https://ethicsportal.eu/de/blog/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.deFri, 24 Apr 2026 18:25:23 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/de/blog/best-whistleblower-software/Tue, 14 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/best-whistleblower-software/Ein unabhängiger Vergleich der führenden Plattformen für Hinweisgebermeldungen im Jahr 2026 --- Preise, Funktionen und für wen sich welches Tool eignet.<h1 id="beste-hinweisgebersoftware-2026-ein-ehrlicher-vergleich"> Beste Hinweisgebersoftware 2026: ein ehrlicher Vergleich <a href="#beste-hinweisgebersoftware-2026-ein-ehrlicher-vergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Wer Hinweisgebersoftware zur Umsetzung der EU-Richtlinie 2019/1937 sucht, ist wahrscheinlich schon einem Muster begegnet: Jeder Anbieter veröffentlicht einen „Beste Hinweisgebersoftware"-Artikel — und platziert sich selbst auf Platz eins. Das machen wir nicht. Dies ist ein ehrlicher, direkter Vergleich der Plattformen, die wir vor der Entwicklung von EthicsPortal evaluiert haben, plus EthicsPortal selbst.</p> <p>Wir haben Preistransparenz, Einrichtungsgeschwindigkeit, EU-Hosting, Funktionstiefe und die Eignung für kleine bis mittlere Unternehmen im Vergleich zu Großkonzernen geprüft.</p> <hr> <h2 id="vergleichstabelle-in-kürze"> Vergleichstabelle in Kürze <a href="#vergleichstabelle-in-k%c3%bcrze" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Plattform</th> <th>Einstiegspreis</th> <th>Kostenlose Testphase</th> <th>EU-Hosting</th> <th>Einrichtungszeit</th> <th>Geeignet für</th> </tr> </thead> <tbody> <tr> <td>EthicsPortal</td> <td>49 €/Monat pauschal</td> <td>Nein</td> <td>Ja (Deutschland)</td> <td>Minuten</td> <td>KMU, schnelle Compliance</td> </tr> <tr> <td>Hintbox</td> <td>49–149+ €/Monat (zzgl. USt.)</td> <td>Ja</td> <td>Ja (Deutschland)</td> <td>Tage</td> <td>Deutschsprachiger Markt</td> </tr> <tr> <td>LegalTegrity</td> <td>49–166 €/Monat</td> <td>Nein</td> <td>Ja (Deutschland)</td> <td>Tage</td> <td>Deutsche KMU, Telefon inklusive</td> </tr> <tr> <td>Vispato</td> <td>79 €/Monat pauschal</td> <td>Nein</td> <td>Ja (Deutschland)</td> <td>Tage</td> <td>DACH-Pauschalpreis-Alternative</td> </tr> <tr> <td>DigitalPA (Legality Whistleblowing)</td> <td>Ab 29 €/Monat</td> <td>Nein</td> <td>Ja (Italien)</td> <td>Tage</td> <td>Italienischer Markt, ISO 37001/37002</td> </tr> <tr> <td>ithikios</td> <td>Ab 29 €/Monat</td> <td>Ja</td> <td>Ja (Spanien)</td> <td>Stunden</td> <td>Spanische KMU, modulare Compliance</td> </tr> <tr> <td>Canal Etico App</td> <td>96 €/Monat pauschal</td> <td>Nein</td> <td>Ja (Spanien)</td> <td>Tage</td> <td>Spanische Ley 2/2023-Compliance</td> </tr> <tr> <td>Whistlelink</td> <td>79–299 €/Monat</td> <td>Ja (30 Tage)</td> <td>Ja (Schweden)</td> <td>Tage</td> <td>Nordische Unternehmen, Mittelstand</td> </tr> <tr> <td>Sygnanet</td> <td>4.000–10.000 zł/Jahr</td> <td>Ja</td> <td>Ja (Polen)</td> <td>Stunden</td> <td>Polnischer Markt</td> </tr> <tr> <td>Trusty Compliance</td> <td>Guthabenbasiert</td> <td>Ja (7 Tage)</td> <td>Ja (Schweiz)</td> <td>Stunden</td> <td>Schweiz/DACH, breitere Compliance</td> </tr> <tr> <td>Formalize (whistleblowersoftware.com)</td> <td>Individuell (Angebot anfragen)</td> <td>Ja (14 Tage)</td> <td>Ja (Dänemark)</td> <td>Tage</td> <td>EU-Mittelstand</td> </tr> <tr> <td>FaceUp</td> <td>Individuell (Angebot anfragen)</td> <td>Nein</td> <td>Ja (Tschechien)</td> <td>Stunden</td> <td>Schulen, mehrsprachige Organisationen</td> </tr> <tr> <td>Whispli</td> <td>Individuell (~3.000+ €/Jahr)</td> <td>Nein</td> <td>Ja (optional)</td> <td>Wochen</td> <td>Konzerne, komplexe Workflows</td> </tr> <tr> <td>SpeakUp (People Intouch)</td> <td>~3.000 €/Jahr</td> <td>Nein</td> <td>Ja (Niederlande)</td> <td>Tage</td> <td>Mittlere bis große EU-Unternehmen</td> </tr> <tr> <td>EQS Integrity Line</td> <td>Individuell (~3.000+ €/Jahr)</td> <td>Ja (Essential)</td> <td>Ja</td> <td>Wochen</td> <td>Großkonzerne</td> </tr> <tr> <td>NAVEX Global</td> <td>Individuell (5.000+ €/Jahr)</td> <td>Nein</td> <td>Ja (optional)</td> <td>Wochen</td> <td>Große US-/EU-Konzerne</td> </tr> </tbody> </table> <hr> <h2 id="detaillierte-bewertungen"> Detaillierte Bewertungen <a href="#detaillierte-bewertungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="eqs-integrity-line"> EQS Integrity Line <a href="#eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EQS ist das Schwergewicht europäischer Compliance-Software. Die Integrity Line wird von Banken, Versicherern und börsennotierten Unternehmen in der gesamten EU eingesetzt.</p> <p><strong>Stärken:</strong> Tiefe Integration mit breiteren GRC-Suiten (Governance, Risk, Compliance). Hervorragende Audit-Protokolle. Starker Markenname bei Konzern-Compliance-Teams. Unterstützt mehr als 70 Sprachen.</p> <p><strong>Schwächen:</strong> Preise intransparent — auf der Website ist keine Zahl zu finden. Rechnen Sie mit mehreren Tausend Euro pro Jahr und einem vollständigen Vertriebsprozess. Die Einführung dauert typischerweise Wochen mit eigenem Onboarding. Für ein Unternehmen mit 50 Beschäftigten überdimensioniert.</p> <p><strong>Geeignet für:</strong> Großkonzerne (ab 500 Beschäftigten) in stark regulierten Branchen, die ein vollständiges GRC-Ökosystem benötigen.</p> <h3 id="formalize-whistleblowersoftwarecom"> Formalize (whistleblowersoftware.com) <a href="#formalize-whistleblowersoftwarecom" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Formalize, vermarktet als WhistleblowerSoftware.com, ist eine dänische Plattform mit einer 15-Millionen-Euro-Series-A-Finanzierung und mehr als 500 Beratungspartnern, darunter PwC und Baker McKenzie. Die Marke wurde umbenannt und deckt nun auch breitere Compliance-Bereiche ab (NIS2, DORA, ISO 27001).</p> <p><strong>Stärken:</strong> Platz 1 „Top Rated" auf G2 (4,9/5, 157 Bewertungen). Mehr als 80 Sprachen. ISO 27001 und ISAE 3000 zertifiziert. Starkes Partnerökosystem. 14-tägige kostenlose Testphase.</p> <p><strong>Schwächen:</strong> Preise werden nicht mehr veröffentlicht — individuelles Angebot erforderlich. Die Expansion über Whistleblowing hinaus in NIS2/DORA-Compliance könnte den Fokus verwässern. Einrichtung umfasst einen Demo-/Vertriebsprozess, keine sofortige Selbstbedienung.</p> <p><strong>Geeignet für:</strong> Mittelgroße EU-Unternehmen (50–500 Beschäftigte), die ein ausgereiftes Produkt wollen und mit Pro-Kopf-Preisen leben können.</p> <h3 id="whistlelink"> Whistlelink <a href="#whistlelink" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine schwedische Plattform mit starker Präsenz in den nordischen Ländern. Whistlelink positioniert sich als einfach zu bedienen und EU-konform.</p> <p><strong>Stärken:</strong> In mehr als 50 Sprachen verfügbar. Gutes Fallmanagement. In Schweden gehostet. Übersichtliche Oberfläche für Hinweisgeber:innen. Alle Preisstufen enthalten denselben Funktionsumfang. 30-tägige kostenlose Testphase.</p> <p><strong>Schwächen:</strong> Einstieg bei 79 €/Monat (jährliche Abrechnung) ist angemessen, aber über den Pauschalpreis-Optionen. Pro-Kopf-Preise skalieren auf bis zu 299 €/Monat für größere Organisationen. Über 1.000 Beschäftigte: Vertriebskontakt erforderlich.</p> <p><strong>Geeignet für:</strong> Nordische und nordeuropäische Unternehmen, die einen regionalen Anbieter mit solider Sprachunterstützung suchen.</p> <h3 id="faceup"> FaceUp <a href="#faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>FaceUp ist eine in Tschechien gegründete Hinweisgeberplattform, die ihren ursprünglichen Fokus auf Schulen zur Unternehmens-Compliance ausgeweitet hat und Organisationen in über 70 Ländern betreut. Die Plattform unterstützt 113 Sprachen und bietet eine mobile App für Hinweisgeber:innen.</p> <p><strong>Stärken:</strong> In 113 Sprachen verfügbar — einer der höchsten Werte am Markt. Mobile App für Hinweisgeber:innen. ISO 27001 zertifiziert. Starke Präsenz im Bildungssektor neben der Unternehmens-Compliance.</p> <p><strong>Schwächen:</strong> Preise nicht veröffentlicht — alle Pakete zeigen „Angebot anfordern", obwohl Tarifnamen (Starter, Professional, Enterprise) genannt werden. Preise in US-Dollar, was ein Währungsrisiko für europäische Unternehmen bedeutet. Der Ursprung im Schulbereich zeigt sich in Teilen der UX.</p> <p><strong>Geeignet für:</strong> Organisationen, die 113 Sprachen benötigen, eine mobile Melde-App wollen oder sowohl im Bildungs- als auch im Unternehmenssektor tätig sind.</p> <h3 id="navex-global"> NAVEX Global <a href="#navex-global" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>NAVEX ist der Platzhirsch im Bereich Ethik und Compliance, vor allem in Nordamerika, zunehmend aber auch in Europa. Das Produkt EthicsPoint existiert seit Jahrzehnten.</p> <p><strong>Stärken:</strong> Riesiger Funktionsumfang. Benchmark-Daten von Tausenden Kund:innen. Hotline-Dienste (telefonische Meldung). Starke Analysefunktionen.</p> <p><strong>Schwächen:</strong> Konzernpreise — individuelle Angebote deutlich oberhalb von 5.000 €/Jahr. Lange Implementierungszyklen. Die Plattform wirkt im Vergleich zu neueren Anbietern veraltet. Die nordamerikanische DNA führt dazu, dass EU-spezifische Anforderungen teils aufgesetzt wirken.</p> <p><strong>Geeignet für:</strong> Große multinationale Konzerne (ab 1.000 Beschäftigten), die einen einzigen Anbieter für ihr gesamtes Ethik- und Compliance-Programm inklusive Hotlines wünschen.</p> <h3 id="whispli"> Whispli <a href="#whispli" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ein in Australien gegründetes Unternehmen, das nach Europa expandiert hat. Whispli setzt auf anonyme Zwei-Wege-Kommunikation.</p> <p><strong>Stärken:</strong> Starkes anonymes Messaging. Gute mobile Nutzung. Unterstützt Sprach- und Videomeldungen. Flexibler Workflow-Builder.</p> <p><strong>Schwächen:</strong> Individuelle Preise ohne öffentliche Zahlen — Berichten zufolge ab etwa 3.000 €/Jahr. Einführung erfordert Onboarding-Calls und Konfiguration. Geringere europäische Präsenz im Vergleich zu EU-nativen Anbietern.</p> <p><strong>Geeignet für:</strong> Organisationen, die Wert auf anonyme Zwei-Wege-Kommunikation und multimediale Meldungen (Audio, Video) legen.</p> <h3 id="speakup-people-intouch"> SpeakUp (People Intouch) <a href="#speakup-people-intouch" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine niederländische Plattform, die bereits vor Inkrafttreten der EU-Richtlinie aktiv war. SpeakUp bietet sowohl Software als auch Managed Services (ausgelagerte Fallbearbeitung).</p> <p><strong>Stärken:</strong> Lange Erfolgsbilanz. Möglichkeit, die Fallbearbeitung vollständig auszulagern. In den Niederlanden gehostet. Telefonmeldung inklusive.</p> <p><strong>Schwächen:</strong> Einstieg ab 3.000 €/Jahr für Unternehmen unter 1.000 Beschäftigten, individuell für größere. Das Managed-Services-Modell bedeutet, dass Sie für Menschen und nicht nur für Software zahlen. Die Oberfläche ist funktional, aber nicht modern.</p> <p><strong>Geeignet für:</strong> Mittlere bis große EU-Unternehmen, die die Option suchen, die Fallbearbeitung an Dritte auszulagern.</p> <h3 id="hintbox"> Hintbox <a href="#hintbox" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine deutsche Plattform (Teil der lawcode Suite) mit über 1.000 Kund:innen, darunter Rewe, s.Oliver und FC Bayern. ISO 27001 zertifiziert, auf Hetzner in Deutschland gehostet. Expandiert über Whistleblowing hinaus in LkSG- und CSRD-Compliance.</p> <p><strong>Stärken:</strong> Ausgereiftes Produkt mit großer Kundenbasis. ISO 27001 zertifiziert. Über 30 Sprachen mit KI-Übersetzung. 2FA, Entfernung von Dateimetadaten, Virenscanning inklusive. Einstieg bei 49 €/Monat — der günstigste Tarif neben EthicsPortal. Kostenlose Testphase verfügbar.</p> <p><strong>Schwächen:</strong> Pro-Kopf-Preise skalieren auf 149+ €/Monat für größere Unternehmen. Zusatzkosten summieren sich: Voice-Bot (+49 €/Monat), E-Mail-Integration (+29 €/Monat), eigene Domain (+29 €/Monat). DACH-zentriert — geringe Präsenz außerhalb deutschsprachiger Märkte. Die Ausweitung auf mehrere Compliance-Rahmenwerke könnte den Whistleblowing-Fokus verwässern.</p> <p><strong>Geeignet für:</strong> Deutsche, österreichische und Schweizer Unternehmen, die einen lokalen Anbieter mit ISO 27001, tiefem HinSchG-Know-how und nachweisbarer Erfolgsbilanz suchen.</p> <h3 id="legaltegrity"> LegalTegrity <a href="#legaltegrity" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine Frankfurter Plattform, gegründet von Dr. Thomas Altenbach, gehostet auf der Open Telekom Cloud der Deutschen Telekom. Positioniert für deutsche KMU mit transparenter Tarifstaffelung.</p> <p><strong>Stärken:</strong> Telefonischer Meldekanal in jedem Tarif enthalten — auch im Essential-Tarif für 49 €/Monat. Mehr als 40 Sprachen verfügbar. Gehostet auf der Open Telekom Cloud (ISO-27001-zertifizierte Infrastruktur). 3-monatige Geld-zurück-Garantie. Das Add-on OmbuTegrity bietet einen externen Ombudsdienst für Unternehmen, die eine unabhängige Meldestelle benötigen.</p> <p><strong>Schwächen:</strong> Essential-Tarif begrenzt Individualisierung (Standardformular, LegalTegrity-Branding, 2 Admin-Konten). Zusätzliche Sprachen kosten jeweils 29 €/Monat über die zwei enthaltenen hinaus. Keine öffentliche API. Primär auf den deutschen Markt ausgerichtet.</p> <p><strong>Geeignet für:</strong> Deutsche und DACH-KMU (unter 1.000 Beschäftigte), die Telefonmeldungen zu einem wettbewerbsfähigen Preis enthalten haben möchten.</p> <h3 id="vispato"> Vispato <a href="#vispato" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine deutsche Hinweisgeberplattform aus der HR-WORKS-Gruppe, gehostet auf DATEV-verwalteten Servern. Vispato fällt durch Pauschalpreise unabhängig von der Unternehmensgröße auf.</p> <p><strong>Stärken:</strong> Pauschal 79 €/Monat mit unbegrenzten Nutzer:innen, Fällen und Speicher — keine Pro-Kopf-Skalierung. 18 Sprachen. ISO-27001-zertifiziertes Hosting (DATEV). WCAG-2.1-AA-Barrierefreiheit. Keine Einrichtungskosten, kein Beratungs-Upselling. Mindestlaufzeit 12 Monate.</p> <p><strong>Schwächen:</strong> Keine kostenlose Testphase — Demo vor Vertragsabschluss erforderlich. Keine öffentliche API. 18 Sprachen sind weniger als bei den meisten Mittelstandsanbietern. Enterprise-Funktionen (SSO, eigene Domain, individuelles Branding) erfordern einen individuell angebotenen Enterprise-Tarif.</p> <p><strong>Geeignet für:</strong> DACH-Unternehmen jeder Größe, die vorhersehbare Pauschalpreise ohne Pro-Kopf-Staffel oder Zusatzgebühren wünschen.</p> <h3 id="digitalpa-legality-whistleblowing"> DigitalPA (Legality Whistleblowing) <a href="#digitalpa-legality-whistleblowing" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine italienische Plattform von DigitalPA mit Büros in Cagliari, Mailand, Rom und Barcelona. Hält vier ISO-Zertifizierungen (27001, 37001, 37002, 37301) — mehr als jede andere Plattform in diesem Vergleich.</p> <p><strong>Stärken:</strong> Einstieg bei 29 €/Monat — der günstigste veröffentlichte Preis in diesem Vergleich. Zertifiziert nach ISO 27001, 37001 (Anti-Korruption), 37002 (Whistleblowing-Management) und 37301 (Compliance-Management). Multi-Channel-Einreichung einschließlich Telefonmeldungen und persönlichen Gesprächsanfragen. Mobile App. KI-Übersetzung zwischen bearbeitender und hinweisgebender Person. Über 1.000 Kund:innen.</p> <p><strong>Schwächen:</strong> Preise oberhalb des 29-€-KMU-Tarifs erfordern ein individuelles Angebot. Nur jährliche Abrechnung. Italienischer Marktfokus. Keine öffentliche API.</p> <p><strong>Geeignet für:</strong> Italienische Unternehmen und Organisationen, die eine lokal zertifizierte Plattform benötigen, insbesondere öffentliche Stellen nach D.Lgs. 24/2023.</p> <h3 id="ithikios"> ithikios <a href="#ithikios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine spanische modulare Compliance-Suite von Digital Products Development SL. Whistleblowing ist eines von sechs Modulen neben Policy-, Incident-, Rights-, Third-Party- und Trust-Center-Management.</p> <p><strong>Stärken:</strong> Einstieg bei 29 €/Monat. ISO 27001 zertifiziert. Über 1.000 Unternehmen in 10 Ländern. Kostenlose Testphase verfügbar. 7 Oberflächensprachen (ES, EN, FR, DE, IT, PT, CA). Modular: Meldekanal jetzt kaufen, NIS2-/DORA-/Policy-Module später hinzufügen. Partnerprogramm für Anwält:innen und Berater:innen.</p> <p><strong>Schwächen:</strong> Primär auf den spanischen Markt ausgerichtet. Begrenzt auf 7 Sprachen — am wenigsten unter den Multi-Markt-Anbietern. Keine öffentliche API.</p> <p><strong>Geeignet für:</strong> Spanische KMU, die Ley-2/2023-Compliance benötigen und perspektivisch Policy-Management, Incident-Management oder Drittparteien-Risikomodule ergänzen möchten.</p> <h3 id="canal-etico-app"> Canal Etico App <a href="#canal-etico-app" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine spanische Plattform von Smart Dev Technology mit pauschalem Preis von 96 €/Monat.</p> <p><strong>Stärken:</strong> Pauschalpreis unabhängig von der Unternehmensgröße. Unbegrenzte Meldungen. Schriftliche und sprachliche Meldekanäle. Anonyme bidirektionale Kommunikation. Keine IP-Speicherung, verschlüsselte Inhalte. Einführung in 1–2 Werktagen.</p> <p><strong>Schwächen:</strong> Keine veröffentlichte ISO-27001-Zertifizierung. Support nur auf Spanisch. Keine öffentliche API. Höherer Preispunkt als ithikios und DigitalPA für denselben spanischen Markt.</p> <p><strong>Geeignet für:</strong> Spanische Unternehmen, die einen einfachen Pauschalpreis für Ley-2/2023-Compliance ohne Pro-Kopf-Staffel wünschen.</p> <h3 id="sygnanet"> Sygnanet <a href="#sygnanet" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine polnische Plattform von SpecFile Project Sp. z o.o. Speziell für das polnische Hinweisgeberschutzgesetz entwickelt (in Kraft seit 25. September 2024).</p> <p><strong>Stärken:</strong> Ende-zu-Ende-Verschlüsselung, Anbieter hat keinen Zugriff auf Meldeinhalte. Meldeformular in 12 Sprachen. Kostenlose Testphase. Preise in polnischen Zloty (4.000–10.000 zł/Jahr). Öffentliche Stellen, die die interne Meldelizenz erwerben, erhalten einen externen Meldekanal kostenlos dazu. Regelmäßige Penetrationstests.</p> <p><strong>Schwächen:</strong> Polnischer Marktfokus. Preise nur in PLN. Keine veröffentlichte ISO-27001-Zertifizierung. Keine öffentliche API. Admin-Panel auf 4 Sprachen begrenzt (PL, EN, DE, FR).</p> <p><strong>Geeignet für:</strong> Polnische Organisationen, die einen lokalen Anbieter gemäß dem Gesetz vom 14. Juni 2024 benötigen.</p> <h3 id="trusty-compliance"> Trusty Compliance <a href="#trusty-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine Schweizer Plattform (Trusty AG, Hünenberg, Zug), die Whistleblowing als ein Modul in einer breiteren Compliance-Suite für Risiko-Screening, EUDR, Policy-Management und Schulung anbietet.</p> <p><strong>Stärken:</strong> Über 4.000 Unternehmen. 7-tägige kostenlose Testphase. Guthabenbasierte Preisgestaltung — Guthaben kaufen und auf beliebige Trusty-Produkte verteilen. Schnelle Einrichtung (Anbieterangabe: unter 5 Minuten). 6 Oberflächensprachen. Breiter Compliance-Umfang (EUDR, NIS2, Drittparteien-Risiko, Schulung) zusätzlich zu Whistleblowing.</p> <p><strong>Schwächen:</strong> Keine veröffentlichte ISO-27001-Zertifizierung. Guthabenbasierte Preise erschweren Kostenvergleiche. Whistleblowing ist eines von vielen Modulen — Breite kann zulasten der Tiefe gehen. Keine öffentliche API.</p> <p><strong>Geeignet für:</strong> Schweizer und DACH-Unternehmen, die eine einzige Plattform für Whistleblowing, Risiko-Screening, EUDR und Compliance-Schulung suchen.</p> <h3 id="ethicsportal"> EthicsPortal <a href="#ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal ist unser Produkt. Wir haben es entwickelt, um volle EU-Richtlinie-2019/1937-Compliance mit transparenter Preisgestaltung und sofortiger Inbetriebnahme zu liefern.</p> <p><strong>Stärken:</strong> Pauschal 49 €/Monat unabhängig von der Beschäftigtenzahl. Keine Vertriebsanrufe — registrieren und Portal in Minuten konfigurieren. EU-gehostet. Deckt die Kernanforderungen der Richtlinie ab: verschlüsselte anonyme Meldungen, Zwei-Wege-Nachrichten per Zugangscode, Fallmanagement, Fristenverfolgung für 7-Tage-Eingangsbestätigung und 3-Monats-Rückmeldung, QR-Code-Generierung und mehrsprachige Portale. Offene, transparente Preise.</p> <p><strong>Schwächen:</strong> Keine Telefon-Hotline. Keine ausgelagerte Fallbearbeitung. Begrenzte Integrationen (noch keine HRIS-Konnektoren). Nicht geeignet für Organisationen, die eine vollständige GRC-Suite benötigen.</p> <p><strong>Geeignet für:</strong> KMU, Start-ups und mittelständische Unternehmen (50–1.000 Beschäftigte), die Richtlinien-Compliance ohne Konzern-Komplexität oder -Preise benötigen.</p> <hr> <h2 id="unsere-auswahlmethode"> Unsere Auswahlmethode <a href="#unsere-auswahlmethode" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir haben jede Plattform anhand von fünf Kriterien bewertet:</p> <ol> <li><strong>Preistransparenz.</strong> Finden Sie den Preis auf der Website, ohne eine Demo anfordern zu müssen? Zusatzpunkte für Pauschalpreise.</li> <li><strong>Einrichtungsgeschwindigkeit.</strong> Wie schnell kommt eine nicht-technische Compliance-Verantwortliche von der Anmeldung zum funktionierenden Meldekanal?</li> <li><strong>Abdeckung der EU-Richtlinie.</strong> Unterstützt die Plattform nativ die Kernanforderungen der Richtlinie 2019/1937 — anonyme Meldungen, Zwei-Wege-Kommunikation, Fristen, Vertraulichkeit?</li> <li><strong>Datenhaltung.</strong> Werden die Daten standardmäßig in der EU gehostet oder ist das ein Aufpreis?</li> <li><strong>Passung zur Zielgruppe.</strong> Ist die Plattform für Ihre Unternehmensgröße konzipiert oder zahlen Sie für Funktionen, die für Organisationen mit zehnfacher Größe gebaut wurden?</li> </ol> <p>Wir haben, soweit möglich, öffentlich verfügbare Preise verwendet und Vertriebsteams kontaktiert, wenn Preise nicht veröffentlicht waren. Die genannten Preise gelten für Q1 2026 und können je nach Region, Vertragslaufzeit und Verhandlung abweichen.</p> <p>Keine Affiliate-Links. Keine Sponsoring-Deals. EthicsPortal ist entstanden, weil wir eine Lücke gesehen haben — dieser Artikel erklärt, wo die Lücke liegt und wo andere Werkzeuge für Ihre Situation die bessere Wahl sein können.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/top-whistleblower-software-eu-directive-2019-1937/Tue, 14 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/top-whistleblower-software-eu-directive-2019-1937/Gerankter Vergleich von Hinweisgeberplattformen, die die Anforderungen der EU-Richtlinie 2019/1937 erfüllen. Bewertet nach Abdeckung der Art. 8--16, Preis, EU-Hosting und Einrichtungsgeschwindigkeit.<h1 id="top-hinweisgebersoftware-für-die-eu-richtlinie-20191937"> Top-Hinweisgebersoftware für die EU-Richtlinie 2019/1937 <a href="#top-hinweisgebersoftware-f%c3%bcr-die-eu-richtlinie-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Die EU-Richtlinie 2019/1937 ist inzwischen in allen 27 Mitgliedstaaten in nationales Recht umgesetzt (z. B. <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien) und verpflichtet jede Organisation ab 50 Beschäftigten, einen sicheren internen Meldekanal zu betreiben. Das Gesetz ist konkret: schriftliche und mündliche Meldungen entgegennehmen, Vertraulichkeit wahren, Eingang binnen 7 Tagen bestätigen, binnen 3 Monaten Rückmeldung geben und Unterlagen führen, ohne die Identität der hinweisgebenden Person zu offenbaren.</p> <p>Merkwürdig am Markt: Hinweisgebermeldung ist ein einfaches Werkzeug. Eine hinweisgebende Person reicht eine Meldung ein. Eine bearbeitende Person liest sie und antwortet. Das System verfolgt Fristen und führt ein Audit-Protokoll. Das ist das ganze Produkt.</p> <p>Trotzdem verstecken die meisten Anbieter ihre Preise hinter „Jetzt Demo anfordern"-Formularen, verlangen wochenlange Vertriebsprozesse und blähen ihren Funktionsumfang mit KI-Analysen, Sentiment-Analyse und weiteren Ergänzungen auf, die mit den tatsächlichen Anforderungen der Richtlinie nichts zu tun haben. Die Folge: Die Compliance-Verantwortliche eines 100-Personen-Unternehmens sitzt in einem Vertriebsgespräch für ein Tool, dessen Einrichtung zehn Minuten dauern sollte.</p> <p>Dieser Artikel rankt die Top-Hinweisgebersoftware gezielt danach, wie gut jede Plattform die gesetzlichen Anforderungen der Richtlinie erfüllt — nicht nach Markenbekanntheit, KI-Funktionsumfang oder Wirkung der Vertriebsfolien.</p> <hr> <h2 id="bewertungskriterien"> Bewertungskriterien <a href="#bewertungskriterien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede Plattform wurde an den sechs Kernanforderungen der Richtlinie 2019/1937 gemessen:</p> <table> <thead> <tr> <th>Anforderung</th> <th>Artikel</th> <th>Was das Gesetz verlangt</th> </tr> </thead> <tbody> <tr> <td>Sicherer Meldekanal</td> <td>Art. 8</td> <td>Verschlüsselt, für alle Beschäftigten zugänglich, ohne Konto</td> </tr> <tr> <td>Vertraulichkeit</td> <td>Art. 16</td> <td>Identität ohne Zustimmung nicht offengelegt, Zugang nur für autorisierte Personen</td> </tr> <tr> <td>Eingangsbestätigung</td> <td>Art. 9 Abs. 1 lit. b</td> <td>Schriftliche Bestätigung innerhalb von 7 Tagen</td> </tr> <tr> <td>Rückmeldefrist</td> <td>Art. 9 Abs. 1 lit. f</td> <td>Substanzielle Rückmeldung innerhalb von 3 Monaten</td> </tr> <tr> <td>Zwei-Wege-Kommunikation</td> <td>Art. 9 Abs. 1 lit. b</td> <td>Kommunikation mit der hinweisgebenden Person, auch bei Anonymität</td> </tr> <tr> <td>Dokumentation</td> <td>Art. 18</td> <td>Meldungen sicher speichern, gesetzeskonform aufbewahren, bei Bedarf löschbar</td> </tr> </tbody> </table> <p>Weitere praktische Kriterien: Preistransparenz, EU-Datenhaltung, Einrichtungsgeschwindigkeit und ob ein Vertriebsgespräch erforderlich ist.</p> <hr> <h2 id="das-ranking"> Das Ranking <a href="#das-ranking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-ethicsportal--am-besten-für-kmu-mit-bedarf-an-schneller-erschwinglicher-compliance"> 1. EthicsPortal — am besten für KMU mit Bedarf an schneller, erschwinglicher Compliance <a href="#1-ethicsportal--am-besten-f%c3%bcr-kmu-mit-bedarf-an-schneller-erschwinglicher-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> EthicsPortal wurde gezielt für die EU-Richtlinie 2019/1937 gebaut. Jede Funktion ordnet sich einem Artikel zu.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Verschlüsseltes Webportal, eigene URL pro Organisation, keine App nötig</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Kein IP-Logging, Entfernung von Dateimetadaten (EXIF, GPS, Autor), verschlüsselte Speicherung</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Automatische Fristenverfolgung mit Benachrichtigung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Automatische Fristenverfolgung mit Überschreitungswarnung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Anonymer Nachrichtenverlauf per Zugangscode — Namen der Bearbeitenden nie offengelegt</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Unveränderliches Audit-Protokoll, PDF-Export für Prüfer:innen</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Pauschal 49 €/Monat. Keine Pro-Kopf-Gebühren, keine Add-ons. <strong>EU-Hosting:</strong> Ja — Hetzner, Nürnberg, Deutschland. <strong>Einrichtungszeit:</strong> Minuten. Selbstbedienungs-Registrierung, kein Vertriebsanruf.</p> <p><strong>Warum Platz eins:</strong> Hinweisgebermeldung ist kein komplexes Problem. Die Richtlinie sagt genau, was das Tool tun muss, und EthicsPortal tut genau das — nicht mehr, nicht weniger. Keine KI-Sentiment-Analyse, kein „Risk Scoring", keine Funktionen, die nur einen höheren Preis rechtfertigen sollen. Vollständige Art.-8–18-Compliance für 49 €/Monat, auf der Website sichtbar, ohne Vertriebsgespräch.</p> <p>Die Abstriche: EthicsPortal ist neuer und hat derzeit noch keine ISO-27001-Zertifizierung und keine Telefon-Hotline.</p> <p>EthicsPortal ist unser Produkt. Wir haben es entwickelt, um volle Richtlinien-Compliance mit transparenter Preisgestaltung und sofortiger Inbetriebnahme zu liefern.</p> <hr> <h3 id="2-formalize-whistleblowersoftwarecom--am-besten-für-mittelstand-mit-wunsch-nach-ausgereiftem-produkt"> 2. Formalize (WhistleblowerSoftware.com) — am besten für Mittelstand mit Wunsch nach ausgereiftem Produkt <a href="#2-formalize-whistleblowersoftwarecom--am-besten-f%c3%bcr-mittelstand-mit-wunsch-nach-ausgereiftem-produkt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> In Dänemark gebaut, mit der EU-Richtlinie als primärer Designtreiber.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Webportal mit Verschlüsselung</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Zugriffskontrollen, Verschlüsselung</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — automatisierte Verfolgung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — automatisierte Verfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Individuelles Angebot erforderlich. Früher Pro-Kopf-Preise veröffentlicht; nicht mehr öffentlich. <strong>EU-Hosting:</strong> Ja — Dänemark. <strong>Einrichtungszeit:</strong> Tage — Demo-/Vertriebsprozess erforderlich.</p> <p><strong>Warum hier platziert:</strong> Starke Richtlinien-Compliance, ISO 27001 und ISAE 3000 zertifiziert, Platz 1 auf G2 (4,9/5, 157 Bewertungen), mehr als 80 Sprachen. Formalize veröffentlichte früher Preise auf der Website — inzwischen nicht mehr, was Rückschlüsse auf die Ausrichtung zulässt. Sie müssen ein Angebot anfordern und einen Vertriebsprozess durchlaufen, um den Preis zu erfahren. Wenn Sie Zertifizierungen und ein Partnerökosystem (PwC, Baker McKenzie) brauchen, ist Formalize eine starke Wahl — seien Sie aber bereit, Preise zu verhandeln, die Sie vorab nicht sehen.</p> <hr> <h3 id="3-hintbox--am-besten-für-den-deutschsprachigen-markt"> 3. Hintbox — am besten für den deutschsprachigen Markt <a href="#3-hintbox--am-besten-f%c3%bcr-den-deutschsprachigen-markt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Deutsche Plattform mit über 1.000 Kund:innen. Teil der lawcode Suite.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Portal, gehostet auf Hetzner (Deutschland)</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Entfernung von Dateimetadaten, 2FA, Virenscanning</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging, optionaler Voice-Bot (+49 €/Monat)</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab 49 €/Monat. Skaliert auf 149+ €/Monat nach Beschäftigtenzahl. Add-ons: Voice-Bot (+49 €/Monat), E-Mail-Integration (+29 €/Monat), eigene Domain (+29 €/Monat). <strong>EU-Hosting:</strong> Ja — Hetzner, Deutschland. ISO 27001 zertifiziert. <strong>Einrichtungszeit:</strong> Tage.</p> <p><strong>Warum hier platziert:</strong> Ausgereiftes Produkt, große Kundenbasis (Rewe, s.Oliver, FC Bayern), ISO 27001 zertifiziert. Pro-Kopf-Preise und Add-on-Kosten führen dazu, dass der effektive Preis für die meisten Organisationen deutlich über dem 49-€-Einstieg liegt. DACH-fokussiert — geringe Präsenz außerhalb deutschsprachiger Märkte.</p> <hr> <h3 id="4-legaltegrity--am-besten-für-deutsche-kmu-die-telefonmeldung-inklusive-möchten"> 4. LegalTegrity — am besten für deutsche KMU, die Telefonmeldung inklusive möchten <a href="#4-legaltegrity--am-besten-f%c3%bcr-deutsche-kmu-die-telefonmeldung-inklusive-m%c3%b6chten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Frankfurt-basiert, gehostet auf der Open Telekom Cloud.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Portal, Deutsche-Telekom-Hosting (Deutschland)</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — rollenbasierte Zugriffskontrolle</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — Fristenverfolgung mit Erinnerungen</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging, Telefonkanal in allen Tarifen</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll, Reporting</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Essential 49 €/Monat (<50 Beschäftigte), Professional 99 €/Monat (<250), Professional 166 €/Monat (<1.000), Enterprise auf Anfrage. Jährliche Abrechnung. <strong>EU-Hosting:</strong> Ja — Open Telekom Cloud, Deutschland. ISO-27001-zertifiziertes Hosting. <strong>Einrichtungszeit:</strong> Tage. 3-monatige Geld-zurück-Garantie.</p> <p><strong>Warum hier platziert:</strong> LegalTegrity enthält in jedem Tarif einen telefonischen Meldekanal, auch im 49-€-Essential-Tarif. Das ist ungewöhnlich — die meisten Wettbewerber berechnen Telefoneingänge extra oder bieten sie gar nicht. Über 40 Sprachen verfügbar. Abstrich: gestaffelte Pro-Kopf-Preise bedeuten wachsende Kosten, und zusätzliche Sprachen kosten jeweils 29 €/Monat über die zwei enthaltenen hinaus.</p> <hr> <h3 id="5-vispato--beste-pauschalpreis-alternative-im-dach-raum"> 5. Vispato — beste Pauschalpreis-Alternative im DACH-Raum <a href="#5-vispato--beste-pauschalpreis-alternative-im-dach-raum" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Deutsche Plattform, Teil der HR-WORKS-Gruppe.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Portal, DATEV-gehostet (Deutschland)</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — rollenbasierte Zugriffskontrolle, ISO-27001-Hosting</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Pauschal 79 €/Monat. Unbegrenzte Nutzer:innen, Fälle und Speicher. Enterprise-Tarif mit SSO und eigener Domain auf Anfrage. <strong>EU-Hosting:</strong> Ja — DATEV-Server, Deutschland. <strong>Einrichtungszeit:</strong> Tage. Keine kostenlose Testphase, Demo erforderlich.</p> <p><strong>Warum hier platziert:</strong> Pauschal 79 €/Monat unabhängig von der Unternehmensgröße, keine Zusatzgebühren. 18 Sprachen. WCAG 2.1 AA. Für DACH-Unternehmen, die vorhersehbare Kosten ohne Pro-Kopf-Staffel wollen, ist Vispato die sauberste Alternative. Abstriche: weniger Sprachen als Mitbewerber (18 vs. 30–80) und keine kostenlose Testphase.</p> <hr> <h3 id="6-digitalpa-legality-whistleblowing--am-besten-für-italien"> 6. DigitalPA (Legality Whistleblowing) — am besten für Italien <a href="#6-digitalpa-legality-whistleblowing--am-besten-f%c3%bcr-italien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Italienische Plattform mit vier ISO-Zertifizierungen.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Web-, Voice-, Telefon- und Präsenzeingang</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — 2FA, anonyme und vertrauliche Modi</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging mit KI-Übersetzung</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll, Ermittlungsberichte</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Standard ab 29 €/Monat (<50 Beschäftigte). Premium ab 41 €/Monat. Medium/Large/Enterprise auf Anfrage. Nur jährliche Abrechnung. <strong>EU-Hosting:</strong> Ja — Italien. <strong>Einrichtungszeit:</strong> Tage.</p> <p><strong>Warum hier platziert:</strong> Der günstigste Einstiegspreis in diesem Vergleich (29 €/Monat) und die meisten ISO-Zertifizierungen (27001, 37001, 37002, 37301). Multi-Channel-Eingang inklusive Telefon und persönlichen Gesprächen. Über 1.000 Kund:innen. Abstriche: Preise oberhalb des KMU-Tarifs sind auf Anfrage, und die Plattform ist italienischmarktorientiert.</p> <hr> <h3 id="7-ithikios--am-besten-für-spanische-kmu"> 7. ithikios — am besten für spanische KMU <a href="#7-ithikios--am-besten-f%c3%bcr-spanische-kmu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Spanische modulare Compliance-Suite.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Cloud-Portal, ISO-27001-Server</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — anonyme und vertrauliche Modi</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Fallmanagement mit Dokumentation</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab 29 €/Monat. Kostenlose Testphase verfügbar. <strong>EU-Hosting:</strong> Ja — Spanien. ISO 27001 zertifiziert. <strong>Einrichtungszeit:</strong> Stunden.</p> <p><strong>Warum hier platziert:</strong> Preisgünstig bei 29 €/Monat mit ISO 27001 und kostenloser Testphase. Über 1.000 Unternehmen in 10 Ländern. Modulare Plattform: Meldekanal jetzt, Policy-Management oder NIS2-Module später. 7 Oberflächensprachen. Abstriche: primär spanischer Fokus, und 7 Sprachen sind für grenzüberschreitende Organisationen begrenzt.</p> <hr> <h3 id="8-faceup--am-besten-für-mehrsprachige-organisationen-113-sprachen"> 8. FaceUp — am besten für mehrsprachige Organisationen (113 Sprachen) <a href="#8-faceup--am-besten-f%c3%bcr-mehrsprachige-organisationen-113-sprachen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong></p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Zugriffskontrollen</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — automatisiert</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — automatisiert</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Nicht öffentlich. Drei Tarife (Starter, Professional, Enterprise), alle mit „Angebot anfordern" — keine Preise auf der Website. Preise in USD. <strong>EU-Hosting:</strong> Ja — Tschechien. <strong>Einrichtungszeit:</strong> Stunden.</p> <p><strong>Warum hier platziert:</strong> FaceUp unterstützt 113 Sprachen — einer der höchsten Werte am Markt — und bietet eine mobile App für Hinweisgeber:innen. Ursprünglich für Schulen in Tschechien gebaut, expandiert in Unternehmens-Compliance über mehr als 70 Länder. Preise in US-Dollar und nicht öffentlich — alle drei Tarife zeigen „Angebot anfordern" statt Preise, was Budgetierung ohne Vertriebsgespräch unmöglich macht.</p> <hr> <h3 id="9-whistlelink--am-besten-für-nordische-unternehmen"> 9. Whistlelink — am besten für nordische Unternehmen <a href="#9-whistlelink--am-besten-f%c3%bcr-nordische-unternehmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong></p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab 79 €/Monat (jährliche Abrechnung). Skaliert nach Beschäftigtenzahl: 79 € → 99 € → 149 € → 199 € → 299 €/Monat. Über 1.000 Beschäftigte: Vertrieb kontaktieren. <strong>EU-Hosting:</strong> Ja — Schweden. <strong>Einrichtungszeit:</strong> Tage. 30-tägige kostenlose Testphase.</p> <p><strong>Warum hier platziert:</strong> Solide Richtlinien-Compliance mit mehr als 50 Sprachen und gutem Fallmanagement. Alle Tarife enthalten denselben Funktionsumfang — kein Feature-Gating. Einstieg bei 79 €/Monat, teurer als die günstigsten Optionen, aber transparent. Starke Regionalpräsenz im Norden.</p> <hr> <h3 id="10-speakup-people-intouch--am-besten-für-ausgelagerte-fallbearbeitung"> 10. SpeakUp (People Intouch) — am besten für ausgelagerte Fallbearbeitung <a href="#10-speakup-people-intouch--am-besten-f%c3%bcr-ausgelagerte-fallbearbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Eine der am längsten bestehenden europäischen Hinweisgeberplattformen (Niederlande).</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Web + Telefonmeldung</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab ~3.000 €/Jahr für Unternehmen unter 1.000 Beschäftigten. Größere auf Anfrage. <strong>EU-Hosting:</strong> Ja — Niederlande. <strong>Einrichtungszeit:</strong> Tage.</p> <p><strong>Warum hier platziert:</strong> Einzigartiges Leistungsversprechen: ausgelagerte Fallbearbeitung durch geschulte Fachkräfte. Hat Ihre Organisation keine internen Ressourcen, übernimmt SpeakUp. Abstrich: Preis — Sie zahlen für menschliche Bearbeitung, nicht nur Software.</p> <hr> <h3 id="11-eqs-integrity-line--am-besten-für-großkonzerne"> 11. EQS Integrity Line — am besten für Großkonzerne <a href="#11-eqs-integrity-line--am-besten-f%c3%bcr-gro%c3%9fkonzerne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Der europäische Enterprise-Standard.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — mehr als 70 Sprachen</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Enterprise-Zugriffskontrollen</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — integriert mit GRC-Suiten</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Nicht veröffentlicht. Geschätzt ab 2.000 €/Monat. Vertriebsprozess erforderlich. <strong>EU-Hosting:</strong> Ja. <strong>Einrichtungszeit:</strong> Wochen.</p> <p><strong>Warum hier platziert:</strong> Sind Sie eine Bank, ein Versicherer oder ein börsennotiertes Unternehmen mit mehr als 5.000 Beschäftigten, ist EQS die sichere Enterprise-Wahl. Für alle anderen zahlen Sie für Funktionen und Skalierung, die Sie nicht brauchen. Die Implementierung dauert Wochen, nicht Minuten.</p> <hr> <h3 id="12-navex-global--am-besten-für-us-konzerne-mit-eu-operationen"> 12. NAVEX Global — am besten für US-Konzerne mit EU-Operationen <a href="#12-navex-global--am-besten-f%c3%bcr-us-konzerne-mit-eu-operationen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig, aber EU-Compliance wirkt aufgesetzt.</strong></p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Web + Telefon-Hotline</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — starke Analysefunktionen</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Individuell. Typischerweise ab 5.000 €/Jahr. Vertriebsprozess erforderlich. <strong>EU-Hosting:</strong> Optional verfügbar, nicht Standard. <strong>Einrichtungszeit:</strong> Wochen.</p> <p><strong>Warum hier platziert:</strong> NAVEX ist die dominierende US-Compliance-Plattform mit jahrzehntelanger Geschichte und Tausenden Kund:innen. Das Produkt EthicsPoint deckt die Richtlinie ab, wurde aber zuerst für US-Regulierungsrahmen entwickelt. EU-Hosting ist verfügbar, aber nicht Standard. Enterprise-Preise und lange Implementierungszyklen machen es für KMU unerreichbar.</p> <hr> <h2 id="welche-plattform-sollten-sie-wählen"> Welche Plattform sollten Sie wählen? <a href="#welche-plattform-sollten-sie-w%c3%a4hlen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Ihre Situation</th> <th>Beste Wahl</th> </tr> </thead> <tbody> <tr> <td>KMU oder Start-up, schnelle Compliance, budgetorientiert</td> <td><strong>EthicsPortal</strong> (49 €/Monat, Einrichtung in Minuten)</td> </tr> <tr> <td>Deutsche KMU, Telefonmeldung inklusive</td> <td><strong>LegalTegrity</strong> (ab 49 €/Monat, Telefon in allen Tarifen)</td> </tr> <tr> <td>DACH-Region, Pauschalpreise ohne Add-ons</td> <td><strong>Vispato</strong> (79 €/Monat pauschal)</td> </tr> <tr> <td>Italienisches Unternehmen, lokale Zertifizierungen</td> <td><strong>DigitalPA</strong> (ab 29 €/Monat, ISO 27001/37001/37002)</td> </tr> <tr> <td>Spanisches Unternehmen, Ley-2/2023-Compliance</td> <td><strong>ithikios</strong> (ab 29 €/Monat, ISO 27001)</td> </tr> <tr> <td>Mittelstand mit Bedarf an Zertifizierungen und Partnerökosystem</td> <td><strong>Formalize</strong> (individuelle Preise, ISO zertifiziert)</td> </tr> <tr> <td>Deutschsprachiger Markt, ISO 27001 im Skaleneinsatz</td> <td><strong>Hintbox</strong> (ab 49 €/Monat, ISO 27001)</td> </tr> <tr> <td>113 Sprachen oder mobile Melde-App erforderlich</td> <td><strong>FaceUp</strong> (individuelles Angebot)</td> </tr> <tr> <td>Nordisches Unternehmen, regionaler Anbieter bevorzugt</td> <td><strong>Whistlelink</strong> (ab 79 €/Monat)</td> </tr> <tr> <td>Ausgelagerte Fallbearbeitung nötig</td> <td><strong>SpeakUp</strong> (~3.000 €/Jahr)</td> </tr> <tr> <td>Großkonzern (ab 500 Beschäftigten), vollständige GRC-Suite</td> <td><strong>EQS Integrity Line</strong> (individuelle Preise)</td> </tr> <tr> <td>US-Konzern mit EU-Tochter</td> <td><strong>NAVEX Global</strong> (individuelle Preise)</td> </tr> </tbody> </table> <hr> <h2 id="warum-die-meisten-plattformen-für-ihre-leistung-überteuert-sind"> Warum die meisten Plattformen für ihre Leistung überteuert sind <a href="#warum-die-meisten-plattformen-f%c3%bcr-ihre-leistung-%c3%bcberteuert-sind" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede Plattform auf dieser Liste deckt die Kernanforderungen der Richtlinie 2019/1937 ab. Das ist wichtig zu wiederholen: Die grundlegende Compliance-Funktionalität ist überall gleich. Eine hinweisgebende Person reicht eine Meldung ein. Eine bearbeitende Person liest sie und antwortet. Das System verfolgt Fristen und führt ein Audit-Protokoll.</p> <p>Der Preisunterschied zwischen 49 €/Monat und 5.000+ €/Jahr erklärt sich nicht durch die Anforderungen der Richtlinie. Er erklärt sich durch Vertriebsteams, Enterprise-Packaging, KI-Funktionen, nach denen keine Compliance-Verantwortliche gefragt hat, und die Annahme, dass „Compliance-Software" wie Enterprise-SaaS bepreist werden kann.</p> <p>Viele Plattformen auf dieser Liste veröffentlichen ihre Preise nicht. Sie müssen ein Formular ausfüllen, in ein Gespräch gehen, eine Demo über sich ergehen lassen und erhalten dann — vielleicht — ein Angebot. Für ein Tool, das eine Tabellenkalkulation (schlecht) ersetzen könnte, ist das absurd.</p> <p>Bei der Bewertung von Plattformen kommt es auf drei Dinge an:</p> <ol> <li><strong>Deckt sie Art. 8–18 ab?</strong> Alle oben genannten tun das in ihren Bezahltarifen.</li> <li><strong>Werden die Daten in der EU gehostet?</strong> Für DSGVO und Richtlinien-Compliance unverhandelbar.</li> <li><strong>Sehen Sie den Preis und können heute starten?</strong> Wenn ein Anbieter den Preis nicht zeigt, fragen Sie sich, wofür er optimiert.</li> </ol> <p>Keine Hinweisgeberplattform macht Ihre Organisation allein konform. Compliance verlangt auch interne Richtlinien, benannte Bearbeiter:innen, Schulungen und dokumentierte Verfahren. Die Software ist der Meldekanal — ein Baustein eines größeren Compliance-Rahmens. Sie sollte nicht der teuerste oder zeitaufwendigste Baustein sein.</p> <p>Eine detaillierte artikelweise Aufschlüsselung, wie EthicsPortal jede Anforderung erfüllt, finden Sie auf unserer <a href="/de/compliance/">Compliance-Seite</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/whistleblower-software-is-a-form-and-a-database/Sun, 05 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/whistleblower-software-is-a-form-and-a-database/Was ein Hinweisgeber-Meldetool nach der EU-Richtlinie 2019/1937 tatsächlich leisten muss --- und welche Funktionen zählen gegenüber reinem Marketing.<h1 id="worauf-sie-bei-hinweisgeber-compliance-software-achten-sollten"> Worauf Sie bei Hinweisgeber-Compliance-Software achten sollten <a href="#worauf-sie-bei-hinweisgeber-compliance-software-achten-sollten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Die EU-Hinweisgeberschutzrichtlinie verpflichtet Ihre Organisation, einen sicheren internen Meldekanal zu betreiben. Aber nicht jedes Tool, das Richtlinien-Compliance bewirbt, liefert sie auch.</p> <p>So bewerten Sie, worauf es ankommt.</p> <hr> <h2 id="was-ein-hinweisgeber-meldetool-tatsächlich-leisten-muss"> Was ein Hinweisgeber-Meldetool tatsächlich leisten muss <a href="#was-ein-hinweisgeber-meldetool-tats%c3%a4chlich-leisten-muss" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Anforderungen der Richtlinie lassen sich in fünf Kernfunktionen übersetzen:</p> <ol> <li>Eine hinweisgebende Person reicht eine Meldung über einen sicheren Kanal ein.</li> <li>Die Meldung wird vertraulich in einem verschlüsselten System gespeichert.</li> <li>Eine benannte bearbeitende Person prüft sie und antwortet.</li> <li>Das System verfolgt die 7-Tage-Eingangsbestätigungs- und 3-Monats-Rückmeldefristen.</li> <li>Jede Aktion wird in einem unveränderlichen Audit-Protokoll erfasst.</li> </ol> <p>Diese fünf Funktionen sind die Compliance-Basis. Jedes evaluierte Tool sollte darlegen, wie es jede dieser Funktionen umsetzt.</p> <hr> <h2 id="funktionen-die-für-compliance-zählen"> Funktionen, die für Compliance zählen <a href="#funktionen-die-f%c3%bcr-compliance-z%c3%a4hlen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bei der Bewertung von Plattformen sollten Sie sich auf das konzentrieren, was die Richtlinie tatsächlich verlangt:</p> <ul> <li><strong>Anonyme Meldung</strong> — Art. 6 Abs. 1 verlangt Vertraulichkeit. Die stärkste Umsetzung bedeutet: kein IP-Logging, kein Tracking und automatische Entfernung von Dateimetadaten (EXIF, GPS, Autorenangaben), die die Identität offenbaren könnten.</li> <li><strong>Zwei-Wege-Kommunikation</strong> — Art. 9 Abs. 1 lit. b verlangt die Nachverfolgung mit der hinweisgebenden Person. Das erfordert sicheres Messaging, ohne dass die hinweisgebende Person ein Konto anlegen oder ihre Identität offenbaren muss.</li> <li><strong>Fristenverfolgung</strong> — Art. 9 Abs. 1 lit. b und f setzen die 7-Tage- und 3-Monats-Fristen. Automatisierte Verfolgung mit Benachrichtigungen verhindert Compliance-Ausfälle.</li> <li><strong>Audit-Protokoll</strong> — Art. 18 verlangt Dokumentation. Ein unveränderliches Protokoll aller Aktionen liefert den Nachweis, den Aufsichtsbehörden und Prüfer:innen erwarten.</li> <li><strong>EU-Datenhaltung</strong> — Die DSGVO gilt für alle Meldedaten. Hosting innerhalb der EU vereinfacht Compliance und vermeidet Fragen grenzüberschreitender Übermittlung.</li> <li><strong>Steuerung der Aufbewahrung</strong> — Art. 17 Abs. 1 lit. d verlangt definierte Aufbewahrungsfristen. Konfigurierbare automatische Löschung stellt sicher, dass Daten nicht länger als nötig gespeichert werden.</li> </ul> <hr> <h2 id="funktionen-die-beeindruckend-klingen-aber-nicht-in-der-richtlinie-stehen"> Funktionen, die beeindruckend klingen, aber nicht in der Richtlinie stehen <a href="#funktionen-die-beeindruckend-klingen-aber-nicht-in-der-richtlinie-stehen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Manche Plattformen heben Fähigkeiten hervor, die über die Compliance-Anforderungen hinausgehen:</p> <ul> <li>„KI-gestütztes Risk-Scoring"</li> <li>„Sentiment-Analyse"</li> <li>„Predictive-Analytics-Dashboards"</li> <li>„Benchmarking gegen über 10.000 Organisationen"</li> </ul> <p>Diese Funktionen können größeren Organisationen mit ausgereiften Compliance-Programmen dienen. Sie sind jedoch keine Richtlinien-Anforderungen, und ihr Vorhandensein macht ein Tool nicht konformer. Prüfen Sie, ob sie Ihren tatsächlichen Bedarf decken, bevor Sie dafür zahlen.</p> <hr> <h2 id="preistransparenz-als-signal"> Preistransparenz als Signal <a href="#preistransparenz-als-signal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie gilt für Organisationen sehr unterschiedlicher Größe — vom 50-Personen-Unternehmen bis zum multinationalen Konzern. Das gewählte Tool sollte zu Ihrer Größe passen.</p> <p>Einige Plattformen veröffentlichen Preise offen. Andere verlangen einen Vertriebsprozess, um den Preis zu erfahren. Keiner der Ansätze ist grundsätzlich besser, aber transparente Preise lassen Sie die Passung schneller bewerten und vermeiden Zeitaufwand für Demos, bevor klar ist, ob das Budget passt.</p> <hr> <h2 id="fragen-für-die-evaluierung"> Fragen für die Evaluierung <a href="#fragen-f%c3%bcr-die-evaluierung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Fragen Sie bei jeder Hinweisgeberplattform:</p> <ol> <li><strong>Wo werden die Daten gespeichert?</strong> EU-Hosting und Datenhaltung bestätigen.</li> <li><strong>Wie werden hinweisgebende Personen geschützt?</strong> IP-Anonymisierung und Entfernung von Dateimetadaten prüfen.</li> <li><strong>Wie werden Fristen verfolgt?</strong> Automatische 7-Tage- und 3-Monats-Verfolgung mit Benachrichtigungen bestätigen.</li> <li><strong>Ist das Audit-Protokoll unveränderlich?</strong> Sicherstellen, dass Protokolle nicht bearbeitet oder gelöscht werden können.</li> <li><strong>Was passiert bei Kündigung?</strong> Datenexport und Löschrichtlinien verstehen.</li> <li><strong>Ist ein AVV verfügbar?</strong> Für die DSGVO-Compliance als Auftragsverarbeitungsverhältnis erforderlich.</li> </ol> <hr> <h2 id="wie-ethicsportal-diese-anforderungen-erfüllt"> Wie EthicsPortal diese Anforderungen erfüllt <a href="#wie-ethicsportal-diese-anforderungen-erf%c3%bcllt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://ethicsportal.eu">EthicsPortal</a> ist speziell für die EU-Richtlinie 2019/1937 gebaut:</p> <ul> <li>49 €/Monat, alle Funktionen enthalten</li> <li>Anonyme Meldung mit IP-Anonymisierung und Entfernung von Dateimetadaten</li> <li>Sicheres Zwei-Wege-Messaging per Zugangscode</li> <li>Automatische Fristenverfolgung mit Überschreitungswarnungen</li> <li>Unveränderliches Audit-Protokoll und PDF-Fallexport</li> <li>Gehostet auf Hetzner in Nürnberg, Deutschland — alle Daten bleiben in der EU</li> </ul> <p>Die <a href="/de/compliance/">artikelweise Compliance-Aufschlüsselung</a> zeigt im Detail, wie jede Anforderung der Richtlinie erfüllt wird.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/if-employees-have-to-ask-you-dont-have-a-channel/Sat, 04 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/if-employees-have-to-ask-you-dont-have-a-channel/Das EU-Recht verpflichtet Arbeitgeber, Beschäftigte über den Meldekanal zu informieren. Wer erst fragen muss, wo er zu finden ist, ist schon entlarvt.<h1 id="wer-nach-dem-meldekanal-fragen-muss-hat-keinen"> Wer nach dem Meldekanal fragen muss, hat keinen <a href="#wer-nach-dem-meldekanal-fragen-muss-hat-keinen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Eine Beschäftigte vermutet Betrug. Sie will ihn melden. Ihr erster Schritt sollte nicht sein, zur Personalabteilung zu gehen und zu fragen „Haben wir einen Meldekanal?"</p> <p>Schon die Frage ist ein Signal. In genau der Art von Arbeitsumfeld, für die die Richtlinie geschaffen wurde — wo Fehlverhalten passiert und jemand es melden möchte — sagt Herumfragen nach einem Meldekanal den Leuten, dass Sie darüber nachdenken, etwas zu melden. Bevor Sie ein einziges Wort getippt haben, sind Sie exponiert.</p> <hr> <h2 id="das-gesetz-ist-eindeutig-sie-müssen-beschäftigte-informieren"> Das Gesetz ist eindeutig: Sie müssen Beschäftigte informieren <a href="#das-gesetz-ist-eindeutig-sie-m%c3%bcssen-besch%c3%a4ftigte-informieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die EU-Richtlinie 2019/1937 und ihre nationalen Umsetzungen (das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, die <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, das <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen und andere) verlangen nicht nur die Einrichtung eines Meldekanals. Sie verlangen, dass die Beschäftigten davon Kenntnis haben.</p> <p><strong>Art. 9 Abs. 1 lit. g</strong> verlangt „klare und leicht zugängliche Informationen" zu internen und externen Meldeverfahren. Das ist nicht optional. Wer einen Meldekanal hat, dessen Beschäftigte aber nichts davon wissen, ist nicht konform mit seinem nationalen Recht.</p> <p>Nationale Umsetzungen gehen weiter:</p> <ul> <li><strong><a href="/de/whistleblower-laws/germany/">Deutschland</a> (<a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">HinSchG</a> § 7 Abs. 3, § 13 Abs. 2):</strong> Arbeitgeber müssen „klare und leicht zugängliche Informationen" sowohl zu internen Meldeverfahren (§ 7 Abs. 3) als auch zu externen Meldemöglichkeiten (§ 13 Abs. 2) bereitstellen.</li> <li><strong><a href="/de/whistleblower-laws/france/">Frankreich</a> (<a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Loi Waserman, 2022-401</a>):</strong> Unternehmen müssen Beschäftigte über das Meldeverfahren informieren und die Information über leicht zugängliche Mittel veröffentlichen.</li> <li><strong><a href="/de/whistleblower-laws/poland/">Polen</a> (<a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928">Ustawa o ochronie sygnalistów</a>):</strong> Arbeitgeber müssen interne Meldeverfahren einrichten und allen Beschäftigten bekanntmachen. Das Verfahren tritt 7 Tage nach Veröffentlichung in Kraft.</li> </ul> <p>Das Muster ist überall dasselbe: Den Kanal einzurichten ist die halbe Miete. Beschäftigte auf ihn aufmerksam zu machen, ist die andere Hälfte.</p> <hr> <h2 id="das-designproblem-über-das-niemand-spricht"> Das Designproblem, über das niemand spricht <a href="#das-designproblem-%c3%bcber-das-niemand-spricht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die meisten Compliance-Diskussionen hören bei „Beschäftigte informieren" auf und unterstellen, dass eine unternehmensweite E-Mail oder eine Intranet-Seite das Problem löst. Tut sie nicht.