77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Referentenentwurf zum HinSchG: Was aus dem Entwurf wurde und was heute gilt
Hinweisgeberschutz

Referentenentwurf zum HinSchG: Was aus dem Entwurf wurde und was heute gilt

5. Juli 202613 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Der Referentenentwurf zum HinSchG aus April 2022 wurde im Gesetzgebungsverfahren mehrfach geändert. Der Beitrag rekonstruiert die wichtigsten Änderungen, zeigt die heutige Rechtslage und erklärt, wie Sie eine HinSchG-konforme interne Meldestelle aufbauen.

Der erste Referentenentwurf des Bundesministeriums der Justiz zum Hinweisgeberschutzgesetz (HinSchG) datiert vom 13. April 2022 und setzte die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um. Der Entwurf war Gegenstand intensiver Verbändeanhörung, durchlief mehrere Änderungen, scheiterte zunächst am Bundesrat, wurde im Vermittlungsausschuss überarbeitet und trat in der finalen Fassung als Hinweisgeberschutzgesetz vom 31. Mai 2023 zum 2. Juli 2023 in Kraft. Für Unternehmen mit 50 bis 249 Beschäftigten griff eine Übergangsfrist bis 17. Dezember 2023. Wer heute eine interne Meldestelle aufbaut oder bestehende Verfahren modernisiert, profitiert von der historischen Einordnung, weil viele Auslegungsfragen aus den Begründungen des Referentenentwurfs und den späteren Bundestagsdrucksachen erklärbar sind.

Dieser Beitrag rekonstruiert die wichtigsten Stationen des Gesetzgebungsverfahrens, ordnet die Änderungen zwischen Referentenentwurf, Regierungsentwurf, Bundestagsfassung und Vermittlungsausschuss ein und erklärt, welche Pflichten heute gelten. Sie erhalten einen Plan für den Aufbau einer HinSchG-konformen Meldestelle, eine Übersicht der Schutzansprüche von Hinweisgebern, eine Einordnung von Schnittstellen zu LkSG und DSGVO sowie ein Audit-Schema für die Geschäftsleitung. Ergänzend zeigt der Beitrag, wie der CIVAC-Workspace als Compliance-Plattform und Officer-as-a-Service die Pflichten in dokumentierte Workflows überführt und welche Fristen heute zwingend einzuhalten sind. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Auf einen Blick

  • Der Referentenentwurf aus April 2022 sah unter anderem anonyme Meldekanäle und ein Bußgeld bis 100.000 Euro vor; die finale Fassung milderte die Anonymitätspflicht ab.
  • Das geltende HinSchG gilt seit dem 2. Juli 2023, mit Übergangsfrist für Unternehmen mit 50 bis 249 Beschäftigten bis 17. Dezember 2023.
  • CIVAC betreibt eine HinSchG-konforme interne Meldestelle als Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz.

Die EU-Richtlinie 2019/1937 als Ausgangspunkt

Die EU-Whistleblower-Richtlinie 2019/1937 wurde am 23. Oktober 2019 verabschiedet und musste bis 17. Dezember 2021 in nationales Recht umgesetzt werden. Deutschland verfehlte diese Frist um über 18 Monate. Die Richtlinie verpflichtet Mitgliedstaaten und Unternehmen ab 50 Beschäftigten, sichere Meldekanäle für Verstöße gegen EU-Recht in zwölf Bereichen einzurichten: öffentliches Auftragswesen, Finanzdienstleistungen, Produkt- und Verkehrssicherheit, Strahlenschutz, Lebensmittelsicherheit, Tiergesundheit, Verbraucherschutz, Privatsphäre und personenbezogene Daten, Netzwerk- und Informationssicherheit, Verstöße gegen die finanziellen Interessen der Union, Verstöße im Binnenmarkt sowie Verstöße gegen EU-Wettbewerbsrecht.

