Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Richtlinie 2019/1937 (Whistleblower-Richtlinie) in deutsches Recht um. Für Unternehmen ab 50 Mitarbeitern ist die Einrichtung einer internen Meldestelle gesetzlich verpflichtend. Wer dies versäumt, riskiert Bußgelder bis zu 50.000 €.

Wichtiger Hinweis

Dieser Leitfaden dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für Ihre spezifische Situation konsultieren Sie bitte qualifizierte Rechtsexperten.

Wer ist zur Einrichtung einer internen Meldestelle verpflichtet?

§ 12 HinSchG definiert den Anwendungsbereich. Verpflichtet sind:

  • Private Unternehmen ab 50 Mitarbeitern (Vollzeitäquivalente, Jahresschnitt)
  • Alle Behörden des Bundes und der Länder — unabhängig von der Mitarbeiterzahl
  • Kommunen ab 10.000 Einwohnern
  • Unternehmen des Finanzsektors — auch unter 50 Mitarbeitern (§ 12 Abs. 3)

Übergangsfristen

Unternehmen mit 50–249 Mitarbeitern hatten bis zum 17. Dezember 2023 Zeit, die Meldestelle einzurichten. Alle anderen Pflichtigen mussten bereits ab dem 2. Juli 2023 compliant sein.

Was muss eine interne Meldestelle leisten?

§ 16 HinSchG definiert die Mindestanforderungen an den internen Meldekanal. Die Meldestelle muss:

  • Vertrauliche Meldungen ermöglichen (§ 16 Abs. 1) Hinweisgeber müssen in der Lage sein, Meldungen vertraulich oder anonym abzugeben. Die Identität darf ohne Einwilligung nicht offenbart werden.
  • Eingangsbestätigung innerhalb von 7 Tagen (§ 17 Abs. 1) Der Eingang der Meldung muss dem Hinweisgeber innerhalb von 7 Tagen bestätigt werden.
  • Rückmeldung innerhalb von 3 Monaten (§ 17 Abs. 2) Der Hinweisgeber muss innerhalb von 3 Monaten über die ergriffenen Maßnahmen informiert werden.
  • Bidirektionale Kommunikation ermöglichen (§ 17 Abs. 3) Rückfragen an den Hinweisgeber müssen möglich sein — auch wenn er anonym bleiben möchte.
  • Schriftliche und mündliche Meldungen akzeptieren (§ 16 Abs. 3) Neben schriftlichen müssen auch mündliche Meldungen (Telefon, persönliches Gespräch) möglich sein. Bei mündlichen Meldungen gelten besondere Dokumentationspflichten.
  • Unabhängigkeit der meldungsbearbeitenden Person sicherstellen (§ 15) Die Personen, die Meldungen entgegennehmen und bearbeiten, müssen in ihrer Funktion unabhängig sein und Interessenkonflikte vermeiden.

Die Fristen im Überblick

Frist Rechtsgrundlage Inhalt
7 Tage § 17 Abs. 1 Eingangsbestätigung der Meldung gegenüber dem Hinweisgeber
3 Monate § 17 Abs. 2 Rückmeldung über geplante und ergriffene Folgemaßnahmen
Unverzüglich § 16 Abs. 1 Prüfung der Stichhaltigkeit der Meldung
3 Jahre § 12 Abs. 3 / DSGVO Aufbewahrungspflicht für Meldungen; danach DSGVO-konforme Löschung

Was darf und was muss gemeldet werden?

§ 2 HinSchG definiert den sachlichen Anwendungsbereich. Meldungen sind geschützt, wenn sie Verstöße gegen:

  • EU-Recht (Finanzdienstleistungen, Verbraucherschutz, Produktsicherheit, Umweltschutz, Lebensmittelsicherheit, öffentliche Gesundheit, Datenschutz, Netzwerk- und Informationssicherheit, Wettbewerb, Unternehmensbesteuerung)
  • Deutsches Strafrecht (Straftaten)
  • Deutsches Ordnungswidrigkeitenrecht, wenn die Zuwiderhandlung bußgeldbewehrt ist und dem Schutz des Lebens, der Gesundheit oder der Rechte von Personen dient

Nicht umfasst sind rein interne Streitigkeiten (z. B. Arbeitszeiten, Urlaub), es sei denn, es liegt ein Verstoß gegen eine der o. g. Normen vor.

Technische Anforderungen an die Software

Das HinSchG macht keine direkten Vorgaben zu technischen Details, aber aus dem Zusammenspiel von § 8 (Vertraulichkeit), § 16 (Kanalgestaltung) und der DSGVO ergeben sich folgende Anforderungen an eine Softwarelösung:

Vertraulichkeit und Anonymität

Die Software darf keine personenidentifizierenden Daten ohne Einwilligung erheben. Das bedeutet: keine IP-Adressen, keine Browser-Fingerprints, keine erzwungene E-Mail-Eingabe. OpenWhistle speichert keine IP-Adressen an keiner Stelle im System — weder in der Datenbank, noch in Logs.

Datensparsamkeit und Löschpflicht

Art. 5 DSGVO und § 26 HinSchG verpflichten zur Datenlöschung. Nach Abschluss eines Falls und Ablauf der gesetzlichen Aufbewahrungsfristen müssen alle Daten gelöscht werden. OpenWhistle bietet ein konfigurierbares Retention-System, das dies automatisch umsetzt.

Zugriffsschutz

Nur befugte Personen dürfen auf Meldungen zugreifen. Mehrstufige Authentifizierung für Admin-Konten ist Pflicht — OpenWhistle erzwingt TOTP für jeden Admin-Account ohne Ausnahme.

Datenverschlüsselung

Meldungsinhalte sollten at-rest verschlüsselt gespeichert werden. OpenWhistle implementiert Envelope Encryption: Jede Meldung erhält einen eigenen Datenverschlüsselungsschlüssel (DEK), der selbst verschlüsselt in der Datenbank liegt. Der Master-Schlüssel ist nie in der Datenbank.

Checkliste: HinSchG-Compliance in 10 Schritten

  • Pflicht prüfenSind Sie ein Unternehmen ab 50 Mitarbeitern oder eine Behörde? Finanzsektor-Unternehmen auch darunter.
  • Verantwortliche Person benennenWer bearbeitet Meldungen? Diese Person muss unabhängig und zur Verschwiegenheit verpflichtet sein (§ 15).
  • Software auswählen und installierenOpenWhistle bietet eine vollständige, DSGVO-konforme Lösung für den schriftlichen Kanal (§ 16 Abs. 3).
  • Telefonischen Kanal einrichten§ 16 Abs. 3 Nr. 2 verlangt auch die Möglichkeit mündlicher Meldungen. Klären Sie, ob Telefon oder persönliches Gespräch umgesetzt wird. OpenWhistle bietet einen Compliance-Guide für telefonische Kanäle.
  • Mitarbeiter informieren§ 13 HinSchG verpflichtet zur Information der Beschäftigten über die Existenz der Meldestelle und deren Nutzung.
  • Prozesse für Fristenüberwachung definieren7-Tage- und 3-Monats-Fristen müssen zuverlässig überwacht werden. OpenWhistle berechnet diese automatisch und zeigt verbleibende Tage im Dashboard.
  • Datenschutzerklärung aktualisierenDie Datenverarbeitung im Rahmen des Hinweisgeberschutzes muss in der Datenschutzerklärung dokumentiert werden.
  • Betriebsrat einbinden (falls vorhanden)Bei der Einführung einer Überwachungssoftware für Arbeitnehmer hat der Betriebsrat Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG). Dies gilt ggf. auch für Hinweisgebersysteme.
  • Aufbewahrungsfristen und Löschkonzept festlegenDefinieren Sie, wie lange Meldungen aufbewahrt werden (mindestens bis Abschluss + angemessene Frist; max. 3 Jahre nach gängiger Auslegung). Konfigurieren Sie OpenWhistles Retention-System entsprechend.
  • Regelmäßige ÜberprüfungÜberprüfen Sie jährlich, ob alle Prozesse noch den aktuellen gesetzlichen Anforderungen entsprechen. Das HinSchG kann durch EU-Initiativen weiterentwickelt werden.

OpenWhistle: Die kostenlose HinSchG-Lösung

Alle Anforderungen des HinSchG §§ 16–18 — implementiert, getestet, dokumentiert. Selbst gehostet, DSGVO-konform, kein Anbieter-Lock-in.

Live-Demo testen →

Häufige Fragen

Was passiert, wenn wir keine Meldestelle einrichten?

§ 40 HinSchG sieht Bußgelder von bis zu 50.000 € für vorsätzliche und fahrlässige Verstöße gegen zentrale Pflichten des Gesetzes vor. Darüber hinaus riskieren Sie Reputationsschäden und mögliche zivilrechtliche Haftung gegenüber Hinweisgebern, deren Meldungen nicht ordnungsgemäß bearbeitet wurden.

Können wir einen externen Anbieter beauftragen?

Ja, § 14 HinSchG erlaubt die Einschaltung Dritter (z. B. Rechtsanwälte, spezialisierte Dienstleister) für die Einrichtung und den Betrieb der Meldestelle. Bei SaaS-Lösungen ist jedoch zu prüfen, ob ein Datentransfer in Drittländer (außerhalb EU/EWR) erfolgt und welche DSGVO-Rechtsgrundlage gilt.

Gilt das HinSchG für Konzerngesellschaften?

Jede rechtlich eigenständige Gesellschaft ab 50 Mitarbeitern muss eine eigene Meldestelle einrichten oder einem Konzernmeldesystem beitreten. Unternehmen mit 50–249 Mitarbeitern können sich eine gemeinsame Meldestelle teilen (§ 14 Abs. 2 HinSchG). OpenWhistles Multi-Tenancy-Feature unterstützt genau diesen Anwendungsfall.

Weitere Ressourcen: Schritt-für-Schritt-Anleitung zur Installation · Software-Vergleich: OpenWhistle vs. kommerzielle Tools · HinSchG Volltext (gesetze-im-internet.de)