Hinweisgeberschutz (HinSchG)

Umsetzung des Hinweisgeberschutzgesetzes in der Aldric-Plattform und eigene Compliance der CONPORT Services GmbH

Version 1.0 — Stand: Maerz 2026

Das Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower-Richtlinie (2019/1937) in deutsches Recht um und verpflichtet Unternehmen ab 50 Beschaeftigten zur Einrichtung interner Meldekanale. Dieses Dokument beschreibt, wie die SaaS-Plattform „Aldric" Kunden bei der Erfuellung dieser Pflichten unterstuetzt und wie die CONPORT Services GmbH als Anbieterin selbst die Anforderungen des HinSchG erfuellt.

Dieses Dokument dient der Information und stellt keine Rechtsberatung dar. Fuer die rechtskonforme Umsetzung des HinSchG in Ihrem Unternehmen empfehlen wir die Beratung durch einen Fachanwalt fuer Arbeitsrecht oder Compliance.

Teil A: Das Aldric-Whistleblower-Modul

Das Whistleblower-Modul der Aldric-Plattform ist ein vollstaendig integriertes Hinweisgebersystem, das die Anforderungen des HinSchG, der EU-Richtlinie 2019/1937 sowie branchenspezifischer Vorgaben (z. B. GwG, LkSG) abdeckt.

§ 1 Anonymer Meldekanal

(1) Das Modul stellt einen oeffentlich zugaenglichen, anonymen Meldekanal bereit. Hinweisgeber koennen Meldungen abgeben, ohne sich identifizieren zu muessen. Die Plattform generiert fuer jede Meldung einen eindeutigen Zugangscode (Format: WB-YYYY-XXXXXX), mit dem der Hinweisgeber den Bearbeitungsstatus verfolgen und anonym mit der zustaendigen Stelle kommunizieren kann.

(2) Die Anonymitaet des Meldekanals wird technisch sichergestellt durch:

  • Keine Erfassung von IP-Adressen oder Geraeteinformationen bei anonymen Meldungen;
  • Tokenbasierter Zugang zur Fallverfolgung ohne Registrierung oder Authentifizierung;
  • Strikte Mandantentrennung (Tenant Isolation) — Meldungen sind ausschliesslich dem Mandanten zugaenglich, an den sie gerichtet sind;
  • Verschluesselung aller Daten im Transit (TLS 1.2+) und at Rest (AES-256).

(3) Ergaenzend zur anonymen Meldung koennen Hinweisgeber freiwillig Kontaktdaten angeben (Name, E-Mail, Telefon). Diese werden getrennt von der Meldung gespeichert und sind nur den zugewiesenen Bearbeitern zugaenglich.

§ 2 Fristen und Fallmanagement

(1) Das HinSchG schreibt verbindliche Fristen vor. Das Aldric-Modul bildet diese vollstaendig ab:

Frist HinSchG-Anforderung Aldric-Umsetzung
7 Tage Eingangsbestaetigung an Hinweisgeber (§ 17 Abs. 1 HinSchG) Automatische Fristenueberwachung mit Eskalation bei Ueberschreitung
3 Monate Rueckmeldung ueber ergriffene Massnahmen (§ 17 Abs. 2 HinSchG) Deadline-Tracking mit Warnungen 14 und 7 Tage vor Ablauf
3 Jahre Dokumentationsaufbewahrung (§ 11 HinSchG) Automatische Aufbewahrungssteuerung mit konfigurierbarer Loeschfrist

(2) Jede Meldung durchlaeuft einen definierten Workflow mit den Status: NeuIn BearbeitungEskaliert / GeloestAbgeschlossen. Statusuebergaenge werden lueckenlos im Aktivitaetsprotokoll dokumentiert.

§ 3 Meldekategorien

Das Modul unterstuetzt die sachlichen Anwendungsbereiche des HinSchG (§ 2) durch vordefinierte Meldekategorien:

  • Korruption und Bestechung — StGB §§ 299 ff., § 331 ff.
  • Datenschutzverstoesse — DSGVO, BDSG
  • Betrug und Finanzkriminalitaet — StGB §§ 263 ff., HGB
  • Diskriminierung und Belaestigung — AGG
  • Umweltverstoesse — BImSchG, KrWG, WHG
  • Arbeitsschutzverstoesse — ArbSchG, ArbZG
  • Geldwaesche — GwG
  • Sonstige Verstoesse — Freitextfeld fuer weitere Bereiche

Kunden koennen eigene Kategorien ergaenzen, um branchenspezifische Anforderungen abzubilden (z. B. Produktsicherheit, Lebensmittelrecht, Finanzaufsichtsrecht).

§ 4 Vertraulichkeit und Identitaetsschutz

(1) Das HinSchG schuetzt die Identitaet von Hinweisgebern (§ 8 HinSchG). Das Aldric-Modul setzt diesen Schutz technisch und organisatorisch um:

  • Zugriffskontrolle: Nur explizit zugewiesene Bearbeiter (Compliance-Beauftragte, Ombudspersonen) haben Zugriff auf Meldungen. Die Zuweisung wird ueber das RBAC-System der Plattform gesteuert;
  • Kommunikation: Der anonyme Nachrichtenkanal ermoeglicht Rueckfragen an den Hinweisgeber, ohne dessen Identitaet preiszugeben;
  • Audit-Trail: Alle Zugriffe auf Meldungen werden protokolliert (wer, wann, welche Aktion). Diese Protokolle sind manipulationssicher durch Hash-Chain-Verfahren gesichert;
  • Mandantentrennung: PostgreSQL Row-Level Security (RLS) stellt sicher, dass Meldungen ausschliesslich innerhalb des zugehoerigen Mandanten sichtbar sind — auch bei Provider-Edition mit Sub-Mandanten.

(2) Die Weitergabe der Identitaet eines Hinweisgebers an unbefugte Dritte ist gemaess § 9 HinSchG ordnungswidrig und kann mit Geldbussen bis zu 50.000 EUR geahndet werden. Die technischen Schutzmassnahmen des Aldric-Moduls minimieren das Risiko unbeabsichtigter Offenlegungen.

§ 5 Repressalienverbot

(1) Das HinSchG verbietet Repressalien gegen Hinweisgeber (§ 36 HinSchG). Die Aldric-Plattform unterstuetzt die Einhaltung dieses Verbots durch:

  • Strikte Trennung von Meldedaten und HR-Systemen;
  • Anonyme Meldemoeglichkeit als Standard;
  • Dokumentation aller Fallbearbeitungsschritte fuer etwaige Beweisfuehrung bei Repressalienvorwuerfen;
  • Konfigurierbare Zugangsrechte, die sicherstellen, dass Vorgesetzte des Hinweisgebers keinen Zugriff auf dessen Identitaet erhalten.

(2) Bei Streitigkeiten ueber Repressalien gilt eine Beweislastumkehr zugunsten des Hinweisgebers (§ 36 Abs. 2 HinSchG). Der lueckenlose Audit-Trail des Aldric-Moduls kann als Beweismittel herangezogen werden.

§ 6 Berichterstattung und Export

(1) Das Modul bietet Berichts- und Exportfunktionen, die fuer die interne Dokumentation und gegenueber Aufsichtsbehoerden genutzt werden koennen:

  • Statistik-Dashboard: Ueberblick ueber Meldungen nach Status, Kategorie, Prioritaet und Bearbeitungsdauer;
  • PDF-Export: Einzelfallberichte mit vollstaendiger Fallhistorie, Nachrichten und Aktivitaetsprotokoll;
  • Aggregierte Berichte: Anonymisierte Zusammenfassungen fuer die Geschaeftsleitung oder den Aufsichtsrat.

(2) Die Berichtsfunktion beruecksichtigt die Vertraulichkeitsanforderungen des HinSchG: Exportierte Berichte enthalten keine Hinweisgeberidentitaeten, sofern diese nicht vom Hinweisgeber freigegeben wurden.

Teil B: Eigene HinSchG-Compliance der CONPORT Services GmbH

Als Anbieterin der Aldric-Plattform ist die CONPORT Services GmbH selbst den Anforderungen des HinSchG unterworfen. Die folgenden Abschnitte dokumentieren die eigene Compliance.

§ 7 Anwendbarkeit

(1) Das HinSchG gilt fuer alle Unternehmen ab 50 Beschaeftigten (§ 12 Abs. 2 HinSchG). Unabhaengig von der aktuellen Beschaeftigtenzahl hat sich die CONPORT Services GmbH entschieden, freiwillig einen internen Meldekanal einzurichten, um:

  • Fruehzeitig Compliance-Strukturen aufzubauen;
  • Die eigene Plattform im Produktivbetrieb zu nutzen und zu testen (Dogfooding);
  • Vertrauen bei Kunden, Partnern und Beschaeftigten zu staerken;
  • Den Anforderungen oeffentlicher Auftraggeber vorausschauend zu genuegen.

§ 8 Interner Meldekanal

(1) Die CONPORT Services GmbH betreibt ihren eigenen Meldekanal ueber die Aldric-Plattform. Meldungen koennen abgegeben werden von:

  • Beschaeftigten (einschliesslich Auszubildender, Werkstudenten, Praktikanten);
  • Freien Mitarbeitern und Auftragnehmern;
  • Lieferanten und deren Beschaeftigten;
  • Kunden und Geschaeftspartnern;
  • Ehemaligen Beschaeftigten und Bewerbern.

(2) Der Meldekanal ist erreichbar ueber die oeffentliche Meldeseite der CONPORT-Instanz auf der Aldric-Plattform. Die URL wird allen berechtigten Personen bekannt gemacht und ist auf der Unternehmenswebsite verlinkt.

(3) Meldungen koennen anonym oder unter Angabe von Kontaktdaten abgegeben werden. Die anonyme Meldung wird ausdruecklich ermoeglicht und gleichwertig behandelt.

§ 9 Zustaendige Stelle

(1) Fuer die Entgegennahme und Bearbeitung von Meldungen ist die Geschaeftsfuehrung der CONPORT Services GmbH zustaendig. Bei Meldungen, die die Geschaeftsfuehrung selbst betreffen, ist eine unabhaengige externe Ombudsperson zu benennen.

(2) Die zustaendige Stelle ist verpflichtet:

  • Meldungen innerhalb von 7 Tagen zu bestaetigen;
  • Folgemarssnahmen zu pruefen und durchzufuehren;
  • Dem Hinweisgeber innerhalb von 3 Monaten eine Rueckmeldung zu geben;
  • Die Vertraulichkeit der Hinweisgeberidentitaet zu wahren.

§ 10 Externe Meldestellen

(1) Neben dem internen Meldekanal steht Hinweisgebern gemaess § 7 HinSchG jederzeit die Moeglichkeit offen, sich an externe Meldestellen zu wenden:

  • Bundesamt fuer Justiz (BfJ): Zentrale externe Meldestelle gemaess § 22 HinSchG — www.bundesjustizamt.de/hinweisgeberstelle
  • BaFin: Fuer Meldungen im Finanzsektor (§ 21 HinSchG)
  • Bundeskartellamt: Fuer wettbewerbsrechtliche Verstoesse

(2) Hinweisgeber sind nach dem HinSchG frei in der Wahl, ob sie den internen oder einen externen Meldekanal nutzen. Eine Pflicht zur vorherigen internen Meldung besteht nicht.

§ 11 Datenschutz

(1) Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgebersystems erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit den Vorschriften des HinSchG.

(2) Verarbeitet werden:

  • Angaben zum gemeldeten Sachverhalt;
  • Gegebenenfalls Kontaktdaten des Hinweisgebers (nur bei freiwilliger Angabe);
  • Name und Funktion der mit der Bearbeitung betrauten Personen;
  • Kommunikation zwischen Hinweisgeber und zustaendiger Stelle;
  • Dokumentation der ergriffenen Folgenaassnahmen.

(3) Die Daten werden gemaess § 11 HinSchG fuer die Dauer von 3 Jahren nach Abschluss des Verfahrens aufbewahrt und anschliessend geloescht, sofern keine laengere Aufbewahrung aufgrund anderer gesetzlicher Vorschriften erforderlich ist.

(4) Weitere Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklaerung und der App-Datenschutzerklaerung.

§ 12 Schulung und Sensibilisierung

(1) Die CONPORT Services GmbH stellt sicher, dass alle Beschaeftigten ueber das Hinweisgebersystem und ihre Rechte nach dem HinSchG informiert sind. Dies umfasst:

  • Information bei Arbeitsantritt ueber den internen Meldekanal;
  • Regelmaessige Schulungen zu den Meldemoeglichkeiten und dem Repressalienverbot;
  • Bereitstellung von Informationsmaterial zum HinSchG.

(2) Das Aldric-Modul unterstuetzt Kunden bei der Schulung durch integrierte Compliance-Trainings, die ueber das Schulungsmodul der Plattform bereitgestellt werden koennen.

§ 13 Bussgeldrisiken

(1) Verstoesse gegen das HinSchG koennen mit erheblichen Geldbussen geahndet werden:

Verstoss Bussgeld
Behinderung einer Meldung oder Repressalien (§ 40 Abs. 1) Bis zu 50.000 EUR
Bruch der Vertraulichkeitspflicht (§ 40 Abs. 3) Bis zu 50.000 EUR
Nicht-Einrichtung eines internen Meldekanals (§ 40 Abs. 6) Bis zu 20.000 EUR
Wissentlich falsche Meldung durch Hinweisgeber (§ 40 Abs. 7) Bis zu 20.000 EUR

(2) Das Aldric-Modul minimiert diese Risiken durch automatisierte Fristeinhaltung, technischen Identitaetsschutz und lueckenlose Dokumentation aller Bearbeitungsschritte.

§ 14 Kontakt

Fuer Fragen zum Hinweisgeberschutz bei der CONPORT Services GmbH:

Fuer Informationen zum Whistleblower-Modul der Aldric-Plattform wenden Sie sich bitte an unser Vertriebsteam unter info@conport.services.

§ 15 Schlussbestimmungen

(1) Dieses Dokument wird regelmaessig ueberprueft und bei Aenderungen der Rechtslage aktualisiert. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

(2) Bei Widerspruechen zwischen diesem Dokument und den gesetzlichen Bestimmungen des HinSchG gelten die gesetzlichen Bestimmungen.

(3) Fuer weitergehende rechtliche Informationen verweisen wir auf:

Stand: Maerz 2026