Seit Juli 2023 gilt in Deutschland das Hinweisgeberschutzgesetz (HinSchG). Es verpflichtet Unternehmen dazu, interne Meldestellen einzurichten, über die Beschäftigte Hinweise auf Rechtsverstöße im beruflichen Kontext abgeben können. Ziel ist es, Hinweisgeber wirksam vor Repressalien zu schützen und gleichzeitig Compliance-Strukturen in Organisationen zu stärken.
Ein aktuelles Urteil des Arbeitsgerichts Offenbach (Urteil vom 25.11.2025 – 1 Ca 136/25) zeigt jedoch deutlich: Die bloße Einrichtung eines Hinweisgebersystems reicht nicht aus. Entscheidend ist, dass eingehende Meldungen auch ordnungsgemäß bearbeitet und die vorgesehenen Verfahren tatsächlich eingehalten werden. Anlass genug, die gesetzlichen Anforderungen und deren praktische Umsetzung näher zu beleuchten.
Der Fall vor dem Arbeitsgericht Offenbach
Gegenstand der Entscheidung war die Kündigung eines General Counsel, der innerhalb eines Konzerns für die Bereiche Recht und Compliance verantwortlich war. Hintergrund war ein Hinweis auf mögliche Rechtsverstöße in einer Konzerntochter, der im Oktober 2023 einging.
Zwar wurde eine interne Untersuchung eingeleitet, diese wich jedoch in zentralen Punkten von den vorgesehenen Abläufen ab. So wurde etwa die Konzernrevision nicht eingebunden, obwohl dies vorgesehen war. Zudem waren an der Untersuchung Personen beteiligt, die selbst Gegenstand der Vorwürfe waren. Auch die Kommunikation gegenüber dem Hinweisgeber blieb unzureichend.
Ein abschließender Untersuchungsbericht wurde erst deutlich verspätet erstellt – und dies erst nach entsprechender Nachfrage durch interne Gremien und Hinweise der Wirtschaftsprüfung. Auf Grundlage weiterer Erkenntnisse wurde das Arbeitsverhältnis schließlich gekündigt.
Das Gericht hielt zumindest die hilfsweise erklärte ordentliche Kündigung für wirksam. Es sah es als erwiesen an, dass der General Counsel über einen längeren Zeitraum zentrale Überwachungs- und Kontrollpflichten verletzt hatte. Angesichts seiner herausgehobenen Position sei eine zukünftige vertragsgemäße Zusammenarbeit nicht mehr zu erwarten gewesen. Eine vorherige Abmahnung hielt das Gericht aufgrund der Schwere der Pflichtverletzung für entbehrlich.
Gesetzliche Anforderungen nach dem HinSchG
Unternehmen mit mindestens 50 Beschäftigten sind grundsätzlich verpflichtet, eine interne Meldestelle einzurichten und zu betreiben (§ 12 HinSchG). Für bestimmte Branchen – etwa im Finanzsektor – gilt diese Pflicht unabhängig von der Unternehmensgröße.
Dabei geht es nicht nur um die Einrichtung, sondern auch um die tatsächliche Funktionsfähigkeit: Die Meldestelle muss in der Lage sein, Hinweise zu prüfen und geeignete Folgemaßnahmen einzuleiten. Zudem ist ein klar strukturierter Verfahrensablauf gesetzlich vorgegeben (§§ 13, 16–18 HinSchG).
Organisation der Meldestelle und Verantwortlichkeit
Das Gesetz lässt Spielraum bei der organisatorischen Ausgestaltung: Meldestellen können intern angesiedelt, als eigene Einheit organisiert oder an externe Dienstleister ausgelagert werden. Auch gemeinsame Lösungen mehrerer Unternehmen sind möglich (§ 14 HinSchG).
Wichtig ist jedoch: Die Verantwortung verbleibt stets beim Unternehmen selbst. Auch bei einer Auslagerung müssen geeignete Maßnahmen sichergestellt werden, um erkannte Verstöße tatsächlich zu beheben.
Zudem müssen die mit der Bearbeitung betrauten Personen unabhängig handeln können und über die erforderliche Fachkunde verfügen (§ 15 HinSchG). Dazu zählen insbesondere Kenntnisse im Hinweisgeberschutzrecht, im Datenschutz sowie im allgemeinen Compliance-Umfeld.
Verfahrenspflichten: Mehr als ein „Posteingang“
Das HinSchG gibt konkrete Anforderungen für den Umgang mit Hinweisen vor (§ 17 HinSchG):
- Eingangsbestätigung innerhalb von sieben Tagen
- Prüfung, ob der Sachverhalt in den Anwendungsbereich fällt
- Bewertung der Plausibilität der Meldung
- Kommunikation mit dem Hinweisgeber
- Einleitung geeigneter Folgemaßnahmen (§ 18 HinSchG)
- Rückmeldung in der Regel innerhalb von drei Monaten
Ergänzt werden diese Vorgaben durch Dokumentationspflichten (§ 11 HinSchG) sowie strenge Vertraulichkeitsanforderungen (§ 8 HinSchG).
Diese Anforderungen machen deutlich: Ein Hinweisgebersystem ist kein bloßer „Briefkasten“, sondern ein strukturierter Prozess, der aktiv betrieben werden muss.
Wer trägt die Verantwortung im Unternehmen?
Formell richten sich die gesetzlichen Pflichten an die interne Meldestelle. In der Praxis sind jedoch regelmäßig auch Führungskräfte – insbesondere aus den Bereichen Legal, Compliance und Revision – in die Prozesse eingebunden.
Die Rechtsprechung stellt klar, dass Personen in leitenden Funktionen besondere Überwachungs- und Kontrollpflichten treffen. Wer Kenntnis von Unregelmäßigkeiten oder Verfahrensmängeln hat, muss tätig werden. Ein Verweis auf fehlende formale Zuständigkeit greift in solchen Fällen regelmäßig nicht.
Werden offensichtliche Defizite – etwa unzureichende Untersuchungen, Interessenkonflikte oder fehlende Berichte – über längere Zeit nicht adressiert, kann dies arbeitsrechtliche Konsequenzen bis hin zur Kündigung nach sich ziehen.
Fazit: Funktionierende Prozesse sind entscheidend
Das Urteil verdeutlicht, dass Compliance-Strukturen nicht nur auf dem Papier bestehen dürfen. Für Unternehmen bedeutet das:
- Die Einrichtung eines Systems ist nur der erste Schritt. Entscheidend ist dessen tatsächliche Anwendung.
- Qualifikation und Unabhängigkeit der Verantwortlichen sind zentral.
- Hinweise müssen sorgfältig und nachvollziehbar bearbeitet werden.
- Verfahrensverstöße können nicht nur gesetzliche, sondern auch arbeitsrechtliche Folgen haben.
Nicht zuletzt spielt auch die Unternehmenskultur eine wichtige Rolle: Nur wenn Beschäftigte Vertrauen in interne Meldestrukturen haben, werden Hinweise intern abgegeben – und nicht unmittelbar an Behörden oder die Öffentlichkeit.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
