5. April 2026

Worauf Sie bei Hinweisgeber-Compliance-Software achten sollten #

Die EU-Hinweisgeberschutzrichtlinie verpflichtet Ihre Organisation, einen sicheren internen Meldekanal zu betreiben. Aber nicht jedes Tool, das Richtlinien-Compliance bewirbt, liefert sie auch.

So bewerten Sie, worauf es ankommt.

Was ein Hinweisgeber-Meldetool tatsächlich leisten muss #

Die Anforderungen der Richtlinie lassen sich in fünf Kernfunktionen übersetzen:

1. Eine hinweisgebende Person reicht eine Meldung über einen sicheren Kanal ein.
2. Die Meldung wird vertraulich in einem verschlüsselten System gespeichert.
3. Eine benannte bearbeitende Person prüft sie und antwortet.
4. Das System verfolgt die 7-Tage-Eingangsbestätigungs- und 3-Monats-Rückmeldefristen.
5. Jede Aktion wird in einem unveränderlichen Audit-Protokoll erfasst.

Diese fünf Funktionen sind die Compliance-Basis. Jedes evaluierte Tool sollte darlegen, wie es jede dieser Funktionen umsetzt.

Funktionen, die für Compliance zählen #

Bei der Bewertung von Plattformen sollten Sie sich auf das konzentrieren, was die Richtlinie tatsächlich verlangt:

• Anonyme Meldung — Art. 6 Abs. 1 verlangt Vertraulichkeit. Die stärkste Umsetzung bedeutet: kein IP-Logging, kein Tracking und automatische Entfernung von Dateimetadaten (EXIF, GPS, Autorenangaben), die die Identität offenbaren könnten.
• Zwei-Wege-Kommunikation — Art. 9 Abs. 1 lit. b verlangt die Nachverfolgung mit der hinweisgebenden Person. Das erfordert sicheres Messaging, ohne dass die hinweisgebende Person ein Konto anlegen oder ihre Identität offenbaren muss.
• Fristenverfolgung — Art. 9 Abs. 1 lit. b und f setzen die 7-Tage- und 3-Monats-Fristen. Automatisierte Verfolgung mit Benachrichtigungen verhindert Compliance-Ausfälle.
• Audit-Protokoll — Art. 18 verlangt Dokumentation. Ein unveränderliches Protokoll aller Aktionen liefert den Nachweis, den Aufsichtsbehörden und Prüfer:innen erwarten.
• EU-Datenhaltung — Die DSGVO gilt für alle Meldedaten. Hosting innerhalb der EU vereinfacht Compliance und vermeidet Fragen grenzüberschreitender Übermittlung.
• Steuerung der Aufbewahrung — Art. 17 Abs. 1 lit. d verlangt definierte Aufbewahrungsfristen. Konfigurierbare automatische Löschung stellt sicher, dass Daten nicht länger als nötig gespeichert werden.

Funktionen, die beeindruckend klingen, aber nicht in der Richtlinie stehen #

Manche Plattformen heben Fähigkeiten hervor, die über die Compliance-Anforderungen hinausgehen:

• „KI-gestütztes Risk-Scoring"
• „Sentiment-Analyse"
• „Predictive-Analytics-Dashboards"
• „Benchmarking gegen über 10.000 Organisationen"

Diese Funktionen können größeren Organisationen mit ausgereiften Compliance-Programmen dienen. Sie sind jedoch keine Richtlinien-Anforderungen, und ihr Vorhandensein macht ein Tool nicht konformer. Prüfen Sie, ob sie Ihren tatsächlichen Bedarf decken, bevor Sie dafür zahlen.

Preistransparenz als Signal #

Die Richtlinie gilt für Organisationen sehr unterschiedlicher Größe — vom 50-Personen-Unternehmen bis zum multinationalen Konzern. Das gewählte Tool sollte zu Ihrer Größe passen.

Einige Plattformen veröffentlichen Preise offen. Andere verlangen einen Vertriebsprozess, um den Preis zu erfahren. Keiner der Ansätze ist grundsätzlich besser, aber transparente Preise lassen Sie die Passung schneller bewerten und vermeiden Zeitaufwand für Demos, bevor klar ist, ob das Budget passt.

Fragen für die Evaluierung #

Fragen Sie bei jeder Hinweisgeberplattform:

1. Wo werden die Daten gespeichert? EU-Hosting und Datenhaltung bestätigen.
2. Wie werden hinweisgebende Personen geschützt? IP-Anonymisierung und Entfernung von Dateimetadaten prüfen.
3. Wie werden Fristen verfolgt? Automatische 7-Tage- und 3-Monats-Verfolgung mit Benachrichtigungen bestätigen.
4. Ist das Audit-Protokoll unveränderlich? Sicherstellen, dass Protokolle nicht bearbeitet oder gelöscht werden können.
5. Was passiert bei Kündigung? Datenexport und Löschrichtlinien verstehen.
6. Ist ein AVV verfügbar? Für die DSGVO-Compliance als Auftragsverarbeitungsverhältnis erforderlich.

Wie EthicsPortal diese Anforderungen erfüllt #

EthicsPortal ist speziell für die EU-Richtlinie 2019/1937 gebaut:

• 49 €/Monat, alle Funktionen enthalten
• Anonyme Meldung mit IP-Anonymisierung und Entfernung von Dateimetadaten
• Sicheres Zwei-Wege-Messaging per Zugangscode
• Automatische Fristenverfolgung mit Überschreitungswarnungen
• Unveränderliches Audit-Protokoll und PDF-Fallexport
• Gehostet auf Hetzner in Nürnberg, Deutschland — alle Daten bleiben in der EU

Die artikelweise Compliance-Aufschlüsselung zeigt im Detail, wie jede Anforderung der Richtlinie erfüllt wird.

Zuletzt aktualisiert: 24. April 2026