href="https://compliance-kit.eu/wissen/hinschg-konzern-praxis-hybridmodell.html">

HinSchG Konzern-Praxis: Hybridmodell-Implementierung

· · Kategorie: HinSchG
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • § 14 HinSchG erlaubt Konzern-Meldestelle — aber EU INFR(2024)0157 beanstandet wenn Tochter-MA nicht direkt zugreifen können
  • Hybridmodell: Konzern-Meldestelle plus lokale „Eingangs-Meldestelle" pro Tochter
  • Vertraulichkeit § 8 HinSchG auch zwischen Konzern-Einheiten
  • AVV zwischen Tochter und Konzern für Datenübermittlung Pflicht
  • Beobachtung EU-Verfahren INFR(2024)0157: mögliche § 14-Anpassung erforderlich

Hauptartikel: Hauptartikel: HinSchG Konzern-Meldestelle — der vollständige Pillar-Artikel zum Thema.

1. Zentrale Software als Eingangskanal

Konzern-weite Software (z.B. EQS Enterprise) mit Eingangs-URL. Hinweisgeber wählt Tochter beim Eingang. Anonymität gegeben.

2. Dezentrale Untersuchungs-Beauftragte

Pro Tochter: 1-2 Untersuchungs-Beauftragte mit lokaler Sprache + Kontextwissen. Schulung nach § 15 HinSchG.

3. Workflow zwischen Zentral + Lokal

Eingangs-Triage in Zentrale. Bei lokalem Bezug: Delegation an Tochter mit Vertraulichkeitsschutz. Bei Konzern-Bezug: zentrale Untersuchung.

4. EU-Konformität sicherstellen

Alle 'Drittland'-Bestandteile (US-Hoster) klar dokumentieren. EU-Hosting bevorzugen. Hinweisgeber-Schutz nach § 14 dokumentiert.

5. Plan B falls EuGH gegen § 14 entscheidet

Architektur so bauen, dass dezentrale Meldestellen pro Tochter zusätzlich aktivierbar sind. Zentrale dann auf 'optional' umschalten.

6. Kosten + Aufwand

Software 5-25k EUR/Jahr (je Tenant-Anzahl). Lokale Untersucher: je 0.5 PT/Monat. Zentrale Koordination: 1 PT/Monat.

Häufig gestellte Fragen

Ist das Hybridmodell § 14 HinSchG wirklich noch zulässig?

Stand 04/2026: ja, weiterhin zulässig. Die EU-Kommission hat 03/2024 Beanstandung erhoben (Vertragsverletzungsverfahren), aber bisher KEINE Klage beim EuGH eingereicht. Erwartung: ein EuGH-Urteil frühestens 2027. In der Zwischenzeit gilt § 14 HinSchG fort. Risikomanagement: Hybridmodell so bauen, dass dezentrale Meldestellen pro Tochter sofort aktivierbar sind — also als 'Plan B' vorbereiten. Bei EuGH-Urteil gegen § 14 müssten Sie binnen 6-12 Monaten umstellen. Die meisten DAX-Konzerne haben diese Architektur bereits vorgesehen.

Wer trägt die rechtliche Verantwortung bei zentraler Konzern-Meldestelle?

Geteilte Verantwortung nach § 14 Abs. 2 HinSchG: Mutter-/Tochter-gesellschaft als juristische Personen sind je eigenständig verantwortlich. Die zentrale Meldestelle handelt als 'Dritter' i.S.v. § 14 — sie erfüllt die Pflichten für die einzelne Tochter, aber die Tochter bleibt rechtlich verantwortlich (auch für Bußgelder). Praxis: jährliche Berichts-Meeting Mutter ↔ Tochter über Status der Meldestelle, dokumentierter Eskalations-Workflow, klare Kompetenz-Abgrenzung in Konzernrichtlinie.

Welche Daten dürfen zentral, welche nur lokal verarbeitet werden?

Zentral zulässig (gemäß Art. 26 DSGVO Joint Controllership): Anonyme Kennzahlen (Anzahl Meldungen pro Tochter, Bearbeitungs-Zeiten, Fall-Kategorien aggregiert). Lokal verbleiben muss: Identität des Hinweisgebers (§ 8 HinSchG strenge Vertraulichkeit), Identität Beschuldigter, individuelle Untersuchungs-Akten, HR-Maßnahmen-Doku. Technische Umsetzung: zentrale Software mit Mandanten-Trennung (multi-tenant), Sub-Berechtigungen pro Tochter, Audit-Log getrennt, eigener AVV pro Tochter mit dem zentralen Anbieter.

Was kostet ein Konzern-Hybrid-Setup?

Skalierung mit Anzahl Tochtergesellschaften: 5 Töchter: ~15-25k EUR/Jahr (zentrale Software + lokale Untersucher Teilzeit). 10 Töchter: ~25-40k EUR/Jahr. 20+ Töchter: ~50-100k EUR/Jahr. Vergleich zu rein-dezentral (jede Tochter separate Meldestelle): bei 10 Töchtern 50-80k EUR/Jahr — Hybrid spart ~40%. Initial-Setup: 5-10 PT für Konzernrichtlinie + AVVs + Schulung. Empfehlung: bei 5+ Töchtern lohnt sich Hybridmodell finanziell + organisatorisch.

Verwandte Artikel

HinSchG

Konzern-Meldestelle Pillar

Hauptartikel.

 HinSchG

Konzern hybrid Glossar

Konzern-Begriff.

Quellen

  • Hinweisgeberschutzgesetz (HinSchG), §§ 14 (Konzern-Meldestelle als „Dritter"), 8 (Vertraulichkeit), gesetze-im-internet.de/hinschg (Stand: 02.05.2026)
  • Richtlinie (EU) 2019/1937, Art. 8 (Pflicht zur Meldestelle bei jeder juristischen Einheit ab 50 MA), eur-lex.europa.eu
  • EU-Vertragsverletzungsverfahren INFR(2024)0157 (§ 14 HinSchG, Status offen, Stand 02.05.2026)
  • DSGVO Art. 26 (gemeinsame Verantwortliche), Art. 28 (AVV), eur-lex.europa.eu (DSGVO)

Stand: 02.05.2026

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. HinSchG Self-Assessment Pruefen Sie Ihre Hinweisgeber-Meldestelle auf Konformitaet zu HinSchG-Novelle 2026.