Laden Sie jetzt einen unserer Leitfäden zur Lieferkette, EUDR, CSRD/VSME & ESG-Compliance herunter Mehr erfahren →
lawcode Logo
ENEN
Jetzt testen Persönliche Demo
Jetzt testen Persönliche Demo
HinSchG 21. Mai 2026 · 5 Min Lesezeit

Interne Meldestelle nach HinSchG einrichten: Schritt-für-Schritt Guide

Die Verpflichtung, eine interne Meldestelle einzurichten, stellt viele Unternehmen vor organisatorische Herausforderungen. Seit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) sind Unternehmen ab 50 Beschäftigten gesetzlich dazu verpflichtet. Wer diese Pflicht ignoriert, riskiert Bußgelder. Dieser Leitfaden zeigt in sieben strukturierten Schritten, wie sich ein rechtssicheres Whistleblower-System in einem Unternehmen aufbauen lässt, inklusive aller gesetzlichen Fristen, Anforderungen und strategischer Tipps.

Matthias Klein

Matthias Klein

ESG-Compliance Experte · lawcode GmbH
Teilen:
Interne Meldestelle nach HinSchG einrichten: Schritt-für-Schritt Guide
Inhaltsverzeichnis

Wichtige Fakten

Wer muss laut Gesetz eine interne Meldestelle einrichten?
Alle Unternehmen mit in der Regel mindestens 50 Beschäftigten sowie bestimmte regulierte Branchen unabhängig von ihrer Mitarbeiterzahl sind zur Einrichtung verpflichtet.
Welche Fristen müssen bei einer eingehenden Meldung zwingend eingehalten werden?
Der Erhalt einer Meldung muss spätestens nach sieben Tagen bestätigt werden. Innerhalb von drei Monaten ist eine Rückmeldung über geplante oder ergriffene Folgemaßnahmen erforderlich.
Kann die interne Meldestelle an einen externen Dienstleister ausgelagert werden?
Ja, die Aufgaben können an einen externen Dritten wie eine Kanzlei delegiert werden, wobei die Letztverantwortung für die Behebung des Verstoßes immer beim Unternehmen verbleibt.
Wie hoch können die Bußgelder bei Verstößen gegen das Gesetz ausfallen?
Bei einer fehlenden Meldestelle drohen Bußgelder von bis zu 20.000 Euro, während die Verletzung des Vertraulichkeitsgebots oder Repressalien gegen Hinweisgeber mit bis zu 50.000 Euro geahndet werden können.
Müssen Unternehmen zwingend anonyme Meldekanäle anbieten?
Es besteht keine gesetzliche Pflicht zur Bereitstellung anonymer Kanäle, allerdings sollten anonym eingehende Hinweise von der Meldestelle im Rahmen des Möglichen bearbeitet werden.

Kein Update rund um das HinSchG mehr verpassen.

Neue Fachbeiträge, regulatorische Updates und Praxis-Tipps, direkt in Ihr Postfach. Einmal pro Woche, kein Spam.

Kein Spam Jederzeit abmelden DSGVO-konform

Executive Summary

Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Diese Pflicht bietet jedoch eine große Chance: Sie fungiert als wichtiges Frühwarnsystem, mit dem Missstände intern aufgeklärt werden können, bevor Whistleblower externe staatliche Stellen oder die Öffentlichkeit einschalten und so dem Ruf des Unternehmens schaden.

Für eine rechtssichere Umsetzung müssen unabhängige und fachkundige Personen ernannt sowie sichere Meldekanäle etabliert werden. Ein klarer Workflow stellt sicher, dass die gesetzlichen Fristen gewahrt werden: So muss der Eingang einer Meldung spätestens nach sieben Tagen bestätigt und die inhaltliche Rückmeldung über geplante Folgemaßnahmen innerhalb von maximal drei Monaten erteilt werden.

Unternehmen können die Meldestelle intern besetzen oder an einen externen Dritter auslagern, um das Vertrauen der Hinweisgebenden durch die anwaltliche Schweigepflicht zusätzlich zu stärken. In jedem Fall verbleibt die Letztverantwortung bei der Geschäftsführung. Das ist ein wichtiges Detail, da Verstöße gegen das Gesetz oder die Vertraulichkeit mit empfindlichen Bußgeldern von bis zu 50.000 Euro geahndet werden können.

Pflichten & Möglichkeiten der Meldestelle

Wer muss eine interne Meldestelle einrichten?

Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich direkt aus dem Gesetz. Sie gilt für alle Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten.

Für bestimmte Branchen besteht die Pflicht unabhängig von der Mitarbeiterzahl. Dazu zählen:

  • Wertpapierdienstleistungsunternehmen und Börsenträger
  • Kreditinstitute und Wertpapierinstitute
  • Kapitalverwaltungsgesellschaften
  • Versicherungsunternehmen
  • Zahlungsdienstleister und Kryptomarkt-Institute

Welche Organisationsform ist die richtige?

Das Gesetz erlaubt drei verschiedene Wege, um eine interne Meldestelle organisatorisch zu besetzen. Dabei kann zwischen folgenden Optionen gewählt werden:

Option 1: Die interne Einzelperson
Hierbei wird eine konkret benannte, beschäftigte Person im Unternehmen mit den Aufgaben betraut, wie beispielsweise der Compliance-Officer oder ein HR-Verantwortlicher. Der große Vorteil dieser Variante liegt in den kurzen Kommunikationswegen sowie der direkten, tiefen Kenntnis der internen Unternehmensstrukturen.

Option 2: Die interne Arbeitseinheit
Bei dieser Option wird ein definiertes, fachübergreifendes Team aus mehreren Beschäftigten eingesetzt. Eine solche Struktur ermöglicht im Alltag die konsequente Einhaltung des Vier-Augen-Prinzips und bündelt wertvolle Expertise aus den Bereichen Personal, Recht und Compliance an einer zentralen Stelle.

Option 3: Der externe Dritte als Ombudsperson
Hierbei werden die Aufgaben der internen Meldestelle vollständig an eine spezialisierte Kanzlei, einen externen Dienstleister oder eine neutrale Ombudsperson ausgelagert. Ein entscheidender Pluspunkt ist der besondere gesetzliche Schutz durch Anwälte: Ein externer Anwalt unterliegt der anwaltlichen Schweigepflicht, was das Vertrauen der betroffenen Hinweisgeber nachweislich stärkt und die Hemmschwelle für Meldungen senkt.

⚠️ Wichtig:

Auch bei der vollständigen Beauftragung eines externen Dritten verbleibt die Letztverantwortung für die Behebung des Verstoßes sowie für Folgemaßnahmen und Rückmeldungen immer beim betroffenen Unternehmen selbst.

Sonderfall für KMU: Die gemeinsame Meldestelle

Private Beschäftigungsgeber mit 50 bis 249 Beschäftigten dürfen eine gemeinsame Meldestelle mit anderen Unternehmen einrichten und betreiben. Die Pflicht zur Behebung von Mängeln und zur Rückmeldung an den Whistleblower verbleibt jedoch auch hier bei jedem einzelnen Unternehmen individuell.

Interne vs. externe Meldestelle: Was sollten Unternehmen bevorzugen?

Das Gesetz gewährt Hinweisgebern ein freies Wahlrecht. Beschäftigte können selbst entscheiden, ob sie sich an die interne Meldestelle des Betriebs oder an eine staatliche externe Meldestelle (wie die des Bundesamts für Justiz) wenden.

Unternehmen sollten jedoch gezielte Anreize schaffen, damit Beschäftigte zuerst den internen Weg wählen. Wenn Missstände intern gemeldet werden, können diese schnell, direkt und geräuschlos aufgeklärt werden, bevor die Vorfälle an Behörden oder die Öffentlichkeit eskalieren und hohe Reputationsschäden verursachen. Dies gelingt, indem sichergestellt wird, dass die interne Meldestelle absolut vertrauenswürdig, leicht erreichbar und frei von Repressalien gestaltet ist.

Anonyme Meldungen ermöglichen

Eine generelle Pflicht zur Bereitstellung eines Meldekanals für anonyme Meldungen besteht laut HinSchG zwar nicht explizit. Allerdings sollte die interne Meldestelle anonym eingehende Meldungen bearbeiten. Die Möglichkeit anonymer Meldungen stärkt das Vertrauen der Hinweisgeber und erhöht die Meldebereitschaft.

Seit dem Jahr 2025 ist die Bereitstellung anonymer Meldekanäle für verpflichtete Unternehmen fest etabliert und einzuhalten. Internationale Standards wie ISO 37301 (Compliance) und ISO 37001 (Anti-Korruption) verlangen sie faktisch bereits heute, insbesondere für Unternehmen, die eine Zertifizierung anstreben oder ihre Compliance-Strukturen weiterentwickeln möchten. Ein Urteil des Landgerichts Nürnberg-Fürth aus dem Jahr 2025 stärkt zudem den Stellenwert anonymer Hinweise, indem es bestätigt, dass auch konkrete und nachvollziehbare anonyme Meldungen staatsanwaltschaftliche Ermittlungen rechtfertigen können.

HinSchG-Ablauf-Fristen
Ablauf & Fristen im Hinweisgebersystem

Schritt-für-Schritt: Interne Meldestelle einrichten

Schritt 1: Verantwortliche Personen benennen und schulen

Die mit der internen Meldestelle beauftragten Personen müssen unabhängig agieren und über die notwendige Fachkunde verfügen. Sie dürfen daneben andere Aufgaben im Unternehmen wahrnehmen, allerdings nur, sofern dadurch keine Interessenkonflikte entstehen.

Praxis-Tipp:

Wer weitreichende Personalentscheidungen trifft (z. B. die Geschäftsführung) oder selbst Gegenstand potenzieller Meldungen sein könnte, sollte nicht als Meldestellen-Verantwortlicher eingesetzt werden. Die notwendige Fachkunde muss durch regelmäßige, spezifische Schulungen sichergestellt werden.

Schritt 2: Meldekanäle technisch und organisatorisch aufbauen

Die internen Meldekanäle müssen Meldungen auf verschiedenen Wegen ermöglichen:

  • Schriftliche Meldungen: per E-Mail, Postweg oder digitaler Plattform.
  • Mündliche Meldungen: per Telefon oder andere Arten der Sprachübermittlung.
  • Persönliche Zusammenkunft: Auf Wunsch der hinweisgebenden Person muss innerhalb einer angemessenen Frist ein persönliches Treffen angeboten werden. Mit Einwilligung des Whistleblowers darf dieses auch virtuell per Bild- und Tonübertragung erfolgen.

Digitale Whistleblowing-Systeme

Viele Unternehmen setzen auf ein digitales Whistleblowing-System. Es bietet einen passwortgeschützten, verschlüsselten Kommunikationskanal, über den die Kommunikation mit dem Whistleblower aufrechterhalten werden kann, ohne dessen Identität zu gefährden.

Schritt 3: Zugriffsrechte und Vertraulichkeit sicherstellen

Die Meldekanäle müssen so konzipiert sein, dass ausschließlich die zuständigen Personen Zugriff auf die eingehenden Meldungen haben. Das strikte Vertraulichkeitsgebot nach § 8 HinSchG schützt dabei drei Personengruppen:

  1. Die hinweisgebende Person.
  2. Personen, die Gegenstand der Meldung sind.
  3. Sonstige in der Meldung genannte Personen.

Schritt 4: Datenschutz und IT-Sicherheit nach DSGVO etablieren

Da hierbei hochsensible personenbezogene Daten verarbeitet werden, ist der Datenschutz oberstes Gebot. Das genutzte System muss durch modernste Verschlüsselungstechnologien vor unbefugten Zugriffen von außen und innen geschützt sein. Interne Zugriffsrechte sind extrem restriktiv zu regeln. Nur ausdrücklich autorisierte Meldestellen-Mitarbeiter dürfen die Akten einsehen.

HinSchG-Interne-Meldestelle-einrichten
Schritt-für-Schritt: Interne Meldestelle einrichten

Schritt 5: Verfahrensablauf und gesetzliche Fristen festlegen

Ein strukturierter, vordefinierter Workflow ist entscheidend für den rechtssicheren Betrieb. Das Verfahren nach § 17 HinSchG schreibt feste Fristen vor, die zwingend im Prozess verankert werden müssen:

  • Zunächst gilt eine Frist von maximal sieben Tagen für die schriftliche Bestätigung des Eingangs der Meldung an die hinweisgebende Person.
  • Darüber hinaus muss sofort die Prüfung der sachlichen Zuständigkeit erfolgen, um zu klären, ob der Vorfall unter das HinSchG fällt, gefolgt von einer Bewertung der inhaltlichen Stichhaltigkeit.
  • Eine inhaltliche Rückmeldung an den Whistleblower über bereits geplante oder ergriffene Folgemaßnahmen muss nach maximal drei Monaten erfolgen.
  • Nach dem offiziellen Abschluss des gesamten Verfahrens gilt für alle Akten und Vorgänge eine gesetzliche Aufbewahrungsfrist von genau drei Jahren, bevor sie datenschutzkonform gelöscht werden müssen.

Definition des Meldebereichs (Sachliche Abgrenzung):

Um eine Überlastung der Meldestelle durch alltägliche Konflikte oder allgemeine Unzufriedenheit zu vermeiden, muss klar definiert werden, welche Verstöße in den Anwendungsbereich des HinSchG fallen. Das Gesetz schützt vor allem Meldungen über Straftaten (z. B. Betrug, Diebstahl, Korruption) und bestimmte schwere Ordnungswidrigkeiten. Reine HR-Beschwerden ohne Gesetzesverstoß sollten über etablierte interne Beschwerdestellen abgewickelt werden.

Schritt 6: Folgemaßnahmen und Dokumentation definieren

Die interne Meldestelle prüft den Sachverhalt und kann nach § 18 HinSchG folgende Maßnahmen ergreifen:

  • Interne Untersuchungen einleiten (z. B. Befragung von Zeugen, Akteneinsicht).
  • Den Whistleblower an andere, besser geeignete Stellen verweisen.
  • Das Verfahren aus Mangel an Beweisen oder anderen Gründen abschließen.
  • Den Vorgang zwecks weiterer Ermittlungen an eine interne Abteilung (z. B. HR) oder eine zuständige Behörde abgeben.

Rechtssichere Dokumentation:

Alle Vorgänge müssen dauerhaft abrufbar dokumentiert werden. Bei mündlichen Meldungen ist eine Tonaufzeichnung oder ein Wortprotokoll nur mit Einwilligung des Hinweisgebers zulässig. Liegt diese nicht vor, muss ein genaues Inhaltsprotokoll erstellt werden. Der Hinweisgeber muss die Gelegenheit erhalten, das Protokoll zu prüfen und freizugeben.

Schritt 7: Den Betriebsrat rechtzeitig einbinden

In Unternehmen mit einem bestehenden Betriebsrat ist die Einrichtung der Meldestelle keine rein einseitige Entscheidung der Geschäftsführung. Insbesondere die Einführung digitaler Whistleblowing-Systeme unterliegt der zwingenden Mitbestimmung des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG, da diese Systeme theoretisch zur Verhaltensüberwachung geeignet sind. Eine frühzeitige Einbindung und der Abschluss einer klaren Betriebsvereinbarung sichern den internen Frieden und verhindern rechtliche Verzögerungen bei der Implementierung.

Schritt 8: Beschäftigte informieren und eine „Speak-up-Kultur“ etablieren

Ein Whistleblowing-System nützt nur, wenn es in der Belegschaft bekannt ist. Es müssen klare und leicht zugängliche Informationen über die internen Abläufe sowie alternative externe Meldewege zur Verfügung gestellt werden.

Als Kanäle bieten sich das Intranet, Schulungen oder Mitarbeiterhandbücher an. Eine offene „Speak-up-Kultur“ ist aktiv zu fördern: Es sollte vermittelt werden, dass Hinweise im Interesse des Unternehmens liegen und keinesfalls als „Petzen“ oder illoyales Verhalten gewertet werden.

Was kostet ein Verstoß? Bußgelder im Überblick

Die Bußgelder bei Missachtung des HinSchG sind empfindlich und richten sich streng nach der Art des Verstoßes:

  • Bis zu 50.000 €: Bei Verhinderung von Meldungen, der Ausübung von Repressalien gegen Hinweisgeber oder bei vorsätzlicher bzw. leichtfertiger Verletzung des Vertraulichkeitsgebots.
  • Bis zu 20.000 €: Bei gänzlich fehlender Einrichtung oder fehlerhaftem Betrieb einer vorgeschriebenen internen Meldestelle.
  • Bis zu 10.000 €: In allen übrigen gesetzlich definierten Pflichtverletzungen.

Fazit

Eine interne Meldestelle einzurichten ist weit mehr als eine lästige gesetzliche Pflichtübung. Mit einer klaren Prozessstruktur, qualifizierten Verantwortlichen und transparenter interner Kommunikation schaffen Unternehmen ein mächtiges Frühwarnsystem für den eigenen Betrieb. Risiken werden aufgedeckt, bevor ein realer wirtschaftlicher oder Reputationsschaden entsteht, und Compliance wird nachhaltig in der Unternehmenskultur verankert.

Für eine rechtssichere und aufwandsarme Umsetzung stehen professionelle digitale Lösungen sowie spezialisierte externe Partner zur Verfügung. Eine rechtssichere Software erleichtert die langfristige HinSchG-Compliance und sichert das Unternehmen zuverlässige Einhalten aller Fristen.

Häufige Fragen

Die zuständigen Personen benötigen kein abgeschlossenes Jurastudium, müssen jedoch über die notwendige Fachkunde verfügen. Diese kann unkompliziert über regelmäßige, spezifische Schulungen erworben werden. Wichtig sind zudem die persönliche Unabhängigkeit und der Ausschluss von Interessenkonflikten bei der Bearbeitung.

Nein, das HinSchG verpflichtet Unternehmen nicht ausdrücklich zur Bereitstellung eines gänzlich anonymen Meldekanals. Das Gesetz schreibt jedoch vor, dass anonym eingehende Meldungen (z. B. ein anonymer Brief oder eine anonyme E-Mail) von der Meldestelle bearbeitet werden sollten. Ein digitales Whistleblowing-System eignet sich hierfür hervorragend, da es eine vollkommen anonyme, aber zweiseitige Kommunikation ermöglicht.

Die technische Einrichtung eines modernen, Cloud-basierten Systems wie etwa der Hintbox ist meist innerhalb weniger Tage abgeschlossen. Der laufende Aufwand ist gering, da die Software wichtige Schritte wie Fristenkontrollen, Verschlüsselung und die revisionssichere Protokollierung weitgehend automatisiert.

Die Dokumentation muss grundsätzlich drei Jahre nach Abschluss des Verfahrens gelöscht werden. Eine längere Aufbewahrung ist nur in Ausnahmefällen zulässig, wenn dies zur Erfüllung anderer gesetzlicher Anforderungen notwendig und verhältnismäßig ist.

Matthias Klein

Matthias Klein

LinkedIn

ESG-Compliance Experte · lawcode GmbH

Matthias Klein berät Unternehmen bei der Umsetzung von Supply Chain Gesetzen wie der CSDDD und begleitet die Implementierung digitaler Lösungen für rechtssichere Lieferketten. Seine Fachbeiträge auf dem lawcode Blog verbinden regulatorische Tiefe mit praxisnahen Handlungsempfehlungen.

Supply Chain / CSDDD EUDR HinSchG ESG-Compliance CSRD / VSME
Vorheriger Beitrag

Delegierter Rechtsakt EUDR 2026: Welche Produkte neu im Scope sind und welche herausfallen
Nächster Beitrag

Hinweisgebersystem auswählen: Software-Anforderungen & Checkliste

Weitere Beiträge zum Thema HinSchG

Hinweisgeberschutzgesetz (HinSchG): Meldepflichten, Whistleblower-Schutz & Sanktionen für Unternehmen
HinSchG 21.05.2025 · 14 Min

Hinweisgeberschutzgesetz (HinSchG): Meldepflichten, Whistleblower-Schutz & Sanktionen für Unternehmen
Hinweisgebersystem auswählen: Software-Anforderungen & Checkliste
HinSchG 21.05.2026 · 7 Min

Hinweisgebersystem auswählen: Software-Anforderungen & Checkliste
Interne vs. externe Meldestelle: Welche Lösung passt?
HinSchG 21.05.2026 · 6 Min

Interne vs. externe Meldestelle: Welche Lösung passt?