Datenschutz & Compliance

Hinweisgeberschutzgesetz: Was Unternehmen ab 50 Mitarbeitern jetzt umsetzen müssen

5 Min. Lesezeit
Kurze Antwort

Das HinSchG verpflichtet Unternehmen ab 50 Mitarbeitern zur Einrichtung einer internen Meldestelle für Hinweisgeber (Whistleblower). Meldungen müssen vertraulich behandelt und Hinweisgeber vor Vergeltung geschützt werden.

Das HinSchG ist seit Juli 2023 in Kraft. Unternehmen ab 50 Mitarbeitern die noch keine interne Meldestelle haben, sind bereits im Verzug — und riskieren Bußgelder bis 20.000 Euro.

Was das Hinweisgeberschutzgesetz verlangt

Das Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower-Richtlinie (2019/1937) in deutsches Recht um und ist seit Juli 2023 in Kraft. Es schützt Personen, die in ihrem beruflichen Umfeld auf Verstöße gegen Recht und Gesetz aufmerksam machen — sogenannte Hinweisgeber oder Whistleblower. Der Schutz ist umfassend: Wer einen Hinweis in gutem Glauben abgibt, darf dafür nicht benachteiligt, entlassen oder anderweitig vergolten werden.

Für Unternehmen ab 50 Mitarbeitern ist die Einrichtung einer internen Meldestelle Pflicht. Diese Meldestelle muss Hinweise entgegennehmen, vertraulich behandeln, innerhalb von sieben Tagen eine Eingangsbestätigung senden und innerhalb von drei Monaten eine Rückmeldung zum Stand der Bearbeitung geben. Die Meldungen können schriftlich, mündlich oder — auf Wunsch des Hinweisgebers — in einem persönlichen Gespräch eingehen.

Wichtig: Nicht jede interne Beschwerde fällt unter das HinSchG. Es gilt für Hinweise auf Verstöße gegen EU-Recht und bestimmte nationale Gesetze — darunter Strafrecht, Arbeitsrecht, Umweltrecht, Verbraucherschutz, Datenschutz und Finanzmarktregulierung. Rein interne Richtlinienverstöße ohne Rechtsbezug fallen nicht zwingend darunter, können aber über das gleiche System gemeldet werden.

Was die Meldestelle leisten muss

  • Vertrauliche Entgegennahme von Meldungen: schriftlich, mündlich und auf Wunsch im persönlichen Gespräch
  • Eingangsbestätigung innerhalb von 7 Tagen nach Eingang der Meldung
  • Rückmeldung über ergriffene Maßnahmen innerhalb von 3 Monaten
  • Absolute Vertraulichkeit der Identität des Hinweisgebers — auch gegenüber dem Beschuldigten
  • Schutz vor Vergeltungsmaßnahmen: Entlassung, Abmahnung, Versetzung, Diskriminierung sind verboten
  • Dokumentation aller eingegangenen Meldungen für mindestens 3 Jahre
  • Zugang auch für anonyme Meldungen — das System muss anonyme Hinweise ermöglichen, auch wenn keine Bearbeitungspflicht besteht
  • Benennung einer verantwortlichen Person oder eines Dienstleisters der die Meldestelle betreibt

Umsetzungsoptionen: Was passt zu welchem Unternehmen

Es gibt drei grundsätzliche Wege, eine HinSchG-konforme Meldestelle einzurichten. Die einfachste Variante für kleinere Unternehmen (50–249 Mitarbeiter): Eine externe Ombudsperson — typischerweise ein Rechtsanwalt — übernimmt die Meldestelle. Der Vorteil: Die Vertraulichkeit ist durch das Mandatsverhältnis abgesichert, keine eigene technische Infrastruktur notwendig. Der Nachteil: laufende Kosten, externe Abhängigkeit.

Für mittlere und größere Unternehmen bieten sich digitale Meldestellenlösungen an. Etablierte Anbieter sind EQS Integrity Line, BKMS (Business-Keeper-Meldesystem) oder Speakup — alle drei bieten verschlüsselte, DSGVO-konforme Plattformen mit anonymer Meldefunktion, Dokumentation und Fristenmanagement. Diese Systeme lassen sich oft in wenigen Tagen einrichten und sind auf HinSchG-Konformität ausgelegt.

Größere Unternehmen mit eigener IT-Infrastruktur können auch selbst entwickelte oder selbst gehostete Systeme einsetzen — zum Beispiel auf Basis von Open-Source-Lösungen. Das bietet maximale Kontrolle, erfordert aber mehr technischen Aufwand und eine sorgfältige DSGVO-Prüfung. INREMA kann bei der technischen Integration solcher Systeme in bestehende Webprojekte und digitale Infrastrukturen unterstützen — insbesondere wenn größere Unternehmen eine Meldestelle in ihre eigene Webpräsenz integrieren möchten.

Vorsicht bei der internen Lösung ohne externen Dienstleister: Wenn die Meldestelle intern besetzt ist, muss die verantwortliche Person die absolute Vertraulichkeit der Hinweisgeberidentität garantieren können — auch gegenüber der Geschäftsführung. Das ist organisatorisch anspruchsvoll und kann im Streitfall haftungsrelevant sein. Für viele KMU ist eine externe Ombudsperson oder ein zertifizierter digitaler Dienstleister die praktisch sicherere Wahl.

So richten Sie eine HinSchG-konforme Meldestelle ein

  1. Pflicht prüfen: Mitarbeiterzahl ermitteln

    Das HinSchG gilt für Unternehmen ab 50 Mitarbeitern. Relevant ist die Gesamtmitarbeiterzahl im Jahresdurchschnitt — Teilzeitkräfte werden anteilig gezählt, Leiharbeitnehmer nach Dauer der Beschäftigung. Konzernunternehmen können unter Bedingungen eine gemeinsame Meldestelle betreiben, wenn sie 50 bis 249 Mitarbeiter haben.

  2. Umsetzungsweg festlegen

    Entscheiden Sie zwischen externer Ombudsperson, digitalem Meldesystem (SaaS) oder selbst entwickelter Lösung. Für KMU mit 50–100 Mitarbeitern ist eine externe Ombudsperson oft kostengünstiger. Ab 200 Mitarbeitern überwiegen die Vorteile eines digitalen Systems: Skalierbarkeit, Anonymität, automatisierte Fristen-Erinnerungen.

  3. DSGVO-konforme Umsetzung sicherstellen

    Die Meldestelle verarbeitet personenbezogene Daten — sowohl des Hinweisgebers als auch der beschuldigten Person. Das erfordert eine Rechtsgrundlage (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit dem HinSchG), Eintrag im Verzeichnis der Verarbeitungstätigkeiten und technische Schutzmaßnahmen (Verschlüsselung, Zugriffsbeschränkung). Wenn ein externer Dienstleister die Meldestelle betreibt, ist ein AVV nach Art. 28 DSGVO Pflicht.

  4. Mitarbeiter informieren und schulen

    Das HinSchG verlangt, dass Mitarbeiter über die Meldestelle und ihre Rechte informiert werden — in klarer, verständlicher Sprache. Das kann über das Intranet, Aushänge oder Schulungen erfolgen. Wichtig: Die Information muss aktiv erfolgen, nicht nur im Kleingedruckten der Arbeitsverträge.

  5. Prozesse dokumentieren und testen

    Dokumentieren Sie die internen Abläufe: Wer empfängt Meldungen, wer bearbeitet sie, wie werden Fristen überwacht, wie wird Vertraulichkeit sichergestellt? Führen Sie einen Test-Durchlauf durch — senden Sie selbst eine anonyme Test-Meldung und prüfen Sie, ob alle Prozessschritte funktionieren und Fristen eingehalten werden.

Tipp für Webagenturen und Dienstleister, die für größere Unternehmen arbeiten: Wenn ein Kunde ab 200 Mitarbeitern eine neue Unternehmenswebseite bekommt, ist die Integration eines Meldestellen-Links oder sogar einer eingebetteten Meldeplattform oft sinnvoll. INREMA berücksichtigt das bei Webprojekten für entsprechende Kunden und prüft, ob eine nahtlose Integration des Meldesystems technisch möglich ist — ohne dass Nutzerdaten mit dem restlichen Webseiten-Tracking vermischt werden.
Zusammenfassung
  • HinSchG gilt seit Juli 2023: Unternehmen ab 50 Mitarbeitern brauchen eine interne Meldestelle — wer das ignoriert riskiert Bußgelder bis 20.000 Euro
  • Umsetzungsoptionen: externe Ombudsperson (einfach, kostengünstig für KMU), digitale Plattform (skalierbar, empfohlen ab 200 MA) oder selbst entwickelte Lösung
  • Die Meldestelle ist auch ein DSGVO-Thema: Verarbeitungsverzeichnis, AVV mit Dienstleister und Verschlüsselung sind Pflicht

INREMA unterstützt bei der technischen Integration von Meldestellen-Systemen in Webprojekte und digitale Infrastrukturen größerer Unternehmen. Für die rechtliche Beratung zum HinSchG empfehlen wir spezialisierte Arbeitsrechtskanzleien.

Beratung anfragen

Häufige Fragen

Ab wann gilt das HinSchG und wer ist betroffen?
Das HinSchG gilt seit Juli 2023. Die Pflicht zur internen Meldestelle trifft Unternehmen ab 50 Mitarbeitern. Unternehmen mit 50–249 Mitarbeitern dürfen seit Dezember 2023 eine gemeinsame Meldestelle im Konzernverbund betreiben.
Welche Meldungen müssen über die Meldestelle bearbeitet werden?
Hinweise auf Verstöße gegen EU-Recht und bestimmte nationale Gesetze: Strafrecht, Arbeitsschutz, Umweltrecht, Verbraucherschutz, Datenschutz, Geldwäsche, Finanzmarktregulierung. Rein interne Richtlinienverstöße ohne Rechtsbezug sind nicht zwingend erfasst, können aber freiwillig einbezogen werden.
Was passiert wenn ein Unternehmen keine Meldestelle einrichtet?
Das HinSchG sieht Bußgelder bis 20.000 Euro vor für Unternehmen die keine interne Meldestelle einrichten. Zusätzlich drohen Bußgelder für Vergeltungsmaßnahmen gegen Hinweisgeber (bis 50.000 Euro) und für die Behinderung von Meldungen.
Muss die Meldestelle anonyme Hinweise akzeptieren?
Die Meldestelle muss so gestaltet sein dass anonyme Meldungen möglich sind. Eine Pflicht zur Bearbeitung anonymer Meldungen besteht jedoch nicht — Unternehmen können entscheiden ob sie anonyme Hinweise bearbeiten. Empfehlung: Ja, denn anonyme Meldungen erhöhen die Nutzungsbereitschaft erheblich.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Compliance Management im Mittelstand: Mehr als nur Regelkonformität
9 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
Whistleblower-System einrichten: Was Pflicht ist und was hilft
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen