href="https://compliance-kit.eu/wissen/hinschg-konzern-meldestelle.html">

HinSchG Konzern-Meldestelle: was zulässig ist (2026)

· · Kategorie: HinSchG · Konzern
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • § 14 HinSchG erlaubt Konzern-Meldestelle — aber EU-Kommission hat dies als nicht richtlinienkonform beanstandet
  • Drei Modelle: Zentral (riskant), Dezentral (aufwändig), Hybrid (empfohlen)
  • Hybridmodell: jede Tochter mit formaler Meldestelle, operativ an Konzern-Zentrale delegiert
  • DSGVO: Joint-Controller-Vereinbarung nach Art. 26 zwischen Konzern-Gesellschaften erforderlich
  • DACH-Konzern: separate Berücksichtigung von AT (§ 4 Abs. 4 HSchG) und CH (kein WB-Gesetz, OR-Vertraulichkeit)

1. § 14 HinSchG: Konzern-Meldestelle

§ 14 Abs. 1 HinSchG: „Verbundene Unternehmen können eine gemeinsame interne Meldestelle einrichten und betreiben." Die Norm war Teil der ursprünglichen HinSchG-Verabschiedung 2023 — eine Reaktion auf den DAX-Konzern-Druck nach Effizienz-Lösungen.

Voraussetzungen:

Wer eine Konzern-Lösung aufbauen will, findet im HinSchG-Kit eine Konzernrichtlinie-Vorlage, ein Hybridmodell-Setup-Schema und Joint-Controller-Vereinbarungen für DSGVO Art. 26.

2. Die EU-Kommissions-Beanstandung

Im Vertragsverletzungsverfahren INFR(2024)0157 vom 23.05.2024 hat die EU-Kommission Deutschland gerügt: § 14 HinSchG erlaube eine Auslagerung der internen Meldestelle vom Tochterunternehmen zur Konzernzentrale, was nicht der RL (EU) 2019/1937 entspreche. Die Richtlinie verlange eine Meldestelle pro juristischer Person mit ≥50 Beschäftigten.

Stand 04/2026: BMJ verteidigt § 14 in seiner aktuellen Fassung; Klage vor EuGH ist möglich. Bis zur Klärung gilt: Konzern-Meldestelle nach § 14 ist national legal — aber EU-Konformität nicht garantiert.

3. Drei Modelle im Vergleich

ModellEU-KonformitätEffizienzKostenGeeignet für
ZentralUNSICHER (EU-Kommission rügt)HochNiedrigKonzerne mit hoher Risikoakzeptanz
DezentralEU-konformNiedrigHochKonzerne mit <5 Töchtern
HybridEU-konformMittel-HochMittelEMPFEHLUNG für Konzerne ≥5 Töchter

4. Das Hybridmodell — Praxis-Empfehlung

Aufbau:

  1. Konzern-Meldestelle in der Zentrale — operativ tätig, fachlich qualifiziertes Team
  2. Lokale Anlaufstelle pro Tochter — formell eingerichtet, kann eine Person (HR-Leitung, Compliance-Officer) oder eine externe Vertrauensperson sein
  3. Delegationsvertrag zwischen Tochter und Konzern-Zentrale — operative Bearbeitung wird an Zentrale delegiert, formelle Verantwortung bleibt bei Tochter
  4. Joint-Controller-Vereinbarung nach Art. 26 DSGVO für Datenaustausch
  5. Wahlfreiheit für Hinweisgeber — kann sich an lokale Anlaufstelle ODER zentrale Konzern-Meldestelle wenden

5. Konzern-Meldestelle in AT/CH

Österreich: § 4 Abs. 4 HSchG hat eine eigene Konzernregelung — strengere Anforderungen als § 14 HinSchG. Pflicht zur Eigen-Meldestelle der Tochter bleibt bestehen, Konzern-Lösung nur als ergänzende Option.

Schweiz: Kein eigenes Whistleblower-Schutzgesetz. Geltend sind Art. 321a OR (Vertraulichkeitspflicht) und Art. 336 OR (missbräuchliche Kündigung). Konzern-Meldestelle möglich, aber kein Schutz vor arbeitsrechtlichen Folgen wie in DE/AT.

6. 6-Schritte-Checkliste Konzern-Aufbau

  1. Konzernstruktur kartieren: alle juristischen Personen mit ≥50 MA identifizieren — Pflicht-Tatbestand HinSchG
  2. Modell wählen: Hybrid empfohlen; Risiko-Abwägung Zentral vs. Dezentral
  3. Konzernrichtlinie aufsetzen: Verfahren, Verantwortlichkeiten, Eskalation, Rückmeldungs-Workflows
  4. Lokale Anlaufstellen benennen: pro Tochter mind. 1 Person, mit Schulung nach § 15 Abs. 2
  5. Joint-Controller- + DSFA-Vereinbarung: DSGVO-Schnittstelle
  6. Belegschaftsinformation: § 13 HinSchG — beide Meldewege (lokal + Konzern) dokumentiert kommunizieren

Häufig gestellte Fragen

Erlaubt § 14 HinSchG eine Konzern-Meldestelle?
Ja, ausdrücklich: § 14 Abs. 1 HinSchG erlaubt verbundenen Unternehmen, eine gemeinsame Meldestelle zu betreiben. Voraussetzung: Vereinbarung der beteiligten Unternehmen, Pflicht zur Vorhaltung interner Anlaufstellen bleibt bestehen. Praxis: 70 % der DAX-Konzerne nutzen Konzern-Meldestelle.
Was kritisiert die EU-Kommission?
Die EU-Kommission hat im Vertragsverletzungsverfahren INFR(2024)0157 die deutsche Konzern-Lösung als nicht richtlinienkonform beanstandet. Begründung: § 14 erlaube eine Auslagerung der internen Meldestelle vom Tochterunternehmen zur Konzernzentrale — die EU-RL 2019/1937 verlange jedoch eine Meldestelle pro juristischer Person. Der Streit ist noch anhängig.
Wie kann ich rechtssicher umsetzen?
Hybridmodell: zentrale Konzern-Meldestelle (für Effizienz) + lokale Anlaufstelle pro Tochter (für EU-Konformität). Jede Tochter hat formell eine eigene Meldestelle, die operativ an die Konzern-Meldestelle delegiert ist. Vorteil: EU-konform und effizient. Nachteil: höhere Initial-Setup-Kosten.
Müssen alle Konzern-Töchter eine Meldestelle haben?
Nach EU-RL: ja, jede juristische Person mit ≥50 MA. Nach § 14 HinSchG: nein, Konzern-Lösung möglich. Im Hybridmodell: jede Tochter hat formell eine Meldestelle, operativ wird zentralisiert. Bis Klärung des EU-Streits ist Hybridmodell die sicherste Variante.
Wie ist die DSGVO-Lage bei Konzern-Meldestelle?
Komplex. Konzern-übergreifender Datenaustausch von Meldungs-Inhalten erfordert: Joint-Controller-Vereinbarung nach Art. 26 ODER AVV nach Art. 28 zwischen den Tochterunternehmen und der Zentrale. Bei Drittland-Töchtern (z.B. CH-Tochter eines DE-Konzerns): zusätzlich SCC oder DPF erforderlich.
Was kostet eine Konzern-Meldestelle?
SaaS-Plattform für Konzern: 8.000–25.000 EUR/Jahr (eclectic, EQS, Whistlebox). Externe Ombudsperson für Konzern: 15.000–60.000 EUR/Jahr. Internes Team: ab 80.000 EUR/Jahr (1 FTE). Compliance-Kit HinSchG-Kit: einmalig 990 EUR — alle Vorlagen für Konzernrichtlinie + Hybridmodell.

Quellen

  1. Hinweisgeberschutzgesetz (HinSchG), § 14 Konzern-Meldestelle
  2. Richtlinie (EU) 2019/1937 (Whistleblower-Richtlinie)
  3. EU-Kommission Vertragsverletzungsverfahren INFR(2024)0157
  4. HSchG Österreich, BGBl. I Nr. 6/2023
  5. OR Schweiz, Art. 321a, 336
  6. BMJ, Stellungnahme zu Konzern-Meldestelle 09/2024

Verwandte Artikel

HinSchG · Pillar

HinSchG-Updates 2024–2026

Anonyme Meldungen, Bußgeld-Halbierung, EU-Konzern-Beanstandung.

 DSGVO · Pillar

DSGVO Österreich-Komplettpaket

AT-spezifische DSGVO-Anpassungen.

 HinSchG · Kit

HinSchG Compliance Kit

55 Vorlagen inkl. Konzernrichtlinie und Hybridmodell-Setup.

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. HinSchG Self-Assessment Pruefen Sie Ihre Hinweisgeber-Meldestelle auf Konformitaet zu HinSchG-Novelle 2026.