</p> <p>Überlegen Sie, was tatsächlich passiert:</p> <p><strong>Szenario 1: Der Kanal liegt im Unternehmens-Intranet.</strong> Die Beschäftigte muss den Firmenrechner benutzen, sich ins Firmennetzwerk einloggen, in den Compliance-Bereich navigieren und zum Meldeportal durchklicken. Jeder Schritt hinterlässt eine digitale Spur auf einem Gerät, das der Arbeitgeber kontrolliert. Die IT-Abteilung sieht, welche Seiten Sie im Intranet aufrufen.</p> <p><strong>Szenario 2: Der Kanal erfordert eine Firmen-App.</strong> Die Beschäftigte muss eine App herunterladen, möglicherweise über ein firmeninternes MDM-System (Mobile Device Management), und ein Konto erstellen. Eine Whistleblower-App auf dem Diensthandy zu installieren, ist an sich schon ein Statement.</p> <p><strong>Szenario 3: Der Kanal wird einmal im Mitarbeiterhandbuch erwähnt.</strong> Seite 47, Abschnitt 12.3, zwischen Parkordnung und Kleiderordnung. Niemand erinnert sich. Wer ihn braucht, muss fragen. Und Fragen ist das Problem.</p> <hr> <h2 id="was-leicht-zugänglich-tatsächlich-bedeutet"> Was „leicht zugänglich" tatsächlich bedeutet <a href="#was-leicht-zug%c3%a4nglich-tats%c3%a4chlich-bedeutet" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wenn man die Intention der Richtlinie ernst nimmt — Menschen schützen, die Fehlverhalten melden — dann bedeutet „leicht zugänglich":</p> <p><strong>Beschäftigte sollten auf den Kanal zugreifen können, ohne:</strong></p> <ul> <li>Ein Firmengerät zu nutzen</li> <li>Im Firmennetzwerk zu sein</li> <li>Eine App zu installieren</li> <li>Ein Konto zu erstellen</li> <li>Irgendjemanden nach dem Fundort zu fragen</li> <li>Eine Spur zu hinterlassen, dass sie gesucht haben</li> </ul> <p>Das engt die Optionen erheblich ein. Der Kanal muss eine <strong>öffentliche URL</strong> sein, die in jedem Browser auf jedem Gerät funktioniert — auch auf dem privaten Smartphone mit Mobilfunkdaten, vollständig außerhalb der Infrastruktur des Arbeitgebers.</p> <hr> <h2 id="so-machen-sie-den-kanal-wirklich-zugänglich"> So machen Sie den Kanal wirklich zugänglich <a href="#so-machen-sie-den-kanal-wirklich-zug%c3%a4nglich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>1. Eine öffentliche URL, keine Intranet-Seite.</strong> Das Meldeportal muss von jedem Browser auf jedem Gerät ohne Authentifizierung erreichbar sein. Eine Beschäftigte zuhause, auf dem Privathandy, um 23 Uhr, muss eine URL eintippen und eine Meldung starten können. Kein VPN, kein Login, keine Firmen-E-Mail erforderlich.</p> <p><strong>2. QR-Codes in privaten Bereichen.</strong> Drucken Sie den QR-Code und platzieren Sie ihn dort, wo man ihn unbeobachtet scannen kann: Toilettenkabinen, Pausenräume, Umkleiden, die Rückseite von Aufzugstüren. Eine Beschäftigte, die einen QR-Code an einer Toilettenwand scannt, hinterlässt keine digitale Spur und erregt keine Aufmerksamkeit.</p> <p><strong>3. Physische Aushänge, nicht nur E-Mails.</strong> Eine unternehmensweite E-Mail zum Meldekanal wird leicht übersehen und sechs Monate später kaum wiedergefunden. Ein Aushang in jeder Büroküche mit QR-Code und URL ist immer da, wenn man ihn braucht.</p> <p><strong>4. Im Onboarding erwähnen — jedes Mal.</strong> Die Einarbeitung neuer Beschäftigter sollte die Meldekanal-URL und eine gedruckte Karte mit QR-Code enthalten. Nicht im Handbuch vergraben. Persönlich überreicht.</p> <p><strong>5. Kein Konto erforderlich.</strong> Verlangt das Meldetool, dass die Beschäftigte ein Konto mit E-Mail-Adresse anlegt, um eine Meldung einzureichen, ist es nicht anonym und nicht sicher. Die hinweisgebende Person muss ohne identifizierende Angaben einreichen können und einen Zugangscode für späteren Zugriff erhalten.</p> <hr> <h2 id="so-funktioniert-ethicsportal"> So funktioniert EthicsPortal <a href="#so-funktioniert-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede EthicsPortal-Organisation erhält eine öffentliche Melde-URL. Sie funktioniert in jedem Browser, auf jedem Gerät. Keine App, kein Konto, kein Firmennetzwerk.</p> <p>Das Portal erzeugt einen <strong>QR-Code</strong>, der überall ausgedruckt und aufgehängt werden kann. Scannen, und Sie sind auf der Meldeseite. Kein Login, keine Spur.</p> <p>Hinweisgeber:innen reichen anonym ein — kein Name, keine E-Mail, kein IP-Logging. Sie erhalten einen Zugangscode, um später nach Aktualisierungen zu sehen. Die gesamte Interaktion findet in einem Browserfenster statt, das geschlossen werden kann und keine Spuren hinterlässt.</p> <p>Die bearbeitende Person sieht die Identität der hinweisgebenden Person nie. Die hinweisgebende Person sieht den Namen der bearbeitenden Person nie. Das System zählt bis 7 Tage, zählt bis 3 Monate und protokolliert alles.</p> <p>So sieht „leicht zugänglich" aus, wenn man die Richtlinie ernst nimmt.</p> <hr> <p><em>Wenn der Meldekanal Ihrer Organisation erfordert, dass Beschäftigte jemanden fragen, wo er zu finden ist, haben Sie ein Compliance-Häkchen. Sie haben keinen Meldekanal. <a href="https://secure.ethicsportal.eu/session/new">Richten Sie in zehn Minuten einen echten ein.</a></em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/gdpr-and-whistleblower-reporting/Fri, 20 Mar 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/gdpr-and-whistleblower-reporting/Wie die DSGVO auf Hinweisgebermeldungen anwendbar ist. Rechtsgrundlage für die Verarbeitung, anonyme vs. pseudonyme Daten, Aufbewahrungsfristen und das Recht auf Löschung.<h1 id="dsgvo-und-hinweisgebermeldungen-was-sie-wissen-müssen"> DSGVO und Hinweisgebermeldungen: Was Sie wissen müssen <a href="#dsgvo-und-hinweisgebermeldungen-was-sie-wissen-m%c3%bcssen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Jede Hinweisgebermeldung enthält personenbezogene Daten. Die hinweisgebende Person gibt möglicherweise ihren Namen an. Die Meldung nennt wahrscheinlich die Person, der Fehlverhalten vorgeworfen wird. Die Handlungen der bearbeitenden Person werden protokolliert. All das sind personenbezogene Daten im Sinne der DSGVO.</p> <p>Daraus entsteht das Spannungsfeld, mit dem Compliance-Verantwortliche täglich zu tun haben: Die Hinweisgeberrichtlinie (2019/1937) verlangt, Meldungen zu erheben und aufzubewahren, die DSGVO verlangt eine Rechtsgrundlage, Datenminimierung und Löschung, sobald die Daten nicht mehr benötigt werden.</p> <p>Hier zeigen wir, wie die beiden Rahmenwerke zusammenspielen — und was das in der Praxis bedeutet.</p> <hr> <h2 id="welche-personenbezogenen-daten-enthält-eine-hinweisgebermeldung"> Welche personenbezogenen Daten enthält eine Hinweisgebermeldung? <a href="#welche-personenbezogenen-daten-enth%c3%a4lt-eine-hinweisgebermeldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Mehr, als man denkt:</p> <table> <thead> <tr> <th>Daten</th> <th>Quelle</th> <th>DSGVO-Kategorie</th> </tr> </thead> <tbody> <tr> <td>Name der hinweisgebenden Person (falls angegeben)</td> <td>Freiwillig</td> <td>Personenbezogene Daten</td> </tr> <tr> <td>Kontaktdaten (falls angegeben)</td> <td>Freiwillig</td> <td>Personenbezogene Daten</td> </tr> <tr> <td>Name der beschuldigten Person</td> <td>Meldungsinhalt</td> <td>Personenbezogene Daten (Dritte)</td> </tr> <tr> <td>Details zum mutmaßlichen Fehlverhalten</td> <td>Meldungsinhalt</td> <td>Können besondere Kategorien (Art. 9) oder Daten über strafrechtliche Verurteilungen/Straftaten (Art. 10) enthalten</td> </tr> <tr> <td>Hochgeladene Dateien (Dokumente, Fotos)</td> <td>Hinweisgebende Person</td> <td>Können Metadaten enthalten (GPS, Autor, Zeitstempel)</td> </tr> <tr> <td>Aktionen und Notizen der bearbeitenden Person</td> <td>Fallmanagement</td> <td>Personenbezogene Daten (Bearbeiter:in)</td> </tr> <tr> <td>Zeitstempel und Audit-Protokoll</td> <td>System</td> <td>Personenbezogene Daten</td> </tr> </tbody> </table> <p>Beschreibt eine Meldung Belästigung, Diskriminierung oder Gesundheitsthemen, kann sie <strong>besondere Kategorien personenbezogener Daten</strong> im Sinne von Art. 9 DSGVO enthalten — das löst strengere Verarbeitungsbedingungen aus. Meldungen mit strafrechtlichem Bezug fallen unter <strong>Art. 10</strong> (strafrechtliche Verurteilungen und Straftaten), der eigene Beschränkungen vorsieht.</p> <hr> <h2 id="was-ist-die-rechtsgrundlage-der-verarbeitung"> Was ist die Rechtsgrundlage der Verarbeitung? <a href="#was-ist-die-rechtsgrundlage-der-verarbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sie benötigen eine Rechtsgrundlage nach Art. 6 DSGVO, um personenbezogene Daten in Hinweisgebermeldungen zu verarbeiten. Die am häufigsten genutzten Grundlagen:</p> <h3 id="art-6-abs-1-lit-c--rechtliche-verpflichtung"> Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung <a href="#art-6-abs-1-lit-c--rechtliche-verpflichtung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dies ist die primäre Grundlage. Die EU-Richtlinie 2019/1937 und ihre nationalen Umsetzungen begründen eine rechtliche Verpflichtung, einen Meldekanal zu betreiben. Die Verarbeitung personenbezogener Daten ist zur Erfüllung dieser Verpflichtung erforderlich.</p> <p>Dazu gehören:</p> <ul> <li>Annahme der Meldung</li> <li>Sichere Speicherung</li> <li>Ermittlung der Vorwürfe</li> <li>Kommunikation mit der hinweisgebenden Person</li> <li>Führung eines Audit-Protokolls</li> </ul> <h3 id="art-6-abs-1-lit-f--berechtigtes-interesse"> Art. 6 Abs. 1 lit. f — Berechtigtes Interesse <a href="#art-6-abs-1-lit-f--berechtigtes-interesse" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Manche Organisationen nutzen das berechtigte Interesse als sekundäre Grundlage, insbesondere für Verarbeitungen über die Mindestanforderungen der Richtlinie hinaus (z. B. interne Auswertung, Trendberichte). Erforderlich sind eine Interessenabwägung (LIA) und ein Abwägungstest.</p> <h3 id="art-6-abs-1-lit-e--öffentliches-interesse-öffentlicher-sektor"> Art. 6 Abs. 1 lit. e — Öffentliches Interesse (öffentlicher Sektor) <a href="#art-6-abs-1-lit-e--%c3%b6ffentliches-interesse-%c3%b6ffentlicher-sektor" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Öffentliche Stellen können sich auf das öffentliche Interesse stützen, insbesondere wenn das nationale Recht die Verarbeitung zum Schutz von Hinweisgeber:innen ausdrücklich zulässt.</p> <h3 id="und-die-einwilligung"> Und die Einwilligung? <a href="#und-die-einwilligung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Stützen Sie sich nicht auf eine Einwilligung.</strong> Das Machtgefälle zwischen Arbeitgeber und Hinweisgeber:in bedeutet, dass eine Einwilligung nicht freiwillig gegeben sein dürfte (Erwägungsgrund 43 DSGVO). Eine hinweisgebende Person kann nicht sinnvoll zustimmen, wenn ihr Arbeitsplatz vom Ausgang abhängen könnte. Nutzen Sie stattdessen die rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c).</p> <hr> <h2 id="anonyme-meldungen-und-die-dsgvo"> Anonyme Meldungen und die DSGVO <a href="#anonyme-meldungen-und-die-dsgvo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Das ist die Frage, die Compliance-Verantwortliche am häufigsten stellen: Gilt die DSGVO, wenn eine Meldung wirklich anonym ist?</p> <h3 id="wenn-die-hinweisgebende-person-nicht-identifizierbar-ist-dsgvo-gilt-für-sie-nicht"> Wenn die hinweisgebende Person nicht identifizierbar ist: DSGVO gilt für sie nicht <a href="#wenn-die-hinweisgebende-person-nicht-identifizierbar-ist-dsgvo-gilt-f%c3%bcr-sie-nicht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die DSGVO gilt für personenbezogene Daten einer identifizierten oder identifizierbaren Person (Art. 4 Abs. 1). Reicht eine hinweisgebende Person eine Meldung ohne Name, E-Mail oder sonstige identifizierende Daten ein — und protokolliert das System weder IP-Adresse noch andere Kennungen — ist der Meldungsinhalt <em>im Hinblick auf die hinweisgebende Person</em> kein personenbezogenes Datum.</p> <p>Allerdings:</p> <ul> <li>Die <strong>beschuldigte Person</strong> in der Meldung ist weiterhin identifizierbar. Die DSGVO gilt für deren Daten in vollem Umfang.</li> <li>Enthält der Meldungsinhalt Details, aus denen sich die Identität der hinweisgebenden Person mittelbar ableiten lässt („Ich bin die einzige Frau im dritten Stock"), kann es weiterhin personenbezogenes Datum sein.</li> </ul> <h3 id="was-anonym-technisch-erfordert"> Was „anonym" technisch erfordert <a href="#was-anonym-technisch-erfordert" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Damit Anonymität einer DSGVO-Prüfung standhält, muss Ihr Melde-Tool:</p> <ul> <li><strong>Keine IP-Adressen protokollieren.</strong> Jegliches IP-Logging macht die hinweisgebende Person pseudonym, nicht anonym.</li> <li><strong>Kein Konto oder keine E-Mail verlangen.</strong> Authentifiziert sich die hinweisgebende Person, ist sie identifizierbar.</li> <li><strong>Dateimetadaten entfernen.</strong> Hochgeladene Fotos und Dokumente enthalten EXIF-Daten (GPS-Koordinaten, Autorenname, Geräteinfos), die die hinweisgebende Person identifizieren können.</li> <li><strong>Keine Analyse- oder Tracking-Cookies</strong> im Meldeportal einsetzen.</li> </ul> <p>Tut Ihr Tool eines davon, erheben Sie pseudonyme, nicht anonyme Daten — und die DSGVO gilt vollständig.</p> <hr> <h2 id="datenminimierung-art-5-abs-1-lit-c"> Datenminimierung (Art. 5 Abs. 1 lit. c) <a href="#datenminimierung-art-5-abs-1-lit-c" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie verlangt einen Meldekanal. Sie verlangt nicht, mehr Daten zu erheben als nötig.</p> <p>In der Praxis:</p> <ul> <li><strong>Die Identität der hinweisgebenden Person muss optional sein.</strong> Die Einreichung ohne Name oder Kontaktdaten muss möglich sein.</li> <li><strong>Eingabeformulare sollten nur das Nötige erfassen.</strong> Beschreibung des Fehlverhaltens, Kategorie und optionale Belege. Abteilung, Personalnummer oder andere Kennungen dürfen nur erhoben werden, wenn die hinweisgebende Person sie freiwillig angibt.</li> <li><strong>Notizen der bearbeitenden Person sollten ermittlungsrelevant sein.</strong> Protokollieren Sie keine überflüssigen persönlichen Details über hinweisgebende oder beschuldigte Personen.</li> </ul> <hr> <h2 id="rechte-der-beschuldigten-person"> Rechte der beschuldigten Person <a href="#rechte-der-beschuldigten-person" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Hier wird es komplex. Die in einer Hinweisgebermeldung beschuldigte Person hat DSGVO-Rechte — einschließlich des Rechts auf Information (Art. 14), auf Auskunft (Art. 15) und auf Löschung (Art. 17).</p> <p>Die Ausübung dieser Rechte darf jedoch die Vertraulichkeit der hinweisgebenden Person nicht gefährden (Art. 16 der Richtlinie).</p> <h3 id="recht-auf-information-art-14"> Recht auf Information (Art. 14) <a href="#recht-auf-information-art-14" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nach der DSGVO müssen Sie Personen informieren, wenn Sie deren Daten verarbeiten. Art. 16 Abs. 1 der Richtlinie verlangt jedoch den Schutz der Identität der hinweisgebenden Person. Die Lösung:</p> <ul> <li>Sie <strong>können</strong> die beschuldigte Person informieren, dass eine Meldung vorliegt — aber nur, wenn dies die hinweisgebende Person nicht identifiziert.</li> <li><strong>Der Zeitpunkt ist entscheidend.</strong> Viele Mitgliedstaaten erlauben die Verzögerung der Benachrichtigung, solange sie die Ermittlung gefährden würde. Das HinSchG schränkt die Offenlegung während der Ermittlung ausdrücklich ein.</li> <li>Nationale Datenschutzbehörden akzeptieren in der Regel, dass die Vertraulichkeitspflichten der Richtlinie die sofortige Benachrichtigungspflicht überlagern.</li> </ul> <h3 id="auskunftsrecht-art-15"> Auskunftsrecht (Art. 15) <a href="#auskunftsrecht-art-15" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die beschuldigte Person kann Auskunft über die zu ihr gespeicherten Daten verlangen. Sie müssen Auskunft erteilen — aber Informationen schwärzen, die die hinweisgebende Person identifizieren. Dazu gehört der Name, ebenso aber Kontextangaben, die die Identität mittelbar preisgeben.</p> <h3 id="recht-auf-löschung-art-17"> Recht auf Löschung (Art. 17) <a href="#recht-auf-l%c3%b6schung-art-17" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die beschuldigte Person kann keine Löschung einer Meldung verlangen, die Teil einer laufenden Ermittlung ist oder aufgrund gesetzlicher Pflichten aufbewahrt werden muss. Art. 17 Abs. 3 lit. b und e DSGVO sehen Ausnahmen für rechtliche Pflichten und Rechtsansprüche vor.</p> <hr> <h2 id="aufbewahrungsfristen"> Aufbewahrungsfristen <a href="#aufbewahrungsfristen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie (Art. 18) verlangt die Führung von Aufzeichnungen über Meldungen. Die DSGVO (Art. 5 Abs. 1 lit. e) verlangt, dass personenbezogene Daten nicht länger als nötig gespeichert werden.</p> <h3 id="wie-lange-sollten-meldungen-aufbewahrt-werden"> Wie lange sollten Meldungen aufbewahrt werden? <a href="#wie-lange-sollten-meldungen-aufbewahrt-werden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Richtlinie schreibt keine konkrete Aufbewahrungsfrist vor. Nationale Umsetzungen variieren:</p> <table> <thead> <tr> <th>Land</th> <th>Aufbewahrungsfrist</th> <th>Quelle</th> </tr> </thead> <tbody> <tr> <td><a href="/de/whistleblower-laws/france/">Frankreich</a></td> <td>5 Jahre nach Fallabschluss</td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046357368">Decret 2022-1284</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/italy/">Italien</a></td> <td>5 Jahre ab Meldedatum</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">D.Lgs. 24/2023, Art. 14</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/germany/">Deutschland</a></td> <td>3 Jahre nach Fallabschluss (außer laufende Verfahren)</td> <td><a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">§ 11 HinSchG</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/spain/">Spanien</a></td> <td>Nicht konkretisiert (allgemeine DSGVO-Minimierung gilt)</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513">Ley 2/2023</a></td> </tr> </tbody> </table> <h3 id="best-practice"> Best Practice <a href="#best-practice" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Konfigurierbare Aufbewahrungsfrist (z. B. 12, 24, 36 oder 60 Monate nach Fallabschluss).</li> <li>Automatische Löschung abgeschlossener Fälle nach Ablauf der Frist.</li> <li>Manuelle Löschung durch Admins für Fälle, bei denen die Aufbewahrung nicht mehr nötig ist.</li> <li>Dokumentieren Sie Ihre Aufbewahrungsrichtlinie und seien Sie bereit, sie gegenüber Aufsichtsbehörden zu begründen.</li> </ul> <hr> <h2 id="internationale-datenübermittlung"> Internationale Datenübermittlung <a href="#internationale-daten%c3%bcbermittlung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Hinweisgeberdaten müssen in der EU bleiben, sofern kein gültiger Übermittlungsmechanismus nach Kapitel V DSGVO besteht.</p> <p>Das ist bei der Auswahl des Tools relevant:</p> <ul> <li><strong>EU-gehostete Plattformen</strong> (Daten in Deutschland, Frankreich, Niederlanden etc.): kein Übermittlungsproblem.</li> <li><strong>US-gehostete Plattformen</strong> oder Plattformen mit US-Cloud-Anbietern (AWS US, Azure US, Google Cloud US): erfordern Standardvertragsklauseln (SCCs) oder das <a href="https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en">EU-US Data Privacy Framework</a> — beides wurde <a href="https://curia.europa.eu/juris/liste.jsf?num=C-311/18">rechtlich angegriffen</a>.</li> </ul> <p>Der einfachste Weg: eine Plattform wählen, die alle Daten in der EU hostet. Damit entfällt die Übermittlungsfrage.</p> <hr> <h2 id="datenschutz-folgenabschätzung-dsfa"> Datenschutz-Folgenabschätzung (DSFA) <a href="#datenschutz-folgenabsch%c3%a4tzung-dsfa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat".</p> <p>Hinweisgebermeldungen erfüllen dies wahrscheinlich, weil:</p> <ul> <li>Sensible Vorwürfe gegen identifizierte Personen erhoben werden</li> <li>Meldungen besondere Kategorien (Art. 9) enthalten können</li> <li>Ein inhärentes Machtgefälle zwischen hinweisgebender Person und Organisation besteht</li> <li>Brüche der Vertraulichkeit zu Repressalien führen können</li> </ul> <p>Die meisten Datenschutzbehörden empfehlen, vor Einführung eines Hinweisgebersystems eine DSFA durchzuführen.</p> <hr> <h2 id="was-ihr-melde-tool-leisten-muss"> Was Ihr Melde-Tool leisten muss <a href="#was-ihr-melde-tool-leisten-muss" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Auf Basis der oben genannten DSGVO-Anforderungen sollte Ihre Hinweisgebersoftware:</p> <table> <thead> <tr> <th>Anforderung</th> <th>Warum</th> </tr> </thead> <tbody> <tr> <td>Optionale Identität der hinweisgebenden Person</td> <td>Datenminimierung (Art. 5 Abs. 1 lit. c)</td> </tr> <tr> <td>Kein IP-Logging</td> <td>Wahrt Anonymität, vermeidet pseudonyme Daten</td> </tr> <tr> <td>Entfernung von Dateimetadaten</td> <td>Verhindert versehentliche Identifizierung über EXIF/GPS</td> </tr> <tr> <td>Verschlüsselte Speicherung</td> <td>Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f)</td> </tr> <tr> <td>Konfigurierbare Aufbewahrungsfristen</td> <td>Speicherbegrenzung (Art. 5 Abs. 1 lit. e)</td> </tr> <tr> <td>Automatische Löschung abgelaufener Fälle</td> <td>Durchsetzung der Speicherbegrenzung</td> </tr> <tr> <td>Rollenbasierte Zugriffskontrolle</td> <td>Vertraulichkeit (Art. 16 der Richtlinie)</td> </tr> <tr> <td>Unveränderliches Audit-Protokoll</td> <td>Rechenschaftspflicht (Art. 5 Abs. 2)</td> </tr> <tr> <td>EU-Datenhaltung</td> <td>Vermeidet internationale Übermittlungsfragen (Kapitel V)</td> </tr> <tr> <td>Datenschutzhinweis auf dem Meldeformular</td> <td>Transparenz (Art. 13/14)</td> </tr> </tbody> </table> <hr> <h2 id="wie-ethicsportal-mit-der-dsgvo-umgeht"> Wie EthicsPortal mit der DSGVO umgeht <a href="#wie-ethicsportal-mit-der-dsgvo-umgeht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal wurde von Anfang an sowohl an der Richtlinie als auch an der DSGVO ausgerichtet:</p> <ul> <li><strong>Rechtsgrundlage:</strong> Die Verarbeitung stützt sich auf eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Umsetzung der EU-Richtlinie 2019/1937.</li> <li><strong>Anonymität als Standard:</strong> Kein IP-Logging, keine Konten, kein Tracking. Dateimetadaten (EXIF, GPS, Autor) werden automatisch entfernt.</li> <li><strong>Datenminimierung:</strong> Name und Kontakt der hinweisgebenden Person sind optionale Felder. Es werden nur unverzichtbare Daten erhoben.</li> <li><strong>Verschlüsselte Speicherung:</strong> Alle Meldebeschreibungen, Namen, Kontaktdaten und Nachrichten sind in der Datenbank verschlüsselt.</li> <li><strong>Konfigurierbare Aufbewahrung:</strong> Organisationen legen ihre Aufbewahrungsfrist selbst fest (12, 24, 36 oder 60 Monate). Abgelaufene abgeschlossene Fälle werden automatisch gelöscht.</li> <li><strong>EU-Hosting für zentrale Meldedaten:</strong> Meldungsinhalte und Anhänge werden auf Hetzner-Servern in Nürnberg gespeichert. Begrenzte Verarbeitungen für Marketing-Website und Admin-Oberflächen sind über die veröffentlichte Unterauftragsverarbeiterliste und die Schutzmaßnahmen im AVV abgedeckt.</li> <li><strong>Zugriffskontrollen:</strong> Nur Admins und zugeordnete Bearbeiter:innen sehen Meldungen. Namen von Bearbeiter:innen werden Hinweisgeber:innen nie offengelegt.</li> <li><strong>Audit-Protokoll:</strong> Unveränderliche Aufzeichnung jeder Aktion für Rechenschaft und behördliche Prüfung.</li> <li><strong>AVV verfügbar:</strong> <a href="/de/dpa/">Auftragsverarbeitungsvertrag</a> nach Art. 28 DSGVO für alle Kund:innen verfügbar.</li> </ul> <p>Die vollständige artikelweise Compliance-Analyse finden Sie auf unserer <a href="/de/compliance/">Compliance-Seite</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/whistleblower-policy-template/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/whistleblower-policy-template/Eine einsatzbereite Vorlage für eine Hinweisgeberrichtlinie, die den Anforderungen der EU-Richtlinie 2019/1937 entspricht. Kopieren, anpassen und in Ihrer Organisation umsetzen.<h1 id="kostenlose-vorlage-für-eine-hinweisgeberrichtlinie-nach-eu-richtlinie-20191937"> Kostenlose Vorlage für eine Hinweisgeberrichtlinie nach EU-Richtlinie 2019/1937 <a href="#kostenlose-vorlage-f%c3%bcr-eine-hinweisgeberrichtlinie-nach-eu-richtlinie-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Jede Organisation ab 50 Beschäftigten in der EU benötigt eine schriftliche Hinweisgeberrichtlinie. Das ist nicht optional — es ist unter den nationalen Umsetzungsgesetzen wie dem <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, der <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien und dem <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen vorgeschrieben, die alle die EU-Richtlinie 2019/1937 umsetzen. Die Sanktionen bei Nichteinhaltung variieren je nach Land — Details finden Sie auf unserer <a href="/de/penalties/">Sanktionsseite</a>.</p> <p>Eine Hinweisgeberrichtlinie erfüllt zwei Funktionen: Sie sagt Beschäftigten, wie sie Fehlverhalten melden können, und sie sagt Ihrer Organisation, wie sie mit Meldungen umzugehen hat. Ohne klare Richtlinie gehen Meldungen verloren, Bearbeiter:innen improvisieren, und Ihre Organisation riskiert rechtliche und reputative Schäden.</p> <p>Unten finden Sie eine vollständige, kopierfähige Vorlage. Ersetzen Sie die Platzhalter in eckigen Klammern durch die Angaben Ihrer Organisation. Die Vorlage deckt alle von der Richtlinie geforderten Elemente ab.</p> <hr> <h2 id="vorlage-hinweisgeberrichtlinie"> Vorlage Hinweisgeberrichtlinie <a href="#vorlage-hinweisgeberrichtlinie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <hr> <p><strong>[NAME DER ORGANISATION]</strong></p> <p><strong>Richtlinie zum Hinweisgeberschutz</strong></p> <p><strong>Gültig ab:</strong> [DATUM]</p> <p><strong>Genehmigt durch:</strong> [NAME / FUNKTION]</p> <p><strong>Version:</strong> 1.0</p> <hr> <h3 id="1-zweck-und-geltungsbereich"> 1. Zweck und Geltungsbereich <a href="#1-zweck-und-geltungsbereich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Diese Richtlinie schafft einen Rahmen für die Meldung mutmaßlicher Verstöße gegen Gesetze, Vorschriften oder interne Regeln innerhalb von [NAME DER ORGANISATION]. Sie setzt die Anforderungen der EU-Richtlinie 2019/1937 über den Schutz von Personen, die Verstöße gegen das Unionsrecht melden, in der Umsetzung in das nationale Recht von [MITGLIEDSTAAT] um.</p> <p>Die Richtlinie gilt für alle Geschäftsbereiche, Tochtergesellschaften und Geschäftseinheiten von [NAME DER ORGANISATION] innerhalb der Europäischen Union.</p> <h3 id="2-wer-kann-melden"> 2. Wer kann melden <a href="#2-wer-kann-melden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Gemäß Art. 4 der Richtlinie können folgende Personen Meldungen über die in dieser Richtlinie beschriebenen Kanäle einreichen:</p> <ul> <li>Aktuelle und ehemalige Beschäftigte, einschließlich in Probezeit oder Kündigungsfrist</li> <li>Bewerber:innen, die Informationen während des Rekrutierungsprozesses erlangt haben</li> <li>Auftragnehmer:innen, Subunternehmen und Lieferant:innen</li> <li>Anteilseigner:innen und Mitglieder des Verwaltungs-, Management- oder Aufsichtsgremiums</li> <li>Freiwillige und Praktikant:innen, bezahlt oder unbezahlt</li> <li>Personen, die unter Aufsicht und Leitung von Auftragnehmer:innen, Subunternehmen oder Lieferant:innen tätig sind</li> <li>Personen, deren arbeitsbezogenes Verhältnis noch nicht begonnen hat, sofern Informationen zu Verstößen während des Rekrutierungsprozesses oder vorvertraglicher Verhandlungen erlangt wurden</li> </ul> <p>Der Schutz erstreckt sich auch auf Unterstützende, mit der hinweisgebenden Person verbundene Dritte (etwa Kolleg:innen oder Angehörige) und juristische Personen, an denen die hinweisgebende Person beteiligt ist, für die sie arbeitet oder zu denen sie im arbeitsbezogenen Kontext anderweitig in Verbindung steht (Art. 4 Abs. 4).</p> <h3 id="3-was-gemeldet-werden-kann"> 3. Was gemeldet werden kann <a href="#3-was-gemeldet-werden-kann" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Meldungen können Verstöße gegen das Unionsrecht in den von der Richtlinie erfassten Bereichen betreffen (Art. 2), einschließlich, aber nicht beschränkt auf:</p> <ul> <li>Unregelmäßigkeiten im öffentlichen Auftragswesen</li> <li>Verstöße in Finanzdienstleistungen, bei Geldwäschebekämpfung und Terrorismusfinanzierung</li> <li>Verstöße gegen Produktsicherheit und -konformität</li> <li>Verkehrssicherheitsverstöße</li> <li>Verstöße gegen den Umweltschutz</li> <li>Fragen des Strahlenschutzes und der nuklearen Sicherheit</li> <li>Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und -wohl</li> <li>Verstöße gegen die öffentliche Gesundheit</li> <li>Verstöße gegen den Verbraucherschutz</li> <li>Verletzungen des Datenschutzes und der Privatsphäre</li> <li>Sicherheit von Netz- und Informationssystemen</li> <li>Verstöße gegen Wettbewerbs- und Beihilferecht</li> <li>Steuergestaltungen, die Sinn und Zweck des anwendbaren Steuerrechts unterlaufen</li> <li>Betrug, Korruption oder andere Straftaten, die die finanziellen Interessen der EU beeinträchtigen</li> </ul> <p>Meldungen können auch Verstöße gegen interne Unternehmensrichtlinien, Verhaltenskodizes und anwendbares nationales Recht betreffen, sofern das nationale Umsetzungsrecht von [MITGLIEDSTAAT] den Schutz auf solche Meldungen ausdehnt.</p> <h3 id="4-wie-gemeldet-wird"> 4. Wie gemeldet wird <a href="#4-wie-gemeldet-wird" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <h4 id="interner-meldekanal"> Interner Meldekanal <a href="#interner-meldekanal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>[NAME DER ORGANISATION] bietet einen sicheren, vertraulichen internen Meldekanal:</p> <ul> <li><strong>Online-Portal:</strong> [URL DES MELDEPORTALS]</li> <li><strong>Benannte Person:</strong> [NAME / FUNKTION DER BENANNTEN PERSON ODER ABTEILUNG]</li> <li><strong>Alternative Wege:</strong> [POSTANSCHRIFT / E-MAIL / PROZESS FÜR PERSÖNLICHE GESPRÄCHE, falls zutreffend]</li> </ul> <p>Meldungen können anonym eingereicht werden. Hinweisgeber:innen, die anonym bleiben, erhalten einen Zugangscode, um den Status ihrer Meldung einzusehen und sicher mit der bearbeitenden Person zu kommunizieren.</p> <p>[NAME DER ORGANISATION] ermutigt zur Nutzung des internen Meldekanals als erster Anlaufstelle, damit die Organisation Verstöße zeitnah prüfen und adressieren kann.</p> <h4 id="externe-meldung-an-zuständige-behörden"> Externe Meldung an zuständige Behörden <a href="#externe-meldung-an-zust%c3%a4ndige-beh%c3%b6rden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>Hinweisgeber:innen haben jederzeit das Recht, extern an die zuständige Behörde zu melden, wie in Art. 10 der Richtlinie vorgesehen. Sie sind nicht verpflichtet, zuerst den internen Kanal zu nutzen.</p> <p>Die zuständige Behörde in [MITGLIEDSTAAT] ist: [NAME UND KONTAKTDATEN DER NATIONALEN BEHÖRDE].</p> <h4 id="offenlegung-in-der-öffentlichkeit"> Offenlegung in der Öffentlichkeit <a href="#offenlegung-in-der-%c3%b6ffentlichkeit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>In den in Art. 15 der Richtlinie definierten Ausnahmefällen können Hinweisgeber:innen Informationen öffentlich machen und dennoch geschützt bleiben — etwa wenn sie hinreichende Gründe zu der Annahme haben, dass der Verstoß eine unmittelbare oder offenkundige Gefahr für das öffentliche Interesse darstellt, oder wenn Repressalien drohen.</p> <h3 id="5-vertraulichkeit"> 5. Vertraulichkeit <a href="#5-vertraulichkeit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person wird ohne deren ausdrückliche Zustimmung niemandem außerhalb der autorisierten Mitarbeitenden, die für Entgegennahme oder Nachverfolgung zuständig sind, offengelegt (Art. 16).</p> <p>Diese Vertraulichkeitspflicht gilt für alle Informationen, aus denen sich die Identität der hinweisgebenden Person unmittelbar oder mittelbar ableiten lässt.</p> <p>Die Identität darf nur offengelegt werden, soweit dies eine notwendige und verhältnismäßige Verpflichtung nach Unions- oder nationalem Recht im Rahmen von Ermittlungen nationaler Behörden oder Gerichtsverfahren ist, einschließlich zur Wahrung der Verteidigungsrechte der betroffenen Person.</p> <p>Wer die Identität einer hinweisgebenden Person unter Verstoß gegen diese Richtlinie offenlegt, wird disziplinarisch belangt.</p> <h3 id="6-verbot-von-repressalien"> 6. Verbot von Repressalien <a href="#6-verbot-von-repressalien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NAME DER ORGANISATION] untersagt gemäß Art. 19–21 der Richtlinie jede Form von Repressalien gegen hinweisgebende Personen. Repressalien umfassen unter anderem:</p> <ul> <li>Suspendierung, Kündigung oder gleichwertige Maßnahmen</li> <li>Herabstufung, Vorenthalten einer Beförderung, Änderung von Aufgaben oder Arbeitsort</li> <li>Gehaltskürzung oder Änderung der Arbeitszeit</li> <li>Vorenthalten von Weiterbildung</li> <li>Negative Leistungsbeurteilung oder negatives Arbeitszeugnis</li> <li>Nötigung, Einschüchterung, Belästigung oder Ausgrenzung</li> <li>Diskriminierung oder ungünstige Behandlung</li> <li>Nichtumwandlung eines befristeten in einen unbefristeten Arbeitsvertrag</li> <li>Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags</li> <li>Schaden, einschließlich Rufschädigung oder finanziellem Verlust</li> <li>Blacklisting</li> <li>Vorzeitige Beendigung oder Kündigung eines Liefer- oder Dienstleistungsvertrags</li> <li>Entzug einer Lizenz oder Genehmigung</li> <li>Psychiatrische oder medizinische Überweisung</li> </ul> <p>Die Beweislast in Repressalien-Verfahren ist umgekehrt: Legt eine hinweisgebende Person dar, dass sie eine Meldung erstattet hat und anschließend einen Nachteil erlitten hat, wird vermutet, dass der Nachteil aus Vergeltung erfolgt ist. Die Person, die den nachteiligen Akt vorgenommen hat, muss nachweisen, dass er auf hinreichend begründeten, von der Meldung unabhängigen Gründen beruhte (Art. 21 Abs. 5).</p> <p>Wer Repressalien ausübt, muss mit disziplinarischen Maßnahmen bis hin zur Beendigung des Arbeitsverhältnisses rechnen.</p> <h3 id="7-ermittlungsprozess"> 7. Ermittlungsprozess <a href="#7-ermittlungsprozess" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nach Eingang einer Meldung wird [NAME DER ORGANISATION]:</p> <ol> <li><strong>Den Eingang</strong> innerhalb von sieben Kalendertagen nach Eingang der Meldung bestätigen (Art. 9 Abs. 1 lit. b).</li> <li><strong>Die Meldung prüfen</strong>, um festzustellen, ob sie in den Anwendungsbereich dieser Richtlinie fällt und eine Untersuchung rechtfertigt.</li> <li><strong>Sorgfältig ermitteln</strong>, indem relevante Informationen erhoben, Zeug:innen bei Bedarf befragt und Dokumente gesichtet werden, unter durchgehender Wahrung der Vertraulichkeit.</li> <li><strong>Rückmeldung geben</strong> innerhalb von drei Monaten nach der Eingangsbestätigung. Die Rückmeldung enthält Angaben zum Status der Ermittlung und, soweit möglich, zum Ergebnis und zu getroffenen oder geplanten Maßnahmen (Art. 9 Abs. 1 lit. f).</li> <li><strong>Den Fall abschließen</strong> mit dokumentierten Feststellungen und, wo angemessen, Empfehlungen für Abhilfemaßnahmen, Disziplinarmaßnahmen oder Weiterleitung an zuständige Behörden.</li> </ol> <p>Fällt eine Meldung nicht in den Anwendungsbereich dieser Richtlinie, wird die hinweisgebende Person informiert und, wo angemessen, an das zuständige Verfahren verwiesen.</p> <h3 id="8-datenschutz"> 8. Datenschutz <a href="#8-datenschutz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Meldungen und alle damit verbundenen Daten werden gemäß Verordnung (EU) 2016/679 (DSGVO) und anwendbarem nationalem Datenschutzrecht verarbeitet.</p> <p>Personenbezogene Daten, die für die Bearbeitung einer Meldung offensichtlich nicht relevant sind, werden nicht erhoben oder, falls versehentlich erhoben, ohne unangemessene Verzögerung gelöscht (Art. 17 Abs. 3).</p> <p>Meldedaten werden nicht länger aufbewahrt, als dies zur Erfüllung dieser Richtlinie und des anwendbaren Rechts erforderlich und verhältnismäßig ist. [NAME DER ORGANISATION] legt konkrete Aufbewahrungsfristen gemäß nationalem Umsetzungsrecht fest und dokumentiert diese.</p> <h3 id="9-schulung-und-aufklärung"> 9. Schulung und Aufklärung <a href="#9-schulung-und-aufkl%c3%a4rung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NAME DER ORGANISATION] wird:</p> <ul> <li>Alle benannten Fallbearbeiter:innen zu ihren Pflichten nach dieser Richtlinie und dem anwendbaren Recht schulen</li> <li>Alle Beschäftigten und sonstigen von Abschnitt 2 erfassten Personen über Verfügbarkeit und Nutzung des internen Meldekanals informieren</li> <li>Diese Richtlinie leicht zugänglich machen, u. a. im Firmen-Intranet und im Onboarding neuer Beschäftigter</li> </ul> <h3 id="10-überprüfung"> 10. Überprüfung <a href="#10-%c3%bcberpr%c3%bcfung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Diese Richtlinie wird mindestens jährlich überprüft und bei Bedarf angepasst, um Änderungen des anwendbaren Rechts, der Organisationsstruktur oder bewährter Praktiken abzubilden.</p> <h3 id="11-kontakt"> 11. Kontakt <a href="#11-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Fragen zu dieser Richtlinie oder zum Meldekanal:</p> <ul> <li><strong>Benannte Person:</strong> [NAME / FUNKTION]</li> <li><strong>E-Mail:</strong> [E-MAIL-ADRESSE]</li> <li><strong>Meldeportal:</strong> [URL]</li> </ul> <hr> <p><em>Ende des Richtliniendokuments.</em></p> <hr> <h2 id="verwendung-dieser-vorlage"> Verwendung dieser Vorlage <a href="#verwendung-dieser-vorlage" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kopieren Sie den obigen Text in Ihr Unternehmensdokument-Format, ersetzen Sie jeden Platzhalter in eckigen Klammern und lassen Sie ihn von Ihrer Rechtsabteilung prüfen. Die Vorlage deckt die Anforderungen der Richtlinie 2019/1937 ab, nationale Umsetzungen in Ihrem Mitgliedstaat können jedoch zusätzliche Pflichten auferlegen — stimmen Sie sich mit lokalen Rechtsberater:innen ab.</p> <p>Sobald Ihre Richtlinie steht, benötigen Sie einen technischen Kanal zur Entgegennahme von Meldungen. <a href="/de/">EthicsPortal</a> bietet ein sicheres, anonymes Meldeportal, das die Anforderungen der Richtlinie an interne Kanäle erfüllt — in Minuten eingerichtet, ab 49 €/Monat.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/who-must-comply-eu-whistleblower-directive/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/who-must-comply-eu-whistleblower-directive/Welche Unternehmen benötigen einen Meldekanal nach EU-Richtlinie 2019/1937? Die 50-Beschäftigten-Schwelle, wer als Beschäftigter zählt, Fristen und was „Einhaltung" in der Praxis bedeutet.<h1 id="wer-muss-die-eu-hinweisgeberrichtlinie-einhalten"> Wer muss die EU-Hinweisgeberrichtlinie einhalten? <a href="#wer-muss-die-eu-hinweisgeberrichtlinie-einhalten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Kurze Antwort: Hat Ihre Organisation 50 oder mehr Beschäftigte und ist sie in der EU tätig, benötigen Sie mit großer Wahrscheinlichkeit einen internen Meldekanal. Das ist nicht optional. Es ist geltendes Recht in allen 27 EU-Mitgliedstaaten.</p> <p>Im Folgenden finden Sie alles, was Sie brauchen, um festzustellen, ob Sie unter die Pflicht fallen, was die Einhaltung konkret verlangt und welche Folgen ein Verstoß hat.</p> <hr> <h2 id="die-schwelle-50-beschäftigte"> Die Schwelle: 50 Beschäftigte <a href="#die-schwelle-50-besch%c3%a4ftigte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 8 Abs. 3–4 der EU-Richtlinie 2019/1937 begründet die Pflicht:</p> <ul> <li><strong>Ab 250 Beschäftigten:</strong> Interner Meldekanal seit 17. Dezember 2021 erforderlich (ursprüngliche Umsetzungsfrist nach <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019L1937">Art. 26 Abs. 1</a>).</li> <li><strong>50–249 Beschäftigte:</strong> Interner Meldekanal seit 17. Dezember 2023 erforderlich (verlängerte Frist nach <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019L1937">Art. 26 Abs. 2</a>).</li> </ul> <p>Haben Sie 50 oder mehr Beschäftigte in der EU, ist die Frist bereits abgelaufen. Ein Kanal sollte bereits eingerichtet sein.</p> <h3 id="wie-beschäftigte-gezählt-werden"> Wie Beschäftigte gezählt werden <a href="#wie-besch%c3%a4ftigte-gez%c3%a4hlt-werden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Richtlinie definiert den Beschäftigtenbegriff nicht eng. Die Mitgliedstaaten zählen in der Regel:</p> <ul> <li>Vollzeit- und Teilzeitkräfte (Teilzeit wird in manchen Ländern anteilig gezählt)</li> <li>Befristet Beschäftigte und Leiharbeitnehmer:innen</li> <li>In einigen Mitgliedstaaten: entsandte Arbeitnehmer:innen, Auszubildende und Praktikant:innen</li> </ul> <p>Gezählt wird je juristischer Person, nicht konzernweit. In Konzernen benötigt jede Einheit ab 50 Beschäftigten einen eigenen Kanal — Einheiten mit 50–249 Beschäftigten dürfen jedoch Ressourcen zur Entgegennahme und Bearbeitung von Meldungen gemeinsam nutzen (Art. 8 Abs. 6).</p> <hr> <h2 id="wer-unabhängig-von-der-kopfzahl-erfasst-ist"> Wer unabhängig von der Kopfzahl erfasst ist <a href="#wer-unabh%c3%a4ngig-von-der-kopfzahl-erfasst-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Mehrere Kategorien müssen unabhängig von der Beschäftigtenzahl einhalten:</p> <h3 id="finanzdienstleister-art-8-abs-4"> <a href="/de/industries/financial-services/">Finanzdienstleister</a> (Art. 8 Abs. 4) <a href="#finanzdienstleister-art-8-abs-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Alle Unternehmen im Finanzsektor — Banken, Wertpapierfirmen, Versicherer, Zahlungsinstitute, Kryptoasset-Dienstleister — benötigen unabhängig von der Größe einen Meldekanal. Das gilt auch bei 5 Beschäftigten. Die Richtlinie verweist hierfür auf das in Teil I.B und Teil II des Anhangs aufgeführte Sekundärrecht.</p> <h3 id="öffentlicher-sektor-art-8-abs-9"> <a href="/de/industries/public-sector/">Öffentlicher Sektor</a> (Art. 8 Abs. 9) <a href="#%c3%b6ffentlicher-sektor-art-8-abs-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Mitgliedstaaten dürfen Kommunen und andere öffentliche Stellen zur Einrichtung interner Kanäle verpflichten. Viele haben das getan, häufig mit niedrigeren oder ohne Schwellen.</p> <h3 id="nationale-erweiterungen"> Nationale Erweiterungen <a href="#nationale-erweiterungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Einige Mitgliedstaaten gehen über das Richtlinien-Minimum hinaus:</p> <ul> <li><strong><a href="/de/whistleblower-laws/germany/">Deutschland</a>:</strong> § 2 HinSchG erweitert den sachlichen Anwendungsbereich gegenüber der Richtlinie auf weitere Verstoßkategorien.</li> <li><strong><a href="/de/whistleblower-laws/italy/">Italien</a>:</strong> Organisationen mit einem „Modell 231"-Compliance-Programm müssen unabhängig von der Größe einhalten. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese">Quelle: Norton Rose Fulbright</a></li> <li><strong><a href="/de/whistleblower-laws/belgium/">Belgien</a>:</strong> Unternehmen ab 250 Beschäftigten müssen anonyme Meldungen entgegennehmen (strenger als das Richtlinien-Minimum). <a href="https://www.vow.be/en/node/358">Quelle: Van Olmen & Wynant</a></li> <li><strong><a href="/de/whistleblower-laws/france/">Frankreich</a>:</strong> Die <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Loi Waserman (2022-401)</a> zur Umsetzung der Richtlinie hat die Pflicht aufgehoben, zuerst interne Kanäle zu nutzen — hinweisgebende Personen können direkt intern oder extern wählen. Die breiteren Anti-Korruptionspflichten aus <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528">Sapin II</a> (unabhängig vom Meldekanal) gelten weiterhin für Unternehmen ab 500 Beschäftigten und 100 Mio. € Umsatz.</li> </ul> <hr> <h2 id="wer-melden-darf"> Wer melden darf <a href="#wer-melden-darf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie schützt einen weiten Kreis „hinweisgebender Personen" — nicht nur Beschäftigte. Nach Art. 4 sind bei einer Meldung über Ihren Kanal geschützt:</p> <ul> <li><strong>Arbeitnehmer:innen</strong> (Beschäftigte, Beamt:innen, Praktikant:innen, Auszubildende)</li> <li><strong>Selbstständige</strong> (freie Mitarbeitende, Freelancer)</li> <li><strong>Anteilseigner:innen und Mitglieder von Leitungsorganen</strong></li> <li><strong>Ehrenamtliche</strong></li> <li><strong>Lieferanten und deren Beschäftigte</strong> (jede Person in Ihrer Lieferkette)</li> <li><strong>Bewerber:innen</strong> (Personen, die im Bewerbungsverfahren von Verstößen erfahren)</li> <li><strong>Ehemalige Beschäftigte</strong> (Personen, die während einer früheren Beschäftigung von Verstößen erfahren haben)</li> </ul> <p>Ihr Meldekanal muss all diesen Gruppen offenstehen, nicht nur aktiven Beschäftigten.</p> <hr> <h2 id="was-einhaltung-konkret-verlangt"> Was „Einhaltung" konkret verlangt <a href="#was-einhaltung-konkret-verlangt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Einen Kanal zu betreiben bedeutet, die Anforderungen aus Art. 8, 9 und 16 der Richtlinie zu erfüllen. Das Minimum:</p> <h3 id="1-ein-sicherer-meldekanal-art-8"> 1. Ein sicherer Meldekanal (Art. 8) <a href="#1-ein-sicherer-meldekanal-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ein interner Kanal, über den schriftlich (und optional mündlich) gemeldet werden kann. Er muss:</p> <ul> <li>allen von der Richtlinie erfassten Personen offenstehen (Beschäftigte, Selbstständige, Lieferanten usw.)</li> <li>die Vertraulichkeit der Identität wahren</li> <li>keine Identifizierung verlangen (anonyme Meldungen sind in den meisten Mitgliedstaaten zulässig)</li> </ul> <h3 id="2-ein-dokumentiertes-verfahren-art-9"> 2. Ein dokumentiertes Verfahren (Art. 9) <a href="#2-ein-dokumentiertes-verfahren-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Kanal muss einem definierten Verfahren folgen:</p> <table> <thead> <tr> <th>Anforderung</th> <th>Frist</th> <th>Artikel</th> </tr> </thead> <tbody> <tr> <td>Eingang der Meldung bestätigen</td> <td>innerhalb von 7 Tagen</td> <td>Art. 9 Abs. 1 lit. b</td> </tr> <tr> <td>Unparteiische Person oder Stelle zur Bearbeitung benennen</td> <td>bei Eingang</td> <td>Art. 9 Abs. 1 lit. a</td> </tr> <tr> <td>Sorgfältige Folgenbearbeitung</td> <td>laufend</td> <td>Art. 9 Abs. 1 lit. c</td> </tr> <tr> <td>Rückmeldung an die hinweisgebende Person</td> <td>innerhalb von 3 Monaten</td> <td>Art. 9 Abs. 1 lit. f</td> </tr> <tr> <td>Über externe Meldemöglichkeiten informieren</td> <td>bei Abgabe</td> <td>Art. 9 Abs. 1 lit. g</td> </tr> </tbody> </table> <h3 id="3-vertraulichkeitsschutz-art-16"> 3. Vertraulichkeitsschutz (Art. 16) <a href="#3-vertraulichkeitsschutz-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person darf ohne ihre ausdrückliche Einwilligung niemandem außerhalb des Kreises der bearbeitenden Personen offengelegt werden. Das heißt:</p> <ul> <li>Zugriffskontrollen: nur berechtigte Bearbeitende sehen Meldungen</li> <li>keine IP-Protokollierung oder Tracking, das anonyme hinweisgebende Personen identifizieren könnte</li> <li>Verschlüsselte Speicherung</li> </ul> <h3 id="4-dokumentationspflicht-art-18"> 4. Dokumentationspflicht (Art. 18) <a href="#4-dokumentationspflicht-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Meldungen sind sicher zu speichern und nach nationalem Recht aufzubewahren. Ein Audit-Protokoll muss die Einhaltung gegenüber der Aufsicht nachweisen können.</p> <h3 id="5-repressalienverbot-art-1921"> 5. Repressalienverbot (Art. 19–21) <a href="#5-repressalienverbot-art-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Repressalien gegen hinweisgebende Personen sind unzulässig. Erfasst sind Kündigung, Degradierung, Vorenthalten einer Beförderung, Aufgabenänderungen und jede sonstige Benachteiligung. Hinweisgebende Personen sind über diesen Schutz zu informieren.</p> <hr> <h2 id="was-nicht-als-einhaltung-zählt"> Was NICHT als Einhaltung zählt <a href="#was-nicht-als-einhaltung-z%c3%a4hlt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Einiges, das Organisationen versuchen, erfüllt die Anforderungen nicht:</p> <ul> <li><strong>Eine allgemeine E-Mail-Adresse</strong> (z. B. <a href="mailto:compliance@unternehmen.de">compliance@unternehmen.de</a>). Kein Vertraulichkeitsschutz, keine Fristüberwachung, kein Audit-Protokoll.</li> <li><strong>Ein anonymer Kummerkasten.</strong> Keine Zweiwegkommunikation, keine Bestätigung, keine Rückmeldung.</li> <li><strong>Eine Seite im Mitarbeiterhandbuch.</strong> Der Kanal muss einsatzbereit sein, nicht nur dokumentiert.</li> <li><strong>Eine externe Hotline ohne Fallmanagement.</strong> Ohne systematische Fristenüberwachung und Audit-Protokoll erfüllen telefonische Meldungen Art. 9 nicht.</li> </ul> <hr> <h2 id="was-passiert-bei-verstößen"> Was passiert bei Verstößen <a href="#was-passiert-bei-verst%c3%b6%c3%9fen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeder Mitgliedstaat hat Sanktionen festgelegt. Sie variieren stark:</p> <table> <thead> <tr> <th>Land</th> <th>Sanktion bei fehlendem Meldekanal</th> <th>Quelle</th> </tr> </thead> <tbody> <tr> <td>Spanien</td> <td>bis 1.000.000 €</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513">Ley 2/2023</a></td> </tr> <tr> <td>Belgien</td> <td>24.000–576.000 € + bis 3 Jahre Haft</td> <td><a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/belgium">CMS Expert Guide</a></td> </tr> <tr> <td>Deutschland</td> <td>20.000–500.000 € (juristische Personen)</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/">§ 40 HinSchG</a></td> </tr> <tr> <td>Italien</td> <td>10.000–50.000 €</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">D.Lgs. 24/2023</a></td> </tr> <tr> <td>Polen</td> <td>bis 1.080.000 PLN (~250.000 €)</td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928">Ustawa z dnia 14 czerwca 2024</a></td> </tr> </tbody> </table> <p>Der Vollzug ist keine Theorie. Im März 2025 hat der <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/">Gerichtshof der EU fünf Mitgliedstaaten mit zusammen 39 Mio. €</a> wegen verspäteter Umsetzung belegt. Die nationalen Aufsichtsbehörden sind in den meisten Ländern inzwischen arbeitsfähig und verhängen aktiv Bußgelder.</p> <p>Die vollständige Übersicht finden Sie auf unserer Seite <a href="/de/penalties/">Bußgelder nach Ländern</a>.</p> <hr> <h2 id="der-schnellste-weg-zur-compliance"> Der schnellste Weg zur Compliance <a href="#der-schnellste-weg-zur-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Liegt Ihre Organisation bei 50+ Beschäftigten, ist die Frist bereits abgelaufen. So werden Sie konform:</p> <ol> <li><strong>Meldekanal einrichten.</strong> <a href="https://secure.ethicsportal.eu/session/new">EthicsPortal</a> ist in Minuten einsatzbereit — anmelden, Portal konfigurieren, Link teilen. 49 €/Monat, alles enthalten.</li> <li><strong>Bearbeitende Person benennen.</strong> Mindestens eine unparteiische Person für die Entgegennahme und Prüfung benennen.</li> <li><strong>Beschäftigte informieren.</strong> Portal-URL und QR-Code über Aushänge, Onboarding-Unterlagen und interne Kommunikation teilen.</li> <li><strong>Verfahren dokumentieren.</strong> Eine interne Hinweisgeber-Richtlinie beschließen, die Ablauf, Fristen und Repressalienschutz regelt.</li> </ol> <p>Die Software ist der einfache Teil. Die gesamte Einrichtung — Kanal, Konfiguration, QR-Code — lässt sich in einer Mittagspause erledigen. Die organisatorischen Schritte (Benennung, Richtlinie, Schulung) dauern länger, sind aber geradlinig.</p> <p>Eine Artikel-für-Artikel-Übersicht, wie EthicsPortal die Anforderungen der Richtlinie erfüllt, finden Sie auf der <a href="/de/compliance/">Compliance-Seite</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/anonymous-vs-confidential-reporting/Sun, 15 Feb 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/anonymous-vs-confidential-reporting/Der Unterschied zwischen anonymer und vertraulicher Meldung durch Hinweisgeber:innen, was die EU-Richtlinie verlangt und wie Sie beide Varianten unterstützen.<h1 id="anonyme-vs-vertrauliche-meldung-wo-liegt-der-unterschied"> Anonyme vs. vertrauliche Meldung: Wo liegt der Unterschied? <a href="#anonyme-vs-vertrauliche-meldung-wo-liegt-der-unterschied" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Compliance-Verantwortliche verwenden „anonym" und „vertraulich" im Kontext von Hinweisgebermeldungen häufig synonym. Beide Begriffe meinen jedoch nicht dasselbe, und die Unterscheidung ist wichtig — rechtlich wie praktisch.</p> <p>Eine Verwechslung kann das Vertrauen in Ihren Meldekanal untergraben, Ihre Organisation Haftungsrisiken aussetzen oder Ermittlungen unnötig erschweren. Im Folgenden erläutern wir, was die beiden Begriffe bedeuten, was die EU-Richtlinie dazu sagt und wie Sie in der Praxis mit beiden Varianten umgehen.</p> <hr> <h2 id="begriffsbestimmungen"> Begriffsbestimmungen <a href="#begriffsbestimmungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="anonyme-meldung"> Anonyme Meldung <a href="#anonyme-meldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person ist niemandem bekannt — auch nicht der bearbeitenden Person. Die Organisation erhält die Meldung, kann aber nicht feststellen, wer sie eingereicht hat. Die hinweisgebende Person gibt weder Namen noch E-Mail-Adresse noch sonstige identifizierende Informationen an.</p> <p>Echte Anonymität bedeutet, dass die Organisation die hinweisgebende Person auch dann nicht identifizieren könnte, wenn sie es wollte — das System ist so konzipiert, dass dies ausgeschlossen ist.</p> <h3 id="vertrauliche-meldung"> Vertrauliche Meldung <a href="#vertrauliche-meldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person ist der bearbeitenden Person (oder einem begrenzten Kreis autorisierter Personen) bekannt, wird aber vor Offenlegung gegenüber Dritten geschützt. Die bearbeitende Person weiß, wer die Meldung eingereicht hat, ist aber rechtlich und organisatorisch verpflichtet, diese Identität nicht preiszugeben.</p> <p>Vertraulichkeit ist ein durch rechtliche Schutzmechanismen abgesichertes Versprechen. Anonymität macht dieses Versprechen überflüssig.</p> <hr> <h2 id="was-die-eu-richtlinie-sagt"> Was die EU-Richtlinie sagt <a href="#was-die-eu-richtlinie-sagt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die EU-Richtlinie 2019/1937 behandelt beide Konzepte, lässt den Mitgliedstaaten bei der anonymen Meldung jedoch Spielraum.</p> <p><strong>Vertraulichkeit (Art. 16):</strong> Die Richtlinie ist hier eindeutig. Die Identität der hinweisgebenden Person darf ohne deren ausdrückliche Zustimmung niemandem außerhalb des autorisierten Personals offengelegt werden. Dies gilt für alle Meldungen, unabhängig davon, ob sich die hinweisgebende Person zu erkennen gibt oder nicht. Vertraulichkeit ist zwingend.</p> <p><strong>Anonyme Meldung (Art. 6 Abs. 2–3, Erwägungsgrund 34):</strong> Die Richtlinie verpflichtet die Mitgliedstaaten nicht dazu, anonyme Meldungen über interne Kanäle zuzulassen. Sie stellt jedoch ausdrücklich klar, dass die Mitgliedstaaten anonyme Meldungen zulassen oder vorschreiben <em>können</em>. Werden anonyme Meldungen akzeptiert, sind sie mit derselben Sorgfalt zu behandeln wie identifizierte Meldungen.</p> <p>In der Praxis schreibt die Mehrheit der Mitgliedstaaten, die die Richtlinie umgesetzt haben, inzwischen anonyme Meldungen vor oder empfiehlt sie ausdrücklich. <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Frankreich</a>, <a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">Deutschland</a>, <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">Italien</a> und mehrere weitere Staaten verpflichten dazu. Auch wo es rechtlich nicht vorgeschrieben ist, gilt die Zulassung von Anonymität als Best Practice, da sie die Meldequote erhöht.