Geschützt sind Hinweisgeber, die in einem beruflichen Kontext Informationen über Verstöße erhalten. Schutz vor Repressalien (Kündigung, Versetzung, Mobbing, Karriereblockade) ist zentrales Element. Die Beweislastumkehr nach Art. 21 Abs. 5 der Richtlinie bedeutet: Wer benachteiligt wird, muss die Benachteiligung darlegen, der Arbeitgeber muss beweisen, dass die Maßnahme nicht repressorisch war. Die Bundesregierung legte den Referentenentwurf am 13. April 2022 vor und ging über die Mindestanforderungen der Richtlinie hinaus, indem auch Verstöße gegen nationales Recht einbezogen wurden. Diese Erweiterung ist heute § 2 HinSchG. Die Vereinbarkeit mit Art. 21 GG (Recht auf informationelle Selbstbestimmung) wurde im Gesetzgebungsverfahren intensiv debattiert. Die CIVAC-Rolle Meldestelle dokumentiert den heutigen Pflichtenrahmen mit Werkzeugen und Vorlagen. Wer den Sinn der Richtlinie versteht, vermeidet die häufigsten Missverständnisse: HinSchG ist kein reines Meldeportal, sondern ein Schutzregime mit Beweislastumkehr, das Geschäftsleitungen handfest disziplinieren kann. Genau deshalb richten Aufsichten ihren Blick zunehmend auf Workflow-Qualität und Berichtsweg. Eine Stichprobe der Bundesanstalt für Finanzdienstleistungsaufsicht 2025 zeigte, dass Vertraulichkeitsverletzungen und Fristüberschreitungen die häufigsten Beanstandungen sind, gefolgt von fehlender Unabhängigkeit der internen Meldestelle.

Inhalt des Referentenentwurfs vom April 2022

Der Referentenentwurf vom 13. April 2022 umfasste 60 Paragraphen und sah folgende Kernpunkte vor. Erstens: Geltung ab dem ersten Tag nach Verkündung für Unternehmen ab 250 Beschäftigten, Übergangsfrist für 50 bis 249 Beschäftigte bis 17. Dezember 2023. Zweitens: Pflicht zur Einrichtung interner Meldestellen mit anonymen Meldemöglichkeiten als Pflicht, nicht als Wahl. Drittens: externe Meldestellen beim Bundesamt für Justiz, der BaFin und dem Bundeskartellamt. Viertens: Schutz von Hinweisgebern vor Repressalien, inklusive Schadensersatzanspruch nach § 37 des Entwurfs. Fünftens: Bußgelder bis 100.000 Euro für Verstöße gegen die Pflicht, ein internes Meldesystem einzurichten oder Repressalien zu unterlassen.

Sechstens: Bestätigung des Eingangs einer Meldung innerhalb von 7 Tagen, Rückmeldung an den Hinweisgeber innerhalb von 3 Monaten. Siebtens: Pflicht zur dokumentierten Folgemaßnahme. Achtens: Recht des Hinweisgebers auf Wahl zwischen interner und externer Meldestelle. Neuntens: Anwendungsbereich erweitert auf Verstöße gegen nationales Recht, etwa Straftaten und bestimmte Ordnungswidrigkeiten. Zehntens: keine Pflicht zur Weiterleitung anonymer Hinweise an externe Stellen, aber Pflicht zur Bearbeitung. Die Verbändeanhörung im Mai 2022 erbrachte über 100 Stellungnahmen, vor allem aus Wirtschaftsverbänden (BDA, DIHK, BDI), Gewerkschaften (DGB, IG Metall), Anwaltsorganisationen und NGOs (Transparency International, Whistleblower-Netzwerk). Die Kritik richtete sich auf Umsetzungsaufwand, Bußgeldhöhe, Anonymitätspflicht und Schutz von Berufsgeheimnissen, etwa der anwaltlichen Verschwiegenheit. Insbesondere Mittelständler bemängelten, dass eine identische Pflicht ab 50 Beschäftigten den Aufwand für kleine Häuser überproportional erhöhe. Die anwaltschaftlichen Verbände forderten klare Ausnahmen für die Berufsgeheimnisträger, um Mandatsverhältnisse nicht in Konflikt mit der Meldepflicht zu bringen. Gewerkschaften wiesen auf die Notwendigkeit eines Schadensersatzanspruchs mit immateriellem Schadensersatz hin, der schließlich in § 37 HinSchG Eingang fand.

Vom Entwurf zum Gesetz: Änderungen 2022 und 2023

Der Regierungsentwurf vom 27. Juli 2022 milderte einige Punkte des Referentenentwurfs ab. Die verpflichtende Anonymitätsoption für interne Meldestellen wurde zu einer Soll-Vorschrift abgesenkt; Beschäftigungsgeber wurden nur verpflichtet, anonyme Meldungen zu bearbeiten, wenn diese eingehen, nicht zwingend einen anonymen Eingangskanal einzurichten. Die Bußgeldhöhe wurde von 100.000 Euro auf 50.000 Euro reduziert, der Schadensersatzanspruch wurde präzisiert. Der Bundestag verabschiedete das Gesetz am 16. Dezember 2022 mit 375 zu 252 Stimmen. Der Bundesrat verweigerte am 10. Februar 2023 die Zustimmung; der Vermittlungsausschuss tagte und einigte sich am 9. Mai 2023 auf eine Kompromissfassung.

In der Kompromissfassung wurde die Anonymitätspflicht erneut abgesenkt: § 16 HinSchG verlangt, dass anonyme Meldungen entgegengenommen werden sollen, nicht müssen. Die Bußgeldhöhe blieb bei 50.000 Euro für Repressalien, 20.000 Euro für die Behinderung von Meldungen und 10.000 Euro für die Verletzung von Vertraulichkeitspflichten. Der Bundesrat stimmte am 12. Mai 2023 zu, das Gesetz wurde am 31. Mai 2023 verkündet und trat am 2. Juli 2023 in Kraft. Unternehmen mit 250 oder mehr Beschäftigten mussten sofort eine Meldestelle einrichten, Unternehmen mit 50 bis 249 Beschäftigten bis 17. Dezember 2023. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, mit dokumentierter Eingangsbestätigung und Fristenkalender. Wer die Genese kennt, versteht warum der heutige Gesetzestext an mehreren Stellen kompromisshaft formuliert ist. Aus diesen Kompromissen ergeben sich die typischen Auslegungsfragen, die heute in Audits und Behördenanfragen auftauchen. Besonders zu nennen sind die Bearbeitung anonymer Meldungen, die Schnittstelle zwischen interner Meldestelle und externer Behördenmeldung sowie die Schutzwirkung der Beweislastumkehr bei länger zurückliegenden Meldungen.

Was heute gilt: Aufbau und Pflichten der internen Meldestelle

§ 12 HinSchG verpflichtet Beschäftigungsgeber ab 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Diese muss vertraulich, mündlich und schriftlich erreichbar sein, anonyme Meldungen sollen bearbeitet werden können (§ 16 HinSchG). § 14 erlaubt die Beauftragung einer dritten Person (etwa eines externen Dienstleisters oder Rechtsanwalts) als Meldestelle. Die Meldestelle muss in Stellung und Funktion unabhängig sein, über die nötige Fachkunde verfügen, Vertraulichkeit der Identität des Hinweisgebers wahren (§ 8) und einen direkten Berichtsweg zur Geschäftsleitung haben.

Die Bearbeitungsschritte sind in § 17 HinSchG geregelt: Eingangsbestätigung an den Hinweisgeber innerhalb von 7 Tagen, Prüfung der Stichhaltigkeit, Folgemaßnahmen (interne Untersuchung, Übermittlung an zuständige Stelle, Verfahrenseinstellung mangels hinreichenden Verdachts), Rückmeldung an den Hinweisgeber innerhalb von 3 Monaten. § 11 verpflichtet zur Dokumentation aller Schritte, mit Speicherung für 3 Jahre nach Abschluss des Verfahrens, längstens 5 Jahre. § 9 schützt die Identität des Hinweisgebers, Ausnahmen bestehen nur bei richterlicher Anordnung oder zwingenden Gründen des Strafverfahrens. Die CIVAC-Meldestelle deckt diese Pflichten als Plattform-Modul mit Workflow-Engine, Fristenkalender, rollenbasiertem Zugriff und EU-Datenresidenz vollständig ab. Pseudonyme Kommunikation, automatisierte Eingangsbestätigung, mehrsprachiges Intake und ein revisionssicheres Aktenlogbuch sind enthalten. Im Audit zeigt ein Bericht aus dem Workspace pro Vorgang Eingangsdatum, Schritt, Verantwortliche und Frist auf einer Zeitachse. Die Pflicht zur Stellvertretung bei Urlaub und Krankheit ist organisatorisch geregelt und in der Bestellurkunde dokumentiert. So bleibt die Meldestelle handlungsfähig, auch wenn die Hauptverantwortliche abwesend ist, und die 7-Tage-Frist wird verlässlich eingehalten. Schulungen für Vertretende und regelmäßige Übungsfälle gehören zum Mindeststandard eines belastbaren Betriebs.

