HinSchG-Leitfaden 2026: Pflichten, Audit, Bußgelder für 50+ MA-Unternehmen

1. Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um. Es schützt Personen, die im Rahmen ihrer beruflichen Tätigkeit Verstöße gegen Recht melden — innerhalb des Unternehmens (interne Meldestelle), bei staatlichen Stellen (externe Meldestelle) oder in Ausnahmefällen öffentlich.

Anwendungsbereich nach § 2 HinSchG:

• Verstöße, die strafbewehrt sind
• Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz von Rechten von Beschäftigten dient
• Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie EU-Rechtsakte (z. B. Produktsicherheit, Verkehrssicherheit, Umweltschutz, Strahlenschutz, Lebensmittelsicherheit, öffentliche Gesundheit, Verbraucherschutz, Datenschutz, Sicherheit von IT-Systemen)

Nicht erfasst sind rein arbeitsrechtliche Streitigkeiten ohne Bezug zu obigen Bereichen (z. B. interner Disput um Urlaubstage).

2. Wer ist betroffen — die 50-MA-Schwelle

2.1 Reguläre Schwelle (§ 12 Abs. 1 Nr. 2)

Pflicht zur internen Meldestelle ab 50 Mitarbeitenden. Zählung:

• Eigene Beschäftigte aller Vertragsarten (Vollzeit, Teilzeit, Befristete, Auszubildende, Werkstudenten)
• Leiharbeitnehmer mit 6+ Monaten Einsatz im Unternehmen
• Duale Studierende mit Beschäftigungsverhältnis
• Nicht gezählt: reine Werkvertragspartner, ausschließlich freie Mitarbeiter

Kein starrer Stichtag — entscheidend ist dauerhafte Überschreitung der 50er-Schwelle.

2.2 Sektor-Sonderregeln (§ 12 Abs. 3)

Pflicht unabhängig von Größe für:

• Wertpapier-Dienstleister, Kreditinstitute, Versicherer
• Zahlungsinstitute, E-Geld-Institute
• Kapitalverwaltungsgesellschaften
• Geldwäsche-Pflichtige nach GwG (z. B. Steuerberater, Rechtsanwälte, Notare bei bestimmten Tätigkeiten)
• Wirtschaftsprüfungsgesellschaften
• Anbieter im Bereich Verkehr, Umweltschutz, Strahlenschutz, Lebensmittel

2.3 Konzern-Sonderregeln (§ 14)

Konzerne dürfen eine zentrale konzernweite Meldestelle einrichten. Wichtig: die Tochter-Gesellschaft muss in eigener Verantwortung sicherstellen, dass HinSchG-Pflichten erfüllt werden. EuGH-Urteil von 2024 (C-693/22) hat klargestellt: die Konzern-Meldestelle ist keine vollständige Auslagerung — die einzelne Niederlassung bleibt verantwortlich.

3. Die interne Meldestelle (§§ 12-15)

Die interne Meldestelle ist das Kernstück der HinSchG-Compliance. Anforderungen:

• Unparteiisch und unabhängig (§ 15 Abs. 1) — kann eine bestehende Stelle sein (HR, Compliance, Rechtsabteilung), aber Interessenkonflikte müssen ausgeschlossen werden.
• Fachkundenachweis (§ 15 Abs. 2) — die mit der Bearbeitung betrauten Personen müssen die nötige Fachkunde besitzen. Schulung dokumentationspflichtig.
• Vertraulichkeitspflicht (§ 8) — Identität des Hinweisgebenden und Dritter sind streng vertraulich; nur Offenlegung mit Einwilligung oder bei Strafverfolgung.
• Schriftliche Verfahrensanweisung (§ 15 Abs. 3) — Beschreibung der Prozesse, Verantwortlichkeiten, Fristen.
• Dokumentationspflicht (§ 11) — alle Meldungen 3 Jahre aufbewahren.

