Hinweisgeberschutzgesetz (HinSchG) und Background Checks: Die unterschätzte Verbindung

Das deutsche Hinweisgeberschutzgesetz ist seit Juli 2023 in Kraft und setzt die EU-Whistleblowing-Richtlinie um. Für Compliance-Officer ist es ein eigenes Thema — für HR ein weiteres. Die Verbindung zu Background Checks bleibt oft unterbelichtet. Dieser Leitfaden zeigt drei Schnittstellen, die jedes Compliance-System beachten muss.

Das HinSchG im Überblick

Das Gesetz verpflichtet Unternehmen mit mindestens 50 Mitarbeitern, interne Meldestellen einzurichten, über die Hinweisgeber (Whistleblower) Compliance-Verstöße melden können. Gemeldet werden können:

• Straftaten

• Ordnungswidrigkeiten, soweit sie Gesundheit, Leben oder Rechte anderer schützen

• Verstöße gegen EU-Recht in spezifischen Bereichen (Finanz, Datenschutz, Verbraucherschutz, Kartellrecht, Geldwäsche, etc.)

Hinweisgeber sind umfassend vor Repressalien geschützt. Kündigung, Versetzung, Bonusminderung — alle solche Maßnahmen gelten als vermutete Repressalie, wenn sie binnen zwei Jahren nach Meldung erfolgen. Der Hinweisgeber muss lediglich die Meldung nachweisen, der Arbeitgeber muss beweisen, dass die Maßnahme nichts mit der Meldung zu tun hat.

Drei Schnittstellen zu Background Checks

1. Integrität der Ombudsperson selbst

Die interne Meldestelle wird von einer Ombudsperson geführt — entweder intern (Compliance-Officer, Legal Counsel) oder extern (spezialisierte Kanzlei, externe Hinweisgeber-Plattform). Diese Person hat Zugang zu höchst sensiblen Informationen: Verdachtsfälle gegen Geschäftsführung, interne Fraud-Cases, Sanktionsverstöße.

Wenn die Ombudsperson selbst kompromittiert ist — durch ungelöste Loyalitätskonflikte, finanzielle Notlage, Sanktionsnähe — wird das ganze Hinweisgeber-System wertlos. Viele Unternehmen übersehen: auch die Ombudsperson braucht einen strukturierten Fit-and-Proper-Check, insbesondere:

• Sanktionslisten-Screening (kein PEP-nahes Profil ohne Offenlegung)

• Insolvenz-Historie (niemanden mit unmittelbarer finanzieller Erpressbarkeit)

• Adverse Media Screening (öffentliche Integritätsvorfälle)

• Interessenkonflikte (keine Verbindung zu gemeldeten Parteien)

2. Reaktives Screening bei eingehenden Hinweisen

Wenn ein Hinweis eingeht — etwa ein Whistleblower meldet Verdacht auf Bestechung eines leitenden Angestellten — muss das Unternehmen reagieren. Ein Teil der Reaktion ist ein reaktives Background Check der beschuldigten Person:

• Aktuelle PEP-/Sanktions-Situation (vielleicht hat sich was geändert seit Einstellung)

• Neue Adverse Media (gibt es öffentliche Hinweise auf das gemeldete Verhalten?)

• Verknüpfungen zu externen Parteien (UBO-Analyse bei Korruptionsverdacht)

Wichtig: Ein reaktives Screening muss datenschutzrechtlich dokumentiert sein. Rechtsgrundlage ist meist berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO — dokumentiert durch eine Verhältnismäßigkeits-Prüfung, die die Meldung als Anlass nennt.

3. Kandidaten-Screening in sensiblen Rollen mit Hinweisgeber-Historie

Wenn ein Bewerber in der Vergangenheit in einem Unternehmen als Hinweisgeber aufgetreten ist, ist das kein legitimer Ablehnungsgrund nach HinSchG. Gleichzeitig müssen sensible Rollen strukturiert geprüft werden.

Das Screening darf keine öffentlichen Hinweisgeber-Referenzen als Negativ-Signal werten. Im Gegenteil: eine dokumentierte Whistleblower-Historie kann Integrität signalisieren. Die Herausforderung ist: das Screening so zu strukturieren, dass diskriminierende Ablehnung ausgeschlossen ist und AGG-konform bleibt.

Was gilt in der Schweiz und Österreich?

Schweiz

Die Schweiz hat kein HinSchG-Äquivalent. Hinweisgeber sind durch die Rechtsprechung zum Bundesgesetz über den Schutz der Persönlichkeit und Art. 328 OR geschützt, aber weniger umfassend als im DACH-Raum. Für Schweizer Tochtergesellschaften EU-basierter Konzerne gilt das deutsche HinSchG indirekt mit — durch Konzerneinbindung.

Österreich

Österreich hat das HinweisgeberInnenschutzgesetz (HSchG) im Februar 2023 umgesetzt. Inhaltlich vergleichbar mit DE, mit Besonderheit: Externe Meldestellen (Staatsanwaltschaft, Wirtschafts- und Korruptionsstaatsanwaltschaft) sind prominenter angelegt.

Integrations-Empfehlung

Für ein integriertes Compliance-System empfiehlt sich:

1. Pre-Hire Check der Ombudsperson mit Fit-and-Proper-Tiefe (analog zu § 25c KWG)

2. Reaktives Screening-Protokoll mit definierten Auslösern und datenschutzrechtlichem Rahmen

3. Kandidaten-Screening-Richtlinie, die HinSchG-Dispositionsrichtlinien respektiert (keine Diskriminierung aufgrund Hinweisgeber-Historie)

4. Jährliche Integrity-Audit der Ombudsperson — gleiches Verfahren wie Fit-and-Proper

Wie Indicium das unterstützt

• Dokumentierter Fit-and-Proper-Workflow für Ombudspersonen

• Reaktive Screenings mit Audit-Trail für Verhältnismäßigkeits-Prüfung

• Integriertes AGG-Safe-Screening (keine automatische Wertung von Whistleblower-Historie)

• Cross-Jurisdiktional für HinSchG DE, HSchG AT und Schweiz OR 328

Fazit

Hinweisgeberschutz und Background Checks teilen ein gemeinsames Fundament: Integrität. Unternehmen, die beide isoliert behandeln, verpassen strukturelle Risiken — eine kompromittierte Ombudsperson, ein unterlassenes reaktives Screening, ein diskriminierendes Kandidaten-Handling. Die Schnittstellen sind klar — die meisten Compliance-Systeme adressieren sie nicht systematisch.

Buche eine Demo und sieh Dir den integrierten HinSchG-Screening-Workflow an.

Weiterlesen — verwandte Artikel

• Sanktionslisten-Screening für Unternehmen

• Sanktionslisten EU UN OFAC

• PEP-Prüfung: Politisch exponierte Personen

• BaFin Fit-and-Proper 2026

• Fit-and-Proper KWG § 25c