https://ethicsportal.eu/de/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.deThu, 23 Apr 2026 09:44:47 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/de/blog/best-whistleblower-software/Tue, 14 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/best-whistleblower-software/Ein unabhängiger Vergleich der führenden Plattformen für Hinweisgebermeldungen im Jahr 2026 --- Preise, Funktionen und für wen sich welches Tool eignet.<h1 id="beste-hinweisgebersoftware-2026-ein-ehrlicher-vergleich"> Beste Hinweisgebersoftware 2026: ein ehrlicher Vergleich <a href="#beste-hinweisgebersoftware-2026-ein-ehrlicher-vergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Wer Hinweisgebersoftware zur Umsetzung der EU-Richtlinie 2019/1937 sucht, ist wahrscheinlich schon einem Muster begegnet: Jeder Anbieter veröffentlicht einen „Beste Hinweisgebersoftware"-Artikel — und platziert sich selbst auf Platz eins. Das machen wir nicht. Dies ist ein ehrlicher, direkter Vergleich der Plattformen, die wir vor der Entwicklung von EthicsPortal evaluiert haben, plus EthicsPortal selbst.</p> <p>Wir haben Preistransparenz, Einrichtungsgeschwindigkeit, EU-Hosting, Funktionstiefe und die Eignung für kleine bis mittlere Unternehmen im Vergleich zu Großkonzernen geprüft.</p> <hr> <h2 id="vergleichstabelle-in-kürze"> Vergleichstabelle in Kürze <a href="#vergleichstabelle-in-k%c3%bcrze" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Plattform</th> <th>Einstiegspreis</th> <th>Kostenlose Testphase</th> <th>EU-Hosting</th> <th>Einrichtungszeit</th> <th>Geeignet für</th> </tr> </thead> <tbody> <tr> <td>EthicsPortal</td> <td>49 €/Monat pauschal</td> <td>Nein</td> <td>Ja (Deutschland)</td> <td>Minuten</td> <td>KMU, schnelle Compliance</td> </tr> <tr> <td>Hintbox</td> <td>49–149+ €/Monat (zzgl. USt.)</td> <td>Ja</td> <td>Ja (Deutschland)</td> <td>Tage</td> <td>Deutschsprachiger Markt</td> </tr> <tr> <td>LegalTegrity</td> <td>49–166 €/Monat</td> <td>Nein</td> <td>Ja (Deutschland)</td> <td>Tage</td> <td>Deutsche KMU, Telefon inklusive</td> </tr> <tr> <td>Vispato</td> <td>79 €/Monat pauschal</td> <td>Nein</td> <td>Ja (Deutschland)</td> <td>Tage</td> <td>DACH-Pauschalpreis-Alternative</td> </tr> <tr> <td>DigitalPA (Legality Whistleblowing)</td> <td>Ab 29 €/Monat</td> <td>Nein</td> <td>Ja (Italien)</td> <td>Tage</td> <td>Italienischer Markt, ISO 37001/37002</td> </tr> <tr> <td>ithikios</td> <td>Ab 29 €/Monat</td> <td>Ja</td> <td>Ja (Spanien)</td> <td>Stunden</td> <td>Spanische KMU, modulare Compliance</td> </tr> <tr> <td>Canal Etico App</td> <td>96 €/Monat pauschal</td> <td>Nein</td> <td>Ja (Spanien)</td> <td>Tage</td> <td>Spanische Ley 2/2023-Compliance</td> </tr> <tr> <td>Whistlelink</td> <td>79–299 €/Monat</td> <td>Ja (30 Tage)</td> <td>Ja (Schweden)</td> <td>Tage</td> <td>Nordische Unternehmen, Mittelstand</td> </tr> <tr> <td>Sygnanet</td> <td>4.000–10.000 zł/Jahr</td> <td>Ja</td> <td>Ja (Polen)</td> <td>Stunden</td> <td>Polnischer Markt</td> </tr> <tr> <td>Trusty Compliance</td> <td>Guthabenbasiert</td> <td>Ja (7 Tage)</td> <td>Ja (Schweiz)</td> <td>Stunden</td> <td>Schweiz/DACH, breitere Compliance</td> </tr> <tr> <td>Formalize (whistleblowersoftware.com)</td> <td>Individuell (Angebot anfragen)</td> <td>Ja (14 Tage)</td> <td>Ja (Dänemark)</td> <td>Tage</td> <td>EU-Mittelstand</td> </tr> <tr> <td>FaceUp</td> <td>Individuell (Angebot anfragen)</td> <td>Nein</td> <td>Ja (Tschechien)</td> <td>Stunden</td> <td>Schulen, mehrsprachige Organisationen</td> </tr> <tr> <td>Whispli</td> <td>Individuell (~3.000+ €/Jahr)</td> <td>Nein</td> <td>Ja (optional)</td> <td>Wochen</td> <td>Konzerne, komplexe Workflows</td> </tr> <tr> <td>SpeakUp (People Intouch)</td> <td>~3.000 €/Jahr</td> <td>Nein</td> <td>Ja (Niederlande)</td> <td>Tage</td> <td>Mittlere bis große EU-Unternehmen</td> </tr> <tr> <td>EQS Integrity Line</td> <td>Individuell (~3.000+ €/Jahr)</td> <td>Ja (Essential)</td> <td>Ja</td> <td>Wochen</td> <td>Großkonzerne</td> </tr> <tr> <td>NAVEX Global</td> <td>Individuell (5.000+ €/Jahr)</td> <td>Nein</td> <td>Ja (optional)</td> <td>Wochen</td> <td>Große US-/EU-Konzerne</td> </tr> </tbody> </table> <hr> <h2 id="detaillierte-bewertungen"> Detaillierte Bewertungen <a href="#detaillierte-bewertungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="eqs-integrity-line"> EQS Integrity Line <a href="#eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EQS ist das Schwergewicht europäischer Compliance-Software. Die Integrity Line wird von Banken, Versicherern und börsennotierten Unternehmen in der gesamten EU eingesetzt.</p> <p><strong>Stärken:</strong> Tiefe Integration mit breiteren GRC-Suiten (Governance, Risk, Compliance). Hervorragende Audit-Protokolle. Starker Markenname bei Konzern-Compliance-Teams. Unterstützt mehr als 70 Sprachen.</p> <p><strong>Schwächen:</strong> Preise intransparent — auf der Website ist keine Zahl zu finden. Rechnen Sie mit mehreren Tausend Euro pro Jahr und einem vollständigen Vertriebsprozess. Die Einführung dauert typischerweise Wochen mit eigenem Onboarding. Für ein Unternehmen mit 50 Beschäftigten überdimensioniert.</p> <p><strong>Geeignet für:</strong> Großkonzerne (ab 500 Beschäftigten) in stark regulierten Branchen, die ein vollständiges GRC-Ökosystem benötigen.</p> <h3 id="formalize-whistleblowersoftwarecom"> Formalize (whistleblowersoftware.com) <a href="#formalize-whistleblowersoftwarecom" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Formalize, vermarktet als WhistleblowerSoftware.com, ist eine dänische Plattform mit einer 15-Millionen-Euro-Series-A-Finanzierung und mehr als 500 Beratungspartnern, darunter PwC und Baker McKenzie. Die Marke wurde umbenannt und deckt nun auch breitere Compliance-Bereiche ab (NIS2, DORA, ISO 27001).</p> <p><strong>Stärken:</strong> Platz 1 „Top Rated" auf G2 (4,9/5, 157 Bewertungen). Mehr als 80 Sprachen. ISO 27001 und ISAE 3000 zertifiziert. Starkes Partnerökosystem. 14-tägige kostenlose Testphase.</p> <p><strong>Schwächen:</strong> Preise werden nicht mehr veröffentlicht — individuelles Angebot erforderlich. Die Expansion über Whistleblowing hinaus in NIS2/DORA-Compliance könnte den Fokus verwässern. Einrichtung umfasst einen Demo-/Vertriebsprozess, keine sofortige Selbstbedienung.</p> <p><strong>Geeignet für:</strong> Mittelgroße EU-Unternehmen (50–500 Beschäftigte), die ein ausgereiftes Produkt wollen und mit Pro-Kopf-Preisen leben können.</p> <h3 id="whistlelink"> Whistlelink <a href="#whistlelink" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine schwedische Plattform mit starker Präsenz in den nordischen Ländern. Whistlelink positioniert sich als einfach zu bedienen und EU-konform.</p> <p><strong>Stärken:</strong> In mehr als 50 Sprachen verfügbar. Gutes Fallmanagement. In Schweden gehostet. Übersichtliche Oberfläche für Hinweisgeber:innen. Alle Preisstufen enthalten denselben Funktionsumfang. 30-tägige kostenlose Testphase.</p> <p><strong>Schwächen:</strong> Einstieg bei 79 €/Monat (jährliche Abrechnung) ist angemessen, aber über den Pauschalpreis-Optionen. Pro-Kopf-Preise skalieren auf bis zu 299 €/Monat für größere Organisationen. Über 1.000 Beschäftigte: Vertriebskontakt erforderlich.</p> <p><strong>Geeignet für:</strong> Nordische und nordeuropäische Unternehmen, die einen regionalen Anbieter mit solider Sprachunterstützung suchen.</p> <h3 id="faceup"> FaceUp <a href="#faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>FaceUp ist eine in Tschechien gegründete Hinweisgeberplattform, die ihren ursprünglichen Fokus auf Schulen zur Unternehmens-Compliance ausgeweitet hat und Organisationen in über 70 Ländern betreut. Die Plattform unterstützt 113 Sprachen und bietet eine mobile App für Hinweisgeber:innen.</p> <p><strong>Stärken:</strong> In 113 Sprachen verfügbar — einer der höchsten Werte am Markt. Mobile App für Hinweisgeber:innen. ISO 27001 zertifiziert. Starke Präsenz im Bildungssektor neben der Unternehmens-Compliance.</p> <p><strong>Schwächen:</strong> Preise nicht veröffentlicht — alle Pakete zeigen „Angebot anfordern", obwohl Tarifnamen (Starter, Professional, Enterprise) genannt werden. Preise in US-Dollar, was ein Währungsrisiko für europäische Unternehmen bedeutet. Der Ursprung im Schulbereich zeigt sich in Teilen der UX.</p> <p><strong>Geeignet für:</strong> Organisationen, die 113 Sprachen benötigen, eine mobile Melde-App wollen oder sowohl im Bildungs- als auch im Unternehmenssektor tätig sind.</p> <h3 id="navex-global"> NAVEX Global <a href="#navex-global" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>NAVEX ist der Platzhirsch im Bereich Ethik und Compliance, vor allem in Nordamerika, zunehmend aber auch in Europa. Das Produkt EthicsPoint existiert seit Jahrzehnten.</p> <p><strong>Stärken:</strong> Riesiger Funktionsumfang. Benchmark-Daten von Tausenden Kund:innen. Hotline-Dienste (telefonische Meldung). Starke Analysefunktionen.</p> <p><strong>Schwächen:</strong> Konzernpreise — individuelle Angebote deutlich oberhalb von 5.000 €/Jahr. Lange Implementierungszyklen. Die Plattform wirkt im Vergleich zu neueren Anbietern veraltet. Die nordamerikanische DNA führt dazu, dass EU-spezifische Anforderungen teils aufgesetzt wirken.</p> <p><strong>Geeignet für:</strong> Große multinationale Konzerne (ab 1.000 Beschäftigten), die einen einzigen Anbieter für ihr gesamtes Ethik- und Compliance-Programm inklusive Hotlines wünschen.</p> <h3 id="whispli"> Whispli <a href="#whispli" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ein in Australien gegründetes Unternehmen, das nach Europa expandiert hat. Whispli setzt auf anonyme Zwei-Wege-Kommunikation.</p> <p><strong>Stärken:</strong> Starkes anonymes Messaging. Gute mobile Nutzung. Unterstützt Sprach- und Videomeldungen. Flexibler Workflow-Builder.</p> <p><strong>Schwächen:</strong> Individuelle Preise ohne öffentliche Zahlen — Berichten zufolge ab etwa 3.000 €/Jahr. Einführung erfordert Onboarding-Calls und Konfiguration. Geringere europäische Präsenz im Vergleich zu EU-nativen Anbietern.</p> <p><strong>Geeignet für:</strong> Organisationen, die Wert auf anonyme Zwei-Wege-Kommunikation und multimediale Meldungen (Audio, Video) legen.</p> <h3 id="speakup-people-intouch"> SpeakUp (People Intouch) <a href="#speakup-people-intouch" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine niederländische Plattform, die bereits vor Inkrafttreten der EU-Richtlinie aktiv war. SpeakUp bietet sowohl Software als auch Managed Services (ausgelagerte Fallbearbeitung).</p> <p><strong>Stärken:</strong> Lange Erfolgsbilanz. Möglichkeit, die Fallbearbeitung vollständig auszulagern. In den Niederlanden gehostet. Telefonmeldung inklusive.</p> <p><strong>Schwächen:</strong> Einstieg ab 3.000 €/Jahr für Unternehmen unter 1.000 Beschäftigten, individuell für größere. Das Managed-Services-Modell bedeutet, dass Sie für Menschen und nicht nur für Software zahlen. Die Oberfläche ist funktional, aber nicht modern.</p> <p><strong>Geeignet für:</strong> Mittlere bis große EU-Unternehmen, die die Option suchen, die Fallbearbeitung an Dritte auszulagern.</p> <h3 id="hintbox"> Hintbox <a href="#hintbox" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine deutsche Plattform (Teil der lawcode Suite) mit über 1.000 Kund:innen, darunter Rewe, s.Oliver und FC Bayern. ISO 27001 zertifiziert, auf Hetzner in Deutschland gehostet. Expandiert über Whistleblowing hinaus in LkSG- und CSRD-Compliance.</p> <p><strong>Stärken:</strong> Ausgereiftes Produkt mit großer Kundenbasis. ISO 27001 zertifiziert. Über 30 Sprachen mit KI-Übersetzung. 2FA, Entfernung von Dateimetadaten, Virenscanning inklusive. Einstieg bei 49 €/Monat — der günstigste Tarif neben EthicsPortal. Kostenlose Testphase verfügbar.</p> <p><strong>Schwächen:</strong> Pro-Kopf-Preise skalieren auf 149+ €/Monat für größere Unternehmen. Zusatzkosten summieren sich: Voice-Bot (+49 €/Monat), E-Mail-Integration (+29 €/Monat), eigene Domain (+29 €/Monat). DACH-zentriert — geringe Präsenz außerhalb deutschsprachiger Märkte. Die Ausweitung auf mehrere Compliance-Rahmenwerke könnte den Whistleblowing-Fokus verwässern.</p> <p><strong>Geeignet für:</strong> Deutsche, österreichische und Schweizer Unternehmen, die einen lokalen Anbieter mit ISO 27001, tiefem HinSchG-Know-how und nachweisbarer Erfolgsbilanz suchen.</p> <h3 id="legaltegrity"> LegalTegrity <a href="#legaltegrity" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine Frankfurter Plattform, gegründet von Dr. Thomas Altenbach, gehostet auf der Open Telekom Cloud der Deutschen Telekom. Positioniert für deutsche KMU mit transparenter Tarifstaffelung.</p> <p><strong>Stärken:</strong> Telefonischer Meldekanal in jedem Tarif enthalten — auch im Essential-Tarif für 49 €/Monat. Mehr als 40 Sprachen verfügbar. Gehostet auf der Open Telekom Cloud (ISO-27001-zertifizierte Infrastruktur). 3-monatige Geld-zurück-Garantie. Das Add-on OmbuTegrity bietet einen externen Ombudsdienst für Unternehmen, die eine unabhängige Meldestelle benötigen.</p> <p><strong>Schwächen:</strong> Essential-Tarif begrenzt Individualisierung (Standardformular, LegalTegrity-Branding, 2 Admin-Konten). Zusätzliche Sprachen kosten jeweils 29 €/Monat über die zwei enthaltenen hinaus. Keine öffentliche API. Primär auf den deutschen Markt ausgerichtet.</p> <p><strong>Geeignet für:</strong> Deutsche und DACH-KMU (unter 1.000 Beschäftigte), die Telefonmeldungen zu einem wettbewerbsfähigen Preis enthalten haben möchten.</p> <h3 id="vispato"> Vispato <a href="#vispato" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine deutsche Hinweisgeberplattform aus der HR-WORKS-Gruppe, gehostet auf DATEV-verwalteten Servern. Vispato fällt durch Pauschalpreise unabhängig von der Unternehmensgröße auf.</p> <p><strong>Stärken:</strong> Pauschal 79 €/Monat mit unbegrenzten Nutzer:innen, Fällen und Speicher — keine Pro-Kopf-Skalierung. 18 Sprachen. ISO-27001-zertifiziertes Hosting (DATEV). WCAG-2.1-AA-Barrierefreiheit. Keine Einrichtungskosten, kein Beratungs-Upselling. Mindestlaufzeit 12 Monate.</p> <p><strong>Schwächen:</strong> Keine kostenlose Testphase — Demo vor Vertragsabschluss erforderlich. Keine öffentliche API. 18 Sprachen sind weniger als bei den meisten Mittelstandsanbietern. Enterprise-Funktionen (SSO, eigene Domain, individuelles Branding) erfordern einen individuell angebotenen Enterprise-Tarif.</p> <p><strong>Geeignet für:</strong> DACH-Unternehmen jeder Größe, die vorhersehbare Pauschalpreise ohne Pro-Kopf-Staffel oder Zusatzgebühren wünschen.</p> <h3 id="digitalpa-legality-whistleblowing"> DigitalPA (Legality Whistleblowing) <a href="#digitalpa-legality-whistleblowing" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine italienische Plattform von DigitalPA mit Büros in Cagliari, Mailand, Rom und Barcelona. Hält vier ISO-Zertifizierungen (27001, 37001, 37002, 37301) — mehr als jede andere Plattform in diesem Vergleich.</p> <p><strong>Stärken:</strong> Einstieg bei 29 €/Monat — der günstigste veröffentlichte Preis in diesem Vergleich. Zertifiziert nach ISO 27001, 37001 (Anti-Korruption), 37002 (Whistleblowing-Management) und 37301 (Compliance-Management). Multi-Channel-Einreichung einschließlich Telefonmeldungen und persönlichen Gesprächsanfragen. Mobile App. KI-Übersetzung zwischen bearbeitender und hinweisgebender Person. Über 1.000 Kund:innen.</p> <p><strong>Schwächen:</strong> Preise oberhalb des 29-€-KMU-Tarifs erfordern ein individuelles Angebot. Nur jährliche Abrechnung. Italienischer Marktfokus. Keine öffentliche API.</p> <p><strong>Geeignet für:</strong> Italienische Unternehmen und Organisationen, die eine lokal zertifizierte Plattform benötigen, insbesondere öffentliche Stellen nach D.Lgs. 24/2023.</p> <h3 id="ithikios"> ithikios <a href="#ithikios" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine spanische modulare Compliance-Suite von Digital Products Development SL. Whistleblowing ist eines von sechs Modulen neben Policy-, Incident-, Rights-, Third-Party- und Trust-Center-Management.</p> <p><strong>Stärken:</strong> Einstieg bei 29 €/Monat. ISO 27001 zertifiziert. Über 1.000 Unternehmen in 10 Ländern. Kostenlose Testphase verfügbar. 7 Oberflächensprachen (ES, EN, FR, DE, IT, PT, CA). Modular: Meldekanal jetzt kaufen, NIS2-/DORA-/Policy-Module später hinzufügen. Partnerprogramm für Anwält:innen und Berater:innen.</p> <p><strong>Schwächen:</strong> Primär auf den spanischen Markt ausgerichtet. Begrenzt auf 7 Sprachen — am wenigsten unter den Multi-Markt-Anbietern. Keine öffentliche API.</p> <p><strong>Geeignet für:</strong> Spanische KMU, die Ley-2/2023-Compliance benötigen und perspektivisch Policy-Management, Incident-Management oder Drittparteien-Risikomodule ergänzen möchten.</p> <h3 id="canal-etico-app"> Canal Etico App <a href="#canal-etico-app" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine spanische Plattform von Smart Dev Technology mit pauschalem Preis von 96 €/Monat.</p> <p><strong>Stärken:</strong> Pauschalpreis unabhängig von der Unternehmensgröße. Unbegrenzte Meldungen. Schriftliche und sprachliche Meldekanäle. Anonyme bidirektionale Kommunikation. Keine IP-Speicherung, verschlüsselte Inhalte. Einführung in 1–2 Werktagen.</p> <p><strong>Schwächen:</strong> Keine veröffentlichte ISO-27001-Zertifizierung. Support nur auf Spanisch. Keine öffentliche API. Höherer Preispunkt als ithikios und DigitalPA für denselben spanischen Markt.</p> <p><strong>Geeignet für:</strong> Spanische Unternehmen, die einen einfachen Pauschalpreis für Ley-2/2023-Compliance ohne Pro-Kopf-Staffel wünschen.</p> <h3 id="sygnanet"> Sygnanet <a href="#sygnanet" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine polnische Plattform von SpecFile Project Sp. z o.o. Speziell für das polnische Hinweisgeberschutzgesetz entwickelt (in Kraft seit 25. September 2024).</p> <p><strong>Stärken:</strong> Ende-zu-Ende-Verschlüsselung, Anbieter hat keinen Zugriff auf Meldeinhalte. Meldeformular in 12 Sprachen. Kostenlose Testphase. Preise in polnischen Zloty (4.000–10.000 zł/Jahr). Öffentliche Stellen, die die interne Meldelizenz erwerben, erhalten einen externen Meldekanal kostenlos dazu. Regelmäßige Penetrationstests.</p> <p><strong>Schwächen:</strong> Polnischer Marktfokus. Preise nur in PLN. Keine veröffentlichte ISO-27001-Zertifizierung. Keine öffentliche API. Admin-Panel auf 4 Sprachen begrenzt (PL, EN, DE, FR).</p> <p><strong>Geeignet für:</strong> Polnische Organisationen, die einen lokalen Anbieter gemäß dem Gesetz vom 14. Juni 2024 benötigen.</p> <h3 id="trusty-compliance"> Trusty Compliance <a href="#trusty-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Eine Schweizer Plattform (Trusty AG, Hünenberg, Zug), die Whistleblowing als ein Modul in einer breiteren Compliance-Suite für Risiko-Screening, EUDR, Policy-Management und Schulung anbietet.</p> <p><strong>Stärken:</strong> Über 4.000 Unternehmen. 7-tägige kostenlose Testphase. Guthabenbasierte Preisgestaltung — Guthaben kaufen und auf beliebige Trusty-Produkte verteilen. Schnelle Einrichtung (Anbieterangabe: unter 5 Minuten). 6 Oberflächensprachen. Breiter Compliance-Umfang (EUDR, NIS2, Drittparteien-Risiko, Schulung) zusätzlich zu Whistleblowing.</p> <p><strong>Schwächen:</strong> Keine veröffentlichte ISO-27001-Zertifizierung. Guthabenbasierte Preise erschweren Kostenvergleiche. Whistleblowing ist eines von vielen Modulen — Breite kann zulasten der Tiefe gehen. Keine öffentliche API.</p> <p><strong>Geeignet für:</strong> Schweizer und DACH-Unternehmen, die eine einzige Plattform für Whistleblowing, Risiko-Screening, EUDR und Compliance-Schulung suchen.</p> <h3 id="ethicsportal"> EthicsPortal <a href="#ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal ist unser Produkt. Wir haben es entwickelt, um volle EU-Richtlinie-2019/1937-Compliance mit transparenter Preisgestaltung und sofortiger Inbetriebnahme zu liefern.</p> <p><strong>Stärken:</strong> Pauschal 49 €/Monat unabhängig von der Beschäftigtenzahl. Keine Vertriebsanrufe — registrieren und Portal in Minuten konfigurieren. EU-gehostet. Deckt die Kernanforderungen der Richtlinie ab: verschlüsselte anonyme Meldungen, Zwei-Wege-Nachrichten per Zugangscode, Fallmanagement, Fristenverfolgung für 7-Tage-Eingangsbestätigung und 3-Monats-Rückmeldung, QR-Code-Generierung und mehrsprachige Portale. Offene, transparente Preise.</p> <p><strong>Schwächen:</strong> Keine Telefon-Hotline. Keine ausgelagerte Fallbearbeitung. Begrenzte Integrationen (noch keine HRIS-Konnektoren). Nicht geeignet für Organisationen, die eine vollständige GRC-Suite benötigen.</p> <p><strong>Geeignet für:</strong> KMU, Start-ups und mittelständische Unternehmen (50–1.000 Beschäftigte), die Richtlinien-Compliance ohne Konzern-Komplexität oder -Preise benötigen.</p> <hr> <h2 id="unsere-auswahlmethode"> Unsere Auswahlmethode <a href="#unsere-auswahlmethode" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir haben jede Plattform anhand von fünf Kriterien bewertet:</p> <ol> <li><strong>Preistransparenz.</strong> Finden Sie den Preis auf der Website, ohne eine Demo anfordern zu müssen? Zusatzpunkte für Pauschalpreise.</li> <li><strong>Einrichtungsgeschwindigkeit.</strong> Wie schnell kommt eine nicht-technische Compliance-Verantwortliche von der Anmeldung zum funktionierenden Meldekanal?</li> <li><strong>Abdeckung der EU-Richtlinie.</strong> Unterstützt die Plattform nativ die Kernanforderungen der Richtlinie 2019/1937 — anonyme Meldungen, Zwei-Wege-Kommunikation, Fristen, Vertraulichkeit?</li> <li><strong>Datenhaltung.</strong> Werden die Daten standardmäßig in der EU gehostet oder ist das ein Aufpreis?</li> <li><strong>Passung zur Zielgruppe.</strong> Ist die Plattform für Ihre Unternehmensgröße konzipiert oder zahlen Sie für Funktionen, die für Organisationen mit zehnfacher Größe gebaut wurden?</li> </ol> <p>Wir haben, soweit möglich, öffentlich verfügbare Preise verwendet und Vertriebsteams kontaktiert, wenn Preise nicht veröffentlicht waren. Die genannten Preise gelten für Q1 2026 und können je nach Region, Vertragslaufzeit und Verhandlung abweichen.</p> <p>Keine Affiliate-Links. Keine Sponsoring-Deals. EthicsPortal ist entstanden, weil wir eine Lücke gesehen haben — dieser Artikel erklärt, wo die Lücke liegt und wo andere Werkzeuge für Ihre Situation die bessere Wahl sein können.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/top-whistleblower-software-eu-directive-2019-1937/Tue, 14 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/top-whistleblower-software-eu-directive-2019-1937/Gerankter Vergleich von Hinweisgeberplattformen, die die Anforderungen der EU-Richtlinie 2019/1937 erfüllen. Bewertet nach Abdeckung der Art. 8--16, Preis, EU-Hosting und Einrichtungsgeschwindigkeit.<h1 id="top-hinweisgebersoftware-für-die-eu-richtlinie-20191937"> Top-Hinweisgebersoftware für die EU-Richtlinie 2019/1937 <a href="#top-hinweisgebersoftware-f%c3%bcr-die-eu-richtlinie-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Die EU-Richtlinie 2019/1937 ist inzwischen in allen 27 Mitgliedstaaten in nationales Recht umgesetzt (z. B. <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien) und verpflichtet jede Organisation ab 50 Beschäftigten, einen sicheren internen Meldekanal zu betreiben. Das Gesetz ist konkret: schriftliche und mündliche Meldungen entgegennehmen, Vertraulichkeit wahren, Eingang binnen 7 Tagen bestätigen, binnen 3 Monaten Rückmeldung geben und Unterlagen führen, ohne die Identität der hinweisgebenden Person zu offenbaren.</p> <p>Merkwürdig am Markt: Hinweisgebermeldung ist ein einfaches Werkzeug. Eine hinweisgebende Person reicht eine Meldung ein. Eine bearbeitende Person liest sie und antwortet. Das System verfolgt Fristen und führt ein Audit-Protokoll. Das ist das ganze Produkt.</p> <p>Trotzdem verstecken die meisten Anbieter ihre Preise hinter „Jetzt Demo anfordern"-Formularen, verlangen wochenlange Vertriebsprozesse und blähen ihren Funktionsumfang mit KI-Analysen, Sentiment-Analyse und weiteren Ergänzungen auf, die mit den tatsächlichen Anforderungen der Richtlinie nichts zu tun haben. Die Folge: Die Compliance-Verantwortliche eines 100-Personen-Unternehmens sitzt in einem Vertriebsgespräch für ein Tool, dessen Einrichtung zehn Minuten dauern sollte.</p> <p>Dieser Artikel rankt die Top-Hinweisgebersoftware gezielt danach, wie gut jede Plattform die gesetzlichen Anforderungen der Richtlinie erfüllt — nicht nach Markenbekanntheit, KI-Funktionsumfang oder Wirkung der Vertriebsfolien.</p> <hr> <h2 id="bewertungskriterien"> Bewertungskriterien <a href="#bewertungskriterien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede Plattform wurde an den sechs Kernanforderungen der Richtlinie 2019/1937 gemessen:</p> <table> <thead> <tr> <th>Anforderung</th> <th>Artikel</th> <th>Was das Gesetz verlangt</th> </tr> </thead> <tbody> <tr> <td>Sicherer Meldekanal</td> <td>Art. 8</td> <td>Verschlüsselt, für alle Beschäftigten zugänglich, ohne Konto</td> </tr> <tr> <td>Vertraulichkeit</td> <td>Art. 16</td> <td>Identität ohne Zustimmung nicht offengelegt, Zugang nur für autorisierte Personen</td> </tr> <tr> <td>Eingangsbestätigung</td> <td>Art. 9 Abs. 1 lit. b</td> <td>Schriftliche Bestätigung innerhalb von 7 Tagen</td> </tr> <tr> <td>Rückmeldefrist</td> <td>Art. 9 Abs. 1 lit. f</td> <td>Substanzielle Rückmeldung innerhalb von 3 Monaten</td> </tr> <tr> <td>Zwei-Wege-Kommunikation</td> <td>Art. 9 Abs. 1 lit. b</td> <td>Kommunikation mit der hinweisgebenden Person, auch bei Anonymität</td> </tr> <tr> <td>Dokumentation</td> <td>Art. 18</td> <td>Meldungen sicher speichern, gesetzeskonform aufbewahren, bei Bedarf löschbar</td> </tr> </tbody> </table> <p>Weitere praktische Kriterien: Preistransparenz, EU-Datenhaltung, Einrichtungsgeschwindigkeit und ob ein Vertriebsgespräch erforderlich ist.</p> <hr> <h2 id="das-ranking"> Das Ranking <a href="#das-ranking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-ethicsportal--am-besten-für-kmu-mit-bedarf-an-schneller-erschwinglicher-compliance"> 1. EthicsPortal — am besten für KMU mit Bedarf an schneller, erschwinglicher Compliance <a href="#1-ethicsportal--am-besten-f%c3%bcr-kmu-mit-bedarf-an-schneller-erschwinglicher-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> EthicsPortal wurde gezielt für die EU-Richtlinie 2019/1937 gebaut. Jede Funktion ordnet sich einem Artikel zu.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Verschlüsseltes Webportal, eigene URL pro Organisation, keine App nötig</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Kein IP-Logging, Entfernung von Dateimetadaten (EXIF, GPS, Autor), verschlüsselte Speicherung</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Automatische Fristenverfolgung mit Benachrichtigung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Automatische Fristenverfolgung mit Überschreitungswarnung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Anonymer Nachrichtenverlauf per Zugangscode — Namen der Bearbeitenden nie offengelegt</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Unveränderliches Audit-Protokoll, PDF-Export für Prüfer:innen</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Pauschal 49 €/Monat. Keine Pro-Kopf-Gebühren, keine Add-ons. <strong>EU-Hosting:</strong> Ja — Hetzner, Nürnberg, Deutschland. <strong>Einrichtungszeit:</strong> Minuten. Selbstbedienungs-Registrierung, kein Vertriebsanruf.</p> <p><strong>Warum Platz eins:</strong> Hinweisgebermeldung ist kein komplexes Problem. Die Richtlinie sagt genau, was das Tool tun muss, und EthicsPortal tut genau das — nicht mehr, nicht weniger. Keine KI-Sentiment-Analyse, kein „Risk Scoring", keine Funktionen, die nur einen höheren Preis rechtfertigen sollen. Vollständige Art.-8–18-Compliance für 49 €/Monat, auf der Website sichtbar, ohne Vertriebsgespräch.</p> <p>Die Abstriche: EthicsPortal ist neuer und hat derzeit noch keine ISO-27001-Zertifizierung und keine Telefon-Hotline.</p> <p>EthicsPortal ist unser Produkt. Wir haben es entwickelt, um volle Richtlinien-Compliance mit transparenter Preisgestaltung und sofortiger Inbetriebnahme zu liefern.</p> <hr> <h3 id="2-formalize-whistleblowersoftwarecom--am-besten-für-mittelstand-mit-wunsch-nach-ausgereiftem-produkt"> 2. Formalize (WhistleblowerSoftware.com) — am besten für Mittelstand mit Wunsch nach ausgereiftem Produkt <a href="#2-formalize-whistleblowersoftwarecom--am-besten-f%c3%bcr-mittelstand-mit-wunsch-nach-ausgereiftem-produkt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> In Dänemark gebaut, mit der EU-Richtlinie als primärer Designtreiber.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Webportal mit Verschlüsselung</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Zugriffskontrollen, Verschlüsselung</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — automatisierte Verfolgung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — automatisierte Verfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Individuelles Angebot erforderlich. Früher Pro-Kopf-Preise veröffentlicht; nicht mehr öffentlich. <strong>EU-Hosting:</strong> Ja — Dänemark. <strong>Einrichtungszeit:</strong> Tage — Demo-/Vertriebsprozess erforderlich.</p> <p><strong>Warum hier platziert:</strong> Starke Richtlinien-Compliance, ISO 27001 und ISAE 3000 zertifiziert, Platz 1 auf G2 (4,9/5, 157 Bewertungen), mehr als 80 Sprachen. Formalize veröffentlichte früher Preise auf der Website — inzwischen nicht mehr, was Rückschlüsse auf die Ausrichtung zulässt. Sie müssen ein Angebot anfordern und einen Vertriebsprozess durchlaufen, um den Preis zu erfahren. Wenn Sie Zertifizierungen und ein Partnerökosystem (PwC, Baker McKenzie) brauchen, ist Formalize eine starke Wahl — seien Sie aber bereit, Preise zu verhandeln, die Sie vorab nicht sehen.</p> <hr> <h3 id="3-hintbox--am-besten-für-den-deutschsprachigen-markt"> 3. Hintbox — am besten für den deutschsprachigen Markt <a href="#3-hintbox--am-besten-f%c3%bcr-den-deutschsprachigen-markt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Deutsche Plattform mit über 1.000 Kund:innen. Teil der lawcode Suite.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Portal, gehostet auf Hetzner (Deutschland)</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Entfernung von Dateimetadaten, 2FA, Virenscanning</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging, optionaler Voice-Bot (+49 €/Monat)</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab 49 €/Monat. Skaliert auf 149+ €/Monat nach Beschäftigtenzahl. Add-ons: Voice-Bot (+49 €/Monat), E-Mail-Integration (+29 €/Monat), eigene Domain (+29 €/Monat). <strong>EU-Hosting:</strong> Ja — Hetzner, Deutschland. ISO 27001 zertifiziert. <strong>Einrichtungszeit:</strong> Tage.</p> <p><strong>Warum hier platziert:</strong> Ausgereiftes Produkt, große Kundenbasis (Rewe, s.Oliver, FC Bayern), ISO 27001 zertifiziert. Pro-Kopf-Preise und Add-on-Kosten führen dazu, dass der effektive Preis für die meisten Organisationen deutlich über dem 49-€-Einstieg liegt. DACH-fokussiert — geringe Präsenz außerhalb deutschsprachiger Märkte.</p> <hr> <h3 id="4-legaltegrity--am-besten-für-deutsche-kmu-die-telefonmeldung-inklusive-möchten"> 4. LegalTegrity — am besten für deutsche KMU, die Telefonmeldung inklusive möchten <a href="#4-legaltegrity--am-besten-f%c3%bcr-deutsche-kmu-die-telefonmeldung-inklusive-m%c3%b6chten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Frankfurt-basiert, gehostet auf der Open Telekom Cloud.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Portal, Deutsche-Telekom-Hosting (Deutschland)</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — rollenbasierte Zugriffskontrolle</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — Fristenverfolgung mit Erinnerungen</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging, Telefonkanal in allen Tarifen</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll, Reporting</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Essential 49 €/Monat (<50 Beschäftigte), Professional 99 €/Monat (<250), Professional 166 €/Monat (<1.000), Enterprise auf Anfrage. Jährliche Abrechnung. <strong>EU-Hosting:</strong> Ja — Open Telekom Cloud, Deutschland. ISO-27001-zertifiziertes Hosting. <strong>Einrichtungszeit:</strong> Tage. 3-monatige Geld-zurück-Garantie.</p> <p><strong>Warum hier platziert:</strong> LegalTegrity enthält in jedem Tarif einen telefonischen Meldekanal, auch im 49-€-Essential-Tarif. Das ist ungewöhnlich — die meisten Wettbewerber berechnen Telefoneingänge extra oder bieten sie gar nicht. Über 40 Sprachen verfügbar. Abstrich: gestaffelte Pro-Kopf-Preise bedeuten wachsende Kosten, und zusätzliche Sprachen kosten jeweils 29 €/Monat über die zwei enthaltenen hinaus.</p> <hr> <h3 id="5-vispato--beste-pauschalpreis-alternative-im-dach-raum"> 5. Vispato — beste Pauschalpreis-Alternative im DACH-Raum <a href="#5-vispato--beste-pauschalpreis-alternative-im-dach-raum" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Deutsche Plattform, Teil der HR-WORKS-Gruppe.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Portal, DATEV-gehostet (Deutschland)</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — rollenbasierte Zugriffskontrolle, ISO-27001-Hosting</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Pauschal 79 €/Monat. Unbegrenzte Nutzer:innen, Fälle und Speicher. Enterprise-Tarif mit SSO und eigener Domain auf Anfrage. <strong>EU-Hosting:</strong> Ja — DATEV-Server, Deutschland. <strong>Einrichtungszeit:</strong> Tage. Keine kostenlose Testphase, Demo erforderlich.</p> <p><strong>Warum hier platziert:</strong> Pauschal 79 €/Monat unabhängig von der Unternehmensgröße, keine Zusatzgebühren. 18 Sprachen. WCAG 2.1 AA. Für DACH-Unternehmen, die vorhersehbare Kosten ohne Pro-Kopf-Staffel wollen, ist Vispato die sauberste Alternative. Abstriche: weniger Sprachen als Mitbewerber (18 vs. 30–80) und keine kostenlose Testphase.</p> <hr> <h3 id="6-digitalpa-legality-whistleblowing--am-besten-für-italien"> 6. DigitalPA (Legality Whistleblowing) — am besten für Italien <a href="#6-digitalpa-legality-whistleblowing--am-besten-f%c3%bcr-italien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Italienische Plattform mit vier ISO-Zertifizierungen.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Web-, Voice-, Telefon- und Präsenzeingang</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — 2FA, anonyme und vertrauliche Modi</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — Fristenverfolgung</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging mit KI-Übersetzung</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll, Ermittlungsberichte</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Standard ab 29 €/Monat (<50 Beschäftigte). Premium ab 41 €/Monat. Medium/Large/Enterprise auf Anfrage. Nur jährliche Abrechnung. <strong>EU-Hosting:</strong> Ja — Italien. <strong>Einrichtungszeit:</strong> Tage.</p> <p><strong>Warum hier platziert:</strong> Der günstigste Einstiegspreis in diesem Vergleich (29 €/Monat) und die meisten ISO-Zertifizierungen (27001, 37001, 37002, 37301). Multi-Channel-Eingang inklusive Telefon und persönlichen Gesprächen. Über 1.000 Kund:innen. Abstriche: Preise oberhalb des KMU-Tarifs sind auf Anfrage, und die Plattform ist italienischmarktorientiert.</p> <hr> <h3 id="7-ithikios--am-besten-für-spanische-kmu"> 7. ithikios — am besten für spanische KMU <a href="#7-ithikios--am-besten-f%c3%bcr-spanische-kmu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Spanische modulare Compliance-Suite.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — verschlüsseltes Cloud-Portal, ISO-27001-Server</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — anonyme und vertrauliche Modi</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja — anonymes Messaging</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Fallmanagement mit Dokumentation</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab 29 €/Monat. Kostenlose Testphase verfügbar. <strong>EU-Hosting:</strong> Ja — Spanien. ISO 27001 zertifiziert. <strong>Einrichtungszeit:</strong> Stunden.</p> <p><strong>Warum hier platziert:</strong> Preisgünstig bei 29 €/Monat mit ISO 27001 und kostenloser Testphase. Über 1.000 Unternehmen in 10 Ländern. Modulare Plattform: Meldekanal jetzt, Policy-Management oder NIS2-Module später. 7 Oberflächensprachen. Abstriche: primär spanischer Fokus, und 7 Sprachen sind für grenzüberschreitende Organisationen begrenzt.</p> <hr> <h3 id="8-faceup--am-besten-für-mehrsprachige-organisationen-113-sprachen"> 8. FaceUp — am besten für mehrsprachige Organisationen (113 Sprachen) <a href="#8-faceup--am-besten-f%c3%bcr-mehrsprachige-organisationen-113-sprachen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong></p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Zugriffskontrollen</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja — automatisiert</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja — automatisiert</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — Audit-Protokoll</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Nicht öffentlich. Drei Tarife (Starter, Professional, Enterprise), alle mit „Angebot anfordern" — keine Preise auf der Website. Preise in USD. <strong>EU-Hosting:</strong> Ja — Tschechien. <strong>Einrichtungszeit:</strong> Stunden.</p> <p><strong>Warum hier platziert:</strong> FaceUp unterstützt 113 Sprachen — einer der höchsten Werte am Markt — und bietet eine mobile App für Hinweisgeber:innen. Ursprünglich für Schulen in Tschechien gebaut, expandiert in Unternehmens-Compliance über mehr als 70 Länder. Preise in US-Dollar und nicht öffentlich — alle drei Tarife zeigen „Angebot anfordern" statt Preise, was Budgetierung ohne Vertriebsgespräch unmöglich macht.</p> <hr> <h3 id="9-whistlelink--am-besten-für-nordische-unternehmen"> 9. Whistlelink — am besten für nordische Unternehmen <a href="#9-whistlelink--am-besten-f%c3%bcr-nordische-unternehmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong></p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab 79 €/Monat (jährliche Abrechnung). Skaliert nach Beschäftigtenzahl: 79 € → 99 € → 149 € → 199 € → 299 €/Monat. Über 1.000 Beschäftigte: Vertrieb kontaktieren. <strong>EU-Hosting:</strong> Ja — Schweden. <strong>Einrichtungszeit:</strong> Tage. 30-tägige kostenlose Testphase.</p> <p><strong>Warum hier platziert:</strong> Solide Richtlinien-Compliance mit mehr als 50 Sprachen und gutem Fallmanagement. Alle Tarife enthalten denselben Funktionsumfang — kein Feature-Gating. Einstieg bei 79 €/Monat, teurer als die günstigsten Optionen, aber transparent. Starke Regionalpräsenz im Norden.</p> <hr> <h3 id="10-speakup-people-intouch--am-besten-für-ausgelagerte-fallbearbeitung"> 10. SpeakUp (People Intouch) — am besten für ausgelagerte Fallbearbeitung <a href="#10-speakup-people-intouch--am-besten-f%c3%bcr-ausgelagerte-fallbearbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Eine der am längsten bestehenden europäischen Hinweisgeberplattformen (Niederlande).</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Web + Telefonmeldung</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Ab ~3.000 €/Jahr für Unternehmen unter 1.000 Beschäftigten. Größere auf Anfrage. <strong>EU-Hosting:</strong> Ja — Niederlande. <strong>Einrichtungszeit:</strong> Tage.</p> <p><strong>Warum hier platziert:</strong> Einzigartiges Leistungsversprechen: ausgelagerte Fallbearbeitung durch geschulte Fachkräfte. Hat Ihre Organisation keine internen Ressourcen, übernimmt SpeakUp. Abstrich: Preis — Sie zahlen für menschliche Bearbeitung, nicht nur Software.</p> <hr> <h3 id="11-eqs-integrity-line--am-besten-für-großkonzerne"> 11. EQS Integrity Line — am besten für Großkonzerne <a href="#11-eqs-integrity-line--am-besten-f%c3%bcr-gro%c3%9fkonzerne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig.</strong> Der europäische Enterprise-Standard.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — mehr als 70 Sprachen</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja — Enterprise-Zugriffskontrollen</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — integriert mit GRC-Suiten</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Nicht veröffentlicht. Geschätzt ab 2.000 €/Monat. Vertriebsprozess erforderlich. <strong>EU-Hosting:</strong> Ja. <strong>Einrichtungszeit:</strong> Wochen.</p> <p><strong>Warum hier platziert:</strong> Sind Sie eine Bank, ein Versicherer oder ein börsennotiertes Unternehmen mit mehr als 5.000 Beschäftigten, ist EQS die sichere Enterprise-Wahl. Für alle anderen zahlen Sie für Funktionen und Skalierung, die Sie nicht brauchen. Die Implementierung dauert Wochen, nicht Minuten.</p> <hr> <h3 id="12-navex-global--am-besten-für-us-konzerne-mit-eu-operationen"> 12. NAVEX Global — am besten für US-Konzerne mit EU-Operationen <a href="#12-navex-global--am-besten-f%c3%bcr-us-konzerne-mit-eu-operationen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Richtlinien-Abdeckung: vollständig, aber EU-Compliance wirkt aufgesetzt.</strong></p> <table> <thead> <tr> <th>Anforderung</th> <th>Abdeckung</th> </tr> </thead> <tbody> <tr> <td>Sicherer Kanal (Art. 8)</td> <td>Ja — Web + Telefon-Hotline</td> </tr> <tr> <td>Vertraulichkeit (Art. 16)</td> <td>Ja</td> </tr> <tr> <td>7-Tage-Eingangsbestätigung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>3-Monats-Rückmeldung (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Zwei-Wege-Kommunikation (Art. 9)</td> <td>Ja</td> </tr> <tr> <td>Dokumentation (Art. 18)</td> <td>Ja — starke Analysefunktionen</td> </tr> </tbody> </table> <p><strong>Preis:</strong> Individuell. Typischerweise ab 5.000 €/Jahr. Vertriebsprozess erforderlich. <strong>EU-Hosting:</strong> Optional verfügbar, nicht Standard. <strong>Einrichtungszeit:</strong> Wochen.</p> <p><strong>Warum hier platziert:</strong> NAVEX ist die dominierende US-Compliance-Plattform mit jahrzehntelanger Geschichte und Tausenden Kund:innen. Das Produkt EthicsPoint deckt die Richtlinie ab, wurde aber zuerst für US-Regulierungsrahmen entwickelt. EU-Hosting ist verfügbar, aber nicht Standard. Enterprise-Preise und lange Implementierungszyklen machen es für KMU unerreichbar.</p> <hr> <h2 id="welche-plattform-sollten-sie-wählen"> Welche Plattform sollten Sie wählen? <a href="#welche-plattform-sollten-sie-w%c3%a4hlen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Ihre Situation</th> <th>Beste Wahl</th> </tr> </thead> <tbody> <tr> <td>KMU oder Start-up, schnelle Compliance, budgetorientiert</td> <td><strong>EthicsPortal</strong> (49 €/Monat, Einrichtung in Minuten)</td> </tr> <tr> <td>Deutsche KMU, Telefonmeldung inklusive</td> <td><strong>LegalTegrity</strong> (ab 49 €/Monat, Telefon in allen Tarifen)</td> </tr> <tr> <td>DACH-Region, Pauschalpreise ohne Add-ons</td> <td><strong>Vispato</strong> (79 €/Monat pauschal)</td> </tr> <tr> <td>Italienisches Unternehmen, lokale Zertifizierungen</td> <td><strong>DigitalPA</strong> (ab 29 €/Monat, ISO 27001/37001/37002)</td> </tr> <tr> <td>Spanisches Unternehmen, Ley-2/2023-Compliance</td> <td><strong>ithikios</strong> (ab 29 €/Monat, ISO 27001)</td> </tr> <tr> <td>Mittelstand mit Bedarf an Zertifizierungen und Partnerökosystem</td> <td><strong>Formalize</strong> (individuelle Preise, ISO zertifiziert)</td> </tr> <tr> <td>Deutschsprachiger Markt, ISO 27001 im Skaleneinsatz</td> <td><strong>Hintbox</strong> (ab 49 €/Monat, ISO 27001)</td> </tr> <tr> <td>113 Sprachen oder mobile Melde-App erforderlich</td> <td><strong>FaceUp</strong> (individuelles Angebot)</td> </tr> <tr> <td>Nordisches Unternehmen, regionaler Anbieter bevorzugt</td> <td><strong>Whistlelink</strong> (ab 79 €/Monat)</td> </tr> <tr> <td>Ausgelagerte Fallbearbeitung nötig</td> <td><strong>SpeakUp</strong> (~3.000 €/Jahr)</td> </tr> <tr> <td>Großkonzern (ab 500 Beschäftigten), vollständige GRC-Suite</td> <td><strong>EQS Integrity Line</strong> (individuelle Preise)</td> </tr> <tr> <td>US-Konzern mit EU-Tochter</td> <td><strong>NAVEX Global</strong> (individuelle Preise)</td> </tr> </tbody> </table> <hr> <h2 id="warum-die-meisten-plattformen-für-ihre-leistung-überteuert-sind"> Warum die meisten Plattformen für ihre Leistung überteuert sind <a href="#warum-die-meisten-plattformen-f%c3%bcr-ihre-leistung-%c3%bcberteuert-sind" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede Plattform auf dieser Liste deckt die Kernanforderungen der Richtlinie 2019/1937 ab. Das ist wichtig zu wiederholen: Die grundlegende Compliance-Funktionalität ist überall gleich. Eine hinweisgebende Person reicht eine Meldung ein. Eine bearbeitende Person liest sie und antwortet. Das System verfolgt Fristen und führt ein Audit-Protokoll.</p> <p>Der Preisunterschied zwischen 49 €/Monat und 5.000+ €/Jahr erklärt sich nicht durch die Anforderungen der Richtlinie. Er erklärt sich durch Vertriebsteams, Enterprise-Packaging, KI-Funktionen, nach denen keine Compliance-Verantwortliche gefragt hat, und die Annahme, dass „Compliance-Software" wie Enterprise-SaaS bepreist werden kann.</p> <p>Viele Plattformen auf dieser Liste veröffentlichen ihre Preise nicht. Sie müssen ein Formular ausfüllen, in ein Gespräch gehen, eine Demo über sich ergehen lassen und erhalten dann — vielleicht — ein Angebot. Für ein Tool, das eine Tabellenkalkulation (schlecht) ersetzen könnte, ist das absurd.</p> <p>Bei der Bewertung von Plattformen kommt es auf drei Dinge an:</p> <ol> <li><strong>Deckt sie Art. 8–18 ab?</strong> Alle oben genannten tun das in ihren Bezahltarifen.</li> <li><strong>Werden die Daten in der EU gehostet?</strong> Für DSGVO und Richtlinien-Compliance unverhandelbar.</li> <li><strong>Sehen Sie den Preis und können heute starten?</strong> Wenn ein Anbieter den Preis nicht zeigt, fragen Sie sich, wofür er optimiert.</li> </ol> <p>Keine Hinweisgeberplattform macht Ihre Organisation allein konform. Compliance verlangt auch interne Richtlinien, benannte Bearbeiter:innen, Schulungen und dokumentierte Verfahren. Die Software ist der Meldekanal — ein Baustein eines größeren Compliance-Rahmens. Sie sollte nicht der teuerste oder zeitaufwendigste Baustein sein.</p> <p>Eine detaillierte artikelweise Aufschlüsselung, wie EthicsPortal jede Anforderung erfüllt, finden Sie auf unserer <a href="/de/compliance/">Compliance-Seite</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/whistleblower-software-is-a-form-and-a-database/Sun, 05 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/whistleblower-software-is-a-form-and-a-database/Was ein Hinweisgeber-Meldetool nach der EU-Richtlinie 2019/1937 tatsächlich leisten muss --- und welche Funktionen zählen gegenüber reinem Marketing.<h1 id="worauf-sie-bei-hinweisgeber-compliance-software-achten-sollten"> Worauf Sie bei Hinweisgeber-Compliance-Software achten sollten <a href="#worauf-sie-bei-hinweisgeber-compliance-software-achten-sollten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Die EU-Hinweisgeberschutzrichtlinie verpflichtet Ihre Organisation, einen sicheren internen Meldekanal zu betreiben. Aber nicht jedes Tool, das Richtlinien-Compliance bewirbt, liefert sie auch.</p> <p>So bewerten Sie, worauf es ankommt.</p> <hr> <h2 id="was-ein-hinweisgeber-meldetool-tatsächlich-leisten-muss"> Was ein Hinweisgeber-Meldetool tatsächlich leisten muss <a href="#was-ein-hinweisgeber-meldetool-tats%c3%a4chlich-leisten-muss" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Anforderungen der Richtlinie lassen sich in fünf Kernfunktionen übersetzen:</p> <ol> <li>Eine hinweisgebende Person reicht eine Meldung über einen sicheren Kanal ein.</li> <li>Die Meldung wird vertraulich in einem verschlüsselten System gespeichert.</li> <li>Eine benannte bearbeitende Person prüft sie und antwortet.</li> <li>Das System verfolgt die 7-Tage-Eingangsbestätigungs- und 3-Monats-Rückmeldefristen.</li> <li>Jede Aktion wird in einem unveränderlichen Audit-Protokoll erfasst.</li> </ol> <p>Diese fünf Funktionen sind die Compliance-Basis. Jedes evaluierte Tool sollte darlegen, wie es jede dieser Funktionen umsetzt.</p> <hr> <h2 id="funktionen-die-für-compliance-zählen"> Funktionen, die für Compliance zählen <a href="#funktionen-die-f%c3%bcr-compliance-z%c3%a4hlen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bei der Bewertung von Plattformen sollten Sie sich auf das konzentrieren, was die Richtlinie tatsächlich verlangt:</p> <ul> <li><strong>Anonyme Meldung</strong> — Art. 6 Abs. 1 verlangt Vertraulichkeit. Die stärkste Umsetzung bedeutet: kein IP-Logging, kein Tracking und automatische Entfernung von Dateimetadaten (EXIF, GPS, Autorenangaben), die die Identität offenbaren könnten.</li> <li><strong>Zwei-Wege-Kommunikation</strong> — Art. 9 Abs. 1 lit. b verlangt die Nachverfolgung mit der hinweisgebenden Person. Das erfordert sicheres Messaging, ohne dass die hinweisgebende Person ein Konto anlegen oder ihre Identität offenbaren muss.</li> <li><strong>Fristenverfolgung</strong> — Art. 9 Abs. 1 lit. b und f setzen die 7-Tage- und 3-Monats-Fristen. Automatisierte Verfolgung mit Benachrichtigungen verhindert Compliance-Ausfälle.</li> <li><strong>Audit-Protokoll</strong> — Art. 18 verlangt Dokumentation. Ein unveränderliches Protokoll aller Aktionen liefert den Nachweis, den Aufsichtsbehörden und Prüfer:innen erwarten.</li> <li><strong>EU-Datenhaltung</strong> — Die DSGVO gilt für alle Meldedaten. Hosting innerhalb der EU vereinfacht Compliance und vermeidet Fragen grenzüberschreitender Übermittlung.</li> <li><strong>Steuerung der Aufbewahrung</strong> — Art. 17 Abs. 1 lit. d verlangt definierte Aufbewahrungsfristen. Konfigurierbare automatische Löschung stellt sicher, dass Daten nicht länger als nötig gespeichert werden.</li> </ul> <hr> <h2 id="funktionen-die-beeindruckend-klingen-aber-nicht-in-der-richtlinie-stehen"> Funktionen, die beeindruckend klingen, aber nicht in der Richtlinie stehen <a href="#funktionen-die-beeindruckend-klingen-aber-nicht-in-der-richtlinie-stehen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Manche Plattformen heben Fähigkeiten hervor, die über die Compliance-Anforderungen hinausgehen:</p> <ul> <li>„KI-gestütztes Risk-Scoring"</li> <li>„Sentiment-Analyse"</li> <li>„Predictive-Analytics-Dashboards"</li> <li>„Benchmarking gegen über 10.000 Organisationen"</li> </ul> <p>Diese Funktionen können größeren Organisationen mit ausgereiften Compliance-Programmen dienen. Sie sind jedoch keine Richtlinien-Anforderungen, und ihr Vorhandensein macht ein Tool nicht konformer. Prüfen Sie, ob sie Ihren tatsächlichen Bedarf decken, bevor Sie dafür zahlen.</p> <hr> <h2 id="preistransparenz-als-signal"> Preistransparenz als Signal <a href="#preistransparenz-als-signal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie gilt für Organisationen sehr unterschiedlicher Größe — vom 50-Personen-Unternehmen bis zum multinationalen Konzern. Das gewählte Tool sollte zu Ihrer Größe passen.</p> <p>Einige Plattformen veröffentlichen Preise offen. Andere verlangen einen Vertriebsprozess, um den Preis zu erfahren. Keiner der Ansätze ist grundsätzlich besser, aber transparente Preise lassen Sie die Passung schneller bewerten und vermeiden Zeitaufwand für Demos, bevor klar ist, ob das Budget passt.</p> <hr> <h2 id="fragen-für-die-evaluierung"> Fragen für die Evaluierung <a href="#fragen-f%c3%bcr-die-evaluierung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Fragen Sie bei jeder Hinweisgeberplattform:</p> <ol> <li><strong>Wo werden die Daten gespeichert?</strong> EU-Hosting und Datenhaltung bestätigen.</li> <li><strong>Wie werden hinweisgebende Personen geschützt?</strong> IP-Anonymisierung und Entfernung von Dateimetadaten prüfen.</li> <li><strong>Wie werden Fristen verfolgt?</strong> Automatische 7-Tage- und 3-Monats-Verfolgung mit Benachrichtigungen bestätigen.</li> <li><strong>Ist das Audit-Protokoll unveränderlich?</strong> Sicherstellen, dass Protokolle nicht bearbeitet oder gelöscht werden können.</li> <li><strong>Was passiert bei Kündigung?</strong> Datenexport und Löschrichtlinien verstehen.</li> <li><strong>Ist ein AVV verfügbar?</strong> Für die DSGVO-Compliance als Auftragsverarbeitungsverhältnis erforderlich.</li> </ol> <hr> <h2 id="wie-ethicsportal-diese-anforderungen-erfüllt"> Wie EthicsPortal diese Anforderungen erfüllt <a href="#wie-ethicsportal-diese-anforderungen-erf%c3%bcllt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://ethicsportal.eu">EthicsPortal</a> ist speziell für die EU-Richtlinie 2019/1937 gebaut:</p> <ul> <li>49 €/Monat, alle Funktionen enthalten</li> <li>Anonyme Meldung mit IP-Anonymisierung und Entfernung von Dateimetadaten</li> <li>Sicheres Zwei-Wege-Messaging per Zugangscode</li> <li>Automatische Fristenverfolgung mit Überschreitungswarnungen</li> <li>Unveränderliches Audit-Protokoll und PDF-Fallexport</li> <li>Gehostet auf Hetzner in Nürnberg, Deutschland — alle Daten bleiben in der EU</li> </ul> <p>Die <a href="/de/compliance/">artikelweise Compliance-Aufschlüsselung</a> zeigt im Detail, wie jede Anforderung der Richtlinie erfüllt wird.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/if-employees-have-to-ask-you-dont-have-a-channel/Sat, 04 Apr 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/if-employees-have-to-ask-you-dont-have-a-channel/Das EU-Recht verpflichtet Arbeitgeber, Beschäftigte über den Meldekanal zu informieren. Wer erst fragen muss, wo er zu finden ist, ist schon entlarvt.<h1 id="wer-nach-dem-meldekanal-fragen-muss-hat-keinen"> Wer nach dem Meldekanal fragen muss, hat keinen <a href="#wer-nach-dem-meldekanal-fragen-muss-hat-keinen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Eine Beschäftigte vermutet Betrug. Sie will ihn melden. Ihr erster Schritt sollte nicht sein, zur Personalabteilung zu gehen und zu fragen „Haben wir einen Meldekanal?"</p> <p>Schon die Frage ist ein Signal. In genau der Art von Arbeitsumfeld, für die die Richtlinie geschaffen wurde — wo Fehlverhalten passiert und jemand es melden möchte — sagt Herumfragen nach einem Meldekanal den Leuten, dass Sie darüber nachdenken, etwas zu melden. Bevor Sie ein einziges Wort getippt haben, sind Sie exponiert.</p> <hr> <h2 id="das-gesetz-ist-eindeutig-sie-müssen-beschäftigte-informieren"> Das Gesetz ist eindeutig: Sie müssen Beschäftigte informieren <a href="#das-gesetz-ist-eindeutig-sie-m%c3%bcssen-besch%c3%a4ftigte-informieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die EU-Richtlinie 2019/1937 und ihre nationalen Umsetzungen (das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, die <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, das <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen und andere) verlangen nicht nur die Einrichtung eines Meldekanals. Sie verlangen, dass die Beschäftigten davon Kenntnis haben.</p> <p><strong>Art. 9 Abs. 1 lit. g</strong> verlangt „klare und leicht zugängliche Informationen" zu internen und externen Meldeverfahren. Das ist nicht optional. Wer einen Meldekanal hat, dessen Beschäftigte aber nichts davon wissen, ist nicht konform mit seinem nationalen Recht.</p> <p>Nationale Umsetzungen gehen weiter:</p> <ul> <li><strong><a href="/de/whistleblower-laws/germany/">Deutschland</a> (<a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">HinSchG</a> § 7 Abs. 3, § 13 Abs. 2):</strong> Arbeitgeber müssen „klare und leicht zugängliche Informationen" sowohl zu internen Meldeverfahren (§ 7 Abs. 3) als auch zu externen Meldemöglichkeiten (§ 13 Abs. 2) bereitstellen.</li> <li><strong><a href="/de/whistleblower-laws/france/">Frankreich</a> (<a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Loi Waserman, 2022-401</a>):</strong> Unternehmen müssen Beschäftigte über das Meldeverfahren informieren und die Information über leicht zugängliche Mittel veröffentlichen.</li> <li><strong><a href="/de/whistleblower-laws/poland/">Polen</a> (<a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928">Ustawa o ochronie sygnalistów</a>):</strong> Arbeitgeber müssen interne Meldeverfahren einrichten und allen Beschäftigten bekanntmachen. Das Verfahren tritt 7 Tage nach Veröffentlichung in Kraft.</li> </ul> <p>Das Muster ist überall dasselbe: Den Kanal einzurichten ist die halbe Miete. Beschäftigte auf ihn aufmerksam zu machen, ist die andere Hälfte.</p> <hr> <h2 id="das-designproblem-über-das-niemand-spricht"> Das Designproblem, über das niemand spricht <a href="#das-designproblem-%c3%bcber-das-niemand-spricht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die meisten Compliance-Diskussionen hören bei „Beschäftigte informieren" auf und unterstellen, dass eine unternehmensweite E-Mail oder eine Intranet-Seite das Problem löst. Tut sie nicht.</p> <p>Überlegen Sie, was tatsächlich passiert:</p> <p><strong>Szenario 1: Der Kanal liegt im Unternehmens-Intranet.</strong> Die Beschäftigte muss den Firmenrechner benutzen, sich ins Firmennetzwerk einloggen, in den Compliance-Bereich navigieren und zum Meldeportal durchklicken. Jeder Schritt hinterlässt eine digitale Spur auf einem Gerät, das der Arbeitgeber kontrolliert. Die IT-Abteilung sieht, welche Seiten Sie im Intranet aufrufen.</p> <p><strong>Szenario 2: Der Kanal erfordert eine Firmen-App.</strong> Die Beschäftigte muss eine App herunterladen, möglicherweise über ein firmeninternes MDM-System (Mobile Device Management), und ein Konto erstellen. Eine Whistleblower-App auf dem Diensthandy zu installieren, ist an sich schon ein Statement.</p> <p><strong>Szenario 3: Der Kanal wird einmal im Mitarbeiterhandbuch erwähnt.</strong> Seite 47, Abschnitt 12.3, zwischen Parkordnung und Kleiderordnung. Niemand erinnert sich. Wer ihn braucht, muss fragen. Und Fragen ist das Problem.</p> <hr> <h2 id="was-leicht-zugänglich-tatsächlich-bedeutet"> Was „leicht zugänglich" tatsächlich bedeutet <a href="#was-leicht-zug%c3%a4nglich-tats%c3%a4chlich-bedeutet" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wenn man die Intention der Richtlinie ernst nimmt — Menschen schützen, die Fehlverhalten melden — dann bedeutet „leicht zugänglich":</p> <p><strong>Beschäftigte sollten auf den Kanal zugreifen können, ohne:</strong></p> <ul> <li>Ein Firmengerät zu nutzen</li> <li>Im Firmennetzwerk zu sein</li> <li>Eine App zu installieren</li> <li>Ein Konto zu erstellen</li> <li>Irgendjemanden nach dem Fundort zu fragen</li> <li>Eine Spur zu hinterlassen, dass sie gesucht haben</li> </ul> <p>Das engt die Optionen erheblich ein. Der Kanal muss eine <strong>öffentliche URL</strong> sein, die in jedem Browser auf jedem Gerät funktioniert — auch auf dem privaten Smartphone mit Mobilfunkdaten, vollständig außerhalb der Infrastruktur des Arbeitgebers.</p> <hr> <h2 id="so-machen-sie-den-kanal-wirklich-zugänglich"> So machen Sie den Kanal wirklich zugänglich <a href="#so-machen-sie-den-kanal-wirklich-zug%c3%a4nglich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>1. Eine öffentliche URL, keine Intranet-Seite.</strong> Das Meldeportal muss von jedem Browser auf jedem Gerät ohne Authentifizierung erreichbar sein. Eine Beschäftigte zuhause, auf dem Privathandy, um 23 Uhr, muss eine URL eintippen und eine Meldung starten können. Kein VPN, kein Login, keine Firmen-E-Mail erforderlich.</p> <p><strong>2. QR-Codes in privaten Bereichen.</strong> Drucken Sie den QR-Code und platzieren Sie ihn dort, wo man ihn unbeobachtet scannen kann: Toilettenkabinen, Pausenräume, Umkleiden, die Rückseite von Aufzugstüren. Eine Beschäftigte, die einen QR-Code an einer Toilettenwand scannt, hinterlässt keine digitale Spur und erregt keine Aufmerksamkeit.</p> <p><strong>3. Physische Aushänge, nicht nur E-Mails.</strong> Eine unternehmensweite E-Mail zum Meldekanal wird leicht übersehen und sechs Monate später kaum wiedergefunden. Ein Aushang in jeder Büroküche mit QR-Code und URL ist immer da, wenn man ihn braucht.</p> <p><strong>4. Im Onboarding erwähnen — jedes Mal.</strong> Die Einarbeitung neuer Beschäftigter sollte die Meldekanal-URL und eine gedruckte Karte mit QR-Code enthalten. Nicht im Handbuch vergraben. Persönlich überreicht.</p> <p><strong>5. Kein Konto erforderlich.</strong> Verlangt das Meldetool, dass die Beschäftigte ein Konto mit E-Mail-Adresse anlegt, um eine Meldung einzureichen, ist es nicht anonym und nicht sicher. Die hinweisgebende Person muss ohne identifizierende Angaben einreichen können und einen Zugangscode für späteren Zugriff erhalten.</p> <hr> <h2 id="so-funktioniert-ethicsportal"> So funktioniert EthicsPortal <a href="#so-funktioniert-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede EthicsPortal-Organisation erhält eine öffentliche Melde-URL. Sie funktioniert in jedem Browser, auf jedem Gerät. Keine App, kein Konto, kein Firmennetzwerk.</p> <p>Das Portal erzeugt einen <strong>QR-Code</strong>, der überall ausgedruckt und aufgehängt werden kann. Scannen, und Sie sind auf der Meldeseite. Kein Login, keine Spur.</p> <p>Hinweisgeber:innen reichen anonym ein — kein Name, keine E-Mail, kein IP-Logging. Sie erhalten einen Zugangscode, um später nach Aktualisierungen zu sehen. Die gesamte Interaktion findet in einem Browserfenster statt, das geschlossen werden kann und keine Spuren hinterlässt.</p> <p>Die bearbeitende Person sieht die Identität der hinweisgebenden Person nie. Die hinweisgebende Person sieht den Namen der bearbeitenden Person nie. Das System zählt bis 7 Tage, zählt bis 3 Monate und protokolliert alles.</p> <p>So sieht „leicht zugänglich" aus, wenn man die Richtlinie ernst nimmt.</p> <hr> <p><em>Wenn der Meldekanal Ihrer Organisation erfordert, dass Beschäftigte jemanden fragen, wo er zu finden ist, haben Sie ein Compliance-Häkchen. Sie haben keinen Meldekanal. <a href="https://secure.ethicsportal.eu/session/new">Richten Sie in zehn Minuten einen echten ein.</a></em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/gdpr-and-whistleblower-reporting/Fri, 20 Mar 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/gdpr-and-whistleblower-reporting/Wie die DSGVO auf Hinweisgebermeldungen anwendbar ist. Rechtsgrundlage für die Verarbeitung, anonyme vs. pseudonyme Daten, Aufbewahrungsfristen und das Recht auf Löschung.<h1 id="dsgvo-und-hinweisgebermeldungen-was-sie-wissen-müssen"> DSGVO und Hinweisgebermeldungen: Was Sie wissen müssen <a href="#dsgvo-und-hinweisgebermeldungen-was-sie-wissen-m%c3%bcssen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Jede Hinweisgebermeldung enthält personenbezogene Daten. Die hinweisgebende Person gibt möglicherweise ihren Namen an. Die Meldung nennt wahrscheinlich die Person, der Fehlverhalten vorgeworfen wird. Die Handlungen der bearbeitenden Person werden protokolliert. All das sind personenbezogene Daten im Sinne der DSGVO.</p> <p>Daraus entsteht das Spannungsfeld, mit dem Compliance-Verantwortliche täglich zu tun haben: Die Hinweisgeberrichtlinie (2019/1937) verlangt, Meldungen zu erheben und aufzubewahren, die DSGVO verlangt eine Rechtsgrundlage, Datenminimierung und Löschung, sobald die Daten nicht mehr benötigt werden.</p> <p>Hier zeigen wir, wie die beiden Rahmenwerke zusammenspielen — und was das in der Praxis bedeutet.</p> <hr> <h2 id="welche-personenbezogenen-daten-enthält-eine-hinweisgebermeldung"> Welche personenbezogenen Daten enthält eine Hinweisgebermeldung? <a href="#welche-personenbezogenen-daten-enth%c3%a4lt-eine-hinweisgebermeldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Mehr, als man denkt:</p> <table> <thead> <tr> <th>Daten</th> <th>Quelle</th> <th>DSGVO-Kategorie</th> </tr> </thead> <tbody> <tr> <td>Name der hinweisgebenden Person (falls angegeben)</td> <td>Freiwillig</td> <td>Personenbezogene Daten</td> </tr> <tr> <td>Kontaktdaten (falls angegeben)</td> <td>Freiwillig</td> <td>Personenbezogene Daten</td> </tr> <tr> <td>Name der beschuldigten Person</td> <td>Meldungsinhalt</td> <td>Personenbezogene Daten (Dritte)</td> </tr> <tr> <td>Details zum mutmaßlichen Fehlverhalten</td> <td>Meldungsinhalt</td> <td>Können besondere Kategorien (Art. 9) oder Daten über strafrechtliche Verurteilungen/Straftaten (Art. 10) enthalten</td> </tr> <tr> <td>Hochgeladene Dateien (Dokumente, Fotos)</td> <td>Hinweisgebende Person</td> <td>Können Metadaten enthalten (GPS, Autor, Zeitstempel)</td> </tr> <tr> <td>Aktionen und Notizen der bearbeitenden Person</td> <td>Fallmanagement</td> <td>Personenbezogene Daten (Bearbeiter:in)</td> </tr> <tr> <td>Zeitstempel und Audit-Protokoll</td> <td>System</td> <td>Personenbezogene Daten</td> </tr> </tbody> </table> <p>Beschreibt eine Meldung Belästigung, Diskriminierung oder Gesundheitsthemen, kann sie <strong>besondere Kategorien personenbezogener Daten</strong> im Sinne von Art. 9 DSGVO enthalten — das löst strengere Verarbeitungsbedingungen aus. Meldungen mit strafrechtlichem Bezug fallen unter <strong>Art. 10</strong> (strafrechtliche Verurteilungen und Straftaten), der eigene Beschränkungen vorsieht.</p> <hr> <h2 id="was-ist-die-rechtsgrundlage-der-verarbeitung"> Was ist die Rechtsgrundlage der Verarbeitung? <a href="#was-ist-die-rechtsgrundlage-der-verarbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sie benötigen eine Rechtsgrundlage nach Art. 6 DSGVO, um personenbezogene Daten in Hinweisgebermeldungen zu verarbeiten. Die am häufigsten genutzten Grundlagen:</p> <h3 id="art-6-abs-1-lit-c--rechtliche-verpflichtung"> Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung <a href="#art-6-abs-1-lit-c--rechtliche-verpflichtung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dies ist die primäre Grundlage. Die EU-Richtlinie 2019/1937 und ihre nationalen Umsetzungen begründen eine rechtliche Verpflichtung, einen Meldekanal zu betreiben. Die Verarbeitung personenbezogener Daten ist zur Erfüllung dieser Verpflichtung erforderlich.</p> <p>Dazu gehören:</p> <ul> <li>Annahme der Meldung</li> <li>Sichere Speicherung</li> <li>Ermittlung der Vorwürfe</li> <li>Kommunikation mit der hinweisgebenden Person</li> <li>Führung eines Audit-Protokolls</li> </ul> <h3 id="art-6-abs-1-lit-f--berechtigtes-interesse"> Art. 6 Abs. 1 lit. f — Berechtigtes Interesse <a href="#art-6-abs-1-lit-f--berechtigtes-interesse" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Manche Organisationen nutzen das berechtigte Interesse als sekundäre Grundlage, insbesondere für Verarbeitungen über die Mindestanforderungen der Richtlinie hinaus (z. B. interne Auswertung, Trendberichte). Erforderlich sind eine Interessenabwägung (LIA) und ein Abwägungstest.</p> <h3 id="art-6-abs-1-lit-e--öffentliches-interesse-öffentlicher-sektor"> Art. 6 Abs. 1 lit. e — Öffentliches Interesse (öffentlicher Sektor) <a href="#art-6-abs-1-lit-e--%c3%b6ffentliches-interesse-%c3%b6ffentlicher-sektor" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Öffentliche Stellen können sich auf das öffentliche Interesse stützen, insbesondere wenn das nationale Recht die Verarbeitung zum Schutz von Hinweisgeber:innen ausdrücklich zulässt.</p> <h3 id="und-die-einwilligung"> Und die Einwilligung? <a href="#und-die-einwilligung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Stützen Sie sich nicht auf eine Einwilligung.</strong> Das Machtgefälle zwischen Arbeitgeber und Hinweisgeber:in bedeutet, dass eine Einwilligung nicht freiwillig gegeben sein dürfte (Erwägungsgrund 43 DSGVO). Eine hinweisgebende Person kann nicht sinnvoll zustimmen, wenn ihr Arbeitsplatz vom Ausgang abhängen könnte. Nutzen Sie stattdessen die rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c).</p> <hr> <h2 id="anonyme-meldungen-und-die-dsgvo"> Anonyme Meldungen und die DSGVO <a href="#anonyme-meldungen-und-die-dsgvo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Das ist die Frage, die Compliance-Verantwortliche am häufigsten stellen: Gilt die DSGVO, wenn eine Meldung wirklich anonym ist?</p> <h3 id="wenn-die-hinweisgebende-person-nicht-identifizierbar-ist-dsgvo-gilt-für-sie-nicht"> Wenn die hinweisgebende Person nicht identifizierbar ist: DSGVO gilt für sie nicht <a href="#wenn-die-hinweisgebende-person-nicht-identifizierbar-ist-dsgvo-gilt-f%c3%bcr-sie-nicht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die DSGVO gilt für personenbezogene Daten einer identifizierten oder identifizierbaren Person (Art. 4 Abs. 1). Reicht eine hinweisgebende Person eine Meldung ohne Name, E-Mail oder sonstige identifizierende Daten ein — und protokolliert das System weder IP-Adresse noch andere Kennungen — ist der Meldungsinhalt <em>im Hinblick auf die hinweisgebende Person</em> kein personenbezogenes Datum.</p> <p>Allerdings:</p> <ul> <li>Die <strong>beschuldigte Person</strong> in der Meldung ist weiterhin identifizierbar. Die DSGVO gilt für deren Daten in vollem Umfang.</li> <li>Enthält der Meldungsinhalt Details, aus denen sich die Identität der hinweisgebenden Person mittelbar ableiten lässt („Ich bin die einzige Frau im dritten Stock"), kann es weiterhin personenbezogenes Datum sein.</li> </ul> <h3 id="was-anonym-technisch-erfordert"> Was „anonym" technisch erfordert <a href="#was-anonym-technisch-erfordert" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Damit Anonymität einer DSGVO-Prüfung standhält, muss Ihr Melde-Tool:</p> <ul> <li><strong>Keine IP-Adressen protokollieren.</strong> Jegliches IP-Logging macht die hinweisgebende Person pseudonym, nicht anonym.</li> <li><strong>Kein Konto oder keine E-Mail verlangen.</strong> Authentifiziert sich die hinweisgebende Person, ist sie identifizierbar.</li> <li><strong>Dateimetadaten entfernen.</strong> Hochgeladene Fotos und Dokumente enthalten EXIF-Daten (GPS-Koordinaten, Autorenname, Geräteinfos), die die hinweisgebende Person identifizieren können.</li> <li><strong>Keine Analyse- oder Tracking-Cookies</strong> im Meldeportal einsetzen.</li> </ul> <p>Tut Ihr Tool eines davon, erheben Sie pseudonyme, nicht anonyme Daten — und die DSGVO gilt vollständig.</p> <hr> <h2 id="datenminimierung-art-5-abs-1-lit-c"> Datenminimierung (Art. 5 Abs. 1 lit. c) <a href="#datenminimierung-art-5-abs-1-lit-c" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie verlangt einen Meldekanal. Sie verlangt nicht, mehr Daten zu erheben als nötig.</p> <p>In der Praxis:</p> <ul> <li><strong>Die Identität der hinweisgebenden Person muss optional sein.</strong> Die Einreichung ohne Name oder Kontaktdaten muss möglich sein.</li> <li><strong>Eingabeformulare sollten nur das Nötige erfassen.</strong> Beschreibung des Fehlverhaltens, Kategorie und optionale Belege. Abteilung, Personalnummer oder andere Kennungen dürfen nur erhoben werden, wenn die hinweisgebende Person sie freiwillig angibt.</li> <li><strong>Notizen der bearbeitenden Person sollten ermittlungsrelevant sein.</strong> Protokollieren Sie keine überflüssigen persönlichen Details über hinweisgebende oder beschuldigte Personen.</li> </ul> <hr> <h2 id="rechte-der-beschuldigten-person"> Rechte der beschuldigten Person <a href="#rechte-der-beschuldigten-person" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Hier wird es komplex. Die in einer Hinweisgebermeldung beschuldigte Person hat DSGVO-Rechte — einschließlich des Rechts auf Information (Art. 14), auf Auskunft (Art. 15) und auf Löschung (Art. 17).</p> <p>Die Ausübung dieser Rechte darf jedoch die Vertraulichkeit der hinweisgebenden Person nicht gefährden (Art. 16 der Richtlinie).</p> <h3 id="recht-auf-information-art-14"> Recht auf Information (Art. 14) <a href="#recht-auf-information-art-14" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nach der DSGVO müssen Sie Personen informieren, wenn Sie deren Daten verarbeiten. Art. 16 Abs. 1 der Richtlinie verlangt jedoch den Schutz der Identität der hinweisgebenden Person. Die Lösung:</p> <ul> <li>Sie <strong>können</strong> die beschuldigte Person informieren, dass eine Meldung vorliegt — aber nur, wenn dies die hinweisgebende Person nicht identifiziert.</li> <li><strong>Der Zeitpunkt ist entscheidend.</strong> Viele Mitgliedstaaten erlauben die Verzögerung der Benachrichtigung, solange sie die Ermittlung gefährden würde. Das HinSchG schränkt die Offenlegung während der Ermittlung ausdrücklich ein.</li> <li>Nationale Datenschutzbehörden akzeptieren in der Regel, dass die Vertraulichkeitspflichten der Richtlinie die sofortige Benachrichtigungspflicht überlagern.</li> </ul> <h3 id="auskunftsrecht-art-15"> Auskunftsrecht (Art. 15) <a href="#auskunftsrecht-art-15" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die beschuldigte Person kann Auskunft über die zu ihr gespeicherten Daten verlangen. Sie müssen Auskunft erteilen — aber Informationen schwärzen, die die hinweisgebende Person identifizieren. Dazu gehört der Name, ebenso aber Kontextangaben, die die Identität mittelbar preisgeben.</p> <h3 id="recht-auf-löschung-art-17"> Recht auf Löschung (Art. 17) <a href="#recht-auf-l%c3%b6schung-art-17" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die beschuldigte Person kann keine Löschung einer Meldung verlangen, die Teil einer laufenden Ermittlung ist oder aufgrund gesetzlicher Pflichten aufbewahrt werden muss. Art. 17 Abs. 3 lit. b und e DSGVO sehen Ausnahmen für rechtliche Pflichten und Rechtsansprüche vor.</p> <hr> <h2 id="aufbewahrungsfristen"> Aufbewahrungsfristen <a href="#aufbewahrungsfristen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie (Art. 18) verlangt die Führung von Aufzeichnungen über Meldungen. Die DSGVO (Art. 5 Abs. 1 lit. e) verlangt, dass personenbezogene Daten nicht länger als nötig gespeichert werden.</p> <h3 id="wie-lange-sollten-meldungen-aufbewahrt-werden"> Wie lange sollten Meldungen aufbewahrt werden? <a href="#wie-lange-sollten-meldungen-aufbewahrt-werden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Richtlinie schreibt keine konkrete Aufbewahrungsfrist vor. Nationale Umsetzungen variieren:</p> <table> <thead> <tr> <th>Land</th> <th>Aufbewahrungsfrist</th> <th>Quelle</th> </tr> </thead> <tbody> <tr> <td><a href="/de/whistleblower-laws/france/">Frankreich</a></td> <td>5 Jahre nach Fallabschluss</td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046357368">Decret 2022-1284</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/italy/">Italien</a></td> <td>5 Jahre ab Meldedatum</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">D.Lgs. 24/2023, Art. 14</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/germany/">Deutschland</a></td> <td>3 Jahre nach Fallabschluss (außer laufende Verfahren)</td> <td><a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">§ 11 HinSchG</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/spain/">Spanien</a></td> <td>Nicht konkretisiert (allgemeine DSGVO-Minimierung gilt)</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513">Ley 2/2023</a></td> </tr> </tbody> </table> <h3 id="best-practice"> Best Practice <a href="#best-practice" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Konfigurierbare Aufbewahrungsfrist (z. B. 12, 24, 36 oder 60 Monate nach Fallabschluss).</li> <li>Automatische Löschung abgeschlossener Fälle nach Ablauf der Frist.</li> <li>Manuelle Löschung durch Admins für Fälle, bei denen die Aufbewahrung nicht mehr nötig ist.</li> <li>Dokumentieren Sie Ihre Aufbewahrungsrichtlinie und seien Sie bereit, sie gegenüber Aufsichtsbehörden zu begründen.</li> </ul> <hr> <h2 id="internationale-datenübermittlung"> Internationale Datenübermittlung <a href="#internationale-daten%c3%bcbermittlung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Hinweisgeberdaten müssen in der EU bleiben, sofern kein gültiger Übermittlungsmechanismus nach Kapitel V DSGVO besteht.</p> <p>Das ist bei der Auswahl des Tools relevant:</p> <ul> <li><strong>EU-gehostete Plattformen</strong> (Daten in Deutschland, Frankreich, Niederlanden etc.): kein Übermittlungsproblem.</li> <li><strong>US-gehostete Plattformen</strong> oder Plattformen mit US-Cloud-Anbietern (AWS US, Azure US, Google Cloud US): erfordern Standardvertragsklauseln (SCCs) oder das <a href="https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en">EU-US Data Privacy Framework</a> — beides wurde <a href="https://curia.europa.eu/juris/liste.jsf?num=C-311/18">rechtlich angegriffen</a>.</li> </ul> <p>Der einfachste Weg: eine Plattform wählen, die alle Daten in der EU hostet. Damit entfällt die Übermittlungsfrage.</p> <hr> <h2 id="datenschutz-folgenabschätzung-dsfa"> Datenschutz-Folgenabschätzung (DSFA) <a href="#datenschutz-folgenabsch%c3%a4tzung-dsfa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat".</p> <p>Hinweisgebermeldungen erfüllen dies wahrscheinlich, weil:</p> <ul> <li>Sensible Vorwürfe gegen identifizierte Personen erhoben werden</li> <li>Meldungen besondere Kategorien (Art. 9) enthalten können</li> <li>Ein inhärentes Machtgefälle zwischen hinweisgebender Person und Organisation besteht</li> <li>Brüche der Vertraulichkeit zu Repressalien führen können</li> </ul> <p>Die meisten Datenschutzbehörden empfehlen, vor Einführung eines Hinweisgebersystems eine DSFA durchzuführen.</p> <hr> <h2 id="was-ihr-melde-tool-leisten-muss"> Was Ihr Melde-Tool leisten muss <a href="#was-ihr-melde-tool-leisten-muss" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Auf Basis der oben genannten DSGVO-Anforderungen sollte Ihre Hinweisgebersoftware:</p> <table> <thead> <tr> <th>Anforderung</th> <th>Warum</th> </tr> </thead> <tbody> <tr> <td>Optionale Identität der hinweisgebenden Person</td> <td>Datenminimierung (Art. 5 Abs. 1 lit. c)</td> </tr> <tr> <td>Kein IP-Logging</td> <td>Wahrt Anonymität, vermeidet pseudonyme Daten</td> </tr> <tr> <td>Entfernung von Dateimetadaten</td> <td>Verhindert versehentliche Identifizierung über EXIF/GPS</td> </tr> <tr> <td>Verschlüsselte Speicherung</td> <td>Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f)</td> </tr> <tr> <td>Konfigurierbare Aufbewahrungsfristen</td> <td>Speicherbegrenzung (Art. 5 Abs. 1 lit. e)</td> </tr> <tr> <td>Automatische Löschung abgelaufener Fälle</td> <td>Durchsetzung der Speicherbegrenzung</td> </tr> <tr> <td>Rollenbasierte Zugriffskontrolle</td> <td>Vertraulichkeit (Art. 16 der Richtlinie)</td> </tr> <tr> <td>Unveränderliches Audit-Protokoll</td> <td>Rechenschaftspflicht (Art. 5 Abs. 2)</td> </tr> <tr> <td>EU-Datenhaltung</td> <td>Vermeidet internationale Übermittlungsfragen (Kapitel V)</td> </tr> <tr> <td>Datenschutzhinweis auf dem Meldeformular</td> <td>Transparenz (Art. 13/14)</td> </tr> </tbody> </table> <hr> <h2 id="wie-ethicsportal-mit-der-dsgvo-umgeht"> Wie EthicsPortal mit der DSGVO umgeht <a href="#wie-ethicsportal-mit-der-dsgvo-umgeht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal wurde von Anfang an sowohl an der Richtlinie als auch an der DSGVO ausgerichtet:</p> <ul> <li><strong>Rechtsgrundlage:</strong> Die Verarbeitung stützt sich auf eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Umsetzung der EU-Richtlinie 2019/1937.</li> <li><strong>Anonymität als Standard:</strong> Kein IP-Logging, keine Konten, kein Tracking. Dateimetadaten (EXIF, GPS, Autor) werden automatisch entfernt.</li> <li><strong>Datenminimierung:</strong> Name und Kontakt der hinweisgebenden Person sind optionale Felder. Es werden nur unverzichtbare Daten erhoben.</li> <li><strong>Verschlüsselte Speicherung:</strong> Alle Meldebeschreibungen, Namen, Kontaktdaten und Nachrichten sind in der Datenbank verschlüsselt.</li> <li><strong>Konfigurierbare Aufbewahrung:</strong> Organisationen legen ihre Aufbewahrungsfrist selbst fest (12, 24, 36 oder 60 Monate). Abgelaufene abgeschlossene Fälle werden automatisch gelöscht.</li> <li><strong>EU-Hosting für zentrale Meldedaten:</strong> Meldungsinhalte und Anhänge werden auf Hetzner-Servern in Nürnberg gespeichert. Begrenzte Verarbeitungen für Marketing-Website und Admin-Oberflächen sind über die veröffentlichte Unterauftragsverarbeiterliste und die Schutzmaßnahmen im AVV abgedeckt.</li> <li><strong>Zugriffskontrollen:</strong> Nur Admins und zugeordnete Bearbeiter:innen sehen Meldungen. Namen von Bearbeiter:innen werden Hinweisgeber:innen nie offengelegt.</li> <li><strong>Audit-Protokoll:</strong> Unveränderliche Aufzeichnung jeder Aktion für Rechenschaft und behördliche Prüfung.</li> <li><strong>AVV verfügbar:</strong> <a href="/de/dpa/">Auftragsverarbeitungsvertrag</a> nach Art. 28 DSGVO für alle Kund:innen verfügbar.</li> </ul> <p>Die vollständige artikelweise Compliance-Analyse finden Sie auf unserer <a href="/de/compliance/">Compliance-Seite</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/whistleblower-policy-template/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/whistleblower-policy-template/Eine einsatzbereite Vorlage für eine Hinweisgeberrichtlinie, die den Anforderungen der EU-Richtlinie 2019/1937 entspricht. Kopieren, anpassen und in Ihrer Organisation umsetzen.<h1 id="kostenlose-vorlage-für-eine-hinweisgeberrichtlinie-nach-eu-richtlinie-20191937"> Kostenlose Vorlage für eine Hinweisgeberrichtlinie nach EU-Richtlinie 2019/1937 <a href="#kostenlose-vorlage-f%c3%bcr-eine-hinweisgeberrichtlinie-nach-eu-richtlinie-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Jede Organisation ab 50 Beschäftigten in der EU benötigt eine schriftliche Hinweisgeberrichtlinie. Das ist nicht optional — es ist unter den nationalen Umsetzungsgesetzen wie dem <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, der <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien und dem <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen vorgeschrieben, die alle die EU-Richtlinie 2019/1937 umsetzen. Die Sanktionen bei Nichteinhaltung variieren je nach Land — Details finden Sie auf unserer <a href="/de/penalties/">Sanktionsseite</a>.</p> <p>Eine Hinweisgeberrichtlinie erfüllt zwei Funktionen: Sie sagt Beschäftigten, wie sie Fehlverhalten melden können, und sie sagt Ihrer Organisation, wie sie mit Meldungen umzugehen hat. Ohne klare Richtlinie gehen Meldungen verloren, Bearbeiter:innen improvisieren, und Ihre Organisation riskiert rechtliche und reputative Schäden.</p> <p>Unten finden Sie eine vollständige, kopierfähige Vorlage. Ersetzen Sie die Platzhalter in eckigen Klammern durch die Angaben Ihrer Organisation. Die Vorlage deckt alle von der Richtlinie geforderten Elemente ab.</p> <hr> <h2 id="vorlage-hinweisgeberrichtlinie"> Vorlage Hinweisgeberrichtlinie <a href="#vorlage-hinweisgeberrichtlinie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <hr> <p><strong>[NAME DER ORGANISATION]</strong></p> <p><strong>Richtlinie zum Hinweisgeberschutz</strong></p> <p><strong>Gültig ab:</strong> [DATUM]</p> <p><strong>Genehmigt durch:</strong> [NAME / FUNKTION]</p> <p><strong>Version:</strong> 1.0</p> <hr> <h3 id="1-zweck-und-geltungsbereich"> 1. Zweck und Geltungsbereich <a href="#1-zweck-und-geltungsbereich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Diese Richtlinie schafft einen Rahmen für die Meldung mutmaßlicher Verstöße gegen Gesetze, Vorschriften oder interne Regeln innerhalb von [NAME DER ORGANISATION]. Sie setzt die Anforderungen der EU-Richtlinie 2019/1937 über den Schutz von Personen, die Verstöße gegen das Unionsrecht melden, in der Umsetzung in das nationale Recht von [MITGLIEDSTAAT] um.</p> <p>Die Richtlinie gilt für alle Geschäftsbereiche, Tochtergesellschaften und Geschäftseinheiten von [NAME DER ORGANISATION] innerhalb der Europäischen Union.</p> <h3 id="2-wer-kann-melden"> 2. Wer kann melden <a href="#2-wer-kann-melden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Gemäß Art. 4 der Richtlinie können folgende Personen Meldungen über die in dieser Richtlinie beschriebenen Kanäle einreichen:</p> <ul> <li>Aktuelle und ehemalige Beschäftigte, einschließlich in Probezeit oder Kündigungsfrist</li> <li>Bewerber:innen, die Informationen während des Rekrutierungsprozesses erlangt haben</li> <li>Auftragnehmer:innen, Subunternehmen und Lieferant:innen</li> <li>Anteilseigner:innen und Mitglieder des Verwaltungs-, Management- oder Aufsichtsgremiums</li> <li>Freiwillige und Praktikant:innen, bezahlt oder unbezahlt</li> <li>Personen, die unter Aufsicht und Leitung von Auftragnehmer:innen, Subunternehmen oder Lieferant:innen tätig sind</li> <li>Personen, deren arbeitsbezogenes Verhältnis noch nicht begonnen hat, sofern Informationen zu Verstößen während des Rekrutierungsprozesses oder vorvertraglicher Verhandlungen erlangt wurden</li> </ul> <p>Der Schutz erstreckt sich auch auf Unterstützende, mit der hinweisgebenden Person verbundene Dritte (etwa Kolleg:innen oder Angehörige) und juristische Personen, an denen die hinweisgebende Person beteiligt ist, für die sie arbeitet oder zu denen sie im arbeitsbezogenen Kontext anderweitig in Verbindung steht (Art. 4 Abs. 4).</p> <h3 id="3-was-gemeldet-werden-kann"> 3. Was gemeldet werden kann <a href="#3-was-gemeldet-werden-kann" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Meldungen können Verstöße gegen das Unionsrecht in den von der Richtlinie erfassten Bereichen betreffen (Art. 2), einschließlich, aber nicht beschränkt auf:</p> <ul> <li>Unregelmäßigkeiten im öffentlichen Auftragswesen</li> <li>Verstöße in Finanzdienstleistungen, bei Geldwäschebekämpfung und Terrorismusfinanzierung</li> <li>Verstöße gegen Produktsicherheit und -konformität</li> <li>Verkehrssicherheitsverstöße</li> <li>Verstöße gegen den Umweltschutz</li> <li>Fragen des Strahlenschutzes und der nuklearen Sicherheit</li> <li>Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und -wohl</li> <li>Verstöße gegen die öffentliche Gesundheit</li> <li>Verstöße gegen den Verbraucherschutz</li> <li>Verletzungen des Datenschutzes und der Privatsphäre</li> <li>Sicherheit von Netz- und Informationssystemen</li> <li>Verstöße gegen Wettbewerbs- und Beihilferecht</li> <li>Steuergestaltungen, die Sinn und Zweck des anwendbaren Steuerrechts unterlaufen</li> <li>Betrug, Korruption oder andere Straftaten, die die finanziellen Interessen der EU beeinträchtigen</li> </ul> <p>Meldungen können auch Verstöße gegen interne Unternehmensrichtlinien, Verhaltenskodizes und anwendbares nationales Recht betreffen, sofern das nationale Umsetzungsrecht von [MITGLIEDSTAAT] den Schutz auf solche Meldungen ausdehnt.</p> <h3 id="4-wie-gemeldet-wird"> 4. Wie gemeldet wird <a href="#4-wie-gemeldet-wird" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <h4 id="interner-meldekanal"> Interner Meldekanal <a href="#interner-meldekanal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>[NAME DER ORGANISATION] bietet einen sicheren, vertraulichen internen Meldekanal:</p> <ul> <li><strong>Online-Portal:</strong> [URL DES MELDEPORTALS]</li> <li><strong>Benannte Person:</strong> [NAME / FUNKTION DER BENANNTEN PERSON ODER ABTEILUNG]</li> <li><strong>Alternative Wege:</strong> [POSTANSCHRIFT / E-MAIL / PROZESS FÜR PERSÖNLICHE GESPRÄCHE, falls zutreffend]</li> </ul> <p>Meldungen können anonym eingereicht werden. Hinweisgeber:innen, die anonym bleiben, erhalten einen Zugangscode, um den Status ihrer Meldung einzusehen und sicher mit der bearbeitenden Person zu kommunizieren.</p> <p>[NAME DER ORGANISATION] ermutigt zur Nutzung des internen Meldekanals als erster Anlaufstelle, damit die Organisation Verstöße zeitnah prüfen und adressieren kann.</p> <h4 id="externe-meldung-an-zuständige-behörden"> Externe Meldung an zuständige Behörden <a href="#externe-meldung-an-zust%c3%a4ndige-beh%c3%b6rden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>Hinweisgeber:innen haben jederzeit das Recht, extern an die zuständige Behörde zu melden, wie in Art. 10 der Richtlinie vorgesehen. Sie sind nicht verpflichtet, zuerst den internen Kanal zu nutzen.</p> <p>Die zuständige Behörde in [MITGLIEDSTAAT] ist: [NAME UND KONTAKTDATEN DER NATIONALEN BEHÖRDE].</p> <h4 id="offenlegung-in-der-öffentlichkeit"> Offenlegung in der Öffentlichkeit <a href="#offenlegung-in-der-%c3%b6ffentlichkeit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>In den in Art. 15 der Richtlinie definierten Ausnahmefällen können Hinweisgeber:innen Informationen öffentlich machen und dennoch geschützt bleiben — etwa wenn sie hinreichende Gründe zu der Annahme haben, dass der Verstoß eine unmittelbare oder offenkundige Gefahr für das öffentliche Interesse darstellt, oder wenn Repressalien drohen.</p> <h3 id="5-vertraulichkeit"> 5. Vertraulichkeit <a href="#5-vertraulichkeit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person wird ohne deren ausdrückliche Zustimmung niemandem außerhalb der autorisierten Mitarbeitenden, die für Entgegennahme oder Nachverfolgung zuständig sind, offengelegt (Art. 16).</p> <p>Diese Vertraulichkeitspflicht gilt für alle Informationen, aus denen sich die Identität der hinweisgebenden Person unmittelbar oder mittelbar ableiten lässt.</p> <p>Die Identität darf nur offengelegt werden, soweit dies eine notwendige und verhältnismäßige Verpflichtung nach Unions- oder nationalem Recht im Rahmen von Ermittlungen nationaler Behörden oder Gerichtsverfahren ist, einschließlich zur Wahrung der Verteidigungsrechte der betroffenen Person.</p> <p>Wer die Identität einer hinweisgebenden Person unter Verstoß gegen diese Richtlinie offenlegt, wird disziplinarisch belangt.</p> <h3 id="6-verbot-von-repressalien"> 6. Verbot von Repressalien <a href="#6-verbot-von-repressalien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NAME DER ORGANISATION] untersagt gemäß Art. 19–21 der Richtlinie jede Form von Repressalien gegen hinweisgebende Personen. Repressalien umfassen unter anderem:</p> <ul> <li>Suspendierung, Kündigung oder gleichwertige Maßnahmen</li> <li>Herabstufung, Vorenthalten einer Beförderung, Änderung von Aufgaben oder Arbeitsort</li> <li>Gehaltskürzung oder Änderung der Arbeitszeit</li> <li>Vorenthalten von Weiterbildung</li> <li>Negative Leistungsbeurteilung oder negatives Arbeitszeugnis</li> <li>Nötigung, Einschüchterung, Belästigung oder Ausgrenzung</li> <li>Diskriminierung oder ungünstige Behandlung</li> <li>Nichtumwandlung eines befristeten in einen unbefristeten Arbeitsvertrag</li> <li>Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags</li> <li>Schaden, einschließlich Rufschädigung oder finanziellem Verlust</li> <li>Blacklisting</li> <li>Vorzeitige Beendigung oder Kündigung eines Liefer- oder Dienstleistungsvertrags</li> <li>Entzug einer Lizenz oder Genehmigung</li> <li>Psychiatrische oder medizinische Überweisung</li> </ul> <p>Die Beweislast in Repressalien-Verfahren ist umgekehrt: Legt eine hinweisgebende Person dar, dass sie eine Meldung erstattet hat und anschließend einen Nachteil erlitten hat, wird vermutet, dass der Nachteil aus Vergeltung erfolgt ist. Die Person, die den nachteiligen Akt vorgenommen hat, muss nachweisen, dass er auf hinreichend begründeten, von der Meldung unabhängigen Gründen beruhte (Art. 21 Abs. 5).</p> <p>Wer Repressalien ausübt, muss mit disziplinarischen Maßnahmen bis hin zur Beendigung des Arbeitsverhältnisses rechnen.</p> <h3 id="7-ermittlungsprozess"> 7. Ermittlungsprozess <a href="#7-ermittlungsprozess" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nach Eingang einer Meldung wird [NAME DER ORGANISATION]:</p> <ol> <li><strong>Den Eingang</strong> innerhalb von sieben Kalendertagen nach Eingang der Meldung bestätigen (Art. 9 Abs. 1 lit. b).</li> <li><strong>Die Meldung prüfen</strong>, um festzustellen, ob sie in den Anwendungsbereich dieser Richtlinie fällt und eine Untersuchung rechtfertigt.</li> <li><strong>Sorgfältig ermitteln</strong>, indem relevante Informationen erhoben, Zeug:innen bei Bedarf befragt und Dokumente gesichtet werden, unter durchgehender Wahrung der Vertraulichkeit.</li> <li><strong>Rückmeldung geben</strong> innerhalb von drei Monaten nach der Eingangsbestätigung. Die Rückmeldung enthält Angaben zum Status der Ermittlung und, soweit möglich, zum Ergebnis und zu getroffenen oder geplanten Maßnahmen (Art. 9 Abs. 1 lit. f).</li> <li><strong>Den Fall abschließen</strong> mit dokumentierten Feststellungen und, wo angemessen, Empfehlungen für Abhilfemaßnahmen, Disziplinarmaßnahmen oder Weiterleitung an zuständige Behörden.</li> </ol> <p>Fällt eine Meldung nicht in den Anwendungsbereich dieser Richtlinie, wird die hinweisgebende Person informiert und, wo angemessen, an das zuständige Verfahren verwiesen.</p> <h3 id="8-datenschutz"> 8. Datenschutz <a href="#8-datenschutz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Meldungen und alle damit verbundenen Daten werden gemäß Verordnung (EU) 2016/679 (DSGVO) und anwendbarem nationalem Datenschutzrecht verarbeitet.</p> <p>Personenbezogene Daten, die für die Bearbeitung einer Meldung offensichtlich nicht relevant sind, werden nicht erhoben oder, falls versehentlich erhoben, ohne unangemessene Verzögerung gelöscht (Art. 17 Abs. 3).</p> <p>Meldedaten werden nicht länger aufbewahrt, als dies zur Erfüllung dieser Richtlinie und des anwendbaren Rechts erforderlich und verhältnismäßig ist. [NAME DER ORGANISATION] legt konkrete Aufbewahrungsfristen gemäß nationalem Umsetzungsrecht fest und dokumentiert diese.</p> <h3 id="9-schulung-und-aufklärung"> 9. Schulung und Aufklärung <a href="#9-schulung-und-aufkl%c3%a4rung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NAME DER ORGANISATION] wird:</p> <ul> <li>Alle benannten Fallbearbeiter:innen zu ihren Pflichten nach dieser Richtlinie und dem anwendbaren Recht schulen</li> <li>Alle Beschäftigten und sonstigen von Abschnitt 2 erfassten Personen über Verfügbarkeit und Nutzung des internen Meldekanals informieren</li> <li>Diese Richtlinie leicht zugänglich machen, u. a. im Firmen-Intranet und im Onboarding neuer Beschäftigter</li> </ul> <h3 id="10-überprüfung"> 10. Überprüfung <a href="#10-%c3%bcberpr%c3%bcfung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Diese Richtlinie wird mindestens jährlich überprüft und bei Bedarf angepasst, um Änderungen des anwendbaren Rechts, der Organisationsstruktur oder bewährter Praktiken abzubilden.</p> <h3 id="11-kontakt"> 11. Kontakt <a href="#11-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Fragen zu dieser Richtlinie oder zum Meldekanal:</p> <ul> <li><strong>Benannte Person:</strong> [NAME / FUNKTION]</li> <li><strong>E-Mail:</strong> [E-MAIL-ADRESSE]</li> <li><strong>Meldeportal:</strong> [URL]</li> </ul> <hr> <p><em>Ende des Richtliniendokuments.</em></p> <hr> <h2 id="verwendung-dieser-vorlage"> Verwendung dieser Vorlage <a href="#verwendung-dieser-vorlage" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kopieren Sie den obigen Text in Ihr Unternehmensdokument-Format, ersetzen Sie jeden Platzhalter in eckigen Klammern und lassen Sie ihn von Ihrer Rechtsabteilung prüfen. Die Vorlage deckt die Anforderungen der Richtlinie 2019/1937 ab, nationale Umsetzungen in Ihrem Mitgliedstaat können jedoch zusätzliche Pflichten auferlegen — stimmen Sie sich mit lokalen Rechtsberater:innen ab.</p> <p>Sobald Ihre Richtlinie steht, benötigen Sie einen technischen Kanal zur Entgegennahme von Meldungen. <a href="/de/">EthicsPortal</a> bietet ein sicheres, anonymes Meldeportal, das die Anforderungen der Richtlinie an interne Kanäle erfüllt — in Minuten eingerichtet, ab 49 €/Monat.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/who-must-comply-eu-whistleblower-directive/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/who-must-comply-eu-whistleblower-directive/Welche Unternehmen benötigen einen Meldekanal nach EU-Richtlinie 2019/1937? Die 50-Beschäftigten-Schwelle, wer als Beschäftigter zählt, Fristen und was „Einhaltung" in der Praxis bedeutet.<h1 id="wer-muss-die-eu-hinweisgeberrichtlinie-einhalten"> Wer muss die EU-Hinweisgeberrichtlinie einhalten? <a href="#wer-muss-die-eu-hinweisgeberrichtlinie-einhalten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Kurze Antwort: Hat Ihre Organisation 50 oder mehr Beschäftigte und ist sie in der EU tätig, benötigen Sie mit großer Wahrscheinlichkeit einen internen Meldekanal. Das ist nicht optional. Es ist geltendes Recht in allen 27 EU-Mitgliedstaaten.</p> <p>Im Folgenden finden Sie alles, was Sie brauchen, um festzustellen, ob Sie unter die Pflicht fallen, was die Einhaltung konkret verlangt und welche Folgen ein Verstoß hat.</p> <hr> <h2 id="die-schwelle-50-beschäftigte"> Die Schwelle: 50 Beschäftigte <a href="#die-schwelle-50-besch%c3%a4ftigte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 8 Abs. 3–4 der EU-Richtlinie 2019/1937 begründet die Pflicht:</p> <ul> <li><strong>Ab 250 Beschäftigten:</strong> Interner Meldekanal seit 17. Dezember 2021 erforderlich (ursprüngliche Umsetzungsfrist nach <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019L1937">Art. 26 Abs. 1</a>).</li> <li><strong>50–249 Beschäftigte:</strong> Interner Meldekanal seit 17. Dezember 2023 erforderlich (verlängerte Frist nach <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019L1937">Art. 26 Abs. 2</a>).</li> </ul> <p>Haben Sie 50 oder mehr Beschäftigte in der EU, ist die Frist bereits abgelaufen. Ein Kanal sollte bereits eingerichtet sein.</p> <h3 id="wie-beschäftigte-gezählt-werden"> Wie Beschäftigte gezählt werden <a href="#wie-besch%c3%a4ftigte-gez%c3%a4hlt-werden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Richtlinie definiert den Beschäftigtenbegriff nicht eng. Die Mitgliedstaaten zählen in der Regel:</p> <ul> <li>Vollzeit- und Teilzeitkräfte (Teilzeit wird in manchen Ländern anteilig gezählt)</li> <li>Befristet Beschäftigte und Leiharbeitnehmer:innen</li> <li>In einigen Mitgliedstaaten: entsandte Arbeitnehmer:innen, Auszubildende und Praktikant:innen</li> </ul> <p>Gezählt wird je juristischer Person, nicht konzernweit. In Konzernen benötigt jede Einheit ab 50 Beschäftigten einen eigenen Kanal — Einheiten mit 50–249 Beschäftigten dürfen jedoch Ressourcen zur Entgegennahme und Bearbeitung von Meldungen gemeinsam nutzen (Art. 8 Abs. 6).</p> <hr> <h2 id="wer-unabhängig-von-der-kopfzahl-erfasst-ist"> Wer unabhängig von der Kopfzahl erfasst ist <a href="#wer-unabh%c3%a4ngig-von-der-kopfzahl-erfasst-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Mehrere Kategorien müssen unabhängig von der Beschäftigtenzahl einhalten:</p> <h3 id="finanzdienstleister-art-8-abs-4"> <a href="/de/industries/financial-services/">Finanzdienstleister</a> (Art. 8 Abs. 4) <a href="#finanzdienstleister-art-8-abs-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Alle Unternehmen im Finanzsektor — Banken, Wertpapierfirmen, Versicherer, Zahlungsinstitute, Kryptoasset-Dienstleister — benötigen unabhängig von der Größe einen Meldekanal. Das gilt auch bei 5 Beschäftigten. Die Richtlinie verweist hierfür auf das in Teil I.B und Teil II des Anhangs aufgeführte Sekundärrecht.</p> <h3 id="öffentlicher-sektor-art-8-abs-9"> <a href="/de/industries/public-sector/">Öffentlicher Sektor</a> (Art. 8 Abs. 9) <a href="#%c3%b6ffentlicher-sektor-art-8-abs-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Mitgliedstaaten dürfen Kommunen und andere öffentliche Stellen zur Einrichtung interner Kanäle verpflichten. Viele haben das getan, häufig mit niedrigeren oder ohne Schwellen.</p> <h3 id="nationale-erweiterungen"> Nationale Erweiterungen <a href="#nationale-erweiterungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Einige Mitgliedstaaten gehen über das Richtlinien-Minimum hinaus:</p> <ul> <li><strong><a href="/de/whistleblower-laws/germany/">Deutschland</a>:</strong> § 2 HinSchG erweitert den sachlichen Anwendungsbereich gegenüber der Richtlinie auf weitere Verstoßkategorien.</li> <li><strong><a href="/de/whistleblower-laws/italy/">Italien</a>:</strong> Organisationen mit einem „Modell 231"-Compliance-Programm müssen unabhängig von der Größe einhalten. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese">Quelle: Norton Rose Fulbright</a></li> <li><strong><a href="/de/whistleblower-laws/belgium/">Belgien</a>:</strong> Unternehmen ab 250 Beschäftigten müssen anonyme Meldungen entgegennehmen (strenger als das Richtlinien-Minimum). <a href="https://www.vow.be/en/node/358">Quelle: Van Olmen & Wynant</a></li> <li><strong><a href="/de/whistleblower-laws/france/">Frankreich</a>:</strong> Die <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Loi Waserman (2022-401)</a> zur Umsetzung der Richtlinie hat die Pflicht aufgehoben, zuerst interne Kanäle zu nutzen — hinweisgebende Personen können direkt intern oder extern wählen. Die breiteren Anti-Korruptionspflichten aus <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528">Sapin II</a> (unabhängig vom Meldekanal) gelten weiterhin für Unternehmen ab 500 Beschäftigten und 100 Mio. € Umsatz.</li> </ul> <hr> <h2 id="wer-melden-darf"> Wer melden darf <a href="#wer-melden-darf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie schützt einen weiten Kreis „hinweisgebender Personen" — nicht nur Beschäftigte. Nach Art. 4 sind bei einer Meldung über Ihren Kanal geschützt:</p> <ul> <li><strong>Arbeitnehmer:innen</strong> (Beschäftigte, Beamt:innen, Praktikant:innen, Auszubildende)</li> <li><strong>Selbstständige</strong> (freie Mitarbeitende, Freelancer)</li> <li><strong>Anteilseigner:innen und Mitglieder von Leitungsorganen</strong></li> <li><strong>Ehrenamtliche</strong></li> <li><strong>Lieferanten und deren Beschäftigte</strong> (jede Person in Ihrer Lieferkette)</li> <li><strong>Bewerber:innen</strong> (Personen, die im Bewerbungsverfahren von Verstößen erfahren)</li> <li><strong>Ehemalige Beschäftigte</strong> (Personen, die während einer früheren Beschäftigung von Verstößen erfahren haben)</li> </ul> <p>Ihr Meldekanal muss all diesen Gruppen offenstehen, nicht nur aktiven Beschäftigten.</p> <hr> <h2 id="was-einhaltung-konkret-verlangt"> Was „Einhaltung" konkret verlangt <a href="#was-einhaltung-konkret-verlangt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Einen Kanal zu betreiben bedeutet, die Anforderungen aus Art. 8, 9 und 16 der Richtlinie zu erfüllen. Das Minimum:</p> <h3 id="1-ein-sicherer-meldekanal-art-8"> 1. Ein sicherer Meldekanal (Art. 8) <a href="#1-ein-sicherer-meldekanal-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ein interner Kanal, über den schriftlich (und optional mündlich) gemeldet werden kann. Er muss:</p> <ul> <li>allen von der Richtlinie erfassten Personen offenstehen (Beschäftigte, Selbstständige, Lieferanten usw.)</li> <li>die Vertraulichkeit der Identität wahren</li> <li>keine Identifizierung verlangen (anonyme Meldungen sind in den meisten Mitgliedstaaten zulässig)</li> </ul> <h3 id="2-ein-dokumentiertes-verfahren-art-9"> 2. Ein dokumentiertes Verfahren (Art. 9) <a href="#2-ein-dokumentiertes-verfahren-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Kanal muss einem definierten Verfahren folgen:</p> <table> <thead> <tr> <th>Anforderung</th> <th>Frist</th> <th>Artikel</th> </tr> </thead> <tbody> <tr> <td>Eingang der Meldung bestätigen</td> <td>innerhalb von 7 Tagen</td> <td>Art. 9 Abs. 1 lit. b</td> </tr> <tr> <td>Unparteiische Person oder Stelle zur Bearbeitung benennen</td> <td>bei Eingang</td> <td>Art. 9 Abs. 1 lit. a</td> </tr> <tr> <td>Sorgfältige Folgenbearbeitung</td> <td>laufend</td> <td>Art. 9 Abs. 1 lit. c</td> </tr> <tr> <td>Rückmeldung an die hinweisgebende Person</td> <td>innerhalb von 3 Monaten</td> <td>Art. 9 Abs. 1 lit. f</td> </tr> <tr> <td>Über externe Meldemöglichkeiten informieren</td> <td>bei Abgabe</td> <td>Art. 9 Abs. 1 lit. g</td> </tr> </tbody> </table> <h3 id="3-vertraulichkeitsschutz-art-16"> 3. Vertraulichkeitsschutz (Art. 16) <a href="#3-vertraulichkeitsschutz-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person darf ohne ihre ausdrückliche Einwilligung niemandem außerhalb des Kreises der bearbeitenden Personen offengelegt werden. Das heißt:</p> <ul> <li>Zugriffskontrollen: nur berechtigte Bearbeitende sehen Meldungen</li> <li>keine IP-Protokollierung oder Tracking, das anonyme hinweisgebende Personen identifizieren könnte</li> <li>Verschlüsselte Speicherung</li> </ul> <h3 id="4-dokumentationspflicht-art-18"> 4. Dokumentationspflicht (Art. 18) <a href="#4-dokumentationspflicht-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Meldungen sind sicher zu speichern und nach nationalem Recht aufzubewahren. Ein Audit-Protokoll muss die Einhaltung gegenüber der Aufsicht nachweisen können.</p> <h3 id="5-repressalienverbot-art-1921"> 5. Repressalienverbot (Art. 19–21) <a href="#5-repressalienverbot-art-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Repressalien gegen hinweisgebende Personen sind unzulässig. Erfasst sind Kündigung, Degradierung, Vorenthalten einer Beförderung, Aufgabenänderungen und jede sonstige Benachteiligung. Hinweisgebende Personen sind über diesen Schutz zu informieren.</p> <hr> <h2 id="was-nicht-als-einhaltung-zählt"> Was NICHT als Einhaltung zählt <a href="#was-nicht-als-einhaltung-z%c3%a4hlt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Einiges, das Organisationen versuchen, erfüllt die Anforderungen nicht:</p> <ul> <li><strong>Eine allgemeine E-Mail-Adresse</strong> (z. B. <a href="mailto:compliance@unternehmen.de">compliance@unternehmen.de</a>). Kein Vertraulichkeitsschutz, keine Fristüberwachung, kein Audit-Protokoll.</li> <li><strong>Ein anonymer Kummerkasten.</strong> Keine Zweiwegkommunikation, keine Bestätigung, keine Rückmeldung.</li> <li><strong>Eine Seite im Mitarbeiterhandbuch.</strong> Der Kanal muss einsatzbereit sein, nicht nur dokumentiert.</li> <li><strong>Eine externe Hotline ohne Fallmanagement.</strong> Ohne systematische Fristenüberwachung und Audit-Protokoll erfüllen telefonische Meldungen Art. 9 nicht.</li> </ul> <hr> <h2 id="was-passiert-bei-verstößen"> Was passiert bei Verstößen <a href="#was-passiert-bei-verst%c3%b6%c3%9fen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeder Mitgliedstaat hat Sanktionen festgelegt. Sie variieren stark:</p> <table> <thead> <tr> <th>Land</th> <th>Sanktion bei fehlendem Meldekanal</th> <th>Quelle</th> </tr> </thead> <tbody> <tr> <td>Spanien</td> <td>bis 1.000.000 €</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513">Ley 2/2023</a></td> </tr> <tr> <td>Belgien</td> <td>24.000–576.000 € + bis 3 Jahre Haft</td> <td><a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/belgium">CMS Expert Guide</a></td> </tr> <tr> <td>Deutschland</td> <td>20.000–500.000 € (juristische Personen)</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/">§ 40 HinSchG</a></td> </tr> <tr> <td>Italien</td> <td>10.000–50.000 €</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">D.Lgs. 24/2023</a></td> </tr> <tr> <td>Polen</td> <td>bis 1.080.000 PLN (~250.000 €)</td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928">Ustawa z dnia 14 czerwca 2024</a></td> </tr> </tbody> </table> <p>Der Vollzug ist keine Theorie. Im März 2025 hat der <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/">Gerichtshof der EU fünf Mitgliedstaaten mit zusammen 39 Mio. €</a> wegen verspäteter Umsetzung belegt. Die nationalen Aufsichtsbehörden sind in den meisten Ländern inzwischen arbeitsfähig und verhängen aktiv Bußgelder.</p> <p>Die vollständige Übersicht finden Sie auf unserer Seite <a href="/de/penalties/">Bußgelder nach Ländern</a>.</p> <hr> <h2 id="der-schnellste-weg-zur-compliance"> Der schnellste Weg zur Compliance <a href="#der-schnellste-weg-zur-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Liegt Ihre Organisation bei 50+ Beschäftigten, ist die Frist bereits abgelaufen. So werden Sie konform:</p> <ol> <li><strong>Meldekanal einrichten.</strong> <a href="https://secure.ethicsportal.eu/session/new">EthicsPortal</a> ist in Minuten einsatzbereit — anmelden, Portal konfigurieren, Link teilen. 49 €/Monat, alles enthalten.</li> <li><strong>Bearbeitende Person benennen.</strong> Mindestens eine unparteiische Person für die Entgegennahme und Prüfung benennen.</li> <li><strong>Beschäftigte informieren.</strong> Portal-URL und QR-Code über Aushänge, Onboarding-Unterlagen und interne Kommunikation teilen.</li> <li><strong>Verfahren dokumentieren.</strong> Eine interne Hinweisgeber-Richtlinie beschließen, die Ablauf, Fristen und Repressalienschutz regelt.</li> </ol> <p>Die Software ist der einfache Teil. Die gesamte Einrichtung — Kanal, Konfiguration, QR-Code — lässt sich in einer Mittagspause erledigen. Die organisatorischen Schritte (Benennung, Richtlinie, Schulung) dauern länger, sind aber geradlinig.</p> <p>Eine Artikel-für-Artikel-Übersicht, wie EthicsPortal die Anforderungen der Richtlinie erfüllt, finden Sie auf der <a href="/de/compliance/">Compliance-Seite</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/anonymous-vs-confidential-reporting/Sun, 15 Feb 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/anonymous-vs-confidential-reporting/Der Unterschied zwischen anonymer und vertraulicher Meldung durch Hinweisgeber:innen, was die EU-Richtlinie verlangt und wie Sie beide Varianten unterstützen.<h1 id="anonyme-vs-vertrauliche-meldung-wo-liegt-der-unterschied"> Anonyme vs. vertrauliche Meldung: Wo liegt der Unterschied? <a href="#anonyme-vs-vertrauliche-meldung-wo-liegt-der-unterschied" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Compliance-Verantwortliche verwenden „anonym" und „vertraulich" im Kontext von Hinweisgebermeldungen häufig synonym. Beide Begriffe meinen jedoch nicht dasselbe, und die Unterscheidung ist wichtig — rechtlich wie praktisch.</p> <p>Eine Verwechslung kann das Vertrauen in Ihren Meldekanal untergraben, Ihre Organisation Haftungsrisiken aussetzen oder Ermittlungen unnötig erschweren. Im Folgenden erläutern wir, was die beiden Begriffe bedeuten, was die EU-Richtlinie dazu sagt und wie Sie in der Praxis mit beiden Varianten umgehen.</p> <hr> <h2 id="begriffsbestimmungen"> Begriffsbestimmungen <a href="#begriffsbestimmungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="anonyme-meldung"> Anonyme Meldung <a href="#anonyme-meldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person ist niemandem bekannt — auch nicht der bearbeitenden Person. Die Organisation erhält die Meldung, kann aber nicht feststellen, wer sie eingereicht hat. Die hinweisgebende Person gibt weder Namen noch E-Mail-Adresse noch sonstige identifizierende Informationen an.</p> <p>Echte Anonymität bedeutet, dass die Organisation die hinweisgebende Person auch dann nicht identifizieren könnte, wenn sie es wollte — das System ist so konzipiert, dass dies ausgeschlossen ist.</p> <h3 id="vertrauliche-meldung"> Vertrauliche Meldung <a href="#vertrauliche-meldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Identität der hinweisgebenden Person ist der bearbeitenden Person (oder einem begrenzten Kreis autorisierter Personen) bekannt, wird aber vor Offenlegung gegenüber Dritten geschützt. Die bearbeitende Person weiß, wer die Meldung eingereicht hat, ist aber rechtlich und organisatorisch verpflichtet, diese Identität nicht preiszugeben.</p> <p>Vertraulichkeit ist ein durch rechtliche Schutzmechanismen abgesichertes Versprechen. Anonymität macht dieses Versprechen überflüssig.</p> <hr> <h2 id="was-die-eu-richtlinie-sagt"> Was die EU-Richtlinie sagt <a href="#was-die-eu-richtlinie-sagt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die EU-Richtlinie 2019/1937 behandelt beide Konzepte, lässt den Mitgliedstaaten bei der anonymen Meldung jedoch Spielraum.</p> <p><strong>Vertraulichkeit (Art. 16):</strong> Die Richtlinie ist hier eindeutig. Die Identität der hinweisgebenden Person darf ohne deren ausdrückliche Zustimmung niemandem außerhalb des autorisierten Personals offengelegt werden. Dies gilt für alle Meldungen, unabhängig davon, ob sich die hinweisgebende Person zu erkennen gibt oder nicht. Vertraulichkeit ist zwingend.</p> <p><strong>Anonyme Meldung (Art. 6 Abs. 2–3, Erwägungsgrund 34):</strong> Die Richtlinie verpflichtet die Mitgliedstaaten nicht dazu, anonyme Meldungen über interne Kanäle zuzulassen. Sie stellt jedoch ausdrücklich klar, dass die Mitgliedstaaten anonyme Meldungen zulassen oder vorschreiben <em>können</em>. Werden anonyme Meldungen akzeptiert, sind sie mit derselben Sorgfalt zu behandeln wie identifizierte Meldungen.</p> <p>In der Praxis schreibt die Mehrheit der Mitgliedstaaten, die die Richtlinie umgesetzt haben, inzwischen anonyme Meldungen vor oder empfiehlt sie ausdrücklich. <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Frankreich</a>, <a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">Deutschland</a>, <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">Italien</a> und mehrere weitere Staaten verpflichten dazu. Auch wo es rechtlich nicht vorgeschrieben ist, gilt die Zulassung von Anonymität als Best Practice, da sie die Meldequote erhöht.</p> <p><strong>Zwei-Wege-Kommunikation (Art. 9 Abs. 1 lit. b):</strong> Die Richtlinie verlangt, dass Meldekanäle eine Kommunikation mit der hinweisgebenden Person ermöglichen, einschließlich Eingangsbestätigung und Rückmeldung. Für anonyme Hinweisgeber:innen bedeutet das: Der Kanal muss Zwei-Wege-Kommunikation ohne Identitätsoffenlegung unterstützen — in der Regel über einen Zugangscode oder eine Fallnummer.</p> <hr> <h2 id="vor--und-nachteile"> Vor- und Nachteile <a href="#vor--und-nachteile" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="anonyme-meldung-1"> Anonyme Meldung <a href="#anonyme-meldung-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Vorteile:</strong></p> <ul> <li>Beseitigt die Angstbarriere vollständig — Hinweisgeber:innen riskieren keine Identifizierung</li> <li>Höhere Meldequoten, insbesondere bei sensiblen Themen wie Betrug durch die Geschäftsleitung</li> <li>Schützt Hinweisgeber:innen auch dann, wenn die Vertraulichkeitsmaßnahmen der Organisation versagen</li> <li>Stärkt das Vertrauen in den Meldekanal</li> </ul> <p><strong>Nachteile:</strong></p> <ul> <li>Nachverfolgung ist schwieriger — die bearbeitende Person kann nicht anrufen, um Nachfragen zu stellen, sofern keine Zwei-Wege-Kommunikation verfügbar ist</li> <li>Risiko geringerer Qualität der Meldungen, wenn die hinweisgebende Person weiß, dass sie nicht kontaktiert werden kann</li> <li>Manche Organisationen fürchten mutwillige oder böswillige Meldungen (in der Praxis zeigen <a href="https://www.acfe.com/report-to-the-nations/2024/">ACFE Report to the Nations</a> und die <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD:2018:0116:FIN">Folgenabschätzung der EU-Kommission</a>, dass dies selten vorkommt)</li> <li>Die Ermittlung kann schwieriger sein, wenn die Perspektive der hinweisgebenden Person unbekannt ist</li> </ul> <h3 id="vertrauliche-meldung-1"> Vertrauliche Meldung <a href="#vertrauliche-meldung-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Vorteile:</strong></p> <ul> <li>Einfachere Nachverfolgung — die bearbeitende Person kann die hinweisgebende Person direkt für zusätzliche Informationen kontaktieren</li> <li>Perspektive und Rolle der hinweisgebenden Person helfen bei der Fokussierung der Ermittlung</li> <li>Meldungen sind tendenziell ausführlicher, wenn die hinweisgebende Person weiß, dass sie kontaktiert werden kann</li> <li>Die bearbeitende Person kann die Glaubwürdigkeit leichter einschätzen</li> </ul> <p><strong>Nachteile:</strong></p> <ul> <li>Die hinweisgebende Person muss darauf vertrauen, dass Vertraulichkeit gewahrt bleibt</li> <li>Ein einzelner Datenvorfall, eine unbedachte E-Mail oder unbefugter Zugriff kann die Identität offenlegen</li> <li>Manche Hinweisgeber:innen werden den Kanal nicht nutzen, wenn eine Identifizierung verlangt wird</li> <li>Die Organisation trägt das rechtliche Risiko für die Wahrung der Vertraulichkeit</li> </ul> <hr> <h2 id="wie-anonyme-meldungen-in-der-praxis-funktionieren"> Wie anonyme Meldungen in der Praxis funktionieren <a href="#wie-anonyme-meldungen-in-der-praxis-funktionieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonyme Meldung bedeutet nicht, dass die hinweisgebende Person ihre Nachricht ins Leere sendet und nie wieder etwas hört. Moderne Hinweisgeberplattformen lösen das Kommunikationsproblem über Zugangscodes.</p> <p>So läuft es typischerweise ab:</p> <ol> <li><strong>Die hinweisgebende Person reicht eine Meldung</strong> über das Portal ein, ohne persönliche Angaben zu machen.</li> <li><strong>Das System generiert einen eindeutigen Zugangscode</strong> (oder eine Fallnummer) und zeigt ihn der hinweisgebenden Person an.</li> <li><strong>Die hinweisgebende Person speichert den Zugangscode.</strong> Er ist ihr Schlüssel zum Fall.</li> <li><strong>Die bearbeitende Person prüft die Meldung</strong> und kann Nachfragen oder Statusmeldungen zum Fall posten.</li> <li><strong>Die hinweisgebende Person kehrt zum Portal zurück</strong>, gibt den Zugangscode ein und sieht Nachrichten der bearbeitenden Person. Sie kann antworten, zusätzliche Dokumente bereitstellen oder Fragen beantworten — ohne ihre Identität preiszugeben.</li> </ol> <p>Dieser Ansatz erfüllt die Anforderung der Richtlinie an die Zwei-Wege-Kommunikation und wahrt zugleich die Anonymität. Die bearbeitende Person erhält die für die Ermittlung nötigen Informationen; die hinweisgebende Person bleibt geschützt.</p> <p>Das Zugangscode-Modell unterstützt auch die Sieben-Tage-Frist für die Eingangsbestätigung und die Drei-Monats-Frist für die Rückmeldung, da die hinweisgebende Person das Portal jederzeit aufrufen kann, um zu prüfen, ob eine Bestätigung oder Rückmeldung vorliegt.</p> <hr> <h2 id="warum-beide-optionen-anzubieten-der-richtige-ansatz-ist"> Warum beide Optionen anzubieten der richtige Ansatz ist <a href="#warum-beide-optionen-anzubieten-der-richtige-ansatz-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die stärksten Meldekanäle geben Hinweisgeber:innen die Wahl: anonym einreichen oder die Identität unter Zusicherung der Vertraulichkeit offenlegen.</p> <p>Die Gründe:</p> <ul> <li><strong>Unterschiedliche Situationen erfordern unterschiedliche Ansätze.</strong> Eine nachgeordnete Mitarbeiterin, die Betrug durch einen Vorstand meldet, wählt möglicherweise Anonymität. Eine Abteilungsleitung, die ein Sicherheitsproblem meldet, offenbart sich vielleicht lieber, damit die Ermittlung schneller vorankommt.</li> <li><strong>Wahlfreiheit schafft Vertrauen.</strong> Wenn Hinweisgeber:innen sehen, dass Anonymität echt verfügbar ist, vertrauen sie dem Kanal mehr — auch diejenigen, die sich letztlich identifizieren.</li> <li><strong>Rechtliche Absicherung.</strong> In Mitgliedstaaten, die anonyme Meldungen verlangen, sind Sie konform. In den übrigen übertreffen Sie den Mindeststandard.</li> <li><strong>Höhere Meldequoten.</strong> Der <a href="https://www.acfe.com/report-to-the-nations/2024/">ACFE Report to the Nations (2024)</a> zeigt, dass Hinweise die häufigste Methode zur Aufdeckung von Betrug sind (43 % der Fälle) und anonyme Hotlines das Hinweisaufkommen deutlich erhöhen.</li> </ul> <p>Die Erwägungsgründe der Richtlinie selbst erkennen dies an: Die Zulassung anonymer Meldungen <em>fördert</em> das Melden und macht Kanäle wirksamer.</p> <hr> <h2 id="wie-ethicsportal-damit-umgeht"> Wie EthicsPortal damit umgeht <a href="#wie-ethicsportal-damit-umgeht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal unterstützt sowohl anonyme als auch vertrauliche Meldungen:</p> <ul> <li><strong>Anonym als Standard.</strong> Hinweisgeber:innen müssen nie ihre Identität angeben. Kein Name, keine E-Mail, kein Konto.</li> <li><strong>Optionale Identitätsangabe.</strong> Hinweisgeber:innen können freiwillig Namen oder Kontaktdaten angeben. Dies ist vollständig freiwillig.</li> <li><strong>Nachrichten per Zugangscode.</strong> Jede Meldung erzeugt einen eindeutigen Zugangscode. Die hinweisgebende Person nutzt ihn, um Aktualisierungen zu prüfen und mit der bearbeitenden Person zu kommunizieren, ohne ihre Identität preiszugeben.</li> <li><strong>Vertraulichkeit durchgesetzt.</strong> Gibt eine hinweisgebende Person ihre Identität preis, stellen Zugriffskontrollen sicher, dass nur benannte Fallbearbeiter:innen sie einsehen können.</li> </ul> <p>So haben Hinweisgeber:innen die volle Kontrolle über ihr Exponiertheitsniveau, während Fallbearbeiter:innen die nötigen Werkzeuge für eine wirksame Ermittlung erhalten.</p> <hr> <h2 id="fazit"> Fazit <a href="#fazit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonym bedeutet: Die bearbeitende Person weiß nicht, wer Sie sind. Vertraulich bedeutet: Sie weiß es, darf es aber niemandem mitteilen. Beide Ansätze dienen dem Schutz von Hinweisgeber:innen, tun dies jedoch auf unterschiedliche Weise.</p> <p>Die EU-Richtlinie schreibt Vertraulichkeit zwingend vor. Anonyme Meldungen überlässt sie den Mitgliedstaaten, von denen die meisten sie inzwischen vorschreiben oder empfehlen. Der sicherste Weg — für Ihre Hinweisgeber:innen wie für Ihre Compliance-Position — ist, beides anzubieten.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/how-to-implement-whistleblower-channel/Sun, 01 Feb 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/how-to-implement-whistleblower-channel/Schritt-für-Schritt-Anleitung zur schnellen Einrichtung eines konformen Meldekanals für Hinweisgeber:innen --- ohne wochenlanges Onboarding oder Vertriebsgespräche.<h1 id="meldekanal-für-hinweisgeberinnen-in-5-minuten-einrichten"> Meldekanal für Hinweisgeber:innen in 5 Minuten einrichten <a href="#meldekanal-f%c3%bcr-hinweisgeberinnen-in-5-minuten-einrichten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Alle EU-Mitgliedstaaten verpflichten inzwischen Organisationen ab 50 Beschäftigten, einen internen Meldekanal zu betreiben — über nationale Gesetze wie das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, die <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien und das <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen, die alle die EU-Richtlinie 2019/1937 umsetzen. Die Pflicht ist eindeutig, aber die meisten Umsetzungen dauern deutlich länger als nötig.</p> <p>Diese Anleitung erklärt, was das Gesetz konkret vom Kanal verlangt, warum Konzerntools den Prozess unnötig verlangsamen und wie Sie in Minuten einen funktionierenden Kanal live schalten.</p> <hr> <h2 id="was-die-richtlinie-verlangt"> Was die Richtlinie verlangt <a href="#was-die-richtlinie-verlangt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 8 und Art. 9 legen fest, was ein interner Meldekanal leisten muss:</p> <ul> <li>Meldungen schriftlich oder mündlich entgegennehmen</li> <li>Anonyme Meldungen zulassen (in einigen Mitgliedstaaten verpflichtend, überall empfohlen)</li> <li>Zwei-Wege-Kommunikation mit der hinweisgebenden Person ermöglichen, auch bei Anonymität</li> <li>Sicherstellen, dass nur autorisierte Personen Zugriff haben</li> <li>Eingangsbestätigung innerhalb von sieben Kalendertagen</li> <li>Rückmeldung innerhalb von drei Monaten</li> </ul> <p>Das ist das gesetzliche Minimum. Keine bestimmte Technologie ist vorgeschrieben — die Richtlinie ist technologieneutral. Ein Webportal, eine Telefonleitung oder sogar ein verschlossener Briefkasten können in Frage kommen, solange die Anforderungen erfüllt sind.</p> <hr> <h2 id="warum-die-meisten-umsetzungen-wochen-dauern"> Warum die meisten Umsetzungen Wochen dauern <a href="#warum-die-meisten-umsetzungen-wochen-dauern" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Enterprise-Plattformen sind auf große Organisationen mit komplexer Beschaffung ausgelegt. Ein typischer Ablauf:</p> <ol> <li><strong>Demo anfragen</strong> — Formular ausfüllen, auf Rückruf vom Vertrieb warten</li> <li><strong>An der Demo teilnehmen</strong> — 30- bis 60-minütiger Call, in dem der Anbieter Funktionen zeigt, die Sie vielleicht nicht brauchen</li> <li><strong>Angebot erhalten</strong> — individuelle Preise nach Beschäftigtenzahl, Modulen und Add-ons</li> <li><strong>Vertrag verhandeln</strong> — Rechtsprüfung, AVV-Unterzeichnung, Einkaufsfreigabe</li> <li><strong>Onboarding-Kick-off</strong> — ein Projektverantwortlicher wird benannt, ein weiterer Call geplant</li> <li><strong>Konfiguration</strong> — der Anbieter richtet Portal, Kategorien und Branding ein (oder schult Sie dafür)</li> <li><strong>Test und Start</strong> — prüfen, abnehmen, live gehen</li> </ol> <p>Für ein Unternehmen mit 100 Beschäftigten, das einfach einen konformen Kanal braucht, sind das Wochen und Stunden voller Meetings. Dieser Prozess ist für Konzerne gemacht, wo sechs Wochen Beschaffung normal sind. Für ein KMU ist er Reibung, die Compliance verzögert.</p> <hr> <h2 id="5-minuten-einrichtung-mit-ethicsportal"> 5-Minuten-Einrichtung mit EthicsPortal <a href="#5-minuten-einrichtung-mit-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist für das Gegenteil gebaut: Sie brauchen einen konformen Kanal — und zwar heute.</p> <h3 id="schritt-1-anmelden-1-minute"> Schritt 1: Anmelden (1 Minute) <a href="#schritt-1-anmelden-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Rufen Sie <a href="/de/">ethicsportal.eu</a> auf und erstellen Sie ein Konto. Keine Demo-Anfrage, kein Vertriebsanruf, kein „Preis auf Anfrage". E-Mail eingeben, Passwort setzen, fertig.</p> <h3 id="schritt-2-portal-konfigurieren-2-minuten"> Schritt 2: Portal konfigurieren (2 Minuten) <a href="#schritt-2-portal-konfigurieren-2-minuten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Im Dashboard richten Sie Ihr Meldeportal ein:</p> <ul> <li><strong>Organisationsname</strong> — erscheint im Portal, damit Hinweisgeber:innen wissen, dass sie richtig sind</li> <li><strong>Meldekategorien</strong> — welche Themen können gemeldet werden (Betrug, Belästigung, Sicherheitsverstöße etc.). Sinnvolle Vorgaben sind vorhanden.</li> <li><strong>Begrüßungstext</strong> — die Nachricht, die Hinweisgeber:innen beim Öffnen des Portals sehen. Ein klarer, beruhigender Standardtext ist vorbelegt.</li> <li><strong>Logo</strong> — passend zur visuellen Identität Ihrer Organisation</li> <li><strong>Sprache</strong> — Portalsprache für Ihre Hinweisgeber:innen wählen</li> </ul> <p>Das Portal ist unter einer eindeutigen URL live, sobald Sie speichern. Kein Deployment, keine Wartezeit.</p> <h3 id="schritt-3-portal-an-beschäftigte-kommunizieren-1-minute"> Schritt 3: Portal an Beschäftigte kommunizieren (1 Minute) <a href="#schritt-3-portal-an-besch%c3%a4ftigte-kommunizieren-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Jedes Portal erhält einen teilbaren Link und einen QR-Code. Sie können:</p> <ul> <li>Den Link per E-Mail an alle Beschäftigten senden</li> <li>Den QR-Code drucken und in Pausenräumen, Büros oder Gemeinschaftsbereichen aushängen</li> <li>Den Link im Intranet oder Mitarbeiterhandbuch einbinden</li> <li>Ihn in Ihre schriftliche Hinweisgeberrichtlinie aufnehmen</li> </ul> <h3 id="schritt-4-meldungen-empfangen-und-bearbeiten-1-minute"> Schritt 4: Meldungen empfangen und bearbeiten (1 Minute) <a href="#schritt-4-meldungen-empfangen-und-bearbeiten-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wenn jemand eine Meldung über das Portal einreicht, werden Sie benachrichtigt. Im Dashboard können Sie:</p> <ul> <li>Die Meldung lesen</li> <li>Sicher über Zwei-Wege-Nachrichten mit der hinweisgebenden Person kommunizieren (auch anonym — über einen Zugangscode)</li> <li>Die Sieben-Tage-Eingangsbestätigungsfrist verfolgen</li> <li>Die Drei-Monats-Rückmeldefrist verfolgen</li> <li>Den Fallstatus aktualisieren und interne Notizen hinzufügen</li> <li>Den Fall mit dokumentiertem Ergebnis abschließen</li> </ul> <p>Das war’s. Ihr Kanal ist live, konform und bereit für Meldungen.</p> <hr> <h2 id="was-nach-der-einrichtung-zu-tun-ist"> Was nach der Einrichtung zu tun ist <a href="#was-nach-der-einrichtung-zu-tun-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Meldekanal ist das technische Fundament, Compliance erfordert aber auch organisatorische Schritte:</p> <h3 id="fallbearbeiterin-benennen"> Fallbearbeiter:in benennen <a href="#fallbearbeiterin-benennen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Benennen Sie eine oder mehrere Personen für Entgegennahme und Ermittlung. Sie sollten unparteiisch sein und nicht voraussichtlich selbst Gegenstand von Meldungen werden. Typisch: Compliance-Verantwortliche, Rechtsabteilung oder leitende HR-Verantwortliche. In kleinen Organisationen kann die Geschäftsführung die Rolle übernehmen.</p> <h3 id="bearbeiterinnen-schulen"> Bearbeiter:innen schulen <a href="#bearbeiterinnen-schulen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Bearbeiter:innen müssen verstehen: wie die Plattform genutzt wird, Vertraulichkeitspflichten, die Sieben-Tage- und Drei-Monats-Fristen, Grundlagen interner Ermittlungen und Regeln zum Schutz vor Repressalien.</p> <h3 id="hinweisgeberrichtlinie-schreiben"> Hinweisgeberrichtlinie schreiben <a href="#hinweisgeberrichtlinie-schreiben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dokumentieren Sie, wie Ihre Organisation mit Meldungen umgeht. Behandeln Sie Geltungsbereich, Wer kann melden, Vertraulichkeit, Schutz vor Repressalien und Ermittlungsprozess. Nutzen Sie unsere <a href="/de/blog/whistleblower-policy-template/">kostenlose Vorlage</a> als einsatzbereites Dokument.</p> <h3 id="beschäftigte-informieren"> Beschäftigte informieren <a href="#besch%c3%a4ftigte-informieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die Richtlinie verpflichtet Sie, Beschäftigte aktiv über den Kanal zu informieren. Senden Sie eine E-Mail, posten Sie im Intranet, sprechen Sie es in Teammeetings an und integrieren Sie es ins Onboarding. Der QR-Code erleichtert das — drucken und gut sichtbar platzieren.</p> <hr> <h2 id="häufige-fehler"> Häufige Fehler <a href="#h%c3%a4ufige-fehler" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Eine generische E-Mail-Adresse nutzen.</strong> Eine Adresse wie <a href="mailto:compliance@firma.de">compliance@firma.de</a> erfüllt die Anforderungen der Richtlinie in den meisten Fällen nicht. E-Mail bietet keine Verschlüsselung, keine anonyme Meldung und keine Zwei-Wege-Kommunikation mit anonymen Hinweisgeber:innen.</p> <p><strong>Hinweisgeber:innen zur Identifizierung zwingen.</strong> Die Richtlinie verlangt nicht einheitlich anonyme Meldungen, mehrere nationale Gesetze tun es jedoch (z. B. schreibt <a href="/de/whistleblower-laws/belgium/">Belgien</a> anonyme Meldungen für Unternehmen ab 250 Beschäftigten vor). Pflicht zur Identifizierung schreckt vom Melden ab. Lassen Sie Anonymität standardmäßig zu.</p> <p><strong>Fristen vergessen.</strong> Sieben Tage Eingangsbestätigung, drei Monate Rückmeldung. Das sind keine Empfehlungen — es sind Rechtspflichten. Fristüberschreitung ist ein Compliance-Versagen. Nutzen Sie ein System, das Fristen automatisch verfolgt.</p> <p><strong>Keine bearbeitende Person benennen.</strong> Der Kanal ist ein Briefkasten. Jemand muss ihn öffnen, die Meldungen lesen und handeln. Ist niemand benannt, bleiben Meldungen unbeantwortet und Fristen verstreichen.</p> <p><strong>Die Einrichtung überkomplizieren.</strong> Sie brauchen keine vollständige GRC-Suite, keine Individualintegrationen und keine sechsmonatige Einführung, um konform zu sein. Ein funktionierender Kanal mit anonymer Meldung, Zwei-Wege-Kommunikation und Fristenverfolgung deckt die gesetzlichen Anforderungen ab. Einfach starten, nur bei Bedarf ausbauen.</p> <hr> <h2 id="loslegen"> Loslegen <a href="#loslegen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="/de/">EthicsPortal</a> kostet pauschal 49 €/Monat — keine Pro-Kopf-Preise, keine Jahresverträge, keine Vertriebsanrufe. Richten Sie Ihren konformen Meldekanal in Minuten ein und konzentrieren Sie sich auf das Wesentliche: den Schutz derjenigen, die den Mund aufmachen.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/compliance-checklist/Thu, 15 Jan 2026 00:00:00 +0000https://ethicsportal.eu/de/blog/compliance-checklist/Eine praxisnahe 12-Schritte-Checkliste zur Umsetzung der EU-Richtlinie 2019/1937 und nationaler Umsetzungsgesetze, mit Artikelverweisen, Tipps und Hinweisen zur Umsetzung.<h1 id="compliance-checkliste-zur-eu-hinweisgeberrichtlinie-für-unternehmen"> Compliance-Checkliste zur EU-Hinweisgeberrichtlinie für Unternehmen <a href="#compliance-checkliste-zur-eu-hinweisgeberrichtlinie-f%c3%bcr-unternehmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Alle 27 EU-Mitgliedstaaten haben die EU-Richtlinie 2019/1937 in nationales Recht umgesetzt — darunter das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, die <a href="/de/whistleblower-laws/france/">Loi Waserman</a> in Frankreich, <a href="/de/whistleblower-laws/spain/">Ley 2/2023</a> in Spanien, <a href="/de/whistleblower-laws/italy/">D.Lgs. 24/2023</a> in Italien und das <a href="/de/whistleblower-laws/poland/">Gesetz vom 14. Juni 2024</a> in Polen. Ihre Organisation muss das nationale Recht im Land ihrer Tätigkeit einhalten, und die Durchsetzung ist aktiv.</p> <p>Diese Checkliste führt Sie in zwölf Schritten zur vollständigen Compliance. Zu jedem Punkt nennen wir den einschlägigen Artikel der Richtlinie, geben praktische Hinweise und zeigen auf, wo Tools unterstützen können. Länderspezifische Anforderungen finden Sie in unserer Übersicht der <a href="/de/whistleblower-laws/">Hinweisgebergesetze nach Land</a>.</p> <hr> <h2 id="die-checkliste"> Die Checkliste <a href="#die-checkliste" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-anwendungsbereich-prüfen"> 1. Anwendungsbereich prüfen <a href="#1-anwendungsbereich-pr%c3%bcfen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 8 Abs. 3–4</p> <p>Alle juristischen Personen im privaten Sektor mit mindestens 50 Beschäftigten müssen interne Meldekanäle einrichten. <a href="/de/industries/public-sector/">Öffentliche Stellen</a>, Kommunen und Einrichtungen in bestimmten regulierten Sektoren (<a href="/de/industries/financial-services/">Finanzdienstleistungen</a>, Luftfahrtsicherheit, Seeverkehr etc.) sind unabhängig von der Größe einbezogen.</p> <p><strong>Praxistipp:</strong> Zählen Sie alle Beschäftigten, nicht nur Vollzeitkräfte. Teilzeitbeschäftigte, Fremdpersonal vor Ort und Leiharbeitnehmer:innen können je nach nationalem Recht in die Schwelle eingerechnet werden. Einige Länder gehen weiter: <a href="/de/whistleblower-laws/italy/">Italien</a> verlangt unabhängig von der Größe einen Kanal für alle Unternehmen mit einem Modell-231-Compliance-Programm, und <a href="/de/whistleblower-laws/spain/">Spanien</a> erfasst alle öffentlichen Stellen.</p> <hr> <h3 id="2-internen-meldekanal-einrichten"> 2. Internen Meldekanal einrichten <a href="#2-internen-meldekanal-einrichten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 8 Abs. 1, Art. 9 Abs. 1 lit. a</p> <p>Der Kanal muss schriftliche Meldungen (Online-Formular, E-Mail, Post) oder mündliche Meldungen (Telefon, Sprachnachrichtensystem) ermöglichen — oder beides. Auf Anfrage muss zusätzlich ein persönliches Treffen innerhalb einer angemessenen Frist möglich sein.</p> <p><strong>Praxistipp:</strong> Ein webbasiertes Portal ist die praktikabelste Option — rund um die Uhr verfügbar, automatische Protokollierung, Unterstützung anonymer Zwei-Wege-Kommunikation. Vermeiden Sie generische E-Mail-Adressen; sie bieten weder Verschlüsselung noch Anonymität noch Audit-Protokolle.</p> <p><strong>Wie EthicsPortal hilft:</strong> Bietet ein markenindividualisiertes Webportal mit verschlüsselter anonymer Meldung und Zwei-Wege-Nachrichten, in Minuten einsatzbereit.</p> <hr> <h3 id="3-unparteiische-person-oder-stelle-für-die-fallbearbeitung-benennen"> 3. Unparteiische Person oder Stelle für die Fallbearbeitung benennen <a href="#3-unparteiische-person-oder-stelle-f%c3%bcr-die-fallbearbeitung-benennen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. c</p> <p>Sie müssen eine Person oder Stelle benennen, die für die Nachverfolgung von Meldungen zuständig ist. Diese muss unparteiisch sein und darf keinen Interessenkonflikt zum Inhalt der Meldungen haben.</p> <p><strong>Praxistipp:</strong> Häufige Besetzungen sind Compliance-Verantwortliche, Rechtsabteilung, HR-Leitung oder eine externe Ombudsperson. In kleineren Organisationen kann die Geschäftsführung diese Rolle übernehmen, sofern sie nicht voraussichtlich selbst Gegenstand von Meldungen wird. Benennen Sie auch eine Vertretung.</p> <hr> <h3 id="4-prozess-für-die-eingangsbestätigung-aufsetzen-7-tage-frist"> 4. Prozess für die Eingangsbestätigung aufsetzen (7-Tage-Frist) <a href="#4-prozess-f%c3%bcr-die-eingangsbest%c3%a4tigung-aufsetzen-7-tage-frist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. b</p> <p>Sie müssen den Eingang einer Meldung innerhalb von sieben Kalendertagen bestätigen. Dies gilt für alle Meldungen, einschließlich anonymer.</p> <p><strong>Praxistipp:</strong> Automatisieren Sie diesen Schritt. Ein manueller Prozess birgt das Risiko, die Sieben-Tage-Frist über Feiertage oder Abwesenheiten hinaus zu überschreiten.</p> <p><strong>Wie EthicsPortal hilft:</strong> Verfolgt die Eingangsbestätigungsfrist für jede Meldung und zeigt Fallbearbeiter:innen an, welche Meldungen ihre Aufmerksamkeit benötigen.</p> <hr> <h3 id="5-rückmeldungsprozess-definieren-3-monats-frist"> 5. Rückmeldungsprozess definieren (3-Monats-Frist) <a href="#5-r%c3%bcckmeldungsprozess-definieren-3-monats-frist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. f</p> <p>Sie müssen der hinweisgebenden Person innerhalb von drei Monaten ab der Eingangsbestätigung Rückmeldung geben. Rückmeldung umfasst: ob die Meldung geprüft wird, untersucht wird oder abgeschlossen ist, sowie das Ergebnis etwaiger Ermittlungen.</p> <p><strong>Praxistipp:</strong> „Rückmeldung" erfordert keine vollständige Offenlegung des Ermittlungsergebnisses. Die Information, dass die Angelegenheit untersucht und angemessene Maßnahmen ergriffen wurden, reicht aus. Bei anonymen Hinweisgeber:innen muss die Rückmeldung über den Meldekanal verfügbar sein (z. B. per Zugangscode).</p> <p><strong>Wie EthicsPortal hilft:</strong> Verfolgt die Drei-Monats-Rückmeldefrist pro Fall und unterstützt Zwei-Wege-Kommunikation mit anonymen Hinweisgeber:innen per Zugangscode.</p> <hr> <h3 id="6-vertraulichkeitsmaßnahmen-umsetzen"> 6. Vertraulichkeitsmaßnahmen umsetzen <a href="#6-vertraulichkeitsma%c3%9fnahmen-umsetzen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 16</p> <p>Die Identität der hinweisgebenden Person darf ohne deren ausdrückliche Zustimmung niemandem außerhalb der autorisierten Fallbearbeitung offengelegt werden. Das gilt auch für Informationen, aus denen die Identität mittelbar abgeleitet werden kann.</p> <p><strong>Praxistipp:</strong> Begrenzen Sie den Zugriff auf Meldungen strikt. Teilen Sie Meldedetails nicht in Besprechungen mit nicht autorisierten Personen. Beim internen Verweisen von Fällen: identifizierende Angaben zur hinweisgebenden Person schwärzen. Stellen Sie sicher, dass Ihre IT-Systeme Zugriffskontrollen durchsetzen.</p> <p><strong>Wie EthicsPortal hilft:</strong> Rollenbasierte Zugriffskontrolle stellt sicher, dass nur benannte Fallbearbeiter:innen Meldungen einsehen. Die Identität der hinweisgebenden Person wird nie offengelegt, sofern sie diese nicht freiwillig preisgibt.</p> <hr> <h3 id="7-schutz-vor-repressalien-etablieren"> 7. Schutz vor Repressalien etablieren <a href="#7-schutz-vor-repressalien-etablieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 19, 20, 21</p> <p>Hinweisgebende Personen, Unterstützende und verbundene Dritte müssen vor Repressalien geschützt werden. Die Richtlinie definiert Repressalien weit: Kündigung, Degradierung, Einschüchterung, Blacklisting und mehr. Die Beweislast wird umgekehrt — erleidet eine hinweisgebende Person nach einer Meldung einen Nachteil, muss der Arbeitgeber nachweisen, dass der Nachteil nicht mit der Meldung zusammenhängt.</p> <p><strong>Praxistipp:</strong> Dokumentieren Sie diesen Schutz in Ihrer Hinweisgeberrichtlinie. Schulen Sie Führungskräfte, was als Repressalie gilt. Dokumentieren Sie personelle Maßnahmen gegenüber Personen, die eine Meldung erstattet haben, um nachweisen zu können, dass Entscheidungen auf legitimen Gründen beruhten.</p> <hr> <h3 id="8-fallbearbeiterinnen-schulen"> 8. Fallbearbeiter:innen schulen <a href="#8-fallbearbeiterinnen-schulen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. c–f (implizit)</p> <p>Die Richtlinie schreibt keine konkrete Schulung vor, aber Fallbearbeiter:innen müssen in der Lage sein, die Pflichten zu erfüllen: Vertraulichkeit wahren, Eingangsbestätigung binnen sieben Tagen, sorgfältige Nachverfolgung und Rückmeldung binnen drei Monaten.</p> <p><strong>Praxistipp:</strong> Mindestinhalte der Schulung: Nutzung des Meldekanals, Vertraulichkeitspflichten, Grundlagen der Ermittlung, Regeln zum Schutz vor Repressalien und Datenschutz. Dokumentieren Sie die Schulung. Jährliche Auffrischung.</p> <hr> <h3 id="9-beschäftigte-über-den-meldekanal-informieren"> 9. Beschäftigte über den Meldekanal informieren <a href="#9-besch%c3%a4ftigte-%c3%bcber-den-meldekanal-informieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 9 Abs. 1 lit. g</p> <p>Sie müssen klare und leicht zugängliche Informationen zur Nutzung des internen Meldekanals bereitstellen. Zusätzlich müssen Sie Beschäftigte über ihr Recht informieren, extern bei zuständigen Behörden zu melden.</p> <p><strong>Praxistipp:</strong> Veröffentlichen Sie die Informationen im Intranet, nehmen Sie sie in Onboarding-Materialien auf und hängen Sie sie in allgemein zugänglichen Bereichen aus. Ein QR-Code zum Meldeportal macht den Kanal wirksam auffindbar.</p> <p><strong>Wie EthicsPortal hilft:</strong> Generiert einen QR-Code und einen teilbaren Link zu Ihrem Portal, den Sie drucken und verteilen können.</p> <hr> <h3 id="10-aufbewahrung-und-löschung-regeln"> 10. Aufbewahrung und Löschung regeln <a href="#10-aufbewahrung-und-l%c3%b6schung-regeln" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 17 Abs. 1–3</p> <p>Personenbezogene Daten in Meldungen dürfen nicht länger als nötig gespeichert werden. Daten, die offensichtlich nicht relevant sind, sind unverzüglich zu löschen. Konkrete Aufbewahrungsfristen richten sich nach dem nationalen Recht, der Grundsatz lautet jedoch: so lange aufbewahren, wie für die Ermittlung und etwaige Folgeverfahren nötig, dann löschen.</p> <p><strong>Praxistipp:</strong> Legen Sie eine Aufbewahrungsfrist in Ihrer Richtlinie fest. Nationale Gesetze variieren — zum Beispiel verlangt <a href="/de/whistleblower-laws/france/">Frankreich</a> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046357368">5 Jahre</a>, <a href="/de/whistleblower-laws/germany/">Deutschland</a> <a href="https://www.gesetze-im-internet.de/englisch_hinschg/englisch_hinschg.html">3 Jahre</a> (§ 11 HinSchG) und <a href="/de/whistleblower-laws/italy/">Italien</a> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">5 Jahre</a> (D.Lgs. 24/2023). Einen vollständigen Vergleich finden Sie in unserem Leitfaden <a href="/de/blog/gdpr-and-whistleblower-reporting/">DSGVO und Hinweisgebermeldungen</a>. Setzen Sie Kalendererinnerungen, um abgeschlossene Fälle zu prüfen und zu löschen.</p> <hr> <h3 id="11-schriftliche-hinweisgeberrichtlinie-vorbereiten"> 11. Schriftliche Hinweisgeberrichtlinie vorbereiten <a href="#11-schriftliche-hinweisgeberrichtlinie-vorbereiten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 8, 9 (implizit) sowie die meisten nationalen Umsetzungsgesetze</p> <p>Die Richtlinie selbst verlangt zwar kein eigenständiges Policy-Dokument ausdrücklich, die meisten nationalen Umsetzungsgesetze tun es jedoch, und es ist praktisch notwendig, um die Informationspflichten aus Art. 9 Abs. 1 lit. g zu erfüllen.</p> <p><strong>Praxistipp:</strong> Ihre Richtlinie sollte umfassen: Geltungsbereich, Wer kann melden, Was kann gemeldet werden, Wie gemeldet wird, Vertraulichkeit, Schutz vor Repressalien, Ermittlungsprozess, Rückmeldefristen und Datenschutz. Nutzen Sie unsere <a href="/de/blog/whistleblower-policy-template/">kostenlose Vorlage für eine Hinweisgeberrichtlinie</a> als einsatzbereites Dokument.</p> <hr> <h3 id="12-compliance-für-die-aufsichtsrechtliche-prüfung-dokumentieren"> 12. Compliance für die aufsichtsrechtliche Prüfung dokumentieren <a href="#12-compliance-f%c3%bcr-die-aufsichtsrechtliche-pr%c3%bcfung-dokumentieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Artikel:</strong> Art. 11 Abs. 2 (externe Kanäle), nationale Umsetzungsgesetze (interne)</p> <p>Mehrere Mitgliedstaaten verlangen, dass Organisationen die Erfüllung ihrer Pflichten dokumentieren und die Unterlagen den Behörden auf Anfrage vorlegen.</p> <p><strong>Praxistipp:</strong> Dokumentieren Sie: Wann der Meldekanal eingerichtet wurde, wer als Fallbearbeiter:in benannt ist, Schulungsnachweise, die Hinweisgeberrichtlinie (mit Versionshistorie) sowie aggregierte Statistiken zu empfangenen und bearbeiteten Meldungen. Speichern Sie Einzelfalldaten nicht länger, als Ihre Aufbewahrungsfrist zulässt.</p> <hr> <h2 id="nächste-schritte"> Nächste Schritte <a href="#n%c3%a4chste-schritte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wenn Sie alle Punkte abgehakt haben, erfüllt Ihre Organisation die Kernanforderungen der Richtlinie und ihrer nationalen Umsetzung. Compliance ist keine einmalige Angelegenheit — überprüfen Sie Ihren Aufbau jährlich, schulen Sie Bearbeiter:innen nach und aktualisieren Sie Ihre Richtlinie, wenn sich das nationale Recht ändert. Länderspezifische Anforderungen, die über die Richtlinie hinausgehen, finden Sie in unserer Übersicht der <a href="/de/whistleblower-laws/">Hinweisgebergesetze nach Land</a>.</p> <p>Benötigen Sie einen Meldekanal? <a href="/de/">EthicsPortal</a> stellt in Minuten ein konformes, anonymes Meldeportal bereit — pauschal 49 €/Monat, keine Pro-Kopf-Preise, keine Vertriebsanrufe. <a href="/de/">Heute starten</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/blog/eu-whistleblower-directive-2019-1937-adopted/Wed, 23 Oct 2019 00:00:00 +0000https://ethicsportal.eu/de/blog/eu-whistleblower-directive-2019-1937-adopted/Das Europäische Parlament und der Rat nehmen die Richtlinie (EU) 2019/1937 formell an und schaffen einen EU-weiten Schutz für Personen, die Verstöße gegen das Unionsrecht melden.<h1 id="eu-richtlinie-20191937-zum-hinweisgeberschutz-angenommen"> EU-Richtlinie 2019/1937 zum Hinweisgeberschutz angenommen <a href="#eu-richtlinie-20191937-zum-hinweisgeberschutz-angenommen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Am 23. Oktober 2019 haben das Europäische Parlament und der Rat die <a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/deu">Richtlinie (EU) 2019/1937</a> zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, formell angenommen. Die Plenarabstimmung erfolgte mit 591 Ja-Stimmen, 29 Nein-Stimmen und 33 Enthaltungen.</p> <p>Die Richtlinie verpflichtet jede Organisation ab 50 Beschäftigten zur Einrichtung sicherer interner Meldekanäle, zum Schutz hinweisgebender Personen vor Repressalien und zur Rückmeldung innerhalb von drei Monaten. Die Mitgliedstaaten hatten bis zum 17. Dezember 2021 Zeit zur Umsetzung in nationales Recht.</p> <a href="https://multimedia.europarl.europa.eu/en/video/protecting-democracy-by-protecting-whistleblowers_N01-PUB-190408-BLOW" style="display: block; padding: 1.5rem; border: 1px solid #ddd; border-radius: 0.5rem; text-decoration: none; color: inherit; margin: 2rem 0;"> <strong>▶ Video: Schutz der Demokratie durch Schutz hinweisgebender Personen</strong><br> <span style="color: #666; font-size: 0.875rem;">Multimedia-Zentrum des Europäischen Parlaments · 1:28</span> </a> <h2 id="was-die-richtlinie-verlangt"> Was die Richtlinie verlangt <a href="#was-die-richtlinie-verlangt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Interne Meldekanäle</strong> (Art. 8) — sichere, vertrauliche Kanäle, die allen Beschäftigten — einschließlich Selbstständigen und Zulieferern — offenstehen</li> <li><strong>7-Tage-Eingangsbestätigung</strong> (Art. 9) — Organisationen müssen den Eingang einer Meldung innerhalb von sieben Kalendertagen bestätigen</li> <li><strong>3-Monats-Rückmeldefrist</strong> (Art. 9) — hinweisgebende Personen müssen innerhalb von drei Monaten Rückmeldung zu ergriffenen Maßnahmen erhalten</li> <li><strong>Repressalienverbot</strong> (Art. 19–21) — Kündigung, Degradierung, Einschüchterung und sonstige Repressalien sind verboten</li> <li><strong>Umkehr der Beweislast</strong> (Art. 21 Abs. 5) — sobald die hinweisgebende Person darlegt, gemeldet und eine Benachteiligung erlitten zu haben, muss der Arbeitgeber nachweisen, dass die Maßnahme nicht im Zusammenhang stand</li> <li><strong>Externe und öffentliche Meldung</strong> (Art. 10, 15) — der Schutz gilt auch bei Meldungen an zuständige Behörden und — als letztes Mittel — bei öffentlichen Offenlegungen</li> </ul> <hr> <h2 id="plenardebatte"> Plenardebatte <a href="#plenardebatte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Das Europäische Parlament debattierte die Richtlinie in seiner Plenarsitzung in Straßburg. Auszüge aus der Debatte sind im Multimedia-Zentrum des Parlaments verfügbar:</p> <p><a href="https://multimedia.europarl.europa.eu/en/video/protection-of-whistle-blowers-extracts-from-the-debate_I123987">Plenardebatte zum Hinweisgeberschutz ansehen</a></p> <hr> <h2 id="amtliche-quellen"> Amtliche Quellen <a href="#amtliche-quellen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/deu">Volltext der Richtlinie (EU) 2019/1937</a> — EUR-Lex</li> <li><a href="https://commission.europa.eu/aid-development-cooperation-fundamental-rights/your-fundamental-rights-eu/protection-whistleblowers_de">Schutz von Hinweisgebern</a> — Europäische Kommission</li> <li><a href="https://www.europarl.europa.eu/news/en/press-room/20190410IPR37529/protecting-whistle-blowers-new-eu-wide-rules-approved">New EU-wide rules approved</a> — Pressemitteilung des Europäischen Parlaments</li> <li><a href="https://multimedia.europarl.europa.eu/en/topic/protection-of-whistleblowers-8th-parliamentary-term_9901">Alle Multimedia-Inhalte zum Hinweisgeberschutz</a> — Multimedia-Zentrum des Europäischen Parlaments</li> <li><a href="https://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-whistle-blower-protection-proposal">Legislative train schedule</a> — Europäisches Parlament</li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/terms/Allgemeine Geschäftsbedingungen für EthicsPortal — die sichere Hinweisgeberplattform für die EU-Compliance.<h1 id="allgemeine-geschäftsbedingungen"> Allgemeine Geschäftsbedingungen <a href="#allgemeine-gesch%c3%a4ftsbedingungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Gültig ab:</strong> 22. April 2026 <strong>Zuletzt aktualisiert:</strong> 22. April 2026</p> <h2 id="1-einleitung"> 1. Einleitung <a href="#1-einleitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Diese Allgemeinen Geschäftsbedingungen („AGB") regeln die Nutzung von EthicsPortal unter <a href="https://ethicsportal.eu">ethicsportal.eu</a> (der „Dienst"). EthicsPortal wird betrieben von Yaroslav Shmarov, Einzelunternehmer mit Registersitz in Polen, mit eingetragener Anschrift ul. Obrzeżna 1A, 02-691 Warschau, Polen („wir", „uns", „unser"). Basisangaben zur Vertragspartnerseite sind auf der Seite <a href="/de/vendor-information/">Anbieterinformationen</a> veröffentlicht.</p> <p>Mit der Anlage eines Kontos oder der Nutzung des Dienstes erklären Sie sich mit diesen AGB einverstanden. Wenn Sie nicht einverstanden sind, nutzen Sie den Dienst bitte nicht.</p> <h2 id="2-leistungsbeschreibung"> 2. Leistungsbeschreibung <a href="#2-leistungsbeschreibung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist eine sichere Hinweisgeberplattform. Der Dienst ermöglicht Organisationen den Betrieb von Compliance-Meldekanälen und den Schutz hinweisgebender Personen.</p> <h2 id="3-nutzungsberechtigung"> 3. Nutzungsberechtigung <a href="#3-nutzungsberechtigung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zur Nutzung des Dienstes müssen Sie:</p> <ul> <li>mindestens 16 Jahre alt sein,</li> <li>eine gültige E-Mail-Adresse angeben,</li> <li>die Geschäftsfähigkeit zum Abschluss eines verbindlichen Vertrages besitzen.</li> </ul> <p>Wir behalten uns vor, die Bereitstellung des Dienstes aus sachlichem Grund zu verweigern.</p> <h2 id="4-ihr-konto"> 4. Ihr Konto <a href="#4-ihr-konto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Sie sind für die Vertraulichkeit Ihrer Zugangsdaten verantwortlich</li> <li>Sie sind für alle Aktivitäten verantwortlich, die über Ihr Konto erfolgen</li> <li>Bei der Kontoanlage geben Sie zutreffende und vollständige Angaben an</li> <li>Sie legen für dieselbe Person keine mehrfachen Konten an</li> <li>Bei Verdacht auf unbefugten Zugriff benachrichtigen Sie uns unverzüglich</li> </ul> <h2 id="5-abonnements-und-zahlungen"> 5. Abonnements und Zahlungen <a href="#5-abonnements-und-zahlungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Kostenpflichtige Funktionen setzen ein aktives Abonnement voraus</li> <li>Abonnements werden wiederkehrend (monatlich oder jährlich) über <a href="https://stripe.com">Stripe</a> abgerechnet</li> <li>Sie können Ihr Abonnement jederzeit in den Abrechnungseinstellungen kündigen. Die Kündigung wird zum Ende der laufenden Abrechnungsperiode wirksam</li> <li>Wir speichern keine Kreditkartennummern oder Bankdaten auf unseren Servern — die gesamte Zahlungsabwicklung erfolgt über Stripe</li> </ul> <p>Preise werden im Dienst ausgewiesen und können mit Ankündigung angepasst werden. Abonnements sind nicht erstattungsfähig. Details siehe <a href="/de/refunds">Erstattungsrichtlinie</a>.</p> <h2 id="6-nutzerinhalte"> 6. Nutzerinhalte <a href="#6-nutzerinhalte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>„Nutzerinhalte" umfassen alle Texte, Bilder, Dateien und sonstigen Materialien, die Sie in den Dienst einbringen (Profilinformationen, hochgeladene Dateien).</p> <ul> <li>Mit der Einstellung von Inhalten (Profilinformationen usw.) räumen Sie uns ein nicht-ausschließliches, weltweites, unentgeltliches Nutzungsrecht ein, diese Inhalte ausschließlich zur Erbringung des Dienstes zu nutzen, darzustellen und weiterzugeben</li> <li>Dieses Nutzungsrecht endet mit der Löschung der Inhalte oder Ihres Kontos</li> <li>Sie stellen keine Inhalte ein, die rechtswidrig, rechtsverletzend, verleumderisch, anstößig oder anderweitig schädigend sind</li> </ul> <p>Wir behalten uns vor, gegen diese AGB verstoßende Inhalte zu entfernen.</p> <h2 id="7-untersagte-verhaltensweisen"> 7. Untersagte Verhaltensweisen <a href="#7-untersagte-verhaltensweisen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sie verpflichten sich, nicht:</p> <ul> <li>den Dienst zu rechtswidrigen Zwecken zu nutzen</li> <li>den Dienst ohne unsere Zustimmung per Scraping, Crawling oder sonstiger Automatisierung abzurufen</li> <li>gefälschte Konten anzulegen oder Ihre Identität falsch anzugeben</li> <li>den Dienst oder dessen Infrastruktur zu stören oder zu beeinträchtigen</li> <li>unbefugten Zugriff auf Konten oder Daten anderer Nutzer zu versuchen</li> <li>den Dienst zum Versand von Spam, Phishing oder unerwünschten Nachrichten zu nutzen</li> <li>Sicherheitsmaßnahmen oder Zugriffskontrollen zu umgehen</li> <li>Teile des Dienstes zurückzuentwickeln, zu dekompilieren oder zu disassemblieren</li> <li>den Dienst ohne unsere Zustimmung weiterzuverkaufen oder weiterzuverbreiten</li> </ul> <h2 id="8-geistiges-eigentum"> 8. Geistiges Eigentum <a href="#8-geistiges-eigentum" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Unser Eigentum:</strong> Der Dienst einschließlich Gestaltung, Quellcode, Kennzeichen und Dokumentation ist unser Eigentum und durch geltende Schutzrechte geschützt. Sie dürfen keine Teile des Dienstes ohne unsere Zustimmung vervielfältigen, verändern oder verbreiten.</li> <li><strong>Ihr Eigentum:</strong> Sie behalten alle Rechte an Ihren eingestellten Inhalten. Wir beanspruchen kein Eigentum an Ihren Inhalten.</li> </ul> <h2 id="9-beendigung"> 9. Beendigung <a href="#9-beendigung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Durch Sie:</strong> Sie können Ihr Konto jederzeit in den Kontoeinstellungen löschen. Damit werden Ihre Daten dauerhaft entfernt, wie in unserer <a href="/de/privacy">Datenschutzerklärung</a> beschrieben.</li> <li><strong>Durch uns:</strong> Wir können Ihr Konto aussetzen oder beenden, wenn Sie gegen diese AGB verstoßen, untersagte Verhaltensweisen zeigen oder dies rechtlich geboten ist. Wir werden Sie nach Möglichkeit vor der Beendigung informieren, außer bei sofort erforderlichem Handeln (z. B. Betrug, Sicherheitsrisiken).</li> </ul> <p>Mit der Beendigung endet Ihr Nutzungsrecht sofort.</p> <h2 id="10-gewährleistungsausschluss"> 10. Gewährleistungsausschluss <a href="#10-gew%c3%a4hrleistungsausschluss" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Dienst wird <strong>„wie besehen"</strong> und <strong>„wie verfügbar"</strong> ohne jegliche ausdrückliche oder konkludente Gewährleistung bereitgestellt, einschließlich — jedoch nicht beschränkt auf — stillschweigende Gewährleistungen der Marktgängigkeit, Eignung für einen bestimmten Zweck und Nichtverletzung fremder Rechte.</p> <p>Wir gewährleisten nicht, dass:</p> <ul> <li>der Dienst ununterbrochen, pünktlich, sicher oder fehlerfrei ist</li> <li>der Dienst Ihre spezifischen Anforderungen erfüllt</li> </ul> <h2 id="11-haftungsbeschränkung"> 11. Haftungsbeschränkung <a href="#11-haftungsbeschr%c3%a4nkung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Soweit gesetzlich zulässig, haften wir nicht für mittelbare, zufällige, besondere, Folge- oder Strafschäden, insbesondere nicht für entgangenen Gewinn, Datenverlust oder entgangene Geschäftschancen.</p> <p>Soweit gesetzlich zulässig, ist unsere gesamte aggregierte Haftung aus oder im Zusammenhang mit dem Dienst, diesen AGB, dem <a href="/de/dpa/">Auftragsverarbeitungsvertrag</a> oder dem <a href="/de/sla/">Service Level Agreement</a> auf die Gebühren begrenzt, die Sie uns für den Dienst in den 12 Monaten vor dem Ereignis gezahlt haben, das den Anspruch ausgelöst hat.</p> <p>Nichts in diesen AGB schließt eine Haftung für Betrug, vorsätzliches Fehlverhalten oder eine Haftung aus oder beschränkt sie, soweit sie nach geltendem Recht nicht ausgeschlossen oder beschränkt werden kann.</p> <h2 id="12-anwendbares-recht-und-gerichtsstand"> 12. Anwendbares Recht und Gerichtsstand <a href="#12-anwendbares-recht-und-gerichtsstand" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Diese AGB unterliegen polnischem Recht. Streitigkeiten aus oder im Zusammenhang mit diesen AGB oder dem Dienst unterliegen der ausschließlichen Zuständigkeit der Gerichte in Warschau, Polen.</p> <p>Für Verbraucher mit Wohnsitz in der EU bleibt das Recht unberührt, Verfahren vor den Gerichten ihres Wohnsitzlandes zu führen.</p> <h2 id="13-änderungen-dieser-agb"> 13. Änderungen dieser AGB <a href="#13-%c3%a4nderungen-dieser-agb" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir können diese AGB von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie mindestens 14 Tage vor Inkrafttreten per E-Mail oder über eine Benachrichtigung im Dienst.</p> <p>Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten der aktualisierten AGB gilt als Zustimmung zu den Änderungen. Sind Sie mit den aktualisierten AGB nicht einverstanden, können Sie Ihr Konto löschen.</p> <h2 id="14-salvatorische-klausel"> 14. Salvatorische Klausel <a href="#14-salvatorische-klausel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sollte eine Bestimmung dieser AGB unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.</p> <h2 id="15-kontakt"> 15. Kontakt <a href="#15-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bei Fragen zu diesen AGB:</p> <p><strong>E-Mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Sicherheit:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Sitz:</strong> Warschau, Polen</p> <p>Gegengezeichnete AVV, Registerunterlagen und Materialien für den Beschaffungs- und Rechtsreview stellen wir auf Anfrage zur Verfügung.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/vendor-information/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/vendor-information/Vertragspartner- und Beschaffungsinformationen für EthicsPortal.<h1 id="anbieterinformationen"> Anbieterinformationen <a href="#anbieterinformationen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Diese Seite identifiziert den Vertragspartner hinter EthicsPortal und enthält die Basisinformationen, die typischerweise in Beschaffung, Rechtsprüfung und AVV-Prüfung angefragt werden.</p> <p>Stand: 22. April 2026</p> <hr> <h2 id="vertragspartner"> Vertragspartner <a href="#vertragspartner" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Name des Dienstes:</strong> EthicsPortal</li> <li><strong>Betreiber / Vertragspartner:</strong> Yaroslav Shmarov</li> <li><strong>Rechtsform:</strong> Einzelunternehmer, registriert in Polen</li> <li><strong>Eingetragene Anschrift:</strong> ul. Obrzeżna 1A, 02-691 Warschau, Polen</li> <li><strong>Steueridentifikationsnummer (NIP):</strong> 5272755790</li> <li><strong>Registrierungsstaat:</strong> Polen</li> <li><strong>Handelsregisternummer:</strong> für einen polnischen Einzelunternehmer nicht anwendbar</li> </ul> <hr> <h2 id="vertragsunterzeichnung-und-kontakte"> Vertragsunterzeichnung und Kontakte <a href="#vertragsunterzeichnung-und-kontakte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Zeichnungsberechtigt für Handelsverträge, AVV und Sicherheitsfragebögen:</strong> Yaroslav Shmarov</li> <li><strong>Kaufmännischer Kontakt:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a></li> <li><strong>Sicherheitskontakt:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a></li> </ul> <p>Aktuelle Registerunterlagen und gegengezeichnete Vertragsdokumente stellen wir im Beschaffungsprozess auf Anfrage bereit.</p> <hr> <h2 id="beschaffungsunterlagen"> Beschaffungsunterlagen <a href="#beschaffungsunterlagen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wenn Ihr Beschaffungsprozess einen ausgefüllten Fragebogen, einen gegengezeichneten AVV, einen Registerauszug, einen Steuernachweis oder schriftliche Antworten zu operativen Kontrollen verlangt, fordern Sie diese bitte im Review an.</p> <p>Verfügbare Unterlagen können insbesondere umfassen:</p> <ul> <li>Gegengezeichneter AVV</li> <li>Registerunterlagen und NIP-/Steuernachweis</li> <li>Ausgefüllter Sicherheitsfragebogen</li> <li>Zusammenfassung von Backup und Restore</li> <li>Zusammenfassung des privilegierten Produktionszugangs</li> <li>Incident-Response-Zusammenfassung</li> <li>Antworten zu Business Continuity sowie Exit / Export</li> </ul> <p>Siehe die Seite <a href="/de/procurement/">Beschaffung</a> für die öffentliche Übersicht der verfügbaren Materialien.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/dpa/Auftragsverarbeitungsvertrag (Art. 28 DSGVO) für EthicsPortal-Kunden. Umfasst Geltungsbereich, Sicherheitsmaßnahmen, Unterauftragsverarbeiter und internationale Datenübermittlungen.<h1 id="auftragsverarbeitungsvertrag"> Auftragsverarbeitungsvertrag <a href="#auftragsverarbeitungsvertrag" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Gültig ab:</strong> 22. April 2026</p> <p>Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Vereinbarung zwischen dem Kunden („Verantwortlicher") und EthicsPortal („Auftragsverarbeiter") über die Bereitstellung der EthicsPortal-Hinweisgeberplattform („Dienst").</p> <blockquote> <p><strong>Benötigen Sie eine unterzeichnete Fassung?</strong> Kontaktieren Sie <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> für eine gegengezeichnete PDF-Ausfertigung für Ihre Unterlagen.</p> </blockquote> <hr> <h2 id="1-parteien"> 1. Parteien <a href="#1-parteien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Verantwortlicher:</strong> Die Organisation, die EthicsPortal abonniert und die Zwecke und Mittel der Verarbeitung personenbezogener Daten über den Dienst festlegt.</p> <p><strong>Auftragsverarbeiter:</strong> EthicsPortal, betrieben von Yaroslav Shmarov als Einzelunternehmer registriert in Polen, ul. Obrzeżna 1A, 02-691 Warschau, Polen. Kontakt: <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p> <hr> <h2 id="2-geltungsbereich-und-zweck-der-verarbeitung"> 2. Geltungsbereich und Zweck der Verarbeitung <a href="#2-geltungsbereich-und-zweck-der-verarbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung des Dienstes. Dies umfasst:</p> <ul> <li>Entgegennahme und Speicherung von Hinweisgebermeldungen</li> <li>sichere Kommunikation zwischen hinweisgebenden Personen und Fallbearbeitung</li> <li>Verwaltung von Fall-Workflows (Zuweisung, Statusverfolgung, Abschluss)</li> <li>Erstellung von Audit-Protokollen und Compliance-Nachweisen</li> <li>Zustellung transaktionaler E-Mail-Benachrichtigungen an Fallbearbeitung und Admins</li> <li>Zahlungsabwicklung für den Dienst</li> </ul> <p>Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu keinem anderen Zweck als zur Erbringung des Dienstes nach Weisung des Verantwortlichen.</p> <hr> <h2 id="3-arten-der-verarbeiteten-personenbezogenen-daten"> 3. Arten der verarbeiteten personenbezogenen Daten <a href="#3-arten-der-verarbeiteten-personenbezogenen-daten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Datenkategorie</th> <th>Beispiele</th> <th>Verschlüsselte Speicherung</th> </tr> </thead> <tbody> <tr> <td>Identität der hinweisgebenden Person (freiwillig)</td> <td>Name, E-Mail-Adresse, Telefonnummer</td> <td>Ja (nicht-deterministisch)</td> </tr> <tr> <td>Meldungsinhalt</td> <td>Beschreibung des Hinweises</td> <td>Ja (nicht-deterministisch)</td> </tr> <tr> <td>Kommunikationsinhalt</td> <td>Nachrichten zwischen hinweisgebender Person und Fallbearbeitung</td> <td>Ja (nicht-deterministisch)</td> </tr> <tr> <td>Datei-Anhänge</td> <td>Dokumente, Bilder, Audio, Video</td> <td>Gespeichert mit entfernten Metadaten</td> </tr> <tr> <td>Zugangscodes</td> <td>Eindeutige Codes zum Zugriff auf Meldungen</td> <td>Ja</td> </tr> <tr> <td>Daten von Fallbearbeitung und Admins</td> <td>Name, E-Mail-Adresse, Rolle, Organisationszugehörigkeit</td> <td>Nein (Betriebsdaten)</td> </tr> <tr> <td>Audit-Protokolleinträge</td> <td>Zeitstempel, ausführende Person, Aktionstyp</td> <td>Nein (integritätskritisch)</td> </tr> <tr> <td>Technische Daten</td> <td>Einweg-gehashte IP-Adressen (nicht umkehrbar) nur für Rate-Limiting</td> <td>Nicht anwendbar (Hash, kein personenbezogenes Datum)</td> </tr> </tbody> </table> <hr> <h2 id="4-kategorien-betroffener-personen"> 4. Kategorien betroffener Personen <a href="#4-kategorien-betroffener-personen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Hinweisgebende Personen</strong> — Personen, die über das Portal Meldungen abgeben (ggf. anonym)</li> <li><strong>Fallbearbeitende</strong> — vom Verantwortlichen benannte Personen, die Meldungen entgegennehmen und bearbeiten</li> <li><strong>Administratoren</strong> — Personen, die das EthicsPortal-Konto und die Einstellungen des Verantwortlichen verwalten</li> </ul> <hr> <h2 id="5-dauer-der-verarbeitung"> 5. Dauer der Verarbeitung <a href="#5-dauer-der-verarbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer des Abonnements des Verantwortlichen. Nach Beendigung:</p> <ul> <li>Der Verantwortliche kann seine Daten vor Ende des Abonnements exportieren.</li> <li>Meldungsdaten werden entsprechend der vom Verantwortlichen gewählten Aufbewahrungsdauer (12, 24, 36 oder 60 Monate nach Abschluss der Meldung) gespeichert und anschließend dauerhaft gelöscht.</li> <li>Auf schriftlichen Wunsch löscht der Auftragsverarbeiter alle verbleibenden Daten des Verantwortlichen innerhalb von 30 Tagen nach Beendigung des Abonnements, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.</li> </ul> <hr> <h2 id="6-pflichten-des-auftragsverarbeiters"> 6. Pflichten des Auftragsverarbeiters <a href="#6-pflichten-des-auftragsverarbeiters" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="61-weisungsbindung"> 6.1 Weisungsbindung <a href="#61-weisungsbindung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, es sei denn, die gesetzliche Grundlage verbietet diese Mitteilung.</p> <h3 id="62-vertraulichkeit"> 6.2 Vertraulichkeit <a href="#62-vertraulichkeit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Alle Personen, die befugt sind, personenbezogene Daten zu verarbeiten, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht.</p> <h3 id="63-sicherheitsmaßnahmen"> 6.3 Sicherheitsmaßnahmen <a href="#63-sicherheitsma%c3%9fnahmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Auftragsverarbeiter setzt die auf der Seite <a href="/de/security/">Sicherheit</a> beschriebenen technischen und organisatorischen Maßnahmen um, insbesondere:</p> <ul> <li>Nicht-deterministische Verschlüsselung aller sensiblen Meldungsdaten</li> <li>keine Speicherung von IP-Adressen (Einweg-Hashing ausschließlich für Rate-Limiting)</li> <li>automatische Entfernung von Dateimetadaten (EXIF, GPS, Autor)</li> <li>rollenbasierte Zugriffskontrolle mit Pundit-Autorisierungsrichtlinien</li> <li>revisionssicheres Audit-Protokoll für alle Aktionen</li> <li>Rate-Limiting auf allen öffentlichen Portal-Endpunkten</li> <li>HTTPS/TLS für alle Verbindungen</li> <li>CSRF-Schutz</li> </ul> <h3 id="64-unterauftragsverarbeiter"> 6.4 Unterauftragsverarbeiter <a href="#64-unterauftragsverarbeiter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Auftragsverarbeiter setzt die in Abschnitt 8 aufgeführten Unterauftragsverarbeiter ein. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzunahme oder Austausch eines Unterauftragsverarbeiters. Der Verantwortliche kann widersprechen; wird keine Einigung erzielt, kann der Verantwortliche den Vertrag beenden.</p> <h3 id="65-rechte-der-betroffenen-personen"> 6.5 Rechte der betroffenen Personen <a href="#65-rechte-der-betroffenen-personen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen nach der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), indem er die erforderlichen technischen Fähigkeiten im Dienst bereitstellt.</p> <h3 id="66-meldung-von-datenpannen"> 6.6 Meldung von Datenpannen <a href="#66-meldung-von-datenpannen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, in jedem Fall <strong>innerhalb von 72 Stunden</strong> nach Kenntnisnahme. Die Benachrichtigung enthält:</p> <ul> <li>Beschreibung der Art der Verletzung</li> <li>Kategorien und ungefähre Anzahl der betroffenen Personen</li> <li>wahrscheinliche Folgen der Verletzung</li> <li>ergriffene oder vorgeschlagene Gegenmaßnahmen</li> </ul> <h3 id="67-datenschutz-folgenabschätzungen"> 6.7 Datenschutz-Folgenabschätzungen <a href="#67-datenschutz-folgenabsch%c3%a4tzungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit die Verarbeitungstätigkeiten des Auftragsverarbeiters dies erfordern.</p> <h3 id="68-löschung-und-rückgabe-von-daten"> 6.8 Löschung und Rückgabe von Daten <a href="#68-l%c3%b6schung-und-r%c3%bcckgabe-von-daten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nach Beendigung des Dienstes wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:</p> <ul> <li>alle personenbezogenen Daten in den zum Zeitpunkt der Beendigung im Dienst verfügbaren Exportformaten an den Verantwortlichen zurückgeben, einschließlich PDF-Fallakten und zugehöriger Anhänge, oder</li> <li>alle personenbezogenen Daten löschen und die Löschung schriftlich bestätigen,</li> </ul> <p>sofern EU- oder mitgliedstaatliches Recht keine weitere Speicherung erfordert.</p> <p>Benötigt der Verantwortliche aus nachvollziehbaren Gründen ein zusätzliches Portabilitätsformat für Migration oder regulatorische Prüfung, bewertet der Auftragsverarbeiter die Anfrage nach Treu und Glauben und stellt es, soweit technisch möglich, auf gesonderte schriftliche Anfrage bereit.</p> <h3 id="69-auditrechte"> 6.9 Auditrechte <a href="#69-auditrechte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind. Der Verantwortliche kann Audits, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer durchführen, nach angemessener vorheriger Ankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten. Der Auftragsverarbeiter wirkt bei solchen Audits mit.</p> <hr> <h2 id="7-pflichten-des-verantwortlichen"> 7. Pflichten des Verantwortlichen <a href="#7-pflichten-des-verantwortlichen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Verantwortliche ist verantwortlich für:</p> <ul> <li>die Sicherstellung einer Rechtsgrundlage für die Verarbeitung über den Dienst</li> <li>die Bereitstellung erforderlicher Datenschutzhinweise an betroffene Personen (EthicsPortal zeigt einen Datenschutzhinweis im Meldeformular an)</li> <li>die Konfiguration geeigneter Aufbewahrungsfristen im Dienst</li> <li>die Benennung berechtigter Fallbearbeitender und Administratoren</li> <li>die Beantwortung von Anträgen betroffener Personen, mit Unterstützung des Auftragsverarbeiters wie oben beschrieben</li> </ul> <hr> <h2 id="8-unterauftragsverarbeiter"> 8. Unterauftragsverarbeiter <a href="#8-unterauftragsverarbeiter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die folgenden Unterauftragsverarbeiter sind zum Zeitpunkt des Inkrafttretens dieses AVV autorisiert:</p> <table> <thead> <tr> <th>Unterauftragsverarbeiter</th> <th>Zweck</th> <th>Standort</th> <th>Schutzmaßnahmen</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com">Hetzner Online GmbH</a></td> <td>Hosting der Anwendung, Datenbank und Speicherung von Dateianhängen</td> <td>Nürnberg, Deutschland (EU)</td> <td>Verarbeitung vollständig innerhalb der EU</td> </tr> <tr> <td><a href="https://stripe.com">Stripe Payments Europe, Ltd</a></td> <td>Zahlungsabwicklung</td> <td>Irland (EU)</td> <td>Keine Zahlungsdaten beim Auftragsverarbeiter; Stripe ist PCI-DSS-Level-1-zertifiziert</td> </tr> <tr> <td><a href="https://www.mailjet.com">Mailjet (Sinch)</a></td> <td>Zustellung transaktionaler E-Mails</td> <td>Frankreich (EU)</td> <td>Verarbeitung vollständig innerhalb der EU</td> </tr> <tr> <td><a href="https://www.cloudflare.com">Cloudflare, Inc.</a></td> <td>CDN und Edge-Auslieferung für die Marketing-Website</td> <td>USA</td> <td>Übermittlungen, soweit personenbezogene Daten betroffen sind, beruhen auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen</td> </tr> <tr> <td><a href="https://www.honeybadger.io">Honeybadger Industries, LLC</a></td> <td>Fehlerüberwachung für Admin- und Bearbeitungsoberflächen</td> <td>USA</td> <td>IP-Adressen hinweisgebender Personen werden nie protokolliert; Übermittlungen beruhen auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen</td> </tr> <tr> <td><a href="https://crisp.chat">Crisp IM SARL</a></td> <td>Kundenchat für bearbeitende Organisationen und Unterstützung bei Identitätsprüfung</td> <td>Frankreich (EU)</td> <td>Nicht auf Hinweisgeber-Seiten geladen; kein Crisp-Skript, -Cookie oder -Identifier erreicht das Meldeportal</td> </tr> </tbody> </table> <p>Marketing-Analytik (Cloudflare Web Analytics) ist cookielos und verarbeitet keine personenbezogenen Daten.</p> <hr> <h2 id="9-internationale-datenübermittlungen"> 9. Internationale Datenübermittlungen <a href="#9-internationale-daten%c3%bcbermittlungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die zentrale Verarbeitung von Hinweisgeberdaten, einschließlich Meldungsinhalten und der Speicherung von Dateianhängen, erfolgt innerhalb der <strong>Europäischen Union</strong> (Hetzner, Deutschland). Die Zahlungsabwicklung erfolgt in der EU (Stripe), und transaktionale E-Mails werden aus der EU zugestellt (Mailjet, Frankreich).</p> <p>Begrenzte personenbezogene Daten im Zusammenhang mit der Marketing-Website sowie Admin-/Bearbeitungsoberflächen können über Cloudflare und Honeybadger außerhalb der EU/des EWR verarbeitet werden. Soweit solche Übermittlungen stattfinden, beruhen sie auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen. Crisp hat seinen Sitz in Frankreich und wird nicht auf Hinweisgeber-Seiten geladen.</p> <hr> <h2 id="10-haftung"> 10. Haftung <a href="#10-haftung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Haftung jeder Partei nach diesem AVV unterliegt den im Hauptdienstvertrag festgelegten Haftungsbeschränkungen. Soweit gesetzlich zulässig, fallen Ansprüche aus oder im Zusammenhang mit diesem AVV unter dieselbe aggregierte Haftungsobergrenze, die für den Dienst gilt.</p> <hr> <h2 id="11-laufzeit-und-beendigung"> 11. Laufzeit und Beendigung <a href="#11-laufzeit-und-beendigung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dieser AVV tritt in Kraft, sobald der Verantwortliche den Dienst nutzt, und bleibt wirksam, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Verpflichtungen aus diesem AVV gelten über die Beendigung hinaus, soweit dies zur Löschung oder Rückgabe personenbezogener Daten erforderlich ist.</p> <hr> <h2 id="12-anwendbares-recht"> 12. Anwendbares Recht <a href="#12-anwendbares-recht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dieser AVV unterliegt dem Recht der Republik Polen unter Ausschluss der Kollisionsnormen. Die zuständigen Gerichte in Warschau, Polen, haben ausschließliche Zuständigkeit für Streitigkeiten aus diesem AVV.</p> <hr> <h2 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bei Fragen zu diesem AVV oder für eine unterzeichnete Fassung:</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warschau, Polen <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/procurement/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/procurement/Öffentliche Beschaffungs- und Due-Diligence-Informationen für EthicsPortal.<h1 id="beschaffung"> Beschaffung <a href="#beschaffung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Diese Seite fasst die für EthicsPortal verfügbaren Beschaffungs- und Due-Diligence-Unterlagen zusammen.</p> <p>Stand: 22. April 2026</p> <hr> <h2 id="öffentliche-due-diligence-dokumente"> Öffentliche Due-Diligence-Dokumente <a href="#%c3%b6ffentliche-due-diligence-dokumente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Folgende Unterlagen sind öffentlich verfügbar:</p> <ul> <li><a href="/de/vendor-information/">Anbieterinformationen</a></li> <li><a href="/de/dpa/">Auftragsverarbeitungsvertrag</a></li> <li><a href="/de/subprocessors/">Unterauftragsverarbeiter</a></li> <li><a href="/de/security/">Sicherheit</a></li> <li><a href="/de/incidents/">Störungsregister</a></li> <li><a href="/de/sla/">SLA</a></li> <li><a href="/de/privacy/">Datenschutzerklärung</a></li> <li><a href="/de/terms/">Allgemeine Geschäftsbedingungen</a></li> </ul> <hr> <h2 id="standardposition-für-die-beschaffung"> Standardposition für die Beschaffung <a href="#standardposition-f%c3%bcr-die-beschaffung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Vertragspartner:</strong> Yaroslav Shmarov, Einzelunternehmer, registriert in Polen</li> <li><strong>Kundenbeziehung:</strong> Im Standard-Subscription-Modell ist der Kunde Verantwortlicher und EthicsPortal Auftragsverarbeiter für Meldedaten</li> <li><strong>Primäre Hosting-Region:</strong> Nürnberg, Deutschland (EU)</li> <li><strong>Internationale Datenübermittlungen:</strong> Kerndaten von Hinweisgebermeldungen werden in der EU gehostet. Begrenzte Verarbeitungen im Zusammenhang mit der Marketing-Website und Admin-Oberflächen können veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR einbeziehen, derzeit Cloudflare und Honeybadger, wie im <a href="/de/dpa/">AVV</a> und auf der Seite <a href="/de/subprocessors/">Unterauftragsverarbeiter</a> beschrieben</li> <li><strong>Aktueller Nachweisstatus:</strong> EthicsPortal beansprucht auf dieser Website derzeit weder ISO 27001 noch SOC 2 oder eine gleichwertige Zertifizierung</li> </ul> <hr> <h2 id="auf-anfrage-im-beschaffungsreview-verfügbar"> Auf Anfrage im Beschaffungsreview verfügbar <a href="#auf-anfrage-im-beschaffungsreview-verf%c3%bcgbar" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kunden können insbesondere folgende Unterlagen anfordern:</p> <ul> <li>Gegengezeichneter AVV</li> <li>Registerauszug oder gleichwertiger Registrierungsnachweis</li> <li>NIP- / Steuernachweis</li> <li>Ausgefüllter Sicherheitsfragebogen</li> <li>Schriftliche Antworten zu Backup- und Restore-Verfahren</li> <li>Schriftliche Antworten zum privilegierten Produktionszugang</li> <li>Schriftliche Antworten zur Incident Response</li> <li>Antworten zu Business Continuity sowie Exit / Export</li> </ul> <p>Ein Teil dieser Unterlagen wird im Rahmen des Beschaffungsreviews geteilt und nicht im offenen Web veröffentlicht, weil er sich für eine kontrollierte Offenlegung besser eignet.</p> <hr> <h2 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Für Beschaffungsunterlagen schreiben Sie an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p> <p>Für Fragen im Sicherheitsreview schreiben Sie an <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/penalties/Bußgelder und Sanktionen bei Verstößen gegen die Richtlinie (EU) 2019/1937 in jedem Mitgliedstaat. Regelmäßig aktualisiert um Vollzugsmaßnahmen.<h1 id="bußgelder-nach-eu-hinweisgeberrichtlinie--nach-ländern"> Bußgelder nach EU-Hinweisgeberrichtlinie — nach Ländern <a href="#bu%c3%9fgelder-nach-eu-hinweisgeberrichtlinie--nach-l%c3%a4ndern" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Die Richtlinie (EU) 2019/1937 verpflichtet alle Unternehmen ab 50 Beschäftigten zum Betrieb eines internen Meldekanals. Jeder EU-Mitgliedstaat hat die Richtlinie mit eigenem Sanktionsregime umgesetzt.</p> <p>Verstöße sind keine Theorie. Im März 2025 hat der <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/">Gerichtshof der EU gegen fünf Mitgliedstaaten Sanktionen von zusammen 39 Mio. €</a> verhängt — allein wegen verspäteter Umsetzung. Unternehmen, die ihre Pflichten nicht erfüllen, treffen eigenständige Sanktionen nach nationalem Recht.</p> <hr> <h2 id="bußgelder-im-überblick"> Bußgelder im Überblick <a href="#bu%c3%9fgelder-im-%c3%bcberblick" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Land</th> <th>Kein Meldekanal</th> <th>Repressalien</th> <th>Strafrechtliche Haftung</th> <th>Gesetz</th> </tr> </thead> <tbody> <tr> <td><a href="/de/whistleblower-laws/spain/">Spanien</a></td> <td>bis 1.000.000 €</td> <td>bis 1.000.000 €</td> <td>Nein</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513">Ley 2/2023</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/france/">Frankreich</a></td> <td>—</td> <td>60.000 € + bis 3 Jahre Haft</td> <td><strong>Ja</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Loi Waserman (2022-401)</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/poland/">Polen</a></td> <td>5.000 PLN (~1.200 €)</td> <td>Behinderung: bis 1.080.000 PLN (~250.000 €) + bis 1 Jahr Haft. Repressalien: bis 2 Jahre Haft</td> <td><strong>Ja</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928">Ustawa z dnia 14 czerwca 2024</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/portugal/">Portugal</a></td> <td>bis 125.000 €</td> <td>bis 125.000 €</td> <td>Nein</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849">Lei 93/2021</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/italy/">Italien</a></td> <td>10.000–50.000 €</td> <td>10.000–50.000 €</td> <td>Nein</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">D.Lgs. 24/2023</a></td> </tr> <tr> <td><a href="/de/whistleblower-laws/germany/">Deutschland</a></td> <td>20.000–50.000 € (Zehnfaches bei juristischen Personen)</td> <td>bis 50.000 €</td> <td>Nein</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/">HinSchG</a></td> </tr> </tbody> </table> <hr> <h2 id="länderdetails"> Länderdetails <a href="#l%c3%a4nderdetails" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="deutschland"> <a href="/de/whistleblower-laws/germany/">Deutschland</a> — HinSchG <a href="#deutschland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Gesetz:</strong> <a href="https://www.gesetze-im-internet.de/hinschg/">Hinweisgeberschutzgesetz (HinSchG)</a> — in Kraft seit 2. Juli 2023.</p> <p><strong>Gilt für:</strong> Unternehmen ab 50 Beschäftigten. Fristen: 2. Juli 2023 (ab 250 Beschäftigten) und 17. Dezember 2023 (50–249 Beschäftigte). Bußgelder seit 1. Dezember 2023 vollziehbar. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/">Quelle: Library of Congress</a></p> <p><strong>Sanktionen:</strong></p> <ul> <li>Kein Meldekanal: Bußgelder 20.000–50.000 € nach § 40 HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html">Quelle: Ebner Stolz</a></li> <li>Für juristische Personen kann der Höchstrahmen gemäß § 40 Abs. 6 HinSchG i. V. m. § 30 OWiG <strong>verzehnfacht</strong> werden (bis zu 500.000 €). <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/">Quelle: activeMind</a></li> <li>Repressalien gegen hinweisgebende Personen: bis zu 50.000 €. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act">Quelle: Morrison Foerster</a></li> </ul> <p><strong>Hinweis:</strong> Deutschland wurde vom Gerichtshof der EU im März 2025 mit 34.000.000 € wegen verspäteter Umsetzung der Richtlinie belastet. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/">Quelle: eucrim</a></p> <hr> <h3 id="spanien"> <a href="/de/whistleblower-laws/spain/">Spanien</a> — Ley 2/2023 <a href="#spanien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Gesetz:</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513">Ley 2/2023, de 20 de febrero</a> — Schutz von Personen, die Rechtsverstöße melden, und Bekämpfung der Korruption.</p> <p><strong>Gilt für:</strong> Unternehmen ab 50 Beschäftigten. Fristen: 13. Juni 2023 (ab 250 Beschäftigten) und 1. Dezember 2023 (50–249 Beschäftigte). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published">Quelle: Garrigues</a></p> <p><strong>Sanktionen:</strong></p> <ul> <li>Kein interner Meldekanal: 600.000–1.000.000 € für juristische Personen. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain">Quelle: CMS Expert Guide</a></li> <li>Verstoß gegen Pflichten zum Meldekanal: 100.000–1.000.000 € für juristische Personen; 1.000–300.000 € für natürliche Personen. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain">Quelle: CMS Expert Guide</a></li> <li>Zusätzliche Sanktionen: öffentliche Warnung, Verbot von Subventionen/Steuervorteilen für bis zu 4 Jahre, mögliche Aussetzung von Betriebsgenehmigungen. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all">Quelle: Garrigues</a></li> </ul> <p><strong>Aufsichtsbehörde:</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>Spanien hat die höchsten Bußgelder in der EU für Hinweisgeber-Nichtkonformität.</p> <hr> <h3 id="frankreich"> <a href="/de/whistleblower-laws/france/">Frankreich</a> — Loi Waserman <a href="#frankreich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Gesetz:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a>, ändert <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528">Loi Sapin II (2016-1691)</a>.</p> <p><strong>Gilt für:</strong> Unternehmen ab 50 Beschäftigten. In Kraft seit September 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/">Quelle: IntegrityLine</a></p> <p><strong>Sanktionen:</strong></p> <ul> <li>Behinderung einer Meldung: bis 60.000 € und 1 Jahr Haft. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/">Quelle: Whispli</a></li> <li>Repressalien oder Diskriminierung: bis 60.000 € und 3 Jahre Haft. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/">Quelle: JP Karsenty</a></li> </ul> <p>Frankreich ist einer der wenigen EU-Staaten, in denen Behinderung und Repressalien <strong>strafrechtliche Sanktionen inkl. Freiheitsstrafe</strong> nach sich ziehen.</p> <hr> <h3 id="italien"> <a href="/de/whistleblower-laws/italy/">Italien</a> — D.Lgs. 24/2023 <a href="#italien" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Gesetz:</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg">Decreto Legislativo 10 marzo 2023, n. 24</a>.</p> <p><strong>Gilt für:</strong> Unternehmen ab 50 Beschäftigten (und alle Unternehmen mit Modell-231-Compliance-Programm, unabhängig von der Größe). Fristen: 15. Juli 2023 (ab 250 Beschäftigten) und 17. Dezember 2023 (50–249 Beschäftigte). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese">Quelle: Norton Rose Fulbright</a></p> <p><strong>Sanktionen:</strong></p> <ul> <li>Kein Meldekanal oder nicht konforme Verfahren: 10.000–50.000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese">Quelle: Norton Rose Fulbright</a></li> <li>Repressalien oder Behinderung: 10.000–50.000 €. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies">Quelle: Hogan Lovells</a></li> <li>Verletzung der Vertraulichkeit: 10.000–50.000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese">Quelle: Norton Rose Fulbright</a></li> <li>Vorsätzlich falsche Meldung: 500–2.500 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese">Quelle: Norton Rose Fulbright</a></li> </ul> <p><strong>Aufsichtsbehörde:</strong> ANAC (Autorità Nazionale Anticorruzione). Erste Vollzugsmaßnahme im Juli 2024 (Entscheidung Nr. 380, Repressalienfall). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two">Quelle: ANAC via Cleary Gottlieb</a></p> <hr> <h3 id="polen"> <a href="/de/whistleblower-laws/poland/">Polen</a> — Gesetz vom 14. Juni 2024 <a href="#polen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Gesetz:</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — in Kraft seit 25. September 2024.</p> <p><strong>Gilt für:</strong> Arbeitgeber ab 50 Beschäftigten. Interne Verfahren bis 1. Januar 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html">Quelle: DLA Piper</a></p> <p><strong>Sanktionen:</strong></p> <ul> <li>Kein internes Verfahren: Geldbuße 20–5.000 PLN (~5–1.200 €), Ordnungswidrigkeit. Vorstandsmitglieder haften persönlich. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection">Quelle: RSM Poland</a></li> <li>Verhinderung oder Behinderung einer Meldung: bis 1.080.000 PLN (~250.000 €), Freiheitsbeschränkung oder bis 1 Jahr Haft. Bei Gewalt/Drohungen: bis 3 Jahre. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html">Quelle: Clifford Chance</a></li> <li>Repressalien: Geldbuße, Freiheitsbeschränkung oder bis 2 Jahre Haft. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/">Quelle: Kochański & Partners</a></li> <li>Offenlegung der Identität: Geldbuße, Freiheitsbeschränkung oder bis 1 Jahr Haft. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html">Quelle: DLA Piper</a></li> </ul> <p><strong>Aufsichtsbehörde:</strong> Unabhängige Behörde für Hinweisgeberschutz (Rzecznik Praw Sygnalistów) — Aufnahme der Tätigkeit am 1. September 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html">Quelle: Wozniak Legal</a></p> <p>Polen ist einer der wenigen EU-Staaten, in denen Behinderung und Repressalien <strong>strafrechtliche Sanktionen inkl. Freiheitsstrafe</strong> nach sich ziehen.</p> <hr> <h3 id="portugal"> <a href="/de/whistleblower-laws/portugal/">Portugal</a> — Lei 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Gesetz:</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849">Lei n.º 93/2021, de 20 de dezembro</a> — Allgemeines Regime zum Schutz hinweisgebender Personen.</p> <p><strong>Gilt für:</strong> Unternehmen ab 50 Beschäftigten. Sanktionsregime vollziehbar seit 7. Juni 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/">Quelle: IntegrityLine</a></p> <p><strong>Sanktionen:</strong></p> <ul> <li>Kein Meldekanal: bis 125.000 €. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/">Quelle: IntegrityLine</a></li> </ul> <p><strong>Aufsichtsbehörde:</strong> MENAC (Mecanismo Nacional Anticorrupção). Elektronische Plattform seit November 2024 in Betrieb. 152 Meldungen in 2024. Fokus 2025 auf privaten Sektor. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en">Quelle: European Commission Rule of Law Report 2025</a></p> <hr> <h2 id="sanktionen-des-eugh-gegen-mitgliedstaaten-märz-2025"> Sanktionen des EuGH gegen Mitgliedstaaten (März 2025) <a href="#sanktionen-des-eugh-gegen-mitgliedstaaten-m%c3%a4rz-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Fünf EU-Staaten wurden vom Gerichtshof für die verspätete Umsetzung sanktioniert:</p> <table> <thead> <tr> <th>Land</th> <th>Pauschalbetrag</th> <th>Tägliches Zwangsgeld</th> </tr> </thead> <tbody> <tr> <td><a href="/de/whistleblower-laws/germany/">Deutschland</a></td> <td>34.000.000 €</td> <td>—</td> </tr> <tr> <td><a href="/de/whistleblower-laws/czech-republic/">Tschechien</a></td> <td>2.300.000 €</td> <td>—</td> </tr> <tr> <td><a href="/de/whistleblower-laws/hungary/">Ungarn</a></td> <td>1.750.000 €</td> <td>—</td> </tr> <tr> <td><a href="/de/whistleblower-laws/estonia/">Estland</a></td> <td>500.000 €</td> <td>1.500 €/Tag</td> </tr> <tr> <td><a href="/de/whistleblower-laws/luxembourg/">Luxemburg</a></td> <td>375.000 €</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/">Quelle: eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf">Quelle: EuGH-Pressemitteilung (PDF)</a></p> <hr> <h2 id="alle-27-mitgliedstaaten"> Alle 27 Mitgliedstaaten <a href="#alle-27-mitgliedstaaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Alle EU-Mitgliedstaaten haben die Richtlinie inzwischen umgesetzt. Siehe unsere vollständige Übersicht:</p> <p><strong><a href="/de/whistleblower-laws/">Hinweisgeberrecht in allen 27 EU-Mitgliedstaaten →</a></strong></p> <p>Mit nationalem Gesetzesnamen, Link zum amtlichen Text, Sanktionen, Fristen und Aufsichtsbehörden.</p> <hr> <h2 id="der-vollzug-zieht-an"> Der Vollzug zieht an <a href="#der-vollzug-zieht-an" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die meisten Mitgliedstaaten haben die Umsetzung erst 2023–2024 abgeschlossen. Aufsichtsbehörden sind nun arbeitsfähig und veröffentlichen Leitlinien:</p> <ul> <li><strong>Italien:</strong> ANAC mit erster Repressaliensanktion im Juli 2024 und aktualisierten Vollzugsleitlinien November 2025.</li> <li><strong>Portugal:</strong> MENAC-Vollzugsplattform seit November 2024 live, Fokus 2025 auf Privatsektor.</li> <li><strong>Polen:</strong> Unabhängige Aufsicht nimmt September 2025 Arbeit auf.</li> <li><strong>Deutschland:</strong> Bußgelder seit Dezember 2023 vollziehbar.</li> <li><strong>Spanien:</strong> Bußgelder seit Juni 2023 vollziehbar.</li> </ul> <p>Das Zeitfenster für die Einhaltung vor aktivem Vollzug schließt sich.</p> <hr> <h2 id="jetzt-konform-werden"> Jetzt konform werden <a href="#jetzt-konform-werden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal stellt Ihrer Organisation in wenigen Minuten einen vollständig konformen Meldekanal bereit — verschlüsselt, anonym, gebaut für das HinSchG und die EU-Richtlinie 2019/1937.</p> <p><a href="/de/compliance/">So erfüllen wir jede Anforderung</a> | <a href="https://secure.ethicsportal.eu/session/new">Portal einrichten</a></p> <hr> <p><em>Zuletzt aktualisiert: April 2026. Sanktionsbeträge und Vollzugsstand beruhen auf den oben verlinkten öffentlichen Rechtsquellen. Fehler bitte an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/privacy/Datenschutzerklärung für EthicsPortal — wie wir personenbezogene Daten erheben, verwenden, speichern und schützen.<h1 id="datenschutzerklärung"> Datenschutzerklärung <a href="#datenschutzerkl%c3%a4rung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Gültig ab:</strong> 17. Februar 2026 <strong>Zuletzt aktualisiert:</strong> 22. April 2026</p> <h2 id="1-einleitung"> 1. Einleitung <a href="#1-einleitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal („wir", „uns", „unser") wird betrieben von Yaroslav Shmarov, Einzelunternehmer mit Registersitz in Polen, mit eingetragener Anschrift ul. Obrzeżna 1A, 02-691 Warschau, Polen. Diese Datenschutzerklärung beschreibt, wie wir personenbezogene Daten erheben, verwenden, speichern und schützen, wenn Sie EthicsPortal unter <a href="https://ethicsportal.eu">ethicsportal.eu</a> (der „Dienst") nutzen.</p> <p>Mit der Nutzung des Dienstes erklären Sie sich mit der Erhebung und Nutzung von Informationen nach dieser Erklärung einverstanden. Wenn Sie nicht einverstanden sind, nutzen Sie den Dienst bitte nicht.</p> <p><strong>Kontakt:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a></p> <p>Basisangaben zur Vertragspartnerseite sind auf der Seite <a href="/de/vendor-information/">Anbieterinformationen</a> veröffentlicht.</p> <h2 id="2-welche-daten-wir-erheben"> 2. Welche Daten wir erheben <a href="#2-welche-daten-wir-erheben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="21-kontodaten"> 2.1 Kontodaten <a href="#21-kontodaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Bei der Kontoanlage erheben wir:</p> <ul> <li>E-Mail-Adresse</li> <li>Anzeigename (sofern angegeben)</li> <li>Spracheinstellung</li> </ul> <p>Die Authentifizierung erfolgt passwortlos — wir nutzen Magic-Links (Einmalcodes per E-Mail). Wir erheben und speichern keine Passwörter.</p> <h3 id="22-zahlungsdaten"> 2.2 Zahlungsdaten <a href="#22-zahlungsdaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Zahlungen werden vollständig über <a href="https://stripe.com">Stripe</a> abgewickelt. Wir speichern <strong>keine</strong> Kreditkartennummern, Bankdaten oder sonstige sensible Finanzdaten auf unseren Servern. Stripe kann Zahlungsdaten direkt erheben. Details finden Sie in der <a href="https://stripe.com/privacy">Datenschutzerklärung von Stripe</a>.</p> <h3 id="23-serverprotokolle"> 2.3 Serverprotokolle <a href="#23-serverprotokolle" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Unsere Server zeichnen beim Zugriff auf den Dienst automatisch Folgendes auf:</p> <ul> <li>IP-Adresse</li> <li>Browsertyp und -version</li> <li>Aufgerufene Seiten und Zeitstempel</li> <li>Referrer-URL</li> </ul> <p>Serverprotokolle dienen der Sicherheitsüberwachung und Fehlersuche. Sie werden nicht für Werbung oder Tracking genutzt.</p> <h3 id="24-hinweisgeber-meldungsdaten"> 2.4 Hinweisgeber-Meldungsdaten <a href="#24-hinweisgeber-meldungsdaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wenn eine hinweisgebende Person über das Portal einer Organisation eine Meldung abgibt, erheben wir:</p> <ul> <li>Meldungsbeschreibung, Kategorie und Eingangskanal</li> <li>Name und Kontaktdaten der hinweisgebenden Person (sofern freiwillig angegeben)</li> <li>Nachrichten zwischen der hinweisgebenden Person und der Organisation</li> </ul> <p>Meldungsbeschreibungen, Namen, Kontaktdaten und Nachrichteninhalte werden <strong>in der Datenbank verschlüsselt</strong> gespeichert (Anwendungsebene). IP-Adressen hinweisgebender Personen werden mit einem Einweg-Hash <strong>anonymisiert</strong> und nie im Klartext gespeichert. Serverprotokolle auf Portal-Routen werden von IP-Adressen <strong>bereinigt</strong>, um die Identität zu schützen.</p> <h2 id="3-wie-wir-ihre-daten-verwenden"> 3. Wie wir Ihre Daten verwenden <a href="#3-wie-wir-ihre-daten-verwenden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir nutzen die erhobenen Informationen, um:</p> <ul> <li><strong>den Dienst bereitzustellen</strong> — Konto anzulegen und zu verwalten</li> <li><strong>Zahlungen abzuwickeln</strong> — Abonnements über Stripe abzurechnen</li> <li><strong>Benachrichtigungen zu senden</strong> — In-App- und E-Mail-Benachrichtigungen zu Kontoaktivitäten</li> <li><strong>die Sicherheit zu gewährleisten</strong> — Betrug, Missbrauch und unbefugten Zugriff zu erkennen und zu verhindern</li> <li><strong>den Dienst zu verbessern</strong> — technische Probleme zu diagnostizieren und Funktionen weiterzuentwickeln</li> </ul> <p>Wir verkaufen Ihre Daten <strong>nicht</strong>. Wir nutzen Ihre Daten <strong>nicht</strong> für Werbung.</p> <h2 id="4-drittanbieter-dienste"> 4. Drittanbieter-Dienste <a href="#4-drittanbieter-dienste" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir geben Daten nur in dem Umfang an Drittanbieter weiter, der zur Bereitstellung des Dienstes erforderlich ist:</p> <table> <thead> <tr> <th>Dienst</th> <th>Zweck</th> <th>Übermittelte Daten</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Zahlungsabwicklung</td> <td>E-Mail, Zahlungsdaten (werden direkt von Stripe erhoben)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Datei-Uploads (Avatare, Anhänge)</td> <td>Hochgeladene Dateien</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Zustellung transaktionaler E-Mails</td> <td>E-Mail-Adresse, E-Mail-Inhalt</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Datenschutzfreundliche Website-Analyse</td> <td>Seitenaufrufe, Referrer, Browsertyp, Land (anonym, keine Cookies, keine personenbezogenen Daten)</td> </tr> <tr> <td><strong>Honeybadger</strong></td> <td>Fehler- und Ausnahmeverfolgung</td> <td>Fehlerdetails, Anfragekontext (URL, IP-Adresse, Browsertyp) — es werden keine personenbezogenen Daten absichtlich erhoben</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Live-Chat-Support</td> <td>E-Mail-Adresse, Name, Chat-Nachrichten, Browsertyp, aufgerufene Seiten. Crisp hat seinen Sitz in Frankreich (EU). Siehe <a href="https://crisp.chat/en/privacy/">Datenschutzerklärung von Crisp</a></td> </tr> </tbody> </table> <p>Jeder Drittanbieter-Dienst unterliegt seiner eigenen Datenschutzerklärung. Wir empfehlen Ihnen, diese einzusehen.</p> <h2 id="5-cookies"> 5. Cookies <a href="#5-cookies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir verwenden folgende Cookies:</p> <table> <thead> <tr> <th>Cookie</th> <th>Zweck</th> <th>Speicherdauer</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Sitzungsverwaltung (Authentifizierung)</td> <td>2 Jahre</td> </tr> <tr> <td><code>session_token</code></td> <td>Signierte Sitzungskennung für dauerhafte Anmeldung</td> <td>Dauerhaft</td> </tr> <tr> <td><code>locale</code></td> <td>Speicherung der Spracheinstellung</td> <td>1 Jahr</td> </tr> </tbody> </table> <p>Während der Magic-Link-Anmeldung wird ein temporäres Cookie <code>pending_authentication_token</code> (15 Minuten) verwendet.</p> <p>Der Crisp-Live-Chat kann eigene Cookies setzen (z. B. <code>crisp-client/*</code>), um Chat-Sitzungen zu verwalten und wiederkehrende Besucher zu erkennen. Diese Cookies sind funktional und werden nicht für Werbung genutzt.</p> <p>Alle Erstanbieter-Cookies werden in der Produktion mit den Flags <code>Secure</code> und <code>HttpOnly</code> gesetzt. Wir verwenden <strong>keine</strong> Tracking- oder Werbecookies von Drittanbietern. Der CSRF-Schutz erfolgt über Tokens in HTML-Formularen, nicht über Cookies.</p> <h2 id="6-datenspeicherung-und--sicherheit"> 6. Datenspeicherung und -sicherheit <a href="#6-datenspeicherung-und--sicherheit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Serverstandort:</strong> Unsere Server werden von Hetzner in Nürnberg (Deutschland, EU) betrieben</li> <li><strong>Verschlüsselung während der Übertragung:</strong> Alle Verbindungen über HTTPS/TLS</li> <li><strong>Verschlüsselung im Ruhezustand:</strong> Meldungsdaten (Beschreibungen, Namen, Kontaktdaten, Nachrichten) werden in der Datenbank mit Active Record Encryption verschlüsselt</li> <li><strong>Passwortlose Authentifizierung:</strong> Wir nutzen Magic-Links — keine Passwörter werden gespeichert</li> <li><strong>Zugriffskontrolle:</strong> Datenbankzugriff ist auf berechtigtes Personal beschränkt</li> </ul> <p>Wir treffen angemessene Schutzmaßnahmen, jedoch ist keine Übertragungs- oder Speichermethode zu 100 % sicher. Wenn Sie eine Sicherheitslücke entdecken, schreiben Sie uns bitte an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p> <h2 id="7-aufbewahrungsdauer"> 7. Aufbewahrungsdauer <a href="#7-aufbewahrungsdauer" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Kontodaten</strong> werden gespeichert, solange Ihr Konto aktiv ist</li> <li><strong>Organisationsdaten</strong> werden gespeichert, solange Ihre Organisation aktiv ist</li> <li><strong>Hinweisgeber-Meldungen</strong> — abgeschlossene oder abgewiesene Meldungen werden nach <strong>60 Monaten (5 Jahren)</strong> entsprechend den Vorgaben der EU-Hinweisgeberrichtlinie automatisch gelöscht. Laufende Meldungen werden bis zum Abschluss aufbewahrt</li> <li><strong>Serverprotokolle</strong> werden bis zu 90 Tage aufbewahrt</li> <li><strong>Zahlungsunterlagen</strong> werden entsprechend den geltenden steuer- und handelsrechtlichen Vorgaben aufbewahrt</li> <li><strong>Audit-Protokolle</strong> — Aufzeichnungen, wer wann auf Meldungen zugegriffen hat, werden gemeinsam mit der Meldung zu Compliance-Zwecken aufbewahrt</li> </ul> <p>Wenn Sie Ihr Konto löschen, werden Ihre personenbezogenen Daten dauerhaft aus unseren Systemen entfernt, soweit keine gesetzliche Aufbewahrungspflicht besteht (z. B. für Finanzunterlagen).</p> <h2 id="8-ihre-rechte-nach-der-dsgvo"> 8. Ihre Rechte nach der DSGVO <a href="#8-ihre-rechte-nach-der-dsgvo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Da wir in der Europäischen Union ansässig sind, gilt die Datenschutz-Grundverordnung (DSGVO). Sie haben das Recht auf:</p> <ul> <li><strong>Auskunft</strong> — Sie können eine Kopie der über Sie gespeicherten personenbezogenen Daten anfordern</li> <li><strong>Berichtigung</strong> — Sie können die Berichtigung unrichtiger Daten verlangen</li> <li><strong>Löschung</strong> — Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden")</li> <li><strong>Einschränkung</strong> — Sie können die Einschränkung der Verarbeitung verlangen</li> <li><strong>Datenübertragbarkeit</strong> — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format anfordern</li> <li><strong>Widerspruch</strong> — Sie können der Verarbeitung Ihrer Daten widersprechen</li> <li><strong>Widerruf der Einwilligung</strong> — Sie können eine erteilte Einwilligung jederzeit widerrufen</li> </ul> <p><strong>So üben Sie Ihre Rechte aus:</strong> Die meisten Ihrer Daten können Sie direkt in den Kontoeinstellungen verwalten. Die Kontolöschung erfolgt auf der Seite „Kontoeinstellungen". Für sonstige Anfragen schreiben Sie uns an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p> <p>Unsere Rechtsgrundlagen für die Verarbeitung:</p> <ul> <li><strong>Vertragserfüllung</strong> — zur Erbringung des von Ihnen gebuchten Dienstes</li> <li><strong>Berechtigtes Interesse</strong> — zur Gewährleistung der Sicherheit und Verbesserung des Dienstes</li> <li><strong>Einwilligung</strong> — für optionale Funktionen</li> </ul> <h2 id="9-konto--und-datenlöschung"> 9. Konto- und Datenlöschung <a href="#9-konto--und-datenl%c3%b6schung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sie können Ihr Konto jederzeit in den Kontoeinstellungen löschen. Die Löschung entfernt dauerhaft:</p> <ul> <li>Ihr Profil und Ihre Kontoinformationen</li> <li>Ihre Mitgliedschaften in Organisationen</li> </ul> <h2 id="10-datenschutz-bei-minderjährigen"> 10. Datenschutz bei Minderjährigen <a href="#10-datenschutz-bei-minderj%c3%a4hrigen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben keine personenbezogenen Daten von Kindern unter 16 Jahren wissentlich. Haben Sie den Verdacht, dass ein Kind unter 16 Jahren uns personenbezogene Daten mitgeteilt hat, schreiben Sie bitte an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>, und wir löschen diese.</p> <h2 id="11-internationale-datenübermittlung"> 11. Internationale Datenübermittlung <a href="#11-internationale-daten%c3%bcbermittlung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die zentralen Meldedaten werden auf Servern in Deutschland (EU) gespeichert. Begrenzte personenbezogene Daten im Zusammenhang mit der Marketing-Website sowie Admin-/Bearbeitungsoberflächen können über veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR verarbeitet werden, derzeit Cloudflare und Honeybadger. Soweit solche Übermittlungen stattfinden, sind sie im <a href="/de/dpa/">AVV</a> und auf der Seite <a href="/de/subprocessors/">Unterauftragsverarbeiter</a> beschrieben.</p> <h2 id="12-änderungen-dieser-erklärung"> 12. Änderungen dieser Erklärung <a href="#12-%c3%a4nderungen-dieser-erkl%c3%a4rung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder über eine Benachrichtigung im Dienst. Das Datum „Zuletzt aktualisiert" oben auf dieser Seite zeigt, wann die Erklärung zuletzt geändert wurde.</p> <p>Die fortgesetzte Nutzung des Dienstes nach Veröffentlichung der Änderungen gilt als Zustimmung zur aktualisierten Erklärung.</p> <h2 id="13-kontakt"> 13. Kontakt <a href="#13-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Datenschutzrechte:</p> <p><strong>E-Mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Sicherheit:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Sitz:</strong> Warschau, Polen</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/accessibility/Bekenntnis von EthicsPortal zur Barrierefreiheit und Konformität mit EN 301 549 und WCAG 2.1 Level AA.<h1 id="erklärung-zur-barrierefreiheit"> Erklärung zur Barrierefreiheit <a href="#erkl%c3%a4rung-zur-barrierefreiheit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal ist bestrebt, seine Hinweisgeberplattform für alle Nutzer zugänglich zu gestalten — im Einklang mit der <strong>europäischen Norm EN 301 549 V3.2.1</strong> und den <strong>Web Content Accessibility Guidelines (WCAG) 2.1 Level AA</strong>.</p> <p>Diese Erklärung gilt für:</p> <ul> <li>die EthicsPortal-Webanwendung unter <a href="https://secure.ethicsportal.eu">secure.ethicsportal.eu</a></li> <li>öffentliche Meldeportale unter <code>*.ethicsportal.eu</code></li> <li>die Marketing-Website unter <a href="https://ethicsportal.eu">ethicsportal.eu</a></li> </ul> <h2 id="konformitätsstand"> Konformitätsstand <a href="#konformit%c3%a4tsstand" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist <strong>teilweise konform</strong> mit EN 301 549 V3.2.1 und WCAG 2.1 Level AA. „Teilweise konform" bedeutet, dass einige Teile der Inhalte noch nicht vollständig den Anforderungen entsprechen. Die nicht konformen Punkte sind unten aufgeführt, ebenso die verfügbaren Alternativen.</p> <h2 id="nicht-barrierefreie-inhalte"> Nicht barrierefreie Inhalte <a href="#nicht-barrierefreie-inhalte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die folgenden Inhalte sind nicht vollständig barrierefrei. Wir arbeiten an jedem Punkt.</p> <h3 id="nicht-konformität-mit-der-norm"> Nicht-Konformität mit der Norm <a href="#nicht-konformit%c3%a4t-mit-der-norm" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li><strong>Generierte PDF-Dokumente</strong> — Compliance-Berichte, Compliance-Zertifikate, Hinweisgeber-Richtlinien-Vorlagen, Datenschutzhinweise und Fall-Exporte werden als untaggte PDFs erzeugt. Sie erfüllen EN 301 549 § 10.1.1 (strukturierte Tags, Lesereihenfolge, Alternativtexte) nicht. Nutzer, die eine barrierefreie Version eines Dokuments benötigen, können eine HTML-Alternative beim Support anfragen — siehe <a href="/de/accessibility/#r%c3%bcckmeldung">Rückmeldung</a> unten. Wir arbeiten an einer Umstellung auf einen Tagged-PDF-Prozess.</li> <li><strong>Statische Fehlerseiten (404, 500, 422)</strong> — diese Seiten werden unabhängig von der Spracheinstellung auf Englisch ausgeliefert (EN 301 549 § 9.3.1.1 / WCAG 3.1.1 Language of Page). Sie treten selten auf; dieselben Informationen werden innerhalb der Anwendung in der Sprache der Nutzer dargestellt.</li> </ul> <h3 id="inhalte-die-von-den-anforderungen-ausgenommen-sind"> Inhalte, die von den Anforderungen ausgenommen sind <a href="#inhalte-die-von-den-anforderungen-ausgenommen-sind" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Drittanbieter-Inhalte im Produkt — zum Beispiel das Crisp-Live-Chat-Widget — stehen nicht unter unserer direkten Kontrolle. Wir wählen Anbieter, die ihre Barrierefreiheit dokumentieren, und prüfen diese Entscheidungen regelmäßig.</li> </ul> <h2 id="erstellung-dieser-erklärung"> Erstellung dieser Erklärung <a href="#erstellung-dieser-erkl%c3%a4rung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Diese Erklärung wurde am <strong>15. April 2026</strong> auf Grundlage einer Selbstbewertung durch EthicsPortal nach <strong>EN 301 549 V3.2.1</strong> und <strong>WCAG 2.1 Level AA</strong> erstellt. Sie wird mindestens vierteljährlich und nach jeder wesentlichen Änderung der Plattform überprüft.</p> <h2 id="rückmeldung"> Rückmeldung <a href="#r%c3%bcckmeldung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wir freuen uns über Rückmeldungen zur Barrierefreiheit von EthicsPortal. Wenn Sie auf eine Barriere stoßen, Inhalte nicht abrufen können oder Informationen in einem alternativen Format benötigen:</p> <ul> <li><strong>E-Mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — bitte „Barrierefreiheit" in den Betreff schreiben</li> <li>Wir antworten in der Regel innerhalb von <strong>5 Werktagen</strong></li> </ul> <h2 id="durchsetzungsverfahren"> Durchsetzungsverfahren <a href="#durchsetzungsverfahren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sollten Sie mit unserer Antwort nicht zufrieden sein, können Sie sich an die zuständige Durchsetzungsstelle in Ihrem Land wenden:</p> <ul> <li><strong>Deutschland:</strong> Bundesfachstelle Barrierefreiheit — <a href="https://www.bundesfachstelle-barrierefreiheit.de">bundesfachstelle-barrierefreiheit.de</a></li> <li><strong>Österreich:</strong> Sozialministeriumservice — <a href="https://www.sozialministeriumservice.at">sozialministeriumservice.at</a></li> <li><strong>Weitere EU-Mitgliedstaaten:</strong> Liste der Europäischen Kommission unter <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility">digital-strategy.ec.europa.eu</a></li> </ul> <h2 id="normen-und-quellen"> Normen und Quellen <a href="#normen-und-quellen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Diese Erklärung bezieht sich auf:</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016L2102">Richtlinie (EU) 2016/2102</a> — Barrierefreiheit von Websites und mobilen Anwendungen öffentlicher Stellen</li> <li><a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019L0882">Richtlinie (EU) 2019/882</a> — European Accessibility Act</li> <li><a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018D1523">Durchführungsbeschluss (EU) 2018/1523</a> — Musterform der Barrierefreiheitserklärung</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf">EN 301 549 V3.2.1</a> — Anforderungen an die Barrierefreiheit von IKT-Produkten und -Diensten</li> <li><a href="https://www.w3.org/TR/WCAG21/">WCAG 2.1 Level AA</a></li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/refunds/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/refunds/Erstattungs- und Kündigungsrichtlinie für EthicsPortal-Abonnements.<h1 id="erstattungsrichtlinie"> Erstattungsrichtlinie <a href="#erstattungsrichtlinie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Gültig ab:</strong> 17. Februar 2026 <strong>Zuletzt aktualisiert:</strong> 17. Februar 2026</p> <h2 id="kündigungen"> Kündigungen <a href="#k%c3%bcndigungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sie können Ihr Abonnement jederzeit kündigen. <strong>Ohne Nachfragen.</strong></p> <p>Ihr Abonnement bleibt bis zum Ende der laufenden Abrechnungsperiode aktiv.</p> <h2 id="erstattungen"> Erstattungen <a href="#erstattungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Das Abonnement ist <strong>nicht erstattungsfähig</strong>. Bei einer Kündigung werden Ihnen die verbleibenden Tage der Abrechnungsperiode nicht erstattet.</p> <h2 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bei Fragen zu dieser Richtlinie:</p> <p><strong>E-Mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Sitz:</strong> Warschau, Polen</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/compare/eqs-integrity-line/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/compare/eqs-integrity-line/Vergleich von EthicsPortal und EQS Integrity Line für die Hinweisgeber-Compliance in der EU. So schlägt sich der Enterprise-Marktführer gegen eine moderne, erschwingliche Alternative.<h1 id="ethicsportal-vs-eqs-integrity-line"> EthicsPortal vs. EQS Integrity Line <a href="#ethicsportal-vs-eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EQS Integrity Line ist das Hinweisgeber-Produkt der EQS Group, einer in München ansässigen Compliance-Technologie-Firma mit rund 640 Beschäftigten und 81 Mio. € Umsatz (2024). Nach der Übernahme durch die Private-Equity-Gesellschaft Thoma Bravo betreut EQS mehr als 1.200 Unternehmen in über 165 Ländern. Das Produkt ist klar im Enterprise-Segment positioniert — Preise sind nicht öffentlich und erfordern ein Vertriebsgespräch.</p> <h2 id="kurzvergleich"> Kurzvergleich <a href="#kurzvergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Merkmal</th> <th>EthicsPortal</th> <th>EQS Integrity Line</th> </tr> </thead> <tbody> <tr> <td><strong>Preis</strong></td> <td>49 €/Monat pauschal</td> <td>Nicht öffentlich — geschätzt ab 2.000 €/Monat, Vertriebsgespräch erforderlich</td> </tr> <tr> <td><strong>Self-Serve-Anmeldung</strong></td> <td>Ja, sofort</td> <td>Nein — Vertriebsprozess erforderlich</td> </tr> <tr> <td><strong>Verschlüsselung</strong></td> <td>Ja (nicht-deterministisch, Active Record Encryption)</td> <td>Ja</td> </tr> <tr> <td><strong>EU-Hosting</strong></td> <td>Ja (Hetzner, Deutschland)</td> <td>Ja (EU)</td> </tr> <tr> <td><strong>Entfernung von Dateimetadaten</strong></td> <td>Ja (EXIF, GPS, Autor)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>IP-Anonymisierung</strong></td> <td>Ja (Einweg-Hash, keine Speicherung)</td> <td>Ja</td> </tr> <tr> <td><strong>Audit-Protokoll</strong></td> <td>Ja, revisionssicher</td> <td>Ja</td> </tr> <tr> <td><strong>Fristenüberwachung</strong></td> <td>Ja (7 Tage und 3 Monate mit Benachrichtigungen)</td> <td>Ja</td> </tr> <tr> <td><strong>PDF-Export</strong></td> <td>Ja</td> <td>Ja</td> </tr> <tr> <td><strong>Sprachen</strong></td> <td>EN, FR, PL, DE (weitere in Arbeit)</td> <td>70+ Sprachen mit KI-Übersetzung</td> </tr> <tr> <td><strong>G2-Bewertung</strong></td> <td>N. v.</td> <td>Hoch (Support-Score 9,7/10)</td> </tr> </tbody> </table> <h2 id="wo-eqs-integrity-line-stark-ist"> Wo EQS Integrity Line stark ist <a href="#wo-eqs-integrity-line-stark-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Enterprise-Skalierung und Marke.</strong> EQS betreut 1.200+ Unternehmen in 165+ Ländern. Für große Konzerne, die einen Anbieter mit belegter Skalierung brauchen, zählt diese Historie.</li> <li><strong>Support-Qualität.</strong> EQS erreicht 9,7/10 für Support auf G2, mit 24/7-Verfügbarkeit. Wer rund um die Uhr Support benötigt, ist hier gut aufgehoben.</li> <li><strong>KI-gestützte Übersetzung.</strong> Über 70 Sprachen inklusive KI-Übersetzung können für Organisationen wertvoll sein, die Meldungen in unerwarteten Sprachen erhalten.</li> </ul> <h2 id="wo-ethicsportal-anders-ist"> Wo EthicsPortal anders ist <a href="#wo-ethicsportal-anders-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Transparente Preise, die sich planen lassen.</strong> EthicsPortal kostet 49 €/Monat. Punkt. EQS verlangt ein Vertriebsgespräch; geschätzte Preise starten bei etwa 2.000 €/Monat — rund 40-fach teurer. Für ein KMU finanziert dieser Unterschied ein volles Jahr Compliance statt eines einzigen Monats.</li> <li><strong>Self-Serve von Anfang bis Ende.</strong> Anmelden, Portal konfigurieren, Link teilen. Keine Vertriebsgespräche, kein Beschaffungsprozess, kein Hin und Her über Wochen. EQS ist auf Enterprise-Einkaufszyklen ausgelegt; EthicsPortal auf Teams, die Compliance jetzt brauchen.</li> <li><strong>Datenschutz-Features als Standard.</strong> Entfernung von Dateimetadaten und IP-Anonymisierung sind in jedem EthicsPortal-Konto enthalten. Kein Verhandeln, kein Enterprise-Add-on.</li> <li><strong>Einfacheres, schnelleres Produkt.</strong> G2-Bewertende heben bei EQS Integrity Line teils langsame Performance und komplexe Navigation hervor. EthicsPortal ist ein fokussiertes Werkzeug — schnell im Laden, schnell einzuarbeiten, schnell zu nutzen.</li> </ul> <h2 id="für-wen-eqs-integrity-line-passt"> Für wen EQS Integrity Line passt <a href="#f%c3%bcr-wen-eqs-integrity-line-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EQS Integrity Line passt zu Großunternehmen (ab 1.000 Beschäftigte) mit Tätigkeit in vielen Ländern, die 70+ Sprachen, 24/7-Support und einen Anbieter mit langer Enterprise-Historie brauchen. Mit eigenem Compliance-Team, etabliertem Beschaffungsprozess und nachrangigem Budget ist EQS eine belastbare Wahl.</p> <h2 id="für-wen-ethicsportal-passt"> Für wen EthicsPortal passt <a href="#f%c3%bcr-wen-ethicsportal-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist für KMU, die die Konformität mit dem HinSchG und der EU-Richtlinie 2019/1937 erreichen müssen, ohne Enterprise-Budgets auszugeben oder wochenlang auf einen Vertriebsabschluss zu warten. Wer diese Woche konform sein muss — nicht dieses Quartal — und lieber 49 €/Monat als 2.000 €+/Monat für Funktionen zahlt, die er nie nutzt, trifft mit EthicsPortal die pragmatische Wahl.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/compare/faceup/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/compare/faceup/Vergleich von EthicsPortal und FaceUp für die Hinweisgeber-Compliance in der EU. Preise, Funktionen und Datenschutz direkt gegenübergestellt.<h1 id="ethicsportal-vs-faceup"> EthicsPortal vs. FaceUp <a href="#ethicsportal-vs-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>FaceUp ist eine Hinweisgeberplattform, die von über 3.500 Organisationen in 60 Ländern genutzt wird. Ursprünglich mit starkem Fokus auf Schulen und Bildung gebaut, hat FaceUp in die Unternehmens-Compliance expandiert. Die Plattform unterstützt 113 Sprachen und betreibt ein aggressives Affiliate-Programm. Die Preise sind in US-Dollar ausgewiesen, was die Budgetplanung für europäische Unternehmen erschwert.</p> <h2 id="kurzvergleich"> Kurzvergleich <a href="#kurzvergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Merkmal</th> <th>EthicsPortal</th> <th>FaceUp</th> </tr> </thead> <tbody> <tr> <td><strong>Preis</strong></td> <td>49 €/Monat pauschal (EUR)</td> <td>Nicht öffentlich — „Get a Quote" in allen Stufen (USD)</td> </tr> <tr> <td><strong>Self-Serve-Anmeldung</strong></td> <td>Ja, sofort</td> <td>Nein — Angebot erforderlich</td> </tr> <tr> <td><strong>Verschlüsselung</strong></td> <td>Ja (nicht-deterministisch, Active Record Encryption)</td> <td>Ja</td> </tr> <tr> <td><strong>EU-Hosting</strong></td> <td>Ja (Hetzner, Deutschland)</td> <td>Ja (EU)</td> </tr> <tr> <td><strong>Entfernung von Dateimetadaten</strong></td> <td>Ja (EXIF, GPS, Autor)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>IP-Anonymisierung</strong></td> <td>Ja (Einweg-Hash, keine Speicherung)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>Audit-Protokoll</strong></td> <td>Ja, revisionssicher</td> <td>Ja</td> </tr> <tr> <td><strong>Fristenüberwachung</strong></td> <td>Ja (7 Tage und 3 Monate mit Benachrichtigungen)</td> <td>Ja</td> </tr> <tr> <td><strong>PDF-Export</strong></td> <td>Ja</td> <td>Ja</td> </tr> <tr> <td><strong>Sprachen</strong></td> <td>EN, FR, PL, DE (weitere in Arbeit)</td> <td>113 Sprachen</td> </tr> <tr> <td><strong>G2-Bewertung</strong></td> <td>N. v.</td> <td>4,8/5</td> </tr> </tbody> </table> <h2 id="wo-faceup-stark-ist"> Wo FaceUp stark ist <a href="#wo-faceup-stark-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Sprachumfang.</strong> 113 Sprachen gehören zu den höchsten am Markt. Für Organisationen in Ländern mit selteneren Sprachen deckt FaceUp das meiste ab.</li> <li><strong>Bildungsmarkt.</strong> FaceUp hat eine besondere Stellung bei Schulen und Hochschulen. Wer ein Meldewerkzeug für eine Bildungseinrichtung braucht, findet hier zweckgebaute Funktionen.</li> <li><strong>Mobile App.</strong> FaceUp bietet eine mobile Anwendung; EthicsPortal nicht.</li> </ul> <h2 id="wo-ethicsportal-anders-ist"> Wo EthicsPortal anders ist <a href="#wo-ethicsportal-anders-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Euro-Preis, transparent.</strong> EthicsPortal kostet 49 €/Monat — sichtbar auf der Website, ohne Vertriebsgespräch. FaceUp veröffentlicht keine Preise: alle drei Stufen (Starter, Professional, Enterprise) zeigen „Get a Quote". Die Preise sind in US-Dollar — europäische Unternehmen müssen also Währungsschwankungen und Intransparenz zusätzlich verarbeiten. Bei EthicsPortal gibt es einen Tarif zu einem Preis.</li> <li><strong>Datenschutz als Standard.</strong> Entfernung von Dateimetadaten (EXIF, GPS, Autor) und IP-Anonymisierung (Einweg-Hash) sind in jedem EthicsPortal-Konto enthalten. Keine Upsell-Features.</li> <li><strong>Fokus auf Unternehmens-Compliance.</strong> EthicsPortal ist speziell für das HinSchG und die EU-Richtlinie 2019/1937 gebaut. FaceUps Doppelfokus auf Schulen und Unternehmen bedient zwei unterschiedliche Zielgruppen — das kann die Compliance-Erfahrung für Firmenkunden verwässern.</li> <li><strong>EU-Hosting bei Hetzner in Deutschland.</strong> Ihre Daten liegen auf spezifischer, überprüfbarer deutscher Infrastruktur — wichtig für Organisationen, die DSGVO-konformen Datenstandort belegen müssen.</li> </ul> <h2 id="für-wen-faceup-passt"> Für wen FaceUp passt <a href="#f%c3%bcr-wen-faceup-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>FaceUp ist sinnvoll für Organisationen, die 113 Sprachen brauchen, eine Mobile-App für hinweisgebende Personen wünschen oder im Bildungssektor tätig sind. Für Schulen, Hochschulen oder multinationale Unternehmen, für die USD-Preise kein Problem sind, bietet FaceUp breite Abdeckung.</p> <h2 id="für-wen-ethicsportal-passt"> Für wen EthicsPortal passt <a href="#f%c3%bcr-wen-ethicsportal-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist für europäische KMU gebaut, die klare Konformität mit der EU-Richtlinie wünschen, in Euro abrechnen und nicht durch mehrere Preisstufen navigieren oder rätseln wollen, welche Funktion ein Upgrade erfordert. Wer eingebauten Datenschutz schätzt und ein Produkt bevorzugt, das auf Hinweisgeber-Compliance konzentriert ist — statt zwischen Schulen und Unternehmen aufgeteilt — trifft mit EthicsPortal die sauberere Wahl.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/compare/navex/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/compare/navex/Vergleich von EthicsPortal und NAVEX für die Hinweisgeber-Compliance in der EU. So schlägt sich der US-Enterprise-Gigant gegen eine fokussierte, erschwingliche EU-Alternative.<h1 id="ethicsportal-vs-navex"> EthicsPortal vs. NAVEX <a href="#ethicsportal-vs-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>NAVEX Global ist eine US-amerikanische Plattform für Governance, Risk und Compliance (GRC), gestützt von Goldman Sachs und Blackstone. Mit 1.000–5.000 Beschäftigten, 293 Mio. $ Umsatz und 13.000 Kundenorganisationen — darunter 75 % der Fortune 100 — ist NAVEX der größte Anbieter im Compliance-Softwaresegment. Die Hinweisgeber-Hotline ist nur ein Baustein einer viel breiteren GRC-Suite aus Richtlinienmanagement, Drittrisikomanagement und Ethics-Training.</p> <h2 id="kurzvergleich"> Kurzvergleich <a href="#kurzvergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Merkmal</th> <th>EthicsPortal</th> <th>NAVEX</th> </tr> </thead> <tbody> <tr> <td><strong>Preis</strong></td> <td>49 €/Monat pauschal</td> <td>Nicht öffentlich — geschätzt ab 25.000 €/Jahr, individuell</td> </tr> <tr> <td><strong>Self-Serve-Anmeldung</strong></td> <td>Ja, sofort</td> <td>Nein — Enterprise-Vertriebsprozess</td> </tr> <tr> <td><strong>Verschlüsselung</strong></td> <td>Ja (nicht-deterministisch, Active Record Encryption)</td> <td>Ja</td> </tr> <tr> <td><strong>EU-Hosting</strong></td> <td>Ja (Hetzner, Deutschland)</td> <td>US-basiert (EU-Hosting unklar)</td> </tr> <tr> <td><strong>Entfernung von Dateimetadaten</strong></td> <td>Ja (EXIF, GPS, Autor)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>IP-Anonymisierung</strong></td> <td>Ja (Einweg-Hash, keine Speicherung)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>Audit-Protokoll</strong></td> <td>Ja, revisionssicher</td> <td>Ja</td> </tr> <tr> <td><strong>Fristenüberwachung</strong></td> <td>Ja (7 Tage und 3 Monate mit Benachrichtigungen)</td> <td>Ja</td> </tr> <tr> <td><strong>PDF-Export</strong></td> <td>Ja</td> <td>Ja</td> </tr> <tr> <td><strong>Sprachen</strong></td> <td>EN, FR, PL, DE (weitere in Arbeit)</td> <td>150+ Sprachen</td> </tr> </tbody> </table> <h2 id="wo-navex-stark-ist"> Wo NAVEX stark ist <a href="#wo-navex-stark-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Marktführerschaft.</strong> 75 % der Fortune 100 nutzen NAVEX. Diese Verbreitung bedeutet tiefe Enterprise-Integrationen, umfangreiche Praxisbasis und einen Anbieter, den Beschaffungsteams bereits kennen.</li> <li><strong>150+ Sprachen.</strong> Die breiteste Sprachabdeckung am Markt — entscheidend für global tätige Konzerne in allen Regionen.</li> <li><strong>Umfassende GRC-Plattform.</strong> Wer Hinweisgebung, Richtlinienmanagement, Ethics-Training und Drittrisiko aus einer Hand bekommen will, findet bei NAVEX alles unter einem Dach.</li> </ul> <h2 id="wo-ethicsportal-anders-ist"> Wo EthicsPortal anders ist <a href="#wo-ethicsportal-anders-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Bezahlbar und transparent.</strong> EthicsPortal kostet 49 €/Monat. NAVEX-Verträge liegen geschätzt ab 25.000 €/Jahr — rund 40-fach teurer. Für ein KMU übersteigt das Preis-Niveau von NAVEX das gesamte Compliance-Jahresbudget.</li> <li><strong>In der EU gehostet, auf die EU ausgerichtet.</strong> EthicsPortal wird bei Hetzner in Deutschland betrieben, speziell gebaut für das HinSchG und die EU-Richtlinie 2019/1937. NAVEX ist ein US-Unternehmen mit US-zentrierter Infrastruktur — das wirft Fragen zur Datenlokalisierung für EU-Organisationen auf.</li> <li><strong>Datenschutz als Standard.</strong> Entfernung von Dateimetadaten und IP-Anonymisierung sind in jedem Konto enthalten. Kein Enterprise-Vertrag nötig, um Datenschutzfunktionen zu bekommen, die Standard sein sollten.</li> <li><strong>Moderne UX.</strong> NAVEX-Bewertungen nennen immer wieder veraltete Oberflächen und träge Performance. EthicsPortal ist eine moderne Anwendung — schnell, aufgeräumt und mit aktuellen Web-Standards gebaut.</li> </ul> <h2 id="für-wen-navex-passt"> Für wen NAVEX passt <a href="#f%c3%bcr-wen-navex-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>NAVEX ist die richtige Wahl für Fortune-500-Unternehmen, die eine umfassende GRC-Plattform aus Hinweisgebung, Richtlinienmanagement und Drittrisiko brauchen. Wer in 100+ Ländern tätig ist, 150+ Sprachen benötigt, eine eigene Compliance-Abteilung hat und das Budget für Enterprise-Software aufbringt, findet bei NAVEX passende Skalierung.</p> <h2 id="für-wen-ethicsportal-passt"> Für wen EthicsPortal passt <a href="#f%c3%bcr-wen-ethicsportal-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist für europäische KMU, die EU-Hinweisgeber-Compliance brauchen, keine vollständige GRC-Suite. Wer konform zur EU-Richtlinie 2019/1937 sein will, ohne einen 25.000-€-Jahresvertrag zu unterschreiben, Enterprise-Demos zu absolvieren oder eine Plattform für Fortune-100-Konzerne einzuführen, bekommt hier genau das Notwendige — zu einem sinnvollen Preis.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/compare/speakup/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/compare/speakup/Vergleich von EthicsPortal und SpeakUp für die Hinweisgeber-Compliance in der EU. Preis, Datenschutzfunktionen und Einrichtung im direkten Vergleich.<h1 id="ethicsportal-vs-speakup"> EthicsPortal vs. SpeakUp <a href="#ethicsportal-vs-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>SpeakUp ist eine in der EU ansässige Ethik- und Compliance-Plattform mit über 2.000 Kundenorganisationen. Ursprünglich auf Hinweisgeber-Meldungen fokussiert, hat SpeakUp sich zu einer breiteren Compliance-Suite entwickelt. Das Unternehmen hält ISO 27001, ISO 27701 und ISAE 3000 Type II — unter den stärksten Zertifikaten am Markt. Der Einstiegspreis liegt bei 3.000 €/Jahr für kleine Unternehmen; für Organisationen ab 1.000 Beschäftigten gilt individuelle Preisgestaltung.</p> <h2 id="kurzvergleich"> Kurzvergleich <a href="#kurzvergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Merkmal</th> <th>EthicsPortal</th> <th>SpeakUp</th> </tr> </thead> <tbody> <tr> <td><strong>Preis</strong></td> <td>49 €/Monat pauschal</td> <td>3.000 €/Jahr bei < 1.000 Beschäftigten, sonst individuell</td> </tr> <tr> <td><strong>Self-Serve-Anmeldung</strong></td> <td>Ja, sofort</td> <td>Teilweise</td> </tr> <tr> <td><strong>Verschlüsselung</strong></td> <td>Ja (nicht-deterministisch, Active Record Encryption)</td> <td>Ja</td> </tr> <tr> <td><strong>EU-Hosting</strong></td> <td>Ja (Hetzner, Deutschland)</td> <td>Ja (EU)</td> </tr> <tr> <td><strong>Entfernung von Dateimetadaten</strong></td> <td>Ja (EXIF, GPS, Autor)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>IP-Anonymisierung</strong></td> <td>Ja (Einweg-Hash, keine Speicherung)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>Audit-Protokoll</strong></td> <td>Ja, revisionssicher</td> <td>Ja</td> </tr> <tr> <td><strong>Fristenüberwachung</strong></td> <td>Ja (7 Tage und 3 Monate mit Benachrichtigungen)</td> <td>Ja</td> </tr> <tr> <td><strong>PDF-Export</strong></td> <td>Ja</td> <td>Ja</td> </tr> <tr> <td><strong>Sprachen</strong></td> <td>EN, FR, PL, DE (weitere in Arbeit)</td> <td>Mehrere (genaue Zahl nicht veröffentlicht)</td> </tr> </tbody> </table> <h2 id="wo-speakup-stark-ist"> Wo SpeakUp stark ist <a href="#wo-speakup-stark-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Zertifizierungen.</strong> ISO 27001, ISO 27701 und ISAE 3000 Type II sind eine starke Kombination. Wo Zertifikate beschaffungsseitig verlangt werden, erfüllt SpeakUp alle Kriterien.</li> <li><strong>Breite Compliance-Plattform.</strong> SpeakUp deckt Ethik, Compliance und Hinweisgebung auf einer Plattform ab. Wer über die reine Hinweisgebung hinaus Bedarf hat, findet hier einen breiteren Werkzeugkasten.</li> <li><strong>EU-ansässig.</strong> Als europäisches Unternehmen mit 2.000+ Kunden versteht SpeakUp regulatorische Anforderungen und Erwartungen an Datenhoheit.</li> </ul> <h2 id="wo-ethicsportal-anders-ist"> Wo EthicsPortal anders ist <a href="#wo-ethicsportal-anders-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Planbare, pauschale Preise.</strong> EthicsPortal kostet 49 €/Monat — also 588 €/Jahr. SpeakUp startet bei 3.000 €/Jahr für Unternehmen unter 1.000 Beschäftigten, rund 5-fach mehr. Mit EthicsPortal kennen Sie Ihre Kosten heute und in zwei Jahren.</li> <li><strong>Datenschutz als Standard.</strong> EthicsPortal entfernt Dateimetadaten (EXIF, GPS, Autor) vor der Speicherung und anonymisiert IP-Adressen per Einweg-Hash. Diese Schutzmaßnahmen laufen automatisch in jedem Konto — keine Premium-Funktionen.</li> <li><strong>Sofortige Self-Serve-Einrichtung.</strong> Anmelden, Portal konfigurieren, in Minuten Meldungen empfangen. Keine Vertriebsgespräche, keine Wartezeit auf Bereitstellung.</li> <li><strong>Fokus auf Hinweisgebung.</strong> EthicsPortal tut eine Sache gut: Hinweisgebung nach HinSchG und EU-Richtlinie 2019/1937. SpeakUp bewegt sich in Richtung breiterer Compliance, was mehr Komplexität und Funktionen mit sich bringt, die Sie vielleicht nie nutzen.</li> </ul> <h2 id="für-wen-speakup-passt"> Für wen SpeakUp passt <a href="#f%c3%bcr-wen-speakup-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>SpeakUp ist sinnvoll für mittelgroße Organisationen, die einen Anbieter mit starken Zertifikaten (ISO 27001, ISO 27701, ISAE 3000 Type II) brauchen, um Beschaffungsanforderungen zu erfüllen, oder die eine einzige Plattform für Ethik und Compliance jenseits der Hinweisgebung wünschen. Wer ein breiteres Werkzeugset akzeptiert und skalierende Preise toleriert, ist gut bedient.</p> <h2 id="für-wen-ethicsportal-passt"> Für wen EthicsPortal passt <a href="#f%c3%bcr-wen-ethicsportal-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist für KMU, die Hinweisgeber-Compliance benötigen, ohne gleich eine gesamte Compliance-Suite zu kaufen. Wer Konformität zum HinSchG und zur EU-Richtlinie 2019/1937 zu pauschalen 49 €/Monat wünscht — mit eingebauten Datenschutzfunktionen und ohne Vertriebsprozess —, wird schneller und günstiger konform. Wer vom Anbieter ISO-Zertifikate verlangt, findet diese bei EthicsPortal heute nicht; wer heute zu einem sinnvollen Preis konform sein muss, ist hier richtig.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/compare/whispli/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/compare/whispli/Vergleich von EthicsPortal und Whispli für die Hinweisgeber-Compliance in der EU. KMU-Pauschalpreis gegen Enterprise-Fallmanagement im direkten Vergleich.<h1 id="ethicsportal-vs-whispli"> EthicsPortal vs. Whispli <a href="#ethicsportal-vs-whispli" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Whispli ist eine Enterprise-Hinweisgeber- und Fallmanagement-Plattform mit Hauptsitz in Sydney (Australien) und Büro in Paris. Das Unternehmen betreut 300+ Organisationen in 60+ Ländern und ist auf Systemebene ISO-27001-zertifiziert. Whispli bietet regionales EU-Hosting, 70+ Sprachen, eine Voice-AI-Telefon-Hotline und eine Mobile-App. Preise sind nicht veröffentlicht — Enterprise-Vertriebsgespräche sind erforderlich; Berichte nennen einen Einstieg ab ca. 3.000 €/Jahr.</p> <h2 id="kurzvergleich"> Kurzvergleich <a href="#kurzvergleich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Merkmal</th> <th>EthicsPortal</th> <th>Whispli</th> </tr> </thead> <tbody> <tr> <td><strong>Preis</strong></td> <td>49 €/Monat pauschal</td> <td>Individuell (~3.000 €+/Jahr, Vertrieb erforderlich)</td> </tr> <tr> <td><strong>Self-Serve-Anmeldung</strong></td> <td>Ja, sofort</td> <td>Nein — Vertriebskontakt erforderlich</td> </tr> <tr> <td><strong>Verschlüsselung</strong></td> <td>Ja (nicht-deterministisch, Active Record Encryption)</td> <td>Ja (kundengehaltene Schlüssel verfügbar)</td> </tr> <tr> <td><strong>EU-Hosting</strong></td> <td>Ja (Hetzner, Deutschland)</td> <td>Ja (optionale EU-Region)</td> </tr> <tr> <td><strong>Entfernung von Dateimetadaten</strong></td> <td>Ja (EXIF, GPS, Autor)</td> <td>Nicht öffentlich dokumentiert</td> </tr> <tr> <td><strong>IP-Anonymisierung</strong></td> <td>Ja (Einweg-Hash, keine Speicherung)</td> <td>Ja (keine IP-/Geräte-Identifier erfasst)</td> </tr> <tr> <td><strong>Voice-AI-Hotline</strong></td> <td>Nein</td> <td>Ja</td> </tr> <tr> <td><strong>Mobile App</strong></td> <td>Nein</td> <td>Ja (iOS und Android)</td> </tr> <tr> <td><strong>Audit-Protokoll</strong></td> <td>Ja, revisionssicher</td> <td>Ja, revisionssicher</td> </tr> <tr> <td><strong>Fristenüberwachung</strong></td> <td>Ja (7 Tage und 3 Monate mit Benachrichtigungen)</td> <td>Ja</td> </tr> <tr> <td><strong>Sprachen</strong></td> <td>EN, FR, PL, DE (weitere in Arbeit)</td> <td>70+</td> </tr> <tr> <td><strong>ISO 27001</strong></td> <td>Nein</td> <td>Ja (Systemebene)</td> </tr> <tr> <td><strong>Modul Interessenkonflikte</strong></td> <td>Nein</td> <td>Ja (Whispli Disclosures)</td> </tr> </tbody> </table> <h2 id="wo-whispli-stark-ist"> Wo Whispli stark ist <a href="#wo-whispli-stark-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Enterprise-Sicherheit.</strong> ISO-27001-Zertifizierung auf Systemebene (nicht nur Hosting) und kundengehaltene Schlüssel. Das ist ein höherer Standard als bei den meisten Wettbewerbern.</li> <li><strong>Voice-AI-Hotline.</strong> KI-gestützte Sprachaufnahme, die mündliche Meldungen in strukturierte Fälle übersetzt — mit Anonymitätsschutz. Sinnvoll für verteilte Belegschaften, in denen schriftliche Meldungen unpraktisch sind.</li> <li><strong>Mobile Apps.</strong> Native iOS- und Android-Apps für sichere Meldungen von überall, mit Echtzeit-Benachrichtigungen.</li> <li><strong>70+ Sprachen.</strong> Deckt praktisch jede EU-Sprache ab, dazu globale Ausrollungen.</li> <li><strong>Über Hinweisgebung hinaus.</strong> Eigene Module für Interessenkonflikte, Geschenke und Einladungen sowie Employee Relations (Pulse-Umfragen).</li> </ul> <h2 id="wo-ethicsportal-anders-ist"> Wo EthicsPortal anders ist <a href="#wo-ethicsportal-anders-ist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>49 €/Monat vs. ~3.000 €+/Jahr.</strong> EthicsPortal kostet rund ein Fünftel des geschätzten Einstiegspreises. Für KMU mit Richtlinien-Compliance-Bedarf ohne Enterprise-Funktionen ist der Kostenunterschied erheblich.</li> <li><strong>Sofortiger Self-Serve.</strong> Kein Vertriebsgespräch, keine Demo, kein Einführungsprojekt. Anmelden, Portal konfigurieren, Link teilen. Whispli erfordert Enterprise-Vertrieb und Implementierung.</li> <li><strong>Offengelegte Datenschutz-Architektur.</strong> EthicsPortal dokumentiert seine Anonymitätsarchitektur vollständig öffentlich: Einweg-IP-Hashing, EXIF-Entfernung je Dateityp, Details zur nicht-deterministischen Verschlüsselung, ClamAV-Prüfung. Die Dokumentation steht jedem zur Bewertung zur Verfügung.</li> <li><strong>Artikel-für-Artikel-Zuordnung zur Richtlinie.</strong> EthicsPortal veröffentlicht eine <a href="/de/compliance/">vollständige Compliance-Seite</a>, die jede Funktion den einzelnen Artikeln zuordnet — hilfreich für Compliance-Verantwortliche, die ihren Kanal dokumentieren müssen.</li> </ul> <h2 id="für-wen-whispli-passt"> Für wen Whispli passt <a href="#f%c3%bcr-wen-whispli-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Whispli ist die richtige Wahl für große, globale Konzerne (500+ Beschäftigte in mehreren Ländern), die ISO-27001-Zertifizierung, Voice AI für Außendienst-Mitarbeitende, kundengehaltene Schlüssel und Module über Hinweisgebung hinaus (Interessenkonflikte, Geschenke/Einladungen) brauchen. Wer vorstandsfähige Reporting-Dashboards und Multi-Entity-Governance im großen Stil benötigt, ist hier gut aufgehoben.</p> <h2 id="für-wen-ethicsportal-passt"> Für wen EthicsPortal passt <a href="#f%c3%bcr-wen-ethicsportal-passt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist der bessere Fit für KMU und Mittelständler (50–500 Beschäftigte), die die Konformität zur EU-Richtlinie 2019/1937 ohne Enterprise-Komplexität und -Preise brauchen. Wenn Ihr Meldekanal heute einsatzbereit sein muss und nicht nach einem wochenlangen Projekt, und Ihr Budget näher an 50 €/Monat als 3.000 €/Jahr liegt, liefert EthicsPortal die volle Konformität zu einem Bruchteil der Kosten.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/faq/Häufige Fragen zu EthicsPortal — Konformität, Anonymität, Datensicherheit, Abrechnung und technische Details.<h1 id="häufig-gestellte-fragen"> Häufig gestellte Fragen <a href="#h%c3%a4ufig-gestellte-fragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <hr> <h2 id="für-compliance-verantwortliche-und-entscheider"> Für Compliance-Verantwortliche und Entscheider <a href="#f%c3%bcr-compliance-verantwortliche-und-entscheider" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="ist-ethicsportal-konform-zum-hinschg-und-zur-eu-richtlinie-20191937"> Ist EthicsPortal konform zum HinSchG und zur EU-Richtlinie 2019/1937? <a href="#ist-ethicsportal-konform-zum-hinschg-und-zur-eu-richtlinie-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. EthicsPortal ist gezielt für die Anforderungen des Hinweisgeberschutzgesetzes und der EU-Richtlinie 2019/1937 gebaut. Dazu gehören sichere Meldekanäle, anonyme zweiseitige Kommunikation, Fristenüberwachung (7-Tage-Eingangsbestätigung, 3-Monats-Rückmeldung), Zugriffskontrollen, Aufbewahrungsregeln und ein lückenloses Audit-Protokoll. Siehe die <a href="/de/compliance/">Compliance-Seite</a> für eine Artikel-für-Artikel-Darstellung.</p> <h3 id="in-welchen-ländern-ist-ethicsportal-konform"> In welchen Ländern ist EthicsPortal konform? <a href="#in-welchen-l%c3%a4ndern-ist-ethicsportal-konform" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal deckt die Anforderungen der EU-Richtlinie 2019/1937 ab, die in allen EU-Mitgliedstaaten in nationales Recht umgesetzt wurde. Die Plattform erfüllt den Mindeststandard der Richtlinie, der EU-weit gilt. Ergänzende nationale Anforderungen (z. B. das deutsche HinSchG oder das österreichische HSchG) finden Sie in den <a href="/de/whistleblower-laws/">Länderleitfäden</a> oder <a href="mailto:support@ethicsportal.eu">auf Anfrage</a>.</p> <h3 id="können-wir-den-meldekanal-intern-betreiben"> Können wir den Meldekanal intern betreiben? <a href="#k%c3%b6nnen-wir-den-meldekanal-intern-betreiben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja — Art. 8 Abs. 5 der Richtlinie 2019/1937 erlaubt dies ausdrücklich. Die Voraussetzungen der Richtlinie sind intern jedoch struktureller schwieriger einzuhalten.</p> <p>Art. 9 Abs. 1 verlangt die Vertraulichkeit der Identität, eine unparteiische Folgenbearbeitung und restriktiven Zugriff auf Meldungen. Ein interner Meldekanal läuft über dieselben IT-Administratoren, Backups und Legal-Hold-Werkzeuge, die jedes andere System im Unternehmen berühren. Eine eigene Subdomain oder ein eigener Posteingang ändern nicht, wer Zugriff hat.</p> <p>Die DSGVO fügt ein zweites Problem hinzu. Hinweisgebung steht auf der Muss-DSFA-Liste des EDSA. Eine interne Datenschutz-Folgenabschätzung muss dokumentieren, wie die verantwortliche Stelle sich selbst daran hindert, auf Daten über sich selbst zuzugreifen — was auf den ersten Blick zirkulär ist.</p> <p>Der externe Betrieb ist in Art. 8 Abs. 5 sowie in den nationalen Umsetzungen ausdrücklich vorgesehen: § 14 HinSchG (DE), HSchG (AT), Loi Sapin II / Waserman (FR), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="wo-werden-meine-daten-gespeichert"> Wo werden meine Daten gespeichert? <a href="#wo-werden-meine-daten-gespeichert" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Die zentralen Meldedaten werden auf Hetzner-Servern in Nürnberg gespeichert. Begrenzte Verarbeitungen im Zusammenhang mit der Marketing-Website und Admin-Oberflächen können veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR einbeziehen, derzeit Cloudflare und Honeybadger. Hetzner ist ein deutscher Hosting-Anbieter und unterliegt dem EU-Datenschutzrecht; Schutzmaßnahmen für Übermittlungen sind im <a href="/de/dpa/">AVV</a> und auf der Seite <a href="/de/subprocessors/">Unterauftragsverarbeiter</a> beschrieben.</p> <h3 id="sind-meldungen-wirklich-anonym"> Sind Meldungen wirklich anonym? <a href="#sind-meldungen-wirklich-anonym" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja, wenn die hinweisgebende Person dies wählt. Die Angabe von Namen oder Kontaktdaten ist freiwillig. EthicsPortal protokolliert keine IP-Adressen, entfernt Dateimetadaten (EXIF, GPS, Autor) aus Uploads und der sichere Nachrichtenverlauf gibt die Identität der bearbeitenden Person nie preis. Es gibt keine technische Möglichkeit, eine anonyme Meldung auf eine Person zurückzuführen.</p> <h3 id="wie-funktioniert-die-7-tage--und-3-monats-fristüberwachung"> Wie funktioniert die 7-Tage- und 3-Monats-Fristüberwachung? <a href="#wie-funktioniert-die-7-tage--und-3-monats-frist%c3%bcberwachung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Bei Abgabe einer Meldung startet EthicsPortal automatisch zwei Fristen nach den Anforderungen der Richtlinie:</p> <ul> <li><strong>7 Tage</strong> zur Bestätigung des Eingangs der Meldung.</li> <li><strong>3 Monate</strong> zur inhaltlichen Rückmeldung an die hinweisgebende Person.</li> </ul> <p>Überfällige Meldungen werden im Dashboard hervorgehoben, und bearbeitende Personen erhalten Benachrichtigungen, wenn Fristen näher rücken.</p> <h3 id="bieten-sie-einen-auftragsverarbeitungsvertrag-avv-an"> Bieten Sie einen Auftragsverarbeitungsvertrag (AVV) an? <a href="#bieten-sie-einen-auftragsverarbeitungsvertrag-avv-an" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Der aktuelle AVV ist auf der Seite <a href="/de/dpa/">AVV</a> veröffentlicht, und eine gegengezeichnete Fassung ist auf Anfrage erhältlich.</p> <h3 id="welche-zertifizierungen-haben-sie"> Welche Zertifizierungen haben Sie? <a href="#welche-zertifizierungen-haben-sie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal beansprucht auf dieser Website derzeit weder eine ISO-27001- noch eine SOC-2- oder gleichwertige Zertifizierung. Den aktuellen Sicherheitsstand, die Unterauftragsverarbeiter, die Offenlegung von Vorfällen und die Servicezusagen dokumentieren wir öffentlich auf den Seiten <a href="/de/security/">Sicherheit</a>, <a href="/de/subprocessors/">Unterauftragsverarbeiter</a>, <a href="/de/incidents/">Störungsregister</a> und <a href="/de/sla/">SLA</a>.</p> <h3 id="wer-ist-vertragspartner"> Wer ist Vertragspartner? <a href="#wer-ist-vertragspartner" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal wird von Yaroslav Shmarov als Einzelunternehmer in Polen betrieben. Basisangaben zu Vertragspartner und Beschaffung sind auf der Seite <a href="/de/vendor-information/">Anbieterinformationen</a> veröffentlicht.</p> <h3 id="unterstützen-sie-beschaffungsreviews"> Unterstützen Sie Beschaffungsreviews? <a href="#unterst%c3%bctzen-sie-beschaffungsreviews" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Öffentliche Due-Diligence-Unterlagen sind auf der Website veröffentlicht, und zusätzliche Beschaffungsunterlagen sind auf Anfrage im Review verfügbar. Siehe <a href="/de/procurement/">Beschaffung</a> und <a href="/de/vendor-information/">Anbieterinformationen</a>.</p> <h3 id="kann-ich-fallakten-für-die-aufsicht-exportieren"> Kann ich Fallakten für die Aufsicht exportieren? <a href="#kann-ich-fallakten-f%c3%bcr-die-aufsicht-exportieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Jede Meldung kann als PDF exportiert werden, einschließlich des vollständigen Nachrichtenverlaufs, der Zeitachse und des Audit-Protokolls. Das Format ist für die Weitergabe an Rechtsabteilung, Auditoren oder Aufsichtsbehörden ausgelegt. Wenn Sie für Migration oder regulatorische Prüfung ein zusätzliches Portabilitätsformat benötigen, sprechen Sie uns im Rahmen des Beschaffungs- oder Offboarding-Reviews an.</p> <hr> <h2 id="für-beschäftigte-und-hinweisgebende-personen"> Für Beschäftigte und hinweisgebende Personen <a href="#f%c3%bcr-besch%c3%a4ftigte-und-hinweisgebende-personen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="muss-ich-ein-konto-anlegen-um-eine-meldung-abzugeben"> Muss ich ein Konto anlegen, um eine Meldung abzugeben? <a href="#muss-ich-ein-konto-anlegen-um-eine-meldung-abzugeben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nein. Sie brauchen kein Konto, keine E-Mail-Adresse und keine persönlichen Angaben. Sie rufen den Portal-Link auf, füllen die Meldung aus, wählen einen 6-stelligen Zugangscode und erhalten eine Vorgangs-ID. Mehr nicht.</p> <h3 id="kann-mein-arbeitgeber-herausfinden-wer-ich-bin"> Kann mein Arbeitgeber herausfinden, wer ich bin? <a href="#kann-mein-arbeitgeber-herausfinden-wer-ich-bin" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nicht über EthicsPortal. Wenn Sie anonym melden (ohne Name und Kontaktdaten), gibt es über die Plattform keine Möglichkeit, Sie zu identifizieren. EthicsPortal protokolliert Ihre IP-Adresse nicht und entfernt identifizierende Metadaten aus hochgeladenen Dateien.</p> <p>Achten Sie trotzdem auf den Inhalt — enthält Ihre Meldung Details, die nur Sie kennen können, liegt das außerhalb der Kontrolle der Plattform.</p> <h3 id="wie-kann-ich-den-stand-meiner-meldung-prüfen"> Wie kann ich den Stand meiner Meldung prüfen? <a href="#wie-kann-ich-den-stand-meiner-meldung-pr%c3%bcfen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Sie brauchen zwei Dinge: die Vorgangs-ID (Format <code>WB-XXXX-XXXX</code>), die Ihnen nach der Abgabe angezeigt wird, und den 6-stelligen Zugangscode, den Sie gewählt haben. Kehren Sie jederzeit zum Portal zurück, geben Sie beides ein und sehen Sie den aktuellen Status oder tauschen Sie Nachrichten mit der Fallbearbeitung aus. Bewahren Sie die Vorgangs-ID sicher auf und merken Sie sich den Zugangscode — wir können den Zugangscode nicht wiederherstellen, und beides ist erforderlich.</p> <h3 id="kann-ich-dateien-an-meine-meldung-anhängen"> Kann ich Dateien an meine Meldung anhängen? <a href="#kann-ich-dateien-an-meine-meldung-anh%c3%a4ngen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Sie können Bilder, PDF-Dokumente, Video- und Audio-Dateien bis zu 100 MB je Datei hochladen. Alle Dateimetadaten (Standortdaten, Autor, Kameradetails) werden vor der Speicherung automatisch entfernt, um Ihre Identität zu schützen.</p> <h3 id="kann-ich-anonym-mit-der-fallbearbeitung-kommunizieren"> Kann ich anonym mit der Fallbearbeitung kommunizieren? <a href="#kann-ich-anonym-mit-der-fallbearbeitung-kommunizieren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Der integrierte Nachrichtenverlauf ist vollständig anonym. Sie sehen „Fallbearbeitung" — nie einen echten Namen. Die bearbeitende Person sieht Ihre Nachrichten, hat aber keine Möglichkeit, Sie zu identifizieren, sofern Sie diese Informationen nicht selbst teilen.</p> <h3 id="was-passiert-nachdem-ich-eine-meldung-abgegeben-habe"> Was passiert, nachdem ich eine Meldung abgegeben habe? <a href="#was-passiert-nachdem-ich-eine-meldung-abgegeben-habe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ihre Meldung geht bei der benannten Fallbearbeitung der Organisation ein. Nach EU-Recht muss der Eingang innerhalb von 7 Tagen bestätigt und innerhalb von 3 Monaten eine inhaltliche Rückmeldung gegeben werden. Mit Vorgangs-ID und Zugangscode können Sie den Status jederzeit einsehen.</p> <hr> <h2 id="für-it-und-technische-teams"> Für IT und technische Teams <a href="#f%c3%bcr-it-und-technische-teams" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="welche-verschlüsselung-setzen-sie-ein"> Welche Verschlüsselung setzen Sie ein? <a href="#welche-verschl%c3%bcsselung-setzen-sie-ein" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Alle sensiblen Meldungsdaten werden in der Datenbank verschlüsselt gespeichert. Alle Verbindungen laufen über TLS (HTTPS). Datei-Uploads werden verschlüsselt auf EU-gehosteter Infrastruktur abgelegt.</p> <h3 id="entfernen-sie-dateimetadaten"> Entfernen Sie Dateimetadaten? <a href="#entfernen-sie-dateimetadaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. EXIF-Daten, GPS-Koordinaten, Autoreninformationen und sonstige Metadaten werden vor der Speicherung automatisch aus allen hochgeladenen Dateien entfernt. Damit wird eine unbeabsichtigte Preisgabe der Identität über Dateieigenschaften verhindert.</p> <h3 id="prüfen-sie-hochgeladene-dateien-auf-viren"> Prüfen Sie hochgeladene Dateien auf Viren? <a href="#pr%c3%bcfen-sie-hochgeladene-dateien-auf-viren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Alle Uploads werden mit ClamAV, einer Open-Source-Antivirenlösung, auf Schadsoftware geprüft. Die Prüfung erfolgt serverseitig — es werden keine Dateidaten an externe Dienste gesendet. Infizierte Dateien werden automatisch entfernt, bevor die Fallbearbeitung darauf zugreifen kann.</p> <h3 id="protokollieren-sie-ip-adressen"> Protokollieren Sie IP-Adressen? <a href="#protokollieren-sie-ip-adressen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nein. EthicsPortal speichert die IP-Adresse der hinweisgebenden Person weder in Anwendungsprotokollen noch in der Datenbank. Das ist eine bewusste Designentscheidung zum Schutz der Anonymität.</p> <h3 id="welche-externen-dienste-nutzen-sie"> Welche externen Dienste nutzen Sie? <a href="#welche-externen-dienste-nutzen-sie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Deutschland) — Server-Hosting</li> <li><strong>Stripe</strong> — Zahlungsabwicklung</li> <li><strong>Mailjet</strong> (Frankreich) — Zustellung transaktionaler E-Mails</li> </ul> <p>Keine Analyse-Tracker, keine Werbe-Netzwerke, keine Drittanbieter-Cookies auf dem Meldeportal.</p> <h3 id="gibt-es-eine-api"> Gibt es eine API? <a href="#gibt-es-eine-api" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Derzeit nicht verfügbar. <a href="mailto:support@ethicsportal.eu">Schreiben Sie uns</a>, wenn ein API-Zugang für Ihre Organisation erforderlich ist.</p> <h3 id="unterstützen-sie-eigene-domains"> Unterstützen Sie eigene Domains? <a href="#unterst%c3%bctzen-sie-eigene-domains" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Derzeit nicht verfügbar. Alle Portale werden unter der EthicsPortal-Domain ausgeliefert.</p> <h3 id="unterstützen-sie-sso"> Unterstützen Sie SSO? <a href="#unterst%c3%bctzen-sie-sso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Derzeit nicht verfügbar. Nutzer melden sich per Magic-Link (passwortlose E-Mail-Authentifizierung) an.</p> <hr> <h2 id="abrechnung"> Abrechnung <a href="#abrechnung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="was-kostet-ethicsportal"> Was kostet EthicsPortal? <a href="#was-kostet-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>49 €/Monat</strong>, pauschal. Ein Tarif, alles enthalten. Keine Pro-Kopf-Gebühren, keine Pro-Meldung-Gebühren, keine Feature-Stufen.</p> <h3 id="gibt-es-eine-kostenlose-testphase"> Gibt es eine kostenlose Testphase? <a href="#gibt-es-eine-kostenlose-testphase" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nein — Konto anlegen, Tarif wählen, und Ihr Portal ist in unter 10 Minuten live. 49 €/Monat oder 490 €/Jahr. Jederzeit kündbar.</p> <h3 id="kann-ich-jederzeit-kündigen"> Kann ich jederzeit kündigen? <a href="#kann-ich-jederzeit-k%c3%bcndigen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ja. Sie können jederzeit in den Kontoeinstellungen kündigen. Keine Verträge, keine Kündigungsgebühren, kein Telefonat nötig.</p> <h3 id="welche-zahlungsarten-akzeptieren-sie"> Welche Zahlungsarten akzeptieren Sie? <a href="#welche-zahlungsarten-akzeptieren-sie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Kredit- und Debitkarten über Stripe. Falls Sie per Rechnung oder Überweisung zahlen müssen, schreiben Sie an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p> <hr> <h2 id="weitere-fragen"> Weitere Fragen? <a href="#weitere-fragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Schreiben Sie an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>. Sie hören innerhalb eines Werktages von uns.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/industries/financial-services/Meldekanal-Anforderungen für Banken, Wertpapierfirmen und Versicherer nach HinSchG, EU-Richtlinie 2019/1937, MiFID II, MAR und Geldwäscherichtlinien.<h1 id="hinweisgeber-compliance-für-finanzdienstleister"> Hinweisgeber-Compliance für Finanzdienstleister <a href="#hinweisgeber-compliance-f%c3%bcr-finanzdienstleister" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Finanzinstitute unterliegen der EU-Hinweisgeberrichtlinie <em>und</em> sektorspezifischen Regelwerken, die unabhängig davon interne Meldekanäle verlangen. Ein Verstoß führt zu Sanktionen sowohl aus der nationalen Umsetzung als auch von Finanzaufsichtsbehörden.</p> <h2 id="regelwerke-die-meldekanäle-verlangen"> Regelwerke, die Meldekanäle verlangen <a href="#regelwerke-die-meldekan%c3%a4le-verlangen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>EU-Richtlinie 2019/1937</strong> — gilt für alle Unternehmen ab 50 Beschäftigten. Vertrauliche Meldekanäle, 7-Tage-Bestätigung und 3-Monats-Rückmeldung.</li> <li><strong>MiFID II (2014/65/EU)</strong> — Art. 73 verlangt von Wertpapierfirmen Verfahren, über die Beschäftigte mutmaßliche Verstöße intern melden können. Nationale Aufsicht setzt dies unabhängig von der Hinweisgeberrichtlinie durch.</li> <li><strong>Marktmissbrauchsverordnung (EU 596/2014)</strong> — Art. 32 verpflichtet Mitgliedstaaten zur Einrichtung von Mechanismen zur Meldung tatsächlicher oder potenzieller Marktmissbräuche. Unternehmen müssen interne Kanäle vorhalten, damit Beschäftigte vor einer Meldung an die Aufsicht intern melden können.</li> <li><strong>Geldwäscherichtlinien (AMLD 4/5/6)</strong> — interne Verfahren zur Meldung verdächtiger Transaktionen. Das AMLD-Paket 2024 stärkt den Schutz von Hinweisgebenden im Geldwäschekontext.</li> <li><strong>Solvency II (2009/138/EG)</strong> — Art. 71 verpflichtet Versicherer zu Hinweisgeberverfahren.</li> </ul> <h2 id="sektor-aufsichtsbehörden-mit-sanktionsbefugnis"> Sektor-Aufsichtsbehörden mit Sanktionsbefugnis <a href="#sektor-aufsichtsbeh%c3%b6rden-mit-sanktionsbefugnis" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Land</th> <th>Aufsicht</th> <th>Zuständigkeit</th> </tr> </thead> <tbody> <tr> <td><a href="/de/whistleblower-laws/germany/">Deutschland</a></td> <td>BaFin</td> <td>Banken, Versicherungen, Wertpapierhandel</td> </tr> <tr> <td><a href="/de/whistleblower-laws/austria/">Österreich</a></td> <td>FMA</td> <td>Banken, Versicherungen, Wertpapiere</td> </tr> <tr> <td><a href="/de/whistleblower-laws/france/">Frankreich</a></td> <td>AMF / ACPR</td> <td>Märkte / Banken und Versicherer</td> </tr> <tr> <td><a href="/de/whistleblower-laws/netherlands/">Niederlande</a></td> <td>AFM / DNB</td> <td>Märkte / Prudenzielle Aufsicht</td> </tr> <tr> <td><a href="/de/whistleblower-laws/italy/">Italien</a></td> <td>Consob / Banca d’Italia</td> <td>Märkte / Banken</td> </tr> <tr> <td><a href="/de/whistleblower-laws/spain/">Spanien</a></td> <td>CNMV</td> <td>Wertpapiermärkte</td> </tr> <tr> <td><a href="/de/whistleblower-laws/poland/">Polen</a></td> <td>KNF</td> <td>Alle Finanzsektoren</td> </tr> </tbody> </table> <p>Diese Behörden können Bußgelder unabhängig von den nationalen Hinweisgeber-Aufsichten verhängen.</p> <h2 id="typische-meldungsgegenstände"> Typische Meldungsgegenstände <a href="#typische-meldungsgegenst%c3%a4nde" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Marktmanipulation und Insiderhandel</li> <li>Schwächen in KYC/Geldwäscheverfahren</li> <li>Fehlverkauf von Finanzprodukten</li> <li>Umgehung von Sanktionen</li> <li>Unbefugte Handelsgeschäfte oder Verletzung von Risikolimits</li> <li>Interessenkonflikte in der Beratung</li> </ul> <h2 id="warum-ein-dedizierter-meldekanal-zählt"> Warum ein dedizierter Meldekanal zählt <a href="#warum-ein-dedizierter-meldekanal-z%c3%a4hlt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Meldungen über allgemeine HR-Kanäle riskieren, bei der Person zu landen, die für den Verstoß verantwortlich ist. Art. 9 der Richtlinie verlangt Kanäle, die Vertraulichkeit wahren und Interessenkonflikte ausschließen — besonders kritisch in Organisationen, in denen Compliance, Handel und Geschäftsleitung aufeinandertreffen.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/industries/public-sector/Meldekanal-Anforderungen für Kommunen, Behörden und sonstige öffentliche Stellen nach HinSchG und EU-Richtlinie 2019/1937 — keine 50-Beschäftigten-Schwelle.<h1 id="hinweisgeber-compliance-im-öffentlichen-sektor"> Hinweisgeber-Compliance im öffentlichen Sektor <a href="#hinweisgeber-compliance-im-%c3%b6ffentlichen-sektor" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Öffentliche Stellen unterliegen strengeren Pflichten als Unternehmen der Privatwirtschaft. Nach der EU-Richtlinie 2019/1937 müssen <strong>alle öffentlichen Organisationen interne Meldekanäle einrichten</strong> — ohne Schwellenwert von 50 Beschäftigten. Die meisten nationalen Umsetzungen übernehmen diesen weiteren Anwendungsbereich.</p> <h2 id="wie-die-richtlinie-im-öffentlichen-sektor-gilt"> Wie die Richtlinie im öffentlichen Sektor gilt <a href="#wie-die-richtlinie-im-%c3%b6ffentlichen-sektor-gilt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Anforderung</th> <th>Privatwirtschaft</th> <th>Öffentlicher Sektor</th> </tr> </thead> <tbody> <tr> <td>Schwellenwert</td> <td>Ab 50 Beschäftigten</td> <td><strong>Keine Schwelle</strong> (alle Stellen)</td> </tr> <tr> <td>Frist</td> <td>Dezember 2023 für 50–249 Beschäftigte</td> <td>Dezember 2021 (in den meisten Mitgliedstaaten)</td> </tr> <tr> <td>Gemeinsame Meldekanäle</td> <td>Zulässig für Gemeinden < 10.000 Einwohner</td> <td>Zulässig für Gemeinden < 10.000 Einwohner</td> </tr> <tr> <td>Anonyme Meldungen</td> <td>Länderabhängig</td> <td>In manchen Mitgliedstaaten verpflichtend</td> </tr> </tbody> </table> <p>Art. 8 Abs. 9 der Richtlinie lässt Gemeinden unter 10.000 Einwohnern oder mit unter 50 Beschäftigten gemeinsame Meldekanäle zu. Das ist die einzige Ausnahme — alle anderen öffentlichen Stellen müssen einen eigenen Kanal betreiben.</p> <h2 id="nationale-ausprägungen"> Nationale Ausprägungen <a href="#nationale-auspr%c3%a4gungen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong><a href="/de/whistleblower-laws/germany/">Deutschland</a> (HinSchG)</strong> — alle öffentlichen Arbeitgeber müssen interne Meldestellen einrichten. Bußgelder 20.000–50.000 € (bis 500.000 € bei juristischen Personen über § 30 OWiG).</li> <li><strong><a href="/de/whistleblower-laws/austria/">Österreich</a> (HSchG)</strong> — alle öffentlichen Stellen erfasst; der Bund und die Länder regeln Meldeverfahren jeweils eigenständig.</li> <li><strong><a href="/de/whistleblower-laws/france/">Frankreich</a> (Loi Waserman)</strong> — alle öffentlichen Stellen erfasst. Hinweisgebende Personen können direkt externe Behörden informieren, ohne zuerst interne Kanäle zu nutzen.</li> <li><strong><a href="/de/whistleblower-laws/poland/">Polen</a></strong> — alle öffentlichen Stellen erfasst. Interne Verfahren bis 1. Januar 2025.</li> <li><strong><a href="/de/whistleblower-laws/spain/">Spanien</a> (Ley 2/2023)</strong> — alle öffentlichen Stellen erfasst, unabhängig von der Größe. Bußgelder bis 1.000.000 €.</li> </ul> <h2 id="typische-meldungsgegenstände"> Typische Meldungsgegenstände <a href="#typische-meldungsgegenst%c3%a4nde" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>missbräuchliche Verwendung öffentlicher Mittel oder Vergabebetrug</li> <li>Interessenkonflikte bei der Auftragsvergabe</li> <li>Umweltverstöße bei öffentlichen Bauvorhaben</li> <li>Arbeitsschutzversäumnisse in öffentlichen Einrichtungen</li> <li>Datenschutzverletzungen bei Bürgerdaten</li> <li>Amtsmissbrauch</li> </ul> <h2 id="warum-kommunen-besonders-exponiert-sind"> Warum Kommunen besonders exponiert sind <a href="#warum-kommunen-besonders-exponiert-sind" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Große Behörden verfügen meist über Compliance-Strukturen. Kommunen und kleinere öffentliche Stellen oft nicht. Sie gehen davon aus, die Richtlinie gelte für sie nicht, weil sie weniger als 50 Beschäftigte haben. Sie gilt. Ein Meldekanal für eine Kommune kann in wenigen Minuten einsatzbereit sein — ohne Vergabeverfahren, ohne IT-Integration.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/industries/manufacturing/Meldekanal-Anforderungen für Hersteller nach HinSchG, EU-Richtlinie 2019/1937, Lieferkettensorgfaltspflichtengesetz (LkSG) und kommender EU-CSDDD.<h1 id="hinweisgeber-compliance-in-industrie-und-lieferkette"> Hinweisgeber-Compliance in Industrie und Lieferkette <a href="#hinweisgeber-compliance-in-industrie-und-lieferkette" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Hersteller treffen Hinweisgeberpflichten aus zwei Richtungen: die EU-Hinweisgeberrichtlinie (2019/1937) für interne Meldungen und Lieferketten-Sorgfaltspflichtgesetze, die ausdrücklich Beschwerdeverfahren für Beschäftigte <em>und</em> Dritte verlangen.</p> <h2 id="regelwerke-mit-meldekanalpflicht"> Regelwerke mit Meldekanalpflicht <a href="#regelwerke-mit-meldekanalpflicht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>EU-Richtlinie 2019/1937 / HinSchG</strong> — gilt für alle Hersteller ab 50 Beschäftigten. Interne Kanäle für Beschäftigte.</li> <li><strong>Lieferkettensorgfaltspflichtengesetz (LkSG)</strong> — in Kraft seit Januar 2023. Unternehmen ab 1.000 Beschäftigten (und deren unmittelbare Zulieferer) müssen ein <strong>Beschwerdeverfahren</strong> bereitstellen, das für Betroffene in der Lieferkette zugänglich ist — nicht nur für eigene Beschäftigte. <a href="https://www.gesetze-im-internet.de/lksg/__8.html">§ 8 LkSG</a></li> <li><strong>EU-Lieferkettenrichtlinie (CSDDD)</strong> — 2024 angenommen, stufenweise Anwendung ab 2027. Unternehmen ab 1.000 Beschäftigten und 450 Mio. € Umsatz müssen Beschwerdeverfahren für Menschenrechts- und Umweltverstöße in ihren Wertschöpfungsketten einrichten.</li> <li><strong>EU-Produktsicherheitsverordnung (2023/988)</strong> — verlangt von Herstellern interne Kanäle für Meldungen zu Produktsicherheitsbedenken.</li> </ul> <h2 id="lksg-vs-hinweisgeberrichtlinie"> LkSG vs. Hinweisgeberrichtlinie <a href="#lksg-vs-hinweisgeberrichtlinie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th></th> <th>Hinweisgeberrichtlinie / HinSchG</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Meldeberechtigte</td> <td>Beschäftigte, Selbstständige</td> <td>Beschäftigte, Zulieferer, betroffene Dritte</td> </tr> <tr> <td>Anwendungsbereich</td> <td>Verstöße gegen Unions-/nationales Recht</td> <td>Menschenrechte, Umweltverstöße in der Lieferkette</td> </tr> <tr> <td>Anonymität verpflichtend</td> <td>Länderabhängig; nach HinSchG Pflicht, anonyme Meldungen zu ermöglichen</td> <td>Nicht verpflichtend, aber empfohlen (BAFA-Handreichung)</td> </tr> <tr> <td>Vollzug</td> <td>Nationale Hinweisgeber-Aufsichten</td> <td>BAFA (Bundesamt für Wirtschaft und Ausfuhrkontrolle)</td> </tr> <tr> <td>Sanktionen</td> <td>Länderabhängig; § 40 HinSchG: bis 50.000 € (ver­zehnfachbar für juristische Personen)</td> <td>Bis zu 2 % des weltweiten Jahresumsatzes</td> </tr> </tbody> </table> <p>Unternehmen, die beiden Gesetzen unterliegen, brauchen einen Kanal, der doppelten Pflichten genügt — interne Hinweisgebung <em>und</em> Lieferketten-Beschwerdemechanismus. Ein einziger Meldekanal kann beides abdecken, wenn er richtig konfiguriert ist.</p> <h2 id="typische-meldungsgegenstände"> Typische Meldungsgegenstände <a href="#typische-meldungsgegenst%c3%a4nde" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Arbeitsschutzverstöße in Produktionsstätten</li> <li>Umweltrechtsverstöße (Emissionen, Abfallentsorgung)</li> <li>Zwangsarbeit oder ausbeuterische Bedingungen bei Zulieferern</li> <li>verborgene Produktsicherheitsmängel</li> <li>Bestechung in Beschaffung und Zulieferbeziehungen</li> <li>Umgehung von Exportkontrollen oder Sanktionen</li> </ul> <h2 id="warum-jetzt"> Warum jetzt <a href="#warum-jetzt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die CSDDD weitet die Lieferkettensorgfalt auf die gesamte EU aus, nicht nur auf Deutschland. Wer sich auf 2027 vorbereitet, braucht bereits heute funktionierende Beschwerdeverfahren. Abwarten führt zu Nachrüstung unter Zeitdruck — dasselbe Muster, das fünf Mitgliedstaaten zu Sanktionen wegen verspäteter Richtlinien-Umsetzung führte.</p> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/firehose/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/firehose/Das Hinweisgeberschutzgesetz und die EU-Richtlinie 2019/1937 verpflichten jedes Unternehmen ab 50 Beschäftigten, einen vertraulichen, fristenüberwachten Meldekanal zu betreiben. EthicsPortal ist in unter 10 Minuten einsatzbereit — ab 49 €/Monat.support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/whistleblower-laws/germany/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/whistleblower-laws/germany/Das deutsche Hinweisgeberschutzgesetz (HinSchG): Anwendungsbereich, Bußgelder bis 500.000 €, EuGH-Sanktion von 34 Mio. € und Vollzugsdetails.<h1 id="hinweisgeberrecht-in-deutschland"> Hinweisgeberrecht in Deutschland <a href="#hinweisgeberrecht-in-deutschland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Deutschland hat die EU-Richtlinie 2019/1937 mit dem <strong>Hinweisgeberschutzgesetz (HinSchG)</strong> umgesetzt, das am 2. Juli 2023 in Kraft getreten ist. Unternehmen ab 50 Beschäftigten müssen einen internen Meldekanal betreiben. Deutschland wurde vom Gerichtshof der EU im März 2025 mit 34.000.000 € wegen verspäteter Umsetzung sanktioniert — die höchste Sanktion gegen einen Mitgliedstaat.</p> <h2 id="gesetz"> Gesetz <a href="#gesetz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://www.gesetze-im-internet.de/hinschg/">Hinweisgeberschutzgesetz (HinSchG)</a> — in Kraft seit 2. Juli 2023.</p> <h2 id="anwendungsbereich"> Anwendungsbereich <a href="#anwendungsbereich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Unternehmen ab 50 Beschäftigten. Fristen: 2. Juli 2023 (ab 250 Beschäftigten) und 17. Dezember 2023 (50–249 Beschäftigte). Bußgelder vollziehbar seit 1. Dezember 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/">Quelle: Library of Congress</a></p> <h2 id="sanktionen"> Sanktionen <a href="#sanktionen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Kein Meldekanal: Bußgelder 20.000–50.000 € nach § 40 HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html">Quelle: Ebner Stolz</a></li> <li>Für juristische Personen kann der Höchstrahmen gemäß § 40 Abs. 6 HinSchG i. V. m. § 30 OWiG <strong>verzehnfacht</strong> werden (bis 500.000 €). <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/">Quelle: activeMind</a></li> <li>Repressalien gegen hinweisgebende Personen: bis 50.000 €. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act">Quelle: Morrison Foerster</a></li> </ul> <h2 id="vollzug"> Vollzug <a href="#vollzug" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Das Bundesamt für Justiz betreibt die externe Meldestelle des Bundes. Die BaFin ist für den Finanzsektor zuständig.</p> <h2 id="eugh-sanktion"> EuGH-Sanktion <a href="#eugh-sanktion" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Deutschland wurde vom Gerichtshof der EU im März 2025 mit <strong>34.000.000 €</strong> wegen verspäteter Umsetzung belastet. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/">Quelle: eucrim</a></p> <h2 id="weiterführendes"> Weiterführendes <a href="#weiterf%c3%bchrendes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.gesetze-im-internet.de/hinschg/">HinSchG — vollständiger Gesetzestext</a></li> <li><a href="https://whistleblowingmonitor.eu/country/germany/">Deutschland im EU Whistleblowing Monitor</a></li> </ul> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/whistleblower-laws/luxembourg/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/whistleblower-laws/luxembourg/Das luxemburgische Hinweisgeberschutzgesetz: Anwendungsbereich, Sanktionen, EuGH-Sanktion und Vollzugsdetails.<h1 id="hinweisgeberrecht-in-luxemburg"> Hinweisgeberrecht in Luxemburg <a href="#hinweisgeberrecht-in-luxemburg" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Luxemburg hat die EU-Richtlinie 2019/1937 mit der <strong>Loi du 16 mai 2023</strong> zum Schutz hinweisgebender Personen umgesetzt. Luxemburg wurde vom Gerichtshof der EU im März 2025 mit 375.000 € wegen verspäteter Umsetzung sanktioniert.</p> <h2 id="gesetz"> Gesetz <a href="#gesetz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://legilux.public.lu/eli/etat/leg/loi/2023/05/16/a243/jo">Loi du 16 mai 2023</a> zum Schutz hinweisgebender Personen.</p> <h2 id="anwendungsbereich"> Anwendungsbereich <a href="#anwendungsbereich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Arbeitgeber ab 50 Beschäftigten.</p> <h2 id="sanktionen"> Sanktionen <a href="#sanktionen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Verwaltungsrechtliche Geldstrafen bei Verstößen. <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52024DC0318">Quelle: Umsetzungsbericht der Europäischen Kommission</a></p> <h2 id="eugh-sanktion"> EuGH-Sanktion <a href="#eugh-sanktion" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Luxemburg wurde vom Gerichtshof der EU im März 2025 mit <strong>375.000 €</strong> wegen verspäteter Umsetzung belastet.</p> <h2 id="weiterführendes"> Weiterführendes <a href="#weiterf%c3%bchrendes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://legilux.public.lu/eli/etat/leg/loi/2023/05/16/a243/jo">Loi du 16 mai 2023 — vollständiger Text</a></li> <li><a href="https://whistleblowingmonitor.eu/country/luxembourg/">Luxemburg im EU Whistleblowing Monitor</a></li> </ul> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/whistleblower-laws/austria/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/whistleblower-laws/austria/Das österreichische HinweisgeberInnenschutzgesetz (HSchG): Anwendungsbereich, Bußgelder bis 40.000 € und Vollzug durch das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung.<h1 id="hinweisgeberrecht-in-österreich"> Hinweisgeberrecht in Österreich <a href="#hinweisgeberrecht-in-%c3%b6sterreich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Österreich hat die EU-Richtlinie 2019/1937 mit dem <strong>HinweisgeberInnenschutzgesetz (HSchG)</strong> umgesetzt, das am 25. Februar 2023 in Kraft getreten ist. Arbeitgeber ab 50 Beschäftigten müssen einen internen Meldekanal betreiben.</p> <h2 id="gesetz"> Gesetz <a href="#gesetz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012541">HinweisgeberInnenschutzgesetz (HSchG)</a> — in Kraft seit 25. Februar 2023.</p> <h2 id="anwendungsbereich"> Anwendungsbereich <a href="#anwendungsbereich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Arbeitgeber ab 50 Beschäftigten. Fristen: 25. August 2023 (ab 250 Beschäftigten) und 17. Dezember 2023 (50–249 Beschäftigte). <a href="https://insightplus.bakermckenzie.com/bm/employment-compensation/austria-update-new-whistleblowing-law-passed">Quelle: Baker McKenzie</a></p> <h2 id="sanktionen"> Sanktionen <a href="#sanktionen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Behinderung hinweisgebender Personen, Verletzung der Vertraulichkeit oder wissentlich falsche Meldung: Geldstrafen bis 20.000 € (bis 40.000 € im Wiederholungsfall). <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/austria">Quelle: CMS Expert Guide</a></li> <li>Keine gesetzliche Geldstrafe für das Unterlassen der Einrichtung eines internen Meldekanals. <a href="https://www.wolftheiss.com/insights/understanding-austrias-new-whistleblower-protection-act/">Quelle: Wolf Theiss</a></li> </ul> <h2 id="vollzug"> Vollzug <a href="#vollzug" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK).</p> <h2 id="weiterführendes"> Weiterführendes <a href="#weiterf%c3%bchrendes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012541">HSchG — vollständiger Gesetzestext</a></li> <li><a href="https://whistleblowingmonitor.eu/country/austria/">Österreich im EU Whistleblowing Monitor</a></li> </ul> <hr> <p><a href="/de/pricing/">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/compliance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/compliance/Wie EthicsPortal alle Anforderungen des Hinweisgeberschutzgesetzes (HinSchG), der EU-Richtlinie 2019/1937 und der DSGVO erfüllt.<h1 id="konformität-mit-dem-hinweisgeberschutzgesetz"> Konformität mit dem Hinweisgeberschutzgesetz <a href="#konformit%c3%a4t-mit-dem-hinweisgeberschutzgesetz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal ist darauf ausgelegt, Ihre Organisation konform zum Hinweisgeberschutzgesetz (HinSchG), zur EU-Richtlinie 2019/1937 und zur DSGVO zu halten. Jede Funktion entspricht einer konkreten rechtlichen Anforderung — keine unnötigen Zusatzmodule, keine Upsells.</p> <p>Diese Seite ist die Zuordnung von Funktionen zu Anforderungen: Jeder Artikel der Richtlinie wird der entsprechenden EthicsPortal-Fähigkeit zugeordnet. Wie EthicsPortal die unbestimmten Rechtsbegriffe dieser Artikel auslegt — den 50-Beschäftigten-Schwellenwert, was als „sorgfältige Folgenbearbeitung" gilt, die Begründung der Speicherdauer, die DSGVO-Rechtsgrundlage und den Vorrang nationalen Rechts — finden Sie in der separaten <a href="/de/methodology/">Methodik</a>.</p> <p>Alle 27 EU-Mitgliedstaaten haben die Richtlinie in nationales Recht umgesetzt. Ihre Organisation muss das nationale Recht Ihres Betriebslandes einhalten — eine Übersicht der jeweiligen Gesetze, Bußgelder und zuständigen Behörden finden Sie in unserer <a href="/de/whistleblower-laws/">Länderübersicht</a>. Zentrale nationale Gesetze sind das <a href="/de/whistleblower-laws/germany/">Hinweisgeberschutzgesetz (HinSchG)</a> in Deutschland, das <a href="/de/whistleblower-laws/austria/">HSchG</a> in Österreich sowie das <a href="/de/whistleblower-laws/luxembourg/">Gesetz vom 16. Mai 2023</a> in Luxemburg.</p> <hr> <h2 id="1-meldekanäle-art-8"> §1. Meldekanäle (Art. 8) <a href="#1-meldekan%c3%a4le-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Organisationen mit 50 oder mehr Beschäftigten müssen sichere interne Meldekanäle einrichten.</p> <table> <thead> <tr> <th>Anforderung</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Sicherer Meldekanal</td> <td>Verschlüsseltes Webportal mit eigener URL pro Organisation</td> </tr> <tr> <td>Vertraulichkeit der Identität</td> <td>Ende-zu-Ende-verschlüsselte Verarbeitung aller personenbezogenen Daten, keine IP-Protokollierung, automatische Entfernung von Dateimetadaten</td> </tr> <tr> <td>Zugänglich für alle Beschäftigten</td> <td>Webportal läuft auf jedem Gerät, keine App, kein Konto erforderlich</td> </tr> <tr> <td>An die Organisation anpassbar</td> <td>Konfigurierbare Kategorien, Logo und Begrüßungstext</td> </tr> </tbody> </table> <hr> <h2 id="2-verfahren-art-9"> §2. Verfahren (Art. 9) <a href="#2-verfahren-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Anforderung</th> <th>Artikel</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Benennung einer unparteiischen Person oder Stelle</td> <td>Art. 9 Abs. 1 lit. c</td> <td>Fall-Zuweisungssystem mit rollenbasiertem Zugriff — nur berechtigte Fallbearbeitende sehen Meldungen</td> </tr> <tr> <td>Eingang innerhalb von 7 Tagen bestätigen</td> <td>Art. 9 Abs. 1 lit. b</td> <td>Automatische Fristenüberwachung mit E-Mail-Benachrichtigung bei bevorstehender oder versäumter 7-Tage-Frist</td> </tr> <tr> <td>Sorgfältige Folgenbearbeitung</td> <td>Art. 9 Abs. 1 lit. d</td> <td>Fallverwaltung mit Status-Workflow (eingegangen, bestätigt, in Prüfung, abgeschlossen), interne Notizen für die Zusammenarbeit und lückenloses Audit-Protokoll</td> </tr> <tr> <td>Rückmeldung innerhalb von drei Monaten</td> <td>Art. 9 Abs. 1 lit. f</td> <td>Automatische 3-Monats-Fristüberwachung mit Warnungen an alle Admins. Hinweisgebende Personen sehen den Zeitplan im Portal und können den Status jederzeit mit Vorgangs-ID und Zugangscode einsehen</td> </tr> <tr> <td>Mündliche Meldungen ermöglichen (Telefon, Sprachnachricht oder auf Wunsch persönliches Treffen)</td> <td>Art. 9 Abs. 2</td> <td>Konfigurierbare Telefonnummer auf dem Portal; Fallbearbeitende können telefonische, persönliche und schriftliche Meldungen direkt im System erfassen</td> </tr> <tr> <td>Über externe Meldemöglichkeiten informieren</td> <td>Art. 9 Abs. 1 lit. g</td> <td>Das Portal informiert über das Recht, sich an die zuständigen nationalen Behörden zu wenden, mit Verweis auf die Richtlinie 2019/1937 und das HinSchG</td> </tr> </tbody> </table> <hr> <h2 id="3-schutzbereich-art-4"> §3. Schutzbereich (Art. 4) <a href="#3-schutzbereich-art-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Richtlinie schützt nicht nur Beschäftigte, sondern auch Selbstständige, Lieferanten, Anteilseigner und andere Dritte.</p> <p>EthicsPortal zeigt im Portal klar an, dass die Meldemöglichkeit Beschäftigten, Selbstständigen, Lieferanten und sonstigen Dritten offensteht.</p> <hr> <h2 id="4-repressalienverbot-art-6-1921"> §4. Repressalienverbot (Art. 6, 19–21) <a href="#4-repressalienverbot-art-6-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Hinweisgebende Personen müssen darüber informiert werden, dass Repressalien gesetzlich verboten sind.</p> <p>EthicsPortal zeigt auf jeder Seite des Portals vor der Meldung einen Hinweis zum Repressalienverbot mit Verweis auf die Richtlinie 2019/1937 und das HinSchG.</p> <hr> <h2 id="5-vertraulichkeit-der-identität-art-16"> §5. Vertraulichkeit der Identität (Art. 16) <a href="#5-vertraulichkeit-der-identit%c3%a4t-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Anforderung</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Identität wird nicht über den Kreis der Berechtigten hinaus offengelegt</td> <td>Rollenbasierte Zugriffskontrolle — nur Admins und die zugewiesene bearbeitende Person sehen eine Meldung. Nicht-Admin-Bearbeitende sehen nur ihnen zugewiesene Fälle</td> </tr> <tr> <td>Anonymität der bearbeitenden Person gegenüber der hinweisgebenden Person</td> <td>Hinweisgebende Personen sehen in Nachrichten nur „Fallbearbeitung", nie den echten Namen oder die E-Mail-Adresse</td> </tr> <tr> <td>Verschlüsselung sensibler Daten</td> <td>Namen, Kontaktdaten, Meldungsinhalte und Nachrichteninhalte werden mit nicht-deterministischer Verschlüsselung gespeichert</td> </tr> </tbody> </table> <hr> <h2 id="6-dokumentationspflicht-art-18"> §6. Dokumentationspflicht (Art. 18) <a href="#6-dokumentationspflicht-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Anforderung</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Dokumentation jeder Meldung</td> <td>Vollständiges Audit-Protokoll aller Aktionen: Abgabe, Statusänderungen, Nachrichten, Zuweisungen und Meldungsansichten</td> </tr> <tr> <td>Sichere Speicherung</td> <td>Alle sensiblen Felder werden verschlüsselt gespeichert</td> </tr> <tr> <td>Abrufbarkeit</td> <td>Vollständiger PDF-Export inkl. Metadaten, Nachrichtenverlauf, Anhangsliste und Audit-Protokoll. Auf Organisationsebene steht ein Compliance-Bericht als PDF bereit — mit Richtlinien-Checkliste, SLA-Kennzahlen und Datenschutzzusammenfassung, ohne sensible Meldungsinhalte offenzulegen</td> </tr> <tr> <td>Löschen, sobald nicht mehr erforderlich</td> <td>Konfigurierbare Aufbewahrungsdauer (12, 24, 36 oder 60 Monate) mit automatischer Löschung abgelaufener geschlossener Meldungen</td> </tr> </tbody> </table> <hr> <h2 id="7-dsgvo-konformität"> §7. DSGVO-Konformität <a href="#7-dsgvo-konformit%c3%a4t" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Anforderung</th> <th>Artikel</th> <th>Umsetzung in EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Rechtsgrundlage der Verarbeitung</td> <td>Art. 6 Abs. 1 lit. c DSGVO</td> <td>Verarbeitung ist zur Erfüllung der rechtlichen Verpflichtungen aus HinSchG und Richtlinie 2019/1937 erforderlich</td> </tr> <tr> <td>Informationspflichten</td> <td>Art. 13/14 DSGVO</td> <td>Datenschutzhinweise werden vor Abgabe der Meldung angezeigt</td> </tr> <tr> <td>Datenminimierung</td> <td>Art. 5 Abs. 1 lit. c DSGVO</td> <td>Nur essenzielle Felder werden erhoben; Name und Kontakt der hinweisgebenden Person sind freiwillig</td> </tr> <tr> <td>Speicherbegrenzung</td> <td>Art. 5 Abs. 1 lit. e DSGVO</td> <td>Konfigurierbare Aufbewahrungsdauer pro Organisation mit automatischer Löschung</td> </tr> <tr> <td>Integrität und Vertraulichkeit</td> <td>Art. 5 Abs. 1 lit. f DSGVO</td> <td>Verschlüsselte Speicherung aller sensiblen Daten; keine IP-Protokollierung auf Portal-Routen; automatische Entfernung von Dateimetadaten</td> </tr> <tr> <td>Recht auf Löschung</td> <td>Art. 17 DSGVO</td> <td>Automatische Löschung auf Basis der Aufbewahrungsdauer; manuelle Löschung für Admins möglich</td> </tr> </tbody> </table> <hr> <h2 id="8-technische-und-organisatorische-maßnahmen"> §8. Technische und organisatorische Maßnahmen <a href="#8-technische-und-organisatorische-ma%c3%9fnahmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Maßnahme</th> <th>Detail</th> </tr> </thead> <tbody> <tr> <td>Verschlüsselte Speicherung</td> <td>Alle Meldungsbeschreibungen, Namen, Kontaktdaten und Nachrichteninhalte werden mit nicht-deterministischer Verschlüsselung gespeichert</td> </tr> <tr> <td>Keine IP-Protokollierung</td> <td>IP-Adressen hinweisgebender Personen werden nie gespeichert — Rate-Limiting nutzt unumkehrbare Einweg-Hashes</td> </tr> <tr> <td>Entfernung von Dateimetadaten</td> <td>EXIF-Daten (GPS-Koordinaten, Kameramodell, Autor) werden vor Speicherung automatisch aus hochgeladenen Bildern entfernt</td> </tr> <tr> <td>Anonymität der Fallbearbeitung</td> <td>Hinweisgebende Personen sehen nie den echten Namen — Nachrichten zeigen „Fallbearbeitung"</td> </tr> <tr> <td>Rate-Limiting</td> <td>Öffentliche Portal-Endpunkte sind rate-limitiert, um Missbrauch zu verhindern</td> </tr> <tr> <td>Zugriffskontrolle</td> <td>Rollenbasierte Berechtigungen stellen sicher, dass nur berechtigte Bearbeitende Meldungen einsehen; Nicht-Admins sehen nur ihnen zugewiesene Fälle</td> </tr> <tr> <td>Audit-Protokoll</td> <td>Jede Aktion wird mit Zeitstempel, ausführender Person und Aktionstyp protokolliert — unveränderlich und jederzeit für die Aufsicht verfügbar</td> </tr> </tbody> </table> <hr> <h2 id="9-was-ihre-organisation-weiterhin-tun-muss"> §9. Was Ihre Organisation weiterhin tun muss <a href="#9-was-ihre-organisation-weiterhin-tun-muss" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal übernimmt die technischen Anforderungen. In der Verantwortung Ihrer Organisation bleiben:</p> <ul> <li><strong>Benennung einer meldebearbeitenden Person</strong> — bestimmen Sie mindestens eine Person, die für die Bearbeitung von Meldungen zuständig ist</li> <li><strong>Interne Richtlinie</strong> — beschließen Sie eine Hinweisgeber-Richtlinie und kommunizieren Sie diese an die Beschäftigten</li> <li><strong>Schulung</strong> — stellen Sie sicher, dass bearbeitende Personen ihre Vertraulichkeitspflichten kennen</li> <li><strong>Durchsetzung des Repressalienverbots</strong> — sorgen Sie dafür, dass die Geschäftsleitung weiß, dass Repressalien einen Rechtsverstoß darstellen</li> <li><strong>Einwilligung bei Identitätsoffenlegung</strong> — muss die Identität einer hinweisgebenden Person über den Kreis der Berechtigten hinaus offengelegt werden (z. B. gegenüber Strafverfolgungsbehörden), ist zuvor die ausdrückliche Einwilligung einzuholen (Art. 16 Abs. 2)</li> <li><strong>Information der Beschäftigten</strong> — teilen Sie die Portal-URL mit den Beschäftigten (EthicsPortal liefert einen teilbaren Link und einen QR-Code)</li> </ul> <hr> <h2 id="fragen"> Fragen? <a href="#fragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Admins können einen <strong>Compliance-Bericht als PDF</strong> direkt in den Portal-Einstellungen herunterladen. Er enthält eine vollständige Checkliste zur Richtlinie 2019/1937, SLA-Kennzahlen, Datenschutzmaßnahmen und eine Zusammenfassung des Audit-Protokolls — bereit für die Vorlage bei der Aufsicht, ohne sensible Meldungsinhalte offenzulegen.</p> <p>Für länderspezifische Anforderungen (Bußgelder, Aufbewahrungsfristen, Aufsichtsbehörden) siehe unsere <a href="/de/whistleblower-laws/">Länderübersicht</a>.</p> <p>Für die Auslegung unbestimmter Begriffe der Richtlinie (50-Beschäftigten-Schwelle, „sorgfältige Folgenbearbeitung", Begründung der Speicherdauer, DSGVO-Rechtsgrundlage) siehe die <a href="/de/methodology/">Methodik</a>.</p> <p>Wenn Sie die Konformität gegenüber Ihrer Rechtsabteilung oder der Aufsicht nachweisen müssen, schreiben Sie uns an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/contact/Kontaktieren Sie das EthicsPortal-Team bei Fragen zum Hinweisgeberschutz und zur EU-Richtlinie 2019/1937.<h1 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Fragen zu EthicsPortal oder zum Hinweisgeberschutzgesetz? Schreiben Sie uns direkt per E-Mail.</p> <hr> <p><strong>E-Mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Sicherheit:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a></p> <p>Wir antworten in der Regel innerhalb eines Werktages.</p> <hr> <h2 id="häufige-fragen"> Häufige Fragen <a href="#h%c3%a4ufige-fragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>„Was kostet es?"</strong> 49 €/Monat. Alles enthalten. Siehe <a href="/de/pricing/">Preise</a>.</p> <p><strong>„Kann ich es vorher testen?"</strong> Ja. Registrieren Sie sich unter <a href="https://secure.ethicsportal.eu/session/new">ethicsportal.eu</a> und erkunden Sie die Plattform sofort.</p> <p><strong>„Ist das Produkt konform zum HinSchG und zur EU-Richtlinie 2019/1937?"</strong> Ja. Siehe unsere <a href="/de/compliance/">Artikel-für-Artikel-Konformitätsübersicht</a>.</p> <p><strong>„Wo werden meine Daten gespeichert?"</strong> Die zentralen Meldedaten werden auf Hetzner-Infrastruktur in Nürnberg gehostet. Begrenzte Verarbeitungen im Zusammenhang mit der Marketing-Website und Admin-Oberflächen können veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR einbeziehen, derzeit Cloudflare und Honeybadger. Siehe <a href="/de/dpa/">AVV</a> und <a href="/de/subprocessors/">Unterauftragsverarbeiter</a>.</p> <p><strong>„Bieten Sie einen AV-Vertrag (AVV) an?"</strong> Ja. Siehe unseren <a href="/de/dpa/">Auftragsverarbeitungsvertrag</a> oder schreiben Sie uns für eine gegengezeichnete PDF.</p> <p><strong>„Wer ist Vertragspartner?"</strong> Siehe unsere Seite <a href="/de/vendor-information/">Anbieterinformationen</a> für Angaben zu Vertragspartner und Beschaffung.</p> <p><strong>„Unterstützen Sie Beschaffungsreviews?"</strong> Ja. Gegengezeichneter AVV, Registerunterlagen und weitere Beschaffungsunterlagen sind auf Anfrage verfügbar. Siehe <a href="/de/procurement/">Beschaffung</a>.</p> <hr> <p><strong>LinkedIn:</strong> <a href="https://www.linkedin.com/company/ethicsportal">linkedin.com/company/ethicsportal</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/methodology/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/methodology/Wie EthicsPortal die unbestimmten Rechtsbegriffe der EU-Richtlinie 2019/1937 und des Hinweisgeberschutzgesetzes auslegt. Nachschlagedokument für Compliance-Verantwortliche, Datenschutzbeauftragte und Rechtsabteilungen.<h1 id="methodik"> Methodik <a href="#methodik" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Dieses Dokument hält fest, wie EthicsPortal Bestimmungen der Richtlinie 2019/1937 auslegt, die mehr als eine vertretbare Lesart zulassen. Es richtet sich an Compliance-Verantwortliche, Datenschutzbeauftragte und Rechtsabteilungen, die ohne abschließende Auslegungshinweise der Europäischen Kommission oder des Gerichtshofs der Europäischen Union operationsfeste Entscheidungen treffen müssen.</p> <p>Es ist ein lebendes Dokument. Erlässt der Gerichtshof, der Europäische Datenschutzausschuss oder eine zuständige nationale Behörde verbindliche Auslegung, die von den unten genannten Positionen abweicht, wird dieses Dokument angepasst und die frühere Position im Revisionsprotokoll bewahrt.</p> <p>Die Zuordnung von Funktionen zu Anforderungen — welche EthicsPortal-Fähigkeit welche Vorschrift erfüllt — finden Sie auf der Seite <a href="/de/compliance/">Compliance</a>. Die beiden Dokumente ergänzen sich: Compliance dokumentiert, was das Produkt tut; die Methodik dokumentiert, wie wir das Gesetz lesen.</p> <p>Zuletzt aktualisiert: April 2026.</p> <hr> <h2 id="1-geltungsbereich-und-quellen"> §1. Geltungsbereich und Quellen <a href="#1-geltungsbereich-und-quellen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Diese Methodik behandelt die Richtlinie 2019/1937 in der Umsetzung durch das nationale Recht der 27 EU-Mitgliedstaaten. Wo nationales Umsetzungsrecht strenger ist als die Richtlinie, gilt für Organisationen mit Tätigkeit in diesem Mitgliedstaat die nationale Regelung (siehe §9).</p> <p>Verbindliche Quellen, in der Reihenfolge ihres Vorrangs:</p> <ol> <li><strong>Der Richtlinientext selbst</strong> — Richtlinie (EU) 2019/1937 vom 23. Oktober 2019, einschließlich Erwägungsgründen.</li> <li><strong>Nationale Umsetzungsgesetze</strong> — im jeweiligen Mitgliedstaat verbindlich. Siehe <a href="/de/whistleblower-laws/">Länderübersicht</a> für konkrete Gesetze und zuständige Behörden.</li> <li><strong>Urteile des Gerichtshofs der Europäischen Union</strong> — unionsweit verbindlich.</li> <li><strong>Leitlinien des Europäischen Datenschutzausschusses</strong> — für datenschutzrechtliche Aspekte (Art. 17, DSGVO-Überlagerung).</li> <li><strong>Leitlinien nationaler Aufsichtsbehörden</strong> — im erlassenden Staat überzeugend.</li> </ol> <p>Dieses Dokument ist Betriebsmethodik. Es ist keine Rechtsberatung. Organisationen sollten Auslegungen mit ihrer Rechtsabteilung validieren, bevor sie sich in Audit oder Streitverfahren darauf stützen.</p> <hr> <h2 id="2-konventionen"> §2. Konventionen <a href="#2-konventionen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Richtlinie bestimmt</strong> leitet eine Aussage zum Text der Richtlinie ein.</p> <p><strong>In der Praxis bedeutet dies</strong> leitet die Auslegung durch EthicsPortal ein, wo der Text mehrere Lesarten zulässt.</p> <p><strong>EthicsPortal setzt dies um durch</strong> leitet die Umsetzung im Produkt ein. Organisationen mit abweichender Auslegung müssen ggf. Konfiguration oder Verfahren anpassen.</p> <p>Alle Artikelverweise beziehen sich auf die Richtlinie 2019/1937, sofern nicht anders angegeben.</p> <hr> <h2 id="3-der-50-beschäftigten-schwellenwert-art-8"> §3. Der 50-Beschäftigten-Schwellenwert (Art. 8) <a href="#3-der-50-besch%c3%a4ftigten-schwellenwert-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 8 Abs. 3 verlangt von Einrichtungen mit „50 oder mehr Arbeitnehmern" die Einrichtung interner Meldekanäle. Die Richtlinie definiert nicht, wie die Kopfzahl berechnet wird, wie Teilzeit- und befristet Beschäftigte zählen und ob der Schwellenwert je juristischer Person oder je Konzern gilt.</p> <p><strong>Die Richtlinie bestimmt</strong>, dass „juristische Personen des privaten Sektors mit 50 oder mehr Arbeitnehmern" die Pflichten zu erfüllen haben (Art. 8 Abs. 3). Erwägungsgrund 48 stellt klar, dass die Schwelle „nach Maßgabe nationaler Rechtsvorschriften zur Umsetzung des einschlägigen Unionsrechts" berechnet wird.</p> <p><strong>In der Praxis bedeutet dies</strong>, dass die Berechnung den bestehenden arbeits- und sozialrechtlichen Zählregeln des jeweiligen Mitgliedstaats folgt:</p> <ul> <li><strong>Deutschland</strong> (§ 12 HinSchG): Kopfzahl nach in der Regel beschäftigten Personen, je juristischer Person.</li> <li><strong>Frankreich</strong> (Loi Waserman, Art. 8): 50 Arbeitnehmer als durchschnittliche monatliche Beschäftigung in den 12 vorangegangenen Monaten.</li> <li><strong>Italien</strong> (D.Lgs. 24/2023): durchschnittliche Beschäftigung des Vorjahres.</li> <li><strong>Spanien</strong> (Ley 2/2023): 50 Arbeitnehmer je Einheit; unter bestimmten Voraussetzungen konzernweite Kanäle zulässig.</li> </ul> <p><strong>Die Schwelle gilt je juristischer Person</strong>, nicht je Konzern. Mutter- und Tochtergesellschaft sind für Art. 8 getrennte Einheiten, sofern nationales Recht nichts anderes bestimmt. Art. 8 Abs. 6 lässt gemeinsame Ressourcen in Konzernen bis 249 Arbeitnehmer zu — die Pflicht zur Einrichtung eines Kanals entsteht jedoch weiterhin je Einheit, wenn die 50-Personen-Schwelle überschritten ist.</p> <p><strong>Dienstleister, Leiharbeiter und Praktikanten</strong> zählen grundsätzlich in die Schwelle, wenn sie unter den nationalen Arbeitnehmerbegriff fallen — der unionsrechtlich weiter ist als „Arbeitnehmer" im engen Sinne. Der Gerichtshof hat durchgehend entschieden, dass der unionsrechtliche Arbeitnehmerbegriff jede Person umfasst, die gegen Entgelt Leistungen nach Weisung eines anderen erbringt (siehe <em>Lawrie-Blum</em>, Rs. C-66/85).</p> <p><strong>EthicsPortal setzt dies um durch</strong> einen zugriffsoffenen Ansatz ohne Kopfzahl-Beschränkung. Jede Organisation kann ein Portal bereitstellen, unabhängig von der Größe. Organisationen unter der 50-Beschäftigten-Schwelle betreiben häufig freiwillig ein Portal — aus Risikomanagement-Gründen, weil nationales Recht für ihren Sektor eine niedrigere Schwelle vorsieht (z. B. Finanzdienstleister) oder weil eine Konzernrichtlinie dies vorschreibt.</p> <hr> <h2 id="4-die-bestätigungsfrist-art-9-abs-1-lit-b"> §4. Die Bestätigungsfrist (Art. 9 Abs. 1 lit. b) <a href="#4-die-best%c3%a4tigungsfrist-art-9-abs-1-lit-b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 9 Abs. 1 lit. b verlangt die Bestätigung des Eingangs „innerhalb von sieben Tagen nach Eingang". Die Richtlinie legt weder Kalender- noch Werktage fest; auch nicht, wann die Frist bei außerhalb der Geschäftszeiten eingegangenen Meldungen beginnt.</p> <p><strong>Die Richtlinie bestimmt</strong> die Bestätigung „innerhalb von sieben Tagen nach Eingang". Weitere Konkretisierung fehlt.</p> <p><strong>In der Praxis bedeutet dies</strong> sieben <strong>Kalendertage</strong>, beginnend mit dem Zeitpunkt, zu dem die Meldung im Kanal eingeht. Dies entspricht dem Grundsatz, dass unionsrechtliche Fristen in Kalendertagen laufen, sofern nichts anderes bestimmt ist (Verordnung (EWG, Euratom) Nr. 1182/71, Art. 3). Die Umsetzungen der Mitgliedstaaten behandeln die Sieben-Tage-Frist konsistent als Kalendertage (§ 17 Abs. 1 Nr. 2 HinSchG; D.Lgs. 24/2023 Art. 5 Abs. 1 lit. d; Loi Waserman Art. 8).</p> <p>Eine Meldung, die sonntags um 23:59 Uhr abgegeben wird, gilt als an diesem Sonntag eingegangen. Die Sieben-Tage-Frist beginnt am Folgetag (Tag 1 = Montag) und endet mit Ablauf des siebten Tages. Dies entspricht Art. 3 Abs. 1 der Verordnung 1182/71, wonach bei einer in Tagen bemessenen Frist der Tag des auslösenden Ereignisses nicht zählt.</p> <p><strong>Die Bestätigung ist nicht identisch mit der inhaltlichen Rückmeldung.</strong> Die Bestätigung ist ein Empfangsnachweis. Sie muss keine Bewertung der Meldung oder den Namen der bearbeitenden Person enthalten.</p> <p><strong>EthicsPortal setzt dies um durch</strong> automatische Bestätigung im Moment der Abgabe — angezeigt im Portal und (bei vorhandenen Kontaktdaten) per E-Mail. Die Bestätigung enthält die Vorgangs-ID und die gesetzliche Drei-Monats-Rückmeldefrist. Organisationen mit manueller Bestätigung erhalten Fristenerinnerungen 48 Stunden vor Ablauf der Sieben-Tage-Frist und am Tag des Ablaufs.</p> <hr> <h2 id="5-die-rückmeldefrist-art-9-abs-1-lit-f"> §5. Die Rückmeldefrist (Art. 9 Abs. 1 lit. f) <a href="#5-die-r%c3%bcckmeldefrist-art-9-abs-1-lit-f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 9 Abs. 1 lit. f verlangt eine Rückmeldung „innerhalb eines angemessenen Zeitrahmens von höchstens drei Monaten nach der Bestätigung des Eingangs oder, wenn keine Bestätigung erfolgt ist, drei Monaten nach Ablauf von sieben Tagen nach der Meldung". Die Richtlinie definiert nicht, was als „Rückmeldung" gilt.</p> <p><strong>Die Richtlinie bestimmt</strong>, dass „Rückmeldung" die „Unterrichtung des Hinweisgebers über die aufgrund der Meldung ergriffenen oder geplanten Folgemaßnahmen und die Gründe für solche Folgemaßnahmen" ist (Art. 5 Nr. 13).</p> <p><strong>In der Praxis bedeutet dies</strong>, dass die Rückmeldung inhaltlich sein muss. Eine erneute Bestätigung oder ein Hinweis, die Meldung sei „in Prüfung", ist keine Rückmeldung im Sinne von Art. 9 Abs. 1 lit. f. Die hinweisgebende Person hat nach spätestens drei Monaten Anspruch darauf, zu erfahren, welche Maßnahme die Organisation ergreifen wird (oder ergriffen hat) und warum.</p> <p>Die Rückmeldung muss nicht abschließend sein. Eine Organisation kann mitteilen, dass die Sache weiterhin geprüft wird — sofern sie zugleich darlegt, was bisher geschehen ist, welche weiteren Schritte geplant sind und wann eine weitere Aktualisierung zu erwarten ist. Erforderlich sind Informationen, die der hinweisgebenden Person eine Bewertung erlauben, ob die Meldung ernsthaft bearbeitet wird.</p> <p><strong>Die Drei-Monats-Frist läuft ab dem Datum der Bestätigung</strong>, nicht ab dem Datum der Abgabe. Verzögerte Bestätigungen verkürzen das Fenster entsprechend — die späteste zulässige Rückmeldung ist drei Monate und sieben Tage nach Abgabe.</p> <p><strong>EthicsPortal setzt dies um durch</strong> Überwachung beider Fristen (7-Tage-Bestätigung, 3-Monats-Rückmeldung) je Fall und Überfälligkeits-Alerts an alle Admins. Die Rückmeldung an die hinweisgebende Person erfolgt über den zweiseitigen Nachrichtenkanal des Portals, der die Anonymität nicht offengelegter Identitäten wahrt.</p> <hr> <h2 id="6-sorgfältige-folgenbearbeitung-art-9-abs-1-lit-d"> §6. Sorgfältige Folgenbearbeitung (Art. 9 Abs. 1 lit. d) <a href="#6-sorgf%c3%a4ltige-folgenbearbeitung-art-9-abs-1-lit-d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 9 Abs. 1 lit. d verlangt eine „sorgfältige Folgenbearbeitung durch die benannte Person oder Abteilung gemäß Buchstabe c". „Sorgfältig" ist nicht definiert.</p> <p><strong>Die Richtlinie bestimmt</strong>, dass Folgenbearbeitung „jede vom Empfänger einer Meldung oder von einer zuständigen Behörde ergriffene Maßnahme zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß" ist (Art. 5 Nr. 12).</p> <p><strong>In der Praxis bedeutet dies</strong>, dass sorgfältige Folgenbearbeitung drei operative Mindestbestandteile hat:</p> <ol> <li><strong>Bewertung.</strong> Eine dokumentierte Prüfung, ob die Behauptungen, soweit zutreffend, einen Verstoß innerhalb des sachlichen Anwendungsbereichs der Richtlinie (Art. 2) oder der nationalen Umsetzung darstellen.</li> <li><strong>Angemessene Ermittlung.</strong> Ermittlungsschritte, die der Schwere des mutmaßlichen Verstoßes, der Beweislage und dem potenziellen Schaden angemessen sind. Nicht jede Meldung erfordert eine vollständige Untersuchung; eine unsubstantiierte Meldung kann mit dokumentierter Begründung geschlossen werden. Konkrete, gestützte Meldungen erfordern mehr.</li> <li><strong>Zeitnahe Dokumentation.</strong> Ergriffene Maßnahmen, getroffene Entscheidungen und deren Begründung sind im Moment des Geschehens festzuhalten. Eine sorgfältige Bearbeitung ohne Spur ist von keiner Bearbeitung nicht unterscheidbar.</li> </ol> <p>„Sorgfältig" ist ein objektiver Maßstab. Subjektive Gutgläubigkeit genügt nicht. Eine Organisation, die Meldungen routinemäßig ohne Prüfung schließt oder Monate bis zur Aktenanlage vergehen lässt, handelt nicht sorgfältig — auch wenn sie sich für sorgfältig hält.</p> <p><strong>EthicsPortal setzt dies um durch</strong> einen Fall-Workflow mit Statusübergängen (eingegangen, bestätigt, in Prüfung, abgeschlossen), interne Notizen für die Zusammenarbeit und ein revisionssicheres Audit-Protokoll, das jede Aktion mit Zeitstempel und ausführender Person festhält. Das Audit-Protokoll ist der zentrale Sorgfaltsnachweis im Audit oder vor der Aufsicht.</p> <hr> <h2 id="7-vertraulichkeit-der-identität-art-16"> §7. Vertraulichkeit der Identität (Art. 16) <a href="#7-vertraulichkeit-der-identit%c3%a4t-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 16 Abs. 1 verlangt, dass die Identität der hinweisgebenden Person nicht über den Kreis der befugten Mitarbeitenden hinaus offengelegt wird. Die Richtlinie sagt nicht, ob „Identität" auch Metadaten umfasst, die eine Identifizierung ermöglichen (IP-Adressen, Browser-Fingerprints, Metadaten von Dateien, Zeitstempelmuster).</p> <p><strong>Die Richtlinie bestimmt</strong>, dass „die Identität des Hinweisgebers ohne dessen ausdrückliche Einwilligung keinen anderen Personen als den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für Folgemaßnahmen zuständig sind, offengelegt wird" (Art. 16 Abs. 1).</p> <p><strong>In der Praxis bedeutet dies</strong>, dass „Identität" funktional zu lesen ist: Erfasst sind alle Informationen, die — allein oder in Kombination — eine Identifizierung erlauben. Diese Lesart entspricht der DSGVO-Definition personenbezogener Daten (Art. 4 Nr. 1 DSGVO) und der ständigen Position des Europäischen Datenschutzausschusses, dass Identifizierbarkeit kontextabhängig ist.</p> <p>Als Identitätsinformation gelten:</p> <ul> <li>Name, Kontaktdaten und andere Angaben der hinweisgebenden Person über sich selbst.</li> <li>Die <strong>IP-Adresse</strong>, von der die Meldung abgegeben wurde.</li> <li><strong>Dateimetadaten</strong> in hochgeladenen Dokumenten (Autorenname, GPS-Koordinaten in Fotos, Geräte-IDs, Änderungshistorie in Office-Dokumenten).</li> <li>Zeitstempel- oder Zugriffsmuster, die eine einzelne Person eindeutig identifizieren (z. B. eine Meldung zu einem Zeitpunkt, an dem nur ein Beschäftigter sie plausibel abgeben konnte).</li> </ul> <p>Organisationen, die IP-Adressen hinweisgebender Personen speichern oder Uploads ohne Metadaten-Bereinigung annehmen, sind einer Vertraulichkeitsverletzung ausgesetzt, die technisch ein Verstoß gegen Art. 16 ist — auch wenn der Name nie offengelegt wird.</p> <p><strong>EthicsPortal setzt dies um durch</strong> konsequenten Verzicht auf IP-Speicherung (Rate-Limiting über unumkehrbare Einweg-Hashes), Entfernung von EXIF- und Dokument-Metadaten vor Speicherung sowie nicht-deterministische Verschlüsselung der Identitätsfelder (so dass auch voller Datenbankzugriff keine Massensuche nach Namen erlaubt).</p> <hr> <h2 id="8-speicherdauer-art-18"> §8. Speicherdauer (Art. 18) <a href="#8-speicherdauer-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 18 Abs. 1 verlangt, dass Aufzeichnungen „nicht länger als nötig und angemessen" aufbewahrt werden, um die Anforderungen dieser Richtlinie oder anderer Unions- oder nationaler Vorgaben zu erfüllen. Eine Höchstdauer nennt die Richtlinie nicht.</p> <p><strong>Die Richtlinie bestimmt</strong> den Maßstab „erforderlich und angemessen", gebunden an Compliance-Zwecke.</p> <p><strong>In der Praxis bedeutet dies</strong>, dass die Speicherung einen konkreten rechtlichen oder betrieblichen Zweck haben muss, zeitlich begrenzt und im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert ist. Ohne laufende Ermittlung, Rechtsstreit oder besondere gesetzliche Pflicht wird eine Speicherung über den Abschluss hinaus zunehmend schwerer zu rechtfertigen.</p> <p>Typische Begründungen und übliche Dauern:</p> <table> <thead> <tr> <th>Zweck</th> <th>Typische Speicherdauer</th> </tr> </thead> <tbody> <tr> <td>Laufender Fall (Eingang bis Abschluss)</td> <td>Falldauer</td> </tr> <tr> <td>Nachfolgende Ermittlung oder Rechtsstreit</td> <td>Bis zum endgültigen Abschluss</td> </tr> <tr> <td>Regulatorischer Nachweis</td> <td>Vom Sektorrecht bestimmte Dauer (häufig 5 Jahre im Finanzsektor)</td> </tr> <tr> <td>Schutz vor Repressalienansprüchen (Art. 21)</td> <td>Nationale Verjährung für arbeitsrechtliche Ansprüche (meist 2–5 Jahre)</td> </tr> <tr> <td>Statistische Berichte nach Art. 27 Abs. 2</td> <td>Nur anonymisierte Daten; personenbezogene Daten minimieren oder löschen</td> </tr> </tbody> </table> <p>Nationale Umsetzungen können konkrete Zeiträume setzen:</p> <ul> <li><strong>Deutschland</strong> (§ 11 Abs. 5 HinSchG): Löschung der Dokumentation drei Jahre nach Abschluss des Verfahrens; längere Aufbewahrung nur, wenn andere Gesetze dies erfordern.</li> <li><strong>Frankreich</strong> (CNIL-Leitlinien zur Loi Waserman): fallbezogen kalibriert; Routinefälle werden i. d. R. binnen zwei Monaten nach Abschluss gelöscht, wenn keine Folgemaßnahme erfolgt.</li> <li><strong>Italien</strong> (D.Lgs. 24/2023 Art. 14): fünf Jahre ab Abschluss der Meldung, unter DSGVO-Datenminimierung.</li> </ul> <p>Eine pauschale Aufbewahrung aus Bequemlichkeit („wir behalten alles 10 Jahre") ist weder mit Art. 18 noch mit Art. 5 Abs. 1 lit. e DSGVO vereinbar. Die Speicherdauer muss an den Zweck gebunden sein.</p> <p><strong>EthicsPortal setzt dies um durch</strong> konfigurierbare Aufbewahrungsdauern (12, 24, 36, 60 Monate) mit automatischer Löschung abgeschlossener Fälle nach Ablauf. Die Voreinstellung entspricht der kürzesten Dauer, die die meisten nationalen Umsetzungen erfüllen. Organisationen mit längeren sektoralen Aufbewahrungspflichten passen die Dauer entsprechend an.</p> <hr> <h2 id="9-rechtsgrundlage-der-verarbeitung-dsgvo-überlagerung"> §9. Rechtsgrundlage der Verarbeitung (DSGVO-Überlagerung) <a href="#9-rechtsgrundlage-der-verarbeitung-dsgvo-%c3%bcberlagerung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 17 der Richtlinie verlangt, dass die Verarbeitung personenbezogener Daten der DSGVO entspricht. Die Richtlinie selbst ist keine Rechtsgrundlage nach Art. 6 DSGVO — der Verantwortliche muss die konkrete Rechtsgrundlage benennen.</p> <p><strong>Die Richtlinie bestimmt</strong>, dass die Verarbeitung „gemäß der Verordnung (EU) 2016/679 durchgeführt werden muss" (Art. 17).</p> <p><strong>In der Praxis bedeutet dies</strong>, dass die Rechtsgrundlage <strong>Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung</strong> ist, wenn die Organisation zum Betrieb eines Meldekanals rechtlich verpflichtet ist. Für Organisationen oberhalb der 50-Personen-Schwelle (oder unterhalb, wenn sektorspezifisches Recht dies auferlegt) ist Art. 6 Abs. 1 lit. c die richtige und ausreichende Grundlage. Eine Einwilligung der hinweisgebenden Person ist nicht erforderlich und sollte nicht eingeholt werden — sie würde ein theoretisches Widerrufsrecht begründen, das der Verantwortliche nicht erfüllen kann.</p> <p>Für Organisationen, die einen Meldekanal <strong>freiwillig</strong> betreiben (unterhalb der 50-Personen-Schwelle und ohne sektorale Pflicht), ist die Rechtsgrundlage <strong>Art. 6 Abs. 1 lit. f — berechtigtes Interesse</strong>, unter dokumentierter Abwägung. Das berechtigte Interesse an Prävention und Aufklärung organisationsinterner Verstöße ist anerkannt und in nationalen Leitlinien durchgängig bestätigt.</p> <p>Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) können beiläufig in Meldungen vorkommen — eine Diskriminierungsmeldung kann Gesundheits- oder ethnische Daten offenlegen. Die Rechtsgrundlage für Art.-9-Daten ist i. d. R. Art. 9 Abs. 2 lit. g — erhebliches öffentliches Interesse, sofern die Verarbeitung verhältnismäßig ist und besondere Schutzmaßnahmen vorsieht. Meldungen mit strafrechtlichem Bezug (Art. 10 DSGVO) werden nach der entsprechenden nationalen Grundlage zu Art. 10 verarbeitet.</p> <p><strong>EthicsPortal setzt dies um durch</strong> Dokumentation von Art. 6 Abs. 1 lit. c DSGVO als Standard-Rechtsgrundlage im AVV und in den Datenschutzhinweisen. Organisationen unter der gesetzlichen Schwelle passen die Datenschutzhinweise auf Art. 6 Abs. 1 lit. f an und dokumentieren die Abwägung separat.</p> <hr> <h2 id="10-vorrang-nationalen-rechts-art-25"> §10. Vorrang nationalen Rechts (Art. 25) <a href="#10-vorrang-nationalen-rechts-art-25" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Art. 25 Abs. 1 erlaubt den Mitgliedstaaten die Einführung oder Beibehaltung günstigerer Vorschriften zugunsten der Rechte hinweisgebender Personen. Die Richtlinie regelt nicht, wie Betreiber Konflikte lösen, wenn nationales Recht strenger ist.</p> <p><strong>Die Richtlinie bestimmt</strong> in Art. 25 Abs. 1, dass „die Mitgliedstaaten Bestimmungen einführen oder beibehalten [können], die für die Rechte der Hinweisgeber günstiger sind als die in dieser Richtlinie festgelegten Bestimmungen, unbeschadet des Artikels 22 [Rechte der betroffenen Personen] und des Artikels 23 Absatz 2 [Sanktionen bei wissentlich falschen Meldungen]".</p> <p><strong>In der Praxis bedeutet dies</strong>, dass bei strengerer nationaler Umsetzung <strong>das nationale Recht gilt</strong> — für Organisationen mit Tätigkeit in diesem Mitgliedstaat. Ein Rückgriff auf den Richtlinien-Mindeststandard ist nicht möglich, wenn das lokale Recht strenger ist. Die Richtlinie setzt ein Minimum, keine Obergrenze.</p> <p>Beispiele strengerer nationaler Regelungen:</p> <ul> <li><strong>Deutschland</strong> erweitert den Schutzbereich ausdrücklich auf bestimmte Verstoßkategorien über den sachlichen Anwendungsbereich der Richtlinie hinaus (§ 2 HinSchG).</li> <li><strong>Frankreich</strong> verlangt in bestimmten Sektoren (AMF, ACPR) kürzere Rückmeldezeiten als das Richtlinien-Minimum.</li> <li><strong>Italien</strong> setzt eine niedrigere Schwelle (50, sektorspezifisch auch ohne Schwelle) und spezifische Dokumentationsformalitäten.</li> <li><strong>Polen</strong> stellt spezifische Anforderungen an die Form der Kanal-Richtlinie, die die Richtlinie selbst nicht enthält.</li> </ul> <p><strong>Für grenzüberschreitend tätige Organisationen</strong> gilt: in jedem Rechtsraum das Strengere aus (Richtlinie, nationales Recht) anwenden. Häufig empfiehlt sich eine einheitliche Konzernrichtlinie am strengsten anwendbaren nationalen Standard. Das ist meist besser als parallele Richtlinien pro Land, die den Verwaltungsaufwand und das Risiko falscher Rechtsanwendung erhöhen.</p> <p><strong>EthicsPortal setzt dies um durch</strong> Voreinstellungen auf dem strengsten gemeinsamen Nenner der 27 Mitgliedstaaten: kürzeste Bestätigungs- und Rückmeldefristen, engste Aufbewahrungsdauer, umfassendste Hinweise zum Repressalienverbot. Organisationen in einem einzigen Rechtsraum können einzelne Vorgaben an nationales Recht anpassen; die Basis liegt jedoch jeweils über dem Richtlinien-Minimum, wo nationale Umsetzungen dies tun.</p> <hr> <h2 id="11-anonyme-meldungen-art-6-abs-2-art-9-abs-1-lit-e"> §11. Anonyme Meldungen (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. e) <a href="#11-anonyme-meldungen-art-6-abs-2-art-9-abs-1-lit-e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Die Frage.</strong> Muss eine Organisation anonyme Meldungen akzeptieren?</p> <p><strong>Die Richtlinie bestimmt</strong> in Art. 6 Abs. 2, dass sie „die Befugnis der Mitgliedstaaten, zu entscheiden, ob juristische Personen […] anonyme Meldungen entgegennehmen und weiterverfolgen müssen, nicht berührt". Art. 9 Abs. 1 lit. e verlangt „sorgfältige Folgenbearbeitung, soweit im nationalen Recht vorgesehen, auch bei anonymen Meldungen".</p> <p><strong>In der Praxis bedeutet dies</strong>, dass das nationale Recht entscheidet. Zwei Ausprägungen:</p> <ul> <li><strong>Pflicht</strong> in bestimmten Rechtsräumen oder Sektoren (z. B. im französischen Finanzsektor).</li> <li><strong>Erlaubt</strong> in den meisten Mitgliedstaaten — Deutschland (HinSchG), Italien (D.Lgs. 24/2023, mit Pflicht zur sorgfältigen Folgenbearbeitung nach Annahme), Polen (Ustawa o ochronie sygnalistów) und andere.</li> </ul> <p>Drei Folgen:</p> <p><strong>Nach Annahme verbindlich.</strong> Eine Organisation, die öffentlich erklärt, „wir nehmen anonyme Meldungen entgegen", löst Art. 9 Abs. 1 lit. e aus. Die Pflicht haftet an der Richtlinie, nicht an der einzelnen Meldung.</p> <p><strong>Repressalienverbot erst ab Identifikation.</strong> Art. 21 kann keine unbekannte Person schützen. Während der Anonymitätsphase ergriffene Handlungen sind nicht rückwirkend erfasst.</p> <p><strong>Anonymität ist ein technischer Standard, kein Versprechen.</strong> Ein Formular, das eine E-Mail abfragt, ist nicht anonym. Ein Kanal, der IP-Adressen protokolliert, ist nicht anonym. Die Vertraulichkeit nach Art. 16 schützt eine bekannte Identität vor Offenlegung; Anonymität verhindert Identifizierung.</p> <p><strong>EthicsPortal setzt dies um durch</strong> standardmäßige Annahme anonymer Meldungen. Kontaktdaten sind nicht erforderlich. IP-Adressen werden nie gespeichert (Rate-Limiting über unumkehrbare Einweg-Hashes). Dateimetadaten werden vor Speicherung entfernt. Organisationen können das Portal so konfigurieren, dass Kontaktdaten erforderlich sind, wo das nationale Recht identifizierte Meldungen verlangt. Angenommene anonyme Meldungen folgen demselben Fall-Workflow, denselben Fristen und demselben Sorgfaltsmaßstab wie identifizierte.</p> <hr> <h2 id="revisionsprotokoll"> Revisionsprotokoll <a href="#revisionsprotokoll" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>April 2026</strong> — §11 zu anonymen Meldungen ergänzt (Art. 6 Abs. 2, Art. 9 Abs. 1 lit. e).</li> <li><strong>April 2026</strong> — Erstveröffentlichung.</li> </ul> <hr> <h2 id="korrekturen-und-anfragen"> Korrekturen und Anfragen <a href="#korrekturen-und-anfragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dieses Dokument ist zur Zitation und zur Grundlage operativer Entscheidungen gedacht. Wenn Sie einen Fehler, eine Position im Widerspruch zu einem Urteil des Gerichtshofs, einer Stellungnahme des Europäischen Datenschutzausschusses oder verbindlichen nationalen Leitlinien erkennen, schreiben Sie an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>. Korrekturen werden mit Datum und Zusammenfassung im Revisionsprotokoll veröffentlicht.</p> <p>Für Fragen, wie eine Auslegung auf Ihre konkreten Umstände anzuwenden ist, ersetzt dieses Dokument keine Rechtsberatung. Wenden Sie sich an eine qualifizierte Rechtsabteilung oder Anwaltskanzlei in Ihrem Rechtsraum.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/pricing/Einfache, transparente Preise für EthicsPortal. Ein Tarif, alles enthalten. Keine Pro-Kopf-Gebühren.<p><strong>Interne Lösung erwogen?</strong> Art. 9 Abs. 1 der Richtlinie 2019/1937 verlangt die Wahrung der Vertraulichkeit der Identität hinweisgebender Personen, eine unparteiische Folgenbearbeitung und einen restriktiven Zugriff auf Meldungen. Ein interner Meldekanal läuft über dieselben IT-Administratoren, Backup-Systeme und Legal-Hold-Werkzeuge, die auch jedes andere System im Unternehmen berühren — und die Datenschutz-Folgenabschätzung muss dokumentieren, wie die verantwortliche Stelle sich selbst daran hindert, auf Daten über sich selbst zuzugreifen. Der externe Betrieb nach Art. 8 Abs. 5 umgeht beide Probleme.</p> <p><a href="/de/faq/">Mehr in der FAQ →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/sla/Monatliches Verfügbarkeitsziel für das Meldeportal und das Bearbeitungsportal von EthicsPortal, Messmethode und Ausnahmen.<h1 id="service-level-agreement"> Service Level Agreement <a href="#service-level-agreement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal verpflichtet sich zu einem monatlichen Verfügbarkeitsziel für das Meldeportal und das Bearbeitungsportal. Diese Seite nennt das Ziel, die Messmethode und die Ausnahmen.</p> <p>Zuletzt aktualisiert: 22. April 2026.</p> <hr> <h2 id="verfügbarkeitsziel"> Verfügbarkeitsziel <a href="#verf%c3%bcgbarkeitsziel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>99,5 % monatliche Verfügbarkeit</strong> für:</p> <ul> <li>das Hinweisgeber-Meldeportal — die Oberfläche, auf der hinweisgebende Personen Meldungen abgeben und den Stand einsehen.</li> <li>das Bearbeitungsportal — die Oberfläche, auf der benannte Fallbearbeitende Fälle einsehen und bearbeiten.</li> </ul> <p>99,5 % monatlich entsprechen rund 3 Stunden 36 Minuten ungeplanter Ausfallzeit je Kalendermonat.</p> <p>Marketing-Website und Dokumentation werden bestmöglich betrieben, fallen aber nicht unter diese Zusage.</p> <hr> <h2 id="messung"> Messung <a href="#messung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Verfügbarkeit wird monatlich als Prozentsatz der Minuten gemessen, in denen die abgedeckten Oberflächen HTTP-Anfragen mit einem nicht-fehlerhaften Status beantworten. Die Messung erfolgt durch einen externen Monitoring-Dienst, nicht durch Selbstauskunft.</p> <hr> <h2 id="was-auf-die-verfügbarkeit-angerechnet-wird"> Was auf die Verfügbarkeit angerechnet wird <a href="#was-auf-die-verf%c3%bcgbarkeit-angerechnet-wird" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Ausfälle der EthicsPortal-Anwendungsinfrastruktur.</li> <li>Ausfälle von Unterauftragsverarbeitern (Hosting, E-Mail, Objektspeicher), die eine abgedeckte Oberfläche beeinträchtigen.</li> <li>Sicherheitsvorfälle, die das Offline-Nehmen einer abgedeckten Oberfläche erfordern.</li> </ul> <p>Ausfälle von Unterauftragsverarbeitern sind nicht ausgenommen. Die Zusage bildet ab, was Bearbeitende und hinweisgebende Personen tatsächlich erleben.</p> <hr> <h2 id="ausnahmen"> Ausnahmen <a href="#ausnahmen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nicht in die Verfügbarkeit eingerechnet werden:</p> <ul> <li><strong>Geplante Wartung</strong>, die mindestens 48 Stunden im Voraus angekündigt wird. Sie findet außerhalb europäischer Geschäftszeiten statt und dauert in der Regel unter 30 Minuten.</li> <li><strong>Höhere Gewalt</strong> — regionale Internetstörungen, Naturkatastrophen, Ausfälle von DNS oder Zertifizierungsstellen außerhalb unserer Lieferkette.</li> <li><strong>Unbefugte Nutzung oder Missbrauch</strong>, die Schutzmaßnahmen wie Rate-Limiting oder Kontosperrung erfordern.</li> </ul> <hr> <h2 id="offenlegung-von-ausfällen"> Offenlegung von Ausfällen <a href="#offenlegung-von-ausf%c3%a4llen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wesentliche Ausfälle werden im <a href="/de/incidents/">Störungsregister</a> dokumentiert. Jeder Ausfall über zwei Stunden auf einer abgedeckten Oberfläche führt zu einem Registereintrag.</p> <p>Monatliche Verfügbarkeitszahlen werden Bearbeitenden auf Anfrage übermittelt.</p> <hr> <h2 id="service-credits"> Service-Credits <a href="#service-credits" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Self-Serve-Tarife enthalten keine monetären Service-Credits. Rechtsbehelfe bei wesentlichen oder wiederholten Verstößen sind in den <a href="/de/terms/">AGB</a> und im <a href="/de/dpa/">Auftragsverarbeitungsvertrag</a> geregelt. Soweit gesetzlich zulässig, fallen Ansprüche aus oder im Zusammenhang mit diesem SLA unter dieselbe aggregierte Haftungsobergrenze, die für den Dienst gilt.</p> <hr> <h2 id="fragen"> Fragen <a href="#fragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Für Fragen zur Verfügbarkeit oder zur Anforderung monatlicher Verfügbarkeitszahlen: <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/security/Technische Sicherheitsmaßnahmen in EthicsPortal — Verschlüsselung, Anonymität, Zugriffskontrolle, Audit-Protokollierung und Infrastrukturdetails für die Compliance-Prüfung.<h1 id="sicherheit"> Sicherheit <a href="#sicherheit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal verarbeitet sensible Hinweisgeberdaten. Diese Seite dokumentiert die technischen und organisatorischen Maßnahmen, die wir dafür umsetzen. Sie richtet sich an Compliance-Verantwortliche, Datenschutzbeauftragte und Rechtsabteilungen, die die Plattform bewerten.</p> <p>Zuletzt aktualisiert: 22. April 2026.</p> <hr> <h2 id="datenverschlüsselung"> Datenverschlüsselung <a href="#datenverschl%c3%bcsselung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Alle sensiblen Felder werden mit Rails Active Record Encryption <strong>nicht-deterministisch</strong> verschlüsselt (jede Verschlüsselung erzeugt einen einzigartigen Chiffretext und verhindert Mustererkennung).</p> <table> <thead> <tr> <th>Feld</th> <th>Verschlüsselt</th> <th>Deterministisch</th> </tr> </thead> <tbody> <tr> <td>Meldungsbeschreibung</td> <td>Ja</td> <td>Nein</td> </tr> <tr> <td>Name der hinweisgebenden Person</td> <td>Ja</td> <td>Nein</td> </tr> <tr> <td>Kontaktdaten der hinweisgebenden Person</td> <td>Ja</td> <td>Nein</td> </tr> <tr> <td>Nachrichteninhalt (hinweisgebende Person ↔ Fallbearbeitung)</td> <td>Ja</td> <td>Nein</td> </tr> </tbody> </table> <p>Nicht-deterministische Verschlüsselung bedeutet, dass diese Felder auf Datenbankebene nicht nach Wert abfragbar sind. Auch bei vollem Datenbankzugriff kann ein Angreifer keine bestimmten Namen datensatzübergreifend finden.</p> <p>Alle Verbindungen zu EthicsPortal laufen über <strong>HTTPS/TLS</strong>. Unverschlüsselte HTTP-Anfragen werden weitergeleitet.</p> <hr> <h2 id="anonymität-und-datenschutz"> Anonymität und Datenschutz <a href="#anonymit%c3%a4t-und-datenschutz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="ip-anonymisierung"> IP-Anonymisierung <a href="#ip-anonymisierung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal <strong>speichert niemals IP-Adressen</strong>. Portal-Routen (Meldungsabgabe, Fallabruf, Nachrichten) nutzen ausschließlich für das Rate-Limiting einen Einweg-SHA256-Hash der IP-Adresse. Der Hash ist nicht umkehrbar — aus dem gespeicherten Wert lässt sich die ursprüngliche IP nicht rekonstruieren.</p> <p>Dies gilt für alle portal-seitigen Endpunkte. Keine IP-Adresse wird in irgendein Protokoll, Datenbankfeld oder Analytics-System geschrieben.</p> <h3 id="entfernung-von-dateimetadaten"> Entfernung von Dateimetadaten <a href="#entfernung-von-dateimetadaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Hochgeladene Dateien werden <strong>vor</strong> der Speicherung automatisch von identifizierenden Metadaten bereinigt:</p> <table> <thead> <tr> <th>Dateityp</th> <th>Entfernte Metadaten</th> <th>Methode</th> </tr> </thead> <tbody> <tr> <td>Bilder (JPEG, PNG, TIFF, WebP)</td> <td>EXIF-Daten: GPS-Koordinaten, Kameramodell, Seriennummer, Autor, Zeitstempel</td> <td>Vips-Bildverarbeitung</td> </tr> <tr> <td>PDF-Dokumente</td> <td>Autor, Erstellerprogramm, Änderungshistorie</td> <td>exiftool</td> </tr> <tr> <td>Video-Dateien</td> <td>GPS, Geräte-Info, Aufnahmesoftware</td> <td>exiftool</td> </tr> <tr> <td>Audio-Dateien</td> <td>Aufnahmegerät, GPS, Software-Tags</td> <td>exiftool</td> </tr> </tbody> </table> <p>Hinweisgebende Personen müssen nicht darauf vertrauen, dass ihre Dateien sicher sind — Metadaten werden serverseitig entfernt, unabhängig vom Dateiinhalt.</p> <h3 id="virenprüfung"> Virenprüfung <a href="#virenpr%c3%bcfung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Alle hochgeladenen Dateien werden automatisch mit <a href="https://www.clamav.net">ClamAV</a>, einer Open-Source-Antivirenlösung, geprüft. Die Prüfung erfolgt serverseitig in einem Hintergrundprozess nach dem Upload. Infizierte Dateien werden automatisch entfernt und erreichen die Fallbearbeitung nicht.</p> <p>Die Prüfung erfolgt auf EthicsPortal-Infrastruktur — es werden keine Dateidaten an Drittdienste übermittelt.</p> <h3 id="anonymität-der-fallbearbeitung"> Anonymität der Fallbearbeitung <a href="#anonymit%c3%a4t-der-fallbearbeitung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Hinweisgebende Personen sehen nie die echten Namen oder E-Mail-Adressen der Personen, die ihre Meldung bearbeiten. Alle Nachrichten aus der Bearbeitung werden als <strong>„Fallbearbeitung"</strong> angezeigt. Damit wird die Identität geschützt und Social Engineering erschwert.</p> <h3 id="kein-tracking"> Kein Tracking <a href="#kein-tracking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal setzt keine Tracking-Cookies von Drittanbietern, keine Werbe-Pixel und keine Fingerprinting-Skripte ein. Wir nutzen <a href="https://www.cloudflare.com/web-analytics/">Cloudflare Web Analytics</a> ausschließlich auf Marketing-Seiten — cookielos, ohne personenbezogene Daten, vollständig DSGVO-konform. Das Hinweisgeberportal selbst enthält keine Analyse-Tools.</p> <h3 id="aktueller-nachweisstatus"> Aktueller Nachweisstatus <a href="#aktueller-nachweisstatus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal beansprucht auf dieser Website derzeit weder eine ISO-27001- noch eine SOC-2- oder gleichwertige Zertifizierung. Ebenso wird derzeit kein unabhängiger Drittbericht zur Anonymitätsarchitektur veröffentlicht. Falls sich das ändert, werden Umfang und Datum hier veröffentlicht.</p> <h3 id="unterlagen-für-den-sicherheitsreview"> Unterlagen für den Sicherheitsreview <a href="#unterlagen-f%c3%bcr-den-sicherheitsreview" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Kunden, die Unterlagen für Beschaffung oder Rechtsprüfung benötigen, können diese im Rahmen des Reviews anfordern. Verfügbare Unterlagen können einen gegengezeichneten AVV, Register- und Steuernachweise, einen ausgefüllten Sicherheitsfragebogen sowie schriftliche Antworten zu Backup- und Restore-Verfahren, privilegiertem Produktionszugang und Incident Response umfassen.</p> <hr> <h2 id="zugriffskontrolle"> Zugriffskontrolle <a href="#zugriffskontrolle" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Autorisierung wird auf Anwendungsebene mit <a href="https://github.com/varvet/pundit">Pundit</a>-Richtlinien durchgesetzt.</p> <table> <thead> <tr> <th>Rolle</th> <th>Darf Meldungen einsehen</th> <th>Darf Organisationseinstellungen verwalten</th> <th>Darf Bearbeitende zuweisen</th> </tr> </thead> <tbody> <tr> <td>Admin</td> <td>Alle Meldungen</td> <td>Ja</td> <td>Ja</td> </tr> <tr> <td>Fallbearbeitung</td> <td>Nur zugewiesene Meldungen</td> <td>Nein</td> <td>Nein</td> </tr> </tbody> </table> <ul> <li>Bearbeitende sehen keine Meldungen, die ihnen nicht zugewiesen sind.</li> <li>Hinweisgebende Personen haben kein Nutzerkonto — der Zugriff erfolgt über eine Vorgangs-ID (<code>WB-XXXX-XXXX</code>) und einen 6-stelligen Zugangscode, den sie bei der Abgabe wählen.</li> <li>Jede Controller-Aktion prüft die Autorisierung. Unbefugte Zugriffsversuche werden blockiert und protokolliert.</li> </ul> <h3 id="zwei-faktor-authentifizierung"> Zwei-Faktor-Authentifizierung <a href="#zwei-faktor-authentifizierung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Konten der Fallbearbeitung und der Admins können TOTP-basierte 2FA über gängige Authenticator-Apps aktivieren (Google Authenticator, 1Password, Authy und kompatible Alternativen). Nach Aktivierung sind bei der Anmeldung die Hauptanmeldeinformation und ein rotierender 6-stelliger Code erforderlich.</p> <p>Auch hinweisgebende Personen authentifizieren mit zwei Faktoren: die Vorgangs-ID (etwas, das sie besitzen) und der selbst gewählte Zugangscode (etwas, das sie wissen). Der Zugangscode wird ausschließlich als bcrypt-Hash gespeichert und ist nicht wiederherstellbar. Das Nachverfolgungspostfach und das Versenden von Nachrichten sind an diese Prüfung gebunden — eine geleakte Vorgangs-ID allein genügt also nicht, um die Meldung einzusehen oder die hinweisgebende Person zu imitieren.</p> <h3 id="rate-limiting"> Rate-Limiting <a href="#rate-limiting" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Öffentliche Portal-Endpunkte sind rate-limitiert, um Missbrauch und Enumerationsangriffe zu verhindern:</p> <table> <thead> <tr> <th>Endpunkt</th> <th>Limit</th> </tr> </thead> <tbody> <tr> <td>Meldungsabgabe</td> <td>5 pro 10 Minuten je anonymisierter IP</td> </tr> <tr> <td>Fallabruf (Vorgangs-ID + Zugangscode)</td> <td>10 pro 3 Minuten je anonymisierter IP</td> </tr> <tr> <td>Nachrichtenversand</td> <td>10 pro 3 Minuten je anonymisierter IP</td> </tr> </tbody> </table> <p>Das Rate-Limiting nutzt den oben beschriebenen Einweg-Hash — es wird keine echte IP gespeichert.</p> <hr> <h2 id="audit-und-compliance"> Audit und Compliance <a href="#audit-und-compliance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="revisionssicheres-audit-protokoll"> Revisionssicheres Audit-Protokoll <a href="#revisionssicheres-audit-protokoll" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Jede Aktion in EthicsPortal wird protokolliert mit:</p> <ul> <li><strong>Zeitstempel</strong> (UTC)</li> <li><strong>Akteur</strong> (welcher Nutzer oder Systemprozess die Aktion ausgeführt hat)</li> <li><strong>Aktionstyp</strong> (Meldung erstellt, Status geändert, Nachricht gesendet, Bearbeitung zugewiesen, Meldung eingesehen, Meldung exportiert, Meldung gelöscht usw.)</li> </ul> <p>Die Protokolleinträge sind ausschließlich anzuhängen. Sie können von keiner Person — auch nicht von Organisations-Admins — bearbeitet oder gelöscht werden. Das vollständige Audit-Protokoll ist im PDF-Fallexport enthalten und steht der Aufsicht zur Verfügung.</p> <h3 id="aufbewahrungsdauer"> Aufbewahrungsdauer <a href="#aufbewahrungsdauer" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Organisationen legen ihre Aufbewahrungsdauer selbst fest: <strong>12, 24, 36 oder 60 Monate</strong> nach Abschluss einer Meldung. Nach Ablauf werden die Meldung und alle zugehörigen Daten (Nachrichten, Anhänge, Protokolleinträge) durch einen Hintergrund-Job automatisch und dauerhaft gelöscht.</p> <p>Damit werden die Anforderungen der DSGVO an die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und die Dokumentationspflichten der Richtlinie 2019/1937 (Art. 17–18) erfüllt.</p> <h3 id="csrf-schutz"> CSRF-Schutz <a href="#csrf-schutz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Alle Formularübermittlungen sind über Rails’ eingebaute CSRF-Tokens gegen Cross-Site Request Forgery geschützt.</p> <hr> <h2 id="infrastruktur"> Infrastruktur <a href="#infrastruktur" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Komponente</th> <th>Anbieter</th> <th>Standort</th> </tr> </thead> <tbody> <tr> <td>Anwendungs-Server und Datenbank</td> <td><a href="https://www.hetzner.com">Hetzner</a></td> <td>Nürnberg, Deutschland (EU)</td> </tr> <tr> <td>Dateispeicher</td> <td><a href="https://www.hetzner.com/storage/object-storage">Hetzner Object Storage</a></td> <td>Nürnberg, Deutschland (EU)</td> </tr> <tr> <td>Transaktionale E-Mails</td> <td><a href="https://www.mailjet.com">Mailjet</a></td> <td>Frankreich (EU)</td> </tr> <tr> <td>Zahlungsabwicklung</td> <td><a href="https://stripe.com">Stripe</a></td> <td>EU</td> </tr> </tbody> </table> <ul> <li>Die primäre Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union.</li> <li>Es werden keine Kreditkartennummern oder Zahlungsdaten auf EthicsPortal-Servern gespeichert. Die Zahlungsabwicklung übernimmt vollständig Stripe.</li> <li>Mailjet wird für transaktionale E-Mails genutzt (Benachrichtigungen an die Fallbearbeitung, nicht an hinweisgebende Personen). Mailjet hat seinen Sitz in Frankreich und verarbeitet alle Daten innerhalb der EU.</li> <li>Begrenzte Verarbeitungen im Zusammenhang mit der Marketing-Website und Admin-/Bearbeitungsoberflächen können veröffentlichte Unterauftragsverarbeiter außerhalb der EU/des EWR einbeziehen, derzeit Cloudflare und Honeybadger, wie auf der Seite <a href="/de/subprocessors/">Unterauftragsverarbeiter</a> beschrieben.</li> </ul> <hr> <h2 id="operativer-review"> Operativer Review <a href="#operativer-review" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Diese Seite ist eine öffentliche Sicherheitszusammenfassung. Ein Teil der operativen Unterlagen wird im Rahmen des Beschaffungsreviews bereitgestellt und nicht vollständig im offenen Web veröffentlicht, weil sie Infrastruktur- und Reaktionsdetails enthalten, die sich für eine kontrollierte Offenlegung besser eignen.</p> <p>Auf Anfrage im Beschaffungsreview verfügbare Themen sind unter anderem:</p> <ul> <li>Zusammenfassung von Backup und Restore</li> <li>Recovery-Ziele und Restore-Tests</li> <li>Zusammenfassung des privilegierten Produktionszugangs</li> <li>Incident-Response-Ablauf und Eskalationskontakte</li> <li>Business-Continuity- sowie Offboarding-/Export-Antworten</li> </ul> <hr> <h2 id="verantwortungsvolle-offenlegung"> Verantwortungsvolle Offenlegung <a href="#verantwortungsvolle-offenlegung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wenn Sie eine Sicherheitslücke in EthicsPortal entdecken, melden Sie diese bitte an <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>. Wir bitten Sie:</p> <ol> <li>die Lücke nicht öffentlich zu machen, bevor wir Gelegenheit zur Behebung hatten,</li> <li>genug Details bereitzustellen, damit wir das Problem reproduzieren und beheben können,</li> <li>nicht auf Daten anderer Kunden zuzugreifen oder diese zu verändern.</li> </ol> <p>Wir bestätigen Ihre Meldung innerhalb von 2 Werktagen und arbeiten an einer zeitnahen Behebung bestätigter Lücken.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/product/Konformen internen Meldekanal in wenigen Minuten bereitstellen — Portal-Konfiguration, Fallverwaltung und Audit-Exporte inklusive.<h1 id="ein-vollständig-konformer-meldekanal-in-wenigen-minuten-einsatzbereit"> Ein vollständig konformer Meldekanal, in wenigen Minuten einsatzbereit <a href="#ein-vollst%c3%a4ndig-konformer-meldekanal-in-wenigen-minuten-einsatzbereit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal stellt einen vollständig konfigurierten internen Meldekanal bereit, der ab Werk die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) und der EU-Richtlinie 2019/1937 erfüllt. Kein Einführungsprojekt, keine IT-Abteilung nötig.</p> <hr> <h2 id="einrichtung-in-3-schritten"> Einrichtung in 3 Schritten <a href="#einrichtung-in-3-schritten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-portal-konfigurieren-2-minuten"> 1. Portal konfigurieren (2 Minuten) <a href="#1-portal-konfigurieren-2-minuten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Konto anlegen und anpassen:</p> <ul> <li><strong>Name und Logo der Organisation</strong> — Ihr Portal, Ihr Auftritt</li> <li><strong>Meldekategorien</strong> — Betrug, Belästigung, Arbeitssicherheit oder eigene Kategorien</li> <li><strong>Begrüßungstext</strong> — nehmen Sie hinweisgebenden Personen vor der Meldung die Unsicherheit (sinnvolle Vorgabe ist bereits eingetragen)</li> <li><strong>Aufbewahrungsdauer</strong> — 12, 24, 36 oder 60 Monate, danach automatische Löschung</li> </ul> <p>Ihr Portal ist sofort unter einer eindeutigen URL erreichbar. Keine Bereitstellung, keine Wartezeit.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-edit.png" alt="Konfigurationsoberfläche des Portals" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-link-teilen-1-minute"> 2. Link teilen (1 Minute) <a href="#2-link-teilen-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Jedes Portal erhält einen <strong>teilbaren Link</strong> und einen <strong>QR-Code</strong>. Hängen Sie den QR-Code in Pausenräumen, Waschräumen, im Mitarbeiterhandbuch und in Onboarding-Unterlagen aus. Beschäftigte erreichen das Portal aus jedem Browser — ohne App, ohne Konto, ohne Unternehmensnetzwerk.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-public-desktop.png" alt="Portal-Link und QR-Code teilen" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-fälle-bearbeiten"> 3. Fälle bearbeiten <a href="#3-f%c3%a4lle-bearbeiten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Geht eine Meldung ein, erhalten Sie eine E-Mail-Benachrichtigung. Aus dem Dashboard heraus:</p> <ul> <li><strong>Vollständige Meldung einsehen</strong> — Beschreibung, Kategorie und Dateianhänge</li> <li><strong>Eingang bestätigen</strong> — das Gesetz verlangt dies innerhalb von 7 Tagen. EthicsPortal überwacht die Frist und markiert überfällige Fälle automatisch</li> <li><strong>Mit der hinweisgebenden Person kommunizieren</strong> — sichere zweiseitige Kommunikation über die Vorgangs-ID. Die hinweisgebende Person bleibt anonym, die Namen der Fallbearbeiter werden nie offengelegt</li> <li><strong>Rückmeldung geben</strong> — das Gesetz verlangt dies innerhalb von 3 Monaten. Automatisch überwacht</li> <li><strong>Zuweisen, triagieren, interne Notizen erfassen</strong> — Fälle an die richtige Person zuweisen, Notizen hinzufügen, die für die hinweisgebende Person unsichtbar bleiben</li> <li><strong>PDF-Export</strong> — vollständige Fallakte für Rechtsprüfung, Audit oder Compliance-Dokumentation</li> <li><strong>Externe Meldungen dokumentieren</strong> — Meldung telefonisch, per E-Mail oder persönlich erhalten? Manuell anlegen, damit alles an einem Ort liegt</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-reports.png" alt="Fallverwaltung und sichere Kommunikation" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="was-hinweisgebende-personen-erleben"> Was hinweisgebende Personen erleben <a href="#was-hinweisgebende-personen-erleben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Die Erfahrung der hinweisgebenden Person ist entscheidend — sie bestimmt, ob der Kanal überhaupt genutzt wird.</p> <ul> <li><strong>Kein Konto, keine App, kein Login.</strong> Nur ein Browser auf einem beliebigen Gerät — auch auf dem privaten Smartphone im Mobilfunknetz</li> <li><strong>Standardmäßig vollständig anonym.</strong> Keine IP-Protokollierung. Dateimetadaten (EXIF, GPS, Autor) werden vor der Speicherung automatisch entfernt</li> <li><strong>Offenlegung der Identität ist freiwillig.</strong> Hinweisgebende Personen können ihren Namen angeben, müssen es aber nicht</li> <li><strong>Zwei-Faktor-Zugang zur Fallakte.</strong> Bei der Abgabe wählt die hinweisgebende Person einen 6-stelligen Zugangscode und erhält eine Vorgangs-ID (<code>WB-XXXX-XXXX</code>). Beide sind erforderlich, um den Fallstatus einzusehen und auf Nachrichten zu antworten</li> <li><strong>Namen der Fallbearbeiter werden nie angezeigt.</strong> Die hinweisgebende Person sieht nur „Fallbearbeitung" — mehr nicht</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-new-report-desktop.png" alt="Anonymes Meldeformular" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="was-unter-der-haube-steckt"> Was unter der Haube steckt <a href="#was-unter-der-haube-steckt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jede technische Entscheidung dient einem Ziel: Ihre Konformität zu sichern und hinweisgebende Personen zu schützen.</p> <ul> <li><strong>Verschlüsselte Speicherung.</strong> Alle Meldungsdaten werden in der Datenbank verschlüsselt gespeichert</li> <li><strong>Virenprüfung.</strong> Alle hochgeladenen Dateien werden serverseitig auf Schadsoftware geprüft. Infizierte Dateien werden automatisch entfernt</li> <li><strong>Revisionssicheres Audit-Protokoll.</strong> Jede Aktion wird protokolliert und kann nicht bearbeitet oder gelöscht werden. Auditoren sehen, wer wann was getan hat</li> <li><strong>Zwei-Faktor-Authentifizierung.</strong> TOTP-basierte 2FA für Fallbearbeitende und Admins, über jede gängige Authenticator-App. Auch hinweisgebende Personen authentifizieren mit zwei Faktoren: Vorgangs-ID plus selbst gewählter 6-stelliger Zugangscode (nur als bcrypt-Hash gespeichert)</li> <li><strong>Automatische Fristenüberwachung.</strong> 7-Tage-Frist für die Eingangsbestätigung und 3-Monats-Frist für die Rückmeldung mit Benachrichtigungen bei Überfälligkeit</li> <li><strong>Meldedaten in der EU gehostet.</strong> Zentrale Meldedaten werden auf Hetzner-Servern in Nürnberg gespeichert. Veröffentlichten Unterauftragsverarbeiter und Übermittlungsschutzmaßnahmen decken begrenzte Verarbeitungen der Marketing-Website und Admin-Oberflächen ab</li> <li><strong>Kein Tracking.</strong> Keine IP-Protokollierung, keine Analyse-Cookies, keine Drittanbieter-Skripte auf dem Meldeportal</li> </ul> <hr> <h2 id="meldekanal-einrichten"> Meldekanal einrichten <a href="#meldekanal-einrichten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>In wenigen Minuten einsatzbereit. Alle Funktionen in einem einzigen Tarif.</p> <p><a href="https://secure.ethicsportal.eu/session/new">Meldekanal einrichten</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/incidents/Öffentliches Register wesentlicher Vorfälle, die personenbezogene Daten betreffen, die von EthicsPortal verarbeitet werden. Geführt im Sinne von Art. 33 DSGVO und als Beitrag zu institutioneller Transparenz.<h1 id="störungsregister"> Störungsregister <a href="#st%c3%b6rungsregister" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Diese Seite dokumentiert jeden wesentlichen Vorfall, der die Vertraulichkeit, Integrität oder Verfügbarkeit der von EthicsPortal verarbeiteten personenbezogenen Daten berührt. Sie wird im Sinne von Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten) und als Beitrag zu institutioneller Transparenz geführt.</p> <p>Zuletzt aktualisiert: April 2026.</p> <hr> <h2 id="geltungsbereich"> Geltungsbereich <a href="#geltungsbereich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Ein Eintrag wird erstellt bei:</p> <ul> <li>einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO — „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt".</li> <li>einem Dienstausfall über zwei Stunden, der hinweisgebende Personen an der Abgabe von Meldungen oder Bearbeitende am Zugriff auf laufende Fälle gehindert hat.</li> <li>einer erheblichen Schwachstelle in EthicsPortal oder bei einem Unterauftragsverarbeiter, die eine Notfallmaßnahme erforderte.</li> <li>jedem Vorfall, der eine Meldung an eine Aufsichtsbehörde nach Art. 33 DSGVO erfordert.</li> </ul> <p>Routineunterbrechungen unter zwei Stunden, geplante Wartungen und Vorfälle ohne Bezug zu personenbezogenen Daten werden hier nicht dokumentiert.</p> <hr> <h2 id="offenlegungsfristen"> Offenlegungsfristen <a href="#offenlegungsfristen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Innerhalb von 72 Stunden</strong> nach Kenntnisnahme einer Datenschutzverletzung — Benachrichtigung betroffener bearbeitender Organisationen (Verantwortliche) per E-Mail nach Art. 33 Abs. 2 DSGVO.</li> <li><strong>Innerhalb von 7 Tagen</strong> nach Eindämmung — vorläufiger Eintrag mit Zusammenfassung, betroffenen Datenkategorien und Stand der Gegenmaßnahmen.</li> <li><strong>Innerhalb von 30 Tagen</strong> nach Eindämmung — endgültiger Eintrag mit Ursache, Abhilfe und Lehren.</li> </ul> <p>Einträge bleiben dauerhaft öffentlich. Einträge werden nie zur Imagepflege bearbeitet; Korrekturen werden als Folgeeinträge angehängt.</p> <hr> <h2 id="meldung-eines-sicherheitsproblems"> Meldung eines Sicherheitsproblems <a href="#meldung-eines-sicherheitsproblems" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sicherheitsprobleme in EthicsPortal bitte an <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> melden. Verschlüsselte Meldungen sind willkommen; PGP-Schlüssel auf Anfrage.</p> <hr> <h2 id="register"> Register <a href="#register" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><em>Keine Einträge.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/about/EthicsPortal ist die Hinweisgeber-Compliance-Infrastruktur für Europa — in Europa gebaut, in Deutschland gehostet, ausgelegt auf das HinSchG und die EU-Richtlinie 2019/1937.<h1 id="der-meldekanal-den-das-hinweisgeberschutzgesetz-vorschreibt"> Der Meldekanal, den das Hinweisgeberschutzgesetz vorschreibt <a href="#der-meldekanal-den-das-hinweisgeberschutzgesetz-vorschreibt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Die EU-Richtlinie 2019/1937 und das deutsche Hinweisgeberschutzgesetz verpflichten jede Organisation ab 50 Beschäftigten, einen sicheren und vertraulichen internen Meldekanal zu betreiben. EthicsPortal ist dieser Kanal.</p> <p>EthicsPortal ist der unkomplizierte Weg, wie europäische Organisationen diese Pflicht erfüllen — vollständig konform, in wenigen Minuten einsatzbereit und so bepreist, dass Compliance-Teams keine Beschaffungsfreigabe benötigen.</p> <hr> <h2 id="was-wir-bieten"> Was wir bieten <a href="#was-wir-bieten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Anonyme und vertrauliche Meldungen nach den Anforderungen jedes Artikels der Richtlinie</li> <li>Verschlüsselte Datenspeicherung, gehostet bei Hetzner in Nürnberg</li> <li>Automatische Überwachung der 7-Tage-Eingangsbestätigung und der 3-Monats-Rückmeldefrist</li> <li>Revisionssicheres Audit-Protokoll für aufsichtsrechtliche Prüfungen</li> <li>Sichere zweiseitige Kommunikation zwischen hinweisgebenden Personen und Fallbearbeitung</li> <li>Mehrsprachige Portale für grenzüberschreitend tätige Organisationen</li> <li>PDF-Fallakten-Export für Audit und Rechtsprüfung</li> </ul> <hr> <h2 id="in-europa-gebaut-für-europa"> In Europa gebaut, für Europa <a href="#in-europa-gebaut-f%c3%bcr-europa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ist in Polen registriert, und die zentralen Meldedaten werden innerhalb der EU gehostet. Vollständige <a href="/de/compliance/">Konformitätsübersicht</a>, <a href="/de/security/">Sicherheitsarchitektur</a>, <a href="/de/subprocessors/">Liste der Unterauftragsverarbeiter</a> und <a href="/de/dpa/">Auftragsverarbeitungsvertrag</a> sind öffentlich einsehbar.</p> <ul> <li>Keine Drittanbieter-Analyse, keine Tracking-Cookies auf dem Meldeportal</li> <li>Vollständiger Datenexport jederzeit (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">Dienststatus</a></li> </ul> <hr> <h2 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>E-Mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — Antwort in der Regel innerhalb eines Werktages.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Meldekanal einrichten →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/de/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/de/subprocessors/Drittanbieter, die personenbezogene Daten im Auftrag von EthicsPortal verarbeiten. Veröffentlicht nach Art. 28 DSGVO.<h1 id="unterauftragsverarbeiter"> Unterauftragsverarbeiter <a href="#unterauftragsverarbeiter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Unterauftragsverarbeiter sind Dritte, die personenbezogene Daten im Auftrag von EthicsPortal verarbeiten, wenn EthicsPortal als Auftragsverarbeiter für bearbeitende Organisationen (Verantwortliche) tätig wird. Die Liste wird nach Art. 28 Abs. 2 DSGVO und dem Auftragsverarbeitungsvertrag veröffentlicht.</p> <p>Zuletzt aktualisiert: April 2026.</p> <hr> <h2 id="aktuelle-unterauftragsverarbeiter"> Aktuelle Unterauftragsverarbeiter <a href="#aktuelle-unterauftragsverarbeiter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Unterauftragsverarbeiter</th> <th>Rechtsraum</th> <th>Zweck</th> <th>Datenkategorien</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Deutschland (EU)</td> <td>Server-, Datenbank-Hosting und Speicherung von Dateianhängen</td> <td>Alle Anwendungsdaten: Meldungen, Identität der Bearbeitung, Nachrichten, Audit-Protokolle; hochgeladene Dateianhänge (Metadaten vor Upload entfernt)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 USA</td> <td>CDN der Marketing-Website</td> <td>Zwischengespeicherte Assets der Marketing-Website</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 Frankreich (EU)</td> <td>Zustellung transaktionaler E-Mails</td> <td>E-Mail-Adressen der Fallbearbeitung, Benachrichtigungen zu Zugangscodes, Abrechnungs-E-Mails</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Irland (EU)</td> <td>Abonnement- und Zahlungsabwicklung</td> <td>Abrechnungskontakt der Organisation, tokenisierte Zahlungsdaten</td> </tr> <tr> <td><img src="/images/subprocessors/honeybadger.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Honeybadger Industries, LLC</td> <td>🇺🇸 USA</td> <td>Fehlerverfolgung (ausschließlich Admin- und Bearbeitungsseite)</td> <td>Stack-Traces, Anfrage-Metadaten; IPs hinweisgebender Personen werden nie protokolliert</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 Frankreich (EU)</td> <td>Kunden-Chat für bearbeitende Organisationen (Marketing-Website und Bearbeitungsportal); unterstützt die Identitätsprüfung (KYC). Siehe Hinweis unten zum Schutz hinweisgebender Personen.</td> <td>Besucher-IP, Chat-Inhalt, Name und Kontakt der Organisation, Unterlagen zur Identitätsprüfung</td> </tr> </tbody> </table> <p><strong>Schutz hinweisgebender Personen.</strong> Crisp wird ausschließlich auf der Marketing-Website und im Bearbeitungsportal geladen. Es ist nicht im Hinweisgeber-Meldeportal vorhanden — auf der Oberfläche, auf der hinweisgebende Personen ihre Meldungen abgeben und nachverfolgen. Kein Crisp-Skript, -Cookie oder -Identifier erreicht meldungsbezogene Seiten. Hinweisgebende Personen werden nie von Crisp getrackt.</p> <p>Übermittlungen in Länder außerhalb der EU/EWR stützen sich auf Standardvertragsklauseln und zusätzliche Schutzmaßnahmen, wie im Auftragsverarbeitungsvertrag dargelegt.</p> <hr> <h2 id="was-als-unterauftragsverarbeiter-zählt"> Was als Unterauftragsverarbeiter zählt <a href="#was-als-unterauftragsverarbeiter-z%c3%a4hlt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Ein Unterauftragsverarbeiter ist jeder Drittanbieter, der personenbezogene Daten im Auftrag von EthicsPortal auf Grundlage einer schriftlichen Verarbeitungsvereinbarung verarbeitet. Dienste erscheinen hier nur, wenn sie personenbezogene Daten empfangen, speichern oder übermitteln. Interne Bibliotheken, Paket-Registries und Build-Abhängigkeiten sind keine Unterauftragsverarbeiter.</p> <hr> <h2 id="änderungsbenachrichtigung"> Änderungsbenachrichtigung <a href="#%c3%a4nderungsbenachrichtigung" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bearbeitende Organisationen werden mindestens 30 Tage vor dem Beginn der Verarbeitung durch einen neuen Unterauftragsverarbeiter über Ergänzungen oder Änderungen dieser Liste informiert. Einwände gegen einen vorgeschlagenen Unterauftragsverarbeiter können nach dem Auftragsverarbeitungsvertrag erhoben werden.</p> <hr> <h2 id="fragen"> Fragen <a href="#fragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Für Fragen zur Datenverarbeitung durch Unterauftragsverarbeiter: <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a>.</p>support@ethicsportal.eu (EthicsPortal)