Ein vollständig konformer Meldekanal, in wenigen Minuten einsatzbereit #

EthicsPortal stellt einen vollständig konfigurierten internen Meldekanal bereit, der ab Werk die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) und der EU-Richtlinie 2019/1937 erfüllt. Kein Einführungsprojekt, keine IT-Abteilung nötig.

Einrichtung in 3 Schritten #

1. Portal konfigurieren (2 Minuten) #

Konto anlegen und anpassen:

Name und Logo der Organisation — Ihr Portal, Ihr Auftritt
Meldekategorien — Betrug, Belästigung, Arbeitssicherheit oder eigene Kategorien
Aufbewahrungsdauer — 12, 24, 36 oder 60 Monate, danach automatische Löschung

Ihr Portal ist sofort unter einer eindeutigen URL erreichbar. Keine Bereitstellung, keine Wartezeit.

2. Link teilen (1 Minute) #

Jedes Portal erhält einen teilbaren Link und einen QR-Code. Hängen Sie den QR-Code in Pausenräumen, Waschräumen, im Mitarbeiterhandbuch und in Onboarding-Unterlagen aus. Beschäftigte erreichen das Portal aus jedem Browser — ohne App, ohne Konto, ohne Unternehmensnetzwerk.

Ein Meldekanal im Produktivbetrieb: secure.ethicsportal.eu/p/BiPdmk — der eigene Meldekanal von EthicsPortal.

3. Fälle bearbeiten #

Geht eine Meldung ein, erhalten Sie eine E-Mail-Benachrichtigung. Vom Dashboard aus verwalten Sie alle Fälle an einer Stelle:

Zuweisen und triagieren — Fälle an die richtige Fallbearbeitung weiterleiten
Filtern und suchen — Fälle nach Status, Kategorie oder Frist finden
Externe Meldungen dokumentieren — Meldung telefonisch, per E-Mail oder persönlich erhalten? Manuell anlegen, damit alles an einem Ort liegt

Dashboard mit Fallliste, Filtern und Status

Öffnen Sie einen Fall, um ihn vollständig zu bearbeiten:

Vollständige Meldung einsehen — Beschreibung, Kategorie und Dateianhänge
Eingang bestätigen — das Gesetz verlangt dies innerhalb von 7 Tagen. EthicsPortal überwacht die Frist und markiert überfällige Fälle automatisch
Mit der hinweisgebenden Person kommunizieren — sichere zweiseitige Kommunikation über die Vorgangs-ID. Die hinweisgebende Person bleibt anonym, die Namen der Fallbearbeiter werden nie offengelegt
Rückmeldung geben — das Gesetz verlangt dies innerhalb von 3 Monaten. Automatisch überwacht
Interne Notizen erfassen — für die hinweisgebende Person unsichtbar, für Ihr Team sichtbar
PDF-Export — vollständige Fallakte für Rechtsprüfung, Audit oder Compliance-Dokumentation

Einzelfallansicht mit sicherer Kommunikation, Fristen und Audit-Protokoll

Was hinweisgebende Personen erleben #

Die Erfahrung der hinweisgebenden Person ist entscheidend — sie bestimmt, ob der Kanal überhaupt genutzt wird.

Kein Konto, keine App, kein Login. Nur ein Browser auf einem beliebigen Gerät — auch auf dem privaten Smartphone im Mobilfunknetz
Standardmäßig vollständig anonym. Keine IP-Protokollierung. Dateimetadaten (EXIF, GPS, Autor) werden vor der Speicherung automatisch entfernt
Offenlegung der Identität ist freiwillig. Hinweisgebende Personen können ihren Namen angeben, müssen es aber nicht
Zwei-Faktor-Zugang zur Fallakte. Bei der Abgabe wählt die hinweisgebende Person einen 6-stelligen Zugangscode und erhält eine Vorgangs-ID (WB-XXXX-XXXX). Beide sind erforderlich, um den Fallstatus einzusehen und auf Nachrichten zu antworten
Namen der Fallbearbeiter werden nie angezeigt. Die hinweisgebende Person sieht nur „Fallbearbeitung" — mehr nicht

Wenn hinweisgebende Personen ihren Fall erneut aufrufen, geben sie Vorgangs-ID und 6-stelligen Zugangscode ein und sehen genau das, was sie brauchen: Status, Nachrichten der Fallbearbeitung und ihre hochgeladenen Dateien. Die Identität der Fallbearbeitung bleibt hinter der allgemeinen Bezeichnung „Fallbearbeitung" verborgen.

Ansicht der hinweisgebenden Person auf ihren eigenen Fall mit sicherer zweiseitiger Kommunikation

Was unter der Haube steckt #

Jede technische Entscheidung dient einem Ziel: Ihre Konformität zu sichern und hinweisgebende Personen zu schützen.

Verschlüsselte Speicherung. Alle Meldungsdaten werden in der Datenbank verschlüsselt gespeichert
Virenprüfung. Alle hochgeladenen Dateien werden serverseitig auf Schadsoftware geprüft. Infizierte Dateien werden automatisch entfernt
Revisionssicheres Audit-Protokoll. Jede Aktion wird protokolliert und kann nicht bearbeitet oder gelöscht werden. Auditoren sehen, wer wann was getan hat
Zwei-Faktor-Authentifizierung. TOTP-basierte 2FA für Fallbearbeitende und Admins, über jede gängige Authenticator-App. Auch hinweisgebende Personen authentifizieren mit zwei Faktoren: Vorgangs-ID plus selbst gewählter 6-stelliger Zugangscode (nur als bcrypt-Hash gespeichert)
Automatische Fristenüberwachung. 7-Tage-Frist für die Eingangsbestätigung und 3-Monats-Frist für die Rückmeldung mit Benachrichtigungen bei Überfälligkeit
Meldedaten in der EU gehostet. Zentrale Meldedaten werden auf Hetzner-Servern in Nürnberg gespeichert. Veröffentlichten Unterauftragsverarbeiter und Übermittlungsschutzmaßnahmen decken begrenzte Verarbeitungen der Marketing-Website und Admin-Oberflächen ab
Kein Tracking. Keine IP-Protokollierung, keine Analyse-Cookies, keine Drittanbieter-Skripte auf dem Meldeportal

Das Funktion-zu-Artikel-Mapping zur Richtlinie finden Sie in der Abdeckung der Richtlinie 2019/1937 . Auslegungspositionen zu den unbestimmten Begriffen der Richtlinie finden Sie in den Auslegungen der Richtlinie 2019/1937 .

Zuletzt aktualisiert: 7. Juni 2026