Whistleblower-Hotline im Mittelstand einrichten: Pflichten, Kanäle, Berichtslinie

Seit 17. Dezember 2023 verlangt das Hinweisgeberschutzgesetz von Unternehmen mit 50 bis 249 Beschäftigten eine interne Meldestelle, oberhalb von 249 Beschäftigten ist die Pflicht bereits seit dem 2. Juli 2023 wirksam. § 12 HinSchG verlangt vertrauliche Meldekanäle, § 13 HinSchG benennt die Pflichten der Meldestelle, § 14 HinSchG erlaubt die Auslagerung an Dritte, und § 17 HinSchG setzt die Fristen für Eingangsbestätigung binnen sieben Tagen und Rückmeldung an die hinweisgebende Person binnen drei Monaten. Die Bußgelder nach § 40 HinSchG reichen bis 50.000 Euro, hinzu kommen mögliche Beweislastumkehr-Folgen bei arbeitsrechtlichen Streitigkeiten, die das Risiko in der Praxis deutlich erhöhen.

Dieser Beitrag zeigt, wie Mittelstandsunternehmen die Whistleblower-Hotline so einrichten, dass sie nicht nur formal existiert, sondern im Audit, im Streit und im Vorfall belastbar funktioniert. Sie erfahren, welche Meldekanäle Pflicht sind, welche Berichtslinie die HinSchG-Vorgaben mit den DSGVO- und ISMS-Anforderungen verbindet, wie sich die Schnittstelle zur AGG-Beschwerdestelle nach § 13 AGG sauber abgrenzt und wann die externe Bestellung wirtschaftlich tragfähig ist. CIVAC bietet die interne Meldestelle als Compliance-Plattform und Officer-as-a-Service mit einem Service-Level von 2 Werktagen ab Auftrag bis zum lauffähigen Meldekanal an.

§ 12 Abs. 1 HinSchG verpflichtet alle Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Beschäftigte im Sinne dieser Norm sind nach § 3 Abs. 8 HinSchG nicht nur fest angestellte Mitarbeiter, sondern auch Auszubildende, Leiharbeitnehmer, freie Mitarbeiter unter bestimmten Voraussetzungen sowie Beamte. Für Unternehmen mit 50 bis 249 Beschäftigten gilt die Pflicht seit 17. Dezember 2023, für größere Unternehmen ab 250 Beschäftigten bereits seit 2. Juli 2023. Bestimmte Sektoren wie Finanzdienstleistungen, Wertpapierdienstleistungen und Geldwäscheprävention unterliegen unabhängig von der Mitarbeiterzahl der Pflicht, weil die einschlägigen Sektorgesetze die Meldestellenpflicht eigenständig anordnen.

Verstöße gegen die Einrichtungspflicht sind nach § 40 Abs. 2 Nr. 2 HinSchG mit Bußgeld bis 20.000 Euro belegt, Verstöße gegen das Repressalienverbot bis 50.000 Euro. Hinzu kommt das zivilrechtliche Risiko aus § 36 HinSchG, der eine Beweislastumkehr zugunsten der hinweisgebenden Person vorsieht: kommt es zu einer beruflichen Schlechterstellung nach einer Meldung, muss das Unternehmen beweisen, dass diese Schlechterstellung nicht mit der Meldung zusammenhängt. Diese Beweislastumkehr ist im Streit um Versetzungen, Kündigungen oder Abmahnungen wirtschaftlich oft folgenreicher als das Bußgeld selbst. Der Aufbau einer belastbaren Meldestelle ist daher nicht nur Pflicht, sondern zugleich eine Schutzmaßnahme für die Geschäftsleitung gegen spätere Beweisnot in arbeitsrechtlichen Verfahren, die ohne dokumentierte Meldewege schwer zu führen sind. Die Zählung der Beschäftigten erfolgt nach allgemeinen arbeitsrechtlichen Grundsätzen, wobei die Schwellenwerte konsistent über das Kalenderjahr betrachtet werden müssen, nicht punktuell. Wechselt das Unternehmen die Schwelle nach oben oder unten, gilt eine Übergangsbetrachtung, die in der Aufsichtspraxis pragmatisch angewendet wird, aber im Streitfall belastbar dokumentiert sein muss. Auch Konzernstrukturen können eine eigene Meldestellenpflicht pro Tochtergesellschaft auslösen, weshalb die Sammelmeldestelle im Konzern nach § 14 HinSchG sorgfältig auszugestalten ist.

§ 16 HinSchG verlangt mindestens einen Meldekanal in mündlicher und schriftlicher Form. Auf Verlangen der hinweisgebenden Person ist außerdem ein persönliches Treffen innerhalb angemessener Frist zu ermöglichen. Anonyme Meldungen müssen seit der HinSchG-Novelle 2023 entgegengenommen und bearbeitet werden, auch wenn die Pflicht zur Bearbeitung anonymer Meldungen vom Gesetzgeber zunächst eingeschränkt war. In der Praxis ist die anonyme Meldekapazität faktisch Standard, weil die meisten hinweisgebenden Personen erst dann melden, wenn ihre Identität geschützt ist. Eine reine E-Mail-Adresse oder Briefadresse erfüllt die Pflicht formal, schreckt aber faktisch ab.

Eine belastbare Meldestelle im Mittelstand kombiniert daher mindestens drei Kanäle. Erstens ein webbasierter Meldekanal mit verschlüsselter Übertragung und der Möglichkeit zur anonymen Korrespondenz. Zweitens eine telefonische Hotline mit dokumentierter Aufnahme. Drittens die Möglichkeit zum persönlichen Treffen, in der Regel mit dem bestellten Meldestellenbeauftragten oder einer von ihm autorisierten Person. Die Vertraulichkeit der Identität der hinweisgebenden Person nach § 8 HinSchG ist über alle Kanäle hinweg zu gewährleisten, was bei Telefonsystemen eigenständige technische Anforderungen erzeugt. CIVAC stellt diese drei Kanäle im Workspace bereit, mit getrennten Verschlüsselungsebenen und einer dokumentierten Verarbeitungsspur, die im Audit gegenüber dem Datenschutzbeauftragten und gegenüber der Aufsichtsbehörde belegt werden kann. Zusätzlich bietet die Plattform mehrsprachige Meldewege, was bei internationalen Belegschaften und in Konzernen mit Tochtergesellschaften außerhalb des deutschsprachigen Raums die tatsächliche Nutzbarkeit der Hotline erheblich verbessert. Ohne Mehrsprachigkeit bleiben Meldungen aus Bereichen mit anderer Arbeitssprache faktisch aus, was eine Lücke im Aufsichtsbild erzeugt. Die schriftlichen und mündlichen Kanäle müssen so beschaffen sein, dass die hinweisgebende Person die Vertraulichkeit ihrer Identität tatsächlich wahren kann, was bei klassischen Telefonsystemen über Rufnummernanzeige oder Tonbandaufnahme regelmäßig nicht der Fall ist.

§ 17 HinSchG normiert ein präzises Fristenregime, das in der Praxis häufig unterschätzt wird. Innerhalb von sieben Tagen nach Eingang der Meldung muss die Meldestelle der hinweisgebenden Person den Eingang bestätigen, soweit ein Kommunikationskanal besteht. Innerhalb von drei Monaten nach der Eingangsbestätigung, längstens jedoch drei Monate und sieben Tage nach Eingang der Meldung, muss die Meldestelle der hinweisgebenden Person eine Rückmeldung über die ergriffenen oder geplanten Folgemaßnahmen geben sowie die Gründe für die Folgemaßnahmen mitteilen. Diese Rückmeldepflicht ist auch bei anonymen Meldungen einzuhalten, soweit die hinweisgebende Person einen Kommunikationskanal eingerichtet hat, etwa über das Postfach im Meldesystem.

Eine manuelle Fristenverwaltung in Excel oder Outlook ist hier strukturell unzureichend. Die Meldestelle muss die Eingangsbestätigung automatisiert auslösen, den Bearbeitungsstand dokumentieren und die Drei-Monats-Frist für die Rückmeldung systemisch überwachen. Hinzu kommt die Pflicht zur Dokumentation der Meldung nach § 11 HinSchG, mit einer Aufbewahrungsfrist von mindestens drei Jahren nach Abschluss des Verfahrens. CIVAC bildet das Fristenregime im Workspace als Workflow ab, der die Eingangsbestätigung, die Bearbeitungsphasen und die Rückmeldung mit Zeitstempel führt. Frist läuft ab Kenntnis, und die Plattform dokumentiert Kenntnis durch Eingang im Meldesystem, sodass im Streit oder im Aufsichtsverfahren der Fristenstand belastbar nachgewiesen werden kann. Audit-fest, dokumentiert, § 17-fest, und unabhängig davon, welche Person an einem konkreten Tag die Meldestelle bedient. Eskalationen bei drohendem Fristablauf erfolgen automatisch an einen vorab benannten Vertreter, sodass auch eine plötzliche Personalunterbrechung die Fristen nicht reißt. Im Quartalsbericht an die Geschäftsleitung erscheint die Fristeneinhaltung als eigene Kennzahl, was die Aufsicht im Bedarfsfall sofort einsehen kann und der Geschäftsleitung eine laufende Steuerungsgrundlage liefert.

§ 15 HinSchG verlangt, dass die mit den Aufgaben der internen Meldestelle betrauten Personen unabhängig sind. Sie dürfen neben ihrer Tätigkeit für die Meldestelle andere Aufgaben und Pflichten wahrnehmen, soweit hierdurch keine Interessenkonflikte entstehen. Die Personalunion mit operativen Leitungsfunktionen, etwa der Personalleitung oder der Geschäftsleitung, ist daher kritisch und in der Aufsichtspraxis häufig beanstandet. Auch die Personalunion mit dem Datenschutzbeauftragten ist nicht ausgeschlossen, aber sie verlangt eine sorgfältige Trennung der Verfahrenspfade, weil die Pflichten aus DSGVO und HinSchG nicht in jedem Fall deckungsgleich sind.

In der Praxis nutzen mittelständische Unternehmen zwei Modelle. Im ersten Modell wird eine interne Person bestellt, typischerweise aus der Rechtsabteilung oder Compliance, die die Funktion als Teilrolle wahrnimmt. Im zweiten Modell wird die Meldestelle nach § 14 HinSchG an einen externen Dritten ausgelagert, in der Regel eine Anwaltskanzlei oder einen spezialisierten Anbieter. Die externe Lösung ist im Mittelstand häufig wirtschaftlich und regulatorisch vorzuziehen, weil sie die Unabhängigkeit strukturell sicherstellt und gleichzeitig die Hemmschwelle für hinweisgebende Personen senkt, die sich gegenüber externen Stellen häufiger melden als gegenüber internen Vorgesetzten. CIVAC bietet die externe Meldestelle im Officer-as-a-Service-Modell mit unterschriebener Bestellurkunde, dokumentierter Berichtslinie zur Geschäftsleitung und einem Vertretungsmechanismus, sodass Urlaubs- oder Krankheitszeiten die Sieben-Tage-Frist für die Eingangsbestätigung nicht gefährden. Bestellurkunde, unterschrieben, abgelegt, belegbar. Bei der Wahl des Modells empfiehlt sich eine ehrliche Selbstprüfung: kann eine interne Person mit ausreichender Distanz zur Geschäftsleitung agieren, oder ist die Konstellation strukturell so eng, dass die Belegschaft die Unabhängigkeit nicht wahrnehmen würde. Die Antwort auf diese Frage entscheidet in der Praxis über die tatsächliche Nutzung der Hotline.

Eine Meldung im Sinne des HinSchG enthält fast immer personenbezogene Daten, sowohl der hinweisgebenden Person als auch der von der Meldung betroffenen Personen. Damit greifen Art. 5, 6, 9 und 13 DSGVO sowie Art. 32 DSGVO zu den technischen und organisatorischen Maßnahmen. Die Meldestelle ist Verarbeitungstätigkeit im Sinne des Art. 30 DSGVO und muss in das Verzeichnis aufgenommen werden, mit Rechtsgrundlage typischerweise nach Art. 6 Abs. 1 Buchst. c DSGVO in Verbindung mit dem HinSchG. § 10 HinSchG enthält eine eigene datenschutzrechtliche Verarbeitungsgrundlage, die das Verhältnis zur DSGVO präzisiert und die Sechs-Monats-Frist für die Verarbeitung von Meldungen ohne Anhaltspunkte für Sachverhaltsklärung setzt.

Die Schnittstelle zur AGG-Beschwerdestelle nach § 13 AGG ist organisatorisch entscheidend. Eine Beschwerde wegen Diskriminierung am Arbeitsplatz fällt unter das AGG, wenn sie sich auf benachteiligende Handlungen aus den in § 1 AGG genannten Gründen bezieht. Sie kann gleichzeitig eine Meldung nach HinSchG sein, wenn sie einen Rechtsverstoß im Sinne des § 2 HinSchG betrifft. In diesen Fällen müssen beide Verfahren parallel oder koordiniert geführt werden. Schließlich greift das ISMS nach ISO/IEC 27001:2022, weil die Meldestelle Daten verarbeitet und Anhang A.5.34 sowie A.8.10 entsprechende Schutzanforderungen normieren. CIVAC integriert die drei Regime im Workspace, sodass eine Meldung automatisch in das Verzeichnis der Verarbeitungstätigkeiten einfließt, die AGG-Schnittstelle bei Bedarf aktiviert wird und die ISMS-Risikobewertung die Meldestelle als Kontrolle berücksichtigt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die Integration ist auch arbeitsrechtlich relevant, weil eine ordentliche Schnittstelle zwischen HinSchG und AGG die Beweisführung in Diskriminierungsstreitigkeiten erheblich erleichtert.

Anonyme Meldungen sind seit der Novelle des HinSchG vom 2. Juni 2023 entgegenzunehmen, und die Meldestelle hat sie zu bearbeiten, soweit dies nicht durch andere gesetzliche Bestimmungen ausgeschlossen ist. In der praktischen Bearbeitung anonymer Meldungen liegt die größte technische Herausforderung, weil die Meldestelle ohne direkten Kommunikationskanal Rückfragen stellen und die Drei-Monats-Frist nach § 17 HinSchG einhalten muss. Üblich ist die Einrichtung eines Postfachs im Meldesystem, das der hinweisgebenden Person über einen anonymisierten Token zugänglich bleibt, ohne dass die Identität enthüllt wird. Dieser Token-basierte Rückkanal ist in einer reinen E-Mail-Lösung nicht abbildbar, sondern verlangt eine spezialisierte Plattform.

Die Vertraulichkeit der Identität der hinweisgebenden Person nach § 8 HinSchG ist eine eigene Pflicht, deren Verletzung nach § 40 HinSchG bußgeldbewehrt ist. Sie verlangt eine Zugriffskontrolle auf Meldedaten, die nur den Personen Zugang gewährt, die zur Bearbeitung erforderlich sind. Auch der IT-Administrator des Unternehmens darf in der Regel keinen Zugriff auf den Klartext der Meldungen haben. Das Repressalienverbot nach § 36 HinSchG verbietet jede Benachteiligung der hinweisgebenden Person, mit Beweislastumkehr zugunsten der hinweisgebenden Person. Eine belastbare Meldestelle dokumentiert daher den Zeitpunkt der Meldung, den Personenkreis mit Kenntnis der Meldung und alle personalrelevanten Entscheidungen, die die hinweisgebende Person nach der Meldung betreffen. Diese Dokumentation ist im CIVAC-Workspace verbindlich strukturiert und exportierbar, sodass die Beweislastumkehr im Streit nicht zur dokumentarischen Niederlage führt. Auch die Kommunikation mit der hinweisgebenden Person über das anonymisierte Postfach wird vollständig protokolliert, einschließlich der Zeitpunkte der Mitteilungen und der ergriffenen Folgemaßnahmen.

§ 14 HinSchG erlaubt die Beauftragung Dritter mit den Aufgaben der internen Meldestelle. Die Verantwortung des Beschäftigungsgebers bleibt bestehen, das heißt der Auftrag begründet keine Haftungsverlagerung, sondern eine operative Auslagerung. Für den Mittelstand ist die externe Meldestelle in vielen Fällen die wirtschaftlich überlegene Lösung, weil sie die Unabhängigkeit nach § 15 HinSchG strukturell sichert, die Sieben-Tage-Frist für die Eingangsbestätigung durch ein eingespieltes Team verlässlich einhält und die Hemmschwelle für hinweisgebende Personen senkt. Studien des EU-Whistleblowing-Monitors zeigen konsistent, dass externe Kanäle häufiger genutzt werden als interne, weil die Befürchtung interner Repressalien empirisch real ist.

Bei der Auswahl der externen Meldestelle sind sechs Kriterien relevant. Erstens die Qualifikation der bestellten Person, idealerweise mit juristischer Ausbildung und Erfahrung in Compliance oder Arbeitsrecht. Zweitens die EU-Datenresidenz des Meldesystems, weil die Daten der hinweisgebenden Personen besondere Schutzwürdigkeit haben. Drittens die ISO/IEC 27001:2022-Zertifizierung des Anbieters, weil die Anforderungen an die Vertraulichkeit eigenständig auditiert werden müssen. Viertens der Vertretungsmechanismus, damit Urlaubs- oder Krankheitszeiten die Fristen nicht gefährden. Fünftens die Berichtslinie zur Geschäftsleitung mit dokumentiertem Quartalsbericht. Sechstens die Vertragsbedingungen für die Aufbewahrung der Meldungen nach Vertragsende. CIVAC erfüllt diese Kriterien als externe Meldestelle mit Bestellurkunde, EU-Hosting, ISO/IEC 27001:2022-Implementierung und einem Service-Level von 2 Werktagen ab Auftrag. Der Quartalsbericht an die Geschäftsleitung folgt einem standardisierten Format, das die Anzahl der Meldungen, die Bearbeitungsstände, die Fristeneinhaltung und die identifizierten Themenfelder ohne Identifikation der hinweisgebenden Personen darstellt. Damit erhält die Geschäftsleitung ein laufendes Lagebild ohne Verletzung der Vertraulichkeitspflicht nach § 8 HinSchG.

Ein Mittelstandsunternehmen mit 200 Beschäftigten hat drei Optionen. Erstens die rein interne Meldestelle mit einer Teilzeit-Rolle in der Rechts- oder Compliance-Abteilung. Die Personalkosten für diese Teilrolle liegen bei etwa 20.000 bis 30.000 Euro pro Jahr, hinzu kommen die Anschaffungs- und Pflegekosten einer Meldesoftware zwischen 8.000 und 15.000 Euro pro Jahr. Die Funktion ist personalabhängig, ausfallanfällig bei Urlaub und Krankheit und in der Wahrnehmung der Belegschaft häufig nicht unabhängig genug, um Meldungen aus der eigenen Linie zu erhalten.

Zweitens die hybride Lösung mit interner Bestellung und externem Software-Dienstleister. Die Kosten liegen zwischen 25.000 und 40.000 Euro pro Jahr und kombinieren die Schwächen beider Welten, weil die Unabhängigkeit weiterhin von der internen Personalbesetzung abhängt. Drittens die externe Meldestelle nach § 14 HinSchG mit Officer-as-a-Service. Die Kosten liegen zwischen 12.000 und 25.000 Euro pro Jahr und schließen die Bestellung, die Plattform, den Vertretungsmechanismus und den Quartalsbericht ein. Das Modell ist wirtschaftlich überlegen, regulatorisch klarer und gegenüber der Belegschaft besser kommunizierbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, und treffen Sie die Wahl auf Basis Ihrer Personalstrategie und Ihrer Unabhängigkeitsanforderung. Aus dem Lesen einen Auftrag machen, sobald die Wirtschaftlichkeitsrechnung die drei Optionen transparent macht und die strukturellen Schwächen des hybriden Modells sichtbar werden. Zu berücksichtigen ist außerdem das Reputationsthema: eine extern bestellte Meldestelle wird von der Belegschaft erfahrungsgemäß stärker genutzt, was die Geschäftsleitung früher und sauberer mit relevanten Hinweisen versorgt und schwere Eskalationen reduziert. Die Folgekosten unentdeckter Verstöße liegen empirisch deutlich über den jährlichen Kosten einer externen Meldestelle, weshalb die Wirtschaftlichkeitsrechnung ohne diesen Risikoanteil unvollständig bleibt.

Die Einrichtung einer belastbaren Whistleblower-Hotline beginnt mit drei Informationen: der aktuellen Beschäftigtenzahl mit Differenzierung nach § 3 Abs. 8 HinSchG, der bisherigen Praxis zur Behandlung von Hinweisen einschließlich eventueller AGG-Beschwerdestellen-Verfahren und der Risikoeinschätzung der Geschäftsleitung zu sektorspezifischen Pflichten, etwa nach GwG oder WpHG. Aus diesen Informationen leitet sich der Umfang der erforderlichen Meldekanäle ab, die Wahl zwischen interner und externer Bestellung und die Schnittstellen zu DSGVO, AGG und ISMS. Ein 60-minütiges Scoping-Gespräch mit einem qualifizierten Meldestellenbeauftragten genügt, um diese Punkte zu klären und ein belastbares Angebot vorzubereiten.

Die Inbetriebnahme erfolgt im Service-Level von 2 Werktagen ab unterschriebenem Auftrag bis zum lauffähigen Meldekanal mit drei aktivierten Wegen, dokumentierter Berichtslinie und ausgestellter Bestellurkunde. Innerhalb von 30 Tagen werden die Belegschaftskommunikation, die DSGVO-Verzeichniseintragung und der Quartalsbericht-Standard etabliert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, und entscheiden Sie das Modell nach Abschluss der ersten 30 Tage neu, wenn Sie die Plattform im Betrieb gesehen haben. Aus dem Lesen einen Auftrag machen. Sie erreichen das Team unter info@civac.de oder über das Kontaktformular auf civac.de. Die Erstantwort erfolgt innerhalb eines Werktags, das Angebot innerhalb von zwei Werktagen, einschließlich Festpreis für die ersten zwölf Monate und einer dokumentierten Übergangsregelung für etwaige bereits laufende Meldungen. Auf Wunsch unterstützt das CIVAC-Team die Belegschaftsinformation mit standardisierten Aushängen, Intranet-Texten und einer Q-and-A-Übersicht, damit die Einführung der Meldestelle als ernsthafte Maßnahme wahrgenommen wird. Diese begleitende Kommunikation ist regelmäßig der entscheidende Faktor für die Nutzungsquote in den ersten Monaten und damit für die tatsächliche Schutzwirkung der Hotline.