Konformität mit dem Hinweisgeberschutzgesetz #
EthicsPortal ist darauf ausgelegt, Ihre Organisation konform zum Hinweisgeberschutzgesetz (HinSchG), zur EU-Richtlinie 2019/1937 und zur DSGVO zu halten. Jede Funktion entspricht einer konkreten rechtlichen Anforderung — keine unnötigen Zusatzmodule, keine Upsells.
Diese Seite ist die Zuordnung von Funktionen zu Anforderungen: Jeder Artikel der Richtlinie wird der entsprechenden EthicsPortal-Fähigkeit zugeordnet. Wie EthicsPortal die unbestimmten Rechtsbegriffe dieser Artikel auslegt — den 50-Beschäftigten-Schwellenwert, was als „sorgfältige Folgenbearbeitung" gilt, die Begründung der Speicherdauer, die DSGVO-Rechtsgrundlage und den Vorrang nationalen Rechts — finden Sie in der separaten Methodik.
Alle 27 EU-Mitgliedstaaten haben die Richtlinie in nationales Recht umgesetzt. Ihre Organisation muss das nationale Recht Ihres Betriebslandes einhalten — eine Übersicht der jeweiligen Gesetze, Bußgelder und zuständigen Behörden finden Sie in unserer Länderübersicht. Zentrale nationale Gesetze sind das Hinweisgeberschutzgesetz (HinSchG) in Deutschland, das HSchG in Österreich sowie das Gesetz vom 16. Mai 2023 in Luxemburg.
§1. Meldekanäle (Art. 8) #
Organisationen mit 50 oder mehr Beschäftigten müssen sichere interne Meldekanäle einrichten.
| Anforderung | Umsetzung in EthicsPortal |
|---|---|
| Sicherer Meldekanal | Verschlüsseltes Webportal mit eigener URL pro Organisation |
| Vertraulichkeit der Identität | Ende-zu-Ende-verschlüsselte Verarbeitung aller personenbezogenen Daten, keine IP-Protokollierung, automatische Entfernung von Dateimetadaten |
| Zugänglich für alle Beschäftigten | Webportal läuft auf jedem Gerät, keine App, kein Konto erforderlich |
| An die Organisation anpassbar | Konfigurierbare Kategorien, Logo und Begrüßungstext |
§2. Verfahren (Art. 9) #
| Anforderung | Artikel | Umsetzung in EthicsPortal |
|---|---|---|
| Benennung einer unparteiischen Person oder Stelle | Art. 9 Abs. 1 lit. c | Fall-Zuweisungssystem mit rollenbasiertem Zugriff — nur berechtigte Fallbearbeitende sehen Meldungen |
| Eingang innerhalb von 7 Tagen bestätigen | Art. 9 Abs. 1 lit. b | Automatische Fristenüberwachung mit E-Mail-Benachrichtigung bei bevorstehender oder versäumter 7-Tage-Frist |
| Sorgfältige Folgenbearbeitung | Art. 9 Abs. 1 lit. d | Fallverwaltung mit Status-Workflow (eingegangen, bestätigt, in Prüfung, abgeschlossen), interne Notizen für die Zusammenarbeit und lückenloses Audit-Protokoll |
| Rückmeldung innerhalb von drei Monaten | Art. 9 Abs. 1 lit. f | Automatische 3-Monats-Fristüberwachung mit Warnungen an alle Admins. Hinweisgebende Personen sehen den Zeitplan im Portal und können den Status jederzeit mit Vorgangs-ID und Zugangscode einsehen |
| Mündliche Meldungen ermöglichen (Telefon, Sprachnachricht oder auf Wunsch persönliches Treffen) | Art. 9 Abs. 2 | Konfigurierbare Telefonnummer auf dem Portal; Fallbearbeitende können telefonische, persönliche und schriftliche Meldungen direkt im System erfassen |
| Über externe Meldemöglichkeiten informieren | Art. 9 Abs. 1 lit. g | Das Portal informiert über das Recht, sich an die zuständigen nationalen Behörden zu wenden, mit Verweis auf die Richtlinie 2019/1937 und das HinSchG |
§3. Schutzbereich (Art. 4) #
Die Richtlinie schützt nicht nur Beschäftigte, sondern auch Selbstständige, Lieferanten, Anteilseigner und andere Dritte.
EthicsPortal zeigt im Portal klar an, dass die Meldemöglichkeit Beschäftigten, Selbstständigen, Lieferanten und sonstigen Dritten offensteht.
§4. Repressalienverbot (Art. 6, 19–21) #
Hinweisgebende Personen müssen darüber informiert werden, dass Repressalien gesetzlich verboten sind.
EthicsPortal zeigt auf jeder Seite des Portals vor der Meldung einen Hinweis zum Repressalienverbot mit Verweis auf die Richtlinie 2019/1937 und das HinSchG.
§5. Vertraulichkeit der Identität (Art. 16) #
| Anforderung | Umsetzung in EthicsPortal |
|---|---|
| Identität wird nicht über den Kreis der Berechtigten hinaus offengelegt | Rollenbasierte Zugriffskontrolle — nur Admins und die zugewiesene bearbeitende Person sehen eine Meldung. Nicht-Admin-Bearbeitende sehen nur ihnen zugewiesene Fälle |
| Anonymität der bearbeitenden Person gegenüber der hinweisgebenden Person | Hinweisgebende Personen sehen in Nachrichten nur „Fallbearbeitung", nie den echten Namen oder die E-Mail-Adresse |
| Verschlüsselung sensibler Daten | Namen, Kontaktdaten, Meldungsinhalte und Nachrichteninhalte werden mit nicht-deterministischer Verschlüsselung gespeichert |
§6. Dokumentationspflicht (Art. 18) #
| Anforderung | Umsetzung in EthicsPortal |
|---|---|
| Dokumentation jeder Meldung | Vollständiges Audit-Protokoll aller Aktionen: Abgabe, Statusänderungen, Nachrichten, Zuweisungen und Meldungsansichten |
| Sichere Speicherung | Alle sensiblen Felder werden verschlüsselt gespeichert |
| Abrufbarkeit | Vollständiger PDF-Export inkl. Metadaten, Nachrichtenverlauf, Anhangsliste und Audit-Protokoll. Auf Organisationsebene steht ein Compliance-Bericht als PDF bereit — mit Richtlinien-Checkliste, SLA-Kennzahlen und Datenschutzzusammenfassung, ohne sensible Meldungsinhalte offenzulegen |
| Löschen, sobald nicht mehr erforderlich | Konfigurierbare Aufbewahrungsdauer (12, 24, 36 oder 60 Monate) mit automatischer Löschung abgelaufener geschlossener Meldungen |
§7. DSGVO-Konformität #
| Anforderung | Artikel | Umsetzung in EthicsPortal |
|---|---|---|
| Rechtsgrundlage der Verarbeitung | Art. 6 Abs. 1 lit. c DSGVO | Verarbeitung ist zur Erfüllung der rechtlichen Verpflichtungen aus HinSchG und Richtlinie 2019/1937 erforderlich |
| Informationspflichten | Art. 13/14 DSGVO | Datenschutzhinweise werden vor Abgabe der Meldung angezeigt |
| Datenminimierung | Art. 5 Abs. 1 lit. c DSGVO | Nur essenzielle Felder werden erhoben; Name und Kontakt der hinweisgebenden Person sind freiwillig |
| Speicherbegrenzung | Art. 5 Abs. 1 lit. e DSGVO | Konfigurierbare Aufbewahrungsdauer pro Organisation mit automatischer Löschung |
| Integrität und Vertraulichkeit | Art. 5 Abs. 1 lit. f DSGVO | Verschlüsselte Speicherung aller sensiblen Daten; keine IP-Protokollierung auf Portal-Routen; automatische Entfernung von Dateimetadaten |
| Recht auf Löschung | Art. 17 DSGVO | Automatische Löschung auf Basis der Aufbewahrungsdauer; manuelle Löschung für Admins möglich |
§8. Technische und organisatorische Maßnahmen #
| Maßnahme | Detail |
|---|---|
| Verschlüsselte Speicherung | Alle Meldungsbeschreibungen, Namen, Kontaktdaten und Nachrichteninhalte werden mit nicht-deterministischer Verschlüsselung gespeichert |
| Keine IP-Protokollierung | IP-Adressen hinweisgebender Personen werden nie gespeichert — Rate-Limiting nutzt unumkehrbare Einweg-Hashes |
| Entfernung von Dateimetadaten | EXIF-Daten (GPS-Koordinaten, Kameramodell, Autor) werden vor Speicherung automatisch aus hochgeladenen Bildern entfernt |
| Anonymität der Fallbearbeitung | Hinweisgebende Personen sehen nie den echten Namen — Nachrichten zeigen „Fallbearbeitung" |
| Rate-Limiting | Öffentliche Portal-Endpunkte sind rate-limitiert, um Missbrauch zu verhindern |
| Zugriffskontrolle | Rollenbasierte Berechtigungen stellen sicher, dass nur berechtigte Bearbeitende Meldungen einsehen; Nicht-Admins sehen nur ihnen zugewiesene Fälle |
| Audit-Protokoll | Jede Aktion wird mit Zeitstempel, ausführender Person und Aktionstyp protokolliert — unveränderlich und jederzeit für die Aufsicht verfügbar |
§9. Was Ihre Organisation weiterhin tun muss #
EthicsPortal übernimmt die technischen Anforderungen. In der Verantwortung Ihrer Organisation bleiben:
- Benennung einer meldebearbeitenden Person — bestimmen Sie mindestens eine Person, die für die Bearbeitung von Meldungen zuständig ist
- Interne Richtlinie — beschließen Sie eine Hinweisgeber-Richtlinie und kommunizieren Sie diese an die Beschäftigten
- Schulung — stellen Sie sicher, dass bearbeitende Personen ihre Vertraulichkeitspflichten kennen
- Durchsetzung des Repressalienverbots — sorgen Sie dafür, dass die Geschäftsleitung weiß, dass Repressalien einen Rechtsverstoß darstellen
- Einwilligung bei Identitätsoffenlegung — muss die Identität einer hinweisgebenden Person über den Kreis der Berechtigten hinaus offengelegt werden (z. B. gegenüber Strafverfolgungsbehörden), ist zuvor die ausdrückliche Einwilligung einzuholen (Art. 16 Abs. 2)
- Information der Beschäftigten — teilen Sie die Portal-URL mit den Beschäftigten (EthicsPortal liefert einen teilbaren Link und einen QR-Code)
Fragen? #
Admins können einen Compliance-Bericht als PDF direkt in den Portal-Einstellungen herunterladen. Er enthält eine vollständige Checkliste zur Richtlinie 2019/1937, SLA-Kennzahlen, Datenschutzmaßnahmen und eine Zusammenfassung des Audit-Protokolls — bereit für die Vorlage bei der Aufsicht, ohne sensible Meldungsinhalte offenzulegen.
Für länderspezifische Anforderungen (Bußgelder, Aufbewahrungsfristen, Aufsichtsbehörden) siehe unsere Länderübersicht.
Für die Auslegung unbestimmter Begriffe der Richtlinie (50-Beschäftigten-Schwelle, „sorgfältige Folgenbearbeitung", Begründung der Speicherdauer, DSGVO-Rechtsgrundlage) siehe die Methodik.
Wenn Sie die Konformität gegenüber Ihrer Rechtsabteilung oder der Aufsicht nachweisen müssen, schreiben Sie uns an support@ethicsportal.eu.
Zuletzt aktualisiert: