HinSchG-Vertraulichkeitskonzept (§ 8): wie Sie es audit-fähig machen

Q: Wer darf den Hinweisgeber kennen?

Nur die Meldestellenbeauftragten + ggf. Untersuchungsbeauftragte mit ausdrücklicher Zustimmung. § 8 Abs. 1 HinSchG: Identität strengstens vertraulich.

Q: Reicht E-Mail mit Verschlüsselung?

Nicht für Eingangskanal — Anbieter könnten zugreifen. Empfehlung: spezialisierte Meldestellen-Software (z.B. EQS Integrity Line, Whistlelink) mit Ende-zu-Ende-Verschlüsselung.

Q: Was passiert bei Vertraulichkeits-Bruch?

§ 40 HinSchG: Schadensersatz für Hinweisgeber + Bußgeld bis 50.000 EUR. Bei vorsätzlichem Bruch: strafrechtliche Konsequenzen.

Q: Müssen wir auf Anfrage Behörden Daten herausgeben?

§ 9 HinSchG: nur unter strengen Voraussetzungen (Strafverfolgung, Gefahrenabwehr) — nicht bei zivilrechtlichen Verfahren.

Q: Wie lange aufbewahren?

§ 11 HinSchG: 3 Jahre nach Verfahrensabschluss, dann Pflichtlöschung. Längere Aufbewahrung nur, wenn rechtlich erforderlich.

Q: Externe Meldestelle als Lösung?

Ja, ab 50 MA Wahlrecht. Externe Meldestelle (Anwaltskanzlei, BMJ-Bundesamt) bietet höhere Vertraulichkeit + reduziert Insider-Risiko.

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: HinSchG

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

§ 8 HinSchG: Identität des Hinweisgebers strengstens vertraulich
Technisch: spezialisierte Software mit Ende-zu-Ende-Verschlüsselung
Organisatorisch: strikte Rollentrennung Meldestelle/HR/IT
Audit-Trail: jeder Zugriff dokumentiert + dauerhaft prüfbar
Bußgeld: bis 50.000 EUR + Schadensersatz nach § 40

1. § 8 HinSchG-Pflichten

"Die Identität der hinweisgebenden Person und der Personen, die Gegenstand einer Meldung sind oder in der Meldung sonst genannt werden, ist nur den Personen bekannt zu machen, die für die Entgegennahme der Meldung oder für etwaige nachfolgende Maßnahmen zuständig sind." — § 8 Abs. 1 HinSchG

2. Technische Maßnahmen

Maßnahme	Umsetzung	Audit-Nachweis
Eingangskanal verschlüsselt	HTTPS + TLS 1.3 mind.	SSL-Zertifikat-Konfig
Speicherung verschlüsselt	AES-256 at rest	Anbieter-SOC-2-Bericht
Anonyme Meldung möglich	Anbieter-Software mit anonymem Rückkanal	Test-Meldung dokumentiert
Berechtigungs-Konzept	RBAC mit Need-to-Know	Berechtigungs-Matrix
Audit-Log	jeder Zugriff geloggt + 3 Jahre aufbewahrt	Log-Auszug auf Verlangen
Trennung von HR-IT	Eigene Hosting-Umgebung	Architektur-Dokument

3. Organisatorische Maßnahmen

Meldestellenbeauftragte verschwiegenheitsverpflichtet (separate Erklärung)
Schulung jährlich + Re-Auffrischung nach Vorfällen
Dokumentationsführung auf separatem Speicher (nicht regulärem File-Server)
Übergabe-Prozesse bei Personalwechsel im Meldestellenteam
Notfall-Verfahren bei Datenpanne

4. Rollentrennung Meldestelle/HR

Kern-Prinzip: Meldestelle ist NIE direkt mit HR-Disziplinarmaßnahmen verknüpft.

