Datenschutz

HinSchG: Whistleblowing-Software im Vergleich 2026

Hinweisgeberschutzgesetz-Software 2026 im Vergleich: interne Meldestelle ab 50 Beschäftigten, BfJ-Bußgelder, DSGVO-Pflichten und die passenden Tools.

Welche Hinweisgeberschutzgesetz-Software braucht ein deutsches Unternehmen 2026? Kurzantwort: Jeder Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten muss nach § 12 HinSchG eine interne Meldestelle einrichten, die einen sicheren, vertraulichen Meldekanal bereitstellt — und der Meldekanal verarbeitet fast immer personenbezogene Daten, ist also gleichzeitig ein DSGVO-Thema. Die rationale Wahl ist eine Software, die den anonymen Meldekanal, die gesetzlichen Fristen (Eingangsbestätigung binnen sieben Tagen, Rückmeldung binnen drei Monaten) und die Löschfrist nach § 11 HinSchG abbildet — und die den Meldekanal sauber in Ihr Verarbeitungsverzeichnis einordnet.

Dieser Vergleich zeigt, was das HinSchG technisch verlangt, welche Tools den deutschen Rechtsrahmen abdecken und wann eine integrierte Compliance-Plattform gegenüber einem reinen Whistleblowing-Tool gewinnt.

Wichtige Punkte

  • Pflicht ab 50 Beschäftigten (§ 12 Abs. 2 HinSchG); für Finanzunternehmen und einige andere Sektoren unabhängig von der Größe.
  • Das Bundesamt für Justiz (BfJ) kann Bußgelder bis 50.000 € verhängen (§ 40 HinSchG).
  • Der Meldekanal verarbeitet personenbezogene Daten → Eintrag ins Verarbeitungsverzeichnis und Löschkonzept sind Pflicht.
  • Fristen: Eingangsbestätigung nach 7 Tagen, Rückmeldung nach spätestens 3 Monaten (§ 17 HinSchG).
  • Dokumentation der Meldungen nach § 11 HinSchG grundsätzlich drei Jahre nach Verfahrensabschluss.

Was das Hinweisgeberschutzgesetz technisch verlangt

Das Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower-Richtlinie (EU) 2019/1937 in deutsches Recht um. Es gilt seit Juli 2023 und verpflichtet Unternehmen mit in der Regel mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Für Unternehmen zwischen 50 und 249 Beschäftigten war eine Übergangsfrist vorgesehen; seit Dezember 2023 gilt die Pflicht flächendeckend.

Die Software muss vier Dinge sicher leisten:

  • Vertraulicher Meldekanal — mündlich, in Textform und auf Wunsch persönlich (§ 16 HinSchG). Anonyme Meldungen sollen bearbeitet werden, ohne dass die Meldestelle die Identität kennt.
  • Fristenmanagement — automatische Eingangsbestätigung binnen sieben Tagen, dokumentierte Rückmeldung binnen drei Monaten.
  • Vertraulichkeitsschutz — Zugriff ausschließlich für die zuständigen Personen der Meldestelle (§ 8 HinSchG). Kein Zugriff für IT-Administratoren oder Vorgesetzte der hinweisgebenden Person.
  • Dokumentation — nachvollziehbare, aber datensparsame Aufzeichnung jeder Meldung nach § 11 HinSchG.

Die Vertraulichkeit ist der technische Kern: Ein Meldekanal, bei dem die IT-Abteilung theoretisch mitlesen kann, verstößt gegen § 8 HinSchG. Deshalb scheiden eine simple E-Mail-Adresse oder ein internes Ticketsystem meist aus.

Warum HinSchG immer auch DSGVO ist

Sobald ein Hinweis eine Person benennt — die beschuldigte Person, Zeugen, die hinweisgebende Person selbst — verarbeitet die Meldestelle personenbezogene Daten, oft besondere Kategorien nach Art. 9 DSGVO (etwa bei Vorwürfen zu Gesundheit oder Gewerkschaftszugehörigkeit). Daraus folgt konkret:

  • Verzeichnis von Verarbeitungstätigkeiten: Der Meldekanal ist eine eigene Verarbeitungstätigkeit und gehört ins Verzeichnis nach Art. 30 DSGVO. Rechtsgrundlage ist die rechtliche Verpflichtung aus dem HinSchG (Art. 6 Abs. 1 lit. c DSGVO).
  • Löschkonzept: § 11 Abs. 5 HinSchG verlangt die Löschung der Dokumentation drei Jahre nach Abschluss des Verfahrens, sofern keine längere Aufbewahrung erforderlich ist. Das gehört in Ihr Löschkonzept und Ihre Aufbewahrungsfristen-Tabelle.
  • Informationspflichten und Betroffenenrechte: Die beschuldigte Person hat grundsätzlich Auskunftsrechte nach Art. 15 DSGVO — allerdings begrenzt durch den Schutz der hinweisgebenden Person. Diese Abwägung muss die Software abbilden.
  • Auftragsverarbeitung: Wird ein externer Anbieter als Betreiber der Meldestelle eingesetzt, brauchen Sie einen Auftragsverarbeitungsvertrag.

Genau diese Doppelnatur macht die Auswahl schwierig: Ein reines Whistleblowing-Tool erfüllt das HinSchG, lässt Sie aber mit der DSGVO-Dokumentation allein.

Die Vergleichskriterien

Kriterium Warum entscheidend Mindestanforderung
Anonymität § 16 HinSchG, Vertraulichkeit Anonymer Dialog ohne Identitätsoffenlegung
Fristen-Automatik § 17 HinSchG (7 Tage / 3 Monate) Automatische Fristzähler und Erinnerungen
Zugriffskontrolle § 8 HinSchG Rollenkonzept, kein Admin-Einblick
EU-Hosting Datentransfer, Schrems II EU-Rechenzentren
DSGVO-Integration Meldekanal = Verarbeitung VVT-Eintrag, Löschfrist § 11
Mehrsprachigkeit internationale Belegschaft mindestens Deutsch + Englisch
Löschautomatik § 11 Abs. 5 HinSchG dokumentierte 3-Jahres-Löschung

Marktübersicht 2026 — ehrlich bewertet

Der deutsche Markt teilt sich in spezialisierte Whistleblowing-Tools und integrierte Compliance-Plattformen.

Spezialisierte Whistleblowing-Software (z. B. EQS Integrity Line, LegalTegrity, Whistlelink, Konfidal) — auf § 16 HinSchG zugeschnitten, mit anonymem Dialog, Mehrsprachigkeit und Fallmanagement. Stark im Kernprozess, deutsch-nativ, oft ab etwa 50-150 €/Monat für KMU. Schwäche: Die DSGVO-Dokumentation (VVT-Eintrag, Löschkonzept, TOM) müssen Sie separat führen.

Integrierte Compliance- und Datenschutz-Plattformen — decken den Meldekanal als ein Modul ab und verknüpfen ihn direkt mit dem Verarbeitungsverzeichnis, dem Löschkonzept und den TOM. Vorteil: eine Dokumentationsbasis für HinSchG und DSGVO. Legiscope etwa ordnet den Meldekanal automatisch als Verarbeitungstätigkeit ein und pflegt die Löschfrist nach § 11 HinSchG im selben System wie die übrigen Datenschutzpflichten — sinnvoll für Unternehmen, die HinSchG nicht als Insellösung, sondern als Teil ihres Compliance-Managements führen wollen.

Kanzlei-Lösungen (Ombudsperson) — ein externer Anwalt als Meldestelle, oft ergänzt durch ein einfaches Portal. Rechtlich robust und für kleinere Unternehmen attraktiv, aber ohne durchgängige Systemintegration.

Faustregel: Wer nur die gesetzliche Pflicht erfüllen will und HinSchG isoliert betrachtet, fährt mit einem spezialisierten Tool gut. Wer ohnehin ein Datenschutz-Managementsystem aufbaut, sollte den Meldekanal dort integrieren, statt ein zweites Silo zu schaffen.

Was bei Verstößen droht

Das Bundesamt für Justiz (BfJ) ist die zuständige Bußgeldbehörde. Nach § 40 HinSchG drohen Geldbußen bis zu 50.000 € — etwa für das Nichteinrichten der Meldestelle, das Behindern einer Meldung oder Repressalien gegen hinweisgebende Personen. Diese Bußgelder addieren sich zu einem etwaigen DSGVO-Bußgeld: Ein Meldekanal ohne Rechtsgrundlage oder ohne Löschkonzept ist zusätzlich ein Verstoß gegen Art. 5 und Art. 30 DSGVO, den die zuständige Landesbehörde separat ahnden kann. Eine Übersicht der DSGVO-Sanktionspraxis bietet unser Beitrag zu DSGVO-Bußgeldern.

Der praktisch häufigere Schaden ist reputativ: Wird bekannt, dass ein Unternehmen Hinweise unterdrückt oder Meldende benachteiligt hat, ist der Vertrauensschaden intern wie extern erheblich — unabhängig vom Bußgeld.

Hinzu kommt eine Beweislastumkehr, die viele unterschätzen: Erleidet eine hinweisgebende Person nach einer Meldung einen beruflichen Nachteil, wird nach § 36 HinSchG vermutet, dass es sich um eine verbotene Repressalie handelt. Der Arbeitgeber muss dann beweisen, dass die Maßnahme — etwa eine Kündigung oder Versetzung — nichts mit der Meldung zu tun hatte. Ohne saubere, zeitlich lückenlose Dokumentation des Meldevorgangs und der davon unabhängigen Personalentscheidung ist dieser Gegenbeweis kaum zu führen. Eine Software, die den gesamten Vorgang mit Zeitstempeln protokolliert, ist damit nicht nur Compliance-Werkzeug, sondern arbeitsrechtliche Absicherung.

