Zum Hauptinhalt springen Gesetzlich vorgeschrieben (HinSchG) für Unternehmen ab 50 Beschäftigten

Häufig gestellte Fragen #

Für Compliance-Verantwortliche und Entscheider #

Ist EthicsPortal konform zum HinSchG und zur EU-Richtlinie 2019/1937? #

Ja. EthicsPortal ist gezielt für die Anforderungen des Hinweisgeberschutzgesetzes und der EU-Richtlinie 2019/1937 gebaut. Dazu gehören sichere Meldekanäle, anonyme zweiseitige Kommunikation, Fristenüberwachung (7-Tage-Eingangsbestätigung, 3-Monats-Rückmeldung), Zugriffskontrollen, Aufbewahrungsregeln und ein lückenloses Audit-Protokoll. Siehe die Compliance-Seite für eine Artikel-für-Artikel-Darstellung.

In welchen Ländern ist EthicsPortal konform? #

EthicsPortal deckt die Anforderungen der EU-Richtlinie 2019/1937 ab, die in allen EU-Mitgliedstaaten in nationales Recht umgesetzt wurde. Die Plattform erfüllt den Mindeststandard der Richtlinie, der EU-weit gilt. Ergänzende nationale Anforderungen (z. B. das deutsche HinSchG oder das österreichische HSchG) finden Sie in den Länderleitfäden oder auf Anfrage.

Können wir den Meldekanal intern betreiben? #

Ja — Art. 8 Abs. 5 der Richtlinie 2019/1937 erlaubt dies ausdrücklich. Die Voraussetzungen der Richtlinie sind intern jedoch struktureller schwieriger einzuhalten.

Art. 9 Abs. 1 verlangt die Vertraulichkeit der Identität, eine unparteiische Folgenbearbeitung und restriktiven Zugriff auf Meldungen. Ein interner Meldekanal läuft über dieselben IT-Administratoren, Backups und Legal-Hold-Werkzeuge, die jedes andere System im Unternehmen berühren. Eine eigene Subdomain oder ein eigener Posteingang ändern nicht, wer Zugriff hat.

Die DSGVO fügt ein zweites Problem hinzu. Hinweisgebung steht auf der Muss-DSFA-Liste des EDSA. Eine interne Datenschutz-Folgenabschätzung muss dokumentieren, wie die verantwortliche Stelle sich selbst daran hindert, auf Daten über sich selbst zuzugreifen — was auf den ersten Blick zirkulär ist.

Der externe Betrieb ist in Art. 8 Abs. 5 sowie in den nationalen Umsetzungen ausdrücklich vorgesehen: § 14 HinSchG (DE), HSchG (AT), Loi Sapin II / Waserman (FR), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).

Wo werden meine Daten gespeichert? #

Die zentralen Meldedaten werden auf Hetzner-Servern in Nürnberg gespeichert. Begrenzte Verarbeitungen im Zusammenhang mit der Marketing-Website und Admin-Oberflächen können veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR einbeziehen, derzeit Cloudflare und Honeybadger. Hetzner ist ein deutscher Hosting-Anbieter und unterliegt dem EU-Datenschutzrecht; Schutzmaßnahmen für Übermittlungen sind im AVV und auf der Seite Unterauftragsverarbeiter beschrieben.

Sind Meldungen wirklich anonym? #

Ja, wenn die hinweisgebende Person dies wählt. Die Angabe von Namen oder Kontaktdaten ist freiwillig. EthicsPortal protokolliert keine IP-Adressen, entfernt Dateimetadaten (EXIF, GPS, Autor) aus Uploads und der sichere Nachrichtenverlauf gibt die Identität der bearbeitenden Person nie preis. Es gibt keine technische Möglichkeit, eine anonyme Meldung auf eine Person zurückzuführen.

Wie funktioniert die 7-Tage- und 3-Monats-Fristüberwachung? #

Bei Abgabe einer Meldung startet EthicsPortal automatisch zwei Fristen nach den Anforderungen der Richtlinie:

Überfällige Meldungen werden im Dashboard hervorgehoben, und bearbeitende Personen erhalten Benachrichtigungen, wenn Fristen näher rücken.

Bieten Sie einen Auftragsverarbeitungsvertrag (AVV) an? #

Ja. Der aktuelle AVV ist auf der Seite AVV veröffentlicht, und eine gegengezeichnete Fassung ist auf Anfrage erhältlich.

Welche Zertifizierungen haben Sie? #

EthicsPortal beansprucht auf dieser Website derzeit weder eine ISO-27001- noch eine SOC-2- oder gleichwertige Zertifizierung. Den aktuellen Sicherheitsstand, die Unterauftragsverarbeiter, die Offenlegung von Vorfällen und die Servicezusagen dokumentieren wir öffentlich auf den Seiten Sicherheit, Unterauftragsverarbeiter, Störungsregister und SLA.

Wer ist Vertragspartner? #

EthicsPortal wird von Yaroslav Shmarov als Einzelunternehmer in Polen betrieben. Basisangaben zu Vertragspartner und Beschaffung sind auf der Seite Anbieterinformationen veröffentlicht.

Unterstützen Sie Beschaffungsreviews? #

Ja. Öffentliche Due-Diligence-Unterlagen sind auf der Website veröffentlicht, und zusätzliche Beschaffungsunterlagen sind auf Anfrage im Review verfügbar. Siehe Beschaffung und Anbieterinformationen.

Kann ich Fallakten für die Aufsicht exportieren? #

Ja. Jede Meldung kann als PDF exportiert werden, einschließlich des vollständigen Nachrichtenverlaufs, der Zeitachse und des Audit-Protokolls. Das Format ist für die Weitergabe an Rechtsabteilung, Auditoren oder Aufsichtsbehörden ausgelegt. Wenn Sie für Migration oder regulatorische Prüfung ein zusätzliches Portabilitätsformat benötigen, sprechen Sie uns im Rahmen des Beschaffungs- oder Offboarding-Reviews an.

Für Beschäftigte und hinweisgebende Personen #

Muss ich ein Konto anlegen, um eine Meldung abzugeben? #

Nein. Sie brauchen kein Konto, keine E-Mail-Adresse und keine persönlichen Angaben. Sie rufen den Portal-Link auf, füllen die Meldung aus, wählen einen 6-stelligen Zugangscode und erhalten eine Vorgangs-ID. Mehr nicht.

Kann mein Arbeitgeber herausfinden, wer ich bin? #

Nicht über EthicsPortal. Wenn Sie anonym melden (ohne Name und Kontaktdaten), gibt es über die Plattform keine Möglichkeit, Sie zu identifizieren. EthicsPortal protokolliert Ihre IP-Adresse nicht und entfernt identifizierende Metadaten aus hochgeladenen Dateien.

Achten Sie trotzdem auf den Inhalt — enthält Ihre Meldung Details, die nur Sie kennen können, liegt das außerhalb der Kontrolle der Plattform.

Wie kann ich den Stand meiner Meldung prüfen? #

Sie brauchen zwei Dinge: die Vorgangs-ID (Format WB-XXXX-XXXX), die Ihnen nach der Abgabe angezeigt wird, und den 6-stelligen Zugangscode, den Sie gewählt haben. Kehren Sie jederzeit zum Portal zurück, geben Sie beides ein und sehen Sie den aktuellen Status oder tauschen Sie Nachrichten mit der Fallbearbeitung aus. Bewahren Sie die Vorgangs-ID sicher auf und merken Sie sich den Zugangscode — wir können den Zugangscode nicht wiederherstellen, und beides ist erforderlich.

Kann ich Dateien an meine Meldung anhängen? #

Ja. Sie können Bilder, PDF-Dokumente, Video- und Audio-Dateien bis zu 100 MB je Datei hochladen. Alle Dateimetadaten (Standortdaten, Autor, Kameradetails) werden vor der Speicherung automatisch entfernt, um Ihre Identität zu schützen.

