Erfüllt OpenWhistle alle Anforderungen des HinSchG?

Ja. OpenWhistle implementiert alle Anforderungen der §§ 16–18 HinSchG: 7-Tage-Eingangsbestätigung und 3-Monats-Rückmeldepflicht nach § 17, bidirektionale Kommunikation (§ 17 Abs. 3), strenge Vertraulichkeit der Identität (§ 8), Datenlöschungspflichten (§ 26) sowie den Hinweis auf das Dokumentationsverbot bei § 10 für telefonische Kanäle.

Wie unterscheidet sich OpenWhistle von kommerziellen Tools wie EQS oder BKMS?

OpenWhistle ist vollständig selbst gehostet — Ihre Daten verlassen niemals Ihre Infrastruktur. Der Quellcode ist unter GPL-3.0 öffentlich einsehbar und prüfbar. Kommerzielle Tools wie EQS Integrity Line kosten typischerweise 50–200 € pro Monat, laufen auf externer Cloud-Infrastruktur (DSGVO-Risiko) und haben geschlossenen Quellcode.

HinSchG-konformes Hinweisgebersystem

Interne Meldestelle
kostenlos & Open Source

OpenWhistle erfüllt alle Anforderungen des Hinweisgeberschutzgesetzes — selbst gehostet, DSGVO-konform, ohne IP-Protokollierung. Kostenlos für immer unter GPL-3.0.

Demo testen → Dokumentation lesen

Version 1.0.0 GPL-3.0 Keine IP-Protokollierung Docker Self-Hosted

HinSchG §§ 16–18

DSGVO-konform

Keine IP-Protokollierung

Open Source

Selbst gehostet

Dauerhaft kostenlos

Gesetzliche Pflicht

Das HinSchG verpflichtet Ihr Unternehmen

Das Hinweisgeberschutzgesetz (HinSchG), in Kraft seit dem 2. Juli 2023, verpflichtet alle Unternehmen ab 50 Mitarbeitern sowie alle Behörden zur Einrichtung eines sicheren internen Meldekanals. Zuwiderhandlungen können zu Bußgeldern bis zu 50.000 € führen.

OpenWhistle implementiert alle Pflichtanforderungen der §§ 16–18 HinSchG — inklusive der 7-Tage-Eingangsbestätigung und der 3-Monats-Rückmeldepflicht nach § 17 — automatisch und ohne manuelle Prozesse.

Da die Software selbst gehostet wird, verlassen Ihre Hinweisgeberdaten niemals Ihre eigene Infrastruktur. Kein SaaS-Anbieter, kein Cloud-Drittland-Transfer, keine DSGVO-Grauzone.

HinSchG Compliance-Leitfaden lesen →

§ 16 — Einrichtung interner MeldekanäleAb 50 Mitarbeitern verpflichtend; Vertraulichkeit gewährleisten
§ 17 Abs. 1 — 7-Tage-EingangsbestätigungEingang der Meldung innerhalb von 7 Tagen bestätigen
§ 17 Abs. 2 — 3-Monats-RückmeldepflichtHinweisgeber über ergriffene Maßnahmen informieren
§ 17 Abs. 3 — Bidirektionale KommunikationRückfragen an den Hinweisgeber ermöglichen
§ 8 — Vertraulichkeit der IdentitätIdentität des Hinweisgebers schützen
§ 26 — DatenlöschungMeldungen nach Abschluss fristgerecht löschen

Funktionen

Alles inklusive — dauerhaft kostenlos

Keine abgestufte Lizenzierung, kein bezahltes „Enterprise"-Tier. Alle Funktionen stehen allen Nutzern unter GPL-3.0 zur Verfügung.

Vollständige Anonymität

Keine IP-Adressen gespeichert — weder in der Datenbank noch in Logs. Vier unabhängige Anonymitätsschichten.

Verschlüsselte Speicherung

Alle Meldungsinhalte sind at-rest verschlüsselt (HKDF-SHA256 + Fernet per-Meldung). Der Schlüssel liegt nie in der Datenbank.

Automatische SLA-Verfolgung

7-Tage- und 3-Monats-Fristen werden automatisch berechnet und im Dashboard angezeigt. Erinnerungsbenachrichtigungen vor Ablauf.

Bidirektionale Kommunikation

Rückfragen an den Hinweisgeber via gesichertem Nachrichtensystem — nur mit Fallnummer und PIN zugänglich.

Mehrsprachige Oberfläche

Deutsche, englische und französische Benutzeroberfläche mit 388+ Übersetzungsschlüsseln. Sprachauswahl per Klick.

Unveränderliches Audit-Log

Jede Admin-Aktion wird mit Zeitstempel und Benutzername protokolliert. Export als CSV. Pflichtgemäß nach HinSchG § 12 Abs. 3.

PDF-Export mit SLA-Bericht

Vollständiger Fallexport als PDF inklusive SLA-Compliance-Abschnitt. Für Berichtspflichten und Dokumentation.

Einfache Installation

Docker Compose in 3 Minuten. Web-basierter Setup-Wizard für den ersten Admin-Account. Kein manuelles Datenbanksetup.

Automatische Datenlöschung

Konfigurierbares DSGVO-Retention-System löscht abgeschlossene Meldungen automatisch nach einstellbarer Frist (Standard: 3 Jahre).

Vergleich

OpenWhistle vs. kommerzielle Lösungen

Warum für ein Hinweisgebersystem bezahlen, wenn es eine bessere Open-Source-Alternative gibt?

Merkmal	OpenWhistle	EQS / BKMS / WhistlePort
Preis	Kostenlos (GPL-3.0)	50–200 €/Monat
Hosting	Selbst gehostet — Ihre Daten	Cloud-SaaS (externer Server)
Quellcode	Vollständig öffentlich (GitHub)	Proprietär / nicht einsehbar
IP-Protokollierung	Keine — 4 Schutzschichten	Meist unbekannt / Cloud-Logs
DSGVO-Risiko	Kein Drittland-Transfer	Möglicherweise US-Server
HinSchG §§ 16–18	Vollständig implementiert	Je nach Anbieter und Paket
Zwei-Faktor-Authentifizierung	Verpflichtend für alle Konten	Optional oder kostenpflichtig
Vendor Lock-in	Kein Lock-in — Docker portierbar	Eigene Datenformate / APIs

So funktioniert es

In 4 Schritten zum HinSchG-konformen Meldekanal

Installation

Docker Compose auf Ihrem Server starten. Der Web-Wizard führt durch die Ersteinrichtung und TOTP-Registrierung — in unter 5 Minuten.

Meldung eingehen

Der Hinweisgeber öffnet das Web-Formular, wählt Kategorie und Modus (anonym oder vertraulich) und schildert den Sachverhalt.

Bearbeitung & Kommunikation

Ihr Compliance-Team bearbeitet den Fall, kommuniziert via sicherem Nachrichtensystem mit dem Hinweisgeber und dokumentiert alle Schritte.

Abschluss & Löschung

Nach Abschluss erhält der Hinweisgeber die Rückmeldung. Der Fall wird nach der konfigurierten Frist DSGVO-konform gelöscht.

Häufige Fragen

FAQ

Was ist ein Hinweisgebersystem nach HinSchG?

Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen ab 50 Mitarbeitern und Behörden zur Einrichtung eines internen Meldekanals. Hinweisgeber müssen Missstände anonym melden können und vor Repressalien geschützt werden. OpenWhistle ist eine kostenlose Softwarelösung, die alle gesetzlichen Anforderungen erfüllt.

Ist OpenWhistle wirklich kostenlos — auch für kommerzielle Nutzung?

Ja. OpenWhistle steht unter der GPL-3.0-Lizenz, die kommerzielle Selbst-Hosting-Nutzung ausdrücklich erlaubt. Es gibt keine kostenpflichtigen Funktionen, kein Abonnement und keinen Enterprise-Tier. Die einzige Bedingung der GPL ist: Wenn Sie den Quellcode modifizieren und weitergeben, müssen Sie die Änderungen ebenfalls unter GPL veröffentlichen.

Wie wird die Anonymität des Hinweisgebers sichergestellt?

Vier unabhängige Schutzschichten: (1) nginx entfernt X-Forwarded-For-Header, (2) die Applikationsmiddleware löscht die Remote-Adresse vor jeder Verarbeitung, (3) keine IP-Spalte im Datenbankschema, (4) Redis-Session-Tokens tragen keine Identifizierungsmerkmale. Ein Mitarbeiter, der aus dem Büronetzwerk eine Meldung abgibt, hinterlässt keinerlei Netzwerkidentifikatoren in der Datenbank.

Welche technischen Voraussetzungen brauche ich?

Docker 24 oder neuer, Docker Compose v2, mindestens 512 MB RAM, PostgreSQL 18, Redis 8 und eine Domain mit gültigem HTTPS-Zertifikat. Ein einfacher VPS mit 1 vCPU und 1 GB RAM reicht für die meisten Organisationen. Unser Ansible-Role automatisiert die vollständige Servereinrichtung inklusive Let's Encrypt-Zertifikat.

Unterstützt OpenWhistle Single Sign-On (SSO)?

Ja. OpenWhistle unterstützt OIDC-Login für Admin-Konten. Kompatibel mit Keycloak, Authentik, Azure AD (Entra ID), Google Workspace und jedem anderen OpenID-Connect-Provider. LDAP/Active-Directory-Login ist ebenfalls integriert — ideal für Unternehmen, die ihre bestehende Verzeichnisstruktur nutzen möchten.

Kann ich OpenWhistle für mehrere Standorte oder Gesellschaften nutzen?

Ja. Ab Version 1.0.0 unterstützt OpenWhistle Multi-Tenancy: Eine Installation kann mehrere unabhängige Organisationen mit vollständig getrennten Daten, eigenen Kategorien, Standorten und Nutzern betreiben. Ideal für Konzerne oder Beratungsunternehmen, die mehrere Mandanten betreuen.

Jetzt kostenlos starten

Ihre HinSchG-konforme Meldestelle in unter 5 Minuten — ohne Lizenzkosten, ohne Vendor Lock-in.

Live-Demo testen Installationsanleitung GitHub →

Interne Meldestelle kostenlos & Open Source