Hinweisgeberschutzgesetz – Meldestellen für Whistleblower

Seit Juli 2023 gilt das Hinweisgeberschutzgesetz (HinSchG) in Deutschland – ein Gesetz, das Unternehmen dazu verpflichtet, interne Meldestellen für sogenannte „Whistleblower“ einzurichten. Betroffen sind alle Unternehmen ab 50 Mitarbeitenden – unabhängig von Branche oder Rechtsform. Wer die Anforderungen nicht umsetzt, riskiert empfindliche Bußgelder von bis zu 50.000 Euro. Doch das ist nur ein Teil der Konsequenzen, denn auch das Vertrauen von Mitarbeitenden, Partnern und Kunden steht auf dem Spiel.

 

Icon Good to know

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG), umgangssprachlich auch Whistleblower-Gesetz, soll Personen schützen, die auf Missstände in Unternehmen oder Behörden hinweisen – etwa auf Verstöße gegen Gesetze, Datenschutz, Umweltvorgaben oder Korruption.

Diese Hinweisgeber (Whistleblower) sind oft einem hohen persönlichen Risiko ausgesetzt. Das HinSchG schafft deshalb einen verbindlichen Rahmen, der sie vor Benachteiligung oder Repressalien schützt und verpflichtet Unternehmen dazu, sichere Kanäle zur Meldung von Missständen bereitzustellen.


Wer ist vom Whistleblower-Gesetz betroffen?

Das Gesetz betrifft Unternehmen mit mindestens 50 Mitarbeitenden. Die 50-Personen-Grenze bezieht sich auf alle Beschäftigten – auch Teilzeitkräfte zählen anteilig dazu.

Die Verpflichtung zur Einrichtung einer internen Meldestelle gilt ab:

  • Dezember 2023 für Unternehmen mit 50 bis 249 Mitarbeitenden (Übergangsfrist).
  • Bereits seit Juli 2023 für Unternehmen ab 250 Mitarbeitenden.

Auch öffentliche Stellen, Vereine, Stiftungen und gemeinnützige Organisationen sind unter bestimmten Voraussetzungen betroffen.


Welche Verstöße können in der Meldestelle erfasst werden?

Gemäß dem Hinweisgeberschutzgesetz (HinSchG) können Personen Hinweise auf rechtswidriges Verhalten oder Missstände im beruflichen Kontext melden.

Dazu zählen unter anderem Verstöße gegen Strafvorschriften, Ordnungswidrigkeiten mit Gefährdung von Leben, Gesundheit oder Umwelt, sowie Verletzungen von Vorschriften im Bereich des Arbeits-, Gesundheits-, Verbraucher- oder Datenschutzes. Auch Korruption, Geldwäsche, Diskriminierung oder Verstöße gegen das EU-Recht, etwa zu Produktsicherheit, Transport, öffentliche Auftragsvergabe oder Finanzdienstleistungen, fallen darunter. Die gemeldeten Hinweise müssen einen Bezug zur beruflichen Tätigkeit oder zum Unternehmen haben und sachlich begründet sein. Reine persönliche Beschwerden ohne Rechtsbezug (z. B. zwischenmenschliche Konflikte ohne Gesetzesverstoß) sind nicht geschützt.

 


So können Unternehmen das Hinweisgeberschutzgesetz umsetzen

Schritt 1: Gap-Analyse
Mittels Gap-Analyse können betroffene Unternehmen ermitteln, ob ein Hinweisgebersystem bereits existiert und ob es hinreichend den Anforderungen des Hinweisgeberschutzgesetzes entspricht. Auch Optimierungspotenziale werden so deutlich.

Schritt 2: Interne Meldestelle einrichten oder optimieren
Falls noch nicht vorhanden, müssen Unternehmen einen sicheren und vertraulichen internen Meldekanal etablieren, der schriftliche (z. B. E-Mail, Plattform, Post) oder mündliche Meldungen (z. B. Hotline, Anrufbeantworter) ermöglicht.  

Schritt 3: Eingehende Meldungen prüfen und bearbeiten
Jede Meldung ist vollständig zu dokumentieren, inhaltlich zu prüfen und es sind angemessene Folgeprozesse einzuleiten. Innerhalb von sieben Tagen ist eine Eingangsbestätigung zu versenden, und spätestens nach drei Monaten muss der Hinweisgeber über den Bearbeitungsstand informiert sein.

Schritt 4: Vertraulichkeit sicherstellen
Gemäß § 8 HinSchG darf ausschließlich ein eng begrenzter, autorisierter Personenkreis (z. B. Compliance, Datenschutzbeauftragte) Zugriff auf die Meldung und Identität haben. Eine offizielle Verpflichtung zur Verschwiegenheit der zuständigen Bearbeiter:innen ist empfohlen.

Schritt 5: Schutz vor Repressalien garantieren
Das Unternehmen muss Hinweisgebern garantieren, dass ihnen weder Kündigung, Abmahnung, Versetzung, Mobbing noch andere Nachteile aufgrund ihrer Meldung entstehen. Im Fall eines Rechtsstreits gilt: Das Unternehmen trägt die Beweislast, dass keine Repressalien erfolgt sind.

Schritt 6: Dokumentation und Löschung regeln
Alle eingegangenen Hinweise müssen sicher und vertraulich dokumentiert werden. Gleichzeitig schreibt das Gesetz vor, dass Meldungen spätestens nach drei Jahren gelöscht werden, solange keine längere Speicherung zur Aufklärung erforderlich ist.


Wie werden Hinweisgeber geschützt?

Unternehmen müssen Hinweisgeber aktiv vor Repressalien schützen – das fordert das Hinweisgeberschutzgesetz. Doch was bedeutet das in der Umsetzung?

Wer einen berechtigten Hinweis gibt, darf keine Kündigung, Abmahnung, Versetzung, Mobbing oder sonstige Nachteile befürchten. Arbeitgebende dürfen Hinweisgeber nicht benachteiligen, nur weil sie einen Verstoß gemeldet haben. Zudem sieht das Gesetz eine Beweislastumkehr vor: Im Streitfall muss der Arbeitgebende nachweisen, dass eine Maßnahme nicht im Zusammenhang mit der Meldung stand. Der Schutz gilt auch für Personen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Hinweisgeber in Verbindung stehen – etwa Kolleg:innen oder Betriebsräte. Wichtig ist jedoch, dass der Hinweis nach bestem Wissen und in guter Absicht erfolgt. Wer vorsätzlich Falschmeldungen abgibt, genießt keinen Schutz und muss mit Konsequenzen rechnen.


Welche Lösungen gibt es für interne Meldestellen?

 

Je nach Größe des Unternehmens, vorhandenen Ressourcen und interner Struktur, stehen für die Umsetzung des Hinweisgeberschutzgesetzes einige Optionen zur Verfügung.

Interne Lösung
Ein klassischer Ansatz ist die Einrichtung einer internen Meldestelle innerhalb des Unternehmens. Hierfür wird eine vertrauliche Anlaufstelle geschaffen, die Meldungen entgegennimmt, dokumentiert und bearbeitet. Voraussetzung ist, dass das zuständige Personal entsprechend geschult ist – insbesondere im Umgang mit sensiblen Informationen, in rechtlichen Fragen und in der Kommunikation mit Hinweisgebern. Diese Lösung eignet sich vor allem für größere Unternehmen mit ausreichenden personellen Kapazitäten.

Externe Ombudsstelle
Gerade kleine und mittlere Unternehmen (KMU), die intern nicht über die nötige Fachkompetenz oder Kapazität verfügen, greifen häufig auf externe Ombudsstellen zurück. Dabei handelt es sich um spezialisierte Dienstleister wie Nextwork, die im Auftrag des Unternehmens als unabhängige und neutrale Instanz Hinweise entgegennehmen, prüfen und Rückmeldungen geben.

Digitale Hinweisgebersysteme
Eine Alternative dazu sind digitale Hinweisgebersysteme. Die Softwarelösungen bieten ein webbasiertes Meldeportal, das Hinweisgeber anonym oder namentlich nutzen können. Sie beinhalten Funktionen wie Fristenmanagement, automatisierte Eingangsbestätigungen, strukturierte Fallbearbeitung und Datenschutzkonformität nach DSGVO und HinSchG. Viele Systeme ermöglichen zudem eine revisionssichere Dokumentation und rollenbasierte Zugriffsrechte.


Was droht beim Verstoß gegen das HinSchG?

Wer gegen das Hinweisgeberschutzgesetz verstößt, muss mit Konsequenzen rechnen:

  • Bußgelder bis zu 50.000 Euro, etwa bei unterlassener Einrichtung einer Meldestelle
  • Vertrauensverlust bei Mitarbeitenden und Geschäftspartnern
  • Haftungsrisiken für Geschäftsführung und Compliance-Verantwortliche
  • Erhöhtes Risiko öffentlicher Skandale, wenn sich Whistleblower direkt an externe Stellen oder Medien wenden