Whistleblowing-System einführen: Pflichten nach dem HinSchG im Überblick

Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen ab 50 Beschäftigten seit dem 17. Dezember 2023, eine interne Meldestelle bereitzustellen (§ 12 Abs. 1 HinSchG). Wer diese Pflicht ignoriert, riskiert Bußgelder nach § 40 HinSchG von bis zu 20.000 Euro – und bei systematischer Behinderung von Hinweisgebern bis zu 100.000 Euro. Hinzu kommt das Reputationsrisiko, das entsteht, wenn Hinweisgeber mangels internem Kanal direkt externe Behörden oder die Öffentlichkeit informieren.

Dieser Beitrag erläutert, welche technischen, organisatorischen und personellen Anforderungen das HinSchG stellt, welche Fristen gelten, wie die Vertraulichkeitspflicht umzusetzen ist und welche Rolle ein Beauftragter für die interne Meldestelle in der Praxis übernimmt. Sie erhalten einen strukturierten Überblick, der direkt in eine Umsetzungsplanung überführt werden kann.

Das HinSchG gilt für alle juristischen Personen des privaten Rechts ab 50 Beschäftigten (§ 12 Abs. 1 HinSchG). Maßgeblich ist die regelmäßige Beschäftigtenzahl; Leih- und Zeitarbeitnehmer zählen nach § 12 Abs. 3 HinSchG anteilig mit. Für Unternehmen zwischen 50 und 249 Beschäftigten gilt eine Erleichterung: Sie dürfen die interne Meldestelle mit einem anderen Unternehmen derselben Gruppe gemeinsam betreiben, sofern die Vertraulichkeit und Unabhängigkeit gewahrt bleiben.

Für Unternehmen ab 250 Beschäftigten und für bestimmte Branchen – darunter Finanzdienstleister nach § 12 Abs. 2 HinSchG – bestand die Pflicht bereits ab dem 2. Juli 2023. Kleine Unternehmen unter 50 Beschäftigten sind nicht zur Einrichtung verpflichtet, können aber freiwillig ein System einführen, was insbesondere für exportorientierte Mittelständler sinnvoll ist, die der EU-Whistleblower-Richtlinie (EU 2019/1937) in anderen EU-Mitgliedsstaaten begegnen.

Ausgenommen sind Gemeinden und andere juristische Personen des öffentlichen Rechts mit weniger als 10.000 Einwohnern bzw. weniger als 50 Beschäftigten, sofern kein spezielles Sektorrecht (z. B. Bankrecht) eingreift. Die Rolle des Beauftragten für die interne Meldestelle bei CIVAC umfasst eine vollständige Prüfung des Anwendungsbereichs anhand der konkreten Unternehmensstruktur.

Das HinSchG schützt Hinweisgebende, die in beruflichem Kontext erlangte Informationen über Verstöße melden (§ 2 HinSchG). Der Schutz erstreckt sich auf Verstöße gegen nationales Recht und EU-Recht in 22 spezifischen Bereichen – darunter Datenschutz (DSGVO), Geldwäscheprävention, Produktsicherheit, Umweltschutz, Lebensmittelsicherheit, öffentliches Auftragswesen sowie Finanzdienstleistungen.

Nicht geschützt sind Meldungen, die ausschließlich persönliche arbeitsrechtliche Belange betreffen (z. B. allgemeine Unzufriedenheit mit Vorgesetzten), es sei denn, diese überlappen mit einem der aufgeführten Sachbereiche. Die Meldestelle ist zudem nicht verpflichtet, anonym eingereichten Hinweisen nachzugehen – sie darf es aber und soll laut § 16 Abs. 1 Satz 4 HinSchG auch anonyme Meldungen berücksichtigen.

Für die Praxis bedeutet das: Der sachliche Scope des Meldesystems muss klar dokumentiert sein, damit Fallbearbeiter schnell entscheiden können, ob ein eingehender Hinweis unter das HinSchG fällt oder an einen anderen Kanal weiterzuleiten ist. Fehlt diese Dokumentation, riskiert das Unternehmen sowohl Verfahrensfehler als auch die Haftung für Vergeltungsmaßnahmen gegen Hinweisgebende, die einen geschützten Sachverhalt gemeldet haben.

§ 16 HinSchG verlangt, dass die Meldestelle sowohl schriftliche als auch mündliche Meldungen entgegennimmt. Auf Wunsch des Hinweisgebenden muss auch eine persönliche Zusammenkunft möglich sein. Ein reines E-Mail-Postfach genügt nicht, weil die Anonymitätsoption fehlt. Praxistauglich sind spezialisierte Softwarelösungen, die verschlüsselte Kommunikationskanäle mit pseudonymisierter Fallnummer anbieten.

Die Vertraulichkeit der Identität des Hinweisgebenden und aller erwähnten Dritten ist nach § 8 HinSchG zwingend zu wahren. Eine Weitergabe ist nur in eng umgrenzten Ausnahmen zulässig – insbesondere wenn der Hinweisgebende ausdrücklich einwilligt oder eine gesetzliche Offenbarungspflicht besteht. Technisch bedeutet das: Zugriffslogs, Rollenkonzepte und Datenschutz-Folgenabschätzungen (DSFA nach Art. 35 DSGVO) sind für das Meldesystem obligatorisch.

Neben der Technik gilt die Dokumentationspflicht: Jede Meldung ist in einem Fallregister zu erfassen und mindestens drei Jahre aufzubewahren (§ 11 HinSchG). Die Aufzeichnungen müssen so gesichert sein, dass Unbefugte keinen Zugriff erhalten. Der externe Datenschutzbeauftragte sollte bei der DSFA und dem Löschkonzept eingebunden sein, um DSGVO-Konformität zu gewährleisten.

Das HinSchG schreibt zwei zentrale Fristen vor: Erstens muss der Hinweisgebende innerhalb von sieben Tagen nach Eingang der Meldung eine Bestätigung erhalten (§ 17 Abs. 1 HinSchG). Diese Frist gilt unabhängig davon, ob die Meldung inhaltlich plausibel erscheint. Ein fehlendes Eingangsbestätigungssystem ist damit ein unmittelbares Compliance-Risiko.

Zweitens ist innerhalb von drei Monaten nach Eingangsbestätigung eine Rückmeldung an den Hinweisgebenden zu erteilen (§ 17 Abs. 2 HinSchG). Die Rückmeldung muss über eingeleitete oder geplante Folgemaßnahmen informieren sowie die Gründe darlegen, sofern keine Maßnahmen ergriffen werden. Der Inhalt der Rückmeldung darf die Rechte Dritter nicht beeinträchtigen – insbesondere die Unschuldsvermutung zugunsten der betroffenen Personen.

Beide Fristen sind im Fallregister zu dokumentieren. In der Praxis führt eine manuelle Fristenverwaltung häufig zu Versäumnissen, weil Fallbearbeiter mehrere Fälle parallel bearbeiten. Automatisierte Erinnerungsfunktionen innerhalb des Meldesystems reduzieren das Risiko von Fristversäumnissen erheblich. Frist läuft ab Kenntnis – und der Nachweis, dass fristgerecht gehandelt wurde, muss im Streitfall lückenlos belegt werden können.

§ 14 HinSchG schreibt vor, dass die mit der Meldestelle betrauten Personen fachkundig und unabhängig sein müssen. Unabhängigkeit bedeutet konkret: keine Interessenkonflikte mit den meldepflichtigen Bereichen, keine Weisungsgebundenheit gegenüber Personen, die Gegenstand einer Meldung sein könnten. Für viele mittelständische Unternehmen ist diese strukturelle Unabhängigkeit intern schwer herzustellen, wenn nur wenige Führungskräfte existieren.

Die Bestellung kann intern oder extern erfolgen. Bei interner Benennung ist eine schriftliche Beauftragung mit klarer Rollenabgrenzung erforderlich. Bei externer Beauftragung muss ein schriftlicher Dienstleistungsvertrag vorliegen, der die Weisungsunabhängigkeit, Vertraulichkeitspflichten und Berichtslinien regelt. Der externe Dienstleister darf die Meldestelle nicht gleichzeitig für direkte Wettbewerber betreiben, sofern Interessenkonflikte entstehen könnten.

Fachkunde umfasst Kenntnisse des Sachbereichs (§ 2 HinSchG), Verfahrenskenntnisse und die Fähigkeit, Folgemaßnahmen wie interne Untersuchungen oder externe Meldungen an Behörden einzuleiten. Regelmäßige Schulungen sind keine explizite Pflicht, aber als Nachweis der Fachkunde im Prüfungsfall wertvoll. Die CIVAC-Rolle des Beauftragten für die interne Meldestelle ist mit dem erforderlichen Fachkunde-Nachweis hinterlegt und sofort bestellbar.

§ 36 HinSchG verbietet jede Form von Repressalien gegen Hinweisgebende: Kündigung, Abmahnung, Versetzung, Gehaltskürzung, Nichtbeförderung, negative Referenzen, Mobbing oder Klagehäufung. Wer als Arbeitgeber Vergeltungsmaßnahmen ergreift, haftet auf Schadensersatz; die Beweislast kehrt sich nach § 36 Abs. 2 HinSchG zugunsten des Hinweisgebenden um. Der Arbeitgeber muss nachweisen, dass eine nachteilige Maßnahme nicht im Zusammenhang mit der Meldung stand.

Bußgelder nach § 40 HinSchG drohen bei Behinderung von Meldungen, bei Verletzung der Vertraulichkeitspflicht, bei Nichteinrichten einer Meldestelle sowie bei der Durchführung von Vergeltungsmaßnahmen. Die Bußgelder betragen bis zu 20.000 Euro je Verstoß; bei systematischer Behinderung bis zu 100.000 Euro. Diese Beträge sind nicht auf eine einzelne Handlung begrenzt – jeder Verstoß kann separat geahndet werden.

