Laden Sie jetzt einen unserer Leitfäden zur Lieferkette, EUDR, CSRD/VSME & ESG-Compliance herunter Mehr erfahren →
lawcode Logo
ENEN
Jetzt testen Persönliche Demo
Jetzt testen Persönliche Demo
HinSchG 28. Mai 2026 · 6 Min Lesezeit

Meldestelle in Unternehmensgruppen: Gemeinsame Konzernlösung oder eigene Systeme für Tochtergesellschaften?

Zentrale oder dezentrale Meldestelle? Für Unternehmensgruppen ist die ressourcenschonende Umsetzung des Hinweisgeberschutzgesetzes (HinSchG) eine strategische Herausforderung. Die Frage, ob eine zentrale Lösung bei der Muttergesellschaft ausreicht oder jede Tochtergesellschaft ein eigenes System betreiben muss, führt in der Praxis häufig zu Rechtsunsicherheit. Grund dafür sind die teils widersprüchlichen Signale zwischen den Vorgaben der EU-Kommission und dem pragmatischen Kurs des deutschen Gesetzgebers. Dieser Leitfaden schafft Klarheit. Wir durchleuchten das Konzernprivileg, bewerten die rechtlichen Risiken und bieten praxisnahe Lösungsansätze, um Ihr Hinweisgebersystem konzernweit rechtssicher, datenschutzkonform und effizient zu strukturieren.

Matthias Klein

Matthias Klein

ESG-Compliance Experte · lawcode GmbH
Teilen:
Meldestelle in Unternehmensgruppen: Gemeinsame Konzernlösung oder eigene Systeme für Tochtergesellschaften?
Inhaltsverzeichnis

Wichtige Fakten

Darf eine zentrale Meldestelle für den gesamten Konzern betrieben werden?
Zwar ist eine Ressourcenteilung erlaubt, jedoch müssen Tochtergesellschaften ab 250 Mitarbeitenden zwingend ein eigenes Meldesystem bereitstellen, dessen operativer Betrieb aber an die Konzernmutter ausgelagert werden darf.
Wer haftet, wenn die Muttergesellschaft die Hinweise zentral bearbeitet?
Auch bei einer zentralen Meldestelle gilt: Die rechtliche Verantwortung lässt sich nicht delegieren. Es ist und bleibt die jeweilige Tochtergesellschaft, die den Missstand beheben und den Hinweisgeber schützen muss.
Ab welcher Mitarbeiterzahl greift die Pflicht für die Tochtergesellschaften?
Jede rechtlich eigenständige juristische Person innerhalb einer Unternehmensgruppe muss ab einer Schwelle von 50 Beschäftigten verpflichtend eine interne Meldestelle anbieten.
Welche technischen und datenschutzrechtlichen Anforderungen gelten für die Konzern-Software?
Die Whistleblowing-Software muss zwingend mandantenfähig sein, um eine strikte und DSGVO-konforme Datentrennung zwischen den einzelnen Tochtergesellschaften sicherzustellen.
Lassen sich die HinSchG-Pflichten mit anderen Compliance-Anforderungen kombinieren?
Eine klug konfigurierte Software lässt sich hocheffizient als zentraler Beschwerdekanal nutzen, der gleichzeitig die Anforderungen des Hinweisgeberschutzgesetzes, des Lieferkettengesetzes (LkSG) und des ESG-Reportings bündelt.

Executive Summary

Für Unternehmensgruppen bietet das HinSchG durchaus Spielraum für effiziente, zentrale Lösungen, vorausgesetzt, die Umsetzung ist präzise. Während kleinere Töchter (50–249 Mitarbeitende) eine gemeinsame Meldestelle betreiben dürfen, müssen Einheiten ab 250 Beschäftigten eigene Systeme vorweisen. Der operative Betrieb kann jedoch in beiden Fällen zentral über die Holding laufen.

Der entscheidende Faktor: Die rechtliche Verantwortung bleibt stets bei der lokalen Tochtergesellschaft. Um Haftungsrisiken und DSGVO-Verstöße zu vermeiden, ist eine mandantenfähige Software zur strikten Datentrennung zwingend erforderlich. Richtig umgesetzt, wird die gesetzliche Pflicht jedoch zum strategischen Vorteil. Ein gut strukturiertes, zentralisiertes System senkt Kosten und lässt sich problemlos auf weitere Anforderungen wie das Lieferkettengesetz (LkSG) oder das ESG-Reporting erweitern.

Kein Update rund um das HinSchG mehr verpassen.

Neue Fachbeiträge, regulatorische Updates und Praxis-Tipps, direkt in Ihr Postfach. Einmal pro Woche, kein Spam.

Kein Spam Jederzeit abmelden DSGVO-konform

Die Rechtslage

Um zu verstehen, warum die gruppenweite Umsetzung so anspruchsvoll ist, lohnt sich ein Blick auf die rechtlichen Rahmenbedingungen: Hier trifft die europäische Richtlinie auf eine teils abweichende nationale Gesetzgebung.

Die strenge Auslegung der EU-Kommission

Die EU-Whistleblower-Richtlinie verfolgt ein klares Ziel: Der Hinweisgeber soll direkt vor Ort bestmöglich geschützt werden. Deshalb hat die EU-Kommission eine unmissverständliche Ansage gemacht: Ein pauschales „Konzernprivileg“ gibt es nicht. Jede rechtlich eigenständige Tochtergesellschaft ab 50 Mitarbeitenden braucht einen eigenen Meldekanal.

Der Grund dafür ist simpel und nachvollziehbar: Die EU möchte, dass Meldungen im direkten Arbeitsumfeld bleiben. Wer Missstände meldet, soll sich verstanden fühlen, sprachlich wie kulturell. Müsste sich ein Mitarbeiter an eine weit entfernte Konzernmutter wenden, wäre die Hemmschwelle schlichtweg zu hoch.

Der deutsche Sonderweg: Ressourcenteilung nach § 14 HinSchG

Der deutsche Gesetzgeber hat diesen praxisfernen und extrem kostenintensiven Ansatz der EU erkannt und sich im HinSchG für eine unternehmensfreundlichere Lösung entschieden, das "Konzernprivileg durch die Hintertür".

Nach § 14 Abs. 1 HinSchG ist es zulässig, dass Unternehmen Dritte mit den Aufgaben der internen Meldestelle betrauen. Der Clou: Als "Dritter" im Sinne des Gesetzes kann auch eine andere Konzerngesellschaft fungieren. Somit darf die Muttergesellschaft als zentraler Dienstleister (Dritter) die Meldestelle Konzernweit betreiben, Hinweise entgegennehmen, den Sachverhalt aufklären (Investigation) und Folgemaßnahmen empfehlen.

Achtung Stolperfalle: Die Haftung lässt sich nicht auslagern

Es kann zwar die operative Arbeit an die Konzernzentrale abgegeben werden, niemals aber die rechtliche Verantwortung. Das HinSchG (§ 14) zieht hier eine klare Grenze: Die jeweilige Tochtergesellschaft bleibt am Ende immer selbst in der Pflicht. Sie muss garantieren, dass der gemeldete Missstand behoben wird, der Hinweisgeber fristgerecht seine Rückmeldungen erhält (Eingangsbestätigung nach 7 Tagen, Feedback nach 3 Monaten) und absolute Vertraulichkeit gewahrt bleibt.

Achtung Schwellenwerte: Die kritische Unterscheidung nach Unternehmensgröße

Auch wenn § 14 HinSchG die Ressourcenteilung im Konzern grundsätzlich erlaubt, lauert in der Praxis eine gefährliche rechtliche Falle: Die Zulässigkeit einer zentralen Lösung hängt massiv von der Größe der jeweiligen Tochtergesellschaft ab. Hier hat die EU-Kommission (zuletzt mit einer Klarstellung im Jahr 2025) unmissverständlich rote Linien gezogen, die das deutsche Gesetz wie folgt adaptiert:

  • 50 bis 249 Mitarbeitende: Gemeinsame Meldestelle erlaubt. Nach § 14 Abs. 2 HinSchG dürfen diese Gesellschaften eine echte gemeinsame interne Meldestelle einrichten und betreiben. Die Muttergesellschaft darf die operative Entgegennahme und Erstprüfung als "geteilte Einrichtung" bündeln. Die rechtliche Letztverantwortung (Behebung des Missstands) bleibt jedoch bei der Tochter.
  • Ab 250 Mitarbeitenden: Eigene Meldestelle zwingend erforderlich. Für diese großen Töchter ist eine bloß "geteilte Einrichtung" unzulässig. Jede dieser rechtlich eigenständigen Einheiten muss ein eigenes, funktionierendes internes Meldesystem bereitstellen. Ein reiner Verweis auf eine übergeordnete Konzern-Hotline verstößt gegen die EU-Richtlinie. Der Ausweg: Die Tochter darf den Betrieb ihrer (eigenen) Meldestelle an die Holding als Dienstleister auslagern, dies erfordert zwingend eine strikte technische Mandantentrennung im System.

Zentral vs. Dezentral: Die Betriebsmodelle im Vergleich

Aus den rechtlichen Rahmenbedingungen ergeben sich für Unternehmensgruppen zwei mögliche Betriebsmodelle.

Dezentrale Lösung: Jedes Unternehmen (ab 50 MA) führt ein eigenes System

Bei diesem Modell betreibt jede Tochtergesellschaft (z.B. GmbH, AG) ab 50 Mitarbeitenden autark eine interne Meldestelle.

  • Vorteile: Die Haftungstrennung ist absolut sauber. Datentransfers zwischen Konzerneinheiten, die datenschutzrechtlich oft heikel sind, entfallen. Lokale Betriebsratsvereinbarungen lassen sich genau schließen.
  • Nachteile: Der Ansatz ist administrativ und finanziell eine enorme Belastung. Für jede Tochtergesellschaft müssen Compliance-Beauftragte (Meldestellenbeauftragte) ernannt, geschult und in ihren Kapazitäten freigestellt werden. Lizenzkosten für Software multiplizieren sich.

Zentrale Konzernlösung: Die Meldestelle bei der Muttergesellschaft

Hier übernehmen zentrale Stabsstellen (z.B. Group Compliance oder Group HR) der Holding die operativen Aufgaben für den Hinweisegeberschutz.

  • Vorteile: Massive Kosteneinsparungen durch Synergieeffekte und Ressourcenteilung. Eingehende Hinweise werden durch spezialisierte, erfahrene Ermittler (Investigators) der Muttergesellschaft professioneller bearbeitet. Es herrscht ein einheitlicher Compliance-Standard in der gesamten Unternehmensgruppe.
  • Nachteile / Voraussetzungen: Zwingende Notwendigkeit technischer Mandantenfähigkeit der Hinweisgebersoftware. Meldungen müssen strikt der jeweiligen Tochter zugeordnet werden. Es besteht hoher juristischer Erklärungsbedarf beim Setup (Verträge zur Auftragsverarbeitung).
HinSchG-Zentral-Dezentrale-Meldestelle

Praxisbeispiel: So setzt eine mittelständische Holding das HinSchG rechtssicher um

Um die abstrakten Anforderungen von § 12 und § 14 HinSchG greifbar zu machen, betrachten wir die "Muster Holding GmbH". Unter ihrem Dach befinden sich drei rechtlich eigenständige Gesellschaften:

  • Tochter A (Logistik): 120 Mitarbeitende.
  • Tochter B (Marketing): 40 Mitarbeitende.
  • Tochter C (Produktion): 600 Mitarbeitende.

Die Ausgangslage:

Die Frist zum 17.12.2023 ist verstrichen. Tochter A und Tochter C überschreiten den Schwellenwert von 50 Mitarbeitern und fallen zwingend in den Anwendungsbereich des HinSchG (§ 12 HinSchG). Tochter B liegt darunter und hat keine gesetzliche Pflicht.

Die rechtssichere Lösung:

Die Muster Holding GmbH entscheidet sich für eine zentrale Meldestelle für die Tochtergesellschaften, betrieben von der "Group Compliance" der Holding. Dafür führt sie eine digitale, mandantenfähige Whistleblowing-Software wie die Hintbox.
Die Software wird so konfiguriert, dass der Hinweisgeber vor Abgabe seiner Meldung zwingend auswählen muss, auf welche Gesellschaft (Tochter A oder C) sich sein Hinweis bezieht.