Schutz von Hinweisgebern vor Repressalien

§ 33 HinSchG schützt Hinweisgeber vor Repressalien. Eine Repressalie ist jede ungerechtfertigte Handlung oder Unterlassung im beruflichen Kontext, die durch eine Meldung oder Offenlegung veranlasst ist und dem Hinweisgeber Nachteile zufügt. Klassische Beispiele sind Kündigung, Abmahnung, Versetzung, Suspendierung, Entzug von Aufgaben, Mobbing, Karriereblockaden, Versagung von Schulungen, schlechtere Beurteilungen, finanzielle Nachteile, schwarze Listen, psychiatrische Untersuchungen oder Verweigerung der Vertragsverlängerung.

§ 36 HinSchG kehrt die Beweislast um: Wer eine Repressalie behauptet, muss die Maßnahme darlegen, der Arbeitgeber muss nachweisen, dass die Maßnahme nicht repressorisch war. Diese Beweislastumkehr greift ab Eingang einer Meldung und gilt für interne wie externe Meldungen. § 37 HinSchG gewährt Schadensersatz, einschließlich immaterieller Schäden. Bußgelder nach § 40 HinSchG treffen den Beschäftigungsgeber bei Repressalien (bis 50.000 Euro), bei Behinderung von Meldungen (bis 20.000 Euro) und bei Verletzung der Vertraulichkeit (bis 10.000 Euro). Die Praxis 2024 zeigt: Arbeitsgerichte erkennen die Beweislastumkehr konsequent an. Im Fall LAG Mecklenburg-Vorpommern (5 Sa 152/24) wurde eine Kündigung als unwirksam gewertet, weil die Beklagte keinen sachlichen Kündigungsgrund unabhängig von der vorangegangenen Meldung nachweisen konnte. Frist läuft ab Kenntnis, auch hier, denn jede Verzögerung verschiebt die Belegkette zu Ungunsten der Geschäftsleitung. Die CIVAC-Meldestelle dokumentiert Eingangsdatum, Personenkreis und Kommunikationsstand revisionssicher. So bleibt die Beweislastumkehr eine Chance, kein Risiko: Wer dokumentiert, hat die Sachgründe der Maßnahme nachvollziehbar an der Hand. Personalakten, Leistungsbeurteilungen, Mitarbeitergespräche und HR-Entscheidungen werden mit Datum und Verantwortlichem verknüpft, sodass eine Repressalienvermutung mit belastbaren Belegen widerlegt werden kann. Frist läuft ab Kenntnis: Verzögerungen bei der Beweisaufnahme verschieben die Darlegungslast und erhöhen die Verfahrenskosten erheblich.

Externe Meldestellen und Hinweisgeberschutz nach EU-Recht

Neben der internen Meldestelle gibt es externe Meldestellen. § 19 HinSchG benennt das Bundesamt für Justiz als zentrale externe Meldestelle für alle Verstöße, die nicht ausdrücklich anderen Stellen zugewiesen sind. § 21 weist die BaFin als externe Meldestelle für Verstöße gegen das Finanzdienstleistungsrecht zu. § 22 weist das Bundeskartellamt für kartellrechtliche Verstöße zu. Hinweisgeber können frei zwischen interner und externer Meldestelle wählen (§ 7 Abs. 1), eine Pflicht zur internen Meldung besteht nicht. Allerdings empfiehlt § 7 Abs. 1 die interne Meldung als ersten Schritt, sofern intern eine wirksame Bearbeitung möglich ist.

