Hinweisgebersystem ab 50 Mitarbeitern: was KMU brauchen
TL;DR
- Pflicht ab 50 Beschäftigten (§ 12 Abs. 1 Nr. 2 HinSchG) — seit 17.12.2023
- Mitzählen: Vollzeit + Teilzeit + Auszubildende + Leiharbeiter (länger als 6 Monate)
- 4 Setup-Optionen: externer Ombudsmann, SaaS-Plattform, Inhouse, Konzern-Hybrid
- Typische Kosten: 3-15k EUR / Jahr je nach Modell
- Anonyme Meldungen seit 01.07.2024 Pflicht (HinSchG-Novelle)
- Pflicht-Kanäle: schriftlich + mündlich (E-Mail allein reicht nicht)
- Sanktion: bis 50.000 EUR bei Verstößen
1. Die 50-Mitarbeiter-Schwelle (§ 12 Abs. 1 Nr. 2)
§ 12 Abs. 1 Nr. 2 HinSchG verpflichtet alle Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Die Schwelle gilt seit 17.12.2023 (zweite Stufe der HinSchG-Umsetzung).
"In der Regel": nicht die exakte Stichtagszahl, sondern der typische Personalbestand. Saisonale Schwankungen werden geglättet (12-Monats-Durchschnitt). Bei dauerhaft 47 Beschäftigten und Saisonpeak von 60: Pflicht entsteht erst bei dauerhaftem Überschreiten.
Sonderfälle:
- Banken, Versicherungen, Wertpapierdienstleister: Pflicht unabhängig von Beschäftigtenzahl (sektorspezifische Vorgaben bleiben gültig, § 12 Abs. 3)
- Konzerne: jede Tochtergesellschaft > 50 MA ist selbst zur Einrichtung verpflichtet — eine Konzernzentrale-Meldestelle reicht nur unter engen Bedingungen (s. Abschnitt 4)
- Öffentliche Stellen: sektorspezifische Sonderregeln, BfJ ist externe Meldestelle
2. Wer zählt als "Beschäftigter"?
§ 3 Abs. 8 HinSchG definiert weit:
- Eigene Beschäftigte: Vollzeit zählt je 1, Teilzeit ebenfalls 1 unabhängig von Stunden (anders als KSchG-Schwelle, die mit 0,75 / 0,5 gewichtet)
- Auszubildende, dual Studierende, Werkstudenten: ja
- Praktikanten: ja, sofern Pflichtpraktikum + Vergütung
- Leiharbeitnehmer: bei Einsatzdauer > 6 Monaten beim entleihenden Unternehmen
- Selbständige mit beruflicher Tätigkeit für den Beschäftigungsgeber: nur in Bezug auf Schutz vor Repressalien, NICHT für die Mitarbeiterzahl-Schwelle
- Geschäftsführer ohne Anteile: ja
- Reine Werkvertragsnehmer und Freelancer: nein
- Tatsächlich beendete Arbeitsverhältnisse in Kündigungsphase: ja, bis zum tatsächlichen Ausscheiden
Tipp: bei Grenzfällen (47-55 MA) immer 12 Monate rückwirkend dokumentieren — Aufsichtsbehörden fragen das ab.
3. Externe vs. interne Meldestelle
HinSchG kennt zwei parallele Meldewege:
3.1 Interne Meldestelle (§§ 12-18)
Im Unternehmen selbst, gesetzlich vorgeschrieben für 50+ Beschäftigte. Beschäftigte sollen zuerst intern melden (§ 7 Abs. 1 Satz 2), wenn intern wirksam vorgegangen wird und keine Repressalien drohen — Wahlfreiheit besteht aber.
3.2 Externe Meldestelle (§§ 19-31)
Behörden:
- BfJ (Bundesamt für Justiz): für alle Verstöße ohne sektorspezifische Zuständigkeit
- BaFin: für Finanzdienstleister-Verstöße
- BKartA (Bundeskartellamt): Kartellrecht
- Länder-Behörden: für Beamtenrecht, Landesthemen
Hinweisgeber können sich jederzeit direkt an die externe Meldestelle wenden — wenn das Unternehmen jedoch eine gut funktionierende interne Meldestelle anbietet, kommen externe Meldungen selten vor (Erfahrungswerte BfJ 2024: ca. 90 % interner Anteil).
4. Vier Setup-Optionen für KMU
4.1 Option 1: Externer Ombudsmann (Rechtsanwalt)
Vorteile:
- Beschäftigte vertrauen einem Anwalt mehr als internem Compliance-Officer (Verschwiegenheitspflicht §§ 43a BRAO)
- Klare Trennung zur Geschäftsleitung
- Geringeres Risiko für Interessenkonflikte
- Anwalt prüft auch rechtliche Plausibilität der Meldung
Nachteile:
- Mehrkosten 5-15k EUR/Jahr Grundgebühr + Fall-Pauschale
- Erreichbarkeit oft auf Bürozeiten begrenzt
- Persönliche Begegnung räumlich schwieriger
Geeignet für: mittelständische Unternehmen 50-300 MA, traditionelle Branchen.
4.2 Option 2: SaaS-Plattform (Online-Hinweisgebersystem)
Anbieter (Auswahl 2026): EQS Integrity Line, Whistlelink, LegalTegrity, hintbox, otris compliance.
Vorteile:
- Mehrsprachigkeit (oft 20+ Sprachen) — wichtig für internationale Belegschaft
- Anonymes Postfach für 2-Wege-Kommunikation auch nach anonymer Meldung
- Eingebaute Fristen-Erinnerungen (7-Tage-Bestätigung, 3-Monats-Feedback)
- ISO 27001, Hosting in DE/EU (DSGVO-konform)
- Audit-Logs für Wirksamkeitsprüfung
Nachteile:
- Telefon-Kanal muss separat organisiert werden (Pflicht § 16!)
- Plattform ersetzt nicht die Verfahrensanweisung (immer noch zwingend)
- Lizenz nur, kein Personal — interne Bearbeitung weiter nötig
Typische Kosten: 3-12k EUR/Jahr je nach MA-Zahl, Sprachpaket, Premium-Features.
4.3 Option 3: Inhouse Compliance-Officer
Eigene benannte Person (Compliance-Officer, Vertrauensperson, ggf. Doppelrolle mit DSB).
Vorteile:
- Vollständige Kontrolle über Daten und Prozess
- Direkte Kenntnis des Unternehmens hilft bei Plausibilitäts-Prüfung
- Bei vorhandener Compliance-Funktion: marginale Mehrkosten
Nachteile:
- Interessenkonflikt-Risiko hoch (Mitarbeiter könnten Vertraulichkeit zweifeln)
- Bei Krankheit / Urlaub: Vertretungsregelung muss strikt sein (sonst Fristen-Verstoß)
- Fachkunde-Schulung jährlich (§ 15 Abs. 2)
- Doppelfunktion mit HR ist riskant — bei Personalverfahren strikter Konflikt
Geeignet für: Unternehmen, die bereits Compliance-Officer haben, oder solche, die starke interne Vertrauenskultur leben können.
4.4 Option 4: Konzern-Hybrid
Eine zentrale Meldestelle im Mutterunternehmen für mehrere Töchter — nur möglich unter engen Bedingungen:
- BfJ-FAQ (Mai 2024): zentrale Konzernmeldestelle nur, wenn organisatorisch eindeutig als Meldestelle der jeweiligen Tochter ausgewiesen
- EU-Kommission Frage 2.5 (Juni 2021): Tochter über 250 MA muss eigene Meldestelle haben, kann sie aber an externe Stelle (inkl. Konzernmuter) auslagern
- Für 50-249-MA-Töchter ist Auslagerung an Konzernmuter ohne formale Beschränkung möglich
- Datenschutz-AVV zwischen Tochter und Konzernmuter zwingend
Geeignet für: Konzerne mit klarer Tochter-Struktur. Achtung bei internationalen Konzernen — Drittlandtransfer beachten (DSGVO Kapitel V).
5. Kosten-Vergleich (Stand 2026)
| Option | Setup-Kosten (1× ) | Laufende Kosten (Jahr) | Geeignet ab MA |
|---|---|---|---|
| Externer Ombudsmann | 500-2.000 EUR | 5.000-15.000 EUR + Fallpauschale | 50-500 MA |
| SaaS-Plattform | 500-1.500 EUR | 3.000-12.000 EUR | 50+ MA, jede Größe |
| Inhouse Compliance-Officer | 2.000-5.000 EUR (Schulung + Vorlagen) | Personalanteil 10-25 % | 100-1.000 MA |
| Konzern-Hybrid | 5.000-15.000 EUR (Konzern-Setup) | Skalierung pro Tochter | Konzern-Strukturen |
Empfehlung KMU 50-200 MA: Kombination SaaS-Plattform + Telefon-Hotline + dokumentierte Verfahrensanweisung. Kosten typisch 5-8k EUR/Jahr. Bei sehr sensiblem Bereich (Banking, kritische Infrastruktur) zusätzlich externer Ombudsmann.
6. Pflicht-Kanäle nach § 16 HinSchG
Mindestens diese drei (auf Anforderung):
- Schriftlich: Brief, E-Mail, Online-Plattform — mindestens einer dieser Wege
- Mündlich: Telefon, Voicemail, anderes Tonübertragungssystem — zwingend zusätzlich
- Persönliche Begegnung: auf Verlangen des Hinweisgebers, in angemessener Frist
Häufiger Fehler: nur E-Mail-Postfach einrichten. Das ist nur schriftlich — der mündliche Kanal fehlt. Verstoß § 16 Abs. 3.
Häufiger Fehler 2: die Telefon-Nummer ist die normale Zentrale. Vertraulichkeit § 8 nicht gewahrt. Lösung: separate Voicemail-Nummer oder externe Hotline.
7. Anonyme Meldungen seit 01.07.2024
Die HinSchG-Novelle vom 01.07.2024 hat klargestellt: anonyme Meldungen müssen entgegengenommen und bearbeitet werden (§ 16 Abs. 1 Satz 4). Damit verbunden:
- System muss anonyme 2-Wege-Kommunikation ermöglichen (Plattform mit anonymem Postfach, anonymisierter Rückruf)
- Eingangsbestätigung läuft trotzdem (7-Tage-Frist) — über anonymen Kanal
- Rückmeldung nach 3 Monaten ebenfalls über anonymen Kanal
- Plausibilitäts-Prüfung schwieriger ohne Identität, aber rechtlich pflicht
SaaS-Plattformen lösen das technisch elegant. Reines E-Mail-Postfach kann anonyme 2-Wege-Kommunikation nicht abbilden — daher selbst bei IT-affinem KMU oft kein Ersatz.
8. Sanktionen bei Verstoß (§ 40 HinSchG)
| Verstoß | Norm | Bußgeld max. |
|---|---|---|
| Repressalie gegen Hinweisgeber | § 40 Abs. 2 Nr. 1 | 50.000 EUR |
| Vertraulichkeit verletzt | § 40 Abs. 2 Nr. 4 | 50.000 EUR |
| Meldekanal nicht eingerichtet | § 40 Abs. 2 Nr. 2 | 20.000 EUR (seit 01.12.2023) |
| Anonyme Meldung nicht bearbeitet | § 40 Abs. 2 Nr. 2a | 20.000 EUR (seit 01.07.2024) |
| Behinderung der Meldung | § 40 Abs. 2 Nr. 3 | 50.000 EUR |
| Fahrlässige Verletzung | § 40 Abs. 4 | Hälfte des jeweiligen Höchstsatzes |
Zusätzlich: zivilrechtliche Schadensersatzansprüche des Hinweisgebers bei Repressalie (§ 37). Beweislastumkehr — Arbeitgeber muss nachweisen, dass keine Repressalie vorlag.
FAQ
Ab wann ist ein Hinweisgebersystem Pflicht?
Wer zählt als Mitarbeiter?
Welche 4 Setup-Optionen gibt es?
Welche Kanäle sind Pflicht?
Müssen anonyme Meldungen bearbeitet werden?
Was kostet ein 50-MA-System?
Gilt das auch für Vereine und Stiftungen?
Quellen
- HinSchG — Hinweisgeberschutzgesetz (konsolidierte Fassung) (Stand: 17.05.2026)
- BfJ — Bundesamt für Justiz, externe Meldestelle + FAQ (Stand: 17.05.2026)
- Richtlinie (EU) 2019/1937 — Whistleblower-Richtlinie (Stand: 17.05.2026)