Die Meldung landet im System der Muttergesellschaft, ist jedoch rechtlich und datentechnisch isoliert. Die Holding schließt mit Tochter A und C einen Dienstleistungsvertrag sowie einen Auftragsverarbeitungsvertrag (AVV). Tochter B wird auf freiwilliger Basis in das System integriert, um eine homogene Compliance-Kultur zu schaffen. Die Geschäftsführer von A und C bleiben weiterhin rechtlich haftbar und werden bei validen Compliance-Verstößen von der Holding-Meldestelle unverzüglich in Kenntnis gesetzt, um Maßnahmen ergreifen zu können.

Rechtliche und technische Risiken der Konzernlösung

Wer die Auslagerung an eine Dritte Meldestelle unsauber durchführt, tappt in schwerwiegende Haftungsfallen.

Die Haftungsfalle für Geschäftsführer (Organhaftung)

Verlässt sich der Geschäftsführer einer GmbH-Tochter (z.B. Tochter A) blind darauf, dass die Muttergesellschaft "das schon macht", verletzt er seine eigenen Aufsichts- und Organisationspflichten. Werden Hinweise in der Konzernzentrale verschleppt, die Vertraulichkeit gebrochen oder Vergeltungsmaßnahmen gegen den Whistleblower nicht unterbunden, drohen der Tochtergesellschaft Bußgelder nach § 40 Abs. 2 Nr. 2 HinSchG von bis zu 20.000 Euro pro Einheit.

Weitaus gefährlicher für den Geschäftsführer: Kommt das Unternehmen wegen dieser Non-Compliance zu Schaden (Reputation, Bußgelder), kann der Geschäftsführer persönlich in die Haftung genommen werden (Organhaftung gem. § 43 GmbHG bzw. § 93 AktG). Er muss die Arbeit der Muttergesellschaft kontrollieren.

Datenschutz (DSGVO) und der konzernweite Datenfluss

Ein weiteres enormes Risiko ist der Datenschutz. Ein "Konzernprivileg" gibt es in der DSGVO ebenso wenig. Hinweisgeberdaten sind hochsensibel. Die Holding und die Tochtergesellschaft dürfen die Fall-Akten nicht einfach nach Belieben austauschen.

Es gilt das strikte Need-to-Know-Prinzip und das Vertraulichkeitsgebot Konzern. Wenn die Konzernmutter als "Dritter" die Daten für die Tochtergesellschaft verarbeitet, ist zwingend ein Vertrag über die Auftragsverarbeitung (AVV) gem. Art. 28 DSGVO erforderlich. Zudem muss die technische Plattform garantieren, dass Administratoren in Tochter A keine Zugriffsrechte auf die Hinweise von Tochter C haben (Mandantenfähigkeit).

Schritt-für-Schritt: Etablierung einer rechtskonformen Meldestelle

Um die Vorgaben des HinSchG effizient zu meistern, sollten Unternehmensgruppen diesen erprobten Prozess durchlaufen:

1. Unternehmensstrukturen und Schwellenwerte analysieren

Prüfung, welche der Tochtergesellschaften (als eigenständige juristische Personen) regelmäßig 50 oder mehr Beschäftigte haben (§ 12 HinSchG). Dabei sollte bedacht werden, ob das Unternehmen von Ausnahmen für den Finanzsektor (§ 12 Abs. 3 HinSchG) betroffen ist, bei denen die Pflicht unabhängig von der Mitarbeiterzahl greifen kann.

2. Betriebsmodell (Zentral/Dezentral) und Software festlegen

Am sinnvollsten ist es, sich für die Ressourcenteilung zu entscheiden. Um dies rechtskonform abzubilden, ist ein Briefkasten oder eine simple E-Mail-Adresse unzureichend. Dafür wird eine dedizierte Hinweisgeber-Software benötigt, die echte Mandantenfähigkeit bietet, sodass jede Tochter als eigener Mandant geführt wird, während die Zentrale (unter Wahrung der Rechteverwaltung) operativ tätig ist.

3. Interne Zuständigkeiten und Dienstleistungsverträge schließen

Zudem sollte definiert werden, wer bei der Muttergesellschaft berechtigt ist, die Hinweise einzusehen. Dafür sollten rechtssichere Service-Level-Agreements (SLA) zur Delegation der Aufgaben nach § 14 HinSchG verwendet werden. Auch ein Auftragsverarbeitungsvertrag (AVV) zwischen Holding (Auftragsverarbeiter) und Tochter (Verantwortlicher) ist sinnvoll.

4. Kommunikation an die Belegschaft in den Tochtergesellschaften

Transparenz ist Pflicht. Die Belegschaft der Tochtergesellschaften muss klar darüber informiert werden, dass die Meldestelle durch die Muttergesellschaft betrieben wird. Gleichzeitig muss dem Whistleblower versichert werden, dass seine Identität gemäß dem Vertraulichkeitsgebot streng geschützt bleibt und keine unbefugten Personen in der Konzernzentrale Einsicht nehmen können.

HinSchG-Konzern-Meldestelle

Best Practices für Konzernstrukturen: Drei oft übersehene Erfolgsfaktoren

Mitbestimmung im Konzern: Den Betriebsrat frühzeitig einbinden

Die Implementierung eines digitalen Hinweisgebersystems ist kein reines IT- oder Compliance-Projekt, denn sie ist stark mitbestimmungspflichtig. Nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung technischer Überwachungseinrichtungen) und ggf. Nr. 1 (Ordnung im Betrieb) hat der Betriebsrat ein zwingendes Mitspracherecht. In Unternehmensgruppen stellt sich hier oft die strategische Frage: Reicht eine Konzernbetriebsvereinbarung (KBV) oder müssen die lokalen Betriebsräte der Tochtergesellschaften zustimmen?

Die Praxis zeigt: Wer eine zentrale Meldestelle bei der Muttergesellschaft plant, sollte zwingend den Konzernbetriebsrat an Bord holen, um einen Flickenteppich aus lokalen Einzelvereinbarungen zu vermeiden. Ein frühzeitiges Onboarding der Arbeitnehmervertreter schafft Vertrauen und verhindert zeitintensive Blockaden beim Rollout in den Tochtergesellschaften.

Strategische Synergien: HinSchG, LkSG und ESG-Reporting vereinen

Wer das Hinweisgeberschutzgesetz isoliert betrachtet, verschenkt massives Effizienzpotenzial. Für viele mittelständische und große Unternehmensgruppen greifen parallel die Pflichten aus dem Lieferkettensorgfaltspflichtengesetz (LkSG) sowie die Vorgaben der CSRD-Richtlinie im ESG-Reporting. Das LkSG fordert in § 8 explizit ein unternehmensinternes Beschwerdeverfahren für menschenrechtliche und umweltbezogene Risiken.

Der absolute Goldstandard: Vermeiden Sie teure Insellösungen! Eine smarte, mandantenfähige Konzern-Meldestelle sollte so konfiguriert werden, dass sie gleichzeitig als LkSG-Beschwerdekanal und als ESG-Feedback-Tool fungiert. Das reduziert nicht nur die Software- und Administrationskosten erheblich, sondern schafft auch einen einheitlichen Meldekanal („Single Point of Truth“) für das gesamte gruppenweite Compliance Management.

Interessenkonflikte auflösen: Die Unabhängigkeit der Meldestelle sichern

Bei einer zentralen Konzernlösung übernimmt meist die Stabsstelle „Group Compliance“ oder „Group HR“ der Holding die Fallbearbeitung. Doch was passiert, wenn ein Hinweis ausgerechnet die Geschäftsführung der Muttergesellschaft oder die Fallbearbeiter selbst belastet? Das HinSchG fordert in § 15 zwingend die fachliche Unabhängigkeit der beauftragten Personen. Bei Befangenheit darf schlichtweg nicht intern ermittelt werden. Um dieses operationelle Risiko abzufedern, muss das System und interner Prozess klare Eskalationsrouten definieren.

Im Falle eines Interessenkonflikts muss die Meldung an eine völlig neutrale Instanz umgeleitet werden können. Hier bietet sich die nahtlose Anbindung einer externen anwaltlichen Ombudsperson an, die im Fall der Fälle übernimmt und eine rechtssichere Aufklärung auch in den höchsten Führungsebenen garantiert.

Fazit

Eine zentrale Meldestelle für die gesamte Unternehmensgruppe ist trotz anfänglichen Widerstands auf EU-Ebene nicht nur möglich, sondern nach dem deutschen Hinweisgeberschutzgesetz der absolute Standard für mittelständische und große Konzerne. Die Auslagerung der operativen Tätigkeiten an die Konzernmutter spart Zeit, Geld und sichert ein professionelles Fallmanagement.

Der Schlüssel zum Erfolg liegt jedoch in der fehlerfreien technischen und rechtlichen Trennung. Eine Softwarelösung, die diese Konzernstrukturen nicht mandantenfähig abbilden kann, führt unweigerlich zu Datenschutzverstößen und Compliance-Haftungsfällen für das Management.

Mit der Whistleblowing-Software Hintbox implementieren Sie spielend leicht eine hochsichere, vollständig mandantenfähige Konzernlösung.

Sie bündeln die Ressourcen in der Muttergesellschaft, behalten jederzeit den Überblick und stellen gleichzeitig sicher, dass jede Tochtergesellschaft hundertprozentig HinSchG- und DSGVO-konform agiert.

Mehr erfahren

Häufige Fragen

Ja, das ist problemlos und sehr empfehlenswert. Zwar besteht für kleinere Gesellschaften keine Pflicht aus dem HinSchG, jedoch stärkt ein freiwilliger Anschluss die einheitliche Compliance-Kultur und deckt Grauzonen (z.B. Lieferkettengesetz) frühzeitig ab.

Ja, aufgrund der DSGVO-Transparenzpflichten muss der Whistleblower beim Einreichen der Meldung klar darüber informiert werden, dass die Bearbeitung ("Auslagerung") durch eine zentrale Stelle (z.B. die Muttergesellschaft) erfolgt.

Hier ist Vorsicht geboten! Die Erleichterung aus § 14 HinSchG gilt nur für Tochtergesellschaften nach deutschem Recht. Ausländische Töchter unterliegen dem jeweiligen nationalen Umsetzungsgesetz der EU-Richtlinie, das ein solches Konzernprivileg womöglich strikt verbietet.

Absolut. § 14 Abs. 1 HinSchG erlaubt die Auslagerung an jeden "Dritten". Ein externer, anwaltlicher Ombudsmann für die gesamte Unternehmensgruppe ist eine der rechtssichersten Möglichkeiten, da er der anwaltlichen Verschwiegenheitspflicht unterliegt.

Nein. Zwar lässt das Gesetz postalische Meldewege zu, ein zentraler Briefkasten erfüllt im Konzernkonstrukt jedoch selten die strengen Anforderungen an den Vertraulichkeitsschutz, die DSGVO-konforme Datentrennung und die Dokumentationspflichten pro Tochtergesellschaft. Eine digitale, mandantenfähige Plattform ist unabdingbar.

Matthias Klein

Matthias Klein

LinkedIn

ESG-Compliance Experte · lawcode GmbH

Matthias Klein berät Unternehmen bei der Umsetzung von Supply Chain Gesetzen wie der CSDDD und begleitet die Implementierung digitaler Lösungen für rechtssichere Lieferketten. Seine Fachbeiträge auf dem lawcode Blog verbinden regulatorische Tiefe mit praxisnahen Handlungsempfehlungen.

Supply Chain / CSDDD EUDR HinSchG ESG-Compliance CSRD / VSME
Vorheriger Beitrag

Beweislastumkehr nach § 36 HinSchG: Wichtige Informationen für Arbeitgeber und Whistleblower-Schutz
Nächster Beitrag

Dokumentationspflichten nach HinSchG: Was, wie lange, in welcher Form?

Weitere Beiträge zum Thema HinSchG

Hinweisgeberschutzgesetz (HinSchG): Meldepflichten, Whistleblower-Schutz & Sanktionen für Unternehmen
HinSchG 21.05.2025 · 14 Min

Hinweisgeberschutzgesetz (HinSchG): Meldepflichten, Whistleblower-Schutz & Sanktionen für Unternehmen
Interne Meldestelle nach HinSchG einrichten: Schritt-für-Schritt Guide
HinSchG 21.05.2026 · 5 Min

Interne Meldestelle nach HinSchG einrichten: Schritt-für-Schritt Guide
Hinweisgebersystem auswählen: Software-Anforderungen & Checkliste
HinSchG 21.05.2026 · 7 Min

Hinweisgebersystem auswählen: Software-Anforderungen & Checkliste