🇩🇪 Deutschland · HinSchG

Hinweisgebersystem für Deutschland

In Deutschland verpflichtet das Hinweisgeberschutzgesetz (HinSchG) Beschäftigungsgeber mit 50 oder mehr Mitarbeitenden und alle öffentlichen Stellen zur Einrichtung einer internen Meldestelle. Die zuständige Behörde ist das Bundesamt für Justiz (BfJ). Bußgelder erreichen bei juristischen Personen 500.000 €.

Was das HinSchG verlangt

• Eine vertrauliche interne Meldestelle einrichten (§13 HinSchG).
• Meldungen in Schrift, mündlich (Telefon/Anrufbeantworter) und auf Wunsch in persönlicher Zusammenkunft annehmen (§16).
• Eingang innerhalb von 7 Tagen bestätigen (§17(1)).
• Substanzielle Rückmeldung an den Hinweisgebenden binnen 3 Monaten (§17(2), verlängerbar auf 6).
• Vertraulichkeit der Identität von Hinweisgebenden und genannten Dritten wahren (§8).
• Schutz vor Repressalien (§36) mit Umkehr der Beweislast.
• Bearbeiter muss unabhängig und frei von Interessenkonflikten sein (§14(2)).
• Aufzeichnungen mindestens 3 Jahre ab Abschluss aufbewahren (§11(5)).

Was eine BfJ-Inspektion prüft

Aus den im Jahresbericht 2024 und in Anwaltsberichten dokumentierten Inspektionen lassen sich fünf typische Beanstandungen ablesen:

1. Verspätete Eingangsbestätigung (über 7 Tage).
2. Versäumte 3-Monats-Rückmeldung ohne Mitteilung der Verlängerung.
3. Interessenkonflikt des Bearbeiters: meldet an den Vorgesetzten, dessen Verhalten Gegenstand der Meldung sein könnte.
4. Audit-Log editierbar oder nicht vorhanden.
5. Mündlicher Meldekanal (Telefon/Anrufbeantworter) fehlt.

Mitbestimmung des Betriebsrats

§87(1)(1) und §87(1)(6) BetrVG greifen beim Hinweisgeberkanal: technische Einrichtung mit objektiver Überwachungsfähigkeit plus interne Verfahrensordnung. Eine Betriebsvereinbarung Hinweisgeberschutz ist in der Praxis zwingend. Die Verhandlung umfasst typischerweise Datenfelder, Audit-Log- Zugriff, AI-Funktionen, Aufbewahrung und Änderungsmanagement.

Wie Confidly das HinSchG abdeckt

• HinSchG-spezifische Intake-Vorlage: Felder und Hinweise vorbefüllt.
• Anonyme Meldungen: server-generierter Fallcode, 6-stellige PIN; keine E-Mail, keine IP.
• Mündliche Meldungen: Anrufbeantworter mit automatischer Transkription, vom Hinweisgebenden überprüft. Erfüllt §16 HinSchG.
• Reporter-UI auf Deutsch plus 26 weitere EU-Sprachen.
• Automatische Erinnerungen an die 7-Tage- und 3-Monats-Frist.
• AI-Bearbeitungs-Copilot (Pro): Zusammenfassung, Klassifikation, Antwortentwürfe.
• Append-only Audit-Log, exportierbar für BfJ-Inspektion.
• EU-Hosting ausschließlich: bei Hetzner Falkenstein in Deutschland.
• Vorlage Betriebsvereinbarung: vorbereiteter Text für die Verhandlung mit dem Betriebsrat.

Preise für deutsche Unternehmen

Drei Pläne in EUR, MwSt. im Reverse-Charge-Verfahren für EU-B2B. Auswahl nach Mitarbeitenden-Anzahl; alles andere ist enthalten.

Häufig gestellte Fragen: HinSchG

Welche Unternehmen sind nach dem HinSchG verpflichtet?

Beschäftigungsgeber mit 50 oder mehr Mitarbeitenden seit 17. Dezember 2023, davor schon ab 250. Die Schwelle wird je juristischer Person berechnet, nicht je Konzern. Öffentliche Stellen sind unabhängig von der Größe verpflichtet, mit Ausnahme von Gemeinden unter 10.000 Einwohnern.

Was muss eine HinSchG-konforme Meldestelle leisten?

Sie muss vertraulich, sicher und für alle Personen im Schutzbereich zugänglich sein, Meldungen in Schrift, mündlich und auf Wunsch in persönlicher Zusammenkunft annehmen (§16 HinSchG), binnen 7 Tagen eine Eingangsbestätigung abgeben (§17(1)) und binnen 3 Monaten substanzielle Rückmeldung geben (§17(2)). Der Bearbeiter muss unabhängig handeln (§14(2)).

Wie hoch sind die Bußgelder beim HinSchG?

§40 HinSchG sieht Bußgelder bis 50.000 € gegen natürliche Personen (Repressalie) und bis 500.000 € gegen juristische Personen vor. Vorsätzliche Behinderung von Meldungen erreicht 100.000 €. Bußgelder können kumuliert werden, wenn mehrere Verstöße in einer Inspektion festgestellt werden.

Welche Behörde inspiziert?

Das Bundesamt für Justiz (BfJ), Referat IV C 1 in Bonn, betreut den Hinweisgeberschutz auf Bundesebene. Es bearbeitet externe Meldungen, führt Inspektionen interner Kanäle durch und verhängt Verwaltungssanktionen. Land-Datenschutzbehörden befassen sich parallel mit dem DSGVO-Aspekt.

Sind anonyme Meldungen nach dem HinSchG erlaubt?

§16(1) HinSchG sieht vor, dass interne Kanäle anonyme Meldungen 'unterstützen sollen' (Soll-Vorschrift). Operativ unterstützen ca. 92% der deutschen Kanäle anonyme Meldungen, da das BfJ und die Land-Datenschutzbehörden dies erwarten. Confidly unterstützt anonyme Meldungen vollständig.

Ist eine Betriebsvereinbarung zwingend?

§87(1)(1) und §87(1)(6) BetrVG geben dem Betriebsrat Mitbestimmung beim Hinweisgeberkanal als technische Einrichtung, die Verhalten oder Leistung der Mitarbeitenden überwachen kann. Eine Betriebsvereinbarung Hinweisgeberschutz ist daher in praxis zwingend; ohne sie scheitert die Implementierung am Betriebsverfassungsrecht.

Wie lange müssen Aufzeichnungen aufbewahrt werden?

§11(5) HinSchG sieht 3 Jahre ab Abschluss vor. Für Fälle, die in straf- oder zivilrechtliche Verfahren übergehen, verlängert sich die Aufbewahrungspflicht auf das Verfahrensende plus die Verjährungsfrist. Das Audit-Log wird typischerweise 7 Jahre aufbewahrt.