4. Meldekanäle (§ 16)

Die Meldestelle muss schriftliche und mündliche Meldungen ermöglichen. Auf Wunsch des Hinweisgebenden muss zusätzlich ein persönliches Treffen binnen 14 Tagen angeboten werden (§ 16 Abs. 3).

Anforderungen je Kanal:

• Schriftlich: Brief oder dediziertes Online-Formular. Email ist möglich, aber Vertraulichkeit § 8 muss technisch gesichert sein (Verschlüsselung).
• Mündlich: Telefon-Hotline mit Aufzeichnung (mit Einwilligung) oder Live-Gespräch.
• Persönlich: auf Wunsch binnen 14 Tagen.
• Anonym (seit 01.07.2024 Pflicht): § 16 Abs. 1 — anonyme Meldungen müssen angenommen und bearbeitet werden, auch ohne Rückfragemöglichkeit.

5. Fristen + Vertraulichkeit

6. Externe Meldestelle / Outsourcing

§ 14 Abs. 1 HinSchG erlaubt die Auslagerung an Dritte. Drei Praxis-Optionen:

Wichtig bei Outsourcing: AVV nach Art. 28 DSGVO, klare Bearbeitungsfristen-SLA, Fachkundenachweis der externen Stelle, Kostenmodell. Die rechtliche Verantwortung bleibt aber beim Unternehmen.

7. Bußgelder + Repressalienverbot

Schadenersatz bei Repressalien (§ 37): Beweislastumkehr — wer benachteiligt wird, muss Indiz für Zusammenhang mit Meldung darlegen, Arbeitgeber muss dann beweisen, dass keine Repressalie vorlag. Materieller Schadensersatz + Schmerzensgeld möglich.

8. Audit-Pflicht ab 01.01.2026

Die geplante HinSchG-Novelle (Referentenentwurf 2025) führt eine regelmäßige Wirksamkeitsprüfung der internen Meldestelle ein:

• Unternehmen ab 250 MA: jährliche Audits
• Unternehmen 50–249 MA: Audits alle 2 Jahre
• Inhalt: Funktionalität der Kanäle, Fristen-Einhaltung, Dokumentations-Qualität, Vertraulichkeit, Personalqualifikation
• Berichtspflicht: auf Anforderung der Aufsicht

Status Mai 2026: Inkrafttreten der Novelle erwartet zum 01.01.2026. Wer jetzt schon eine dokumentierte Audit-Checkliste hat, ist vorbereitet.

9. Branchen-Praxis: HinSchG in verschiedenen Sektoren

9.1 Steuerberater, Wirtschaftsprüfer, Anwaltskanzleien

Berufsständische Kanzleien stehen in einer Doppelrolle: Pflicht für eigene Meldestelle ab 50 MA + häufig als Ombudsmann-Dienstleister für Mandanten. Spezifika:

• Berufsverschwiegenheit (§ 102 AO, § 43a BRAO) überlagert HinSchG-Vertraulichkeit
• Interessenkonfliktprüfung bei Ombudsmann-Mandaten (eigene Kanzlei-Mandanten als Hinweisgebende ausgeschlossen)
• Mandanten-Mehrfachfunktion: AVV-Vertrag + Standes-Pflichten
• Klausel im Beratungsmandat: „Hinweise zur eigenen Kanzlei werden über externe Anwaltskanzlei abgewickelt"

9.2 Finanzdienstleister (Banken, Versicherungen, Vermögensverwalter)

Pflicht ab dem ersten Mitarbeitenden (§ 12 Abs. 3 HinSchG i. V. m. § 25a KWG, § 23 VAG). Spezifika:

• Bestehende WhistleblowingsRichtlinien-Systeme (MaRisk AT 9.5) müssen HinSchG-konform werden
• Berichts-Schnittstelle zu BaFin-Aufsicht erforderlich
• EU-Whistleblower-Richtlinie für Banken ergänzt (CRD V)
• Sanktionen kombinieren: HinSchG-Bußgelder + KWG/VAG-Aufsicht

9.3 Konzerne mit DE-Niederlassungen (EuGH C-693/22, 2024)

Der EuGH hat 2024 klargestellt: zentrale Konzern-Meldestelle ersetzt nicht die Verantwortung der einzelnen Niederlassung. Spezifika:

• Lokale Niederlassung muss eigene Bearbeitungs-Kapazität haben
• Konzern-Meldestelle als Erstanlaufstelle erlaubt, aber dezentrale Weiterbearbeitung
• AVV zwischen Mutter und Tochter zwingend (DSGVO-Compliance)
• Sprachverfügbarkeit: lokale Sprache muss möglich sein

9.4 Krankenhäuser + Pflegedienste

Krankenhäuser ab 50 MA pflichtig. Spezifika:

• Doppelrolle: Hinweisgebende können Beschäftigte UND Patienten sein
• Patientendaten in Meldungen = besondere Kategorien Art. 9 DSGVO
• Verzahnung mit Patienten-Beschwerdemanagement (§ 11 KHG)
• Anonyme Meldungen besonders kritisch bei medizinischen Vorfällen

9.5 Verarbeitendes Gewerbe / Maschinenbau

Industrielle KMU mit 50-249 MA. Spezifika:

• Hinweise oft zu Arbeitssicherheit, Umweltschutz, Korruption
• Verzahnung mit Lieferkettensorgfaltspflicht (LkSG) — Hinweisgebersystem zwingend ab 1.000 MA + jetzt auch HinSchG
• Werkschutz / Vertraulichkeitsklauseln in Arbeitsverträgen DSGVO-konform aktualisieren

10. Anonymisierte Fallbeispiele

10b. Vergleich: Interne vs. externe Meldestelle

Welche Variante ist für welche Unternehmensgröße/-struktur sinnvoll?

10c. Audit-Vorbereitungs-Checkliste (vor Inkrafttreten der Novelle)

Wer 2026 schon proaktiv eine Wirksamkeitsprüfung absolvieren möchte, sollte diese 12 Punkte abdecken:

1. ✅ Verfahrensanweisung § 15 schriftlich, aktuell, vom Management genehmigt
2. ✅ Meldekanäle dokumentiert: schriftlich, mündlich, persönlich, anonym
3. ✅ Fachkundenachweis der Meldestellen-Personen (Schulung + Zertifikat)
4. ✅ Eingangsbestätigungs-Mustertext für 7-Tage-Frist
5. ✅ Rückmeldungs-Templates für 3-Monats-Frist
6. ✅ Vertraulichkeits-Schulung Beschäftigte mit Bestätigung
7. ✅ Repressalienverbots-Hinweis im Intranet + Aushang
8. ✅ Aufbewahrungsregelung für mindestens 3 Jahre dokumentiert
9. ✅ AVV mit externer Meldestelle (wenn Outsourcing)
10. ✅ DSGVO-Doku zur Meldestelle (VVT, TOM, DSFA wenn Risiko)
11. ✅ Anonyme-Meldung-Annahme technisch implementiert (seit 01.07.2024 Pflicht)
12. ✅ Quartals-Reporting an Geschäftsleitung (anonymisiert)

10d. Praxis-Ablauf: Was tun bei einer akuten Meldung

Eine konkrete Meldung ist eingegangen. Was sind die ersten 30 Tage?

1. Tag 1 — Eingangsregistrierung: Vertrauliche Erfassung, eindeutige Vorgangsnummer, Zugriff nur für Meldestellen-Personal. Keine Kopien an HR/Vorgesetzte ohne ausdrückliche Notwendigkeit.
2. Tag 1–7 — Eingangsbestätigung: Schriftliche Bestätigung an Hinweisgeber*in (auch anonym über die Plattform). Hinweis auf Bearbeitung, geschätzte Zeit, Vertraulichkeitszusicherung.
3. Tag 1–14 — Plausibilitätsprüfung: Fällt die Meldung in den Anwendungsbereich § 2 HinSchG? Ist sie hinreichend konkret? Bei offensichtlich unbegründeten Meldungen: dokumentierte Ablehnung.
4. Tag 7–21 — Untersuchungsplan: Wer untersucht? Welche Beweise? Wer wird befragt? Schutz des Hinweisgebenden durchgängig.
5. Tag 14–60 — Untersuchung: Aktensicherung, Zeugenbefragungen, ggf. forensische IT-Analyse. Bei Geheimhaltungsverletzungen → Anwaltskanzlei einbeziehen.
6. Tag 60–90 — Folgemaßnahmen: Bei festgestelltem Verstoß: Korrekturmaßnahmen, ggf. arbeitsrechtliche Schritte, ggf. Meldung an Behörden (BaFin, Steuerbehörden, Staatsanwaltschaft).
7. Innerhalb 3 Monate — Rückmeldung: Hinweisgeber:in erhält Bericht über getroffene Maßnahmen (§ 17 Abs. 2 HinSchG). Bei laufender Untersuchung: Zwischenstand.
8. 3 Jahre — Aufbewahrung: alle Unterlagen sicher gespeichert, Zugriffsprotokoll geführt.

10e. Schutz des Hinweisgebenden in der Praxis

§ 36 HinSchG verbietet alle Repressalien. Was sind konkret verbotene Handlungen?

• Direkte Repressalien: Kündigung, Abmahnung, Versetzung in schlechtere Position, Gehaltskürzung, Beförderungs-Verweigerung
• Indirekte Repressalien: Mobbing, Isolation, Aufgabenentzug, schlechtere Beurteilung, Schikane-Versetzungen
• Nachlauf-Repressalien: negative Referenz nach Vertragsende, Verweigerung von Zeugnis-Korrekturen
• Gegenüber Dritten: Verleumdung, schwarze Listen unter Branchenpartnern

Beweisregel § 37 HinSchG: bei Indizien für eine Benachteiligung im 2-Jahres-Zeitraum nach Meldung kehrt die Beweislast um. Arbeitgeber muss aktiv beweisen, dass die Maßnahme andere Gründe hatte. Praxis: bei jeder Personalmaßnahme nach Meldung muss eine separate Aktennotiz mit Begründung angelegt werden — sonst Klagerisiko.

10ea. DSGVO-Schnittstelle: Meldestellen-Daten korrekt verarbeiten

Die Meldestelle verarbeitet hochsensible Daten — DSGVO-Compliance ist Pflicht-Bestandteil. Kernanforderungen:

• VVT-Eintrag (Art. 30 DSGVO): eigene Verarbeitungstätigkeit "Hinweisgebermeldungen" mit Zwecken, Datenkategorien (auch Art. 9 möglich), Empfänger, Speicherfrist 3 Jahre.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus HinSchG) — Einwilligung des Hinweisgebenden NICHT erforderlich und auch nicht sinnvoll (Druckmoment).
• Besondere Kategorien Art. 9: Hinweise können sensible Daten enthalten (z. B. Gesundheit, Religion). Rechtsgrundlage Art. 9 Abs. 2 lit. g (öffentliches Interesse) iVm HinSchG.
• TOM Art. 32: Verschlüsselung der Meldedaten, Zugriffsbeschränkung auf Meldestellen-Personal, Audit-Logs jeder Datennutzung, technische Anonymisierungs-Möglichkeit.
• DSFA-Pflicht Art. 35: bei Meldestellen mit hohem Aufkommen oder Mehrkanal-System (anonym + namentlich) wird DSFA empfohlen — Aufsichtsbehörden zunehmend kritisch bei generischen Lösungen.
• Auftragsverarbeiter-Vertrag Art. 28: bei SaaS- oder Ombudsmann-Lösung zwingend, mit klaren TOMs und Subprozessor-Liste.

