Hinweisgeberschutzgesetz: interne Meldestelle für KMU (HinSchG)

Inhalt in Kürze

• Ab in der Regel 50 Beschäftigten ist eine interne Meldestelle nach § 12 HinSchG Pflicht — Unternehmen mit 50 bis 249 Beschäftigten seit dem 17. Dezember 2023.
• Die Meldestelle muss Eingang in 7 Tagen bestätigen und binnen 3 Monaten eine Rückmeldung geben — und dabei die Identität der hinweisgebenden Person streng vertraulich halten.
• Fehlt die Meldestelle, drohen bis zu 20.000 Euro Bußgeld (§ 40 Abs. 2). Bei Verletzung der Vertraulichkeit oder Repressalien sind es bis zu 50.000 Euro.
• Die Meldestelle verarbeitet hochsensible personenbezogene Daten. Sie braucht einen VVT-Eintrag, eine Rechtsgrundlage und ein Löschkonzept (Löschung 3 Jahre nach Verfahrensende).

Stand: Juni 2026 · Autor: Nils Oehmichen · Lesezeit: 10 Minuten

Sie haben gerade die 50-Mitarbeiter-Marke überschritten — oder Sie liegen schon länger darüber und niemand hat es auf dem Schirm gehabt. Dann gilt für Ihr Unternehmen seit dem 17. Dezember 2023 die Pflicht, eine interne Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) einzurichten. Wer das verschläft, riskiert ein Bußgeld. Und wer die Meldestelle baut, ohne den Datenschutz mitzudenken, riskiert das nächste. Beides lässt sich vermeiden — wenn man weiß, worauf es ankommt.

Dieser Artikel erklärt Ihnen praxisnah, wer pflichtig ist, was die Meldestelle leisten muss, wie Sie sie DSGVO-konform betreiben und ob Sie das intern stemmen oder besser auslagern.

Hinweisgeberschutzgesetz: Meldestelle — wer ist ab wann pflichtig?

Die zentrale Pflicht steht in § 12 HinSchG: Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten müssen eine interne Meldestelle einrichten und betreiben. Maßgeblich ist die Kopfzahl, nicht der Umsatz.

Der Gesetzgeber hat die Pflicht zeitlich gestaffelt eingeführt:

• Ab 250 Beschäftigte: pflichtig seit dem 2. Juli 2023, mit einer sechsmonatigen bußgeldfreien Übergangszeit.
• 50 bis 249 Beschäftigte: pflichtig seit dem 17. Dezember 2023. Diese Schonfrist ist ausgelaufen — es gibt keinen Puffer mehr.
• Bestimmte Branchen größenunabhängig: Finanzdienstleister, Wertpapierinstitute, Kapitalverwaltungsgesellschaften und vergleichbare Unternehmen sind nach § 12 Abs. 3 HinSchG unabhängig von ihrer Beschäftigtenzahl verpflichtet — auch unter 50 Mitarbeitern.

Wer unter 50 Beschäftigte hat und nicht zu den Sonderbranchen gehört, muss aktuell keine interne Meldestelle betreiben. Das heißt aber nicht, dass die übrigen Schutzpflichten des Gesetzes ins Leere laufen — eine externe Meldestelle des Bundes steht hinweisgebenden Personen unabhängig von der Unternehmensgröße offen.

Was die Meldestelle konkret leisten muss

Eine Meldestelle ist nicht einfach ein E-Mail-Postfach mit der Aufschrift „Hinweise”. Das Gesetz schreibt konkrete Funktionen und Fristen vor. Diese vier Punkte sind das Pflichtprogramm:

• Meldekanäle bereitstellen. Meldungen müssen mündlich und in Textform möglich sein. Auf Wunsch der hinweisgebenden Person ist außerdem ein persönliches Treffen anzubieten (§ 16 HinSchG).
• Eingang bestätigen — in 7 Tagen. Spätestens sieben Tage nach Eingang muss die Meldestelle den Eingang gegenüber der hinweisgebenden Person bestätigen.
• Rückmeldung — in 3 Monaten. Innerhalb von drei Monaten nach der Eingangsbestätigung ist eine Rückmeldung über geplante oder ergriffene Folgemaßnahmen zu geben (§ 17 HinSchG).
• Vertraulichkeit wahren. Die Identität der hinweisgebenden Person, der betroffenen Personen und Dritter ist vertraulich zu behandeln — auch innerhalb des Unternehmens.

Dazu kommt die Dokumentationspflicht nach § 11: Jede Meldung ist in dauerhaft abrufbarer Weise zu dokumentieren — unter Beachtung der Vertraulichkeit. Diese Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht. Länger aufbewahren dürfen Sie nur, wenn andere gesetzliche Anforderungen das erfordern.

Und schließlich braucht die Meldestelle eine unparteiische, fachkundige und unabhängige Person, die die Meldungen bearbeitet. Diese Person darf keine Interessenkonflikte haben — der Vertriebsleiter, gegen den sich eine Meldung richten könnte, ist die falsche Wahl.

Müssen anonyme Meldungen bearbeitet werden?

Das ist die häufigste Frage in unseren Beratungen. Die Antwort: Sie müssen keinen anonymen Meldekanal einrichten — Sie dürfen verlangen, dass sich Hinweisgeber identifizieren. Aber § 16 Abs. 1 HinSchG sagt klar: Anonym eingehende Meldungen sollen bearbeitet werden.

„Soll” ist im Juristendeutsch fast ein „muss” — Sie brauchen einen guten Grund, davon abzuweichen. Unsere klare Empfehlung: Lassen Sie anonyme Meldungen zu und bearbeiten Sie sie. Wer Whistleblower zwingt, sich zu erkennen zu geben, bekommt am Ende keine Hinweise — und genau das ist das Gegenteil dessen, was eine Meldestelle leisten soll.

Der heikle Teil: Datenschutz in der Meldestelle

Hier wird es interessant, und hier scheitern die meisten selbstgebauten Lösungen. Eine Meldestelle verarbeitet hochsensible personenbezogene Daten — die Identität des Hinweisgebers, die Vorwürfe gegen eine beschuldigte Person, oft Gesundheits- oder Strafrechtsbezüge. Das ist Datenschutz auf höchstem Sensibilitätsniveau.

Praktisch heißt das vier konkrete Aufgaben:

1. Rechtsgrundlage festlegen. Die Verarbeitung stützt sich in der Regel auf eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. dem HinSchG). Bei besonderen Datenkategorien — etwa Gesundheitsdaten in einem Mobbing-Hinweis — brauchen Sie zusätzlich eine Grundlage nach Art. 9 DSGVO.

2. VVT-Eintrag erstellen. Die Meldestelle ist eine eigene Verarbeitungstätigkeit. Sie gehört ins Verzeichnis der Verarbeitungstätigkeiten — mit Zweck, Rechtsgrundlage, Empfängern, Löschfristen und technischen Maßnahmen. Wer das vergisst, hat schon den ersten DSGVO-Verstoß gebaut, bevor die erste Meldung eingeht.

3. Löschkonzept umsetzen. Drei Jahre nach Verfahrensende ist zu löschen (§ 11 Abs. 5). Diese Frist muss technisch durchsetzbar sein — nicht „wir denken dann dran”, sondern im Löschkonzept verankert.

4. Vertraulichkeit gegen Auskunftsrecht abwägen. Das ist der Knackpunkt. Eine beschuldigte Person hat grundsätzlich ein Auskunftsrecht nach Art. 15 DSGVO. Würden Sie ihr ungefiltert Auskunft geben, könnten Sie die Identität des Hinweisgebers preisgeben — und damit die Vertraulichkeit nach § 8 HinSchG verletzen. Hier greift eine Beschränkung des Auskunftsrechts: Informationen, die Rückschlüsse auf die hinweisgebende Person zulassen, sind aus der Auskunft herauszunehmen. Das muss im Verfahren dokumentiert und begründet sein.

Intern oder ausgelagert? Drei Wege im Vergleich

Sie haben drei grundsätzliche Optionen, die Meldestelle zu betreiben. Welche passt, hängt von Größe, Branche und vorhandenen Ressourcen ab.

In der Praxis ist die Kombination aus digitalem Tool plus benannter, unabhängiger Person für den Hamburger Mittelstand meist der beste Schnitt. Das Tool deckt Kanäle, Anonymität, Fristen und Dokumentation ab — die Person übernimmt die fachliche Bearbeitung und Bewertung.

Wichtig: Auslagern heißt nicht, die Verantwortung loszuwerden. Die Pflichten bleiben beim Beschäftigungsgeber. Sie delegieren nur die Aufgabe — und müssen den Dienstleister datenschutzkonform einbinden, in der Regel über einen Auftragsverarbeitungsvertrag.

In 6 Schritten zur konformen Meldestelle

Wenn Sie bei null starten, ist das die Reihenfolge, die wir mit unseren Mandanten gehen:

1. Pflicht prüfen. Beschäftigtenzahl „in der Regel" ermitteln (inkl. Teilzeit/Leiharbeit). Liegen Sie bei 50 oder darüber — oder in einer Sonderbranche? Dann sind Sie pflichtig.
2. Kanal wählen. Tool, externe Ombudsperson oder interne Lösung. Mündlich und in Textform müssen möglich sein, persönliches Treffen auf Wunsch. Anonyme Meldungen zulassen.
3. Verfahren und Fristen festlegen. Wer bearbeitet? Wie wird der 7-Tage- und der 3-Monats-Termin überwacht? Wer entscheidet über Folgemaßnahmen? Das gehört in eine schriftliche Verfahrensbeschreibung.
4. Datenschutz und VVT aufsetzen. Rechtsgrundlage, VVT-Eintrag, Löschfrist 3 Jahre, Informationspflichten nach Art. 13/14 DSGVO, ggf. DSFA und AVV mit dem Dienstleister.
5. Mitarbeiter informieren. Beschäftigte müssen wissen, dass es die Meldestelle gibt, wie sie funktioniert und dass Repressalien verboten sind. Ohne Bekanntmachung läuft die beste Meldestelle leer.
6. Dokumentieren und nachhalten. Jede Meldung dokumentieren, Fristen einhalten, nach Verfahrensende löschen. Regelmäßig prüfen, ob das Verfahren noch passt.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema. Aber sobald Sie die 50 Mitarbeiter erreichen, ist die Meldestelle Pflicht — und die Datenschutz-Seite wird fast immer vergessen. Für uns ist wichtig, eine pragmatische Lösung zu finden, mit der das Unternehmen seine Pflicht erfüllt, ohne dass der Geschäftsbetrieb darunter leidet.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Was wir bei Hamburger Mandanten immer wieder sehen: Die Meldestelle existiert, aber niemand hat den VVT-Eintrag gemacht, die Löschfrist ist nirgends hinterlegt, und das Auskunftsrecht der beschuldigten Person ist ein blinder Fleck. Dann kommt eine echte Meldung — und plötzlich brennt es an drei Stellen gleichzeitig. Genau das verhindert man durch sauberes Vorarbeiten.

Fazit / Ihr nächster Schritt

Die interne Meldestelle ist seit dem 17. Dezember 2023 für alle Hamburger Betriebe ab 50 Beschäftigten Pflicht. Technisch ist sie schnell aufgesetzt — die Stolpersteine liegen im Datenschutz: VVT-Eintrag, Rechtsgrundlage, Löschkonzept und die Abwägung zwischen Vertraulichkeit und Auskunftsrecht. Wer diese Seite mitdenkt, hat eine Meldestelle, die im Ernstfall hält.

Genau dieser Doppelpunkt — HinSchG-Pflicht und DSGVO-Konformität — ist unser Tagesgeschäft. Das Hinweisgeberschutz-Modul von Hugo DSB (ab Tarif Pro) deckt Meldekanäle, Fristen-Tracking, Dokumentation und den VVT-Eintrag in einem Werkzeug ab. Ob Sie ohnehin gerade Ihren Datenschutz prüfen oder schon einen externen Datenschutzbeauftragten brauchen — wir bringen beides zusammen.

Häufige Fragen (FAQ)

Ab wie vielen Mitarbeitern ist eine interne Meldestelle Pflicht?

Ab in der Regel 50 Beschäftigten muss jeder Beschäftigungsgeber nach § 12 HinSchG eine interne Meldestelle einrichten und betreiben. Unternehmen mit 50 bis 249 Beschäftigten sind seit dem 17. Dezember 2023 pflichtig. Bestimmte Finanzdienstleister sind unabhängig von ihrer Größe verpflichtet.

Welche Fristen muss die Meldestelle einhalten?

Der hinweisgebenden Person ist der Eingang einer Meldung innerhalb von sieben Tagen zu bestätigen. Spätestens drei Monate nach der Eingangsbestätigung muss die Meldestelle eine Rückmeldung über geplante oder bereits ergriffene Folgemaßnahmen geben (§ 17 HinSchG).

Welches Bußgeld droht ohne Meldestelle?

Wer entgegen § 12 Abs. 1 keine interne Meldestelle einrichtet und betreibt, riskiert nach § 40 Abs. 2 HinSchG eine Geldbuße von bis zu 20.000 Euro. Wer die Vertraulichkeit verletzt oder Meldungen behindert, dem drohen bis zu 50.000 Euro.

Müssen anonyme Meldungen bearbeitet werden?

Das HinSchG verpflichtet Unternehmen nicht dazu, anonyme Meldekanäle einzurichten. Nach § 16 Abs. 1 HinSchG sollen anonym eingehende Meldungen aber bearbeitet werden. In der Praxis raten wir dazu, anonyme Hinweise zuzulassen und zu bearbeiten.

Wie lange dürfen die Daten einer Meldung gespeichert werden?

Die Dokumentation einer Meldung wird drei Jahre nach Abschluss des Verfahrens gelöscht (§ 11 Abs. 5 HinSchG). Eine längere Aufbewahrung ist nur zulässig, wenn andere gesetzliche Anforderungen das erfordern.

Können wir die Meldestelle auslagern?

Ja. Sie können die Aufgabe der internen Meldestelle einem externen Dritten übertragen, etwa einer Ombudsperson, einer Kanzlei oder über ein digitales Hinweisgebersystem. Die Verantwortung für die Pflichten bleibt beim Unternehmen, der Betrieb lässt sich aber datenschutzkonform delegieren.

Recherche-Stand: verifiziert am 6. Juni 2026 über gesetze-im-internet.de (HinSchG §§ 11, 12, 16, 17, 40), datenschutz-praxis.de sowie die FAQ der Landesdatenschutzbehörde Baden-Württemberg.