</p> <p><strong>Zwei-Wege-Kommunikation (Art. 9 Abs. 1 lit. b):</strong> Die Richtlinie verlangt, dass Meldekanäle eine Kommunikation mit der hinweisgebenden Person ermöglichen, einschließlich Eingangsbestätigung und Rückmeldung. Für anonyme Hinweisgeber:innen bedeutet das: Der Kanal muss Zwei-Wege-Kommunikation ohne Identitätsoffenlegung unterstützen — in der Regel über einen Zugangscode oder eine Fallnummer.</p> <hr> <h2 id="vor--und-nachteile"> Vor- und Nachteile <a href="#vor--und-nachteile" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="anonyme-meldung-1"> Anonyme Meldung <a href="#anonyme-meldung-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Vorteile:</strong></p> <ul> <li>Beseitigt die Angstbarriere vollständig — Hinweisgeber:innen riskieren keine Identifizierung</li> <li>Höhere Meldequoten, insbesondere bei sensiblen Themen wie Betrug durch die Geschäftsleitung</li> <li>Schützt Hinweisgeber:innen auch dann, wenn die Vertraulichkeitsmaßnahmen der Organisation versagen</li> <li>Stärkt das Vertrauen in den Meldekanal</li> </ul> <p><strong>Nachteile:</strong></p> <ul> <li>Nachverfolgung ist schwieriger — die bearbeitende Person kann nicht anrufen, um Nachfragen zu stellen, sofern keine Zwei-Wege-Kommunikation verfügbar ist</li> <li>Risiko geringerer Qualität der Meldungen, wenn die hinweisgebende Person weiß, dass sie nicht kontaktiert werden kann</li> <li>Manche Organisationen fürchten mutwillige oder böswillige Meldungen (in der Praxis zeigen <a href="https://www.acfe.com/report-to-the-nations/2024/">ACFE Report to the Nations</a> und die <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD:2018:0116:FIN">Folgenabschätzung der EU-Kommission</a>, dass dies selten vorkommt)</li> <li>Die Ermittlung kann schwieriger sein, wenn die Perspektive der hinweisgebenden Person unbekannt ist</li> </ul> <h3 id="vertrauliche-meldung-1"> Vertrauliche Meldung <a href="#vertrauliche-meldung-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Vorteile:</strong></p> <ul> <li>Einfachere Nachverfolgung — die bearbeitende Person kann die hinweisgebende Person direkt für zusätzliche Informationen kontaktieren</li> <li>Perspektive und Rolle der hinweisgebenden Person helfen bei der Fokussierung der Ermittlung</li> <li>Meldungen sind tendenziell ausführlicher, wenn die hinweisgebende Person weiß, dass sie kontaktiert werden kann</li> <li>Die bearbeitende Person kann die Glaubwürdigkeit leichter einschätzen</li> </ul> <p><strong>Nachteile:</strong></p> <ul> <li>Die hinweisgebende Person muss darauf vertrauen, dass Vertraulichkeit gewahrt bleibt</li> <li>Ein einzelner Datenvorfall, eine unbedachte E-Mail oder unbefugter Zugriff kann die Identität offenlegen</li> <li>Manche Hinweisgeber:innen werden den Kanal nicht nutzen, wenn eine Identifizierung verlangt wird</li> <li>Die Organisation trägt das rechtliche Risiko für die Wahrung der Vertraulichkeit</li> </ul> <hr> <h2 id="wie-anonyme-meldungen-in-der-praxis-funktionieren"> Wie anonyme Meldungen in der Praxis funktionieren <a href="#wie-anonyme-meldungen-in-der-praxis-funktionieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonyme Meldung bedeutet nicht, dass die hinweisgebende Person ihre Nachricht ins Leere sendet und nie wieder etwas hört. Moderne Hinweisgeberplattformen lösen das Kommunikationsproblem über Zugangscodes.</p> <p>So läuft es typischerweise ab:</p> <ol> <li><strong>Die hinweisgebende Person reicht eine Meldung</strong> über das Portal ein, ohne persönliche Angaben zu machen.</li> <li><strong>Das System generiert einen eindeutigen Zugangscode</strong> (oder eine Fallnummer) und zeigt ihn der hinweisgebenden Person an.</li> <li><strong>Die hinweisgebende Person speichert den Zugangscode.</strong> Er ist ihr Schlüssel zum Fall.</li> <li><strong>Die bearbeitende Person prüft die Meldung</strong> und kann Nachfragen oder Statusmeldungen zum Fall posten.</li> <li><strong>Die hinweisgebende Person kehrt zum Portal zurück</strong>, gibt den Zugangscode ein und sieht Nachrichten der bearbeitenden Person. Sie kann antworten, zusätzliche Dokumente bereitstellen oder Fragen beantworten — ohne ihre Identität preiszugeben.</li> </ol> <p>Dieser Ansatz erfüllt die Anforderung der Richtlinie an die Zwei-Wege-Kommunikation und wahrt zugleich die Anonymität. Die bearbeitende Person erhält die für die Ermittlung nötigen Informationen; die hinweisgebende Person bleibt geschützt.</p> <p>Das Zugangscode-Modell unterstützt auch die Sieben-Tage-Frist für die Eingangsbestätigung und die Drei-Monats-Frist für die Rückmeldung, da die hinweisgebende Person das Portal jederzeit aufrufen kann, um zu prüfen, ob eine Bestätigung oder Rückmeldung vorliegt.</p> <hr> <h2 id="warum-beide-optionen-anzubieten-der-richtige-ansatz-ist"> Warum beide Optionen anzubieten der richtige Ansatz ist <a href="#warum-beide-optionen-anzubieten-der-richtige-ansatz-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die stärksten Meldekanäle geben Hinweisgeber:innen die Wahl: anonym einreichen oder die Identität unter Zusicherung der Vertraulichkeit offenlegen.</p> <p>Die Gründe:</p> <ul> <li><strong>Unterschiedliche Situationen erfordern unterschiedliche Ansätze.</strong> Eine nachgeordnete Mitarbeiterin, die Betrug durch einen Vorstand meldet, wählt möglicherweise Anonymität. Eine Abteilungsleitung, die ein Sicherheitsproblem meldet, offenbart sich vielleicht lieber, damit die Ermittlung schneller vorankommt.</li> <li><strong>Wahlfreiheit schafft Vertrauen.</strong> Wenn Hinweisgeber:innen sehen, dass Anonymität echt verfügbar ist, vertrauen sie dem Kanal mehr — auch diejenigen, die sich letztlich identifizieren.</li> <li><strong>Rechtliche Absicherung.</strong> In Mitgliedstaaten, die anonyme Meldungen verlangen, sind Sie konform. In den übrigen übertreffen Sie den Mindeststandard.</li> <li><strong>Höhere Meldequoten.</strong> Der <a href="https://www.acfe.com/report-to-the-nations/2024/">ACFE Report to the Nations (2024)</a> zeigt, dass Hinweise die häufigste Methode zur Aufdeckung von Betrug sind (43 % der Fälle) und anonyme Hotlines das Hinweisaufkommen deutlich erhöhen.</li> </ul> <p>Die Erwägungsgründe der Richtlinie selbst erkennen dies an: Die Zulassung anonymer Meldungen <em>fördert</em> das Melden und macht Kanäle wirksamer.</p> <hr> <h2 id="wie-ethicsportal-damit-umgeht"> Wie EthicsPortal damit umgeht <a href="#wie-ethicsportal-damit-umgeht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal unterstützt sowohl anonyme als auch vertrauliche Meldungen:</p> <ul> <li><strong>Anonym als Standard.</strong> Hinweisgeber:innen müssen nie ihre Identität angeben. Kein Name, keine E-Mail, kein Konto.</li> <li><strong>Optionale Identitätsangabe.</strong> Hinweisgeber:innen können freiwillig Namen oder Kontaktdaten angeben. Dies ist vollständig freiwillig.</li> <li><strong>Nachrichten per Zugangscode.</strong> Jede Meldung erzeugt einen eindeutigen Zugangscode. Die hinweisgebende Person nutzt ihn, um Aktualisierungen zu prüfen und mit der bearbeitenden Person zu kommunizieren, ohne ihre Identität preiszugeben.</li> <li><strong>Vertraulichkeit durchgesetzt.</strong> Gibt eine hinweisgebende Person ihre Identität preis, stellen Zugriffskontrollen sicher, dass nur benannte Fallbearbeiter:innen sie einsehen können.</li> </ul> <p>So haben Hinweisgeber:innen die volle Kontrolle über ihr Exponiertheitsniveau, während Fallbearbeiter:innen die nötigen Werkzeuge für eine wirksame Ermittlung erhalten.</p> <hr> <h2 id="fazit"> Fazit <a href="#fazit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonym bedeutet: Die bearbeitende Person weiß nicht, wer Sie sind. Vertraulich bedeutet: Sie weiß es, darf es aber niemandem mitteilen. Beide Ansätze dienen dem Schutz von Hinweisgeber:innen, tun dies jedoch auf unterschiedliche Weise.</p> <p>Die EU-Richtlinie schreibt Vertraulichkeit zwingend vor. Anonyme Meldungen überlässt sie den Mitgliedstaaten, von denen die meisten sie inzwischen vorschreiben oder empfehlen. Der sicherste Weg — für Ihre Hinweisgeber:innen wie für Ihre Compliance-Position — ist, beides anzubieten.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/how-to-implement-whistleblower-channel/Sun, 01 Feb 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/how-to-implement-whistleblower-channel/Schritt-für-Schritt-Anleitung zur schnellen Einrichtung eines konformen Meldekanals für Hinweisgeber:innen --- ohne wochenlanges Onboarding oder Vertriebsgespräche.<h1 id="meldekanal-für-hinweisgeberinnen-in-5-minuten-einrichten"> Meldekanal für Hinweisgeber:innen in 5 Minuten einrichten <a href="#meldekanal-f%c3%bcr-hinweisgeberinnen-in-5-minuten-einrichten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Alle EU-Mitgliedstaaten verpflichten inzwischen Organisationen ab 50 Beschäftigten, einen internen Meldekanal zu betreiben — über nationale Gesetze wie das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, die <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien und das <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen, die alle die EU-Richtlinie 2019/1937 umsetzen. Die Pflicht ist eindeutig, aber die meisten Umsetzungen dauern deutlich länger als nötig.</p> <p>Diese Anleitung erklärt, was das Gesetz konkret vom Kanal verlangt, warum Konzerntools den Prozess unnötig verlangsamen und wie Sie in Minuten einen funktionierenden Kanal live schalten.</p> <hr> <h2 id="was-die-richtlinie-verlangt"> Was die Richtlinie verlangt <a href="#was-die-richtlinie-verlangt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 8 und Art. 9 legen fest, was ein interner Meldekanal leisten muss:</p> <ul> <li>Meldungen schriftlich oder mündlich entgegennehmen</li> <li>Anonyme Meldungen zulassen (in einigen Mitgliedstaaten verpflichtend, überall empfohlen)</li> <li>Zwei-Wege-Kommunikation mit der hinweisgebenden Person ermöglichen, auch bei Anonymität</li> <li>Sicherstellen, dass nur autorisierte Personen Zugriff haben</li> <li>Eingangsbestätigung innerhalb von sieben Kalendertagen</li> <li>Rückmeldung innerhalb von drei Monaten</li> </ul> <p>Das ist das gesetzliche Minimum. Keine bestimmte Technologie ist vorgeschrieben — die Richtlinie ist technologieneutral. Ein Webportal, eine Telefonleitung oder sogar ein verschlossener Briefkasten können in Frage kommen, solange die Anforderungen erfüllt sind.</p> <hr> <h2 id="warum-die-meisten-umsetzungen-wochen-dauern"> Warum die meisten Umsetzungen Wochen dauern <a href="#warum-die-meisten-umsetzungen-wochen-dauern" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Enterprise-Plattformen sind auf große Organisationen mit komplexer Beschaffung ausgelegt. Ein typischer Ablauf:</p> <ol> <li><strong>Demo anfragen</strong> — Formular ausfüllen, auf Rückruf vom Vertrieb warten</li> <li><strong>An der Demo teilnehmen</strong> — 30- bis 60-minütiger Call, in dem der Anbieter Funktionen zeigt, die Sie vielleicht nicht brauchen</li> <li><strong>Angebot erhalten</strong> — individuelle Preise nach Beschäftigtenzahl, Modulen und Add-ons</li> <li><strong>Vertrag verhandeln</strong> — Rechtsprüfung, AVV-Unterzeichnung, Einkaufsfreigabe</li> <li><strong>Onboarding-Kick-off</strong> — ein Projektverantwortlicher wird benannt, ein weiterer Call geplant</li> <li><strong>Konfiguration</strong> — der Anbieter richtet Portal, Kategorien und Branding ein (oder schult Sie dafür)</li> <li><strong>Test und Start</strong> — prüfen, abnehmen, live gehen</li> </ol> <p>Für ein Unternehmen mit 100 Beschäftigten, das einfach einen konformen Kanal braucht, sind das Wochen und Stunden voller Meetings. Dieser Prozess ist für Konzerne gemacht, wo sechs Wochen Beschaffung normal sind. Für ein KMU ist er Reibung, die Compliance verzögert.</p> <hr> <h2 id="5-minuten-einrichtung-mit-ethicsportal"> 5-Minuten-Einrichtung mit EthicsPortal <a href="#5-minuten-einrichtung-mit-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist für das Gegenteil gebaut: Sie brauchen einen konformen Kanal — und zwar heute.</p> <h3 id="schritt-1-anmelden-1-minute"> Schritt 1: Anmelden (1 Minute) <a href="#schritt-1-anmelden-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Rufen Sie <a href="/de/">ethicsportal.eu</a> auf und erstellen Sie ein Konto. Keine Demo-Anfrage, kein Vertriebsanruf, kein „Preis auf Anfrage". E-Mail eingeben, Passwort setzen, fertig.</p> <h3 id="schritt-2-portal-konfigurieren-2-minuten"> Schritt 2: Portal konfigurieren (2 Minuten) <a href="#schritt-2-portal-konfigurieren-2-minuten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Im Dashboard richten Sie Ihr Meldeportal ein:</p> <ul> <li><strong>Organisationsname</strong> — erscheint im Portal, damit Hinweisgeber:innen wissen, dass sie richtig sind</li> <li><strong>Meldekategorien</strong> — welche Themen können gemeldet werden (Betrug, Belästigung, Sicherheitsverstöße etc.). Sinnvolle Vorgaben sind vorhanden.</li> <li><strong>Begrüßungstext</strong> — die Nachricht, die Hinweisgeber:innen beim Öffnen des Portals sehen. Ein klarer, beruhigender Standardtext ist vorbelegt.</li> <li><strong>Logo</strong> — passend zur visuellen Identität Ihrer Organisation</li> <li><strong>Sprache</strong> — Portalsprache für Ihre Hinweisgeber:innen wählen</li> </ul> <p>Das Portal ist unter einer eindeutigen URL live, sobald Sie speichern. Kein Deployment, keine Wartezeit.</p> <h3 id="schritt-3-portal-an-beschäftigte-kommunizieren-1-minute"> Schritt 3: Portal an Beschäftigte kommunizieren (1 Minute) <a href="#schritt-3-portal-an-besch%c3%a4ftigte-kommunizieren-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Jedes Portal erhält einen teilbaren Link und einen QR-Code. Sie können:</p> <ul> <li>Den Link per E-Mail an alle Beschäftigten senden</li> <li>Den QR-Code drucken und in Pausenräumen, Büros oder Gemeinschaftsbereichen aushängen</li> <li>Den Link im Intranet oder Mitarbeiterhandbuch einbinden</li> <li>Ihn in Ihre schriftliche Hinweisgeberrichtlinie aufnehmen</li> </ul> <h3 id="schritt-4-meldungen-empfangen-und-bearbeiten-1-minute"> Schritt 4: Meldungen empfangen und bearbeiten (1 Minute) <a href="#schritt-4-meldungen-empfangen-und-bearbeiten-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wenn jemand eine Meldung über das Portal einreicht, werden Sie benachrichtigt. Im Dashboard können Sie:</p> <ul> <li>Die Meldung lesen</li> <li>Sicher über Zwei-Wege-Nachrichten mit der hinweisgebenden Person kommunizieren (auch anonym — über einen Zugangscode)</li> <li>Die Sieben-Tage-Eingangsbestätigungsfrist verfolgen</li> <li>Die Drei-Monats-Rückmeldefrist verfolgen</li> <li>Den Fallstatus aktualisieren und interne Notizen hinzufügen</li> <li>Den Fall mit dokumentiertem Ergebnis abschließen</li> </ul> <p>Das war’s. Ihr Kanal ist live, konform und bereit für Meldungen.</p> <hr> <h2 id="was-nach-der-einrichtung-zu-tun-ist"> Was nach der Einrichtung zu tun ist <a href="#was-nach-der-einrichtung-zu-tun-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Meldekanal ist das technische Fundament, Compliance erfordert aber auch organisatorische Schritte:</p> <h3 id="fallbearbeiterin-benennen"> Fallbearbeiter:in benennen <a href="#fallbearbeiterin-benennen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Benennen Sie eine oder mehrere Personen für Entgegennahme und Ermittlung. Sie sollten unparteiisch sein und nicht voraussichtlich selbst Gegenstand von Meldungen werden. Typisch: Compliance-Verantwortliche, Rechtsabteilung oder leitende HR-Verantwortliche. In kleinen Organisationen kann die Geschäftsführung die Rolle übernehmen.</p> <h3 id="bearbeiterinnen-schulen"> Bearbeiter:innen schulen <a href="#bearbeiterinnen-schulen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Bearbeiter:innen müssen verstehen: wie die Plattform genutzt wird, Vertraulichkeitspflichten, die Sieben-Tage- und Drei-Monats-Fristen, Grundlagen interner Ermittlungen und Regeln zum Schutz vor Repressalien.</p> <h3 id="hinweisgeberrichtlinie-schreiben"> Hinweisgeberrichtlinie schreiben <a href="#hinweisgeberrichtlinie-schreiben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dokumentieren Sie, wie Ihre Organisation mit Meldungen umgeht. Behandeln Sie Geltungsbereich, Wer kann melden, Vertraulichkeit, Schutz vor Repressalien und Ermittlungsprozess. Nutzen Sie unsere <a href="/de/blog/whistleblower-policy-template/">kostenlose Vorlage</a> als einsatzbereites Dokument.</p> <h3 id="beschäftigte-informieren"> Beschäftigte informieren <a href="#besch%c3%a4ftigte-informieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Richtlinie verpflichtet Sie, Beschäftigte aktiv über den Kanal zu informieren. Senden Sie eine E-Mail, posten Sie im Intranet, sprechen Sie es in Teammeetings an und integrieren Sie es ins Onboarding. Der QR-Code erleichtert das — drucken und gut sichtbar platzieren.</p> <hr> <h2 id="häufige-fehler"> Häufige Fehler <a href="#h%c3%a4ufige-fehler" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Eine generische E-Mail-Adresse nutzen.</strong> Eine Adresse wie <a href="mailto:compliance@firma.de">compliance@firma.de</a> erfüllt die Anforderungen der Richtlinie in den meisten Fällen nicht. E-Mail bietet keine Verschlüsselung, keine anonyme Meldung und keine Zwei-Wege-Kommunikation mit anonymen Hinweisgeber:innen.</p> <p><strong>Hinweisgeber:innen zur Identifizierung zwingen.</strong> Die Richtlinie verlangt nicht einheitlich anonyme Meldungen, mehrere nationale Gesetze tun es jedoch (z. B. schreibt <a href="/de/whistleblower-laws/belgium/">Belgien</a> anonyme Meldungen für Unternehmen ab 250 Beschäftigten vor). Pflicht zur Identifizierung schreckt vom Melden ab. Lassen Sie Anonymität standardmäßig zu.</p> <p><strong>Fristen vergessen.</strong> Sieben Tage Eingangsbestätigung, drei Monate Rückmeldung. Das sind keine Empfehlungen — es sind Rechtspflichten. Fristüberschreitung ist ein Compliance-Versagen. Nutzen Sie ein System, das Fristen automatisch verfolgt.</p> <p><strong>Keine bearbeitende Person benennen.</strong> Der Kanal ist ein Briefkasten. Jemand muss ihn öffnen, die Meldungen lesen und handeln. Ist niemand benannt, bleiben Meldungen unbeantwortet und Fristen verstreichen.</p> <p><strong>Die Einrichtung überkomplizieren.</strong> Sie brauchen keine vollständige GRC-Suite, keine Individualintegrationen und keine sechsmonatige Einführung, um konform zu sein. Ein funktionierender Kanal mit anonymer Meldung, Zwei-Wege-Kommunikation und Fristenverfolgung deckt die gesetzlichen Anforderungen ab. Einfach starten, nur bei Bedarf ausbauen.</p> <hr> <h2 id="loslegen"> Loslegen <a href="#loslegen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="/de/">EthicsPortal</a> kostet pauschal 49 €/Monat — keine Pro-Kopf-Preise, keine Jahresverträge, keine Vertriebsanrufe. Richten Sie Ihren konformen Meldekanal in Minuten ein und konzentrieren Sie sich auf das Wesentliche: den Schutz derjenigen, die den Mund aufmachen.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/compliance-checklist/Thu, 15 Jan 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/compliance-checklist/Eine praxisnahe 12-Schritte-Checkliste zur Umsetzung der EU-Richtlinie 2019/1937 und nationaler Umsetzungsgesetze, mit Artikelverweisen, Tipps und Hinweisen zur Umsetzung.<h1 id="compliance-checkliste-zur-eu-hinweisgeberrichtlinie-für-unternehmen"> Compliance-Checkliste zur EU-Hinweisgeberrichtlinie für Unternehmen <a href="#compliance-checkliste-zur-eu-hinweisgeberrichtlinie-f%c3%bcr-unternehmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Alle 27 EU-Mitgliedstaaten haben die EU-Richtlinie 2019/1937 in nationales Recht umgesetzt — darunter das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, die <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien, <a href="/de/whistleblower-laws/italy/">D.Lgs. 24/2023</a> in Italien und das <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen. Ihre Organisation muss das nationale Recht im Land ihrer Tätigkeit einhalten, und die Durchsetzung ist aktiv.</p> <p>Diese Checkliste führt Sie in zwölf Schritten zur vollständigen Compliance. Zu jedem Punkt nennen wir den einschlägigen Artikel der Richtlinie, geben praktische Hinweise und zeigen auf, wo Tools unterstützen können. Länderspezifische Anforderungen finden Sie in unserer Übersicht der <a href="/de/whistleblower-laws/">Hinweisgebergesetze nach Land</a>.</p> <hr> <h2 id="die-checkliste"> Die Checkliste <a href="#die-checkliste" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-anwendungsbereich-prüfen"> 1. Anwendungsbereich prüfen <a href="#1-anwendungsbereich-pr%c3%bcfen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 8 Abs. 3–4</p> <p>Alle juristischen Personen im privaten Sektor mit mindestens 50 Beschäftigten müssen interne Meldekanäle einrichten. <a href="/de/industries/public-sector/">Öffentliche Stellen</a>, Kommunen und Einrichtungen in bestimmten regulierten Sektoren (<a href="/de/industries/financial-services/">Finanzdienstleistungen</a>, Luftfahrtsicherheit, Seeverkehr etc.) sind unabhängig von der Größe einbezogen.</p> <p><strong>Praxistipp:</strong> Zählen Sie alle Beschäftigten, nicht nur Vollzeitkräfte. Teilzeitbeschäftigte, Fremdpersonal vor Ort und Leiharbeitnehmer:innen können je nach nationalem Recht in die Schwelle eingerechnet werden. Einige Länder gehen weiter: <a href="/de/whistleblower-laws/italy/">Italien</a> verlangt unabhängig von der Größe einen Kanal für alle Unternehmen mit einem Modell-231-Compliance-Programm, und <a href="/de/whistleblower-laws/spain/">Spanien</a> erfasst alle öffentlichen Stellen.</p> <hr> <h3 id="2-internen-meldekanal-einrichten"> 2. Internen Meldekanal einrichten <a href="#2-internen-meldekanal-einrichten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 8 Abs. 1, Art. 9 Abs. 1 lit. a</p> <p>Der Kanal muss schriftliche Meldungen (Online-Formular, E-Mail, Post) oder mündliche Meldungen (Telefon, Sprachnachrichtensystem) ermöglichen — oder beides. Auf Anfrage muss zusätzlich ein persönliches Treffen innerhalb einer angemessenen Frist möglich sein.</p> <p><strong>Praxistipp:</strong> Ein webbasiertes Portal ist die praktikabelste Option — rund um die Uhr verfügbar, automatische Protokollierung, Unterstützung anonymer Zwei-Wege-Kommunikation. Vermeiden Sie generische E-Mail-Adressen; sie bieten weder Verschlüsselung noch Anonymität noch Audit-Protokolle.</p> <p><strong>Wie EthicsPortal hilft:</strong> Bietet ein markenindividualisiertes Webportal mit verschlüsselter anonymer Meldung und Zwei-Wege-Nachrichten, in Minuten einsatzbereit.</p> <hr> <h3 id="3-unparteiische-person-oder-stelle-für-die-fallbearbeitung-benennen"> 3. Unparteiische Person oder Stelle für die Fallbearbeitung benennen <a href="#3-unparteiische-person-oder-stelle-f%c3%bcr-die-fallbearbeitung-benennen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. c</p> <p>Sie müssen eine Person oder Stelle benennen, die für die Nachverfolgung von Meldungen zuständig ist. Diese muss unparteiisch sein und darf keinen Interessenkonflikt zum Inhalt der Meldungen haben.</p> <p><strong>Praxistipp:</strong> Häufige Besetzungen sind Compliance-Verantwortliche, Rechtsabteilung, HR-Leitung oder eine externe Ombudsperson. In kleineren Organisationen kann die Geschäftsführung diese Rolle übernehmen, sofern sie nicht voraussichtlich selbst Gegenstand von Meldungen wird. Benennen Sie auch eine Vertretung.</p> <hr> <h3 id="4-prozess-für-die-eingangsbestätigung-aufsetzen-7-tage-frist"> 4. Prozess für die Eingangsbestätigung aufsetzen (7-Tage-Frist) <a href="#4-prozess-f%c3%bcr-die-eingangsbest%c3%a4tigung-aufsetzen-7-tage-frist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. b</p> <p>Sie müssen den Eingang einer Meldung innerhalb von sieben Kalendertagen bestätigen. Dies gilt für alle Meldungen, einschließlich anonymer.</p> <p><strong>Praxistipp:</strong> Automatisieren Sie diesen Schritt. Ein manueller Prozess birgt das Risiko, die Sieben-Tage-Frist über Feiertage oder Abwesenheiten hinaus zu überschreiten.</p> <p><strong>Wie EthicsPortal hilft:</strong> Verfolgt die Eingangsbestätigungsfrist für jede Meldung und zeigt Fallbearbeiter:innen an, welche Meldungen ihre Aufmerksamkeit benötigen.</p> <hr> <h3 id="5-rückmeldungsprozess-definieren-3-monats-frist"> 5. Rückmeldungsprozess definieren (3-Monats-Frist) <a href="#5-r%c3%bcckmeldungsprozess-definieren-3-monats-frist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. f</p> <p>Sie müssen der hinweisgebenden Person innerhalb von drei Monaten ab der Eingangsbestätigung Rückmeldung geben. Rückmeldung umfasst: ob die Meldung geprüft wird, untersucht wird oder abgeschlossen ist, sowie das Ergebnis etwaiger Ermittlungen.</p> <p><strong>Praxistipp:</strong> „Rückmeldung" erfordert keine vollständige Offenlegung des Ermittlungsergebnisses. Die Information, dass die Angelegenheit untersucht und angemessene Maßnahmen ergriffen wurden, reicht aus. Bei anonymen Hinweisgeber:innen muss die Rückmeldung über den Meldekanal verfügbar sein (z. B. per Zugangscode).</p> <p><strong>Wie EthicsPortal hilft:</strong> Verfolgt die Drei-Monats-Rückmeldefrist pro Fall und unterstützt Zwei-Wege-Kommunikation mit anonymen Hinweisgeber:innen per Zugangscode.</p> <hr> <h3 id="6-vertraulichkeitsmaßnahmen-umsetzen"> 6. Vertraulichkeitsmaßnahmen umsetzen <a href="#6-vertraulichkeitsma%c3%9fnahmen-umsetzen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 16</p> <p>Die Identität der hinweisgebenden Person darf ohne deren ausdrückliche Zustimmung niemandem außerhalb der autorisierten Fallbearbeitung offengelegt werden. Das gilt auch für Informationen, aus denen die Identität mittelbar abgeleitet werden kann.</p> <p><strong>Praxistipp:</strong> Begrenzen Sie den Zugriff auf Meldungen strikt. Teilen Sie Meldedetails nicht in Besprechungen mit nicht autorisierten Personen. Beim internen Verweisen von Fällen: identifizierende Angaben zur hinweisgebenden Person schwärzen. Stellen Sie sicher, dass Ihre IT-Systeme Zugriffskontrollen durchsetzen.</p> <p><strong>Wie EthicsPortal hilft:</strong> Rollenbasierte Zugriffskontrolle stellt sicher, dass nur benannte Fallbearbeiter:innen Meldungen einsehen. Die Identität der hinweisgebenden Person wird nie offengelegt, sofern sie diese nicht freiwillig preisgibt.</p> <hr> <h3 id="7-schutz-vor-repressalien-etablieren"> 7. Schutz vor Repressalien etablieren <a href="#7-schutz-vor-repressalien-etablieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 19, 20, 21</p> <p>Hinweisgebende Personen, Unterstützende und verbundene Dritte müssen vor Repressalien geschützt werden. Die Richtlinie definiert Repressalien weit: Kündigung, Degradierung, Einschüchterung, Blacklisting und mehr. Die Beweislast wird umgekehrt — erleidet eine hinweisgebende Person nach einer Meldung einen Nachteil, muss der Arbeitgeber nachweisen, dass der Nachteil nicht mit der Meldung zusammenhängt.</p> <p><strong>Praxistipp:</strong> Dokumentieren Sie diesen Schutz in Ihrer Hinweisgeberrichtlinie. Schulen Sie Führungskräfte, was als Repressalie gilt. Dokumentieren Sie personelle Maßnahmen gegenüber Personen, die eine Meldung erstattet haben, um nachweisen zu können, dass Entscheidungen auf legitimen Gründen beruhten.</p> <hr> <h3 id="8-fallbearbeiterinnen-schulen"> 8. Fallbearbeiter:innen schulen <a href="#8-fallbearbeiterinnen-schulen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. c–f (implizit)</p> <p>Die Richtlinie schreibt keine konkrete Schulung vor, aber Fallbearbeiter:innen müssen in der Lage sein, die Pflichten zu erfüllen: Vertraulichkeit wahren, Eingangsbestätigung binnen sieben Tagen, sorgfältige Nachverfolgung und Rückmeldung binnen drei Monaten.</p> <p><strong>Praxistipp:</strong> Mindestinhalte der Schulung: Nutzung des Meldekanals, Vertraulichkeitspflichten, Grundlagen der Ermittlung, Regeln zum Schutz vor Repressalien und Datenschutz. Dokumentieren Sie die Schulung. Jährliche Auffrischung.</p> <hr> <h3 id="9-beschäftigte-über-den-meldekanal-informieren"> 9. Beschäftigte über den Meldekanal informieren <a href="#9-besch%c3%a4ftigte-%c3%bcber-den-meldekanal-informieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. g</p> <p>Sie müssen klare und leicht zugängliche Informationen zur Nutzung des internen Meldekanals bereitstellen. Zusätzlich müssen Sie Beschäftigte über ihr Recht informieren, extern bei zuständigen Behörden zu melden.</p> <p><strong>Praxistipp:</strong> Veröffentlichen Sie die Informationen im Intranet, nehmen Sie sie in Onboarding-Materialien auf und hängen Sie sie in allgemein zugänglichen Bereichen aus. Ein QR-Code zum Meldeportal macht den Kanal wirksam auffindbar.</p> <p><strong>Wie EthicsPortal hilft:</strong> Generiert einen QR-Code und einen teilbaren Link zu Ihrem Portal, den Sie drucken und verteilen können.</p> <hr> <h3 id="10-aufbewahrung-und-löschung-regeln"> 10. Aufbewahrung und Löschung regeln <a href="#10-aufbewahrung-und-l%c3%b6schung-regeln" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 17 Abs. 1–3</p> <p>Personenbezogene Daten in Meldungen dürfen nicht länger als nötig gespeichert werden. Daten, die offensichtlich nicht relevant sind, sind unverzüglich zu löschen. Konkrete Aufbewahrungsfristen richten sich nach dem nationalen Recht, der Grundsatz lautet jedoch: so lange aufbewahren, wie für die Ermittlung und etwaige Folgeverfahren nötig, dann löschen.</p> <p><strong>Praxistipp:</strong> Legen Sie eine Aufbewahrungsfrist in Ihrer Richtlinie fest. Nationale Gesetze variieren — zum Beispiel verlangt <a href="/de/whistleblower-laws/france/">Frankreich</a> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046357368">5 Jahre</a>, <a href="/de/whistleblower-laws/germany/">Deutschland</a> <a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">3 Jahre</a> (§ 11 HinSchG) und <a href="/de/whistleblower-laws/italy/">Italien</a> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">5 Jahre</a> (D.Lgs. 24/2023). Einen vollständigen Vergleich finden Sie in unserem Leitfaden <a href="/de/blog/gdpr-and-whistleblower-reporting/">DSGVO und Hinweisgebermeldungen</a>. Setzen Sie Kalendererinnerungen, um abgeschlossene Fälle zu prüfen und zu löschen.</p> <hr> <h3 id="11-schriftliche-hinweisgeberrichtlinie-vorbereiten"> 11. Schriftliche Hinweisgeberrichtlinie vorbereiten <a href="#11-schriftliche-hinweisgeberrichtlinie-vorbereiten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 8, 9 (implizit) sowie die meisten nationalen Umsetzungsgesetze</p> <p>Die Richtlinie selbst verlangt zwar kein eigenständiges Policy-Dokument ausdrücklich, die meisten nationalen Umsetzungsgesetze tun es jedoch, und es ist praktisch notwendig, um die Informationspflichten aus Art. 9 Abs. 1 lit. g zu erfüllen.</p> <p><strong>Praxistipp:</strong> Ihre Richtlinie sollte umfassen: Geltungsbereich, Wer kann melden, Was kann gemeldet werden, Wie gemeldet wird, Vertraulichkeit, Schutz vor Repressalien, Ermittlungsprozess, Rückmeldefristen und Datenschutz. Nutzen Sie unsere <a href="/de/blog/whistleblower-policy-template/">kostenlose Vorlage für eine Hinweisgeberrichtlinie</a> als einsatzbereites Dokument.</p> <hr> <h3 id="12-compliance-für-die-aufsichtsrechtliche-prüfung-dokumentieren"> 12. Compliance für die aufsichtsrechtliche Prüfung dokumentieren <a href="#12-compliance-f%c3%bcr-die-aufsichtsrechtliche-pr%c3%bcfung-dokumentieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 11 Abs. 2 (externe Kanäle), nationale Umsetzungsgesetze (interne)</p> <p>Mehrere Mitgliedstaaten verlangen, dass Organisationen die Erfüllung ihrer Pflichten dokumentieren und die Unterlagen den Behörden auf Anfrage vorlegen.</p> <p><strong>Praxistipp:</strong> Dokumentieren Sie: Wann der Meldekanal eingerichtet wurde, wer als Fallbearbeiter:in benannt ist, Schulungsnachweise, die Hinweisgeberrichtlinie (mit Versionshistorie) sowie aggregierte Statistiken zu empfangenen und bearbeiteten Meldungen. Speichern Sie Einzelfalldaten nicht länger, als Ihre Aufbewahrungsfrist zulässt.</p> <hr> <h2 id="nächste-schritte"> Nächste Schritte <a href="#n%c3%a4chste-schritte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wenn Sie alle Punkte abgehakt haben, erfüllt Ihre Organisation die Kernanforderungen der Richtlinie und ihrer nationalen Umsetzung. Compliance ist keine einmalige Angelegenheit — überprüfen Sie Ihren Aufbau jährlich, schulen Sie Bearbeiter:innen nach und aktualisieren Sie Ihre Richtlinie, wenn sich das nationale Recht ändert. Länderspezifische Anforderungen, die über die Richtlinie hinausgehen, finden Sie in unserer Übersicht der <a href="/de/whistleblower-laws/">Hinweisgebergesetze nach Land</a>.</p> <p>Benötigen Sie einen Meldekanal? <a href="/de/">EthicsPortal</a> stellt in Minuten ein konformes, anonymes Meldeportal bereit — pauschal 49 €/Monat, keine Pro-Kopf-Preise, keine Vertriebsanrufe. <a href="/de/">Heute starten</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/eu-whistleblower-directive-2019-1937-adopted/Wed, 23 Oct 2019 00:00:00 +0000https://ethicsportal.eu/de/blog/eu-whistleblower-directive-2019-1937-adopted/Das Europäische Parlament und der Rat nehmen die Richtlinie (EU) 2019/1937 formell an und schaffen einen EU-weiten Schutz für Personen, die Verstöße gegen das Unionsrecht melden.<h1 id="eu-richtlinie-20191937-zum-hinweisgeberschutz-angenommen"> EU-Richtlinie 2019/1937 zum Hinweisgeberschutz angenommen <a href="#eu-richtlinie-20191937-zum-hinweisgeberschutz-angenommen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Am 23. Oktober 2019 haben das Europäische Parlament und der Rat die <a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/deu">Richtlinie (EU) 2019/1937</a> zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, formell angenommen. Die Plenarabstimmung erfolgte mit 591 Ja-Stimmen, 29 Nein-Stimmen und 33 Enthaltungen.</p> <p>Die Richtlinie verpflichtet jede Organisation ab 50 Beschäftigten zur Einrichtung sicherer interner Meldekanäle, zum Schutz hinweisgebender Personen vor Repressalien und zur Rückmeldung innerhalb von drei Monaten. Die Mitgliedstaaten hatten bis zum 17. Dezember 2021 Zeit zur Umsetzung in nationales Recht.</p> <a href="https://multimedia.europarl.europa.eu/en/video/protecting-democracy-by-protecting-whistleblowers_N01-PUB-190408-BLOW" style="display: block; padding: 1.5rem; border: 1px solid #ddd; border-radius: 0.5rem; text-decoration: none; color: inherit; margin: 2rem 0;"> <strong>▶ Video: Schutz der Demokratie durch Schutz hinweisgebender Personen</strong><br> <span style="color: #666; font-size: 0.875rem;">Multimedia-Zentrum des Europäischen Parlaments · 1:28</span> </a> <h2 id="was-die-richtlinie-verlangt"> Was die Richtlinie verlangt <a href="#was-die-richtlinie-verlangt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Interne Meldekanäle</strong> (Art. 8) — sichere, vertrauliche Kanäle, die allen Beschäftigten — einschließlich Selbstständigen und Zulieferern — offenstehen</li> <li><strong>7-Tage-Eingangsbestätigung</strong> (Art. 9) — Organisationen müssen den Eingang einer Meldung innerhalb von sieben Kalendertagen bestätigen</li> <li><strong>3-Monats-Rückmeldefrist</strong> (Art. 9) — hinweisgebende Personen müssen innerhalb von drei Monaten Rückmeldung zu ergriffenen Maßnahmen erhalten</li> <li><strong>Repressalienverbot</strong> (Art. 19–21) — Kündigung, Degradierung, Einschüchterung und sonstige Repressalien sind verboten</li> <li><strong>Umkehr der Beweislast</strong> (Art. 21 Abs. 5) — sobald die hinweisgebende Person darlegt, gemeldet und eine Benachteiligung erlitten zu haben, muss der Arbeitgeber nachweisen, dass die Maßnahme nicht im Zusammenhang stand</li> <li><strong>Externe und öffentliche Meldung</strong> (Art. 10, 15) — der Schutz gilt auch bei Meldungen an zuständige Behörden und — als letztes Mittel — bei öffentlichen Offenlegungen</li> </ul> <hr> <h2 id="plenardebatte"> Plenardebatte <a href="#plenardebatte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Das Europäische Parlament debattierte die Richtlinie in seiner Plenarsitzung in Straßburg. Auszüge aus der Debatte sind im Multimedia-Zentrum des Parlaments verfügbar:</p> <p><a href="https://multimedia.europarl.europa.eu/en/video/protection-of-whistle-blowers-extracts-from-the-debate_I123987">Plenardebatte zum Hinweisgeberschutz ansehen</a></p> <hr> <h2 id="amtliche-quellen"> Amtliche Quellen <a href="#amtliche-quellen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/deu">Volltext der Richtlinie (EU) 2019/1937</a> — EUR-Lex</li> <li><a href="https://commission.europa.eu/aid-development-cooperation-fundamental-rights/your-fundamental-rights-eu/protection-whistleblowers_de">Schutz von Hinweisgebern</a> — Europäische Kommission</li> <li><a href="https://www.europarl.europa.eu/news/en/press-room/20190410IPR37529/protecting-whistle-blowers-new-eu-wide-rules-approved">New EU-wide rules approved</a> — Pressemitteilung des Europäischen Parlaments</li> <li><a href="https://multimedia.europarl.europa.eu/en/topic/protection-of-whistleblowers-8th-parliamentary-term_9901">Alle Multimedia-Inhalte zum Hinweisgeberschutz</a> — Multimedia-Zentrum des Europäischen Parlaments</li> <li><a href="https://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-whistle-blower-protection-proposal">Legislative train schedule</a> — Europäisches Parlament</li> </ul>support@ethicsportal.eu (EthicsPortal)