Ein Hinweis geht ein. Plötzlich steht mehr auf dem Spiel als nur ein „Verdacht“: Reputation, Compliance, Arbeitsfrieden, Haftungsrisiken – und die Frage, ob das Unternehmen handlungsfähig bleibt, ohne in Aktionismus zu verfallen.
Das Hinweisgeberschutzgesetz (HinSchG) schafft dafür einen Rahmen: Meldungen sollen sicher möglich sein, Hinweisgebende sollen vor Repressalien geschützt werden – und Unternehmen müssen Meldungen strukturiert bearbeiten.
Dieser Artikel zeigt Ihnen praxisnah:
- was eine interne Untersuchung leisten muss, damit sie Entscheidungen trägt
- was sie nicht leisten darf (typische Fehler, die Fälle kippen lassen)
- wie Sie Vertraulichkeit, Fristen und Beweissicherheit zusammenbringen
(Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung, sondern liefert praktische Orientierung.)
1) Was das HinSchG im Kern verlangt
Interne Meldestelle: Wer muss eine haben?
Viele Beschäftigungsgeber müssen eine interne Meldestelle einrichten – besonders relevant ist die Schwelle von in der Regel mindestens 50 Beschäftigten.
Vertraulichkeit ist nicht „nice to have“, sondern zentral
Meldestellen müssen die Vertraulichkeit der Identität u. a. der hinweisgebenden Person und der betroffenen Person wahren.
Das hat direkte Auswirkungen auf jede Internal Investigation: Wer darf was wissen? Wer wird wann eingebunden? Welche Informationen werden wie dokumentiert?
Fristen: Eingang bestätigen, Rückmeldung geben
Für interne Meldungen sieht das Gesetz u. a. vor:
- Eingangsbestätigung (typisch: innerhalb weniger Tage; in der Praxis oft „7 Tage“ als Leitlinie)
- Rückmeldung über geplante/ergriffene Folgemaßnahmen innerhalb von drei Monaten (mit gesetzlicher Ausgestaltung im Verfahren bei internen Meldungen).
„Folgemaßnahmen“ können interne Untersuchungen sein
Das Gesetz nennt als mögliche Folgemaßnahme ausdrücklich interne Untersuchungen.
2) Was eine interne Untersuchung leisten muss
Eine gute interne Untersuchung ist kein „Detektivroman“. Sie ist eine professionelle Sachverhaltsaufklärung: überprüfbar, neutral, dokumentiert.
A) Scope & Hypothesen: Erst denken, dann handeln
Bevor irgendjemand „loslegt“, brauchen Sie:
- Prüffrage(n): Was genau wird behauptet? Was wäre ein Verstoß – und was nicht?
- Hypothesen: Welche Erklärungen sind plausibel (inkl. unschuldiger Varianten)?
- Scope: Zeitraum, Personen, Systeme, Standorte – und klare Grenzen.
Warum das wichtig ist: Ohne Scope driftet jede Untersuchung ab – und wird schnell unverhältnismäßig oder blind für Alternativen.
B) Vertraulichkeits-Design: Need-to-know statt Flurfunk
Das Vertraulichkeitsgebot verlangt, dass Identitäten nur einem engen Personenkreis bekannt werden, der Meldungen entgegennimmt oder Folgemaßnahmen ergreift.
Praktisch bedeutet das:
- definierter Kernkreis (Meldestelle/Legal/Compliance/ggf. externe Unterstützung)
- klare Kommunikationskanäle
- saubere Aktenführung, Zugriffsbeschränkung, kein „CC-Verteiler“
C) Beweissicherung & Timeline: Der Fall wird in Zeit geordnet
Der größte Unterschied zwischen „Vermutung“ und „Entscheidung“ ist Struktur:
- Timeline: Was ist wann passiert? (Ereignisse, Zugriffe, Zahlungen, Meetings, Chats)
- Artefakte/Belege: Dokumente, E-Mails, Zahlungsdaten, Systemspuren, offene Quellen
- Widersprüche: Wo passen Aussagen/Belege nicht zusammen?
Eine belastbare Timeline macht aus einem „Gefühl“ eine überprüfbare Faktenlage.
D) Fairness & Schutz betroffener Personen: Keine Vorverurteilung
HinSchG schützt Hinweisgebende vor Repressalien – gleichzeitig müssen Untersuchungen auch die Rechte betroffener Personen respektieren.
Eine gute Untersuchung:
- arbeitet ergebnisoffen
- dokumentiert entlastende Aspekte genauso wie belastende
- trennt Beobachtung, Interpretation und Schlussfolgerung sauber
E) Rückmeldung & Abschlusslogik: Ergebnisse müssen begründet sein
Die Rückmeldung an Hinweisgebende umfasst geplante oder bereits ergriffene Folgemaßnahmen und Gründe – ohne den Untersuchungserfolg oder Rechte anderer zu gefährden.