Für die Unternehmensleitung ergibt sich daraus ein direktes persönliches Haftungsrisiko nach § 130 OWiG, wenn Aufsichtspflichten verletzt werden. Dokumentierte Schulungen der Führungskräfte und Prozessanweisungen für den Umgang mit Meldungen sind daher nicht nur empfehlenswert, sondern bilden den Haftungsschutzwall im Ordnungswidrigkeitenverfahren.

Parallel zur internen Meldestelle hat der Gesetzgeber beim Bundesamt für Justiz (BfJ) eine externe Meldestelle eingerichtet (§ 19 HinSchG). Hinweisgebende können direkt an das BfJ melden, ohne zuvor intern tätig geworden zu sein. Sie dürfen wählen, welchen Kanal sie nutzen – eine Pflicht zur vorherigen internen Meldung besteht ausdrücklich nicht.

Für betroffene Unternehmen bedeutet das: Eine gut funktionierende interne Meldestelle mit kurzen Reaktionszeiten und erkennbarem Vertrauensschutz ist das beste Mittel, um externe Eskalationen zu vermeiden. Hinweisgebende wählen die externe Meldung typischerweise dann, wenn sie der internen Bearbeitung nicht vertrauen oder wenn interne Folgemaßnahmen ausgeblieben sind.

Sektoral gibt es zusätzliche externe Stellen: Die BaFin ist für den Finanzsektor zuständig, das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) für den Lieferkettenbereich, das Bundesamt für Verbraucherschutz und Lebensmittelsicherheit (BVL) für Lebensmittelsicherheit. Unternehmen mit mehreren regulierten Bereichen sollten dokumentieren, an welche externe Stelle im jeweiligen Sachbereich zu melden ist – diese Information gehört in die Verfahrensanweisung der internen Meldestelle.

Die Einführung eines HinSchG-konformen Meldesystems lässt sich in vier Phasen gliedern: Analyse, Konzeption, Implementierung und Betrieb. In der Analysephase ist der Anwendungsbereich zu klären (Beschäftigtenzahl, Konzernstruktur, Branchenpflichten), die vorhandene Infrastruktur zu sichten und die Datenschutz-Folgenabschätzung einzuleiten. Typischer Stolperstein: viele Unternehmen unterschätzen die DSFA-Pflicht nach Art. 35 DSGVO für das Meldesystem.

In der Konzeptionsphase sind Kanalwahl, Rollenmodell (intern/extern), Verfahrensanweisung und Schulungskonzept zu erarbeiten. Ein häufiger Fehler ist die fehlende schriftliche Verfahrensanweisung: Ohne dokumentierten Ablauf können Fallbearbeiter im Zweifel nicht nachweisen, dass sie standardkonform gehandelt haben. In der Implementierungsphase ist die Software einzurichten, die Bestellurkunde des Beauftragten zu erstellen und die Belegschaft zu informieren – die Informationspflicht nach § 13 HinSchG umfasst sowohl interne als auch externe Meldestellen.

Im Betrieb sind Fallbearbeitung, Fristenkontrolle und jährliche Reviews sicherzustellen. Bestellurkunde, unterschrieben, abgelegt, belegbar – diese Anforderung gilt auch für die interne Meldestelle. CIVAC stellt 37 einsatzbereite Audit-Vorlagen bereit, darunter eine spezifische für HinSchG-Compliance-Reviews.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service-Anbieter mit Sitz in Hamburg. Für die interne Meldestelle nach HinSchG bietet CIVAC zwei Wege: Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten – je nach Ressourcenlage und gewünschtem Unabhängigkeitsgrad.

Der CIVAC-Workspace enthält vorkonfigurierte Prozessvorlagen für Eingangsbestätigung, Fallregister, Fristenverwaltung und Rückmelderoutinen. Die Plattform erfüllt die technischen Anforderungen nach § 16 HinSchG: verschlüsselte Kanäle, pseudonymisierte Fallnummern, DSFA-Dokumentation, rollenbasierte Zugriffssteuerung und automatische Erinnerungsfunktionen für die 7-Tage- und 3-Monats-Fristen. Alle Daten werden ausschließlich auf EU-Servern gespeichert.

Externe Beauftragte über CIVAC sind innerhalb von zwei Werktagen bestellt und formal bestellbar – inklusive schriftlicher Beauftragungsurkunde und dokumentierter Berichtslinie an die Unternehmensleitung. Das klassische Verfahren über Kanzleien dauert erfahrungsgemäß zwei bis sechs Wochen.

Aus dem Lesen einen Auftrag machen: Sprechen Sie uns unter info@civac.de an oder nutzen Sie das Kontaktformular auf civac.de. Der Prüfer ruft an, der Nachweis liegt bereit.