HinSchG: Interne Meldestelle einrichten 2026

· · Kategorie: HinSchG · Compliance
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • Pflicht ab 50 Beschäftigten nach § 12 Abs. 2 HinSchG (Köpfe-Zählung)
  • 3 verpflichtende Kanäle: schriftlich, mündlich, persönlich auf Verlangen + anonym (seit 01.01.2025 Pflicht)
  • Fristen: 7 Tage Eingangsbestätigung, 3 Monate Rückmeldung
  • Externe Meldestellen: BfJ (§ 19), BaFin (§ 21), Bundeskartellamt (§ 22 — Wettbewerbsrecht/DMA, KEINE Audit-Pflicht für Unternehmen)
  • Bußgelder bis 500.000 EUR (juristische Personen via § 30 OWiG)

1. Pflicht ab 50 Beschäftigten

§ 12 Abs. 2 HinSchG verpflichtet alle Beschäftigungsgeber mit mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Köpfe-Zählung — keine Vollzeit-Äquivalente.

BeschäftigtengruppeZählung
Vollzeit, Teilzeit, befristetVollzählung
AuszubildendeVollzählung
Geringfügig Beschäftigte (Minijobs)Vollzählung
Leiharbeitnehmer ≥ 6 MonateVollzählung
Selbstständige SubunternehmerNicht zählen (i.d.R.)
PraktikantenVollzählung
Wer das Hinweisgebersystem nicht selbst aus 0 aufsetzen will, findet im HinSchG-Kit Verfahrensordnung, Schulung und alle Vorlagen — einmalig 390-990 EUR.

2. 8 Schritte zur prüffesten Meldestelle

Kurzantwort: Eine prüffeste interne Meldestelle entsteht in acht Schritten: Geschäftsleitungs-Beschluss, Benennung des Meldestellenbeauftragten mit Unabhängigkeitserklärung, Verfahrensordnung dokumentieren (7-Tage / 3-Monate), drei Meldekanäle plus anonyme Bearbeitung einrichten, Fachkunde-Schulung MSB nach § 15 Abs. 2 HinSchG, DSFA + VVT-Eintrag, Belegschaftsinformation nach § 13 HinSchG und jährliche Wirksamkeits-Selbstprüfung als Best-Practice.

  1. Geschäftsleitungs-Beschluss: formelle Einrichtung der Meldestelle. Praxis: GF-Protokoll oder Vorstandsbeschluss.
  2. Meldestellenbeauftragten benennen: Bestellungsurkunde + Unabhängigkeitserklärung. Auch in Personalunion möglich (Compliance-Officer, Justiziar).
  3. Verfahrensordnung dokumentieren: 7-Tage-Eingang, 3-Monats-Rückmeldung, Eskalation an externe Meldestelle (BfJ).
  4. 3 Meldekanäle einrichten: schriftlich (E-Mail/Web-Formular), mündlich (Telefon-Hotline), persönlich auf Verlangen, plus anonyme Bearbeitung.
  5. Fachkunde-Schulung MSB: 5-8 UE nach § 15 Abs. 2 HinSchG. Mit Zertifikat.
  6. DSFA + VVT-Eintrag: Verarbeitungstätigkeit 'Meldestelle' im VVT, DSFA nach Art. 35 DSGVO durchführen.
  7. Belegschaftsinformation: Aushang/Intranet nach § 13 HinSchG mit klarer Erklärung der Meldewege.
  8. Wirksamkeits-Selbstprüfung: jährlich dokumentieren (Best-Practice, KEINE gesetzliche Pflicht) — Frist-Einhaltung, Vertraulichkeit, anonyme Bearbeitung, Schulungs-Stand.

3. 3 Meldekanäle + anonyme Bearbeitung

Kurzantwort: Pflicht sind drei Meldekanäle: schriftlich (E-Mail, Web-Formular oder Postanschrift), mündlich (Telefon-Hotline oder Sprachnachrichten-Mailbox) und persönlich auf Verlangen (Termin innerhalb 14 Tagen). Seit 01.01.2025 ist zusätzlich die anonyme Bearbeitung verpflichtend — typischerweise via Web-Formular ohne Login plus anonymem Rückkanal.

KanalPflichtmerkmalPraxis-Lösung
SchriftlichTexteingabe-MöglichkeitE-Mail, Web-Formular, Postanschrift
MündlichSprach-EingabeTelefon-Hotline, Sprachnachrichten-Mailbox
Persönlich (auf Verlangen)Termin-MöglichkeitTermin innerhalb 14 Tagen anbieten
Anonymseit 01.01.2025 Pflicht — Eingang + BearbeitungWeb-Formular ohne Login + anonymer Rückkanal

4. Verfahren: 7-Tage / 3-Monate

Kurzantwort: Das HinSchG-Verfahren kennt zwei harte Fristen: Innerhalb von 7 Tagen muss der Eingang einer Meldung bestätigt werden (mit Vertraulichkeitshinweis), innerhalb von 3 Monaten die inhaltliche Rückmeldung über Folgemaßnahmen oder Verfahrenseinstellung. Bei Bedarf erfolgt Eskalation an Geschäftsleitung oder externe Meldestelle (BfJ).

FristPflichtInhalt
SofortEingang dokumentierenMeldebogen, Vertraulichkeitsstufe, MSB-Zuteilung
7 TageEingangsbestätigungBestätigungs-Schreiben mit Vertraulichkeits-Hinweis
Innerhalb 3 MonatenRückmeldung an HGFolgemaßnahmen oder Verfahrenseinstellung
Bei BedarfEskalationGeschäftsleitung, externe Meldestelle BfJ

5. § 8 Vertraulichkeit

Identitätsschutz für Hinweisgeber UND Beschuldigten UND Dritte. Verstoß bußgeldbewehrt bis 50.000 EUR (jur. Person 500.000 EUR).

6. § 36 Repressalienschutz

Verbotene Repressalien: Kündigung, Versetzung, Abmahnung, Gehaltsreduzierung, Mobbing. Beweislastumkehr nach § 36 Abs. 2: bei Benachteiligung wird Repressalie vermutet — Arbeitgeber muss Gegenbeweis erbringen.

LAG Niedersachsen 11.11.2024 (7 SLa 306/24) hat das zweistufige Prüfschema bestätigt. Für jede HR-Maßnahme nach Meldung: Unabhängigkeitsnachweis dokumentieren.

7. DSGVO-Pflichten der Meldestelle

Kurzantwort: Eine HinSchG-Meldestelle muss sechs DSGVO-Pflichten erfüllen: VVT-Eintrag, DSFA nach Art. 35 DSGVO (in DE Pflicht; in AT durch § 8 Abs. 13 HSchG entbehrlich), Datenschutzhinweise für Hinweisgeber und Beschuldigten, AVV bei IT-Outsourcing, ein meldestellen-spezifisches TOM-Konzept und 3-jährige Aufbewahrung nach Verfahrensabschluss (§ 11 Abs. 5 HinSchG; AT 5 Jahre).

  1. VVT-Eintrag für die Verarbeitungstätigkeit 'Meldestelle'
  2. DSFA nach Art. 35 DSGVO (in DE; in AT durch § 8 Abs. 13 HSchG entbehrlich)
  3. Datenschutzhinweise für Hinweisgeber + Beschuldigten
  4. AVV mit IT-Dienstleister bei outsourcing
  5. TOM-Konzept speziell für die Meldestelle
  6. Aufbewahrung 3 Jahre nach Verfahrensabschluss (§ 11 Abs. 5 HinSchG); AT 5 Jahre

8. 30-Punkte-Audit-Checkliste (Auszug)

  1. Geschäftsleitungs-Beschluss vorhanden
  2. Bestellungsurkunde MSB
  3. Unabhängigkeitserklärung MSB
  4. Verfahrensordnung aktuell
  5. 3 Meldekanäle aktiv
  6. Anonymer Rückkanal funktional
  7. Eingangsbestätigung-Vorlage
  8. Rückmeldungs-Vorlage
  9. Fachkunde-Nachweis MSB <3 Jahre alt
  10. VVT-Eintrag
  11. DSFA durchgeführt
  12. Datenschutzhinweise HG + Beschuldigte
  13. TOM-Konzept Meldestelle
  14. Vertraulichkeitskonzept
  15. Repressalien-Protokoll-Vorlage
  16. HR-Maßnahmen-Workflow nach Meldung
  17. Belegschaftsinformation aktuell
  18. Statistik der Meldungen
  19. Eskalations-Workflow zur GF
  20. Externe Meldestelle BfJ-Schnittstelle dokumentiert
  21. Aufbewahrungs-Regelung 3 Jahre
  22. Löschkonzept
  23. Interner oder externer Audit jährlich
  24. Konfliktvermeidungs-Konzept
  25. Fallbearbeitungs-Playbook
  26. Folgemaßnahmen-Katalog
  27. Sachverhaltsaufklärung-Leitfaden
  28. BR-Vereinbarung (sofern Betriebsrat)
  29. Konzern-Mapping (sofern Konzern)
  30. Jahresbericht an Geschäftsleitung

Häufig gestellte Fragen

Ab wie vielen Mitarbeitenden ist eine Meldestelle Pflicht?
Ab 50 Beschäftigten nach § 12 Abs. 2 HinSchG. Köpfe-Zählung (Vollzeit, Teilzeit, Auszubildende, befristete, Leiharbeitnehmer ab 6 Monaten). Sektorale Sonderregeln (Banken, Versicherungen): unabhängig von Größe ab 1 Beschäftigtem.
Müssen anonyme Meldungen bearbeitet werden?
Ja, seit 01.01.2025 (§ 16 Abs. 1 S. 4-6 i.V.m. § 42 HinSchG). Der Meldekanal muss anonyme Meldungen entgegennehmen UND bearbeiten können. Anonymer Rückkanal ist Standard.
Reicht eine zentrale E-Mail-Adresse?
Nein. § 16 verlangt drei Kanaltypen: schriftlich (E-Mail OK), mündlich (Telefon oder Sprachnachricht), persönlich auf Verlangen. Plus anonyme Bearbeitung.
Was kostet eine interne Meldestelle?
Selbst gebaut: 5.000-15.000 EUR Initial-Setup. SaaS: 1.200-6.000 EUR/Jahr. Externe Ombudsperson: 5.000-25.000 EUR/Jahr. Compliance-Kit HinSchG-Kit: einmalig 390-990 EUR mit allen 55 Vorlagen.
Müssen Konzern-Töchter eigene Meldestellen haben?
Grundsätzlich ja (juristische Person). § 14 HinSchG erlaubt Konzernlösung als Option, aber EU-Kommission rügt das. Praxis-Empfehlung: Hybridmodell — zentrale Konzern-Meldestelle + lokale Anlaufstellen pro Tochter.
Welche Schulung braucht der Meldestellenbeauftragte?
§ 15 Abs. 2 HinSchG verlangt 'die notwendige Fachkunde' — keine juristische Ausbildung. Schulung 5-8 Unterrichtseinheiten typisch. Inhalte: Verfahren, Vertraulichkeit, DSGVO-Schnittstelle, Repressalienschutz, Sachverhaltsaufklärung.
Wie hoch sind die Bußgelder bei Verstoß?
Bis 50.000 EUR (natürliche Person) bzw. 500.000 EUR (juristische Person via § 30 OWiG). Vertraulichkeitsverletzung + Repressalien sind die teuersten Verstöße. Best-Practice (KEINE gesetzliche Pflicht): dokumentierte jährliche Wirksamkeits-Selbstprüfung der Meldestelle.
Kann die Meldestelle ausgelagert werden?
Ja. § 14 HinSchG erlaubt externe Ombudspersonen (typisch RA mit Compliance-Schwerpunkt). Vorteile: hohe Vertraulichkeit, Fachkunde. Nachteile: Kosten 5.000-25.000 EUR/Jahr. AVV nach Art. 28 DSGVO erforderlich.

Quellen

  1. Hinweisgeberschutzgesetz (HinSchG), BGBl. 2023 I Nr. 140
  2. HinSchG-Novelle BGBl. 2024 I Nr. 438
  3. HinSchGOWiZustV BGBl. 2025 Nr. 111
  4. Richtlinie (EU) 2019/1937
  5. LAG Niedersachsen, Urteil 11.11.2024 — 7 SLa 306/24
  6. BfJ Tätigkeitsbericht 2025

Verwandte Artikel

HinSchG · Pillar

HinSchG-Vertraulichkeitskonzept

§ 8 HinSchG: Vertraulichkeit, DSFA, technische Maßnahmen.

 HinSchG · Pillar

HinSchG Konzern-Meldestelle

Hybridmodell für Konzerne.

 HinSchG · Glossar

Interne Meldestelle (§ 12)

Glossar-Eintrag mit Praxisbeispielen.

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. HinSchG Self-Assessment Pruefen Sie Ihre Hinweisgeber-Meldestelle auf Konformitaet zu HinSchG-Novelle 2026.