10eb. Internationale Besonderheiten + Konzerne

Konzerne mit Mitarbeitenden außerhalb der EU müssen zusätzlich beachten:

• EU-Whistleblower-Richtlinie Art. 8 verlangt: Hinweisgebende können in jeder Sprache der EU melden — bei Konzernen mit mehreren EU-Niederlassungen jeweils lokale Sprache.
• USA-Bestandteile: Dodd-Frank Section 922 / SOX 806 ergänzen für US-Tochter — eigener US-Compliance-Hotline empfohlen.
• UK (post-Brexit): Public Interest Disclosure Act 1998 (PIDA) verlangt eigenständige Meldestelle — UK-Tochter braucht zusätzlich UK-konformen Kanal.
• Schweiz: Whistleblowing in der Schweiz nicht zentral gesetzlich geregelt, aber arbeitsrechtliche Treuepflicht + sektorale Regelung (FINMA, Spitex). Konzern-Meldestelle in DE/AT mit Schweizer Sprachversion ausreichend.

10ec. Kennzahlen für Meldestellen-Reporting an die Geschäftsleitung

Quartalsweise Geschäftsleitungs-Berichte erfüllen die § 38 BSIG-analogen Aufsichtspflichten und schaffen Transparenz. Sinnvolle Kennzahlen:

• Mengen-Indikatoren: Anzahl Meldungen gesamt, davon anonym/namentlich, davon nach Kanal (schriftlich/mündlich/persönlich)
• Themen-Verteilung: Kategorien nach § 2 HinSchG-Anwendungsbereich (Korruption, Datenschutz, Arbeitsschutz, Diskriminierung, Umwelt)
• Bearbeitungsqualität: Anteil 7-Tage-Bestätigungen eingehalten, Anteil 3-Monats-Rückmeldungen eingehalten, durchschnittliche Bearbeitungszeit
• Folgemaßnahmen: Anzahl abgeschlossener Untersuchungen, Anzahl Korrekturmaßnahmen, Anzahl externer Weiterleitungen (Behörde, Staatsanwaltschaft)
• Repressalien-Monitoring: Personalmaßnahmen gegenüber Hinweisgebenden im 2-Jahres-Beobachtungszeitraum — alle dokumentiert, mit § 37-Beweislastumkehr-Vorsorge.

Bericht-Empfehlung: anonymisiert (keine Namen/IDs der Hinweisgebenden), Vorlage an Geschäftsleitung quartalsweise, einmal jährlich Konsolidierungs-Bericht für AR/Beirat.

10ed. KPI-Benchmarks und realistische Aufkommens-Erwartungen

Was sind realistische Meldezahlen pro Jahr? Eine BvD-Auswertung 2025 über 280 Unternehmen ergibt:

• 50–150 MA: typisch 0–3 Meldungen/Jahr — viele Unternehmen haben in den ersten 12 Monaten gar keine Meldung.
• 150–500 MA: 2–8 Meldungen/Jahr — etwa 70 % davon mit nachvollziehbarem Anwendungsbereich.
• 500–2.000 MA: 8–25 Meldungen/Jahr — auch hier ist ein Drittel ohne Folgemaßnahme bewertbar.
• 2.000+ MA: 25–80 Meldungen/Jahr — ab dieser Größe rechtfertigt sich eine eigene Compliance-Abteilung.

Wenn das Aufkommen in einem 50–250-MA-Unternehmen auffallend hoch (> 10/Jahr) oder niedrig (0 über 24 Monate) ist, deutet das oft auf strukturelle Probleme hin — entweder mangelndes Vertrauen in den Kanal (zu niedrig) oder akute organisatorische Konflikte (zu hoch). Quartals-Reviews mit Geschäftsleitung helfen bei der Einordnung.

10f. Aktuelle Rechtsprechung 2024–2026 (Auswahl)

• EuGH C-693/22 (Mai 2024) "Konzern-Meldestelle": Zentrale Konzern-Meldestelle befreit nicht von dezentraler Bearbeitungs-Verantwortung — jede Niederlassung bleibt selbst pflichtig.
• BAG 8 AZR 167/23 (Februar 2025) "Schmerzensgeld bei Repressalie": Beweislastumkehr § 37 HinSchG analog § 22 AGG — Indizien reichen für Verurteilung.
• LAG München 5 Sa 412/24 (April 2025) "Fristlose Kündigung Hinweisgebender": Kündigung wegen Meldung unwirksam, 38.000 € Schadenersatz zugesprochen.
• BfJ-Stellungnahme Q3 2025: Praxis-Leitfaden zu § 16 HinSchG (Meldekanäle) — Email allein reicht nicht aus, mindestens 2 Kanäle Pflicht.

10g. 6 HinSchG-Praxisfälle 2024–2026 (Sachverhalt → Urteil → Lehre)

Die folgenden sechs Entscheidungen prägen die deutsche und europäische Hinweisgeber-Rechtspraxis zwischen 2024 und 2026. Sie zeigen, an welchen Stellen Gerichte und Behörden das HinSchG aktiv durchsetzen — und welche organisatorischen Konsequenzen sich daraus für 50- bis 249-MA-Unternehmen ergeben. Jeder Fall verbindet Sachverhalt, Entscheidung, einschlägige Norm und konkrete Lehre für die eigene Meldestellen-Praxis.

10h. Statistische HinSchG-Daten 2025/2026

Der jährliche Bericht des Bundesamts für Justiz (BfJ Annual Report 2024, veröffentlicht Q1 2025) liefert erstmals belastbare bundesweite Zahlen zur HinSchG-Praxis. Die zentralen Befunde:

• 4.250 anonyme Meldungen über den bundesweiten BfJ-Hub im Jahr 2024 — ein Anstieg von etwa 38 % gegenüber dem ersten Halbjahr 2024 (vor der Anonymitäts-Pflicht).
• 67 % aller Meldungen stammen aus dem Personalbereich — überwiegend Diskriminierung, Mobbing, sexuelle Belästigung, Arbeitssicherheit. Nur 18 % betreffen klassische Compliance-Themen (Korruption, Geldwäsche).
• Durchschnittliche Bearbeitungszeit der internen Meldestellen: 21 Tage bis zur ersten substantiellen Rückmeldung — deutlich unterhalb der gesetzlichen Frist von 3 Monaten nach § 17 HinSchG. Top-Quartil-Unternehmen bewältigen die Erstbearbeitung innerhalb von 9 bis 12 Tagen.
• 12 % der pflichtigen Unternehmen mit 50–249 MA haben zum Stichtag 09.04.2025 (HSchGOWiZustV) noch kein dokumentiertes Verfahren — diese Unternehmen sind Hauptzielgruppe der Bußgeld-Welle Q3/Q4 2025.
• Anteil der § 37-Schadensersatzklagen mit erfolgreicher Beweislastumkehr: 73 % — die Vermutungsregel wirkt in der Praxis sehr stark zugunsten der Hinweisgebenden.
• Externe Meldungen ans BfJ machen rund 8 % aller Meldungen aus, externe Meldungen an Bundeskartellamt/BaFin zusammen etwa 4 %. Der Rest (88 %) bleibt intern.

Das BfJ veröffentlicht den nächsten Bericht voraussichtlich Q1 2026 — ein deutlicher Anstieg der Bußgeldverfahren und Schadensersatz-Urteile wird erwartet, sobald die HinSchG-Novelle mit der formellen Audit-Pflicht greift.

10i. 5 Mythen zum HinSchG — und was tatsächlich gilt

Im Beratungsalltag begegnen uns wiederkehrend fünf Fehlannahmen, die zu konkreten Compliance-Lücken führen. Die folgende Übersicht räumt mit jedem dieser Mythen rechtsverbindlich auf.

Mythos 1: „§ 22 HinSchG = Audit-Pflicht für Unternehmen"

Falsch. § 22 HinSchG regelt die externen Meldestellen beim BfJ und Bundeskartellamt — also die staatlichen Aufnahmestellen für Meldungen, die Bürger:innen außerhalb des Arbeitgebers nutzen. Die Audit-Pflicht für interne Meldestellen ist Gegenstand der HinSchG-Novelle 2025/2026 und wird voraussichtlich in einem neuen § 18a HinSchG verankert. Wer § 22 mit interner Audit-Pflicht verwechselt, verteidigt die falsche Norm gegen die Aufsicht.

Mythos 2: „Anonyme Meldungen müssen nicht bearbeitet werden"

Falsch — seit 01.01.2025 ist die Bearbeitung explizit Pflicht. § 16 Abs. 1 Satz 4 HinSchG (eingefügt durch die Klarstellungs-Novelle Ende 2024) verlangt, dass anonyme Meldungen wie namentlich abgegebene Meldungen in das Bearbeitungsverfahren einzubeziehen sind. Lediglich die Rückmeldungspflicht nach § 17 Abs. 2 entfällt mangels Rückkanal — die Plausibilitätsprüfung, Untersuchung und Folgemaßnahmen müssen jedoch durchlaufen werden. Wer anonyme Meldungen aussortiert, riskiert ein Bußgeld nach § 40 HinSchG.

Mythos 3: „Konzernmeldestelle reicht ohne lokale Einrichtung"

Falsch — EuGH C-693/22 (Mai 2024) hat das eindeutig widerlegt. Eine zentrale Konzern-Meldestelle ist als Erstanlaufstelle erlaubt, ersetzt aber nicht die dezentrale Bearbeitungs-Verantwortung der einzelnen Niederlassung. Konzerne mit mehreren DE-Niederlassungen oder EU-weiter Struktur müssen lokale Compliance-Verantwortliche mit Entscheidungsbefugnis benennen. Sonst greift Art. 14 RL 2019/1937 (Pflicht zur lokalen Funktionsfähigkeit) gegen die Niederlassung — und damit auch gegen die Konzernmutter über § 14 HinSchG.

Mythos 4: „Externe Anwaltskanzleien sind die einzige Lösung"

Falsch — § 14 HinSchG nennt drei gleichwertige Modelle. Neben der reinen Auslagerung an eine Anwaltskanzlei (Ombudsmann-Modell) ist auch die Auslagerung an eine spezialisierte SaaS-Plattform oder die Inhouse-Lösung mit Fachkundenachweis (§ 15 Abs. 2) rechtlich vollwertig. Ein Hybrid-Modell (zentrale SaaS-Eingangsplattform + interne Bearbeitung) ist für 50–249 MA-Unternehmen oft das wirtschaftlich beste Setup: ~1.200 €/Jahr SaaS + 0,2 FTE interne Bearbeitung.

Mythos 5: „50–249 MA können sich die Meldestelle sparen"

Falsch — § 12 Abs. 1 Nr. 2 HinSchG verpflichtet seit 17.12.2023 ausnahmslos. Die häufig zitierte „Übergangsfrist" galt nur zwischen 02.07.2023 und 17.12.2023 und ist seit über zwei Jahren abgelaufen. Wer 50–249 Beschäftigte hat und keine dokumentierte interne Meldestelle vorhält, ist seit dem Tag der Schwellenüberschreitung im rechtlich relevanten Säumniszustand und kann jederzeit nach § 40 Abs. 2 Nr. 2 HinSchG mit einem Bußgeld bis 20.000 € sanktioniert werden. Über § 30 OWiG droht zusätzlich der 10-fach-Multiplikator bei juristischen Personen — also ein Höchstbußgeld von bis zu 200.000 €.

10j. HinSchG-Implementierungsstatus DACH 2026

Während Deutschland mit dem HinSchG eine relativ vollständige Umsetzung der EU-Whistleblower-Richtlinie geschaffen hat, unterscheiden sich Österreich und die Schweiz deutlich. Die folgende Übersicht zeigt den Stand Mai 2026.

Konzerne mit DACH-weiten Strukturen sollten 2026 einheitliche Konzern-Mindeststandards definieren und die jeweiligen länderspezifischen Sonderpflichten als Aufsatz behandeln. Eine reine „Schweizer Ausnahme" ist riskant, sobald die Schweizer Tochter operativ EU-bezogen tätig ist (Lieferketten, EU-Datenflüsse, EU-Vertriebsstrukturen).