Kann ich anonym mit der Fallbearbeitung kommunizieren? #

Ja. Der integrierte Nachrichtenverlauf ist vollständig anonym. Sie sehen „Fallbearbeitung" — nie einen echten Namen. Die bearbeitende Person sieht Ihre Nachrichten, hat aber keine Möglichkeit, Sie zu identifizieren, sofern Sie diese Informationen nicht selbst teilen.

Was passiert, nachdem ich eine Meldung abgegeben habe? #

Ihre Meldung geht bei der benannten Fallbearbeitung der Organisation ein. Nach EU-Recht muss der Eingang innerhalb von 7 Tagen bestätigt und innerhalb von 3 Monaten eine inhaltliche Rückmeldung gegeben werden. Mit Vorgangs-ID und Zugangscode können Sie den Status jederzeit einsehen.

Für IT und technische Teams #

Welche Verschlüsselung setzen Sie ein? #

Alle sensiblen Meldungsdaten werden in der Datenbank verschlüsselt gespeichert. Alle Verbindungen laufen über TLS (HTTPS). Datei-Uploads werden verschlüsselt auf EU-gehosteter Infrastruktur abgelegt.

Entfernen Sie Dateimetadaten? #

Ja. EXIF-Daten, GPS-Koordinaten, Autoreninformationen und sonstige Metadaten werden vor der Speicherung automatisch aus allen hochgeladenen Dateien entfernt. Damit wird eine unbeabsichtigte Preisgabe der Identität über Dateieigenschaften verhindert.

Prüfen Sie hochgeladene Dateien auf Viren? #

Ja. Alle Uploads werden mit ClamAV, einer Open-Source-Antivirenlösung, auf Schadsoftware geprüft. Die Prüfung erfolgt serverseitig — es werden keine Dateidaten an externe Dienste gesendet. Infizierte Dateien werden automatisch entfernt, bevor die Fallbearbeitung darauf zugreifen kann.

Protokollieren Sie IP-Adressen? #

Nein. EthicsPortal speichert die IP-Adresse der hinweisgebenden Person weder in Anwendungsprotokollen noch in der Datenbank. Das ist eine bewusste Designentscheidung zum Schutz der Anonymität.

Welche externen Dienste nutzen Sie? #

Keine Analyse-Tracker, keine Werbe-Netzwerke, keine Drittanbieter-Cookies auf dem Meldeportal.

Gibt es eine API? #

Derzeit nicht verfügbar. Schreiben Sie uns, wenn ein API-Zugang für Ihre Organisation erforderlich ist.

Unterstützen Sie eigene Domains? #

Derzeit nicht verfügbar. Alle Portale werden unter der EthicsPortal-Domain ausgeliefert.

Unterstützen Sie SSO? #

Derzeit nicht verfügbar. Nutzer melden sich per Magic-Link (passwortlose E-Mail-Authentifizierung) an.

Abrechnung #

Was kostet EthicsPortal? #

49 €/Monat, pauschal. Ein Tarif, alles enthalten. Keine Pro-Kopf-Gebühren, keine Pro-Meldung-Gebühren, keine Feature-Stufen.

Gibt es eine kostenlose Testphase? #

Nein — Konto anlegen, Tarif wählen, und Ihr Portal ist in unter 10 Minuten live. 49 €/Monat oder 490 €/Jahr. Jederzeit kündbar.

Kann ich jederzeit kündigen? #

Ja. Sie können jederzeit in den Kontoeinstellungen kündigen. Keine Verträge, keine Kündigungsgebühren, kein Telefonat nötig.

Welche Zahlungsarten akzeptieren Sie? #

Kredit- und Debitkarten über Stripe. Falls Sie per Rechnung oder Überweisung zahlen müssen, schreiben Sie an support@ethicsportal.eu.

Weitere Fragen? #

Schreiben Sie an support@ethicsportal.eu. Sie hören innerhalb eines Werktages von uns.

Zuletzt aktualisiert: