HinSchG Wirksamkeits-Selbstprüfung 2026: 12 Audit-Punkte für Compliance-Officer

Warum eine Wirksamkeits-Selbstprüfung sinnvoll ist

Auch ohne Pflicht: Eine strukturierte jährliche Selbstprüfung der internen Meldestelle ist Stand der Compliance-Praxis und Bestandteil jedes ISO 37301-konformen Compliance-Management-Systems (Klausel 9 — „Performance evaluation"). Sie bündelt Nachweise für Aufsichtsanfragen (BfJ § 19, BaFin § 21, Bundeskartellamt § 22) und reduziert das Innenhaftungs-Risiko der Geschäftsleitung im Schadensfall. Aufwand: 1–3 PT intern oder 3–5 PT extern.

Die 12 Punkte im Detail

1. Eingangsbestätigung 7-Tage-Frist eingehalten?

§ 17 Abs. 1 HinSchG verlangt Eingangsbestätigung binnen 7 Tagen. Prüfung: Stichprobe aus 10 Meldungen der letzten 12 Monate — Datum Eingang vs. Datum Bestätigung. Lücken: dokumentieren + Workflow-Anpassung.

2. Rückmeldung 3-Monate-Frist?

§ 17 Abs. 2 HinSchG: inhaltliche Rückmeldung an Hinweisgeber binnen 3 Monaten. Prüfung: gleiche 10er-Stichprobe — Datum Rückmeldung. Häufigster Mangel laut Praxis: Fristüberschreitung bei komplexen Fällen ohne Zwischenbescheid.

3. Vertraulichkeit § 8 dokumentiert?

§ 8 HinSchG: Identitätsschutz Hinweisgeber + betroffener Personen. Prüfung: Vertraulichkeitskonzept liegt schriftlich vor? RBAC-Rollen dokumentiert? Audit-Trail Zugriffe auf Meldungs-Daten? HR-Trennung von Meldestelle? Verschwiegenheits-Erklärungen aller Beteiligten signiert?

4. Anonyme Meldungen (seit 01.01.2025) bearbeitbar?

§ 16 Abs. 1 S. 4 HinSchG i.V.m. § 42: Pflicht zur Bearbeitung anonymer Meldungen seit 01.01.2025. Prüfung: Anonymer Eingangskanal funktional? Anonymer Rückkanal funktional (z.B. Postbox, Nummer)? Test-Meldung End-to-End durchgeführt? Top-Befund laut Praxis: ca. 70 % der Selbstprüfungen finden den anonymen Rückkanal nicht funktional.

5. Repressalienverbot § 36 in Verfahrens-DSFA?

§ 36 HinSchG: Repressalienverbot mit Beweislastumkehr. Prüfung: Verfahrens-DSFA für die Meldestelle (Art. 35 DSGVO) liegt vor? Dort dokumentiert: HR-Maßnahmen nach Meldung müssen mit Unabhängigkeits-Nachweis dokumentiert werden? Schulung HR + Führungskräfte zum Repressalien-Verbot dokumentiert?

6. 3-Jahres-Aufbewahrung dokumentiert?

§ 11 HinSchG: Meldedokumentation drei Jahre nach Verfahrensabschluss aufbewahren; danach löschen (Art. 5 DSGVO). Prüfung: Aufbewahrungs-Konzept schriftlich? Lösch-Routine implementiert? Sample älterer Fälle: tatsächlich gelöscht?

7. Fachkundenachweis Meldebeauftragte?

§ 15 Abs. 2 HinSchG: Meldebeauftragte müssen die für die Tätigkeit notwendige Fachkunde besitzen. Prüfung: Schulungs-Zertifikate vorhanden? Schulung jünger als 3 Jahre (Praxis-Empfehlung)? Refresher dokumentiert?

8. Schulung der Beschäftigten dokumentiert?

§ 13 HinSchG: Information der Beschäftigten über das Meldeverfahren. Prüfung: Aushang/Intranet-Information aktuell? Onboarding-Material enthält Meldestellen-Informationen? Schulungs-Quote nachweisbar (Teilnehmer-Listen)?

9. Drei Meldekanäle (mündlich, schriftlich, persönlich)?

§ 16 HinSchG: drei Eingangskanäle Pflicht — mündlich, schriftlich, persönliches Treffen auf Verlangen. Prüfung: Test-Meldung über jeden Kanal durchgeführt? Persönliches Treffen wird tatsächlich angeboten (nicht nur theoretisch)? Erreichbarkeits-Zeiten dokumentiert?

10. AVV mit ggf. externem Ombudsmann?

Bei Auslagerung der Meldestelle (Anwaltskanzlei, Ombudsmann, Software-Anbieter): Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Prüfung: AVV liegt vor? Drittland-Klauseln (SCCs) bei Anbieter mit Server außerhalb EU? TOM-Nachweis vom Auftragsverarbeiter?

11. Konzern-Hybrid-Lösung dokumentiert?

EU-Vertragsverletzungsverfahren INFR(2024)0157: Konzern-Auslagerung nach § 14 HinSchG umstritten. Prüfung: Bei Konzern-Lösung: schriftliche Vereinbarung zwischen Konzern-Gesellschaften? Hybrid-Modell (Tochter behält eigene Meldestelle + Konzernstelle als Dritter) dokumentiert? Schwellenwerte je Legaleinheit eingehalten?

12. Jahresbericht an GF erstellt?

Best-Practice GF-Reporting + ISO 37301 Klausel 9: Prüfung: Jahresbericht mit Statistik (Meldevolumen, Kategorien, Auflösungs-Quote, Frist-Einhaltung)? Lessons-Learned-Sektion? Maßnahmen-Plan mit Verantwortlichen + Fristen? GF-Sign-Off dokumentiert?