Was sagt das Hinweisgeberschutzgesetz?

Das HinSchG verpflichtet Beschäftigungsgeber mit 50 oder mehr Beschäftigten zur Einrichtung einer vertraulichen internen Meldestelle und verbietet jegliche Repressalien gegen hinweisgebende Personen (§36 HinSchG). Eingang einer Meldung muss binnen 7 Tagen bestätigt werden (§17(1)), Rückmeldung binnen 3 Monaten (§17(2)).

Welche Verstöße fallen unter das Hinweisgeberschutzgesetz?

§2 HinSchG erfasst Straftaten, bestimmte Ordnungswidrigkeiten und Verstöße im sachlichen Anwendungsbereich des EU-Rechts (Geldwäsche, Datenschutz, Produktsicherheit, Umweltschutz, öffentliche Auftragsvergabe, Verbraucherschutz, Netzwerksicherheit, finanzielle Interessen der EU, Steuerrecht).

Wann ist das HinSchG anwendbar?

Wenn die Meldung in den sachlichen Anwendungsbereich (§2) fällt und in einem beruflichen Kontext erlangte Informationen betrifft. Privatrechtliche Unternehmen mit 50+ Beschäftigten sind seit 17. Dezember 2023 verpflichtet; öffentliche Stellen unabhängig von der Größe.

Wer braucht ein Hinweisgebersystem?

Jeder Beschäftigungsgeber mit 50 oder mehr Beschäftigten (privat und öffentlich), sowie öffentliche Stellen unabhängig von der Größe. Ausnahme: Gemeinden unter 10.000 Einwohnern. Der Schwellenwert wird je juristischer Person berechnet, nicht je Konzern.

Wie hoch sind die Bußgelder bei Verstoß gegen das HinSchG?

§40 HinSchG sieht Verwaltungsgeldbußen bis 50.000 € gegen natürliche Personen (z.B. Repressalie) und bis 500.000 € gegen juristische Personen vor. Vorsätzliche Behinderung von Meldungen erreicht 100.000 €. Bußgelder können kumuliert werden.

Sind anonyme Meldungen nach dem HinSchG erlaubt?

§16(1) HinSchG enthält eine Soll-Vorschrift: interne Meldekanäle sollen anonyme Meldungen ermöglichen. Operativ unterstützen etwa 92% der deutschen Kanäle anonyme Meldungen, da das BfJ und die Land-Datenschutzbehörden dies erwarten. Confidly unterstützt anonyme Meldungen vollständig.

Welche Behörde inspiziert die Einhaltung des HinSchG?

Das Bundesamt für Justiz (BfJ), Referat IV C 1 in Bonn, ist für den Hinweisgeberschutz auf Bundesebene zuständig. Es bearbeitet externe Meldungen, führt Inspektionen interner Kanäle durch und verhängt Verwaltungssanktionen. Land-Datenschutzbehörden befassen sich parallel mit dem DSGVO-Aspekt.

🇩🇪 Deutschland · Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz (HinSchG)

Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Beschäftigungsgeber in Deutschland mit 50 oder mehr Beschäftigten zur Einrichtung einer vertraulichen internen Meldestelle. In Kraft seit 2. Juli 2023, für 50-249 Beschäftigte seit 17. Dezember 2023. Bußgelder bis 500.000 €. Aufsichtsbehörde: Bundesamt für Justiz (BfJ).

Bußgeldrisiko Ihres Unternehmens unter dem HinSchG berechnen: Bußgeldrechner.

Kerneckpunkte HinSchG

Gesetz	Hinweisgeberschutzgesetz vom 31. Mai 2023
In Kraft seit	2. Juli 2023 (250+); 17. Dezember 2023 (50-249)
Schwellenwert	50+ Beschäftigte (privat), alle Größen (öffentlich)
Aufsichtsbehörde	Bundesamt für Justiz (BfJ), Bonn
Eingangsbestätigung	7 Tage (§17(1))
Rückmeldung	3 Monate, verlängerbar auf 6 (§17(2))
Bußgelder	Bis 50.000 € (natürliche Person), bis 500.000 € (juristische Person)

Die 12 Pflichten aus dem HinSchG

Interne Meldestelle einrichten (§13 HinSchG), vertraulich, sicher, ressourcenausgestattet.
Drei Meldewege ermöglichen (§16): schriftlich, mündlich (Telefon/Anrufbeantworter), persönliches Treffen auf Wunsch.
Anonyme Meldungen unterstützen (§16(1)), Soll-Vorschrift, in der Praxis erwartet.
Eingang binnen 7 Tagen bestätigen (§17(1)).
Sachliche Rückmeldung binnen 3 Monaten (§17(2)), verlängerbar auf 6 Monate mit Mitteilung.
Vertraulichkeit der Identität der hinweisgebenden Person und genannter Dritter wahren (§8).
Bearbeiter muss unabhängig sein (§14(2)), frei von Interessenkonflikten in den betreuten Fällen.
Repressalienschutz mit umgekehrter Beweislast (§36).
Dokumentation aller Meldungen mindestens 3 Jahre ab Abschluss (§11(5)).
Information aller Beschäftigten über das interne Meldeverfahren und externe Stellen (§13).
Betriebsvereinbarung nach §87(1)(6) BetrVG für die technische Einrichtung verhandeln.
DPIA und Verzeichnis von Verarbeitungstätigkeiten (Art. 30, 35 DSGVO) erstellen.

Bußgelder im Detail (§40 HinSchG)

Verstoß	Natürliche Person	Juristische Person
Keine Meldestelle eingerichtet	-	bis 20.000 €
Repressalie gegen hinweisgebende Person	bis 50.000 €	bis 500.000 €
Vorsätzliche Behinderung von Meldungen	bis 100.000 €	bis 500.000 €
Vorsätzliche Offenlegung der Identität	bis 50.000 €	bis 500.000 €

Was BfJ-Inspektionen 2024-2026 am häufigsten beanstanden

Verspätete Eingangsbestätigung (über 7 Tage).
Versäumte 3-Monats-Rückmeldung ohne Mitteilung der Verlängerung.
Interessenkonflikt des Bearbeiters, meldet an Vorgesetzten, dessen Verhalten Gegenstand der Meldung sein könnte.
Audit-Log editierbar oder nicht vorhanden.
Mündlicher Meldekanal (Telefon/Anrufbeantworter) fehlt.

Details und Fallbeispiele: HinSchG-Vollzug nach zwei Jahren, was BfJ-Inspektionen tatsächlich prüfen .

Preise für deutsche Unternehmen

Drei Pläne, in EUR. Reverse-Charge-MwSt. für EU-B2B. HinSchG-Intake auf jedem Tier vorinstalliert.

Preise ansehen

Starter

50-100 employees

€49/mo

Kostenlos testen

Pro

100-500 employees

€149/mo

Kostenlos testen

Multi-Entity

1000+ employees / holdings

€399/mo

Kostenlos testen Mehrere Tochtergesellschaften? Sprechen Sie mit uns →

Verhältnis zur EU-Hinweisgeberrichtlinie 2019/1937

Das HinSchG setzt die EU-Hinweisgeberrichtlinie 2019/1937 in deutsches Recht um. Wo das HinSchG enger oder weiter geht: §2 begrenzt den sachlichen Anwendungsbereich auf die in der Richtlinie genannten Themenfelder plus ausgewählte deutsche Straftatbestände; das HinSchG geht in den Bußgeldhöhen (§40: bis 500.000 € gegen Unternehmen) deutlich über das EU-Minimum hinaus. Vollständiger Vergleich: EU-Richtlinie 2019/1937 Leitfaden.

