Seit Juli 2023 müssen Unternehmen ab 50 Beschäftigten einen internen Meldekanal betreiben. Wir erklären die technischen Anforderungen des HinSchG, den Datenschutz-Rahmen und vergleichen gängige Softwarelösungen.
Whistleblowing per App: Was das Hinweisgeberschutzgesetz technisch verlangt
Ein Compliance-Verstoß in der Buchhaltung, ein Hinweis auf Korruption im Einkauf oder der Verdacht einer Datenschutzverletzung -- wer solche Missstände aufdeckt, braucht Schutz. Genau diesen Schutz soll das Hinweisgeberschutzgesetz (HinSchG) gewährleisten, das am 2. Juli 2023 in Kraft getreten ist. Doch neben dem rechtlichen Rahmen stellt das Gesetz auch handfeste technische Anforderungen an Unternehmen: Wer muss einen Meldekanal einrichten? Welche Kanäle sind zulässig? Und wie wählt man die passende Softwarelösung aus? Dieser Beitrag gibt einen praxisorientierten Überblick.
Hintergrund: Von der EU-Richtlinie zum deutschen Gesetz
Das HinSchG setzt die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um. Deutschland war dabei keineswegs Vorreiter: Die Richtlinie hätte bereits bis zum 17. Dezember 2021 umgesetzt werden müssen. Erst nach einem Vermittlungsverfahren zwischen Bundestag und Bundesrat und einem Vertragsverletzungsverfahren der EU-Kommission trat das Gesetz schließlich Mitte 2023 in Kraft. Im März 2025 verurteilte der EuGH Deutschland zu einer Strafzahlung von 34 Millionen Euro wegen der verspäteten Umsetzung. Der vollständige Gesetzestext ist auf gesetze-im-internet.de verfügbar.
Wer muss einen internen Meldekanal einrichten?
Die 50-Beschäftigten-Schwelle (§ 12 HinSchG)
Gemäß § 12 HinSchG sind Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten verpflichtet, eine interne Meldestelle einzurichten und zu betreiben. Dabei gelten folgende Besonderheiten:
- Leiharbeitnehmer zählen mit, wenn sie regelmäßig eingesetzt werden
- Konzernlösungen sind möglich: Ein Konzernunternehmen kann die interne Meldestelle für alle Tochtergesellschaften betreiben (§ 14 Abs. 1 HinSchG)
- Kommunen unter 10.000 Einwohnern können eine gemeinsame Meldestelle einrichten
Zeitlicher Rahmen
Für Unternehmen mit 250 oder mehr Beschäftigten gilt die Pflicht seit dem 2. Juli 2023. Unternehmen mit 50 bis 249 Beschäftigten mussten bis zum 17. Dezember 2023 nachrüsten.
Technische Anforderungen an den Meldekanal (§ 16 HinSchG)
Pflichtkanäle: Mündlich, schriftlich und persönlich
§ 16 HinSchG schreibt vor, dass die interne Meldestelle Meldungen in mündlicher oder in Textform entgegennehmen können muss. Konkret bedeutet das:
- Textform (schriftlich): Ein digitales Meldesystem, ein Briefkasten oder eine dedizierte E-Mail-Adresse. Allerdings gilt eine einfache E-Mail-Adresse nach herrschender Meinung als nicht ausreichend, da die Vertraulichkeit nicht hinreichend gewährleistet ist.
- Mündlich: Per Telefon oder mittels einer anderen Art der Sprachübermittlung (z. B. Sprachnachricht über ein digitales System).
- Persönlich: Auf Ersuchen der hinweisgebenden Person muss innerhalb einer angemessenen Frist eine persönliche Zusammenkunft ermöglicht werden.
Vertraulichkeitsgebot (§ 8 HinSchG)
Das Gesetz verlangt, dass die Identität der hinweisgebenden Person sowie der Personen, die Gegenstand einer Meldung sind, vertraulich behandelt wird. Technisch bedeutet das:
- Zugriffsbeschränkung: Nur die für die Bearbeitung zuständigen Personen dürfen auf eingehende Meldungen zugreifen (§ 16 Abs. 2 HinSchG)
- Verschlüsselung: Datenübertragung und -speicherung sollten Ende-zu-Ende-verschlüsselt erfolgen
- Protokollierung: Zugriffe auf das System müssen revisionssicher dokumentiert werden
- Physische Trennung: Die Meldestelle sollte organisatorisch von den übrigen Unternehmensbereichen getrennt sein
Anonymität: Kür, nicht Pflicht -- aber empfohlen
Das HinSchG schreibt keine anonyme Meldemöglichkeit zwingend vor. Allerdings bestimmt § 16 Abs. 1 Satz 5, dass die internen Meldestellen auch anonym eingehende Meldungen bearbeiten sollen. In der Praxis zeigt sich, dass anonyme Kanäle die Meldebereitschaft erheblich steigern -- viele Hinweisgeber melden nur, wenn sie ihre Identität nicht preisgeben müssen.
Datenschutzrechtlicher Rahmen
DSGVO-Compliance als Grundvoraussetzung
Der Betrieb eines Hinweisgebersystems verarbeitet zwangsläufig personenbezogene Daten -- sowohl der hinweisgebenden Person als auch der beschuldigten Person. Die Datenschutz-Grundverordnung (DSGVO) bildet daher den übergeordneten Rahmen.
Rechtsgrundlage der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten im Hinweisgebersystem kommen insbesondere folgende Rechtsgrundlagen in Betracht:
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Für Unternehmen ab 50 Beschäftigten, die gesetzlich zur Einrichtung verpflichtet sind
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Für Unternehmen unterhalb der Schwelle, die freiwillig ein System betreiben
Wesentliche Datenschutzpflichten
Gemäß den FAQ des Landesdatenschutzbeauftragten Baden-Württemberg müssen Unternehmen insbesondere folgende Vorgaben beachten:
- Datenschutz-Folgenabschätzung (DSFA): Aufgrund des hohen Risikos für die betroffenen Personen ist in der Regel eine DSFA erforderlich
- Informationspflichten: Beschäftigte und externe Hinweisgeber müssen gemäß Art. 13, 14 DSGVO über die Datenverarbeitung informiert werden
- Löschfristen: Meldungen und zugehörige Dokumentation sind spätestens drei Jahre nach Abschluss des Verfahrens zu löschen (§ 11 Abs. 5 HinSchG)
- Auftragsverarbeitung: Wird ein externer Dienstleister eingesetzt, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abzuschließen
- Datenminimierung: Es dürfen nur die für die Bearbeitung erforderlichen Daten erhoben werden (Art. 5 Abs. 1 lit. c DSGVO)
Softwarelösungen im Vergleich
Marktüberblick
Der Markt für Whistleblower-Software ist in den letzten Jahren stark gewachsen. Die folgenden drei Lösungen haben sich im deutschsprachigen Raum besonders etabliert:
BKMS System (EQS Group)
Das BKMS System ist eine Lösung für Konzerne und öffentliche Einrichtungen. Es bietet:
- Hochsichere Anonymität durch ein spezielles Postfach-System ohne IP-Tracking
- Zertifizierung nach ISO 27001 und SOC 2
- Mehrsprachigkeit in über 80 Sprachen
- Besonders geeignet für: Großunternehmen und öffentliche Verwaltungen
Hintbox
Hintbox positioniert sich als benutzerfreundliche Lösung mit starkem Fokus auf den deutschen Mittelstand:
- Ende-zu-Ende-Verschlüsselung und Zwei-Faktor-Authentifizierung
- ISO 27001-zertifiziertes Hosting in Deutschland
- Revisionssichere Protokollierung aller Vorgänge
- Besonders geeignet für: Mittelständische Unternehmen mit 50 bis 1.000 Beschäftigten
LegalTegrity
LegalTegrity versteht sich als Compliance-Partner für den Mittelstand und bietet neben der Software auch Outsourcing-Optionen:
- OmbuTegrity: Vollständige Auslagerung der Meldestellenfunktion an externe Ombudspersonen
- Intelligente Workflow-Automatisierung für die Fallbearbeitung
- Über 2.500 Organisationen nutzen die Lösung bereits
- Besonders geeignet für: Unternehmen, die die Meldestelle extern betreiben möchten
Auswahlkriterien
Bei der Auswahl sollten Unternehmen folgende Kriterien berücksichtigen:
- Serverstandort in der EU (idealerweise Deutschland) zur DSGVO-Konformität
- Anonyme Kommunikation mit Hinweisgebern auch nach der Erstmeldung
- Mehrsprachigkeit bei internationaler Belegschaft
- Schnittstellen zu bestehenden Compliance-Systemen
- Kosten: Die Preisspanne reicht von ca. 100 Euro pro Monat für kleine Unternehmen bis zu mehreren tausend Euro für Konzernlösungen
Einen umfassenden Vergleich verschiedener Whistleblower-Software-Lösungen bietet OMR Reviews.
Die externe Meldestelle beim BfJ
Neben dem internen Meldekanal können sich Hinweisgeber auch an die externe Meldestelle des Bundes beim Bundesamt für Justiz (BfJ) wenden. Hinweisgebende Personen haben nach dem HinSchG ein freies Wahlrecht zwischen internem und externem Meldekanal. Unternehmen sollten daher ein Interesse daran haben, ihren internen Kanal so attraktiv und vertrauenswürdig wie möglich zu gestalten -- denn ein gut funktionierender interner Kanal erhöht die Wahrscheinlichkeit, dass Missstände zunächst intern adressiert werden.
Implementierungsleitfaden: In fünf Schritten zum Meldesystem
Schritt 1: Bestandsaufnahme und Planung
- Feststellung der Beschäftigtenzahl und Prüfung der Pflicht
- Definition des sachlichen Anwendungsbereichs (nur HinSchG-Verstöße oder auch interne Richtlinien?)
- Festlegung, ob die Meldestelle intern oder extern betrieben wird
Schritt 2: Organisation der Meldestelle
- Benennung der Meldestellenbeauftragten (intern oder extern)
- Sicherstellung der Fachkunde und Unabhängigkeit (§ 15 HinSchG)
- Schriftliche Verpflichtung zur Vertraulichkeit
Schritt 3: Technische Umsetzung
- Auswahl und Implementierung der Softwarelösung
- Einrichtung der Meldekanäle (digital, telefonisch, persönlich)
- Durchführung einer Datenschutz-Folgenabschätzung
- Abschluss eines Auftragsverarbeitungsvertrags mit dem Softwareanbieter
Schritt 4: Dokumentation und Prozesse
- Erstellung einer Verfahrensordnung für die Meldestelle
- Definition der Bearbeitungsfristen: Eingangsbestätigung innerhalb von 7 Tagen, Rückmeldung innerhalb von 3 Monaten (§ 17 HinSchG)
- Regelung der Eskalationswege bei schwerwiegenden Verstößen
Schritt 5: Kommunikation und Schulung
- Information aller Beschäftigten über die Meldestelle und die verfügbaren Kanäle
- Schulung der Meldestellenbeauftragten in Gesprächsführung und Fallbearbeitung
- Veröffentlichung der Meldestelle auf der Unternehmenswebsite und im Intranet
Sanktionen bei Verstößen (§ 40 HinSchG)
Unternehmen, die ihrer Pflicht nicht nachkommen, riskieren empfindliche Bußgelder:
- Bis zu 50.000 Euro für das Unterlassen der Einrichtung eines internen Meldekanals
- Bis zu 50.000 Euro für Repressalien gegen hinweisgebende Personen
- Bis zu 20.000 Euro für Verstöße gegen das Vertraulichkeitsgebot
Die Durchsetzung obliegt den zuständigen Landesbehörden. In der Praxis sind insbesondere Repressalien gegen Whistleblower ein hohes Haftungsrisiko, da betroffene Personen neben dem Bußgeld auch Schadensersatzansprüche geltend machen können (§ 37 HinSchG).
Fazit
Das Hinweisgeberschutzgesetz stellt Unternehmen vor eine doppelte Herausforderung: Sie müssen nicht nur den rechtlichen Rahmen einhalten, sondern auch eine technisch robuste und datenschutzkonforme Lösung implementieren. Die gute Nachricht: Der Markt bietet mittlerweile ausgereifte Softwarelösungen für jede Unternehmensgröße. Entscheidend ist, die Implementierung nicht als lästige Pflicht zu betrachten, sondern als Chance, eine offene Compliance-Kultur zu fördern. Ein gut implementiertes Hinweisgebersystem schützt nicht nur die Hinweisgeber -- es schützt das gesamte Unternehmen.
Bei compleneo unterstützen wir Sie bei der rechtssicheren Implementierung Ihres Hinweisgebersystems -- von der Auswahl der passenden Software über die datenschutzrechtliche Dokumentation bis hin zur Schulung Ihrer Meldestellenbeauftragten. Sprechen Sie uns an.
