Konformitéit mat der Loi du 16 mai 2023 #
EthicsPortal ass drun ausgeriicht, Är Organisatioun konform zur Lëtzebuerger Loi du 16 mai 2023, zur EU-Richtlinn 2019/1937 an zur RGPD ze halen. All Funktioun entsprécht enger konkret rechtlecher Ufuerderung — keng iwwerflësseg Zousazmoduler, keng Upsells.
Dës Säit ass d’Zouweisung vu Funktiounen zu Ufuerderungen: All Artikel vun der Richtlinn gëtt der entspriechender EthicsPortal-Fäegkeet zougewise. Wéi EthicsPortal déi onbestëmmt Rechtsbegrëffer auslegt — d'50-Mataarbechter-Schwell, wat als „sorgfälteg Follow-Up" gëllt, d’Begrënnung vun der Späicherdauer, d’RGPD-Rechtsgrondlag an de Virrang vum nationalen Recht — fannt Dir an der separater Methodik .
All 27 EU-Memberstate hunn d’Richtlinn an nationaalt Recht ëmgesat. Är Organisatioun muss d’nationaalt Recht vun Ärem Betribsland anhalen — eng Iwwersiicht vun de jeweilege Gesetzer, Strofen an Aufsichtsbehörde fannt Dir an eiser Länneriwwersiicht . Fir Luxembourg ass dat d’Loi du 16 mai 2023 .
Zulescht aktualiséiert: 2026-05-17.
§1. Meldekanäl (Art. 8) #
Organisatioune mat 50 oder méi Mataarbechter mussen séchere interne Meldekanäl ariichten.
| Ufuerderung | Ëmsetzung an EthicsPortal |
|---|---|
| Séchere Meldekanal | Verschlësselt Web-Portal mat eegener URL pro Organisatioun |
| Vertraulechkeet vun der Identitéit | End-zu-End-verschlësselt Verarbeechtung vun alle perséinlechen Donnéeën, keng IP-Protokolléierung, automatesch Entfernung vun Dateimetadaten |
| Zougänglech fir all Mataarbechter | Webportal leeft op all Apparat, keng App, kee Kont néideg |
| Un d’Organisatioun upassbar | Konfiguréierbar Kategorien, Logo a Wëllkommtext |
§2. Verfahren (Art. 9) #
| Ufuerderung | Artikel | Ëmsetzung an EthicsPortal |
|---|---|---|
| Benennung vun enger onpartaiescher Persoun oder Plaz | Art. 9 Abs. 1 lit. c | Fall-Zouweisungssystem mat rollebaséierten Zougang — nur berechtegt Bearbeechter gesinn Meldungen |
| Empfang bannent 7 Deeg bestätegen | Art. 9 Abs. 1 lit. b | Automatesch Fristeniwwerwaachung mat E-Mail-Notifikatioun bei bevierstounender oder versäumter 7-Deeg-Fridd |
| Sorgfälteg Follow-Up | Art. 9 Abs. 1 lit. d | Fallverwaltung mat Status-Workflow (agaang, bestätegt, a Prüfung, ofgeschloss), intern Notizen fir d’Zesummenaarbecht an lëckelous Audit-Protokoll |
| Réckmeldung bannent dräi Méint | Art. 9 Abs. 1 lit. f | Automatesch 3-Méint-Fridd-Iwwerwaachung mat Warnungen un all Admins. Hiweisgeeber gesinn den Zäitplang am Portal a kënnen de Status mat Dossier-ID an Zougangscode zu all Moment kucken |
| Mëndlech Meldungen erméiglechen (Telefon, Sproochmessage oder op Wonsch perséinlecht Treffen) | Art. 9 Abs. 2 | Konfiguréierbar Telefonsnummer um Portal; Bearbeechter kënne telefonesch, perséinlech a schrëftlech Meldungen direkt am System erfassen |
| Iwwer extern Meldeméiglechkeeten informéieren | Art. 9 Abs. 1 lit. g | D’Portal informéiert iwwert dat Recht, sech un déi zoustänneg national Behörde ze wenden, mat Verweis op d’Richtlinn 2019/1937 an d’Loi du 16 mai 2023 |
§3. Schutzberäich (Art. 4) #
D’Richtlinn schützt net nëmme Mataarbechter, mee och Selbststänneg, Liwweranten, Deelhaber an aner Drëttpersounen.
EthicsPortal weist am Portal kloer un, datt d’Meldeméiglechkeet Mataarbechter, Selbststänneg, Liwweranten a soss Drëttpersounen oppen ass.
§4. Repressaliënverbot (Art. 6, 19–21) #
Hiweisgeeber musse informéiert ginn, datt Repressalie gesetzlech verbueden sinn.
EthicsPortal weist op all Säit vum Portal virun der Meldung en Hiweis zum Repressaliënverbot mat Verweis op d’Richtlinn 2019/1937 an d’Loi du 16 mai 2023.
§5. Vertraulechkeet vun der Identitéit (Art. 16) #
| Ufuerderung | Ëmsetzung an EthicsPortal |
|---|---|
| Identitéit gëtt net iwwer de Krees vun de Berechtegten eraus bekannt ginn | Rollebaséiert Zougangskontroll — nur Admins an déi zougewiese Persoun gesinn eng Meldung. Net-Admin-Bearbeechter gesinn just hinnen zougewise Fäll |
| Anonymitéit vun der bearbechtender Persoun | Hiweisgeeber gesinn an de Messagen just „Fallbearbechtung", ni den echten Numm |
| Verschlësselung vu sensiblen Donnéeën | Nimm, Kontaktdonnéeën, Meldungsinhalter an Messageinhalter ginn mat net-deterministescher Verschlësselung gespäichert |
Keng KI-Verschaffung vu Meldungsinhalter. D’Vertraulechkeet no Art. 16 betrëfft och, wéi eng Drëttparteien eng Meldung gesinn. EthicsPortal iwwerdréit Meldungsinhalter, d’Identitéit vun Hiweisgeeber an d’Kommunikatioun zu engem Fall un keen grousst Sproochemodell an un keen KI-Inferenzdéngscht — weder fir d’Kategoriséierung, nach fir d’Zesummefaassung, nach fir d’Iwwersetzung. Keen KI-Ubidder (OpenAI, Anthropic, Google, Mistral oder aner) ass Ënnerauftragsverschaffer. Doduerch fält eng ganz Klass vu Verëffentlechungsflichten am Auftragsverschaffer-Vertrag ewech, an Iwwerleeunge gemäß Art. 22 DSGVO (automatiséiert Entscheedungsfindung) sinn an Ärer DSFA net néideg. Kuckt d’Lëscht vun Ënnerauftragsverschafferen fir den entspriechenden Andrag.
Zwou zousätzlech Grënn, firwat dat eng Entscheedung um Vertraulechkeetsniveau ass an net eng Funktiounspräferenz:
- Keng Halluzinatiounen an der Compliance-Beweiskette. Grouss Sproochemodeller produzéiere probabilistesch Ausgaben. Eng Zesummefaassung mat „dës Meldung erschéngt net dréngend" ass eng Wahrscheinlechkeet, kee Fakt, a kann weder reproduzéiert nach gepréift ginn. EthicsPortal protokolléiert Acteur, Aktioun an Zäitstempel deterministesch — den Audit-Protokoll ass Beweis, keng Vermutung.
- Keng Ugrëffsfläch duerch Prompt Injection op Hiweisgeeber-Inhalter. Inputen vun Hiweisgeeber sinn per Definitioun net vertrauenswürdeg. Si duerch en LLM ze geleeden, schaaft eng nei Ugrëffsklass, bei där an de Meldungstext agebauten Instruktiounen d’Ausgab fir d’Bearbeechtung (Äntwertvirschléi, Zesummefaassungen, Kategoriséierungen) manipuléiere kënnen. EthicsPortal eliminéiert dës Ugrëffsfläch komplett, andeem keng Inferenz op Meldungsinhalter ausgefouert gëtt.
§6. Dokumentatiounsflicht (Art. 18) #
| Ufuerderung | Ëmsetzung an EthicsPortal |
|---|---|
| Dokumentatioun vun all Meldung | Vollstänneg Audit-Protokoll vun all Aktiounen |
| Séchere Späicherung | All sensibel Felder gi verschlësselt gespäichert |
| Abroofbarkeet | Vollstännege PDF-Export inkl. Metadaten, Messagverlaf, Ubiléierungslëscht an Audit-Protokoll |
| Läschen, soubal net méi néideg | Konfiguréierbar Späicherdauer (12, 24, 36 oder 60 Méint) mat automatescher Läschung |
§7. RGPD-Konformitéit #
| Ufuerderung | Artikel | Ëmsetzung an EthicsPortal |
|---|---|---|
| Rechtsgrondlag vun der Verarbeechtung | Art. 6 Abs. 1 lit. c RGPD | Verarbeechtung ass zur Erfëllung vun de rechtleche Flichten aus der Loi du 16 mai 2023 an der Richtlinn 2019/1937 erfuerderlech |
| Informatiounsflichten | Art. 13/14 RGPD | Datenschutzhiweiser ginn virun der Meldung gewisen |
| Datenminimierung | Art. 5 Abs. 1 lit. c RGPD | Nëmmen essenziell Felder ginn erfaasst; Numm a Kontakt vun der Hiweisgeeber-Persoun sinn fräiwëlleg |
| Späicherbegrenzung | Art. 5 Abs. 1 lit. e RGPD | Konfiguréierbar Späicherdauer pro Organisatioun mat automatescher Läschung |
| Integritéit a Vertraulechkeet | Art. 5 Abs. 1 lit. f RGPD | Verschlësselt Späicherung vu sensiblen Donnéeën; keng IP-Protokolléierung op Portal-Routen; automatesch Entfernung vun Dateimetadaten |
| Recht op Läschung | Art. 17 RGPD | Automatesch Läschung op Basis vun der Späicherdauer; manuell Läschung fir Admins méiglech |
§8. Technesch an organisatoresch Moossnamen #
| Moossnam | Detail |
|---|---|
| Verschlësselt Späicherung | Meldungsinhalter, Nimm, Kontaktdonnéeën a Messageinhalter mat net-deterministescher Verschlësselung |
| Keng IP-Protokolléierung | IP-Adresse gi ni gespäichert — Rate-Limiting mat onumkehrbaren Ewweg-Hashen |
| Entfernung vun Dateimetadaten | EXIF, GPS, Auteur ginn ewechgeholl |
| Anonymitéit vun der Fallbearbechtung | Hiweisgeeber gesinn ni den echten Numm |
| Rate-Limiting | Op alle ëffentleche Portal-Endpunkten |
| Zougangskontroll | Rollebaséiert Berechtegungen |
| Audit-Protokoll | All Aktioun mat Zäitstempel, Akteur an Aktiounstyp — onveränderbar |
§9. Wat Är Organisatioun weider maache muss #
EthicsPortal iwwerhëlt déi technesch Ufuerderungen. An der Verantwortung vun Ärer Organisatioun bleiwen:
- Benennung vun enger bearbechtender Persoun — bestëmmt op mannst eng Persoun fir d’Meldungsverarbeechtung
- Intern Richtlinn — verabschiedt eng Hiweisgeeber-Richtlinn a kommunizéiert se un d’Mataarbechter
- Schoulung — stellt sécher, datt bearbechtend Persounen hir Vertraulechkeetsflichte kennen
- Duerchsetzung vum Repressaliënverbot — suergt datt d’Geschäftsleitung weess, datt Repressalie verbueden sinn
- Astëmmung bei Identitéits-Offenleeung — wann d’Identitéit iwwert de Krees vun de Berechtegten eraus offenzeleeën ass, muss vir déi ausdrécklech Astëmmung agehol ginn (Art. 16 Abs. 2)
- Informatioun vun de Mataarbechter — deelt d’Portal-URL (EthicsPortal liwwert deelbare Link a QR-Code)
Froen? #
Admins kënnen e Compliance-Rapport als PDF direkt aus den Portal-Astellungen eroflueden. E enthält eng vollstänneg Checklëscht zur Richtlinn 2019/1937, SLA-Kennzuelen, Dateschutzmoossnamen an eng Zesummefaassung vum Audit-Protokoll.
Fir länderspezifesch Ufuerderungen kuckt eis Länneriwwersiicht a besonnesch Luxembourg .
Wann Dir Hëllef braucht, d’Konformitéit géintiwwer Ärer Rechtsdepartement oder der Aufsicht ze beweisen, schreift eis un legal@ethicsportal.eu .
Zulescht aktualiséiert: