Hinweisgeberschutzgesetz (HinSchG): Pflichten für Unternehmen ab 50 Mitarbeitern

Was ist das Hinweisgeberschutzgesetz (HinSchG)?

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Whistleblower-Richtlinie in deutsches Recht um. Ziel ist es, Personen zu schützen, die Rechtsverstöße in Unternehmen, Behörden oder Organisationen melden – sogenannte Hinweisgeberoder Whistleblower.

Das Gesetz verpflichtet Unternehmen ab einer bestimmten Größe, interne Meldestelleneinzurichten, über die Beschäftigte vertraulich und sicher Rechtsverstöße melden können.

Wer ist vom HinSchG betroffen?

Pflicht zur Einrichtung einer Meldestelle

Das Gesetz gilt für alle Unternehmen in Deutschland mit mindestens 50 Beschäftigten. Die Beschäftigtenzahl wird als Durchschnitt der letzten 12 Monate berechnet und umfasst:

• Vollzeit- und Teilzeitbeschäftigte
• Auszubildende
• Geringfügig Beschäftigte (Minijobber)
• Leiharbeitnehmer (werden dem Entleiher zugerechnet)

Ausnahmen: Unternehmen mit weniger als 50 Beschäftigten sind grundsätzlich nicht verpflichtet, eine interne Meldestelle einzurichten. Sie können sich jedoch freiwillig dafür entscheiden.

Öffentliche Stellen und Gemeinden

Auch Behörden, Kommunen und andere öffentliche Stellen sind verpflichtet, interne Meldestellen einzurichten. Für Gemeinden gilt: ab 10.000 Einwohnern.

Welche Verstöße können gemeldet werden?

Hinweisgeber können Verstöße gegen EU-Recht und bestimmte nationale Gesetze melden. Der Katalog umfasst u. a.:

• Korruption und Bestechung
• Geldwäsche und Terrorismusfinanzierung
• Datenschutzverstöße (DSGVO)
• Umweltverstöße (z. B. illegale Abfallentsorgung, Emissionen)
• Verbraucherschutz (z. B. Produktsicherheit, unlauterer Wettbewerb)
• Arbeitsschutz (z. B. Missachtung von Sicherheitsvorschriften)
• Steuerrecht (z. B. Steuerhinterziehung)
• Finanzkriminalität (z. B. Betrug, Bilanzfälschung)
• Öffentliches Auftragswesen (z. B. Verstöße bei Vergabeverfahren)

Nicht geschützt sind Meldungen über rein arbeitsrechtliche Streitigkeiten (z. B. Kündigungen, Gehaltskürzungen) oder allgemeine Beschwerden ohne Rechtsbezug.

Pflichten von Unternehmen: Was muss umgesetzt werden?

1. Einrichtung einer internen Meldestelle

Unternehmen müssen einen vertraulichen Meldekanal einrichten, über den Beschäftigte Rechtsverstöße melden können. Die Meldestelle kann:

• Intern besetzt sein: Z. B. durch die Compliance-Abteilung, Rechtsabteilung oder Geschäftsführung
• Extern vergeben werden: Viele Unternehmen beauftragen spezialisierte Dienstleister (z. B. Rechtsanwaltskanzleien, Compliance-Dienstleister)

Wichtig: Die Meldestelle muss unabhängig und frei von Interessenkonflikten sein. Personen, die die Meldestelle betreiben, müssen besonders geschult und zur Verschwiegenheit verpflichtet werden.

2. Meldekanäle bereitstellen

Hinweisgeber müssen die Möglichkeit haben, Meldungen auf verschiedenen Wegen einzureichen:

• Schriftlich: Per Briefpost, E-Mail oder über ein Online-Formular
• Mündlich: Per Telefon oder in einem persönlichen Gespräch
• Anonym: Meldungen müssen auch ohne Namensnennung möglich sein

Digitale Lösungen: Viele Unternehmen setzen auf Software-Plattformen, die verschlüsselte, anonyme Meldungen ermöglichen und den gesamten Bearbeitungsprozess dokumentieren.

3. Vertraulichkeit sicherstellen

Die Identität des Hinweisgebers muss geschützt werden. Die Weitergabe dieser Information ist nur mit ausdrücklicher Zustimmung des Hinweisgebers zulässig – es sei denn, es besteht eine gesetzliche Offenbarungspflicht (z. B. bei Straftaten).

Personen, die Zugang zu Meldungen haben (z. B. Mitarbeiter der Meldestelle), sind zur Verschwiegenheit verpflichtet.

4. Fristen einhalten

Unternehmen müssen auf Meldungen innerhalb klarer Fristen reagieren:

• Eingangsbestätigung: Innerhalb von 7 Tagen nach Eingang der Meldung
• Rückmeldung über Bearbeitung: Innerhalb von 3 Monaten (in begründeten Fällen verlängerbar auf max. 6 Monate)

Die Rückmeldung muss den Hinweisgeber über die ergriffenen oder geplanten Maßnahmen informieren.

5. Dokumentation und Nachweispflichten

Unternehmen müssen alle Meldungen und deren Bearbeitung dokumentieren. Dies dient dem Nachweis, dass das Unternehmen seinen Pflichten nachgekommen ist. Die Dokumentation sollte enthalten:

• Datum und Inhalt der Meldung
• Bearbeitungsschritte und Verantwortliche
• Ergebnis der Prüfung und ergriffene Maßnahmen
• Kommunikation mit dem Hinweisgeber

6. Schutz vor Repressalien

Hinweisgeber dürfen nicht benachteiligt werden, weil sie eine Meldung gemacht haben. Verboten sind insbesondere:

• Kündigung oder Versetzung
• Gehaltskürzungen oder Beförderungsverweigerungen
• Mobbing, Diskriminierung oder Druckausübung
• Schlechtere Arbeitsbedingungen oder Ausschluss von Weiterbildungen

Beweislastumkehr: Wenn ein Hinweisgeber benachteiligt wird, liegt die Beweislast beim Arbeitgeber – dieser muss nachweisen, dass die Benachteiligung nicht mit der Meldung zusammenhängt.

Externe Meldestelle: Alternative zur internen Lösung?

Hinweisgeber können sich auch direkt an externe Meldestellen wenden, z. B.:

• Bundesamt für Justiz (BfJ): Zentrale externe Meldestelle für Deutschland
• Länderbehörden: Je nach Bundesland zuständig für bestimmte Bereiche (z. B. Umwelt, Arbeitsschutz)

Hinweisgeber können die externe Meldestelle nutzen, wenn:

• Das Unternehmen keine interne Meldestelle hat
• Sie befürchten, dass die interne Meldestelle nicht unabhängig ist
• Die interne Meldung nicht fristgerecht bearbeitet wurde
• Repressalien drohen

Bußgelder und Sanktionen bei Verstößen

Verstöße gegen das HinSchG können mit empfindlichen Bußgeldern geahndet werden:

Zusätzlich können Schadensersatzansprüche von benachteiligten Hinweisgebern entstehen – etwa bei ungerechtfertigten Kündigungen oder beruflichen Nachteilen.

Best Practices: So setzen Sie das HinSchG rechtssicher um

1. Externe Expertise nutzen

Viele Unternehmen lagern die Meldestelle an spezialisierte Dienstleister aus (z. B. Rechtsanwälte, Compliance-Dienstleister). Dies bietet mehrere Vorteile:

• Neutralität: Externe Stellen sind unabhängig und frei von Interessenkonflikten
• Fachkenntnis: Professionelle Bearbeitung komplexer rechtlicher Sachverhalte
• Datenschutz: Sichere Verarbeitung sensibler Daten nach DSGVO

2. Mitarbeiter informieren und schulen

Kommunizieren Sie die Einrichtung der Meldestelle klar an alle Beschäftigten:

• Wie funktioniert die Meldestelle? Welche Kanäle gibt es?
• Welche Verstöße können gemeldet werden?
• Wie wird Vertraulichkeit gewährleistet?
• Welche Schutzrechte haben Hinweisgeber?

Stellen Sie Informationen bereit (z. B. im Intranet, durch Aushänge, in Schulungen).

3. Klare Prozesse definieren

Legen Sie fest:

• Wer ist für die Bearbeitung von Meldungen zuständig?
• Wie werden Meldungen geprüft und untersucht?
• Welche Maßnahmen werden bei bestätigten Verstößen ergriffen?
• Wie wird der Hinweisgeber informiert?

4. Technische Lösungen einsetzen

Nutzen Sie Software-Plattformen, die:

• Verschlüsselte, anonyme Meldungen ermöglichen
• Den gesamten Bearbeitungsprozess dokumentieren
• Fristen automatisch überwachen und Erinnerungen senden
• DSGVO-konform sind

5. Regelmäßig überprüfen und anpassen

Prüfen Sie regelmäßig, ob Ihre Meldestelle noch den Anforderungen entspricht:

• Sind die Prozesse noch aktuell?
• Gibt es neue rechtliche Entwicklungen?
• Funktionieren die technischen Systeme einwandfrei?
• Sind die zuständigen Personen weiterhin geschult?

Praxisbeispiel: So könnte eine Meldung ablaufen

Häufige Fehler vermeiden

❌ Keine Meldestelle einrichten

Unternehmen ab 50 Beschäftigten müssen eine interne Meldestelle haben. Das Fehlen einer solchen Stelle kann zu Bußgeldern bis zu 50.000 € führen.

❌ Vertraulichkeit verletzen

Die Identität des Hinweisgebers darf niemals ohne dessen Zustimmung offenbart werden – auch nicht intern. Verstöße können zu hohen Bußgeldern und Schadensersatzforderungen führen.

❌ Fristen nicht einhalten

Die 7-Tage-Frist für die Eingangsbestätigung und die 3-Monats-Frist für die Rückmeldung sind verbindlich. Versäumnisse können sanktioniert werden.

❌ Hinweisgeber benachteiligen

Jede Form von Repressalien (Kündigung, Versetzung, Mobbing) ist strikt verboten und kann zu Schadensersatz und Bußgeldern führen.

Fazit: HinSchG-Compliance als Chance

Das Hinweisgeberschutzgesetz stellt zunächst eine zusätzliche Compliance-Anforderung dar – bietet aber auch Chancen:

• Früherkennung von Risiken: Rechtsverstöße werden intern bekannt, bevor sie zu größeren Schäden führen
• Verbesserung der Unternehmenskultur: Offene Kommunikation und Vertrauen werden gefördert
• Schutz des Unternehmens: Vermeidung von Bußgeldern, Reputationsschäden und rechtlichen Auseinandersetzungen

Unternehmen, die das HinSchG proaktiv und professionell umsetzen, schaffen eine starke Compliance-Kultur – und schützen sich gleichzeitig vor rechtlichen Risiken.