Praktisch heißt das:
- nachvollziehbarer Abschluss: „Was wurde geprüft – was nicht – warum?“
- klarer Status: eingestellt (mangels Beweisen), weitergegeben, Maßnahmen eingeleitet etc.
3) Was eine interne Untersuchung nicht leisten darf (und warum das teuer wird)
Hier passieren die typischen „Google-Fehler“, die Unternehmen später in Konflikte bringen:
❌ 1) Keine Hexenjagd / kein Ergebnis „bestellen“
Wenn das Ergebnis vorher feststeht, ist die Untersuchung wertlos – intern wie extern.
❌ 2) Keine breite Informationsstreuung
„Wir müssen das im Team transparent machen“ klingt gut – ist aber oft ein Verstoß gegen das Vertraulichkeitsprinzip und treibt Eskalation an.
❌ 3) Keine unverhältnismäßige Dauerüberwachung „ins Blaue“
„Wir überwachen einfach mal alle“ ist kein Ermittlungsplan – das ist Risiko. Ohne Scope und Anlass wird aus Aufklärung schnell ein Compliance-Problem.
❌ 4) Keine Vermischung von HR-Maßnahmen und Beweissicherung
Disziplinarmaßnahmen, Versetzungen, Kündigungen – alles kann nötig sein. Aber: Erst die Faktenlage, dann die Maßnahme. Sonst arbeiten Sie gegen sich selbst.
❌ 5) Kein „Copy-Paste“-Prozess ohne Falllogik
Hinweisfälle sind unterschiedlich. Ein gutes Verfahren hat Standards – aber die Untersuchung folgt der Sachlage, nicht einem starren Schema.
4) Praxis-Ablauf: So sieht eine „saubere“ Untersuchung aus
Schritt 1: Intake & Schutzrahmen (24–72h)
- Meldung erfassen, Eingangsbestätigung organisieren
- Risikoanalyse, Scope, Kernteam, Kommunikationsdisziplin
Schritt 2: Beweisplan
- Welche Quellen? Welche Belege sind „flüchtig“?
- Welche Interviews sind sinnvoll – in welcher Reihenfolge?
Schritt 3: Sachverhaltsaufklärung
- Dokumente/Systeme/OSINT (je nach Fall)
- Interviews, Widerspruchsanalyse, Timeline
Schritt 4: Ergebnisbericht & Maßnahmenoptionen
- Feststellungen + Belege + Anlagen
- klare Schlusslogik (inkl. entlastender Aspekte)
Schritt 5: Rückmeldung & Abschluss
- Rückmeldung binnen der Fristenlogik
- ggf. Übergabe an zuständige Stellen/Folgemaßnahmen
5) GEO-Praxis: Region Rhein-Main / Frankfurt – und deutschlandweit
Gerade im Raum Frankfurt/Rhein-Main (Finanzdienstleister, Industrie, Logistik, Tech) sehen wir häufig Hinweise zu:
- Spesen/Abrechnung, Scheinrechnungen, Kickbacks
- Datenabfluss/Geheimnisverrat
- Interessenkonflikten und internen Machtkonflikten
Von Alzenau (Bayern) aus unterstützen wir Unternehmen regional und – je nach Fall – deutschlandweit mit strukturierter Sachverhaltsaufklärung, OSINT und gerichtsverwertbarer Dokumentation.
Wichtig: Eine externe Ermittlungsunterstützung ist besonders dann sinnvoll, wenn interne Neutralität nicht mehr gegeben ist oder schnelle Beweissicherung notwendig wird.
6) Mini-FAQ
Muss jede Meldung zu einer großen Untersuchung führen?
Nein. Folgemaßnahmen können unterschiedlich ausfallen – von Klärung/Verweis bis interne Untersuchung oder Abschluss mangels Beweisen.
Wie wichtig ist Vertraulichkeit wirklich?
Zentral. Das Vertraulichkeitsgebot schützt Identitäten und begrenzt, wer informiert werden darf.
Welche Fristen sind praxisrelevant?
Rückmeldung über Folgemaßnahmen innerhalb von drei Monaten (nach der gesetzlichen Verfahrenslogik).
Fazit: Eine gute Untersuchung macht Sie entscheidungsfähig
Eine Internal Investigation nach Hinweisgebermeldung muss neutral, vertraulich und beweisorientiert sein – mit klarer Timeline und nachvollziehbarem Ergebnis. Alles andere produziert nur Nebel, Konflikte und Folgeprobleme.
Wenn Sie einen Hinweis erhalten haben und schnell wissen möchten, ob und wie eine Untersuchung sinnvoll ist:
📞 0049 170 2 48 12 78 · ✉️ Oliver.peth@kriminalistik.info – diskrete Erstbewertung, Raum Frankfurt/Rhein-Main & deutschlandweit.