Open-Source-Hinweisgebersoftware (Österreich)
Suchen Sie eine sichere, ethische Hinweisgeber-Plattform, die der EU-Hinweisgeberrichtlinie entspricht?
Probieren Sie GlobaLeaks aus, die freie Open-Source-Software, die entwickelt wurde, um:
- die Identität hinweisgebender Personen zu schützen und vollständige Vertraulichkeit zu gewährleisten
- sichere interne und externe Meldekanäle mit strukturierter Fallbearbeitung bereitzustellen
- Nachvollziehbarkeit, Auditierbarkeit und eine zuverlässige Folgemaßnahme der Meldungen sicherzustellen
- die Anforderungen der Richtlinie (EU) 2019/1937 zu erfüllen
Erfahren Sie mehr in der offiziellen Dokumentation.
Die EU-Hinweisgeberrichtlinie
Die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, verpflichtet Organisationen, sichere und vertrauliche Meldekanäle einzurichten und hinweisgebende Personen vor Repressalien zu schützen.
In Österreich setzt das HinweisgeberInnenschutzgesetz (HSchG) aus dem Jahr 2023 die Richtlinie um. Es verpflichtet öffentliche Stellen und private Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldestellen.
Gesetzliche Verpflichtungen und Compliance
| Fundstelle | Verpflichtung | Wie GlobaLeaks sie erfüllt |
|---|---|---|
| § 11 Abs. 1, 3 HSchG | Rechtsträger mit 50 oder mehr Arbeitnehmern haben einen internen Hinweisgeberkanal einzurichten und zu betreiben, der den Anforderungen des § 13 sowie den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) entspricht. | GlobaLeaks ist ein dediziertes, selbst gehostetes internes Hinweisgebersystem für Whistleblowing, das die Anforderungen des HSchG an interne Stellen erfüllt und als freie, quelloffene Software unabhängig überprüfbar ist. Als datenschutzfreundliche Voreinstellung werden keine IP-Adressen protokolliert und Metadaten auf das erforderliche Mindestmaß beschränkt (DSGVO), womit Datenschutz durch Technikgestaltung nach Art. 25 DSGVO gewährleistet ist. |
| § 13 Abs. 1 HSchG | Die internen Stellen haben Meldekanäle so zu gestalten und zu betreiben, dass die Vertraulichkeit der Identität des Hinweisgebers sowie Dritter, die in der Meldung genannt werden, gewahrt bleibt und nicht befugten Personen der Zugriff verwehrt wird. | Report und Anhänge werden mittels Verschlüsselung gesichert, und die Identität des Hinweisgebers ist in jeder Phase geschützt. Ein granulares Zugriffskontrollsystem nach dem Need-to-know-Prinzip stellt sicher, dass ausschließlich befugte Personen Zugriff erhalten; Meldungen können anonym oder vertraulich abgegeben werden (konfigurierbar). Vollständige Anonymität ist dank der Integration der Tor-Technologie möglich. |
| § 13 Abs. 5 HSchG | Hinweise müssen schriftlich oder mündlich gegeben werden können; auf Ersuchen des Hinweisgebers, dem spätestens innerhalb von 14 Kalendertagen zu entsprechen ist, hat eine persönliche Zusammenkunft zur Besprechung des Hinweises stattzufinden. | GlobaLeaks ermöglicht schriftliche Meldungen mit Anhängen sowie Sprachnachrichten; auf Wunsch kann über den bidirektionalen Kanal ein persönliches Treffen angefragt und die 14-Tage-Frist mittels Fristen, Timern und Erinnerungen des strukturierten Fallmanagements überwacht werden. |
| § 9 Abs. 1 HSchG | Dem Hinweisgeber ist innerhalb von sieben Tagen ab Einlangen der Meldung deren Eingang zu bestätigen. | Unmittelbar nach Abgabe wird eine Eingangsbestätigung ausgestellt, die dem Hinweisgeber den fristgerechten Zugang seiner Meldung nachweist. |
| § 13 Abs. 8 HSchG | Ergänzungen oder Berichtigungen einer bereits erstatteten Meldung sind zu ermöglichen; deren Eingang ist dem Hinweisgeber innerhalb von sieben Tagen zu bestätigen. | Über den asynchronen bidirektionalen Kanal kann der Hinweisgeber unter Wahrung der Anonymität jederzeit Ergänzungen und weitere Anhänge nachreichen; deren Eingang wird über dieselbe eindeutige Empfangsbestätigung fristgerecht bestätigt. |
| § 13 Abs. 9 HSchG | Spätestens drei Monate nach Entgegennahme des Hinweises hat die interne Stelle dem Hinweisgeber bekanntzugeben, welche Folgemaßnahmen sie ergriffen hat oder zu ergreifen beabsichtigt oder aus welchen Gründen sie den Hinweis nicht weiterverfolgt. | Das strukturierte Fallmanagement mit Fristen, Timern, Erinnerungen und einem Dashboard steuert die Einhaltung der Drei-Monats-Frist, und die Rückmeldung wird dem Hinweisgeber über den anonymitätswahrenden bidirektionalen Kanal übermittelt. |
| § 7 HSchG | Die Identität des Hinweisgebers sowie sonstige Rückschlüsse zulassende Informationen dürfen ohne dessen ausdrückliche Zustimmung keinen anderen Personen als den für die Entgegennahme und Bearbeitung befugten Personen offengelegt werden. | Die Identität des Hinweisgebers ist in jeder Phase geschützt; Meldungen können anonym oder vertraulich erfolgen. Die granulare Zugriffskontrolle nach dem Need-to-know-Prinzip beschränkt den Zugang ausschließlich auf die zur Bearbeitung befugten Personen. |
| § 8 Abs. 10 bis 12 HSchG | Verarbeitung personenbezogener Daten im Einklang mit der GDPR nach dem Grundsatz der Datenminimierung. | Self-Hosting, keine Komponenten oder Dienste von Drittanbietern, keine Protokollierung von IP-Adressen, Minimierung der Metadaten. |
| § 9 Abs. 6 HSchG | Eingegangene Meldungen sind sicher aufzubewahren und nur den zur Bearbeitung befugten Personen zugänglich zu machen. | Meldungen und Anhänge werden sicher verwahrt und ausschließlich über die granulare Zugriffskontrolle nach dem Need-to-know-Prinzip den zur Bearbeitung befugten Personen zugänglich gemacht. |