Dr. Maximilian Degenhart, RA*

Zwei Jahre Hinweisgeberschutzgesetz: Best Practices

Zwei Jahre nach Inkrafttreten des Hinweisgeberschutzgesetzes zeigt die Praxis, dass die Wirksamkeit interner Meldestellen weniger von ihrer formalen Existenz als von Struktur und Qualität der Verfahren abhängt. Der Beitrag stellt bewährte Best Practices vor, die eine rechtssichere und zugleich akzeptierte Ausgestaltung ermöglichen. Im Fokus stehen niedrigschwellige Zugänge, anonymer Dialog, fachkundige Betreuung, organisatorisch abgesicherte Vertraulichkeit sowie transparente, fristengebundene Abläufe als Grundlage eines funktionierenden Frühwarnsystems.

I. Einleitung

Nachdem das Hinweisgeberschutzgesetz1 seit zwei Jahren und die Whistleblowing-Richtlinie2 bereits seit über fünf Jahren in Kraft getreten sind, ist es an der Zeit, anhand erster Erfahrungen aufzuzeigen, welche Best Practices sich in der Praxis herausgebildet haben.

Dieser Beitrag konzentriert sich auf die Frage, wie Unternehmen interne Meldestellen so organisieren, dass Rechtssicherheit besteht und Beschäftigte sie freiwillig nutzen. Dabei wird ausdrücklich zwischen Struktur und Verfahren unterschieden. Struktur meint Meldewege und Zugang zur Meldestelle (z. B. Website/Intranet). Verfahren meint Bearbeitungsschritte nach Eingang einer Meldung.

In der Praxis entscheidet weniger die Existenz eines spezifischen Meldewegs. Maßgeblich ist die Qualität des Verfahrens nach Eingang eines Hinweises. Genau dort liegen die wiederkehrenden Umsetzungsprobleme. Genau dort entstehen aber auch die Erfolgsfaktoren.

II. Kernthesen

Zusammenfassend lassen sich nach zwei Jahren HinSchG-Praxis folgende Best-Practices benennen:

• Niedrigschwellige und barrierefreie Nutzbarkeit der Meldewege durch ein digital erreichbares System mit anonymem Dialog (E-Mail allein ist regelmäßig nicht ausreichend).
• Anonymität als Einstieg ermöglichen – und gleichzeitig einen Prozess schaffen, in dem Hinweisgeber im Verlauf häufig freiwillig Identität offenlegen, weil Vertrauen entsteht.
• Fachkundige Betreuung der Meldestelle (intern oder extern/hybrid), weil fehlende Fachkunde Akzeptanz zerstört und Abwanderung zu externen Meldestellen begünstigt.
• Vertraulichkeit organisatorisch absichern (Need-to-know, Rollenmodell, Schulungen, dokumentierte Ausnahmeentscheidungen).
• Klare, transparente Verfahren: Triage (HinSchG/Out-of-scope/anderer Prozess), Fristensteuerung, Folgemaßnahmenlogik, Dokumentation.
• Regelmäßige Kommunikation in die Belegschaft (“Tone from the Top” und Wiederholung): Onboarding, jährliche Erinnerung, kurze Vorstellung der Meldestelle, ggf. Video/kurzes Format, das dauerhaft abrufbar ist.
• Bewusstes Erwartungsmanagement: Was kann das System leisten? Welche Themen sind erfasst? Was passiert bei nicht erfassten Themen?
• Frühwarnsystem-Mentalität: Hinweise als Chance verstehen, “kleine Fehler” zu erkennen, bevor “große Fehler” entstehen.

Diese Best Practices bilden einen Rahmen, der sowohl rechtlich tragfähig als auch praktisch wirksam ist. Praxiserfahrungen sprechen dafür, dass gerade diese Kombination – niedrigschwellige Erreichbarkeit, Anonymität, Fachkunde, verlässliches Verfahren – die entscheidende Differenzierung zwischen “formalem System” und “gelebtem System” darstellt.

III. Erfahrungen mit Eingangszahlen und Systembreite

Die laufende Fallarbeit hat gezeigt, dass Meldestellen, die strikt auf Mindestaufgaben begrenzt sind und deren Zugang nur intern kommuniziert wird, häufig nur wenige Eingänge verzeichnen. In solchen Konstellationen sind durchschnittlich nur wenige Hinweise pro Jahr realistisch. Oft bleiben davon nur einzelne Fälle übrig, die genauer geprüft werden müssen. Dieses Bild verändert sich, wenn Unternehmen den Kanal bewusst als Frühwarnsystem öffnen und den Zugang sichtbarer machen sowie regelmäßig innerhalb des Unternehmens kommunizieren. Sichtbarkeit kann durch mehrere Kommunikationskanäle erreicht werden. Sie kann auch dadurch steigen, dass die Meldemöglichkeit nicht nur im Intranet steht, sondern zusätzlich auf einer öffentlich zugänglichen Seite auffindbar ist. In der Praxis steigt außerdem die Qualität der Hinweise, wenn Beschäftigte3 einen sicheren Dialog erwarten. Genau hier schließt sich der Kreis zu anonymem Dialog, Verfahrensdisziplin und Fachkunde. Zudem sollte die Meldestelle 24/7 erreichbar sein, zum Beispiel durch eine online aufrufbare Meldesoftware, also ein Software-Tool für Hinweisgeber. Hintergrund: Beschäftigte melden oft außerhalb der Arbeitszeiten. Dies hat mehrere Gründe, unter anderem die fehlende Zeit und Ruhe während der Arbeitszeiten und die Sorge, bei Abgabe des Hinweises von einem Kollegen bemerkt zu werden.4 Gleichzeitig gilt, dass die – insbesondere im Gesetzgebungsverfahren – häufig geäußerte Sorge verleumderischer Hinweise nicht Realität geworden ist. Eingehende Hinweise sind in der Regel dergestalt motiviert, kleinere oder größere, reale oder teils nur gefühlte Missstände zu melden, um eine Änderung des Status Quo zu erreichen. Denunziatorische oder verleumderische Hinweise sind kaum sichtbar, die entsprechenden Befürchtungen haben sich nicht bewahrheitet.

IV. Praxis und rechtliche Leitplanken

Der gesetzliche Rahmen des HinSchG ist Ausgangspunkt, freilich nicht Endpunkt jeder Befassung mit dem Thema Meldestelle.

Die Pflicht zur Einrichtung einer internen Meldestelle knüpft grundsätzlich an eine Mindestgröße des Beschäftigungsgebers an, § 12 HinSchG. Maßgeblich ist dabei der einzelne Beschäftigungsgeber als Rechtsträger. Es kommt daher auf die jeweilige Organisationseinheit an und nicht auf den Konzern als Gesamtverbund. Ein Konzern darf gleichwohl zentrale Strukturen nutzen, wenn die gesetzlichen Vorgaben zur internen Meldestelle eingehalten werden. Für private Beschäftigungsgeber, die nicht Teil der öffentlichen Hand sind, mit 50 bis 249 Beschäftigten ist außerdem eine gemeinsame Meldestelle zulässig. Auch bei gemeinsamer oder zentraler Organisation bleibt der einzelne Beschäftigungsgeber für die Erfüllung der gesetzlichen Pflichten verantwortlich. Dazu gehören insbesondere die Organisation der Bearbeitung und die Pflichten, die im konkreten Fall gegenüber Hinweisgebern umzusetzen sind. Neben dem internen Meldeweg bestehen externe Meldestellen. Möchte ein Beschäftigter auf einen Verstoß aufmerksam machen, hat er gemäß § 7 HinSchG die Wahl, ob er den Hinweis bei der Meldestelle seines Beschäftigungsgebers abgibt oder bei einer durch Bund, Länder oder die Europäische Union eingerichteten externen Meldestelle. Hinweisgeber können zwischen internem und externem Meldeweg wählen, interne und externe Meldestellen stehen nebeneinander.5 Damit diese Wahl tatsächlich möglich ist, muss der Beschäftigungsgeber klare und leicht zugängliche Informationen über externe Meldeverfahren bereitstellen.6 Als Kommunikationswege kommen je nach Belegschaft unter anderem die Website, das Intranet oder ein Aushang in Betracht. Bei heterogenen Belegschaften kann es erforderlich sein, mehrere Wege parallel zu nutzen. Es liegt jedoch im ureigenen Interesse der Beschäftigungsgeber, Anreize zu schaffen, damit Hinweisgeber die eigene, interne Meldestelle nutzen.7 Andernfalls besteht die Gefahr, dass sich Hinweisgeber unmittelbar an externe Stellen wenden und damit eine vorgelagerte interne Aufklärung und Bewertung des gemeldeten Sachverhalts entfällt. Eine interne Aufklärung kann insbesondere bei schwerwiegenden Rechtsverstößen erhebliche Vorteile bieten, können Interna doch auf diesem Weg intern bleiben.

V. Bausteine eines Hinweisgebersystems

Eine Meldestelle ist rechtlich zweigliedrig aufgebaut. Es umfasst erstens die organisatorischen Meldekanäle der internen Meldestelle, § 14 HinSchG. Es umfasst zweitens das gesetzlich strukturierte Bearbeitungsverfahren nach Eingang eines Hinweises, § 13 HinSchG. Die interne Meldestelle ist dabei nicht nur “Empfangsstelle”. Sie hat Meldekanäle zu betreiben, das Verfahren durchzuführen und Folgemaßnahmen zu ergreifen. Der Meldekanal ist insofern nicht isoliert zu betrachten, sondern in Kombination mit den Prozessen dahinter. Diese Prozesse müssen zusammen mit den Meldekanälen so ausgestaltet sein, dass die gesetzlichen Verfahrensschritte tatsächlich geleistet werden können.

Die gesetzlichen Anforderungen beginnen bei der Ausstattung und Befugnislage. Der Beschäftigungsgeber muss die interne Meldestelle so organisieren, dass sie ihre Aufgaben erfüllen kann. Die interne Meldestelle muss also die notwendigen Befugnisse haben, um ihre Aufgaben insbesondere zur Prüfung von Hinweisen und zur Ergreifung von Folgemaßnahmen wahrnehmen zu können.8 Dazu gehört, dass die Meldestelle Hinweise prüfen kann und Folgemaßnahmen rechtlich und tatsächlich veranlassen kann.9

Dies setzt praktische Zugriffs- und Mitwirkungsmöglichkeiten voraus.10 Es geht um die Fähigkeit, Informationen zu beschaffen, Zuständigkeiten zu klären und geeignete Schritte anzustoßen. Das bleibt nicht bei abstrakten Pflichten stehen. Es verlangt auch Ressourcen. Je nach Ausgestaltung kann dies personelle Kapazität, Zugriff auf erforderliche Unterlagen und einen rechtssicheren internen Prozess bedeuten, der die Meldestelle in die Lage versetzt, ihre Aufgaben in der Organisation umzusetzen.11

Vor diesem Hintergrund sind die Meldekanäle so einzurichten, dass Hinweise in mündlicher und in schriftlicher Form möglich sind. Für die mündliche Meldung eines Hinweises kommt insbesondere eine telefonische Meldung in Betracht. Daneben können andere sprachbasierte Systeme vorgesehen werden. Für die schriftliche Meldung eines Hinweises kommen textbasierte Wege in Betracht. Das Gesetz verlangt damit keine Vielzahl paralleler Kanäle. Es erfordert aber, dass die gesetzlich vorgesehenen Formen praktisch eröffnet sind. Für Meldeberechtigte ist dabei ein typischerweise schriftlicher Kanal vorzusehen. Damit wird ein gleichrangiger Zugang abgesichert.

Zusätzlich ist auf Verlangen des Hinweisgebers eine persönliche Zusammenkunft zwischen ihm und der mit den Aufgaben der internen Meldestelle betrauten Person zu ermöglichen. Dieses Gesprächsformat ist nicht als generelles Präsenzangebot für jede Meldung eines Hinweisgebers ausgestaltet. Ein solches Treffen kann zum Beispiel auch als Videocall durchgeführt werden, wenn der Hinweisgeber dies wünscht. Die Organisation muss daher ein Verfahren bereithalten, mit dem ein solches Treffen zeitnah ermöglicht wird. Zugleich muss sichergestellt sein, dass das Gespräch in den Bearbeitungsprozess überführt wird, weil die weiteren gesetzlichen Schritte an den Eingang des Hinweises anknüpfen.

An die Meldekanäle schließt das Verfahren nach § 17 HinSchG an. § 17 HinSchG regelt eine Abfolge von Verfahrensschritten, die von der Meldestelle umzusetzen sind. Dazu gehören die Eingangsbestätigung, die Prüfung des sachlichen Anwendungsbereichs, das Halten des Kontakts zum Hinweisgeber und die Prüfung der Stichhaltigkeit. Erforderlichenfalls sind weitere Informationen einzuholen. Der Gesetzgeber verknüpft diese Schritte mit der Pflicht, angemessene Folgemaßnahmen zu ergreifen. Der Meldekanal ist damit funktional mit dem Verfahren verbunden, weil das Verfahren typischerweise Rückfragen und fortlaufende Kommunikation voraussetzt.

Die Folgemaßnahmen nach § 18 HinSchG knüpfen an die Prüfung nach § 17 HinSchG an. Der Katalog zeigt, dass Folgemaßnahmen je nach Sachverhalt unterschiedliche Formen annehmen können, etwa interne Untersuchungen oder die Einbindung zuständiger Stellen. Der Katalog sieht auch vor, dass Verfahren unter bestimmten Voraussetzungen beendet werden können. Für die Systemgestaltung folgt daraus, dass die interne Meldestelle organisatorisch so eingebunden sein muss, dass sie diese Folgemaßnahmen tatsächlich anstoßen kann. Das setzt eine Ausstattung mit den notwendigen Befugnissen voraus.

Die interne Meldestelle muss nicht zwingend durch eigene Beschäftigte besetzt sein. Es ist zulässig, einen externen Dritten mit Aufgaben der internen Meldestelle zu betrauen.12 Auch in diesem Fall bleibt die Organisation so zu gestalten, dass die gesetzlichen Anforderungen an das Verfahren und an die Folgemaßnahmen eingehalten werden können. Bei der Einbindung externer Dritter ist zudem sicherzustellen, dass die Anforderungen an Fachkunde, Vertraulichkeit und Datenschutz gewährleistet sind. In der Praxis nehmen oft anwaltliche Berufsträger diese Rolle ein. Übernimmt ein Rechtsanwalt die Aufgabe der internen Meldestelle und ist er intern angehalten, mehr zu machen, als “nur” Hinweise entgegenzunehmen und weiterzuleiten, handelt sich hierbei um anwaltliche Tätigkeit für den Beschäftigungsgeber.13 Das gilt insbesondere, wenn eine rechtliche Prüfung erfolgt. Etwa: Fällt der Hinweis unter das HinSchG? Welche Pflichten treffen den Beschäftigungsgeber (z. B. Repressalienschutz)? Wie ist der Sachverhalt rechtlich zu bewerten? Welche Folgemaßnahmen sind angezeigt?

Dann greifen die berufsrechtlichen Pflichten, vor allem die Verschwiegenheit. Zugleich sind die Informationen aus dem Mandat privilegiert und es besteht unter anderem ein Zeugnisverweigerungsrecht.

VI. Umgang mit anonymen Hinweisen

Nach § 16 Abs. 1 S. 4 HinSchG “sollten” anonyme Hinweise entgegengenommen werden. Anderseits stellt § 16 Abs. 1 S. 5 HinSchG ausdrücklich klar, dass keine Verpflichtung besteht, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Hinweise ermöglichen.

Anonyme Hinweise spielen jedoch in der Praxis eine erhebliche Rolle. Es war bereits vor Inkrafttreten des HinSchG best practice, beim Betrieb eines Hinweisgebersystems anonyme Hinweise entgegenzunehmen.14 Es ist zu betonen, dass anonyme Hinweise nicht selten die einzigen Anhaltspunkte für mögliche Pflichtverletzungen liefern können. Das ist rechtlich relevant, weil bei hinreichenden Verdachtsmomenten eine Pflicht zur Aufklärung bestehen kann.15 Für diese Pflicht ist es unerheblich, ob ein Verdacht offen oder anonym mitgeteilt wird. Entscheidend ist, ob der Hinweis sachlich substanzhaltig ist und damit einen tragfähigen Ausgangspunkt für eine Prüfung bildet.

Für die interne Meldestelle bedeutet dies, dass sie Hinweise nicht nach der Frage “Name bekannt oder nicht” sortieren darf. Maßgeblich ist die inhaltliche Qualität des Hinweises.16 Wenn Angaben fehlen, soll Kontakt mit dem Hinweisgeber aufgenommen werden. Der Kontakt soll während des Verfahrens gehalten werden.17 Die Meldestelle sollte nach Auffassung des Verf. keinen Unterschied machen, ob Hinweise anonym erfolgen oder nicht; sofern der Hinweis substantiiert ist, ist dieses Ermessen auf Null reduziert.18 Ist die interne Meldestelle jedoch für anonyme Hinweise erklärtermaßen nicht zugänglich, müssen im Falle des Eingangs eines auch substantiierten Hinweises die Verfahrensvorschriften des HinSchG nicht beachtet werden.19

Hinweisgeber bleiben häufig zunächst verborgen.20 Das macht Rückfragen praktisch wichtig. Unklare Hinweise müssen aufgeklärt werden. Fehlende Angaben müssen nachgefordert werden. Fehlt eine Rückfragemöglichkeit, etwa weil kein Online-Tool genutzt wird, kann die Stichhaltigkeit oft nicht geprüft werden. Dann lassen sich Folgemaßnahmen häufig nicht sicher vorbereiten. Die Möglichkeit missbräuchlicher, erfundener Vorwürfe im Schutz der Anonymität lässt sich zwar nicht vollständig ausschließen. Angesichts der Vorteile anonymer Hinweise ist dieses Risiko jedoch regelmäßig vertretbar.21 Verzichtet der Beschäftigungsgeber darauf, die interne Meldestelle für anonyme Hinweise zu öffnen, besteht die Gefahr, dass ihm wesentliche Hinweise zur Aufdeckung und Verfolgung von Compliance-Verstößen nicht erreichen und dass Hinweisgeber sich an externe Meldestellen wenden, die allesamt anonyme Hinweise entgegennehmen. Aus einer best practice-Perspektive ist daher die ausdrückliche Erklärung der Annahme von anonymen Hinweisen empfehlenswert.

VII. Plausibilitätsprüfung

Nach Eingang eines Hinweises wird der Vorgang zunächst vollständig erfasst und dokumentiert. Soweit möglich, erhält der Hinweisgeber binnen sieben Tagen eine Eingangsbestätigung. Anschließend erfolgt eine Vorprüfung: Es wird geklärt, ob die interne Meldestelle zuständig ist, ob der gemeldete Sachverhalt in den sachlichen Anwendungsbereich fällt und ob die Angaben für eine weitere Bearbeitung hinreichend konkret sind. Ist ein Kommunikationskanal vorhanden, werden gezielt Rückfragen gestellt und der Kontakt gehalten, um Lücken zu schließen und den Sachverhalt zu präzisieren.

Auf dieser Grundlage wird entschieden, wie der Hinweis weiterbearbeitet wird: Fälle mit HinSchG-Bezug laufen im HinSchG-Verfahren weiter; Fälle ohne HinSchG-Bezug werden nachvollziehbar in geeignete interne Prozesse überführt; unklare Fälle werden zunächst durch Nachfragen und eine vertiefte Plausibilitätsprüfung konkretisiert. Innerhalb von drei Monaten nach Eingangsbestätigung ist eine Rückmeldung über geplante oder ergriffene Folgemaßnahmen zu geben (ersatzweise innerhalb von drei Monaten und sieben Tagen nach Eingang, wenn keine Bestätigung erfolgt ist). Dieses strukturierte Vorgehen – frühe Einordnung, konsequente Plausibilisierung, dokumentierte Entscheidungen und klare Kommunikation – entspricht der Best Practice, weil es Verfahrenssicherheit schafft und zugleich die Zugangsschwelle niedrig hält.

Ergänzend zur Plausibilitätsprüfung hat sich ein klar getakteter Ablauf nach dem Eingang eines Hinweises bewährt: Die Eingangsbestätigung erfolgt spätestens nach sieben Tagen über einen verlässlichen Kommunikationskanal (E-Mail oder Tool), der idealerweise auch anonymen Dialog ermöglicht. Der gesamte Vorgang wird nachvollziehbar dokumentiert, mit einer festgelegten Linie dazu, was dokumentiert wird und wie lange (regelmäßig drei Jahre; im Einzelfall länger, wenn erforderlich) – zugleich mit Datenminimierung und Blick auf mögliche Auskunftsansprüche nach der DSGVO. Während der Bearbeitung bleibt die Meldestelle ansprechbar, hält den Kontakt und gibt – soweit möglich – Statushinweise. Auf Basis der Prüfung werden Folgemaßnahmen angestoßen (insbesondere interne Untersuchungen); dabei sind saubere Schnittstellen entscheidend: Die – gegebenenfalls ausgelagerte – Meldestelle steuert Vertraulichkeit und die Sachverhaltsaufklärung. Spätestens innerhalb von drei Monaten nach Eingangsbestätigung (ersatzweise drei Monate und sieben Tage nach Eingang) erfolgt die Rückmeldung; daraus folgt als Best Practice eine einfache Leitlinie: Das System muss dialogfähig sein, wenn die gesetzlichen Kommunikationspflichten gemäß §§ 11 und 17 HinSchG zuverlässig erfüllt werden sollen.

VIII. Fachkunde als ausdrücklicher Gestaltungsbaustein

Die interne Meldestelle muss so organisiert sein, dass sie ihre Aufgaben tatsächlich erfüllen kann. Dazu gehört eine unabhängige Aufgabenwahrnehmung und die notwendige Fachkunde der mit der Meldestelle betrauten Personen. Aus Sicht des Verf. gehört Fachkunde zu den zentralen Best Practices, weil sie sich in funktionierenden Systemen als wiederkehrender Erfolgsfaktor zeigt.

Fachkunde meint dabei keine formale “Zertifizierung”. Es geht um die Gesamtheit der Kenntnisse und Fertigkeiten, die für eine eigenverantwortliche und ordnungsgemäße Bearbeitung von Hinweisen erforderlich sind. Dazu gehören vor allem hinreichende Kenntnisse in Recht und Compliance.22 Hinzu kommen technische und organisatorische Mindestkenntnisse. Nur so lassen sich die gesetzlichen Anforderungen im Alltag verlässlich steuern. Das betrifft die Einhaltung von Fristen, die Wahrung des Vertraulichkeitsgebots sowie die Dokumentations- und Löschpflichten. Zudem muss die mit der internen Meldestelle betraute Person die Fähigkeit besitzen, Hinweise richtig einzuordnen und Folgemaßnahmen sachgerecht auszuwählen und umzusetzen.

Eine bestimmte Ausbildung oder Formalqualifikation bedarf es für die Erlangung und den Nachweis der in § 15 Abs. 2 HinSchG geforderten Fachkunde freilich nicht. Fachkunde kann auch durch geeignete Schulungen23 und durch einschlägige Erfahrungen aufgebaut und gesichert werden. Regelmäßige interne oder externe Schulungen sowie eine angemessene Ausstattung gehören zur Fachkunde i. S. d. § 15 HinSchG.

Fachkunde wirkt in der Praxis in zwei Richtungen. Sie verbessert die Qualität der Bearbeitung. Hinweise lassen sich schneller triagieren. Unklarheiten werden zielgerichteter aufgeklärt. Folgemaßnahmen werden passgenauer ausgewählt. Gleichzeitig stärkt Fachkunde das Vertrauen in das System. Ein professionell arbeitendes Team wird eher als verlässliche Anlaufstelle wahrgenommen. Das ist für die Nutzung entscheidend, weil Beschäftigte nicht nur die Existenz eines Kanals bewerten, sondern die Kompetenz der Stelle, die Hinweise entgegennimmt und steuert.

