Open-Source-Hinweisgebersoftware (Deutschland)
Suchen Sie eine sichere, ethische Hinweisgeber-Plattform, die der EU-Hinweisgeberrichtlinie entspricht?
Probieren Sie GlobaLeaks aus, die freie Open-Source-Software, die entwickelt wurde, um:
- die Identität hinweisgebender Personen zu schützen und vollständige Vertraulichkeit zu gewährleisten
- sichere interne und externe Meldekanäle mit strukturierter Fallbearbeitung bereitzustellen
- Nachvollziehbarkeit, Auditierbarkeit und eine zuverlässige Folgemaßnahme der Meldungen sicherzustellen
- die Anforderungen der Richtlinie (EU) 2019/1937 zu erfüllen
Erfahren Sie mehr in der offiziellen Dokumentation.
Die EU-Hinweisgeberrichtlinie
Die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, verpflichtet Organisationen, sichere und vertrauliche Meldekanäle einzurichten und hinweisgebende Personen vor Repressalien zu schützen.
In Deutschland setzt das Hinweisgeberschutzgesetz (HinSchG) vom 31. Mai 2023 die Richtlinie um. Es verpflichtet öffentliche Stellen und private Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldestellen. Externe Meldestelle ist das Bundesamt für Justiz.
Gesetzliche Verpflichtungen und Compliance
| Fundstelle | Verpflichtung | Wie GlobaLeaks sie erfüllt |
|---|---|---|
| § 16 Abs. 1-2 HinSchG | Die internen Meldestellen betreiben Meldekanäle, über die sich hinweisgebende Personen wenden können; diese sind so zu gestalten, dass nur die für die Bearbeitung zuständigen Personen sowie unterstützende Personen Zugriff auf die eingehenden Meldungen haben. | GlobaLeaks ist ein dediziertes, selbst gehostetes internes Hinweisgebersystem für Whistleblowing nach HinSchG auf Basis freier und quelloffener Software, dessen Umsetzung unabhängig überprüfbar ist. Eine granulare Zugriffskontrolle nach dem Need-to-know-Prinzip stellt sicher, dass ausschließlich die zuständigen Bearbeiter und unterstützenden Personen Zugriff erhalten. Vollständige Anonymität ist dank der Integration der Tor-Technologie möglich. |
| § 16 Abs. 3 HinSchG | Die Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen; auf Ersuchen der hinweisgebenden Person ist für eine persönliche Zusammenkunft zu sorgen. | GlobaLeaks ermöglicht Meldungen in Textform mit Anhängen sowie als Sprachnachricht; über den bidirektionalen Kanal kann die hinweisgebende Person zudem eine persönliche Zusammenkunft anfragen. |
| § 16 Abs. 1 S. 4-5 HinSchG | Die interne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten; eine Verpflichtung, den Meldekanal für anonyme Meldungen zu gestalten, besteht nicht. | GlobaLeaks unterstützt anonyme und vertrauliche Meldungen (konfigurierbar); der asynchrone bidirektionale Kanal ermöglicht den Austausch mit der hinweisgebenden Person unter durchgängiger Wahrung der Anonymität. |
| § 8 Abs. 1 HinSchG | Die Vertraulichkeit der Identität der hinweisgebenden Person, der von einer Meldung betroffenen Personen sowie sonstiger in der Meldung genannter Personen ist zu wahren. | Die Identität der hinweisgebenden Person ist in jeder Phase geschützt; die granulare Zugriffskontrolle nach dem Need-to-know-Prinzip verhindert eine Kenntnisnahme durch unbefugte Personen und wahrt so die Vertraulichkeit. |
| § 17 Abs. 1 Nr. 1 HinSchG | Die interne Meldestelle bestätigt der hinweisgebenden Person den Eingang der Meldung spätestens nach sieben Tagen. | Unmittelbar nach Abgabe stellt GlobaLeaks eine Eingangsbestätigung aus, die als fristgerechte Eingangsbestätigung dient. |
| § 17 Abs. 1 Nr. 3, 5 HinSchG | Die interne Meldestelle hält mit der hinweisgebenden Person den Kontakt und ersucht sie erforderlichenfalls um weitere Informationen. | Der asynchrone bidirektionale Kanal ermöglicht einen fortlaufenden Austausch und Rückfragen unter Wahrung der Anonymität; das strukturierte Fallmanagement mit Fristen, Timern, Erinnerungen und Dashboard unterstützt die laufende Kontaktpflege. |
| § 17 Abs. 2 HinSchG | Die interne Meldestelle gibt der hinweisgebenden Person innerhalb von drei Monaten nach der Bestätigung des Eingangs der Meldung eine Rückmeldung über ergriffene oder geplante Folgemaßnahmen sowie die Gründe hierfür. | Das strukturierte Fallmanagement steuert die Einhaltung der Drei-Monats-Frist über Fristen, Timer und Erinnerungen; die Rückmeldung wird der hinweisgebenden Person über den anonymitätswahrenden bidirektionalen Kanal erteilt. |
| § 10 HinSchG | Verarbeitung personenbezogener Daten im Einklang mit der GDPR nach dem Grundsatz der Datenminimierung. | Self-Hosting, keine Komponenten oder Dienste von Drittanbietern, keine Protokollierung von IP-Adressen, Minimierung der Metadaten. |
| § 11 Abs. 5 HinSchG | Die Dokumentation einer Meldung ist drei Jahre nach Abschluss des Verfahrens zu löschen; sie darf länger aufbewahrt werden, soweit dies erforderlich und verhältnismäßig ist. | Ein datenschutzfreundliches Protokoll dokumentiert die Bearbeitungsvorgänge nachvollziehbar; das strukturierte Fallmanagement mit Fristen und Erinnerungen unterstützt die fristgerechte Löschung drei Jahre nach Verfahrensabschluss. |