HR- & Hinweisgeber-Meldeformulare
Beschwerden, Austrittsgespräche, anonyme Meldungen, Arbeitsplatz-Untersuchungen — gebaut für HR- und Compliance-Teams, die vertrauliche Meldekanäle benötigen, ohne Rohdaten einem Formular-Anbieter zu überlassen. Zero-Knowledge, Schweizer Hosting, an der EU-Whistleblower-Richtlinie ausgerichtet.
Hinweisgebermeldungen, arbeitsplatzbezogene Beschwerden und HR-Untersuchungen teilen eine Eigenschaft, die die meisten anderen Geschäftsdaten nicht haben: Die Bereitschaft des Meldenden zu sprechen hängt vollständig von der Zuversicht ab, dass das Geschriebene nicht von der falschen Person gelesen wird. Diese Zuversicht ist mit einem generischen Formular-Tool, dessen Anbieter jede Einsendung lesen kann, schwer zu verdienen.
Schweizerform geht vom Gegenteil aus. Jede Einsendung — eine Beschwerde, ein anonymer Hinweis, eine Belästigungsmeldung, eine Antwort im Austrittsgespräch — wird im Browser des Meldenden verschlüsselt, bevor sie unsere Server erreicht. Schweizerform kann sie physisch nicht lesen. Für Organisationen, die die EU-Whistleblower-Richtlinie (2019/1937) umsetzen, Betriebsräte unterstützen oder schlicht eine funktionierende Speak-up-Kultur pflegen wollen, ist diese Eigenschaft der Unterschied zwischen einem Kanal, dem Menschen vertrauen, und einem, den sie meiden.
Für wen diese Seite gedacht ist
HR-Leitung, Compliance-Verantwortliche, Rechtsabteilungen, Interne Revision, Ombudspersonen und Betriebsrats-Vertreter in Organisationen, die in der Schweiz, in der EU oder in beiden Räumen tätig sind — und die einen Meldekanal brauchen, den Mitarbeitende wirklich nutzen.
Warum die meisten Formular-Tools bei Hinweisgeber-Kanälen versagen
Die meisten Online-Formular-Tools folgen einem klassischen SaaS-Modell: Der Browser des Meldenden sendet Klartextdaten über HTTPS, und der Server des Anbieters speichert sie. Dieser Server kann alles lesen. Ebenso die Mitarbeitenden des Anbieters, dessen Integrationspartner, jede Person, die seine Infrastruktur kompromittiert, und — je nach Rechtsordnung — jede Behörde, die dem Anbieter einen rechtmässigen Beschluss zustellt.
Für die meisten Formulare — Marketingumfragen, Veranstaltungszusagen — ist dieses Modell unproblematisch. Für einen Hinweisgeberkanal schafft es jedoch ein spezifisches Problem: Identität des Meldenden und Inhalt der Meldung liegen im Klartext auf einem Drittanbieter-Server, den die Organisation nicht kontrolliert.
- Ein Mitarbeiter meldet mutmassliche Belästigung durch einen namentlich genannten Vorgesetzten; die Datenbank des Anbieters enthält eine lesbare Darstellung, für jede Person mit Admin-Zugang durchsuchbar
- Eine Buchhalterin meldet verdächtige Buchungen; die Meldung liegt neben den alltäglichen Formular-Einsendungen des Unternehmens auf derselben Anbieter-Infrastruktur
- Eine Austrittsgesprächs-Antwort nennt konkrete Kolleginnen als Kündigungsgrund; die Antwort wird indexiert, gesichert und möglicherweise an Analytics übergeben
- Ein Herausgabeverlangen trifft den Anbieter; die Anfrage erreicht Hinweisgeber-Daten, ohne dass der Meldende je benachrichtigt wird
- Der Anbieter wird übernommen, ändert seine Datenschutzerklärung oder erleidet einen Vorfall; sämtliche historischen Meldungen sind auf einen Schlag offengelegt
Die EU-Whistleblower-Richtlinie erwartet Vertraulichkeit by design
Die Richtlinie (EU) 2019/1937 verlangt, dass interne Meldekanäle so eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Meldenden und etwaiger genannter Dritter gewahrt bleibt (Art. 9). Klartextspeicherung bei einem Anbieter, der Einsendungen lesen kann, lässt sich damit schwer vereinbaren, wenn es technisch vermeidbar ist.
