Direkt zum Artikeltext springen
Hinweisgeberschutzgesetz Whistleblower Meldestelle KMU Compliance

Hinweisgeberschutzgesetz Meldestelle – Was KMU jetzt einrichten müssen

Jens Hagel
Von Jens Hagel Mitgründer & IT-Unternehmer

Seit dem 17. Dezember 2023 gilt das Hinweisgeberschutzgesetz (HinSchG) für alle Unternehmen ab 50 Beschäftigten. Wer keine interne Meldestelle eingerichtet hat, riskiert ein Bußgeld von bis zu 20.000 Euro. Trotzdem fehlt vielen KMU diese Meldestelle bis heute.

Dieser Artikel zeigt, wann die Pflicht greift, wie Sie eine Meldestelle einrichten und welche Fehler Sie vermeiden sollten.

Seit 17.12.2023 gilt die Pflicht für alle Unternehmen ab 50 Beschäftigten

Die Übergangsfrist für Unternehmen mit 50 bis 249 Beschäftigten ist abgelaufen. Wer noch keine interne Meldestelle betreibt, verstößt bereits gegen das HinSchG.

Hinweisgeberschutzgesetz: Die wichtigsten Zahlen

50 MA
Schwelle für Meldestellen-Pflicht
20.000 €
Bußgeld bei fehlender Meldestelle
50.000 €
Max. Bußgeld bei Repressalien

Wen betrifft das Hinweisgeberschutzgesetz?

Das HinSchG setzt die EU-Whistleblower-Richtlinie in deutsches Recht um. Es schützt Personen, die Verstöße gegen bestimmte Rechtsvorschriften melden – etwa gegen Datenschutzrecht, Geldwäschegesetz, Arbeitsschutz oder Umweltrecht.

Betroffen sind alle Unternehmen ab 50 Beschäftigten. Die Beschäftigtenzahl wird zum Stichtag berechnet. Teilzeitkräfte, Leiharbeitnehmer und Praktikanten zählen mit.

Für Unternehmen ab 250 Beschäftigten galt die Pflicht bereits seit Juli 2023. Seit dem 17. Dezember 2023 sind auch Unternehmen mit 50 bis 249 Beschäftigten verpflichtet, eine interne Meldestelle einzurichten und zu betreiben.

Was muss die Meldestelle leisten?

Das HinSchG stellt konkrete Anforderungen an die interne Meldestelle:

  • Meldekanäle: Hinweise müssen schriftlich, mündlich und auf Wunsch persönlich abgegeben werden können.
  • Eingangsbestätigung: Innerhalb von 7 Tagen nach Eingang der Meldung.
  • Rückmeldung: Innerhalb von 3 Monaten muss der Hinweisgeber über ergriffene Maßnahmen informiert werden.
  • Vertraulichkeit: Die Identität des Hinweisgebers muss geschützt werden. Nur die mit der Meldestelle betrauten Personen dürfen Zugang haben.
  • Unabhängigkeit: Die zuständige Person muss frei von Interessenkonflikten arbeiten.
  • Fachkunde: Die betraute Person muss über die nötige Sachkunde verfügen.
  • Anonyme Meldungen: Müssen entgegengenommen und bearbeitet werden.

Interne vs. externe Meldestelle – Vergleich

Hinweisgeber können sich an eine interne oder an die externe Meldestelle beim Bundesamt für Justiz wenden. Unternehmen müssen nur die interne Meldestelle selbst einrichten. Der Vergleich:

KriteriumInterne MeldestelleExterne Meldestelle (BfJ)
EinrichtungspflichtJa, ab 50 BeschäftigtenNein – wird vom Staat betrieben
ZuständigkeitUnternehmensinterne VerstößeAlle Verstöße im Anwendungsbereich
VertraulichkeitMuss gewährleistet seinGesetzlich garantiert
Reaktionszeit7 Tage Bestätigung, 3 Monate Rückmeldung7 Tage Bestätigung, 3–6 Monate Rückmeldung
Vorteil für das UnternehmenFrühzeitige Kenntnis, interne KlärungKein Einrichtungsaufwand
Risiko für das UnternehmenÜberschaubar bei korrekter UmsetzungKein Einfluss auf den Prozess
Outsourcing möglichJa – an Kanzlei, Berater oder DSBNicht relevant

Der Vorteil einer funktionierenden internen Meldestelle: Hinweisgeber wählen bevorzugt den internen Weg, wenn sie Vertrauen in das System haben. So erfahren Sie als Unternehmen frühzeitig von Missständen und können handeln, bevor eine Behörde eingeschaltet wird.

In Deutschland ist es häufig so, dass die Datenschutzbehörden eine beratende Funktion haben. Viele Mandanten haben Angst, eine Datenpanne zu melden – aber es ist nicht wie beim Finanzamt.

Nils OehmichenNils OehmichenDatenschutzberater bei frag.hugo

Das Gleiche gilt für das Hinweisgeberschutzgesetz: Eine gut aufgestellte Meldestelle ist kein Risiko, sondern ein Frühwarnsystem.

Meldestelle einrichten in 5 Schritten

  1. Zuständige Person benennen: Wählen Sie eine unabhängige, fachkundige Person. Das kann eine interne Vertrauensperson sein, der Compliance-Beauftragte oder Ihr externer Datenschutzbeauftragter. Wichtig: Die Person darf keinen Interessenkonflikt haben – der Geschäftsführer selbst ist keine geeignete Wahl.
  2. Meldekanäle einrichten: Stellen Sie mindestens einen schriftlichen Kanal bereit (z. B. E-Mail-Postfach, webbasiertes Meldeformular oder Briefkasten). Ergänzen Sie eine Telefon-Hotline oder Anrufbeantworter für mündliche Meldungen. Auf Wunsch muss auch ein persönliches Gespräch möglich sein.
  3. Prozess definieren: Legen Sie schriftlich fest, wie mit eingehenden Meldungen umgegangen wird: Wer prüft? Wer entscheidet über Folgemaßnahmen? Wie wird dokumentiert? Wie werden Fristen überwacht? Diese Dokumentationspflichten sind auch datenschutzrechtlich relevant.
  4. Datenschutz sicherstellen: Erstellen Sie eine Datenschutz-Folgenabschätzung (DSFA) für die Meldestelle. Schließen Sie mit externen Dienstleistern einen Auftragsverarbeitungsvertrag (AVV). Definieren Sie Löschfristen und Zugriffsberechtigungen. Die Vertraulichkeit der Hinweisgeberidentität ist gesetzlich geschützt – ein Verstoß kann mit bis zu 50.000 Euro Bußgeld geahndet werden.
  5. Mitarbeiter informieren: Alle Beschäftigten müssen wissen, dass es eine Meldestelle gibt und wie sie erreichbar ist. Veröffentlichen Sie die Information im Intranet, per Aushang oder in einer Mitarbeiterinformation. Erklären Sie, welche Verstöße gemeldet werden können und dass Hinweisgeber vor Repressalien geschützt sind.

Checkliste: Ist Ihre Meldestelle HinSchG-konform?

  • Zuständige Person benannt – unabhängig, fachkundig, frei von Interessenkonflikten
  • Schriftlicher Meldekanal vorhanden (E-Mail, Formular oder Briefkasten)
  • Mündlicher Meldekanal vorhanden (Telefon oder persönliches Gespräch)
  • Anonyme Meldungen werden entgegengenommen und bearbeitet
  • Eingangsbestätigung wird innerhalb von 7 Tagen versendet
  • Rückmeldung an den Hinweisgeber innerhalb von 3 Monaten
  • Vertraulichkeit der Hinweisgeberidentität ist technisch und organisatorisch sichergestellt
  • Dokumentation des gesamten Prozesses liegt vor
  • Datenschutz-Folgenabschätzung für die Meldestelle durchgeführt
  • AVV mit externen Dienstleistern abgeschlossen (falls Outsourcing)
  • Mitarbeiter informiert über die Existenz und Erreichbarkeit der Meldestelle
  • Löschkonzept für Meldedaten definiert

Häufige Fehler bei der Umsetzung

Die Meldestelle existiert nur auf dem Papier. Ein E-Mail-Postfach, das niemand prüft, ist keine Meldestelle. Die zuständige Person muss eingehende Meldungen aktiv überwachen und bearbeiten.

Der Geschäftsführer ist gleichzeitig Meldestelle. Das HinSchG verlangt Unabhängigkeit. Wenn die Meldung den Geschäftsführer selbst betrifft, ist das System wertlos. Besser: eine externe Person oder einen externen Datenschutzbeauftragten beauftragen.

Keine Schulung der zuständigen Person. Fachkunde ist Pflicht. Wer die Meldestelle betreibt, muss das HinSchG kennen und wissen, wie Meldungen rechtssicher bearbeitet werden.

Repressalien gegen Hinweisgeber. Das Gesetz verbietet jede Benachteiligung – Kündigung, Versetzung, Mobbing. Verstöße können mit bis zu 50.000 Euro geahndet werden. Informieren Sie auch Führungskräfte über diesen Schutz.

Wie wichtig eine saubere Datenschutz-Dokumentation für solche Prozesse ist, haben wir in einem separaten Artikel beschrieben. Und warum das Thema Compliance auf der Geschäftsführungsebene aufgehängt sein muss, zeigt unser Beitrag Datenschutz ist Chefsache.

Meldestelle outsourcen – eine Option für KMU

KMU mit 50 bis 249 Beschäftigten dürfen sich eine gemeinsame Meldestelle teilen. Außerdem kann die Meldestelle an externe Dritte ausgelagert werden – zum Beispiel an eine Rechtsanwaltskanzlei, einen Compliance-Dienstleister oder einen externen Datenschutzbeauftragten.

Das Outsourcing hat Vorteile: Die externe Stelle bringt Fachkunde mit, ist unabhängig und übernimmt die technische Infrastruktur. Die Verantwortung bleibt beim Unternehmen – aber die operative Umsetzung liegt in professionellen Händen.

Weitere Informationen zum Hinweisgeberschutzgesetz finden Sie bei der externen Meldestelle des Bundes beim Bundesamt für Justiz und im Gesetzestext auf gesetze-im-internet.de.

Das Wichtigste: Das Hinweisgeberschutzgesetz verpflichtet alle Unternehmen ab 50 Beschäftigten, eine interne Meldestelle zu betreiben. Die Einrichtung ist in wenigen Wochen machbar – besonders wenn Sie die Meldestelle an einen externen Dienstleister auslagern. Wer die Pflicht ignoriert, riskiert Bußgelder und verliert die Chance, interne Missstände frühzeitig zu erkennen.

Meldestelle einrichten?

Wir beraten Sie zur Einrichtung einer datenschutzkonformen Meldestelle – oder übernehmen sie als externe Stelle.

Beratung anfragen →

Häufige Fragen (FAQ)

Ab welcher Unternehmensgröße ist eine Meldestelle Pflicht?

Seit dem 17. Dezember 2023 müssen alle Unternehmen ab 50 Beschäftigten eine interne Meldestelle einrichten. Für Unternehmen ab 250 Beschäftigten gilt die Pflicht bereits seit Juli 2023.

Was passiert, wenn ich keine Meldestelle einrichte?

Es drohen Bußgelder bis zu 20.000 Euro für das Fehlen einer Meldestelle. Zudem können Hinweisgeber sich direkt an die externe Meldestelle beim Bundesamt für Justiz wenden – ohne dass Sie vorab informiert werden.

Kann ich die Meldestelle an einen externen Dienstleister auslagern?

Ja, das Hinweisgeberschutzgesetz erlaubt die Beauftragung eines externen Dritten (§ 14 HinSchG). Für KMU ist das oft die effizienteste Lösung, da die Anforderungen an Vertraulichkeit und Unabhängigkeit intern schwer zu erfüllen sind.

Welche Meldungen fallen unter das Hinweisgeberschutzgesetz?

Verstöße gegen EU-Recht und bestimmtes nationales Recht, darunter Datenschutz, Geldwäsche, Produktsicherheit, Umweltschutz und Vergaberecht. Rein interne Streitigkeiten oder Beschwerden über Arbeitsbedingungen fallen nicht darunter.

Müssen anonyme Meldungen ermöglicht werden?

Ja. Seit der Gesetzesänderung müssen interne Meldestellen auch anonyme Meldungen entgegennehmen und bearbeiten können. Ein digitales Meldesystem mit anonymer Kommunikationsmöglichkeit erfüllt diese Anforderung am einfachsten.

Hinweisgeberschutz für Hamburger Unternehmen

Hamburger Unternehmen ab 50 Mitarbeitern müssen eine interne Meldestelle einrichten. Der HmbBfDI überwacht als zuständige Aufsichtsbehörde die datenschutzkonforme Gestaltung der Meldesysteme. Als Hinweisgeberschutz-Beratung in Hamburg richten wir Ihre Meldestelle rechtskonform ein.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Über den Autor

Jens Hagel

Jens Hagel

Mitgründer & IT-Unternehmer

Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.

21 Jahre IT-Unternehmer statista / brand eins Award Microsoft Partner WatchGuard Gold
Vollständiges Profil LinkedIn
Nächster Schritt

Haben Sie Fragen?

15 Minuten am Telefon mit Nils oder Jens — kostenlos, ohne Verkaufsdruck. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Erstgespräch buchen Weitere Artikel

Lieber erstmal schreiben? Kontaktformular