Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Alle Beauftragten-Rollen
IMB

Beauftragter der internen Meldestelle

Vertrauliche Aufnahme von Hinweisen, Bearbeitung innerhalb der Drei-Monats-Frist nach HinSchG, Monitoring auf Repressalien. Unabhängig von der Geschäftsleitung.

Schwerpunkte
HinSchGHinweisgeberDrei-Monats-FristRepressalien
Rechtsgrundlage

HinSchG · EU-Whistleblower-Richtlinie

Schnellkontakt

Beauftragter der internen Meldestelle: Mit uns sprechen

Drei Zeilen und Sie sind in unserem Posteingang. Antwort innerhalb eines Werktags.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Wir verwenden Ihre Daten nur für die Rückantwort.

Was ist der Beauftragte für die interne Meldestelle?

Der Beauftragte für die interne Meldestelle (häufig als Hinweisgeberbeauftragter oder Whistleblower-Beauftragter bezeichnet) ist die nach § 14 Hinweisgeberschutzgesetz (HinSchG) zu benennende Stelle, die Meldungen über Rechtsverstöße aus dem Unternehmen entgegennimmt und bearbeitet. Das HinSchG ist am 02.07.2023 in Kraft getreten und setzt die EU-Whistleblower-Richtlinie 2019/1937 vom 23.10.2019 in deutsches Recht um. Es schützt natürliche Personen, die Informationen über Verstöße aus ihrem beruflichen Kontext erlangt und gemeldet haben. Der sachliche Anwendungsbereich nach § 2 HinSchG umfasst Verstöße gegen Strafvorschriften, bußgeldbewehrte Vorschriften zum Schutz von Leben und Gesundheit, Vorschriften zur Geldwäsche, Steuern, Verbraucher-, Umwelt- und Datenschutz sowie sektorspezifisches EU-Recht.

Die Bestellpflicht greift nach § 12 HinSchG für Beschäftigungsgeber mit 50 oder mehr Beschäftigten. Der Stichtag für Unternehmen ab 250 Beschäftigten war der 02.07.2023, für Unternehmen zwischen 50 und 249 Beschäftigten der 17.12.2023. Banken, Wertpapierfirmen, Versicherer und kapitalmarktorientierte Unternehmen sind unabhängig von der Beschäftigtenzahl bestellpflichtig. Konzernrechtlich erlaubt § 14 Abs. 1 Satz 4 HinSchG eine gemeinsame Meldestelle für mehrere Tochtergesellschaften, ein Urteil des EuGH vom 11.05.2023 (C-635/20) hat aber klargestellt, dass die Konzernmuttergesellschaft die nationalen Pflichten der Tochter nicht vollständig ersetzen darf.

Der Beauftragte nimmt nach § 16 HinSchG Meldungen mündlich, schriftlich oder auf Wunsch persönlich entgegen, bestätigt den Eingang innerhalb von 7 Tagen, prüft die Stichhaltigkeit, ergreift Folgemaßnahmen und gibt dem Hinweisgeber innerhalb von 3 Monaten eine Rückmeldung. Die Vertraulichkeit der Identität ist nach § 8 HinSchG zwingend zu wahren, auch gegenüber Vorgesetzten und Mitgesellschaftern. Das Repressalienverbot des § 36 HinSchG kehrt die Beweislast um: Erleidet der Hinweisgeber nach einer Meldung einen Nachteil, wird vermutet, dass dieser eine Repressalie ist, sofern der Arbeitgeber nicht das Gegenteil beweist. Die anonyme Meldung muss seit dem ersten Gesetzgebungstag 17.12.2023 ermöglicht werden und ist in § 16 Abs. 1 Satz 4 HinSchG verankert.

Aufgaben des Beauftragten

  • Betrieb des Meldekanals nach § 16 HinSchG für mündliche, schriftliche und persönliche Meldungen.
  • Bestätigung des Eingangs einer Meldung an den Hinweisgeber innerhalb von 7 Tagen nach § 17 Abs. 1 Nr. 1 HinSchG.
  • Prüfung der Stichhaltigkeit, Untersuchung des Sachverhalts und Einleitung angemessener Folgemaßnahmen nach § 18 HinSchG.
  • Rückmeldung an den Hinweisgeber zu Folgemaßnahmen innerhalb von 3 Monaten nach § 17 Abs. 1 Nr. 4 HinSchG.
  • Wahrung der Vertraulichkeit der Identität des Hinweisgebers, der betroffenen Personen und Dritter nach § 8 HinSchG.
  • Dokumentation aller Meldungen und Folgemaßnahmen nach § 11 HinSchG mit Aufbewahrungsfrist von 3 Jahren.
  • Erstellung des datenschutzkonformen Verarbeitungsverzeichnisses nach Art. 30 DSGVO und ggf. einer DSFA.
  • Schulung der Beschäftigten zur Existenz des Meldekanals und zum Schutz vor Repressalien.
  • Schnittstelle zur externen Meldestelle beim Bundesamt für Justiz (BfJ) nach § 19 HinSchG und zur BaFin im Finanzsektor.
  • Jährlicher Tätigkeitsbericht an die Geschäftsleitung mit Risikoanalyse und Empfehlungen.

Bestellung, Fachkunde und Stichtage

Die Bestellpflicht ergibt sich aus § 12 HinSchG. Beschäftigungsgeber mit 250 oder mehr Beschäftigten mussten bis zum 02.07.2023 eine interne Meldestelle einrichten, Beschäftigungsgeber mit 50 bis 249 Beschäftigten bis zum 17.12.2023. Wer die Frist nach 17.12.2023 versäumt, riskiert nach § 40 Abs. 2 HinSchG ein Bußgeld bis 20.000 Euro. Bestimmte Branchen sind unabhängig von der Mitarbeiterzahl verpflichtet, darunter Banken nach KWG, Wertpapierdienstleister nach WpHG, Versicherer nach VAG, Kapitalverwaltungsgesellschaften nach KAGB und kapitalmarktorientierte Unternehmen nach § 264d HGB. Im Konzern erlaubt § 14 Abs. 1 Satz 4 HinSchG eine gebündelte Meldestelle, das EuGH-Urteil C-635/20 vom 11.05.2023 schränkt diese Möglichkeit für Tochtergesellschaften mit eigenen 50+ Beschäftigten ein.

Nach § 15 HinSchG muss der Beauftragte die notwendige Fachkunde besitzen. Was Fachkunde genau bedeutet, ist gesetzlich nicht definiert, der Begründung des Gesetzes nach umfasst sie Kenntnisse im Verfahrensrecht (Verfahrensherrschaft, Untersuchungsmethoden, Beweissicherung), im Datenschutz nach DSGVO und im einschlägigen materiellen Recht (Arbeitsrecht, Compliance, Geldwäsche, Datenschutz, Steuern, Korruptionsprävention). Entsprechende Schulungen werden vom TUEV, DGCS, Berufsverband Compliance und spezialisierten Kanzleien angeboten, eine Zertifizierung ist nicht zwingend. Die Funktion muss nach § 15 Abs. 1 HinSchG unabhängig sein, was Interessenkonflikte mit operativen Funktionen wie HR-Leitung, Recht oder Compliance grundsätzlich ausschließen kann; eine Doppelfunktion ist bei kleinen Unternehmen tolerabel, wenn Eskalationswege dokumentiert sind. Externe Beauftragte sind nach § 14 Abs. 1 Satz 2 HinSchG zulässig und im Mittelstand der Standardfall. Die Bestellung erfolgt schriftlich, die Geschäftsleitung haftet aber nach § 14 Abs. 1 Satz 3 HinSchG weiter für die ordnungsgemäße Einrichtung.

  • Beschäftigungsgeber ab 50 Beschäftigten (§ 12 HinSchG), Stichtage 02.07.2023 (ab 250) und 17.12.2023 (50 bis 249).
  • Kredit- und Finanzdienstleistungsinstitute nach KWG, Wertpapierdienstleister nach WpHG, Versicherer nach VAG, KVGs nach KAGB unabhängig von der Größe.
  • Kapitalmarktorientierte Unternehmen nach § 264d HGB.
  • Anordnung der externen Meldestelle beim Bundesamt für Justiz nach § 19 HinSchG.
  • EuGH-Rechtsprechung C-635/20 (11.05.2023): keine vollständige Aufgabenübertragung an die Konzernmutter.
  • Sektorspezifische Pflichten: GwG-Hinweisgebersystem nach § 6 Abs. 5 GwG, MaRisk AT 4.4.3 für Banken.

Typische Branchen mit Meldestellen-Pflicht

  • Banken, Sparkassen, Volksbanken und Wertpapierdienstleister
  • Versicherer, Pensionskassen und Asset Manager
  • Industrieunternehmen mit 50+ Beschäftigten (Maschinenbau, Chemie, Automotive)
  • Kapitalmarktorientierte Unternehmen aller Branchen
  • Krankenhäuser, MVZ und Pflegekonzerne
  • Öffentliche Verwaltung und kommunale Beteiligungen
  • Bildungseinrichtungen und Universitäten ab 50 Beschäftigten
  • Konzerne mit deutschen Tochtergesellschaften nach EuGH C-635/20
  • Stiftungen und gemeinnützige Organisationen ab 50 Beschäftigten
  • Krypto-Dienstleister und FinTechs unter MiCAR
CIVAC

Wie CIVAC den Beauftragten der internen Meldestelle unterstützt

CIVAC stellt einen HinSchG-konformen Meldekanal mit Ende-zu-Ende-Verschlüsselung, anonymen Meldewegen und einem strukturierten Fallmanagement bereit. Eingänge werden automatisch quittiert (7-Tage-Frist § 17 Abs. 1 Nr. 1 HinSchG), die 3-Monats-Rückmeldefrist nach § 17 Abs. 1 Nr. 4 HinSchG ist als Pflichtfeld hinterlegt. Das Modul führt das Verarbeitungsverzeichnis nach Art. 30 DSGVO automatisch, dokumentiert alle Folgemaßnahmen prüfungsfest und erfüllt die 3-jährige Aufbewahrungsfrist nach § 11 HinSchG. Rollen-Trennung (Beauftragter, Vertretung, Fachstelle Recht) und ein abgeschotteter Datenraum verhindern Zugriffe Unbefugter. Konzernmandate können mehrere Tochtergesellschaften unter Beachtung des EuGH-Urteils C-635/20 abbilden. Ein externer HinSchG-Beauftragter über CIVAC ist innerhalb von 48 Stunden bestellt und der Meldekanal produktiv.

Häufige Fragen zur internen Meldestelle nach HinSchG

Diese Rolle für Ihr Unternehmen besetzen?

Bestellen Sie unsere Experten als externe Beauftragten oder lizenzieren Sie CIVAC für Ihr eigenes Team. Wir besprechen mit Ihnen, was zu Ihrem Aufbau passt.

Mit CIVAC sprechenAlle 25 Rollen ansehen
Weitere Beauftragten-Rollen