HinSchG für KMU: was ist praktisch zu tun?
Hinweisgeberschutzgesetz für KMU: ab wann Pflicht, welche Meldekanäle, welche Fristen, was passiert bei Verstoß. Mit Quellen und Praxis-FAQ.
ComplyCheck-Redaktion · Stand: 2026-07-10
Kurz und knapp
Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet seit Juli 2023 alle deutschen Unternehmen ab 50 Beschäftigten zu einem internen Meldekanal. Seit Dezember 2023 gilt das auch für Unternehmen mit 50 bis 249 Beschäftigten. Wer keine konforme Meldestelle hat, riskiert Bußgelder bis 50.000 € und die Hinweisgeber verlieren den Schutz — was die Eskalation an externe Stellen oder Medien wahrscheinlicher macht. Die Pflicht ist mit überschaubarem Aufwand erfüllbar (Email-Postfach + Eingangsbestätigung + Bearbeitungs-Workflow), aber sie ist eine Pflicht — kein „nice to have".
Was das HinSchG verlangt
Das Gesetz setzt die EU-Whistleblower-Richtlinie (EU) 2019/1937 in deutsches Recht um. Es schützt Personen, die Verstöße gegen bestimmte Rechtsnormen melden — und verpflichtet bestimmte Beschäftigungsgeber, einen sicheren Meldeweg einzurichten.
Geschützte Meldungen umfassen Verstöße gegen (§ 2 HinSchG):
- EU-Recht in Bereichen wie Geldwäsche, Steuern, Finanzmarktrecht, Verbraucherschutz, Datenschutz, Lebensmittel- und Produktsicherheit, Umweltrecht.
- Deutsche Strafvorschriften (Strafgesetzbuch) und bestimmte Bußgeldtatbestände, wenn diese dem Schutz von Leben, Leib, Gesundheit oder bestimmten kollektiven Rechtsgütern dienen.
- Verstöße gegen Vorschriften zur Bekämpfung von Steuerhinterziehung und gegen kartellrechtliche Vorschriften.
Nicht geschützt sind reine arbeitsrechtliche Beschwerden (Mobbing-Vorwürfe, Bewertung der Vorgesetzten) — dafür gelten weiterhin BetrVG, AGG und allgemeines Arbeitsrecht.
HinSchG schützt nicht jeden Hinweis
Geschützt sind Verstöße gegen EU-Recht (Geldwäsche, Steuern, Datenschutz, Produktsicherheit, Umwelt) sowie deutsche Strafvorschriften und bestimmte Bußgeldtatbestände. Nicht geschützt sind reine arbeitsrechtliche Beschwerden wie Mobbing-Vorwürfe oder Bewertungen von Vorgesetzten — dafür gelten weiterhin BetrVG, AGG und allgemeines Arbeitsrecht. Wer HinSchG-Schutz für jeden internen Konflikt verlangt, missversteht das Gesetz.
Ab welcher Mitarbeiterzahl gilt die Pflicht?
§ 12 HinSchG staffelt die Pflicht nach Beschäftigtenzahl:
- Ab 50 Beschäftigten: Pflicht zur Einrichtung einer internen Meldestelle.
- 50–249 Beschäftigte: Pflicht gilt seit dem 17. Dezember 2023 (vorher Übergangsfrist).
Detail
- 250+ Beschäftigte: Pflicht gilt seit dem 2. Juli 2023.
Maßstab ist die Beschäftigtenzahl unabhängig von der Arbeitszeit — Teilzeit zählt wie Vollzeit. Auch Auszubildende und Praktikanten werden mitgezählt. Bei Konzernstrukturen ist umstritten, ob eine zentrale Konzern-Meldestelle ausreicht; die wohl herrschende Auslegung (BMJ, Aufsicht) verlangt eine eigenständige Meldestelle pro 50+-Tochter, wobei Synergien (gemeinsames Personal) zulässig bleiben.
Unternehmen mit weniger als 50 Beschäftigten sind nicht zur Einrichtung verpflichtet — können sich aber freiwillig dem System anschließen, was insbesondere bei Lieferanten-Verträgen mit größeren Auftraggebern zunehmend gefordert wird.
Welche Meldekanäle sind zulässig?
§ 16 HinSchG verlangt, dass die interne Meldestelle eine Meldung in mündlicher oder schriftlicher Form ermöglicht und auf Wunsch auch eine persönliche Zusammenkunft.
Praktisch akzeptierte Umsetzungen:
- E-Mail-Postfach mit eingeschränktem Zugriff auf zwei Personen — einfachste Variante, datenschutzrechtlich aber heikel (Server-Logs, Mailprovider).
- Web-Formular auf eigener Website mit Pseudonymisierungsoption — bevorzugte Variante; viele Provider bieten DSGVO-konforme Lösungen ab 20–50 €/Monat.
Detail
- Telefon-Hotline mit dedizierter Nummer und schriftlicher Niederschrift — aufwändig, häufig outgesourct.
- Externe Ombudsperson (oft Anwalt) — beliebt bei KMU mit 50–100 Beschäftigten, weil sie zugleich die rechtliche Bewertung übernimmt.
- Persönliche Zusammenkunft auf Wunsch — kein eigener „Kanal", sondern eine zusätzliche Pflicht.
Anonyme Meldungen: Seit Inkrafttreten der Reform 2023 müssen anonyme Meldungen bearbeitet werden, sofern sie eingehen — die ursprüngliche Pflicht zur Anonymitäts-Erschwernis wurde gestrichen. Eine aktive Werbung für anonyme Meldungen ist nicht verlangt, aber unschädlich.
Fehlende Meldestelle = Eskalation an externe Stellen
Das größte Risiko ist nicht das Bußgeld bis 20.000 € für fehlende interne Meldestelle. Wenn die interne Meldestelle nicht existiert oder offensichtlich nicht funktioniert, dürfen Hinweisgeber direkt an die externe Meldestelle des BfJ oder unter bestimmten Voraussetzungen (§ 32 HinSchG) sogar an die Öffentlichkeit treten. Das ist regelmäßig der schlimmere Eskalationspfad — Reputationsschäden übersteigen jedes Bußgeld. Plus: Repressalien gegen Hinweisgeber bis 50.000 € plus zivilrechtlicher Schadensersatz mit Beweislastumkehr zugunsten des Hinweisgebers (§ 37 HinSchG).
Bearbeitungs-Fristen
§ 17 HinSchG ist strikt formuliert:
- 7 Tage nach Eingang: Empfangsbestätigung an den Hinweisgeber.
- 3 Monate nach Empfangsbestätigung: Rückmeldung an den Hinweisgeber über getroffene Maßnahmen.
Beide Fristen sind formell — Verstöße sind nach § 40 HinSchG bußgeldbewehrt. Die 3-Monats-Frist heißt nicht „Sachverhalt abschließend geklärt", sondern: dem Hinweisgeber wird mitgeteilt, was bisher unternommen wurde (Anhörung, externe Begutachtung, Einleitung disziplinarischer Schritte).
Dokumentationspflicht (§ 11 HinSchG):
- Meldungs-Eingangsdatum
- Maßnahmen-Verlauf
- Aufbewahrung 3 Jahre nach Abschluss
- Bei strafrechtlicher Relevanz: längere Aufbewahrung möglich
Beschwerde- und externe Meldestellen
§ 19–24 HinSchG schaffen externe Meldestellen, an die Hinweisgeber sich wenden können, wenn die interne Meldestelle versagt oder nicht existiert:
- Externe Meldestelle des Bundesamts für Justiz (BfJ) — zentrale Anlaufstelle für viele Verstoß-Bereiche.
- BaFin — für Finanzdienstleister-spezifische Verstöße.
- Bundeskartellamt — für kartellrechtliche Hinweise.
- Datenschutzbehörden des Bundes und der Länder — für DSGVO-Verstöße.
Wichtig für KMU: Wenn die interne Meldestelle nicht existiert oder offensichtlich nicht funktioniert, dürfen Hinweisgeber direkt an die externe Meldestelle oder — unter bestimmten Voraussetzungen (§ 32 HinSchG) — sogar an die Öffentlichkeit treten. Das ist regelmäßig der schlimmere Eskalationspfad.
Sanktionen bei Verstößen
§ 40 HinSchG benennt vier Bußgeld-Tatbestände, alle aus Sicht der verantwortlichen Stelle:
| Verstoß | Bußgeldrahmen |
|---|---|
| Behinderung einer Meldung | bis 50.000 € |
| Repressalien gegen Hinweisgeber | bis 50.000 € |
| Fehlende interne Meldestelle | bis 20.000 € |
| Vertraulichkeit verletzt | bis 50.000 € |
Zusätzlich:
- Zivilrechtliche Schadensersatzansprüche des Hinweisgebers bei Repressalien (§ 37 HinSchG) — Beweislastumkehr zugunsten des Hinweisgebers.
- Reputationsrisiko bei externer Eskalation: jeder Hinweisgeber, der nicht intern bearbeitet wird, kann an Aufsichtsbehörden oder Medien gehen — die Statistik der externen Meldestelle des BfJ zeigt eine deutlich steigende Tendenz.
Praxis-Tipps für KMU
Schlanke konforme Lösung in 5 Schritten
Für KMU mit 50-150 Beschäftigten reicht diese Sequenz: (1) DSGVO-konformes Web-Formular von einem deutschen Anbieter (25-80 €/Monat), (2) zuständige Person mit Fachkunde nach § 15 HinSchG benennen — ohne Interessenkonflikt zu Vorgesetzten der typischen Hinweisgeber-Bereiche, (3) Belegschafts-Information via Intranet + Aushang + Onboarding nach § 13 HinSchG, (4) Frist-Reminder für 7-Tage-Empfangsbestätigung und 3-Monats-Rückmeldung im Tool, (5) jährliche simulierte Probemeldung — Aufsichten fragen bei Audits zunehmend nach.