Wie Schweizerform Vertraulichkeit wahrt
Schweizerform ist eine Zero-Knowledge-Ende-zu-Ende-verschlüsselte Formularplattform. Die Verschlüsselung erfolgt im Browser des Meldenden, bevor Daten das Gerät verlassen. Nur Inhaber des formularspezifischen Access Codes können Einsendungen entschlüsseln. Wir — der Anbieter — nicht.
Sie erstellen ein Formular und einen Access Code
Beim Anlegen eines Hinweisgeberformulars erzeugt Schweizerform ein Schlüsselpaar und einen Access Code. Der öffentliche Schlüssel liegt im Formular; der Access Code verbleibt ausschliesslich beim Untersuchungsteam. Unsere Server sehen ihn nie.
Der Meldende sendet anonym von jedem Gerät
Beim Einreichen verschlüsselt der Browser jedes Feld — und jedes hochgeladene Dokument — mit starker symmetrischer Verschlüsselung und verpackt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Formulars. Unsere Server erhalten Chiffrate, die sie nicht entschlüsseln können.
Das Untersuchungsteam entschlüsselt im Browser
Wenn ein befugter Ermittler die Einsendung öffnet, lädt sein Browser das Chiffrat, wickelt den symmetrischen Schlüssel mithilfe des Access Codes ab und entschlüsselt lokal. Der Klartext berührt unsere Server nie.
Identitätsschutz per Architektur, nicht per Policy
Da wir Einsendungen nie im Klartext sehen, können wir nicht gezwungen werden, sie herauszugeben, sie in Analysen zu erzeugen oder sie bei einem Vorfall offenzulegen. Vertraulichkeit ist kryptographisch gesichert, nicht durch Anbietervertrauen.
Konkrete Meldekanäle
Anonyme Hinweisgeber-Meldungen
Der Kernanwendungsfall. Ein dediziertes Formular, im Intranet oder auf einer öffentlich zugänglichen Compliance-Seite publiziert, sammelt Meldungen zu vermutetem Fehlverhalten: Finanzunregelmässigkeiten, Regulierungsverstösse, Bestechung, Umweltverstösse, wettbewerbsrechtliche Themen. Der Meldende entscheidet, ob er seine Identität offenlegt; der Kanal versucht nicht, sie aus gespeicherten Metadaten abzuleiten.
Belästigung, Diskriminierung und Arbeitsschutz-Meldungen
Meldungen, die bestimmte Personen benennen, verlangen die strengste Vertraulichkeitsposition. Ein Zero-Knowledge-Kanal bedeutet, dass HR, Linienvorgesetzte und selbst IT-Administratoren mit Infrastrukturzugriff den Inhalt ungeöffneter Meldungen nicht sehen können. Nur der Untersuchungsausschuss mit dem Access Code sieht ihn.
Austrittsgespräche und Freitext in Mitarbeitendenbefragungen
Austretende Mitarbeitende teilen häufig Informationen, die sie während der Anstellung nicht geteilt hätten — Rückmeldungen zu Kultur, Führung und konkreten Vorfällen. Die Verschlüsselung dieser Antworten schützt sowohl die Mitarbeitenden (vor Repressalien) als auch die Organisation (vor dem Risiko, dass Austrittsinhalte durch einen Anbieter-Vorfall oder eine rechtliche Anfrage abfliessen).
Einreichungen zu Betriebsrat / Personalvertretung
In Rechtsordnungen mit gesetzlichen Arbeitnehmervertretungen (Betriebsrat in Deutschland, CSE in Frankreich, firmenspezifische Gremien in der Schweiz) profitiert ein vertraulicher Meldeweg zwischen Belegschaft und Vertretung von derselben Eigenschaft: Keine Drittanbieter-Cloud hat lesbaren Zugriff auf den Inhalt.
Untersuchungs-Intake und Zeugenaussagen
Während einer laufenden internen Untersuchung werden Zeugenaussagen, Beweisuploads und Zeitlinien über sichere Formulare gesammelt. Jede Untersuchung kann ein eigenes Formular mit eigenem Access Code haben, sodass der Kreis der Einsichtsberechtigten pro Fall eng umrissen ist.