Die Offenlegung an die Öffentlichkeit (Whistleblowing im engeren Sinne) ist nach § 32 HinSchG nur eingeschränkt geschützt: Sie ist privilegiert, wenn keine wirksame interne oder externe Bearbeitung erfolgt, wenn unmittelbare Gefahr für das öffentliche Interesse besteht oder wenn der Hinweisgeber gewichtige Gründe für eine Offenlegung hat. Praktisch bedeutet das für Unternehmen: Eine funktionierende, sichtbare und niedrigschwellige interne Meldestelle reduziert die Wahrscheinlichkeit, dass Hinweisgeber direkt an Aufsichten oder Medien gehen. Mit der CIVAC-Meldestelle lizenzieren Sie den Workspace für Ihre interne Bearbeitung, oder lassen Sie unsere Beauftragten als Meldestelle bestellen. In beiden Modellen wird die Beweislastumkehr aus § 36 HinSchG durch lückenlose Dokumentation für die Geschäftsleitung beherrschbar. Externe Meldestellen entlasten den Hinweisgeber, sind aber langsamer und weniger fallnah; ein gut geführter interner Kanal ist daher meistens Wunsch beider Seiten. Die Aufsichten erwarten dokumentierte interne Verfahren mit klaren Eskalationswegen, sonst rückt die externe Bearbeitung mit den damit verbundenen Reputations- und Verfahrenskosten näher.

Schnittstellen: LkSG, DSGVO und HinSchG

Die Meldestelle nach HinSchG bildet faktisch das Rückgrat mehrerer Compliance-Verfahren. § 8 LkSG verlangt ein Beschwerdeverfahren für Lieferkettenrisiken, das in vielen Unternehmen in die HinSchG-Meldestelle integriert wird. Die Anforderungen unterscheiden sich teilweise: LkSG verlangt globale Zugänglichkeit für betroffene Dritte (etwa Arbeitnehmerinnen bei Lieferanten in Bangladesch), HinSchG primär für Beschäftigte. Mehrsprachigkeit (Englisch, Mandarin, Türkisch, Hindi, Bengalisch) ist regelmäßig erforderlich. Die Bearbeitungsfristen weichen ab: LkSG ohne starre Frist (verhältnismäßige Frist), HinSchG mit 7 Tagen für Eingangsbestätigung und 3 Monaten für Rückmeldung.

Die DSGVO-Schnittstelle ist heikel. Art. 6 DSGVO erfordert eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in der Meldestelle. § 10 HinSchG erlaubt die Verarbeitung sensibler Daten (z.B. Gesundheits- und Religionsdaten) nur, soweit erforderlich für die Bearbeitung. Die Aufbewahrung ist auf 3 Jahre nach Abschluss begrenzt, längstens 5 Jahre. Bei automatisierten Bearbeitungswerkzeugen (KI-gestützte Analyse) greifen zusätzlich die EU-AI-Act-Anforderungen, da Hinweisgeberverfahren als potentielle Hochrisiko-Anwendungen eingestuft werden können. Die DSB-Schnittstelle ist ebenso wichtig, weil viele Meldungen Datenschutzthemen berühren. Die CIVAC-Rolle DSB arbeitet daher eng mit der Meldestelle zusammen. Die Plattform hält die Aufbewahrungsfristen automatisch und löscht protokolliert nach Ablauf. Schnittstellen zu LkSG-Beschwerdeverfahren, BAFA-Berichten und ESRS-Disclosures werden konsistent geführt, sodass aus einem Vorfall keine widersprüchlichen Aussagen gegenüber Aufsichten entstehen. In der Schnittstellenarbeit ebenfalls, weil Verzögerungen zwischen Meldungseingang und Datenschutzprüfung sonst Aufsichten alarmieren und das Vertrauen in das Compliance-System untergraben können. Saubere Schnittstellen sind oft wertvoller als eine perfekt ausgearbeitete Einzeldisziplin. Audit-fest, dokumentiert, § 11 HinSchG-fest. Mit klaren Datenflüssen behalten Sie auch bei Mehrfachzuständigkeiten die volle Steuerung über Bearbeitungsschritte, Fristen und Berichtswege.