Tipp 1 — Klein anfangen, aber konform. Ein DSGVO-konformes Web-Formular von einem deutschen Anbieter (Marktpreise 2026: ca. 25–80 €/Monat für KMU-Tarife) plus eine schriftliche Verfahrensanweisung ist die schlankste vollständige Lösung. Spätere Skalierung (Hotline, App-Variante) ist additiv möglich.
Tipp 2 — Verantwortliche klar benennen. § 15 HinSchG verlangt eine eindeutig benannte zuständige Person mit der nötigen Fachkunde. Bei KMU oft die Compliance-Verantwortliche oder die HR-Leitung — vorausgesetzt, keine Interessenkonflikte (kein Vorgesetzter über typische Hinweisgeber-Bereiche).
Tipp 3 — Belegschaft informieren. Die schönste Meldestelle nützt nichts, wenn niemand sie kennt. § 13 HinSchG verlangt Information über die internen Meldewege; eine Intranet-Seite plus Aushang plus Onboarding-Erwähnung deckt das ab.
Tipp 4 — Externe Ombudsperson erwägen. Bei 50–150 Beschäftigten ist eine externe Anwaltsperson als Meldestelle oft praktischer als die interne Lösung: schiebt rechtliche Bewertung outsourced, baut Vertrauen, kostet typischerweise 100–300 € pro Meldung plus Grundpauschale.
Tipp 5 — Drill-Übung einplanen. Einmal jährlich eine simulierte Meldung durchspielen — Frist-Einhaltung, Vertraulichkeit, Folge-Schritte. Aufsichtsbehörden fragen bei Audits zunehmend nach solchen Tests.
FAQ
Wir haben 45 Beschäftigte — brauchen wir eine Meldestelle? Pflicht-frei. Eine freiwillige Einrichtung ist trotzdem sinnvoll, wenn Lieferanten- oder Kundenverträge sie verlangen — was zunehmend Standard wird.
Reicht eine E-Mail-Adresse als Meldekanal? Formal ja, datenschutzrechtlich heikel. Wenn der Mailserver beim Standard-IT-Dienstleister liegt, hat die IT theoretisch Lese-Zugriff. Eine konforme Lösung trennt Empfangsweg vom Standard-IT-Stack.
Müssen wir anonyme Meldungen entgegennehmen? Ja, seit der Gesetzesänderung 2023. Aktive Ermutigung zur Anonymität ist nicht Pflicht, aber zulässig.
Was, wenn der Hinweis sich als haltlos erweist? § 33 HinSchG: Vorsätzlich oder grob fahrlässig falsche Meldungen sind nicht geschützt — der Hinweisgeber kann zivilrechtlich haftbar gemacht werden. Bei gutgläubiger Fehleinschätzung bleibt der Schutz bestehen.
Können wir die Meldestelle outsourcen? Ja. § 14 HinSchG erlaubt die Auslagerung an externe Dienstleister oder Ombudspersonen. Die Letztverantwortung der Geschäftsführung bleibt aber bestehen.
Was kostet die Einrichtung? KMU-Realität 2026: 25–80 € pro Monat für eine SaaS-Meldestelle (Web-Formular, Postfach-Verwaltung, Frist-Reminder), plus interne Person mit ca. 0,2–0,5 Stunden pro Meldung. Bei 30+ Meldungen pro Jahr lohnt sich häufig die externe Ombudsperson-Variante.
Wie unterscheidet sich HinSchG von DSGVO-Auskunftsrecht? HinSchG bezieht sich auf Hinweise zu Rechtsverstößen. DSGVO-Auskünfte beziehen sich auf die eigenen personenbezogenen Daten der anfragenden Person. Beide Mechanismen können parallel auflaufen und müssen sauber unterschieden werden, weil die Schutzpflichten verschieden sind.
Muss das Geschäftsführerinnen-Postfach das Meldepostfach sein? Nein — und es sollte es auch nicht sein. Die Meldestelle muss unabhängig agieren. Vorgesetzte der typischen Hinweisgeber-Bereiche sind als Empfänger ungeeignet.
Diese Einordnung beruht auf den oben genannten Quellen mit Stand 2026-05-16. Eine konkrete Einzelfallprüfung ersetzt sie nicht.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 10. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
ISO-27001-Zertifizierung: was kostet das wirklich?
Personal, Beratung, Audit, Tooling — die ehrlichen Kosten einer ISO-27001-Zertifizierung für KMU mit 50-250 MA. Stand: 2026-05-16.
Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?
Realistische Kostenrahmen für NIS2-Compliance im Mittelstand: Personal, externe Beratung, Tools, Zertifizierung. Mit Beispiel-Rechnung — Stand 2026-05-16.
Cyber-Versicherung 2026: wann greift sie wirklich?
Was eine Cyber-Versicherung in DACH 2026 wirklich abdeckt: Versicherungs-Tatbestände, häufige Ausschlüsse, Anforderungen der Versicherer. Stand: 2026-05-16.