Was Mitarbeitende, Behörden und Zwangsmassnahmen sehen
| Perspektive | Generischer Anbieter | Schweizerform |
|---|---|---|
| Meldende:r beim Einreichen | Klartext-Formular, Speicherung in der Anbieter-Cloud | Klartext-Formular, Verschlüsselung im Browser vor Übermittlung |
| Support / Mitarbeitende des Anbieters | Können Einsendungsinhalt lesen | Können nicht entschlüsseln; sehen nur Chiffrate |
| Herausgabeersuchen gegen den Anbieter | Klartext-Meldungen können produziert werden | Nur Chiffrat; ohne Access Code nutzlos |
| Datenvorfall beim Anbieter | Lesbare Meldungen und Identität der Meldenden kompromittiert | Nur Chiffrat; Inhalt und Identität bleiben unlesbar |
Regulatorischer Kontext: EU-Richtlinie und Schweizer Lage
Die EU-Whistleblower-Richtlinie (2019/1937) verpflichtet die meisten juristischen Personen mit 50 oder mehr Arbeitnehmenden sowie alle öffentlichen Stellen über einer Grössenschwelle, einen internen Meldekanal bereitzustellen. Wesentliche Anforderungen sind Vertraulichkeit der Identität der Meldenden und genannter Dritter, Eingangsbestätigung binnen 7 Tagen, Rückmeldung binnen 3 Monaten sowie ein Repressalienverbot.
Die Schweiz hat bislang kein eigenständiges bundesrechtliches Hinweisgebergesetz erlassen; ein Entwurf zur Anpassung des Obligationenrechts wurde 2020 abgelehnt. Viele Schweizer Arbeitgeber setzen den EU-Standard dennoch um — sei es, weil sie EU-Tochtergesellschaften in deren Anwendungsbereich haben, weil Investoren oder ESG-Erwartungen in diese Richtung drängen, oder weil sie es als gute Praxis betrachten. Die Architektur von Schweizerform erfüllt in beiden Fällen das Erfordernis der Vertraulichkeit durch Gestaltung.
Vertraulichkeit ist nur ein Teil der Richtlinie
Ein konformer interner Kanal verlangt zusätzlich definierte Bestätigungsfristen, eine benannte unparteiische Person oder Stelle zur Bearbeitung, Dokumentationspflichten und ein klares Repressalienverbot. Schweizerform liefert die technische Vertraulichkeitsebene; Ihr Compliance-Programm liefert den Prozess drumherum.
Funktionen, die für HR- und Hinweisgeber-Kanäle relevant sind
- Zero-Knowledge-Ende-zu-Ende-Verschlüsselung bei jeder Einsendung — kein Lesezugriff des Anbieters
- Echter anonymer Einreichungsmodus — kein Konto nötig, standardmässig keine Meldenden-Metadaten erhoben
- Verschlüsselte Dokument-Uploads — Memos, Aufzeichnungen, Tabellen und Screenshots werden im Browser verschlüsselt
- Mehrsprachige Formulare (EN / DE / FR / IT) von Haus aus — dasselbe Meldeformular in jeder offiziellen Schweizer Sprache und Englisch
- Formular-individuelle Access Codes, auf spezifische Untersuchungsteams zugeschnitten — unterschiedliche Verfahren, unterschiedliche Codes
- Schweizer Hosting mit nFADP-ausgerichteter Datenverarbeitungs-Position — die Antwort-Payload verlässt die Schweiz nicht
- Audit-Protokoll der Zugriffsereignisse (wer wann eine verschlüsselte Einsendung geöffnet hat), ohne Inhalt preiszugeben
- Kostenloser Tarif für einen Pilotkanal, bevor unternehmensweit ausgerollt wird
Häufige Einwände
"Unsere Meldenden vertrauen einem Online-Formular nie — sie wollen eine Telefon-Hotline."
Die Richtlinie erlaubt ausdrücklich schriftliche Kanäle, mündliche Kanäle oder beide. Viele Organisationen stellen fest, dass schriftliche Kanäle andere, oft detailliertere Meldungen anziehen — und dass ein verschlüsseltes schriftliches Formular leichter skaliert als eine 24/7-mehrsprachige Hotline. Beide ergänzen sich; Schweizerform deckt die schriftliche Seite ab.
"Wenn wir den Access Code verlieren, verlieren wir die Meldungen."
Das stimmt und ist gewollt. Empfohlen wird ein dokumentiertes Schlüssel-Verwahrungsverfahren — versiegelte Umschläge bei zwei unabhängigen Personen, geteilte Verwahrung zwischen Compliance und Recht oder ein Hardware Security Module — damit ein einzelner Ausfall keinen Zugriffsverlust erzeugt und keine einzelne Person unilateral entschlüsseln kann.
"Wir brauchen eine Integration in unser Fallmanagementsystem."
Integrationen sind möglich, aber erst nach der Entschlüsselung. Der Arbeitsplatz des Ermittlers entschlüsselt eine Einsendung und exportiert sie in das Fallmanagement-Tool. Eine Integration auf unserer Serverseite ist per Definition unmöglich — wir besitzen die Schlüssel nicht.
"Der Betriebsrat sorgt sich wegen Überwachung."
Diese Sorge lässt sich meist auflösen, wenn die Architektur erklärt ist: Der Anbieter kann Einsendungen nicht lesen, und der Arbeitgeber kann sie nur lesen, wenn er den Access Code besitzt — der typischerweise bei einer gemeinsam benannten Compliance-Stelle oder einer externen Ombudsperson liegt. Missbrauch durch irgendjemanden, einschliesslich des Arbeitgebers, wird dadurch schwieriger.
Einführung eines Hinweisgeber-Kanals mit Schweizerform
Umfang und Verwahrmodell festlegen
Entscheiden Sie, welche Meldungen der Kanal abdeckt (nur Finanzunregelmässigkeiten oder der volle Anwendungsbereich der Richtlinie), wer den Access Code hält und wie die Schlüsselverwahrung aufgeteilt wird, um Einzelpersonen-Risiken zu vermeiden.
Das Formular in allen vier Sprachen entwerfen
Halten Sie die Felder kurz und optional. Bieten Sie ein Freitextfeld, eine Kategorieauswahl, einen optionalen Anhang-Upload und ein optionales Kontaktfeld für Meldende, die einen Dialog wünschen. Publizieren Sie dasselbe Formular in EN / DE / FR / IT.
Den Zugangspunkt klar kommunizieren
Verlinken Sie das Formular im Intranet, auf der Karriereseite, im Mitarbeitendenhandbuch und ggf. in Lieferantendokumenten. Eine prominente, stabile URL gehört zur Zugänglichkeitserwartung der Richtlinie.
Das Untersuchungsteam auf den Zugriffsablauf schulen
Die Ermittler mit dem Access Code entschlüsseln Einsendungen im eigenen Browser. Gehen Sie den Ablauf, die Bestätigungsfrist und die Dokumentationsvorlage mit ihnen durch.
Jährlich prüfen
Testen Sie den Kanal mindestens einmal pro Jahr: Ist das Formular erreichbar, liegt der Access Code bei den richtigen Personen, funktioniert die Eingangsbestätigung, wird die Aufbewahrungsrichtlinie angewendet?
Das Fazit
Ein Meldekanal ist nur so stark wie die Vertraulichkeit, die der Meldende ihm zutraut. Ein Formular-Tool, das jede Einsendung lesen kann — unabhängig von schöner Oberfläche und günstigem Preis — scheitert an diesem Massstab, bevor die erste Meldung eintrifft.
Schweizerform bietet einen anderen Vorschlag: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting und eine Architektur, die die Erwartung der Vertraulichkeit-by-design aus der EU-Whistleblower-Richtlinie und der nFADP ernst nimmt. Kein Sicherheits-Upgrade gegen Aufpreis. Keine US-Cloud-Abhängigkeit für Antwortdaten. Keine für Dritte lesbare Kopie sensibler Meldungen auf einem Server ausserhalb Ihrer Kontrolle.
Starten Sie mit einem einzelnen Meldekanal im kostenlosen Tarif. Schweizer Hosting, Zero-Knowledge-Verschlüsselung und volle EN- / DE- / FR- / IT-Unterstützung — ohne Kreditkarte.
Hinweis: Diese Seite ist allgemeine Information und Marketinginhalt, keine Rechts-, Compliance- oder Arbeitsrechtsberatung. Die Bezugnahmen auf die EU-Whistleblower-Richtlinie (2019/1937), das Schweizer Obligationenrecht, das nFADP, Betriebsrats-Strukturen und verwandte Regelwerke sind konzeptionell zusammengefasst und unterliegen jurisdiktionsspezifischer Auslegung und künftigen Gesetzesänderungen. Die Verantwortung für einen konformen Meldekanal — einschliesslich Schutz vor Repressalien, Bestätigungsfristen, Dokumentation und unparteiischer Untersuchung — verbleibt beim Arbeitgeber. Ziehen Sie qualifizierte Schweizer/EU-arbeitsrechtliche Beratung sowie eine Datenschutz-Fachperson bei, bevor Sie Compliance- oder Beschaffungsentscheidungen treffen.