Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2. Juli 2023 die deutsche Umsetzung der EU-Whistleblower-Richtlinie 2019/1937. Es verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldekanäle und schützt Hinweisgeber umfassend vor Repressalien — von der Kündigung bis zu beruflichen Nachteilen. Die Pflicht trifft seit dem 17. Dezember 2023 auch mittelständische Unternehmen mit 50-249 Mitarbeitern (zuvor nur > 250). Bei Verstößen drohen Bußgelder bis zu 50.000 EUR für das Unternehmen und Schadensersatzansprüche der Hinweisgeber. Die deutsche Umsetzung ist im EU-Vergleich strenger als die Mindestanforderungen und schafft den umfassendsten Hinweisgeberschutz Europas.
Kerntatsachen
Geltungsbereich: Unternehmen ab 50 Beschäftigten — seit 17.12.2023 auch Mittelstand 50-249 MA.
Interner Meldekanal Pflicht — vertraulich, mit klaren Bearbeitungsfristen.
Bestätigung des Eingangs binnen 7 Tagen, Rückmeldung binnen 3 Monaten.
Schutz vor Repressalien — Beweislastumkehr zugunsten des Hinweisgebers.
Vertraulichkeit der Identität ist zwingend — Verstöße sind eigene Bußgeld-Tatbestände.
Externe Meldekanäle der zuständigen Behörden ergänzen interne Lösungen.
Bußgelder: bis 50.000 EUR (Unternehmen), bis 20.000 EUR (Personen).
Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. Es schafft einen einheitlichen Rahmen für den Schutz von Personen, die Verstöße gegen geltendes Recht melden — sowohl intern (an den Arbeitgeber) als auch extern (an Behörden).
Unternehmen ab 50 Beschäftigten (seit 17.12.2023 vollständig)
öffentliche Stellen ab definierter Größe
bestimmte Branchen unabhängig von der Größe (Finanzdienstleister, Geldwäschebekämpfung)
Kennzahl
Über 50.000 deutsche Unternehmen sind seit 17.12.2023 zur Einrichtung interner Meldekanäle verpflichtet. Eine Untersuchung des Bundesamts für Justiz ergab Anfang 2025: nur etwa 35 % der mittelständischen Unternehmen haben einen rechtssicheren Meldekanal eingerichtet — die Lücke ist enorm.
Wer ist verpflichtet?
Größenschwelle
Unternehmensgröße
Pflicht seit
≥ 250 Beschäftigte
02.07.2023
50-249 Beschäftigte
17.12.2023
< 50 Beschäftigte
nicht verpflichtet (außer Sonderfälle)
Sektor-spezifische Sonderfälle
Unabhängig von der Größe verpflichtet:
Sektor
Rechtsgrundlage
Wertpapierdienstleister
WpHG
Banken
KWG
Versicherer
VAG
Geldwäschebekämpfung
GwG
Wirtschaftsprüfer
WPO
Kapitalverwaltungsgesellschaften
KAGB
Konzernverbund
Konstellation
Pflicht
Konzernweite Lösung möglich
ja, mit Einschränkungen
Tochterunternehmen ab 50 MA
eigene Pflicht, kann aber an Konzern delegieren
Tochterunternehmen unter 50 MA
keine eigene Pflicht
Welche Verstöße
Das HinSchG erfasst Meldungen über Rechtsverstöße in einem breiten Anwendungsbereich.
EU-Recht-Verstöße in anderen EU-Mitgliedstaaten können auch dort gemeldet werden — die EU-Richtlinie gewährt grenzüberschreitenden Schutz.
Anforderungen Meldekanal
Der interne Meldekanal muss konkrete technische und organisatorische Anforderungen erfüllen.
Pflicht-Funktionen
Anforderung
Detail
Meldung schriftlich, mündlich, persönlich
mindestens zwei Wege
Vertraulichkeit der Identität
technische und organisatorische Sicherung
Anonyme Meldungen
empfohlen, nicht zwingend ab 17.12.2023 (zuvor anders)
Vertraulicher Dialog
Folge-Kommunikation mit Hinweisgeber
Dokumentation
strukturiert nach Vorgaben
Aufbewahrungsfrist
mindestens 3 Jahre, max. solange erforderlich
Personelle Anforderungen
Der Meldekanal muss von einer unparteiischen Person oder unabhängigen Stelle betrieben werden:
Option
Vorteil
interne Compliance-Stelle
direkter Geschäftsbezug, schnelle Reaktion
externer Anwalt
Unabhängigkeit, hohe Vertraulichkeit
externer Ombudsmann
Vertrauensbonus für Hinweisgeber
Software-Plattform
technische Standardisierung
Hybrid
Kombination
Bezogene Aufgaben
Die zuständige Stelle / Person muss:
Meldungen entgegennehmen
den Eingang binnen 7 Tagen bestätigen
Folgekontakt mit Hinweisgeber halten
die Meldung bewerten und Untersuchungs-Maßnahmen ergreifen
Rückmeldung binnen 3 Monaten geben
Vertraulichkeit gewährleisten
Bearbeitungsfristen
Klare Fristen zur Bearbeitung sind gesetzlich vorgeschrieben.
Standard-Fristen
Aktivität
Frist
Eingangsbestätigung
7 Tage
Erste inhaltliche Reaktion
3 Monate
Aufbewahrung der Dokumentation
mindestens 3 Jahre
Was bedeutet „Rückmeldung"?
Die Rückmeldung ist eine Information an den Hinweisgeber über:
den Stand der Untersuchung
die getroffenen Maßnahmen
ggf. die Schließung des Vorgangs
Sie muss substantiell sein — eine bloße Nachfrage ohne Inhalt ist keine ausreichende Rückmeldung.
Folgemaßnahmen
Auf Basis der Meldung sind angemessene Folgemaßnahmen zu ergreifen:
Maßnahme
Anwendung
Interne Untersuchung
bei verdächtigen Sachverhalten
Disziplinarmaßnahmen
bei nachgewiesenem Fehlverhalten
Anpassung von Prozessen / Richtlinien
bei systemischen Mängeln
Strafrechtliche Anzeige
bei strafrechtlichen Tatbeständen
Information an Aufsichtsbehörde
je nach Art des Verstoßes
Schließung der Akte
wenn keine Anhaltspunkte
Schutz Hinweisgeber
Der Schutz von Hinweisgebern ist das Herzstück des HinSchG.
Grundprinzipien
Prinzip
Umsetzung
Verbot von Repressalien
umfassend definiert
Beweislastumkehr
zugunsten des Hinweisgebers
Schadensersatz
bei verbotenen Repressalien
Strafrechtlicher Schutz
gegen vorsätzliche Repressalien
Was sind „Repressalien"?
Beispiel
Status
Kündigung
klassische Repressalie
Versetzung in nachteilige Position
Repressalie
Entzug von Verantwortung
Repressalie
Mobbing / Diskriminierung
Repressalie
Schlechte Bewertungen
Repressalie
Verweigerung von Boni / Beförderung
Repressalie
Negatives Arbeitszeugnis
Repressalie
Druck zur Kündigung
Repressalie
Beweislastumkehr
§ 36 HinSchG kehrt die Beweislast um:
Bei einer Benachteiligung innerhalb von 12 Monaten nach einer Meldung wird vermutet, dass die Benachteiligung wegen der Meldung erfolgte.
Der Arbeitgeber muss dann den Gegenbeweis erbringen — eine erhebliche Stärkung des Hinweisgeber-Schutzes.
Schadensersatz
Bei verbotenen Repressalien hat der Hinweisgeber Anspruch auf:
materiellen Schadensersatz (z. B. Verdienstausfall)
immateriellen Schadensersatz (z. B. Schmerzensgeld)
Wiederherstellung des Status quo (z. B. Wiedereinstellung)
Schutz für andere Personen
Auch Personen, die einen Hinweisgeber unterstützen (Kollegen, Vorgesetzte), genießen Schutz nach § 34 HinSchG.
Externe Meldekanäle
Hinweisgeber können wählen — interner oder externer Meldekanal.
