HinSchG 2026: KI-MIG, anonyme Meldungen und die neue Rolle des Bundesamts für Justiz

Inhaltsverzeichnis

1. Vom HinSchG 2023 zum HinSchG 2026: kurzer historischer Bogen
2. Änderung 1: Anonyme Meldungen seit 01.01.2025 verpflichtend
3. Änderung 2: Bundesamt für Justiz als zentrale Durchsetzungsbehörde
4. Änderung 3: KI-Modernisierungsgesetz und EU-KI-Verordnung
5. Vergleichstabelle: HinSchG 2023 und HinSchG 2026
6. Auswirkungen auf den Compliance Officer
7. Auswirkungen auf Strafverteidigung und Haftung
8. Umsetzungs-Checkliste
9. FAQ

1. Vom HinSchG 2023 zum HinSchG 2026: kurzer historischer Bogen

Das Hinweisgeberschutzgesetz trat am 2. Juli 2023 in Kraft und setzt die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um. Die Umsetzung war verspätet: Die EU-Umsetzungsfrist endete bereits Ende 2021; der Europäische Gerichtshof verhängte in der Folge eine Strafe gegen Deutschland. Das HinSchG verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldestellen (§ 12 HinSchG) und schützt Hinweisgebende vor Repressalien (§ 36 HinSchG).

Zwischen 2025 und 2026 sind drei Entwicklungen hinzugetreten, die den Ordnungsrahmen der Meldestelle und die Pflichten des Compliance Officers substantiell verändert haben. Für die operative Praxis sind sie nur zusammenhängend zu verstehen; die Fachdiskussion behandelt sie bislang weitgehend isoliert.

2. Änderung 1: Anonyme Meldungen seit 01.01.2025 verpflichtend

Der ursprüngliche Referentenentwurf des HinSchG hatte die Bearbeitung anonymer Meldungen lediglich empfohlen. Der Regierungsentwurf verschärfte dies zu einer Soll-Vorschrift. In der verabschiedeten Fassung ist die Bearbeitung anonymer Meldungen schließlich Pflicht geworden (§ 16 Abs. 1 S. 4–6 HinSchG) — allerdings mit einer zeitlich gestaffelten Einführung: § 42 Abs. 2 HinSchG ordnet den Beginn der Pflicht erst zum 1. Januar 2025 an.

Seit dem 1. Januar 2025 müssen interne und externe Meldekanäle zwei Anforderungen erfüllen:

• Anonyme Meldungen müssen entgegengenommen und bearbeitet werden.
• Die Meldestelle muss eine anonyme Kommunikation mit dem Hinweisgeber ermöglichen — also einen Rückkanal, der die Identität weiterhin schützt.

Für die technische Infrastruktur bedeutet das: Einfache E-Mail-Postfächer genügen nicht mehr, weil Rück-E-Mails Identitätsmerkmale offenbaren. Briefkästen gewährleisten keinen anonymen Rückkanal. Praktisch durchsetzungsfähig sind entweder webbasierte Meldeportale mit Case-Management-Funktionalität und generischen Tokens oder die Auslagerung an spezialisierte Dienstleister.

Die Relevanz anonymer Meldungen wurde in der Rechtsprechung zusätzlich gestärkt. Auf instanzgerichtlicher Ebene haben Entscheidungen 2025 klargestellt, dass auch vollständig anonyme Hinweise — wenn sie konkret und nachvollziehbar sind — staatsanwaltschaftliche Ermittlungen und Durchsuchungen tragen können. Die frühere Annahme, anonyme Meldungen seien ermittlungsrechtlich weitgehend wertlos, ist nicht mehr haltbar.

3. Änderung 2: Bundesamt für Justiz als zentrale Durchsetzungsbehörde

Seit 2025 ist das Bundesamt für Justiz (BfJ) bundesweit für die Verfolgung von Ordnungswidrigkeiten nach dem HinSchG zuständig. Die Zentralisierung beendet die zuvor uneinheitliche Länderpraxis und führt zu einer systematisch verstärkten Durchsetzung.

Die Bußgeldtatbestände nach § 40 HinSchG adressieren insbesondere:

• die Nichteinrichtung einer internen Meldestelle entgegen § 12 HinSchG,
• die Behinderung von Meldungen oder die Repressalie gegen Meldende (§ 36 HinSchG),
• die Verletzung der Vertraulichkeit nach § 8 HinSchG,
• die Nichtbearbeitung oder nicht fristgerechte Rückmeldung an den Hinweisgeber (§§ 13 ff., 17 HinSchG).

Der Bußgeldrahmen reicht bis 50.000 Euro. Für die Praxis entscheidend ist die digitale Durchsetzungsarchitektur des BfJ: Systematisierte Prüfverfahren, standardisierte Anhörungsbriefe, beschleunigte Bußgeldbescheide. Die früher vorherrschende „Rückfalltoleranz“ aus behördlichen Ressourcenengpässen ist damit weitgehend entfallen.

Für Compliance Officer, die für die Meldestelle operativ verantwortlich sind, hat die BfJ-Praxis eine konkrete Folge: HinSchG-Verstöße können spürbar schneller und systematischer in Bußgeldverfahren münden als in der Anfangsphase des Gesetzes. Die Verzahnung mit § 130 OWiG ist zudem nicht zu übersehen: Wer die Meldestelle unzureichend betreibt, läuft Gefahr, zusätzlich als Aufsichtspflichtverletzer in den Blick der Ordnungswidrigkeitenbehörden zu geraten.

4. Änderung 3: KI-Modernisierungsgesetz und EU-KI-Verordnung

Die dritte und technisch anspruchsvollste Änderung betrifft den Katalog meldepflichtiger Verstöße. Das KI-Modernisierungsgesetz (KI-MIG), mit dem Deutschland die EU-KI-Verordnung (Verordnung (EU) 2024/1689) in nationales Recht umgesetzt hat, erweitert den HinSchG-Verstoßkatalog explizit um Verstöße gegen die KI-Verordnung.

Praktisch bedeutet das: Meldungen zu algorithmischer Verzerrung, unrechtmäßigem Datenscraping, fehlerhaften Risikomanagementsystemen in Hochrisiko-KI-Anwendungen, Intransparenz gegenüber Betroffenen oder Verstößen gegen die Anforderungen an KI-Grundlagenmodelle fallen nunmehr in den Anwendungsbereich des HinSchG. Wer solche Sachverhalte meldet, genießt denselben Schutz vor Repressalien wie Hinweisgeber zu Korruption oder Umweltdelikten.

Für die Meldestelle bedeutet die Erweiterung zweierlei. Erstens muss die interne Informations- und Meldekategorisierung angepasst werden, damit KI-Verstöße korrekt erkannt und verarbeitet werden können. Zweitens müssen Meldestellen-Beauftragte über ausreichende Fachkunde verfügen, um technische Beschwerden zumindest strukturierend einordnen zu können. § 15 Abs. 2 HinSchG verlangt allgemein die „notwendige Fachkunde“; die KI-Erweiterung konkretisiert den Fachkunde-Maßstab in Richtung technischer Kompetenz.

Die Schnittstelle zur Datenschutz-Folgenabschätzung (DSFA) ist dabei besonders heikel. KI-Meldungen enthalten regelmäßig hochsensible Informationen zu automatisierten Entscheidungen; die DSFA-Pflicht nach Art. 35 DSGVO wird durch die Meldebearbeitung selbst ausgelöst. Ende-zu-Ende-Verschlüsselung, strenge Zugangskontrollen und klare Löschkonzepte sind deshalb nicht mehr Kür, sondern Mindeststandard.

5. Vergleichstabelle: HinSchG 2023 und HinSchG 2026

Regelungsbereich	HinSchG 2023 (Ursprung)	HinSchG 2026 (aktueller Stand)
Meldekanal-Form	Mündlich oder in Textform, § 16 Abs. 1 HinSchG	Zusätzlich: anonymer Kanal mit anonymer Rückkommunikation, § 16 Abs. 1 S. 4–6 HinSchG
Anonyme Meldungen	Empfehlung, keine Pflicht	Pflicht seit 01.01.2025 (§ 42 Abs. 2 HinSchG)
Katalog meldepflichtiger Verstöße	Straftaten, bestimmte Ordnungswidrigkeiten, Datenschutz, Umweltrecht, weitere Bereiche nach § 2 HinSchG	Zusätzlich: Verstöße gegen die EU-KI-Verordnung (Erweiterung durch KI-MIG)
Zentrale Durchsetzungsbehörde	Uneinheitliche Länderpraxis	Bundesamt für Justiz bundesweit zuständig (seit 2025)
Bußgeldpraxis	Zurückhaltend, Einzelfälle	Systematisierte Verfahren, beschleunigte Bescheide
Fachkunde-Maßstab	„Notwendige Fachkunde“ ohne thematische Konkretisierung	De facto erweitert auf technische KI-Kompetenz bei betroffenen Unternehmen
Technische Vertraulichkeit	Allgemein nach § 8 HinSchG	Verschärft durch Anonymitätsanforderung und DSFA-Schnittstelle
Outsourcing der Meldestelle	Zulässig, § 14 HinSchG	Zunehmend üblich als Antwort auf Anonymitäts- und KI-Anforderungen

6. Auswirkungen auf den Compliance Officer

Für den Compliance Officer, der die interne Meldestelle operativ verantwortet, ergeben sich aus den drei Änderungen konkrete Umsetzungspflichten.

Meldekanal-Umbau. Einfache E-Mail-Postfächer und physische Briefkästen erfüllen die Anforderungen an anonyme Rückkommunikation regelmäßig nicht. Der Umstieg auf ein webbasiertes Meldeportal oder die Auslagerung an spezialisierte Ombudspersonen bzw. Dienstleister ist in vielen Unternehmen unvermeidlich geworden. Die Vertragsgestaltung mit solchen Dienstleistern muss die Vertraulichkeitsstandards des § 8 HinSchG ebenso spiegeln wie die DSGVO-Anforderungen nach Art. 28 DSGVO (Auftragsverarbeitung).

Schulungsnachweis. Die KI-Erweiterung verlangt Schulungen der Meldestellen-Beauftragten zu technischen KI-Sachverhalten. Die Schulung muss dokumentiert sein und regelmäßig aktualisiert werden, weil sich der Stand der KI-Verordnung und ihrer Umsetzung in den kommenden Jahren weiterentwickeln wird.

Dokumentation der Verfahrensabläufe. Die BfJ-Praxis setzt darauf, dass Bußgeldverfahren auf Basis dokumentierbarer Verfahrensabläufe geführt werden. Fristeneinhaltung (Eingangsbestätigung innerhalb sieben Tagen, Rückmeldung binnen drei Monaten nach § 17 HinSchG), Dokumentation der Bearbeitungsschritte, Protokollierung der Repressalienvorsorge — all dies muss revisionsfest vorgehalten werden.

Outsourcing-Prüfung. Die Auslagerung der Meldestelle an spezialisierte Dienstleister (Ombudspersonen, Legal-Tech-Anbieter) hat sich als Antwort auf die verschärften Anforderungen etabliert. Die Entscheidung Outsourcing vs. in-house-Lösung sollte dokumentiert und an der Risikolage des Unternehmens ausgerichtet sein.

DSFA-Integration. Jede Meldestelle verarbeitet personenbezogene Daten mit hohem Risiko und unterliegt damit der DSFA-Pflicht nach Art. 35 DSGVO. Die Schnittstelle zum Datenschutzbeauftragten ist prozessual zu regeln; in der Personalunion CO/DSB entstehen Konflikte, die organisatorisch zu lösen sind (siehe dazu den separaten Beitrag zum Rollenvergleich CO/DSB/GwB).

7. Auswirkungen auf Strafverteidigung und Haftung

Die HinSchG-Verschärfungen 2025/2026 haben eine Haftungsdimension, die über die reine Compliance-Organisation hinausgeht.

Haftungsausweitung für Aufsichtspflichtverletzungen. Wer die Meldestelle unzureichend betreibt, verletzt nicht nur § 40 HinSchG, sondern potenziell auch § 130 OWiG. Die Bußgelder können sich addieren, und die Ordnungswidrigkeitenbehörden nach § 130 OWiG nehmen die BfJ-Feststellungen zunehmend als Anfangsverdacht auf. Der Compliance Officer, der für den Betrieb der Meldestelle verantwortlich ist, kann damit doppelt adressiert werden.

Beweiswert anonymer Meldungen. Instanzgerichtliche Entscheidungen haben 2025 bestätigt, dass auch anonyme Meldungen Anlass für staatsanwaltschaftliche Ermittlungsmaßnahmen sein können, wenn sie konkret und nachvollziehbar sind. Für Verteidiger bedeutet das: Der frühere Verweis auf die Identitätsunsicherheit einer anonymen Quelle trägt nicht mehr pauschal. Die Substanzprüfung der Meldung ersetzt die frühere Formalprüfung der Quellenzuverlässigkeit.

Bußgeldverfahren des BfJ. Für Compliance Officer, die in den Fokus eines BfJ-Bußgeldverfahrens geraten, gelten dieselben Grundregeln wie in jedem anderen Ordnungswidrigkeitenverfahren: Keine Aussage ohne Verteidigerbeistand, fristgerechte D&O-Meldung, Prüfung der Akteneinsicht nach § 46 OWiG. Besonderheit ist die digitale Aktenführung des BfJ, die schnellere Anhörungsfristen und standardisierte Bescheide nach sich zieht. Die Reaktionszeiten sind knapper als in klassischen Bußgeldverfahren.

KI-spezifische Haftungsfelder. Mit der Erweiterung des Verstoßkatalogs öffnet sich ein neues Haftungsfeld: Meldestellen, die KI-bezogene Meldungen nicht korrekt einordnen oder bearbeiten, werden selbst zum Gegenstand von Vorwürfen — sowohl durch Meldende, die sich nicht angemessen behandelt sehen, als auch durch Aufsichtsbehörden, die die technische Kompetenz der Meldestelle prüfen.

8. Umsetzungs-Checkliste

1. Meldekanal technisch prüfen: Ermöglicht der aktuelle Kanal anonyme Meldungen und anonyme Rückkommunikation? Wenn nicht, Umbau oder Outsourcing einleiten.
2. Fachkunde aktualisieren: Schulungen zu KI-Verordnung und KI-MIG für Meldestellen-Beauftragte dokumentieren; regelmäßige Auffrischung einplanen.
3. DSFA durchführen oder aktualisieren: Für die Meldestelle mit den aktualisierten Anforderungen (Anonymität, KI-Daten) eine DSFA nach Art. 35 DSGVO durchführen und dokumentieren.
4. Verfahrensabläufe revisionssicher dokumentieren: Eingangsbestätigung binnen sieben Tagen, Rückmeldung binnen drei Monaten, Bearbeitungsschritte protokolliert. Jeder Schritt ist im Hinblick auf mögliche BfJ-Prüfungen zu dokumentieren.
5. Repressalienschutz evaluieren: Beweislastumkehr nach § 36 HinSchG erfordert, dass arbeitsrechtliche Maßnahmen gegenüber Beschäftigten, die zuvor gemeldet haben, sauber aus anderen Gründen dokumentiert sind.
6. Meldekategorien erweitern: KI-bezogene Meldekategorien im Portal aufnehmen; Filter- und Weiterleitungsregeln entsprechend aktualisieren.
7. Vertraulichkeitsarchitektur technisch verifizieren: Ende-zu-Ende-Verschlüsselung, Zugriffsrechte, Löschkonzepte prüfen; Zugriff auf Meldungen auf die benannten Meldestellen-Beauftragten beschränken.
8. Schnittstelle zum DSB klären: Interessenkonflikte in Personalunion vermeiden; Zuständigkeiten dokumentiert trennen.

Siehe zur Gesamtarchitektur der CO-Haftung den Pillar-Beitrag Haftung und Pflichten des Compliance Officers; zum operativen Aufbau der Meldestelle den Beitrag Hinweisgebersystem aufbauen; zur Verzahnung mit § 130 OWiG den Beitrag zum Unternehmensstrafrecht.

9. FAQ

Häufige Fragen

Was hat sich 2025/2026 beim HinSchG geändert?

Drei Entwicklungen sind zentral. Erstens die Pflicht zur Bearbeitung anonymer Meldungen seit 01.01.2025 (§ 42 Abs. 2 HinSchG). Zweitens die Zentralisierung der Ordnungswidrigkeitenverfolgung beim Bundesamt für Justiz. Drittens die Erweiterung des meldepflichtigen Verstoßkatalogs um die EU-KI-Verordnung durch das KI-Modernisierungsgesetz. Alle drei Entwicklungen haben technische und organisatorische Folgen für die interne Meldestelle und damit für den Compliance Officer, der sie operativ verantwortet.

Welche Pflichten folgen aus dem KI-MIG für den Compliance Officer?

Zwei Ebenen. Erstens Kategorisierung und Bearbeitung KI-bezogener Meldungen: Das interne Meldeportal muss KI-Verstöße als eigenständige Meldekategorie aufnehmen und zur qualifizierten Bearbeitung bereitstellen. Zweitens Fachkundeaufbau: Meldestellen-Beauftragte müssen in Grundzügen verstehen, wie algorithmische Verzerrung, Hochrisiko-KI-Einstufungen und Transparenzpflichten der KI-Verordnung funktionieren. Ohne diese Fachkunde sind konkrete Meldungen weder erkennbar noch sachgerecht bearbeitbar.

Müssen Hinweisgebersysteme ab 2025 anonyme Meldungen zulassen?

Ja. § 16 Abs. 1 S. 4–6 HinSchG verpflichtet Meldestellen zur Entgegennahme und Bearbeitung anonymer Meldungen; § 42 Abs. 2 HinSchG setzt den Beginn der Pflicht auf den 1. Januar 2025. Die anonyme Rückkommunikation mit dem Hinweisgeber muss ebenfalls gewährleistet sein. Einfache E-Mail-Postfächer und physische Briefkästen erfüllen diese Anforderungen regelmäßig nicht. Webbasierte Meldeportale mit tokenbasiertem Rückkanal oder spezialisierte Dienstleister sind die üblichen Antworten.

Was sanktioniert das Bundesamt für Justiz ab 2025?

Das BfJ verfolgt Ordnungswidrigkeiten nach § 40 HinSchG: Nichteinrichtung der internen Meldestelle, Behinderung von Meldungen, Repressalien gegen Meldende, Verletzung der Vertraulichkeit, Nichtbearbeitung oder nicht fristgerechte Rückmeldung. Der Bußgeldrahmen reicht bis 50.000 Euro je Verstoß. Die Praxis ist seit 2025 systematisiert und beschleunigt; das BfJ führt standardisierte Verfahren mit digitaler Aktenführung durch. Anhörungsfristen sind regelmäßig knapper als in klassischen Bußgeldverfahren.

Welche Bußgelder drohen bei HinSchG-Verstößen 2026?

Nach § 40 HinSchG bis 50.000 Euro. Entscheidend ist allerdings die Kumulation mit § 130 OWiG: Wer die Meldestelle unzureichend betreibt, kann zusätzlich wegen Aufsichtspflichtverletzung adressiert werden, mit einem Rahmen bis 1 Million Euro gegen die Leitungsperson und bis 10 Millionen Euro gegen das Unternehmen nach § 30 OWiG. Die früher faktisch niedrige Sanktionspraxis hat sich mit der BfJ-Zentralisierung deutlich verschärft. Systematische Verstöße werden schneller erfasst und konsequenter geahndet.

Wie passe ich meine Meldestelle an die KI-Verordnung an?

Durch Erweiterung der Meldekategorien um KI-spezifische Tatbestände (algorithmische Verzerrung, unrechtmäßiges Datenscraping, fehlerhafte Risikomanagementsysteme, Transparenzverstöße), durch Schulung der Meldestellen-Beauftragten zu Grundlagen der KI-Verordnung und durch technische Vorkehrungen zum besonderen Schutz sensibler KI-Meldungen (Ende-zu-Ende-Verschlüsselung, Zugriffsbeschränkungen). Bei Hochrisiko-KI-Anwendungen im Unternehmen ist eine Anbindung an die KI-Compliance-Funktion sinnvoll, damit Meldungen auch sachgerecht eskaliert werden können.

Welche Verstöße gegen die EU-KI-Verordnung sind HinSchG-relevant?

Alle Verstöße gegen die Verordnung (EU) 2024/1689, die im nationalen Recht durch das KI-MIG in den HinSchG-Verstoßkatalog integriert worden sind. Typische Konstellationen: Nichterfüllung der Anforderungen an Hochrisiko-KI-Systeme (Risikomanagement, Datenqualität, technische Dokumentation), Verletzung der Transparenzpflichten gegenüber Betroffenen, unzulässiger Einsatz verbotener KI-Praktiken nach Art. 5 der Verordnung, Verstöße gegen die Anforderungen an KI-Grundlagenmodelle. Meldende zu diesen Sachverhalten genießen denselben Schutz wie Hinweisgeber zu Korruption oder Umweltdelikten.

Welche Schulungspflichten gelten für Meldestellen-Beauftragte 2026?

§ 15 Abs. 2 HinSchG verlangt „notwendige Fachkunde“. Der Maßstab ist mit den Erweiterungen 2025/2026 faktisch gewachsen: Kenntnis der HinSchG-Vorschriften inklusive § 42 Abs. 2, Vertrautheit mit der DSGVO-Schnittstelle (Art. 33, 35 DSGVO), Grundlagen der KI-Verordnung für betroffene Unternehmen, Verständnis der BfJ-Bußgeldpraxis und der Repressalienschutzmechanik nach § 36 HinSchG. Eine dokumentierte jährliche Auffrischung ist haftungsrechtlich empfehlenswert; in regulierten Sektoren ist sie Mindeststandard.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Mai 2026.