Umsetzung des Hinweisgeberschutzgesetz (HinSchG)

Anfang Juli 2023 ist das neue Hinweisgeberschutzgesetz (HinSchG) für Behörden, Kommunen und städtischen Unternehmen ab einer bestimmten Größe in Kraft getreten.

Kleinere Unternehmen mit 50-249 Mitarbeitenden haben noch bis zum 17.12.2023 Zeit für die Umsetzung. Wir zeigen eine technische Möglichkeit wie ein sicheres und einfaches Meldesystem mit Open-Source Software umgesetzt werden kann.

Open-Source Lösung GlobaLeaks

GlobaLeaks ist eine Open-Source-Plattform, die für sichere und anonyme Enthüllungen entwickelt wurde. Die Plattform ermöglicht es Benutzern, vertrauliche Informationen über Missstände, Korruption oder illegale Aktivitäten sicher an zuständige Meldestellen weiterzuleiten, ohne dabei die Identität des Benutzers preiszugeben.

Die Hauptfunktionen sind:

• Anonymität, Benutzer können selbst entscheiden ob sie anonym bleiben möchten
• Sichere Kommunikation
• einfache Nutzung ohne Registrierung
• Mehrsprachigkeit
• Flexible Konfiguration mit Fragebogendesigner
• Anpassung an das Corporate Design
• Datenaustausch für verschiedene Arten von Inhalten wie Text, Bilder oder Videos
• Dashboard, Berichterstattung und Analyse

Die Meldung erfolgt über ein einfaches Webformular ohne Registrierung. Der Benutzer muss keine eigenen Kontaktmöglichkeiten hinterlassen, demnach weder eine E-Mail Adresse noch eine Telefonnummer. Nach Abschluss der Meldung wird eine Fall ID erzeugt und angezeigt, mit dieser kann sich der Meldende jederzeit anmelden und auch Antworten von der Meldestelle einsehen und wiederum darauf antworten.

Dadurch ist eine einfache Kommunikation zwischen der Meldestelle und dem Benutzer gegeben, der Benutzer kann dabei völlig anonym bleiben.

Das Formular kann sehr individuell gestaltet werden. So können verschiedene Abfragen eingebaut werden und Pflichtfelder wie auch optionale Felder sind möglich.

Der technische Administrator hat keinen Einblick auf die gemeldeten Fälle.

Hierfür gibt es zusätzlich die Berechtigungsrolle Bearbeiter und nur dieser hat Einblick auf die gemeldeten Fälle. Wird ein neuer Fall eröffnet, erhält der Bearbeiter eine E-Mail. Diese enthält aber keine Falldaten, sondern ist nur eine Benachrichtigung.

Die Einsicht und Bearbeitung der Fälle erfolgt im Browser. Dafür muss sich der Bearbeiter im System einloggen.

Für mehr Sicherheit sorgt die optionale Möglichkeit einer Zwei-Faktor-Authentisierung (2FA).

Der Bearbeiter wiederum hat keinerlei technische einsicht in Logdateien und kann so auch nicht über umwege die Anonymität des Benutzers offen legen.

Gerade für größere Unternehmen kann es wichtig und interessant sein, die technische Betreuung und die Bearbeitung der gemeldeten Fälle strikt zu trennen.

Hierfür bieten wir die Installation, Konfiguration und den Betrieb von GlobaLeaks an. Auch die Schulung des oder der Bearbeiter ist möglich.

Hosting und Preise

Wir bieten 2 verschieden Pakete an. Gerne können Sie uns unverbindlich über unser Kontaktformular oder per E-Mail dazu anfragen.

Screenshots aus der Sicht des Benutzers

Screenshots aus der Sicht des Bearbeiters

Self-Hosted Installation

GlobaLeaks lässt sich unter Debian 11/12 sowie Ubuntu 20.04/22.04 installieren. In LXC Containern scheint es Probleme mit der Apparmor protection zu geben, daher läuft bei uns GlobaLeaks nicht in LXC Containern.

Die Docker Images sind nicht up-to-date.

Unter Debian 11/12 und Ubuntu 20.04/22.04 lässt sich GlobaLeaks mit folgenden Befehlen sehr schnell installieren:

wget https://deb.globaleaks.org/install-globaleaks.sh
chmod +x install-globaleaks.sh
./install-globaleaks.sh

Nach der Installation per CLI ist GlobaLeaks per HTTPS unter https://<deine-server-ip> zu erreichen und das Platform Wizard leitet durch die sehr einfache Konfiguration.

Schließlich verbleibt die Konfiguration der Fragebögen, Kanäle, Benutzer sowie Benachrichtigungen. Diese ist ausführlich in der Dokumentation von GlobaLeaks erklärt. Siehe dafür https://docs.globaleaks.org

Der Login ist später unter https://<deine-server-ip>/login erreichbar.