Funktion	Darf machen	Darf NICHT machen
Meldestelle	Eingang, Triage, Untersuchung, Empfehlung	HR-Maßnahmen anordnen
HR	HR-Maßnahmen umsetzen (auf Empfehlung Untersuchung)	Hinweisgeber-Identität abfragen
Geschäftsführung	Bei groben Verstößen Maßnahmen entscheiden	Hinweisgeber-Vertraulichkeit umgehen

5. Audit-Trail-Anforderungen

Jede Aktion in der Meldestellen-Software loggen:

Zeitstempel (UTC)
User-ID
Aktion (Zugriff, Änderung, Export)
Betroffener Datensatz (Hash, nicht Klartext)
IP-Adresse

Aufbewahrung: 3 Jahre nach Verfahrensabschluss. Audit-Log selbst ist NICHT änderbar (immutable).

6. 18-Punkte-Audit-Checkliste

Verschlüsselte Eingangskanal-URL?
Anonyme Meldung mit Rückkanal möglich?
Speicherung mit AES-256?
Berechtigungs-Konzept dokumentiert?
RBAC mit Need-to-Know aktiv?
Audit-Log lückenlos?
Audit-Log immutable?
Trennung Meldestelle / HR / IT?
Verschwiegenheitserklärungen unterzeichnet?
Schulungen aktuell <12 Monate?
Anbieter-DPA mit Vertraulichkeitsklauseln?
SOC-2-Bericht des Anbieters <12 Monate?
Notfall-Verfahren bei Vertraulichkeits-Bruch?
Übergabe-Prozesse bei Personalwechsel?
3-Jahres-Aufbewahrung + Pflichtlöschung?
Datenschutzerklärung erweitert?
Externe Meldestelle als Backup?
Audit-Bericht intern verfügbar?

Häufig gestellte Fragen

Wer darf den Hinweisgeber kennen?

Nur die Meldestellenbeauftragten + ggf. Untersuchungsbeauftragte mit ausdrücklicher Zustimmung. § 8 Abs. 1 HinSchG: Identität strengstens vertraulich.

Reicht E-Mail mit Verschlüsselung?

Nicht für Eingangskanal — Anbieter könnten zugreifen. Empfehlung: spezialisierte Meldestellen-Software (z.B. EQS Integrity Line, Whistlelink) mit Ende-zu-Ende-Verschlüsselung.

Was passiert bei Vertraulichkeits-Bruch?

§ 40 HinSchG: Schadensersatz für Hinweisgeber + Bußgeld bis 50.000 EUR. Bei vorsätzlichem Bruch: strafrechtliche Konsequenzen.

Müssen wir auf Anfrage Behörden Daten herausgeben?

§ 9 HinSchG: nur unter strengen Voraussetzungen (Strafverfolgung, Gefahrenabwehr) — nicht bei zivilrechtlichen Verfahren.

Wie lange aufbewahren?

§ 11 HinSchG: 3 Jahre nach Verfahrensabschluss, dann Pflichtlöschung. Längere Aufbewahrung nur, wenn rechtlich erforderlich.

Externe Meldestelle als Lösung?

Ja, ab 50 MA Wahlrecht. Externe Meldestelle (Anwaltskanzlei, BMJ-Bundesamt) bietet höhere Vertraulichkeit + reduziert Insider-Risiko.

Quellen

Hinweisgeberschutzgesetz (HinSchG), §§ 8 (Vertraulichkeit), 9 (Ausnahmen), 11 (Aufbewahrung 3 Jahre), 40 (Bußgelder), gesetze-im-internet.de/hinschg (Stand: 02.05.2026)
HinSchGOWiZustV (BfJ-Bußgeldzuständigkeit), BGBl. 2025 I Nr. 111, in Kraft 09.04.2025
DSGVO Art. 32 (TOM), Art. 5 (Datenminimierung, Speicherbegrenzung), eur-lex.europa.eu (DSGVO)
Richtlinie (EU) 2019/1937, Art. 16 (Vertraulichkeitsgebot), eur-lex.europa.eu

Stand: 02.05.2026

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. HinSchG Self-Assessment Pruefen Sie Ihre Hinweisgeber-Meldestelle auf Konformitaet zu HinSchG-Novelle 2026.