Wie Confidly das HinSchG abdeckt

HinSchG-spezifische Intake-Vorlage: Felder und Hinweise vorbefüllt.
Anonyme Meldungen: server-generierter Fallcode, 6-stellige PIN; keine E-Mail, keine IP.
Mündliche Meldungen: Anrufbeantworter mit automatischer Transkription, vom Hinweisgebenden überprüft. Erfüllt §16 HinSchG.
Reporter-UI auf Deutsch plus 26 weitere EU-Sprachen.
Automatische Erinnerungen an die 7-Tage- und 3-Monats-Frist.
AI-Bearbeitungs-Copilot (Pro): Zusammenfassung, Klassifikation, Antwortentwürfe.
Append-only Audit-Log, exportierbar für BfJ-Inspektion.
EU-Hosting ausschließlich bei Hetzner Falkenstein.
Vorlage Betriebsvereinbarung nach §87(1)(6) BetrVG.

Häufig gestellte Fragen, HinSchG

Was sagt das Hinweisgeberschutzgesetz?: Das HinSchG verpflichtet Beschäftigungsgeber mit 50 oder mehr Beschäftigten zur Einrichtung einer vertraulichen internen Meldestelle und verbietet jegliche Repressalien gegen hinweisgebende Personen (§36 HinSchG). Eingang einer Meldung muss binnen 7 Tagen bestätigt werden (§17(1)), Rückmeldung binnen 3 Monaten (§17(2)).
Welche Verstöße fallen unter das Hinweisgeberschutzgesetz?: §2 HinSchG erfasst Straftaten, bestimmte Ordnungswidrigkeiten und Verstöße im sachlichen Anwendungsbereich des EU-Rechts (Geldwäsche, Datenschutz, Produktsicherheit, Umweltschutz, öffentliche Auftragsvergabe, Verbraucherschutz, Netzwerksicherheit, finanzielle Interessen der EU, Steuerrecht).
Wann ist das HinSchG anwendbar?: Wenn die Meldung in den sachlichen Anwendungsbereich (§2) fällt und in einem beruflichen Kontext erlangte Informationen betrifft. Privatrechtliche Unternehmen mit 50+ Beschäftigten sind seit 17. Dezember 2023 verpflichtet; öffentliche Stellen unabhängig von der Größe.
Wer braucht ein Hinweisgebersystem?: Jeder Beschäftigungsgeber mit 50 oder mehr Beschäftigten (privat und öffentlich), sowie öffentliche Stellen unabhängig von der Größe. Ausnahme: Gemeinden unter 10.000 Einwohnern. Der Schwellenwert wird je juristischer Person berechnet, nicht je Konzern.
Wie hoch sind die Bußgelder bei Verstoß gegen das HinSchG?: §40 HinSchG sieht Verwaltungsgeldbußen bis 50.000 € gegen natürliche Personen (z.B. Repressalie) und bis 500.000 € gegen juristische Personen vor. Vorsätzliche Behinderung von Meldungen erreicht 100.000 €. Bußgelder können kumuliert werden.
Sind anonyme Meldungen nach dem HinSchG erlaubt?: §16(1) HinSchG enthält eine Soll-Vorschrift: interne Meldekanäle sollen anonyme Meldungen ermöglichen. Operativ unterstützen etwa 92% der deutschen Kanäle anonyme Meldungen, da das BfJ und die Land-Datenschutzbehörden dies erwarten. Confidly unterstützt anonyme Meldungen vollständig.
Welche Behörde inspiziert die Einhaltung des HinSchG?: Das Bundesamt für Justiz (BfJ), Referat IV C 1 in Bonn, ist für den Hinweisgeberschutz auf Bundesebene zuständig. Es bearbeitet externe Meldungen, führt Inspektionen interner Kanäle durch und verhängt Verwaltungssanktionen. Land-Datenschutzbehörden befassen sich parallel mit dem DSGVO-Aspekt.