Häufige Fehler beim Aufbau einer HinSchG-Meldestelle

In der Praxis scheitern HinSchG-Meldestellen an sechs typischen Fehlern. Erstens: Vertraulichkeit ohne technische Trennung. Ein gemeinsames Postfach mit anderen HR-Funktionen verletzt § 8 HinSchG. Zweitens: fehlende anonyme Meldemöglichkeit. § 16 HinSchG soll-vorgibt anonyme Bearbeitung; die Praxis 2024 zeigt, dass Aufsichten dies zunehmend als faktisch verpflichtend werten, weil sonst der Hinweisgeber faktisch zur Externalisierung gezwungen wird. Drittens: Fristen werden nicht eingehalten. 7 Tage Eingangsbestätigung, 3 Monate Rückmeldung sind nicht verhandelbar; ein Verstoß ist Indiz für eine wirkungsarme Meldestelle und triggert die Externalisierung.

Viertens: fehlende Mehrsprachigkeit. Globale Unternehmen mit Lieferkette in Asien oder Lateinamerika brauchen Englisch, Mandarin, Spanisch, Türkisch, Hindi und Bengalisch als Mindeststandard. Fünftens: unklare Zuständigkeit. Wenn Compliance, HR, Recht und IT-Sicherheit gleichzeitig involviert sind, ohne klare Rollen, entstehen Mehrfacheingriffe und Vertraulichkeitsverletzungen. Sechstens: mangelhafte Dokumentation. § 11 HinSchG verlangt schriftliche Dokumentation aller Schritte; reine E-Mail-Korrespondenz erfüllt diese Anforderung nicht, weil sie nicht versioniert ist. CIVAC adressiert alle sechs Fehler mit einem dedizierten Meldestellen-Modul: Vertraulichkeit per Verschlüsselung, anonyme Intake-Optionen, Workflow mit automatisierten Fristenerinnerungen, Mehrsprachigkeit, klare Rollenmatrix mit Vier-Augen-Prinzip und versionierte Dokumentation. Der Prüfer ruft an, der Nachweis liegt bereit. So wandeln Sie die Meldestelle vom Risikoposten zum Steuerungsinstrument für Ihr internes Kontrollsystem. Sie erkennen Frühwarnindikatoren, identifizieren Häufungen pro Abteilung oder Standort und versachlichen die Diskussion mit Betriebsrat, Geschäftsleitung und Aufsichtsrat über belastbare Kennzahlen. Aus einer reinen Pflichtaufgabe wird ein Steuerungsinstrument, das gleichzeitig den Schutz von Hinweisgebern und die Transparenz gegenüber Aufsichten sichert. Audit-fest, dokumentiert, § 40 HinSchG-fest. Wer einmal erlebt hat, wie eine Meldestelle ohne Werkzeuge unter Druck gerät, schätzt die strukturelle Entlastung durch eine Plattform mit klaren Workflows.

Aus dem Lesen einen Auftrag machen

Der Referentenentwurf zum HinSchG ist seit 2023 Geschichte, das geltende Hinweisgeberschutzgesetz bestimmt heute die Pflichten von Beschäftigungsgebern ab 50 Beschäftigten. Wer eine wirksame interne Meldestelle aufbauen will, muss Vertraulichkeit, Unabhängigkeit, Bearbeitungsfristen, Beweislastumkehr und Dokumentation systematisch verzahnen. CIVAC bündelt diese Anforderungen als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten als Meldestelle bestellen. Im ersten Fall erhalten Ihre Mitarbeitenden ein Workflow-Modul mit Fristenkalender, anonymem Intake, Mehrsprachigkeit, rollenbasiertem Zugriff und versionierter Dokumentation. Im zweiten Fall stellt CIVAC eine extern bestellte Meldestelle (Rechtsanwältin oder zertifizierter Compliance-Beauftragter) innerhalb von 2 Werktagen, mit Bestellurkunde, Berichtslinie und 490 Audit-Vorlagen.

In einem 30-minütigen Erstgespräch erfassen wir Mitarbeiterzahl, Sprachprofil der Belegschaft und Lieferkette, bestehende Verfahren und Audit-Termine. Wir zeigen Ihnen den Workspace, die Eingangsbestätigung, die Eskalationsmatrix und das BAFA-/BfJ-Berichtsschema. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Eine HinSchG-Meldestelle ohne dokumentierten Workflow ist im Repressalienverfahren der teuerste Buchungssatz Ihres Geschäftsjahres. Mit CIVAC ist sie die günstigste Versicherung gegen § 40 HinSchG und gleichzeitig ein Frühwarnsystem für strategische Compliance-Risiken. Wer die Plattform einmal in Betrieb genommen hat, kann die Meldestelle ohne Zusatzaufwand auf Tochtergesellschaften und Auslandseinheiten ausrollen und die Auswertung für Vorstand und Aufsichtsrat in einem konsistenten Format ausspielen. Damit erfüllen Sie HinSchG, LkSG-Beschwerdeverfahren und ESRS-Disclosure aus einer Datenbasis. Die Investition rechnet sich oft bereits beim ersten ernsten Vorfall, weil Beweisführung und Dokumentation ohne Suchaufwand greifbar sind und Verfahren entsprechend kürzer und vorhersehbarer ablaufen.

FAQ

Was war der Unterschied zwischen Referentenentwurf und finalem HinSchG?

Der Referentenentwurf aus April 2022 sah unter anderem eine Pflicht zur Einrichtung anonymer Meldekanäle und Bußgelder bis 100.000 Euro vor. In der finalen Fassung vom 31. Mai 2023 wurde die Anonymitätspflicht in § 16 HinSchG zu einer Soll-Vorschrift abgesenkt und die Bußgelder auf 50.000 Euro für Repressalien, 20.000 Euro für die Behinderung von Meldungen und 10.000 Euro für die Verletzung der Vertraulichkeit reduziert.

Seit wann gilt das HinSchG für mein Unternehmen?

Für Unternehmen mit 250 oder mehr Beschäftigten gilt das HinSchG seit dem 2. Juli 2023. Für Unternehmen mit 50 bis 249 Beschäftigten griff eine Übergangsfrist bis zum 17. Dezember 2023. Unternehmen unter 50 Beschäftigten sind nicht verpflichtet, profitieren aber von der freiwilligen Einrichtung im Sinne von Risikofrüherkennung und Versicherbarkeit gegen interne Pflichtverletzungen.

Muss meine interne Meldestelle anonyme Meldungen annehmen?

§ 16 HinSchG verlangt, dass anonyme Meldungen entgegengenommen werden sollen. Die Praxis 2024 zeigt, dass Aufsichten dies faktisch als verpflichtend werten, weil ohne Anonymitätsoption Hinweisgeber zur externen Meldestelle gedrängt werden und das Vertrauen in die interne Bearbeitung sinkt. CIVAC bietet konfigurierbare anonyme Intake-Optionen mit Pseudonymen für die Folgekommunikation und mehrsprachigem Zugang.

Wer darf interne Meldestelle sein?

Jede in Stellung und Funktion unabhängige Person mit nötiger Fachkunde, die Vertraulichkeit wahren kann und direkten Berichtsweg zur Geschäftsleitung hat. § 14 HinSchG erlaubt die Beauftragung Dritter, etwa Rechtsanwälte oder spezialisierte Compliance-Dienstleister. CIVAC stellt im Officer-as-a-Service-Modell eine externe Meldestelle innerhalb von 2 Werktagen bereit, mit Bestellurkunde, Berichtslinie, Vertretungsregelung und Workspace-Zugang.

Welche Fristen müssen wir bei der Bearbeitung einhalten?

Eingangsbestätigung an den Hinweisgeber innerhalb von 7 Tagen, Rückmeldung über Folgemaßnahmen innerhalb von 3 Monaten (§ 17 HinSchG). Die Dokumentation aller Schritte muss schriftlich erfolgen (§ 11 HinSchG), Aufbewahrung 3 Jahre nach Abschluss, längstens 5 Jahre. Der CIVAC-Workspace führt diese Fristen automatisch, versendet Erinnerungen an Verantwortliche und protokolliert jeden Schritt revisionssicher.

Welche Bußgelder drohen bei Verstößen gegen das HinSchG?

Bis 50.000 Euro für Repressalien gegen Hinweisgeber, bis 20.000 Euro für die Behinderung von Meldungen, bis 10.000 Euro für die Verletzung der Vertraulichkeit der Identität (§ 40 HinSchG). Hinzu kommen zivilrechtliche Schadensersatzansprüche nach § 37 HinSchG, einschließlich immaterieller Schäden. Die Beweislastumkehr nach § 36 verschiebt die Darlegungslast bei Repressalienverdacht auf den Arbeitgeber.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge