Hinweisgeberschutzgesetz (HSchG): Compliance und Dokumentationspflichten 2026
Vollständige Dokumentationspflichten nach dem Hinweisgeberschutzgesetz (HSchG) und EU-Richtlinie 2019/1937: Meldekanäle, Fristen, Datenschutz und Bußgelder für deutsche Unternehmen.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokRechtlicher Hinweis: Dieser Artikel dient ausschließlich Informationszwecken. Die beschriebenen Pflichten beruhen auf der EU-Richtlinie 2019/1937 und dem Hinweisgeberschutzgesetz (HSchG). Konsultieren Sie für Ihre spezifische Situation rechtlichen Beistand.
Der Schutz von Hinweisgebern ist in Deutschland mit dem Hinweisgeberschutzgesetz (HSchG) vom 2. Juli 2023 zur verbindlichen Rechtspflicht geworden. Alle Unternehmen mit 50 oder mehr Beschäftigten müssen einen gesicherten internen Meldekanal einrichten — andernfalls drohen Bußgelder von bis zu 50.000 €. Dieser Leitfaden erläutert die konkreten Dokumentationspflichten, die Ihr Compliance-Team erfüllen muss.
Anwendungsbereich: Wer ist verpflichtet?
Das HSchG setzt die EU-Richtlinie 2019/1937 in deutsches Recht um und folgt den europäischen Schwellenwerten:
| Schwellenwert | Verpflichtend seit | Unternehmenstyp |
|---|---|---|
| 250 oder mehr Beschäftigte | 2. Juli 2023 | Privatwirtschaft, Stiftungen, Vereine |
| 50 bis 249 Beschäftigte | 17. Dezember 2023 | Privatwirtschaft |
| Jede Größe | Sofort | Finanzsektor, Kapitalmarkt, öffentliche Vergabe |
| Behörden ab 50 Mitarbeitenden | 17. Dezember 2023 | Öffentlicher Sektor |
Finanzdienstleister unterliegen unabhängig von ihrer Größe erweiterten Pflichten. Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) verlangt, dass Kreditinstitute, Wertpapierfirmen und Versicherungsunternehmen Hinweisgebersysteme betreiben, die sowohl dem HSchG als auch den sektorspezifischen Anforderungen entsprechen.
Der sachliche Anwendungsbereich umfasst Verstöße gegen EU-Recht und deutsches Recht in Bereichen wie: Finanzdienstleistungen, Geldwäsche (GwG), öffentliche Vergabe, Datenschutz (DSGVO), Umweltrecht, Lebensmittelsicherheit, Volksgesundheit und Wettbewerbsrecht. Rein interne Arbeitsstreitigkeiten fallen grundsätzlich nicht in den Anwendungsbereich.
Vier grundlegende Dokumentationspflichten
Ein HSchG-konformes Hinweisgeberprogramm erfordert vier dokumentierte Säulen, die Ihr Compliance-Programm systematisch abdecken muss.
1. Das Verfahrensverzeichnis (Meldungsregister)
Das HSchG (§ 11) verlangt ein sicheres, vertrauliches Verzeichnis jeder eingegangenen Meldung. Jeder Eintrag muss das Eingangsdatum, die Art des gemeldeten Verstoßes, die ergriffenen Folgemaßnahmen und das Abschlussdatum enthalten. Das Register muss durch Zugriffskontrollen und Prüfprotokolle gesichert sein.
Aufbewahrungsfrist: mindestens drei Jahre nach Abschluss des Verfahrens, verlängert, wenn gerichtliche oder disziplinarische Verfahren anhängig sind. Das Bundesamt für Justiz (BfJ) — die externe Meldestelle des Bundes — kann diese Unterlagen im Rahmen von Prüfungen anfordern.
2. Vertraulichkeits- und Datenschutzrichtlinie
Die Identität des Hinweisgebers muss streng vertraulich bleiben. § 8 HSchG verbietet die Offenlegung der Identität des Meldenden ohne dessen ausdrückliche Einwilligung. Diese Schutzpflicht gilt auch für Personen, die in die Bearbeitung der Meldung eingebunden sind.
Die Dokumentationsrichtlinie muss festlegen:
- Die namentlich genannten Personen mit genehmigtem Zugriff auf Meldungen
- Pseudonymisierungsverfahren für identifizierende Daten
- Sichere Vernichtungsprotokolle nach Ablauf der Aufbewahrungsfrist
- Technische Maßnahmen: Verschlüsselung, starke Authentifizierung, Zugangsprotokolle
Nach DSGVO-Artikel 35 ist vor der Einführung eines Hinweisgeberkanals eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend, da die Verarbeitung als Hochrisikoverarbeitung gilt. Der Bundesbeauftragte für den Datenschutz (BfDI) sowie die Landesdatenschutzbehörden haben Orientierungshilfen für Hinweisgebersysteme veröffentlicht.
3. Eingangsbestätigung und Rückmeldefristen
Die Richtlinie 2019/1937 (Artikel 9) legt strenge Verfahrensfristen fest, die im HSchG (§ 17) übernommen wurden:
| Schritt | Gesetzliche Frist |
|---|---|
| Eingangsbestätigung an den Hinweisgeber | 7 Tage nach Eingang |
| Rückmeldung über ergriffene oder geplante Maßnahmen | 3 Monate ab Eingangsbestätigung |
| Abschluss des Verfahrens mit Begründung | Nach Abschluss der Maßnahmen oder Entscheidung zur Einstellung |
Jede Eingangsbestätigung und Folgemitteilung muss mit Zeitstempel archiviert werden. Automatisierte Dokumenten-Workflow-Tools — wie CheckFile — erzeugen prüfbare Ereignisprotokolle, die diese Anforderung ohne manuellen Aufwand erfüllen.
4. Die interne Verfahrensbeschreibung
Unternehmen müssen ihre internen Meldekanal-Verfahren dokumentieren und veröffentlichen, damit Beschäftigte, Auftragnehmer und Dritte sie finden und nutzen können. Das HSchG (§ 7) verlangt, dass diese Information "leicht zugänglich" und "gut sichtbar" ist.
Die Dokumentation muss enthalten: wie eine Meldung eingereicht wird (schriftlich oder mündlich), wer Meldungen empfängt und bearbeitet, die geltenden Vertraulichkeitsregeln, welcher Schutz gilt und wie an einen externen Kanal eskaliert wird. Dieses Dokument sollte mindestens jährlich überprüft werden.
Interne versus externe Meldekanäle
Das HSchG stellt eine Kanalrangfolge auf. Hinweisgeber sollen grundsätzlich zunächst den internen Kanal nutzen, es sei denn, sie haben hinreichende Gründe anzunehmen, dass dieser wirkungslos oder befangen ist, oder dass seine Nutzung sie Repressalien aussetzen würde.
Interner Kanal: geführt von einem beauftragten Compliance-Beauftragten oder einem mandatierten Dritten. Sowohl schriftliche als auch mündliche Optionen müssen verfügbar sein. Die benannte Person muss in Bezug auf die gemeldeten Angelegenheiten funktional unabhängig vom Linienmanagement sein. Unternehmen mit 50 bis 249 Beschäftigten können gemäß § 14 HSchG einen gemeinsamen internen Kanal mit anderen Unternehmen betreiben.
Externer Kanal: das Bundesamt für Justiz (BfJ) ist die zentrale externe Meldestelle des Bundes. Sektoral sind die BaFin (für Finanzinstitute), die Bundesnetzagentur und das Bundesamt für Verbraucherschutz zuständig.
Öffentliche Offenlegung: ein letztes Mittel, nur gerechtfertigt, wenn interne und externe Kanäle versagt haben oder unmittelbare Gefahr für das öffentliche Interesse besteht.
Ihre interne Dokumentation muss diese Hierarchie klar darlegen und die zuständigen externen Behörden für Ihren Sektor benennen.
Bereit, Ihre Prüfungen zu automatisieren?
Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.
Kostenloses Pilotprojekt anfragenIdentitätsprüfung und Dokumentenverwaltung
Eine häufige Frage von Compliance-Teams: Können wir verlangen, dass der Hinweisgeber seine Identität offenlegt? Die Antwort ist differenziert.
Das HSchG erlaubt anonyme Meldungen: § 16 Abs. 1 legt fest, dass interne Meldestellen anonyme Meldungen bearbeiten sollen, ohne dazu verpflichtet zu sein. In der Praxis empfiehlt sich ein Kanal, der sowohl identifizierte als auch anonyme Meldungen akzeptiert, um das Meldevolumen zu maximieren.
Wenn ein Hinweisgeber seine Identität angibt, sollte die Verifizierung verhältnismäßig sein: Bestätigung der organisatorischen Zugehörigkeit (Unternehmens-E-Mail, Mitarbeiternummer) ohne zusätzliche Identitätsdokumente, die abschreckend wirken könnten. Für Dritte — Lieferanten, Subunternehmer — kann die Überprüfung der Vertragsbeziehung eine standardisierte Dokumentenprüfung erfordern.
Die CheckFile-Plattform unterstützt mehr als 3.200 Dokumententypen in 32 Jurisdiktionen und ermöglicht eine verhältnismäßige Verifizierung von Berufsnachweisen ohne abschreckende Wirkung auf den Meldeprozess.
Bußgelder und Durchsetzung
Das HSchG sieht einen gestaffelten Bußgeldrahmen vor (§ 40):
Ordnungswidrigkeiten mit Bußgeldern bis zu 50.000 €: Unterlassen der Einrichtung eines internen Meldekanals trotz gesetzlicher Verpflichtung; Beeinträchtigung der Tätigkeit der Meldestelle.
Ordnungswidrigkeiten mit Bußgeldern bis zu 100.000 €: Repressalien gegen Hinweisgeber; Offenbarung der Identität entgegen § 8 HSchG.
Diese Bußgelder kommen zu möglichen Schadensersatzansprüchen der betroffenen Hinweisgeber nach § 37 HSchG hinzu. Für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, empfiehlt sich eine dokumentierte Compliance-Risikobewertung, die länderspezifische Sanktionen und Durchsetzungsbehörden kartiert.
Zusammenspiel mit GwG und anderen Meldepflichten
Der Hinweisgeberkanal ist streng von der Meldepflicht verdächtiger Transaktionen an die Financial Intelligence Unit (FIU) nach dem Geldwäschegesetz (GwG) zu trennen. Diese Pflichten müssen in internen Verfahren getrennt gehalten werden, um Verwechslungen bei Mitarbeitenden zu vermeiden.
Ebenso operieren Meldungen von Datenschutzverletzungen an Aufsichtsbehörden (72-Stunden-Frist nach DSGVO-Artikel 33) unter einem anderen Rechtsrahmen. Integrieren Sie die jährliche Überprüfung des Hinweisgeberkanals in Ihre Compliance-Audit-Checkliste und lesen Sie unseren Leitfaden Dokumenten-Compliance für einen integrierten Ansatz.
Häufig gestellte Fragen
Ist ein Unternehmen mit 60 Beschäftigten wirklich zur Einrichtung eines Hinweisgeberkanals verpflichtet?
Ja. Seit dem 17. Dezember 2023 müssen alle privaten Unternehmen mit 50 oder mehr Beschäftigten einen internen Hinweisgeberkanal gemäß HSchG betreiben. Das Fehlen eines konformen Kanals ist eine Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000 €. Kleinstunternehmen unter 10 Mitarbeitenden sind nicht erfasst.
Können externe Lieferanten den internen Kanal des Unternehmens nutzen?
Ja. Das HSchG erweitert den Schutz auf Hinweisgeber, die keine Arbeitnehmer im engen Sinne sind: Selbstständige, Auftragnehmer, Lieferanten, Aktionäre und Personen, die unter Aufsicht des Unternehmens tätig sind. Die Dokumentation des Kanals muss ausdrücklich angeben, dass er auch diesen Gruppen offensteht.
Wie lange müssen Meldevorgänge aufbewahrt werden?
Mindestens drei Jahre nach Abschluss des Verfahrens. Sind beim Abschluss noch gerichtliche oder disziplinarische Verfahren anhängig, verlängert sich die Aufbewahrung bis zu deren endgültigen Abschluss. Legen Sie diese Frist in Ihrem DSGVO-Verarbeitungsverzeichnis (VVT) fest.
Was passiert, wenn eine Meldung sich als unbegründet erweist?
Die benannte Person muss den Hinweisgeber innerhalb der 3-Monats-Frist über die Entscheidung informieren, das Verfahren einzustellen — unter Angabe der Gründe, aber ohne vertrauliche Informationen über Dritte preiszugeben. Der Vorgang wird für die gesetzliche Frist archiviert, auch bei Einstellung. Gutgläubige Hinweisgeber sind geschützt, auch wenn sich die Information als unrichtig herausstellt.
Kann das Bundesamt für Justiz unser System prüfen?
Ja. Das BfJ als externe Bundesmeldestelle hat Auskunftsrechte und kann Unterlagen über das System, bearbeitete Meldungen und ergriffene Maßnahmen anfordern. Ein aktuell geführtes Register und dokumentierte Verfahren sind die beste Vorbereitung auf eine Prüfung.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.