50 Beschäftigten nach § 12 Abs. 1 HinSchG zur Einrichtung einer internen Meldestelle mit einem vertraulichen Meldekanal. Die Frist für Unternehmen mit 50 bis 249 Beschäftigten lief bis zum 17. Dezember 2023. Unternehmen, die bis heute keinen funktionsfähigen Meldekanal betreiben, begehen eine Ordnungswidrigkeit nach § 40 HinSchG und riskieren Bußgelder bis zu 20.000 Euro.

Dieser Artikel beschreibt in neun Schritten, wie ein Meldekanal nach HinSchG aufgebaut, besetzt und dauerhaft rechtssicher betrieben wird. Er richtet sich an Geschäftsführer, Compliance-Verantwortliche und Justiziare, die die Umsetzung noch nachholen oder eine bestehende Lösung auf Konformität prüfen möchten.

§ 12 Abs. 1 HinSchG knüpft die Einrichtungspflicht an die Zahl der Beschäftigten. Maßgeblich ist die Regel-Beschäftigtenzahl, nicht die Zahl am Stichtag. Gezählt werden alle Personen in einem Beschäftigungsverhältnis im Sinne des AGG: Festangestellte, Teilzeitkräfte, Auszubildende und – nach herrschender Meinung – auch Leiharbeitnehmer, die dauerhaft im Betrieb eingesetzt sind.

Unternehmen mit 50 bis 249 Beschäftigten dürfen nach § 14 Abs. 2 HinSchG eine gemeinsame Meldestelle mit anderen Unternehmen betreiben. Das entbindet jedoch nicht von der Pflicht, sicherzustellen, dass die gemeinsame Stelle tatsächlich funktionsfähig ist und die eigenen Mitarbeitenden darüber informiert sind. Konzerngesellschaften können nach § 12 Abs. 3 HinSchG eine gemeinsame interne Meldestelle einrichten, wenn die Pflicht zur Einrichtung für jede Konzerngesellschaft einzeln erfüllt ist.

Für Unternehmen, die dem Finanzsektor angehören – etwa Kreditinstitute, Wertpapierfirmen oder Versicherungen –, gelten nach § 12 Abs. 3 Satz 3 HinSchG verschärfte Anforderungen: Sie müssen unabhängig von ihrer Beschäftigtenzahl eine eigene interne Meldestelle einrichten.

Prüfen Sie auch, ob Ihr Unternehmen als Auftragsverarbeiter für Dritte tätig ist: Auch in diesem Fall bleibt die Einrichtungspflicht bestehen, da sie an das eigene Beschäftigungsverhältnis und nicht an die Art der Tätigkeit geknüpft ist.

§ 16 Abs. 1 HinSchG verpflichtet die interne Meldestelle, Meldungen in mündlicher, schriftlicher oder nach Ermessen des Beschäftigten auch in Form einer persönlichen Zusammenkunft entgegenzunehmen. Das bedeutet: Nur ein digitales Formular als einziger Kanal genügt den Anforderungen nicht. Es muss mindestens auch eine mündliche Meldemöglichkeit geben – etwa eine dedizierte Telefonnummer.

In der Praxis haben sich drei Kanalvarianten etabliert: ein rein mündlicher Kanal über eine dedizierte Hotline, ein rein schriftlicher Kanal über ein sicheres Webformular oder eine verschlüsselte E-Mail-Adresse, und eine Kombination aus beiden. Die dritte Variante ist am gängigsten, da sie unterschiedliche Kommunikationspräferenzen der Beschäftigten abdeckt.

Für digitale Kanäle gelten erhöhte technische Anforderungen: Anonymität muss technisch ermöglicht werden, auch wenn sie rechtlich nicht erzwungen ist. Die Kommunikation muss verschlüsselt erfolgen. Ein Fallnummernsystem für anonyme Rückkommunikation ist erforderlich. Sofern kein Rückkommunikationskanal vorhanden ist, kann die Beschwerde nicht nach § 16 Abs. 3 HinSchG beantwortet werden.

Für mündliche Kanäle empfiehlt sich eine Protokollierungspflicht mit Zustimmung des Hinweisgebers nach § 16 Abs. 2 HinSchG: Das Gespräch wird in Textform festgehalten, dem Hinweisgeber zur Überprüfung und Korrektur vorgelegt und nach Bestätigung als Meldung behandelt.

Der technische Kanal allein erfüllt die Anforderungen des HinSchG nicht. § 15 Abs. 1 HinSchG verlangt, dass die mit der Meldestelle betrauten Personen unabhängig sind, keine Interessenkonflikte aufweisen und ausreichend fachkundig sind, um eingegangene Meldungen bewerten zu können. Diese Anforderungen sind substanziell und schließen typische interne Zuweisungen aus.

Ein Personalverantwortlicher scheidet aus, wenn Meldungen seinen eigenen Zuständigkeitsbereich betreffen können. Ein Geschäftsführer scheidet aus, wenn er selbst potenziell gemeldete Person ist. Ein Rechtsanwalt kann geeignet sein, sofern er nicht gleichzeitig als Unternehmensberater oder M&A-Berater für das Unternehmen tätig ist, was einen Interessenkonflikt begründen würde.

§ 14 HinSchG erlaubt die Beauftragung eines externen Dritten als Betreiber der Meldestelle. Der externe Betreiber übernimmt damit die Pflichten des § 15 HinSchG vollständig. Die Beauftragung sollte schriftlich erfolgen, den Aufgabenumfang klar definieren und Regelungen zur Vertraulichkeit, Berichtslinie und Weisungsfreiheit enthalten.

Die Beauftragung einer externen Meldestelle entbindet den Arbeitgeber nicht davon, sicherzustellen, dass der externe Betreiber die gesetzlichen Anforderungen erfüllt. Eine jährliche Prüfung der Fachkunde und Unabhängigkeit des externen Betreibers ist empfehlenswert.

Eine schriftliche Verfahrensanweisung ist kein gesetzliches Muss, aber de-facto-Anforderung für eine funktionsfähige und nachweisbare Meldestellenorganisation. Sie beschreibt, wie mit eingehenden Meldungen von der Annahme bis zur Abschlussmitteilung verfahren wird und wer welche Entscheidungen trifft.

Mindestinhalt einer Verfahrensanweisung für die interne Meldestelle:

• Zuständige Person und Vertretungsregelung
• Verfahren zur Eingangsbestätigung innerhalb von sieben Tagen
• Prüfungsschritte: Plausibilitätsprüfung, Sachverhaltsaufklärung, rechtliche Subsumtion
• Eskalationsregeln: Wann wird die Geschäftsleitung einbezogen? Wann externe Rechtsanwälte?
• Regelung für befangene Fälle: Wer prüft, wenn der Betreiber selbst betroffen ist?
• Rückmeldepflicht: Inhalt und Form der Rückmeldung nach § 16 Abs. 3 HinSchG
• Aufbewahrung und Löschung: Fristen je Fallkategorie
• Berichtslinie: Welche aggregierten Informationen erhält die Geschäftsleitung wann?

Die Verfahrensanweisung sollte jährlich überprüft und bei organisatorischen Änderungen – Wechsel des Betreibers, Softwaremigration, Unternehmenszusammenschluss – aktualisiert werden. Eine veraltete Verfahrensanweisung ist im Prüfungsfall oft schlechter als keine, weil sie falsche Zuständigkeiten ausweist.

Die Fristen des § 16 HinSchG sind eng und laufen automatisch ab Eingang der Meldung. Es gibt keine Verlängerungsmöglichkeit und keine Ausnahme für Urlaubszeiten oder Krankheitsfälle des Betreibers. Deshalb ist ein strukturiertes Fristmanagement eine betriebliche Notwendigkeit, keine optionale Verbesserung.

Die drei relevanten Fristen im Überblick:

1. 7 Tage: Eingangsbestätigung nach § 16 Abs. 3 HinSchG. Sie kann automatisiert durch das eingesetzte System erfolgen, muss aber auch bei anonymen Meldungen über den anonymen Rückkommunikationskanal zugestellt werden.
2. 3 Monate ab Eingangsbestätigung: Rückmeldung über ergriffene oder geplante Maßnahmen nach § 16 Abs. 3 HinSchG. Dies ist die Frist, die in der Praxis am häufigsten versäumt wird, weil Sachverhaltsklärungen sich hinziehen.
3. Keine gesetzliche Frist für die Fallbearbeitung: Das HinSchG gibt keine Bearbeitungsfrist vor; die Rückmeldepflicht ersetzt eine inhaltliche Erledigungsfrist.

Für die operative Umsetzung empfiehlt sich ein Wiedervorlagesystem, das den Betreiber spätestens am dritten Tag nach Eingang automatisch an die Eingangsbestätigung erinnert und zehn Wochen nach Eingangsbestätigung eine Rückmeldung-Deadline signalisiert. Softwaregestützte Lösungen sind hier dem manuellen Kalender deutlich überlegen. Frist läuft ab Kenntnis – und Unkenntnis schützt nicht vor Bußgeld.

Die Einrichtung der Meldestelle allein erfüllt die Anforderungen des HinSchG nicht. § 13 HinSchG verpflichtet den Arbeitgeber, Beschäftigte und Personen, die in Kontakt mit dem Unternehmen stehen könnten, über die Möglichkeit zur Meldung an die interne Meldestelle und an externe Stellen zu informieren. Die Information muss leicht zugänglich und klar verständlich sein.

In der Praxis empfehlen sich folgende Maßnahmen: Veröffentlichung der Meldestelleninformationen im Intranet und auf der Website (soweit extern zugänglich), Hinweis im Arbeitsvertrag oder in der Betriebsordnung, jährliche Erinnerung im Rahmen von Compliance-Schulungen sowie ein dauerhafter Aushang in physischen Arbeitsumgebungen.

Die Information muss mindestens enthalten: Kontaktdaten der internen Meldestelle, Erläuterung des Verfahrens, Hinweis auf Vertraulichkeitsschutz und Verbot von Repressalien nach § 36 HinSchG, sowie Hinweis auf externe Meldestellen (Bundesnetzagentur, Bundesamt für Justiz, branchenspezifische Behörden).

Beschäftigte, die keine Kenntnis von der Meldestelle haben, nutzen sie nicht – und wenden sich stattdessen direkt an externe Behörden oder die Öffentlichkeit. Eine gut kommunizierte interne Meldestelle ist damit auch aus unternehmerischer Sicht das erste Verteidigungslinie gegen unkontrollierte externe Meldungen.

§ 15 Abs. 1 HinSchG verlangt ausreichende Fachkunde des Meldestellenbetreibers. Das schließt Grundkenntnisse des HinSchG, des EU-Hinweisgeberrichtlinienrahmens (EU 2019/1937) und der einschlägigen Fachgebiete ein, auf die sich typische Meldungen beziehen: Arbeitsrecht, Datenschutzrecht, Straf- und Ordnungswidrigkeitenrecht sowie die spezifische Branchenregulierung des Unternehmens.

Eine einmalige Schulung bei Amtsantritt ist nicht ausreichend. Die Anforderungen des HinSchG und die Rechtsprechung zur DSGVO entwickeln sich fort; eine jährliche Auffrischungsschulung ist empfehlenswert. Der Nachweis der Schulung – Datum, Inhalt, Dauer, Anbieter – ist zu dokumentieren und im Compliance-Management-System abzulegen.

Bei externen Betreibern ist die Fachkunde regelmäßig durch deren berufliche Qualifikation nachgewiesen (Rechtsanwälte, Compliance-Berater). Es empfiehlt sich, im Beauftragungsvertrag eine Pflicht zur jährlichen Fortbildungsbestätigung zu verankern.

Schulungsnachweise sind Bestandteil der Dokumentation, die im Prüfungsfall vorgelegt werden muss. Der Compliance-Beauftragte des Unternehmens sollte in die Überwachung der Schulungspflichten eingebunden sein und jährlich die Aktualität der Qualifikation des Meldestellenbetreibers bestätigen.

Ein Meldekanal, der isoliert betrieben wird, ist ein passiver Eingangskorb. Ein Meldekanal, der in das Compliance-Management-System (CMS) nach IDW PS 980 integriert ist, ist ein aktives Frühwarninstrument. Die Anforderungen an ein wirksames CMS verlangen, dass eingegangene Meldungen systematisch ausgewertet und in die laufende Risikoanalyse eingespeist werden.

Das bedeutet in der Praxis: Der Meldestellenbetreiber erstellt quartalsweise oder mindestens jährlich einen aggregierten, anonymisierten Bericht an die Geschäftsleitung und den Compliance-Beauftragten. Dieser Bericht enthält Fallzahlen nach Sachgebiet, Bearbeitungsstatus und Ergebnis. Er identifiziert Häufungen und systemische Risikobereiche, ohne die Identität von Hinweisgebern oder Beschuldigten offenzulegen.

Die Geschäftsleitung ist verpflichtet, diesen Bericht zur Kenntnis zu nehmen und bei identifizierten Handlungsbedarfen Maßnahmen zu ergreifen. Die Dokumentation dieser Entscheidung ist Bestandteil des CMS und im Prüfungsfall der Nachweis dafür, dass keine Aufsichtspflichtverletzung nach § 130 OWiG vorliegt. Audit-fest, dokumentiert, § 130-fest: Das ist der Standard, den ein funktionsfähiges CMS erreichen muss.

CIVAC bietet Unternehmen zwei Wege zur rechtssicheren Umsetzung der HinSchG-Pflichten: Lizenzieren Sie den Workspace für Ihre interne Meldestelle, oder lassen Sie unsere zertifizierten Partner den Meldekanal als externen Betrieb übernehmen. Beide Modelle teilen dieselbe Infrastruktur und denselben Audit-Log.

Der CIVAC-Workspace deckt alle acht Umsetzungsschritte technisch und organisatorisch ab: Kanaleinrichtung mit anonymem Rückkommunikationssystem, automatisches Fristmanagement für 7-Tage- und 90-Tage-Pflichten nach § 16 HinSchG, Verfahrensvorlagen für Eingang, Sachverhaltsklärung und Rückmeldung, Schulungsmodul für den Meldestellenbetreiber mit Zertifikat und Nachweis, Rollentrennung im Workspace und exportfähige Fallakte für Prüfungszwecke. EU-Datenresidenz und ISO 27001:2022-konformes ISMS sind Bestandteil der Plattform.

Wer keinen intern geeigneten Betreiber benennen kann, bestellt den externen Beauftragten über CIVAC. Bestellurkunde, unterschrieben, abgelegt, belegbar – in zwei Werktagen. Der externe Betreiber übernimmt Eingangsbestätigung, Sachverhaltsklärung, Fristwahrung und quartalsweise Berichterstattung an die Geschäftsleitung.

Wenn Sie den Meldekanal jetzt einrichten oder eine bestehende Lösung auf Konformität überprüfen lassen möchten, sprechen Sie mit uns. Aus dem Lesen einen Auftrag machen: info@civac.de.