Zum Inhalt springen
SIKKER GmbH

Hinweisgebersystem: Gesetzeskonforme Meldestelle ohne Risiko

Ab 50 Beschäftigten Pflicht. Bußgelder bis 50.000 Euro. Fristen ab sieben Tagen. Die SIKKER GmbH baut Ihre interne Meldestelle auf und übernimmt auf Wunsch den laufenden Betrieb, damit Sie HinSchG-konform bleiben, ohne Personal oder Software selbst vorhalten zu müssen.

Kostenlose Erstberatung Anforderungen im Überblick

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower-Richtlinie (EU 2019/1937) in deutsches Recht um und schützt Personen, die Verstöße gegen geltendes Recht in ihrem beruflichen Umfeld melden. Unternehmen werden im Gegenzug verpflichtet, sichere und vertrauliche Meldekanäle bereitzustellen.

Wer die gesetzlichen Schwellenwerte überschreitet, muss eine interne Meldestelle einrichten, den Eingang einer Meldung innerhalb von sieben Tagen bestätigen und spätestens nach drei Monaten eine Rückmeldung geben. Verstöße werden mit Bußgeldern bis zu 50.000 Euro geahndet. Da Meldungen regelmäßig personenbezogene Daten enthalten, greifen parallel die Anforderungen aus Compliance Management und Datenschutz.

HinSchG auf einen Blick

  • Grundlage: EU-Richtlinie 2019/1937
  • In Kraft seit: 2. Juli 2023
  • Schwellenwert: Ab 50 Beschäftigte (seit 17. Dezember 2023)
  • Eingangsbestätigung: Innerhalb von 7 Tagen
  • Rückmeldung: Innerhalb von 3 Monaten
  • Bußgeldrahmen: Bis zu 50.000 Euro

Wer braucht ein Hinweisgebersystem?

Das HinSchG unterscheidet zwei Gruppen von Unternehmen mit gestaffelten Umsetzungsfristen. Seit dem 17. Dezember 2023 gilt die Pflicht zur Einrichtung einer internen Meldestelle für alle Unternehmen ab 50 Beschäftigten.

Ab 250 Beschäftigte

Pflicht seit 2. Juli 2023. Strengere Anforderungen, keine gemeinsame Meldestelle zulässig.

  • Eigene interne Meldestelle verpflichtend
  • Schriftliche und mündliche Meldekanäle
  • Vertraulichkeitsschutz für Hinweisgeber
  • Lückenlose Dokumentation aller Meldungen
  • Benennung einer zuständigen Person oder Stelle

Ab 50 Beschäftigte

Pflicht seit 17. Dezember 2023. Gleiche Grundpflichten, aber mehr Flexibilität bei der Umsetzung.

  • Gleiche Pflichten wie bei ab 250 Beschäftigten
  • Gemeinsame Meldestelle mit anderen Unternehmen möglich
  • Auslagerung an externe Dritte zulässig
  • Digitale Meldesysteme als kostengünstige Option
  • Übergangszeit abgelaufen: Pflicht gilt uneingeschränkt

Auch Unternehmen unterhalb der Schwellenwerte können freiwillig ein Hinweisgebersystem einrichten. Ein funktionierendes Meldesystem stärkt die Compliance-Kultur und kann Risiken frühzeitig sichtbar machen.

Meldestelle einrichten: Ihre Optionen

Das HinSchG schreibt die Einrichtung einer internen Meldestelle vor, lässt Unternehmen aber Spielraum bei der konkreten Umsetzung. Die folgenden drei Ansätze lassen sich auch kombinieren.

01

Interne Meldestelle

Eine oder mehrere Personen innerhalb des Unternehmens werden als Meldestellenbeauftragte benannt. Sie müssen unabhängig arbeiten, über Fachkunde verfügen und dürfen keinem Interessenkonflikt unterliegen. Geeignet für Unternehmen mit bestehender Compliance-Abteilung.

02

Externe Meldestelle

Das Unternehmen beauftragt einen externen Dritten, typischerweise eine Rechtsanwaltskanzlei oder einen spezialisierten Dienstleister, mit dem Betrieb der Meldestelle. Die Verantwortung bleibt beim Unternehmen, der operative Betrieb liegt beim Dienstleister. Besonders geeignet für KMU.

03

Digitales Hinweisgebersystem

Eine softwarebasierte Plattform ermöglicht Hinweisgebern, Meldungen schriftlich oder mündlich abzugeben. Vorteile: Anonymität, durchgängige Dokumentation, automatische Fristenverwaltung und Nachverfolgung. Digitale Systeme lassen sich mit internem oder externem Personal kombinieren.

Anforderungen an ein Hinweisgebersystem nach dem HinSchG

Das Hinweisgeberschutzgesetz definiert konkrete Anforderungen an Aufbau und Betrieb der internen Meldestelle. Die folgenden Punkte müssen Unternehmen nachweisbar erfüllen.

  1. 1

    Vertraulichkeit der Identität

    Die Identität des Hinweisgebers und der in der Meldung genannten Personen muss vertraulich behandelt werden. Nur die für die Bearbeitung zuständigen Personen dürfen Zugang zu diesen Informationen haben. Ein Verstoß gegen die Vertraulichkeitspflicht stellt eine Ordnungswidrigkeit dar.

  2. 2

    Eingangsbestätigung innerhalb von 7 Tagen

    Der Hinweisgeber muss innerhalb von sieben Tagen nach Eingang der Meldung eine Bestätigung erhalten. Automatisierte digitale Systeme können diese Frist zuverlässig einhalten und den Prozess dokumentieren.

  3. 3

    Rückmeldung innerhalb von 3 Monaten

    Spätestens drei Monate nach der Eingangsbestätigung ist der Hinweisgeber über ergriffene oder geplante Folgemaßnahmen zu informieren. Eine strukturierte Fallbearbeitung mit klaren Zuständigkeiten ist daher unverzichtbar.

  4. 4

    Schutz vor Repressalien

    Hinweisgeber dürfen wegen ihrer Meldung nicht benachteiligt werden. Das Gesetz verbietet Kündigung, Abmahnung, Versetzung und jede andere Form der Vergeltung. Die Beweislast liegt beim Arbeitgeber: Er muss nachweisen, dass eine Maßnahme nicht im Zusammenhang mit der Meldung steht.

  5. 5

    Dokumentation und Aufbewahrung

    Alle Meldungen und Folgemaßnahmen sind zu dokumentieren und drei Jahre nach Abschluss des Verfahrens aufzubewahren. Die Dokumentation muss die Anforderungen des Datenschutzes erfüllen, insbesondere hinsichtlich der Speicherung personenbezogener Daten.

  6. 6

    Zugänglichkeit und Barrierefreiheit

    Die Meldestelle muss für alle Beschäftigten zugänglich sein. Das HinSchG verlangt die Möglichkeit schriftlicher und mündlicher Meldungen. Auf Wunsch des Hinweisgebers ist auch ein persönliches Treffen innerhalb einer angemessenen Frist zu ermöglichen.

Häufig gestellte Fragen

Wie lange dauert die Einrichtung eines Hinweisgebersystems?

Mit externer Unterstützung ist eine interne Meldestelle in der Regel in sechs bis acht Wochen einsatzbereit. Zu den Schritten gehören die Auswahl des Meldekanals, die Erstellung von Richtlinien und Verfahrensdokumentation, die Benennung und Schulung der Meldestellenbeauftragten sowie die technische Umsetzung. Bei Nutzung einer bereits vorhandenen digitalen Meldeplattform verkürzt sich die Umsetzungszeit deutlich.

Wer braucht ein Hinweisgebersystem?

Seit dem 17. Dezember 2023 sind alle Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle verpflichtet. Unternehmen ab 250 Beschäftigten unterliegen dieser Pflicht bereits seit dem 2. Juli 2023. Bestimmte Branchen, etwa der Finanzsektor, unterliegen unabhängig von der Beschäftigtenzahl der Meldepflicht.

Ist ein Hinweisgebersystem gesetzlich vorgeschrieben?

Ja. Das Hinweisgeberschutzgesetz (HinSchG) schreibt die Einrichtung einer internen Meldestelle für Unternehmen ab 50 Beschäftigten verbindlich vor. Ein Verstoß gegen diese Pflicht kann mit einem Bußgeld von bis zu zwanzigtausend Euro geahndet werden. Wird eine Meldung behindert oder ein Hinweisgeber benachteiligt, drohen Bußgelder von bis zu fünfzigtausend Euro.

Welche Systemtypen für Hinweisgebersysteme gibt es?

Unternehmen können zwischen drei Grundmodellen wählen: einer internen Meldestelle mit eigenem Personal, der Beauftragung eines externen Dienstleisters (z.B. Ombudsperson) oder einer digitalen Meldeplattform. Die Modelle lassen sich kombinieren. Unternehmen mit 50 bis 249 Beschäftigten dürfen sich zudem eine gemeinsame Meldestelle mit anderen Unternehmen teilen.

Was kann über ein Hinweisgebersystem gemeldet werden?

Das HinSchG erfasst Meldungen über Verstöße gegen Strafvorschriften, Bußgeldvorschriften (soweit sie dem Schutz von Leben, Leib oder Gesundheit dienen) sowie gegen bestimmte EU-Rechtsakte. Dazu gehören unter anderem Verstöße in den Bereichen Geldwäsche, Produktsicherheit, Umweltschutz, Verbraucherschutz und Datenschutz.

Welche Fristen gelten nach dem Hinweisgeberschutzgesetz?

Die Meldestelle muss den Eingang einer Meldung innerhalb von sieben Tagen bestätigen. Innerhalb von drei Monaten nach der Eingangsbestätigung muss eine Rückmeldung über ergriffene oder geplante Folgemaßnahmen erfolgen. Die Dokumentation der Meldung ist drei Jahre nach Abschluss des Verfahrens aufzubewahren.

Verwandte Leistungen

Ein Hinweisgebersystem steht nicht isoliert. Diese Leistungen ergänzen den Hinweisgeberschutz sinnvoll.

Compliance Management

Aufbau und Pflege eines Compliance-Management-Systems. Strukturen, Richtlinien und Prozesse für regelkonformes Handeln in Ihrem Unternehmen.

Mehr erfahren

Datenschutzberatung

DSGVO-konforme Prozesse, Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzungen. Datenschutz als integraler Bestandteil Ihrer Compliance.

Mehr erfahren

Externer Datenschutzbeauftragter

Fachkundige Besetzung der DSB-Rolle ohne eigene Vollzeitstelle. DSGVO-konform, praxiserprobt und mit direktem Bezug zum Hinweisgeberschutz.

Mehr erfahren

Ihr Partner für Hinweisgeberschutz

Die SIKKER GmbH bündelt Hinweisgeberschutz, Compliance und Datenschutz in einem Team. Von Leipzig aus betreuen wir Unternehmen bundesweit mit festen Ansprechpartnern und regulatorischer Fachkunde in allen drei Themenfeldern.

Drei Leistungen für Ihr Hinweisgebersystem:

  • Beratung: Auswahl des passenden Modells (intern, extern, digital) und Prüfung Ihrer bestehenden Prozesse.
  • Aufbau: Einrichtung der Meldestelle, Richtlinien, Schulung der Meldestellenbeauftragten.
  • Betrieb: Übernahme als externe Meldestelle, Fallbearbeitung und gesetzeskonforme Dokumentation.

Mehr über unser Team erfahren.

SIKKER GmbH

Informationssicherheit, Datenschutz & Compliance

ISO 27001 DSGVO NIS-2 BCM KI-Compliance

Hinweisgebersystem einrichten lassen

Wir beraten Sie zur Auswahl, Einrichtung und zum Betrieb eines gesetzeskonformen Hinweisgebersystems nach dem HinSchG.

Jetzt Erstberatung anfragen