Hinzu kommt der Haftungs- und Risikobezug. Die Wahl der Folgemaßnahmen und die Art der Ermittlung müssen sich an den Maßstäben ordnungsgemäßer Aufsicht und an haftungsrechtlichen Vorgaben orientieren. Das betrifft insbesondere Anforderungen an gehörige Aufsicht und die Sorgfaltsmaßstäbe der Organverantwortung. Fachkunde hilft, diese Maßstäbe im Hinweisverfahren einzuhalten. Sie reduziert damit das Risiko von Verfahrensfehlern, Vertraulichkeitsverstößen und unzureichenden Aufklärungsmaßnahmen. Sie erleichtert zudem eine saubere Dokumentation, die für die Nachweisbarkeit des Vorgehens wichtig ist.

Schließlich muss Fachkunde nicht zwingend allein intern abgebildet werden. Personen der internen Meldestelle können sich fachkundiger Personen bedienen.24 Externe Rechtsanwälte oder andere fachkundige Berater können hinzugezogen werden.25 Sie können auch mit einzelnen Aufgaben betraut werden. Hybride Modelle können insbesondere dort sinnvoll sein, wo intern die Expertise oder die Unabhängigkeit nicht hinreichend abgesichert werden kann.

IX. Datenschutz als Querschnittsthema

Datenschutz ist im Hinweisgebersystem ein Querschnittsthema. Er beginnt nicht erst mit der Fallakte. Er beginnt mit der Grundstruktur des Systems. Best Practice setzt deshalb früh an. Rollen und Zugriffe werden festgelegt. Weitergaben werden klar geregelt. Protokolle werden sauber geführt. Das schützt personenbezogene Daten. Es stärkt zugleich die Vertraulichkeit nach dem HinSchG.

Ein zentraler Praxistreiber sind Auskunftsersuchen nach Art. 15 DSGVO.26 Hier kann es zu direkten Kollisionen kommen. Betroffene verlangen Transparenz. Das HinSchG verlangt Schutz der Identität des Hinweisgebers. Best Practice besteht in einer strukturierten Einzelfallabwägung.27 Ein schematisches Vorgehen trägt nicht. Es braucht klare Zuständigkeiten sowie eine dokumentierte Begründung. Hierfür ist eine enge Abstimmung zwischen Meldestelle und Datenschutzfunktion notwendig. Fristen erhöhen zudem den Druck. Sie machen feste Abläufe unabdingbar.

Praktisch wichtig ist die Trennung der Anspruchsebenen.28 Die Auskunft zur Datenherkunft ist etwas anderes als ein Kopieanspruch; es ist zwischen Art. 15 Abs. 1 lit. g DSGVO und Art. 15 Abs. 3 DSGVO zu unterscheiden. Beide können Drittinformationen betreffen. Beide können Identifizierbarkeit auslösen. Best Practice nutzt daher konsequente Schwärzung. Best Practice prüft auch mittelbare Identifizierbarkeit. Bei anonymen Hinweisen kommt hinzu, dass die Datenherkunft oft nicht feststeht. Dann darf nicht spekuliert werden. Es zählt nur gesichertes Wissen.

Bei Aufbewahrung und Archivierung braucht es ebenfalls ein tragfähiges Konzept. Anonymisierung kann helfen. Strenge Zugriffsbeschränkung kann helfen. Eine klare Löschroutine ist ebenso wichtig. In der Praxis bleiben dennoch Abgrenzungsfragen offen.

X. Sanktionsrisiken, Haftung und organisatorische Vertraulichkeit

Die Wahrung von Vertraulichkeit ist beim Betrieb einer Meldestelle ein haftungsrelevanter Pflichtenkern. Verstöße gegen das Vertraulichkeitsgebot können als Ordnungswidrigkeit mit Bußgeld geahndet werden. Dabei ist nicht nur der Bußgeldrahmen des HinSchG zu sehen. Über § 30 OWiG kann es im Unternehmenskontext zu höheren Beträgen kommen. Daneben können bei Vertraulichkeitsverstößen auch datenschutzrechtliche Risiken bis hin zu DSGVO-Bußgeldern entstehen.

Praktisch wichtig ist, wen das Vertraulichkeitsgebot adressiert. § 8 Abs. 1 S. 1 HinSchG richtet sich an die Meldestellen. Damit sind unmittelbar die mit den Aufgaben der Meldestelle betrauten natürlichen Personen gebunden. Sie kommen als Bußgeldadressaten in Betracht.29 Eine Verantwortlichkeit des Unternehmens kann über eine Zurechnung nach § 30 OWiG hinzukommen.

Daraus folgt für die Gestaltung der internen Meldestelle: Vertraulichkeit darf nicht nur “auf dem Papier” stehen. Sie muss organisatorisch abgesichert werden. Identitäten dürfen nur einem kleinen Kreis bekannt sein. Weitergaben dürfen nur unter den gesetzlichen Voraussetzungen erfolgen und müssen begründet werden. Das gilt besonders, wenn für Folgemaßnahmen die Identität des Hinweisgebers weitergegeben werden soll. In der Praxis bleibt die Meldestelle zudem oft Kommunikationsstelle, auch wenn andere Einheiten untersuchen. Das erhöht die Anforderungen an klare Rollen und saubere Zugriffskonzepte.

XI. Kommunikation in die Belegschaft und Erwartungsmanagement

Kommunikation entscheidet, ob Beschäftigte den internen Meldeweg nutzen. Das Gesetz setzt dafür auf klare und leicht zugängliche Informationen, § 7 Abs. 3 HinSchG. Das gilt für die Nutzung des internen Meldeverfahrens. Das gilt auch für Informationen über externe Meldeverfahren. Informationen müssen deshalb dauerhaft sichtbar sein. Sie müssen ohne Umwege auffindbar sein. Sie müssen verständlich formuliert sein. Sie sollten in kurzen Formaten bereitstehen. Das können FAQ sein. Das kann ein Ablauf in wenigen Schritten sein. Das kann eine kompakte Kontaktbox sein. Je nach Belegschaft kann es nötig sein, dieselben Informationen über mehrere Kanäle in mehreren Sprachen zu geben. Das kann das Intranet, die Website oder ein Aushang sein. Zudem kann der Verweis auf die interne Meldestelle als Bestandteil des Onboarding-Prozesses hilfreich sein. Best Practice ist zudem wiederholte Kommunikation aus der Unternehmensleitung. Das schafft Orientierung. Es senkt die Hemmschwelle. Die Meldestelle ergänzt dies durch klare Verfahrensinfos. Beschäftigte wollen wissen, welche Themen erfasst sind, wie die Bearbeitung abläuft und welche Fristen gelten. In der Praxis helfen dafür auch audiovisuelle Formate. Es empfiehlt sich beispielsweise, teils kurze Videos zu nutzen. Dort stellen sich die externen Bearbeiter vor. Beschäftigte können so Personen zuordnen. Das erhöht oft das Vertrauen. Es ist nur ein Weg von mehreren. Wichtig ist die Wiederholung. Wichtig ist die leichte Auffindbarkeit.

XII. Fazit

Ein Hinweisgebersystem wirkt nicht schon deshalb, weil es formal eingerichtet ist. Es wirkt erst, wenn es im Alltag als verlässlicher Prozess angenommen wird und damit ein echtes Frühwarninstrument wird. Dies gelingt nur dann, wenn Struktur und Verfahren zusammenpassen. Der Zugang muss niedrigschwellig sein. Ein anonymer Dialog sollte praktisch möglich sein, weil viele Hinweise so beginnen. Vertraulichkeit muss organisatorisch abgesichert sein und nicht nur als Pflicht auf dem Papier stehen. Die Meldestelle braucht sichtbare Fachkunde und ausreichende Ressourcen, weil nur so Hinweise rechtssicher eingeordnet, aufgeklärt und mit passenden Folgemaßnahmen bearbeitet werden können. Das Verfahren muss transparent sein und Fristen müssen gesteuert werden. Kommunikation muss regelmäßig stattfinden. Wenn diese Elemente zusammenkommen, entsteht Vertrauen. Dann werden Hinweise intern platziert. Dann können aus kleinen Fehlern keine großen Fehler werden und aus potenziellen Schäden keine tatsächlichen Schäden. Genau hierin liegt der Unterschied zwischen einem formalen System und einem gelebten System.

---