HinSchG für IT-Dienstleister + MSSP: Spezifika

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: HinSchG

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

IT-Dienstleister/MSSP: HinSchG-Pflicht ab 50 MA + ggf. NIS2 als wichtige/wesentliche Einrichtung
Kunden-Geheimnis als zusätzlicher Schutzbereich (BGB + Berufsrecht)
Insider-Threats sind Kern-Risiko: Privileged-Access-Management Pflicht
NIS2-Schnittstelle: Vorfall-Meldewege koppeln (24h/72h/30d)
Vertraulichkeitskonzept § 8 HinSchG mit AVV-Klauseln zu Kunden synchronisieren

Hauptartikel: Hauptartikel: HinSchG: Interne Meldestelle einrichten — der vollständige Pillar-Artikel zum Thema.

1. Doppel-Regulierung NIS2 + HinSchG

IT-Dienstleister oft NIS2-betroffen (Cloud, Managed Services). HinSchG zusätzlich ab 50 MA.

2. Kunden-Geheimnis

Mandanten-/Kunden-Daten bleiben geschützt. Hinweisgeber darf Sicherheitslücken intern melden, aber nicht öffentlich Kunden-Namen nennen.

3. Insider-Threats vs. Hinweisgeber-Schutz

Schwierige Abgrenzung: Insider, der Daten kopiert = Straftäter. Insider, der Lücken meldet = Hinweisgeber. Beweis-Last beim Arbeitgeber.

4. Vorfall-Eskalation Kunde

Bei Hinweis auf Sicherheitslücke beim Kunden: Information des Kunden Pflicht (Art. 28 DSGVO + AVV).

5. SOC-Mitarbeiter-Schutz

Security Operations Center-Mitarbeiter haben oft besondere Einblicke. HinSchG-Schutz für deren Hinweise an Compliance-Officer.

Häufig gestellte Fragen

Was, wenn Hinweis Kunden-Sicherheitslücke betrifft?

Information des Kunden Pflicht (binnen 24h NIS2-Lieferanten-Klausel).

Insider-Strafanzeige?

Bei nachweisbarem Datenmissbrauch ja. Aber AGG/HinSchG-Schutz prüfen.

Quellen

Hinweisgeberschutzgesetz (HinSchG), §§ 8, 11, 12, 36, gesetze-im-internet.de/hinschg (Stand: 02.05.2026)
BSI-Gesetz 2025 (BSIG, konsolidiert nach NIS2UmsuCG), §§ 32 (Meldekette 24h/72h/30T), 33 (Registrierung), gesetze-im-internet.de/bsig_2025 (Stand: 02.05.2026)
DSGVO Art. 28 (Auftragsverarbeitung), Art. 32 (TOM), Art. 33 (Meldepflicht 72h), eur-lex.europa.eu (DSGVO)
Richtlinie (EU) 2022/2555 (NIS2), eur-lex.europa.eu (NIS2)

Stand: 02.05.2026

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. HinSchG Self-Assessment Pruefen Sie Ihre Hinweisgeber-Meldestelle auf Konformitaet zu HinSchG-Novelle 2026.