Externe Meldestellen
Behörde
Zuständigkeit
Bundesamt für Justiz (BfJ)
zentrale externe Meldestelle
BaFin
Finanzdienstleistungen
Bundeskartellamt
Kartellrechts-Verstöße
EU-Kommission
EU-Recht-Verstöße
Sektorale Behörden
je nach Verstoß
Wahl des Hinweisgebers
Reihenfolge
Empfehlung
Direkter externer Weg
zulässig, kein Vorrang interner Meldung
Interner Weg zuerst
empfohlen, aber nicht zwingend
Öffentliche Bekanntmachung
nur unter strengen Voraussetzungen
Eine direkte externe Meldung ist immer zulässig — der Hinweisgeber kann zwischen internem und externem Kanal frei wählen.
Vertraulichkeit
Die Vertraulichkeit der Identität ist eine zentrale Schutzdimension.
Grundprinzip
Die Identität des Hinweisgebers ist streng vertraulich zu behandeln — nur die zur Bearbeitung der Meldung notwendigen Personen dürfen sie kennen.
Ausnahmen
Die Vertraulichkeit kann nur in engen Grenzen durchbrochen werden:
Ausnahme
Voraussetzung
Strafverfahren
gerichtliche Anordnung
Einwilligung des Hinweisgebers
freiwillig und ausdrücklich
Notwendigkeit für Untersuchung
mit hohen Hürden
DSGVO-Bezug
Whistleblower-Daten sind:
typisch personenbezogene Daten
oft besondere Kategorien (Art. 9 DSGVO)
mit erhöhten Sicherheits-Anforderungen
TOMs für Whistleblower-Plattformen
Maßnahme
Anwendung
End-to-End-Verschlüsselung
Hinweise verschlüsselt vom Browser bis zur Plattform
Pseudonymisierung
Identität nur für Berechtigte sichtbar
Strenge Zugriffsbeschränkung
nur Compliance-Stelle
Logging
Manipulations-resistent
EU-Hosting
DSGVO-Compliance
DSFA
für jede Plattform-Implementierung
Software-Lösungen
Drei Hauptsegmente am Markt.
Premium-Segment
Anbieter
Stärken
Preis
EQS Group (Hinweisgeber)
deutscher Marktführer, börsennotiert
ab 200 EUR/Monat
NAVEX EthicsPoint
global, Enterprise
ab 500 EUR/Monat
OneTrust Whistleblowing
umfassende GRC-Plattform
ab 300 EUR/Monat
Mittelklasse
Anbieter
Stärken
Preis
KPMG WhistleB
Beratungs-orientiert
ab 150 EUR/Monat
Konfidal
deutscher Anbieter, KMU-fokussiert
ab 50 EUR/Monat
Compliance.net
Mittelstand-orientiert
ab 100 EUR/Monat
whistlecase
spezialisiert auf KMU
ab 60 EUR/Monat
Open Source / Selbst-gehostet
Lösung
Anwendung
GlobaLeaks
Open Source, NGO-orientiert
SecureDrop
journalistisch fokussiert, sehr sicher
Eigenentwicklung
bei sehr spezifischen Anforderungen
Auswahl-Kriterien
DSGVO-Konformität und EU-Hosting
HinSchG-Konformität zertifiziert
Anonyme Meldungen technisch möglich
Mehrsprachigkeit (DE + EN mind.)
Vertraulicher Dialog mit Hinweisgeber
Kategorisierung und Workflow-Management
Reporting für Geschäftsleitung
Audit-Trail
Mobile-Optimierung
Integration mit bestehenden Compliance-Tools
Implementierungs-Roadmap
Eine vollständige HinSchG-Implementation dauert typischerweise 6-12 Wochen.
Wochen 1-2 — Strategie
Geschäftsleitungs-Mandat
Anwendungsbereich definieren (Konzernweite vs. einzeln)
Verantwortliche Stelle benennen
Budget freigeben
Wochen 3-4 — Tool-Auswahl
Anbieter-Vergleich
Demo-Tests
Vertragsverhandlung
DSFA-Vorbereitung
Wochen 5-6 — Implementierung
Software-Setup
Konfiguration der Workflows
Mehrsprachigkeit (DE/EN/Mitarbeiter-Sprachen)
Test-Phase
Wochen 7-8 — Prozesse und Schulung
Bearbeitungs-Prozess dokumentieren
Verantwortliche Personen schulen
Datenschutz-Folgenabschätzung
Datenschutzerklärung anpassen
Wochen 9-10 — Mitarbeiter-Information
Information aller Mitarbeiter
Awareness-Schulung
Plakate / Intranet-Beiträge
Information in Arbeitsverträgen / Onboarding
Wochen 11-12 — Go-Live
Plattform live schalten
Erste Hinweise (falls eintreten) ordentlich bearbeiten
Reporting-Schema etablieren
jährliches Review-Programm
Bußgelder
Verstoß
Bußgeld
Fehlender interner Meldekanal
bis 50.000 EUR (Unternehmen)
Behinderung von Meldungen
bis 50.000 EUR
Verletzung der Vertraulichkeit
bis 50.000 EUR
Repressalien gegen Hinweisgeber
bis 50.000 EUR + Schadensersatz
Persönliche Verstöße
bis 20.000 EUR
Schadensersatzansprüche
Hinweisgeber können bei Verstößen Schadensersatz fordern — typische Höhen:
Verdienstausfall bei Kündigung: voll
Schmerzensgeld bei psychischer Beeinträchtigung: 1.000-25.000 EUR
Wiedereinstellung bei rechtswidriger Kündigung
Karriere-Ausgleich bei Versetzung
Häufige Fehler
Fehler
Häufigkeit
Kein interner Meldekanal eingerichtet
65 % der Mittelständler
Anonyme Meldungen nicht ermöglicht
30 %
Bearbeitungsfristen nicht eingehalten
25 %
Vertraulichkeit nicht ausreichend technisch gesichert
35 %
Mitarbeiter nicht informiert
30 %
Datenschutz-Folgenabschätzung fehlt
50 %
Datenschutzerklärung nicht angepasst
40 %
Reporting an Geschäftsleitung fehlt
30 %
Schulung der zuständigen Personen unzureichend
35 %
Aufbewahrungsfristen nicht beachtet
25 %
FAQ
Wer ist zur Einrichtung eines Meldekanals verpflichtet?
Unternehmen ab 50 Beschäftigten — seit 17.12.2023 vollständig. Sektor-spezifische Pflichten unabhängig von der Größe (Banken, Versicherungen etc.).
Müssen anonyme Meldungen ermöglicht werden?
Nicht zwingend, aber empfohlen. Anonymität fördert die Meldebereitschaft erheblich und erhöht die Akzeptanz des Systems.
Welche Bearbeitungsfristen gelten?
7 Tage Eingangsbestätigung, 3 Monate erste inhaltliche Rückmeldung, 3 Jahre Aufbewahrung.
Welche Repressalien sind verboten?
Alle Benachteiligungen aufgrund einer Meldung — Kündigung, Versetzung, Mobbing, schlechte Bewertungen, Druck etc.
Was bedeutet Beweislastumkehr?
Bei Benachteiligung innerhalb 12 Monaten nach Meldung wird vermutet, dass diese wegen der Meldung erfolgte. Der Arbeitgeber muss den Gegenbeweis erbringen.
Das HinSchG ist mehr als eine regulatorische Pflicht — es ist ein wirksames Werkzeug für integere Unternehmensführung und frühe Aufdeckung von Verstößen. Drei strategische Empfehlungen:
Erstens, ernst genommen, nicht nur formal. Ein „Schein-Meldekanal" wird vom ersten Hinweisgeber durchschaut und untergräbt das Vertrauen.
Zweitens, professionelle Software-Lösung wählen. Eigenbau-Meldekanäle haben fast immer technische oder rechtliche Schwächen — die Investition in eine bewährte Plattform amortisiert sich schnell.
Drittens, Geschäftsleitungs-Engagement und sichtbare Compliance-Kultur. Das HinSchG ist kein IT-Tool — es ist ein Kulturthema.
Vision Compliance unterstützt Unternehmen bei HinSchG-Implementierung — als Teil unserer Regulatorik-Beratung und Datenschutz-Beratung, von der Tool-Auswahl über die Datenschutz-Folgenabschätzung bis zur Schulung der Compliance-Stelle. Wir kombinieren Compliance-Expertise mit Datenschutz-Verständnis, um sowohl HinSchG- als auch DSGVO-Anforderungen zu erfüllen. Sprechen Sie uns an für ein kostenloses HinSchG-Erstgespräch mit individueller Tool-Empfehlung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