Kosten und Aufwand realistisch einordnen

Die reinen Softwarekosten sind für die meisten Unternehmen der kleinere Posten. Spezialisierte Whistleblowing-Tools beginnen für KMU bei etwa 50-150 €/Monat, integrierte Compliance-Plattformen bündeln den Meldekanal mit dem übrigen Datenschutz. Der eigentliche Aufwand steckt in der Organisation: die Bestellung einer fachkundigen, unabhängigen Meldestelle, die Schulung der Bearbeiter im Umgang mit vertraulichen und oft belastenden Hinweisen sowie die laufende Bearbeitung innerhalb der Fristen.

Wer den Meldekanal isoliert betrachtet, zahlt diesen Organisationsaufwand doppelt — einmal für das Whistleblowing-Tool und einmal für die separate DSGVO-Dokumentation des Kanals. Genau deshalb lohnt vor der Auswahl die ehrliche Frage: Betreiben wir bereits ein Datenschutz-Managementsystem, in das sich der Meldekanal einfügt, oder ist die interne Meldestelle unsere erste strukturierte Compliance-Aufgabe? Die Antwort entscheidet zwischen spezialisiertem Tool und integrierter Plattform stärker als jeder Funktionsvergleich.

Einführung in fünf Schritten

  1. Zuständigkeit klären. Wer betreibt die Meldestelle — eine interne Stelle (Compliance, Recht, HR) oder eine externe Ombudsperson? Die Person muss unabhängig und fachkundig sein (§ 15 HinSchG).
  2. Meldekanal auswählen. Testen Sie in der Demo den anonymen Rückkanal: Kann die Meldestelle nachfragen, ohne die Identität zu kennen? Das ist der Kern jeder tauglichen Software.
  3. DSGVO-Basis anlegen. Meldekanal als Verarbeitungstätigkeit ins Verzeichnis, Löschfrist nach § 11 im Löschkonzept hinterlegen, TOM dokumentieren.
  4. Beschäftigte informieren. Der Kanal muss bekannt und leicht auffindbar sein — sonst läuft die Pflicht ins Leere. Verknüpfen Sie das mit Ihrer Datenschutzschulung und der IT-Nutzungsrichtlinie.
  5. Prozess testen. Führen Sie eine Testmeldung durch das gesamte Verfahren — Eingangsbestätigung, Bearbeitung, Rückmeldung, Löschung. Erst dann ist die Meldestelle nachweisbar funktionsfähig.

FAQ

Ab wie vielen Beschäftigten ist eine Meldestelle Pflicht?

Ab in der Regel 50 Beschäftigten (§ 12 Abs. 2 HinSchG). Für bestimmte Sektoren — insbesondere Finanzdienstleister, Wertpapierinstitute und Versicherungen — gilt die Pflicht unabhängig von der Beschäftigtenzahl. Konzerne können unter Voraussetzungen eine gemeinsame Meldestelle für mehrere Tochtergesellschaften einrichten; die Verantwortung bleibt aber bei jeder einzelnen Gesellschaft.

Muss die Whistleblowing-Software anonyme Meldungen ermöglichen?

Das HinSchG verpflichtet dazu, anonym eingehende Meldungen zu bearbeiten (§ 16 Abs. 1). Ein anonymer, verschlüsselter Rückkanal ist deshalb praktisch Standard — nur so kann die Meldestelle nachfragen, ohne die Identität preiszugeben. Reine E-Mail-Postfächer erfüllen diese Anforderung nicht sicher, weil Metadaten die Identität verraten können.

Wie lange müssen Meldungen aufbewahrt werden?

Die Dokumentation ist nach § 11 Abs. 5 HinSchG drei Jahre nach Abschluss des Verfahrens zu löschen, sofern keine längere Aufbewahrung erforderlich und verhältnismäßig ist. Diese Frist gehört in das Löschkonzept und muss von der Software automatisch überwacht werden — eine manuelle Löschung wird in der Praxis regelmäßig vergessen.

Reicht ein reines Whistleblowing-Tool für die DSGVO-Pflichten?

Nein. Ein Whistleblowing-Tool erfüllt das HinSchG, aber der Meldekanal bleibt eine Verarbeitungstätigkeit, die ins Verzeichnis gehört, ein Löschkonzept und — bei externem Betrieb — einen AVV braucht. Diese DSGVO-Ebene müssen Sie entweder separat führen oder eine integrierte Plattform wählen, die beides in einem System abbildet.

Fazit

Die Pflicht zur internen Meldestelle ist seit Dezember 2023 flächendeckend und wird vom BfJ bußgeldbewehrt durchgesetzt. Die Softwarefrage entscheidet sich an zwei Punkten: einem technisch sicheren, anonymen Meldekanal nach § 16 HinSchG und der sauberen DSGVO-Einordnung des Kanals. Spezialisierte Tools decken den ersten Punkt hervorragend ab; wer den zweiten nicht in ein separates Silo auslagern will, integriert den Meldekanal in sein Datenschutz-Managementsystem. Den Volltext der zugrunde liegenden Richtlinie finden Sie bei EUR-Lex, Vollzugshinweise beim Bundesamt für Justiz.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →