top of page
Genossenschaftsverband-der-Länder-e.V.-logo

Hinweisgeberschutzgesetz drei Jahre danach: Was Genossenschaften aus der Praxis lernen

  • vor einigen Sekunden
  • 6 Min. Lesezeit

Aktualisiert: 30. Apr.

Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten und verpflichtet Beschäftigungsgeber ab 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Drei Jahre nach Inkrafttreten liegen erste belastbare Erfahrungen vor: Aus Aufsichtspraxis, Fachkonferenzen und Prüfungsverbänden zeichnet sich ein klares Muster ab. Viele Genossenschaften haben formal Meldestellen eingerichtet, doch die praktische Funktionsfähigkeit bleibt in erheblichem Umfang hinter den gesetzlichen Anforderungen zurück. Der Beitrag fasst typische Schwachstellen zusammen und zeigt, wo Vorstände und Aufsichtsräte jetzt nachsteuern sollten.

Dieser Beitrag aktualisiert und erweitert unseren früheren Überblick zum Hinweisgeberschutzgesetz. Die Grundlagen finden Sie ebenfalls in unserem Einführungsartikel zum HinSchG.



A brass ship's bell silhouetted against a stormy sky, rope swaying in wind, dramatic grey clouds with a break of warm light on the horizon, editorial photography

Das Wichtigste in Kürze

  • Drei Jahre nach Inkrafttreten liegt die durchschnittliche Meldezahl pro Meldestelle deutlich unter den Erwartungen – ein Indikator für mangelndes Vertrauen, nicht für Compliance-Reife.

  • Die zehn häufigsten Umsetzungsfehler reichen von unsicherer Vertraulichkeit über lückenhafte Dokumentation bis zur fehlenden Einbindung in die Governance; Bußgelder nach § 40 HinSchG beginnen bei 20.000 Euro.

  • Die Pflichtprüfung nach § 53 Genossenschaftsgesetz prüft die HinSchG-Umsetzung zunehmend als Bestandteil des internen Kontrollsystems – dokumentierte Prozesse und regelmäßige Tests werden zum Standard.



Rückblick: Drei Jahre Praxis in Zahlen


Aus den Erfahrungsberichten der Aufsichtsbehörden, der Wirtschaftsprüfer und der spezialisierten Meldestellen-Betreiber lässt sich drei Jahre nach Inkrafttreten ein erstaunlich homogenes Bild zeichnen. Das Meldeaufkommen liegt bei rund 0,5 bis 2,5 eingegangenen Meldungen pro 1.000 Beschäftigten und Jahr. Eingespielte Systeme kommen auf höhere Werte, neu eingerichtete Meldestellen berichten nicht selten von einer Melderate von null – ein Wert, der weniger eine heile Welt beschreibt, als vielmehr einen fehlenden Kanal in die Belegschaft.


Entgegen der ursprünglichen Befürchtungen hat sich der Anteil anonym eingehender Meldungen stabilisiert und nimmt in manchen Sektoren inzwischen die Mehrheit ein. Seit der gesetzlichen Klarstellung in § 16 Absatz 1 HinSchG und mit softwareunterstützten Kanälen ist Anonymität zum Standard geworden. Thematisch dominieren Führungsverhalten, Mobbingvorwürfe und Dokumentationslücken bei der Arbeitszeit; klassische Korruptionsfälle und Bilanzdelikte, die die Gesetzgebungsdebatte geprägt hatten, bilden die Ausnahme.


Die Bußgeldpraxis des Bundesamtes für Justiz zeigt eine klare Linie: Sanktioniert werden vor allem die fehlende Einrichtung und die mangelhafte Information der Beschäftigten. Operative Fehler in der Bearbeitung einzelner Meldungen führen bislang seltener zu Geldbußen. Gleichwohl wächst der Druck auf Genossenschaften von einer anderen Seite: Mitarbeiterbefragungen belegen, dass Beschäftigte ihre Meldestelle zwar kennen, ihrer Vertraulichkeit aber oft misstrauen. Dieses Vertrauensdefizit ist der wichtigste Grund für geringe Meldezahlen – und damit die eigentliche Baustelle der nächsten Jahre.



Zehn typische Umsetzungsfehler


Das auffälligste Muster ist die Reduktion des Meldekanals auf eine schlichte E-Mail-Adresse. Formal mag das den Vertraulichkeitsanforderungen des § 16 HinSchG noch genügen, praktisch ist der Absender technisch identifizierbar, und revisionssichere Dokumentation findet nicht statt. Professionelle Plattformen mit Ende-zu-Ende-Verschlüsselung sind inzwischen Standard. Hinzu kommt eine unzureichende Rollentrennung: Häufig berichtet die Meldestelle an genau die Ebene, die Gegenstand möglicher Vorwürfe sein könnte. Erst eine Eskalationsregelung, die Vorstandsmeldungen an den Aufsichtsrat weitergibt und Aufsichtsratsmeldungen an den Prüfungsausschuss oder eine externe Ombudsperson, schließt den Interessenkonflikt aus.


Lückenhaft ist auch die Dokumentation. Zwar werden Meldungen in der Regel protokolliert, doch sie liegen häufig unstrukturiert, ohne Zugriffsbeschränkung und nicht revisionssicher ab – eine regelmäßige Prüffeststellung mit Haftungsrelevanz. Eng damit verbunden sind unklare Bearbeitungsfristen. Die dreimonatige Rückmeldefrist nach § 17 HinSchG wird vielerorts überschritten, weil interne Zwischenfristen für Eingangsbestätigung und Zwischenstand fehlen. Ein weiterer Konstruktionsfehler speziell für Genossenschaften: Meldungen, die den Vorstand selbst betreffen, laufen ohne Einbindung des Aufsichtsrats faktisch ins Leere.


Auf der Awareness-Seite bleibt die Lage ebenfalls hinter den Erwartungen zurück. Beschäftigte werden meist einmal informiert, aber nicht regelmäßig geschult; neue Mitarbeiter erfahren von der Meldemöglichkeit oft nur über einen Aushang. Ohne ein jährliches Reporting an den Aufsichtsrat – Anzahl, Themenkategorien und Bearbeitungsstand – bleibt das System zudem unsichtbar. Der Repressalienschutz der Beweislastumkehr aus § 36 HinSchG wird in der Dokumentation häufig nicht gelebt: Kündigungen oder Versetzungen innerhalb von zwei Jahren nach einer Meldung verlangen nach einer gesonderten, sauberen Begründung.


Komplettiert wird das Bild durch zwei weitere Schwachstellen. Die Pflicht, neben der internen auch auf die externe Meldestelle des Bundesamtes für Justiz hinzuweisen, wird regelmäßig vernachlässigt, obwohl die Information zu beiden Wegen zwingend ist. Und schließlich fehlt es an einer periodischen Überprüfung des Systems: Das HinSchG verlangt keine explizite Revision, doch Pflichtprüfung und Organhaftung setzen sie implizit voraus. Die fehlende Routine-Kontrolle gehört zu den häufigsten Feststellungen der Prüfungsverbände.



Die Sicht der Pflichtprüfung


Prüfungsverbände behandeln die HinSchG-Umsetzung nicht mehr als abgegrenztes Einzelthema, sondern als Bestandteil des internen Kontrollsystems. Erster Prüfungspunkt ist die Einrichtungspflicht: Genossenschaften ab 50 Beschäftigten im Jahresdurchschnitt müssen eine interne Meldestelle vorhalten. Die Schwelle wird über Vollzeitäquivalente berechnet; Auszubildende zählen mit. Wer in Randzonen liegt, muss die Kopfzahl jährlich dokumentieren, um bei Überschreiten zeitnah reagieren zu können.


Der zweite Schwerpunkt betrifft die Organisation. Verlangt werden dokumentierte Prozesse, klare Zuständigkeiten und eine Verfahrensordnung der Meldestelle; lose Arbeitsanweisungen genügen nicht. Hinzu kommen Nachweise zu Schulungen – vor allem der Führungskräfte und der Meldestellenbeauftragten selbst. Die Prüfungsfeststellung „ohne Informationsfluss an den Aufsichtsrat“ gehört mittlerweile zu den häufigsten Managementletter-Passagen, weil viele Genossenschaften zwar eine Meldestelle betreiben, deren Ergebnisse aber nicht systematisch im Aufsichtsrat ankommen.


Der dritte Schwerpunkt ist die Haftungsfrage. Eine unterlassene oder mangelhafte Einrichtung begründet bei Pflichtwidrigkeit eine Haftung nach § 34 Genossenschaftsgesetz. Hinweis: D&O-Versicherer prüfen diese Frage inzwischen spürbar genauer; fehlt die saubere Dokumentation, verengt sich der Deckungsumfang. Die Pflichtprüfung wirkt hier als Frühwarnsystem – und als Anlass, die Meldestelle nicht als formale Pflicht, sondern als Governance-Instrument zu begreifen.



Pragmatische Nachrüstung – was jetzt wirkt


Wer nachbessern will, muss nicht neu anfangen, sondern gezielt nachrüsten. Der wirksamste Hebel liegt in der technischen Plattform: Spezialisierte Meldestellen-Software mit durchgehender Ende-zu-Ende-Verschlüsselung ersetzt das unsichere Mail-Postfach. Die Kosten liegen je nach Größe der Genossenschaft zwischen 1.000 und 10.000 Euro im Jahr und amortisieren sich allein durch das reduzierte Haftungsrisiko. Parallel sollte eine interne Verfahrensordnung entstehen: eine kurze Dienstvereinbarung, die die Annahmepflicht, die Eingangsbestätigung binnen sieben Tagen, einen Zwischenstand binnen dreißig Tagen und die abschließende Rückmeldung binnen drei Monaten festlegt.


Genossenschaftsspezifisch ist die Eskalationsregelung mit dem Aufsichtsrat. Meldungen, die den Vorstand betreffen, gehen direkt an den Aufsichtsratsvorsitz. Meldungen, die den Aufsichtsrat betreffen, an den Prüfungsausschuss oder an eine externe Ombudsperson. Parallel lohnt sich ein jährlicher Bericht – quantitative Übersicht zu Anzahl, Themen und Bearbeitungsstand – an Aufsichtsrat und gegebenenfalls Generalversammlung. In anonymisierter Form ist er zulässig, regelmäßig erwünscht und in vielen Prüfungsberichten ausdrücklich empfohlen.


Die verbleibenden Schritte liegen auf der Awareness- und auf der Vertrauensebene. Regelmäßige Information der Beschäftigten über Intranet, Newsletter und jährlichen Aushang ist Pflicht. In mitgliederorientierten Genossenschaften sollte auch die Mitgliederkommunikation das Thema aufnehmen. Den stärksten Vertrauensgewinn bringt schließlich die Einbeziehung einer externen Ombudsperson: Eine auf HinSchG spezialisierte Kanzlei kostet in der Basisvariante zwischen 500 und 2.500 Euro pro Jahr, entlastet die interne Organisation und löst genau den Vertrauenskonflikt, der die Melderaten drückt.



Zusammenspiel mit anderen Compliance-Pflichten


Das HinSchG steht nicht allein. Am engsten verzahnt ist es mit dem Lieferkettensorgfaltspflichtengesetz: Beschwerden aus der Lieferkette können über die HinSchG-Meldestelle mit abgebildet werden, solange Zuständigkeit und Bearbeitungsprozess klar aufeinander abgestimmt sind. Ähnlich nah liegt der Datenschutz. Da Meldungen typischerweise personenbezogene Daten enthalten, sind Auftragsverarbeitungsverträge mit externen Meldestellen-Betreibern und ein schriftliches Löschkonzept zwingend.


An einer wichtigen Stelle verläuft die Grenze dagegen strikt: Verdachtsmeldungen nach § 43 Geldwäschegesetz folgen einem eigenen Regime und dürfen nicht mit dem HinSchG-Prozess vermischt werden. Die Meldestelle muss diese Abgrenzung kennen und entsprechend routen. Ähnlich getrennt bleiben auch Vorfallsmeldungen nach NIS-2. Technische Sicherheitsvorfälle sind kein HinSchG-Gegenstand; die Pflicht zur Meldung an das BSI läuft in einer anderen Prozesskette, auch wenn die gemeinsame Eingangsplattform organisatorisch Sinn ergibt.


Innerhalb des Arbeitsrechts existiert mit § 13 Allgemeines Gleichbehandlungsgesetz eine eigenständige Beschwerdestelle. Sie kann räumlich bei der HinSchG-Meldestelle angesiedelt sein, bleibt verfahrensmäßig aber eigen. Für die Governance-Architektur einer Genossenschaft ergibt sich daraus ein einfaches Prinzip: ein gemeinsamer Zugang, aber klar getrennte Verfahrenswege – mit einem zentralen Kontrollpunkt, der die Zuordnung verantwortet. Wer das sauber aufsetzt, erfüllt nicht nur das HinSchG, sondern stärkt gleichzeitig die Verlässlichkeit des gesamten Compliance-Systems.



Häufige Fragen


Ab wann greift die Pflicht zur internen Meldestelle?

Beschäftigungsgeber mit 50 oder mehr Beschäftigten im Jahresdurchschnitt sind verpflichtet. Die Schwelle wird über Vollzeitäquivalente berechnet, Auszubildende und Leiharbeitnehmer zählen mit. Für Genossenschaften mit Tochtergesellschaften ist eine konzernweite Lösung nach § 14 Absatz 1 HinSchG zulässig, solange die Vertraulichkeit zwischen den Einheiten gesichert ist.


Reicht eine einfache E-Mail-Adresse als Meldekanal?

Formal ist eine E-Mail-Adresse zulässig, wenn sie einen vertraulichen Zugang sicherstellt. Praktisch ist das bei Standard-Mailsystemen kaum möglich: Absenderadressen sind identifizierbar, Protokollinformationen werden geführt, und die Vertraulichkeit der Meldestelle kann im Streitfall nicht nachgewiesen werden. Empfehlung: spezialisierte Plattform oder externe Ombudsperson.


Darf der Vorstand selbst die Meldestelle leiten?

Unmittelbar ist das nicht verboten, praktisch aber ungeeignet. Meldungen können den Vorstand selbst oder Führungskräfte betreffen; eine saubere Unabhängigkeit ist nur bei Einschaltung einer personell und funktional getrennten Stelle gewahrt. Empfohlen ist die Zuweisung an einen Complianceverantwortlichen oder an eine externe Ombudsperson.


Wie lange müssen Unterlagen aufbewahrt werden?

§ 11 HinSchG sieht eine Mindestaufbewahrung von drei Jahren nach Abschluss des Verfahrens vor. Längere Fristen ergeben sich aus begleitenden arbeitsrechtlichen, steuerrechtlichen oder zivilrechtlichen Fristen – typischerweise sechs bis zehn Jahre. Die Löschung ist zu dokumentieren.


Greift der Schutz auch bei rechtswidrigen Meldungen?

Der Schutz setzt hinreichende Anhaltspunkte voraus, dass die gemeldeten Informationen zum Zeitpunkt der Meldung zutreffen und eines der in § 2 HinSchG genannten Rechtsgebiete betreffen. Vorsätzlich falsche Meldungen sind nicht geschützt und können zu Schadensersatzansprüchen nach § 38 HinSchG führen.


Für eine individuelle Einschätzung oder Unterstützung steht Ihnen der Genossenschaftsverband der Länder e.V. (GVdL) gern zur Verfügung. Kontakt: Kathrin Becher, info@gvdl.de, www.gvdlverband.de.


Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle steuerliche oder rechtliche Beratung.



Quellen



Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings
Rating hinzufügen
bottom of page