Der konforme Whistleblowing-Kanal ohne Kopfzerbrechen – den niemand lesen kann, nicht einmal wir
Sind Sie durch das D.Lgs. 24/2023 verpflichtet? Verwalten Sie die Compliance mehrerer Kunden? Sind Sie eine öffentliche Einrichtung? Vocea löst Ihr Problem mit einem im Browser verschlüsselten Kanal (zero-knowledge), der in wenigen Minuten einsatzbereit und im Einklang mit den Linee Guida ANAC 2025 ist.
Gewählt von Unternehmen, öffentlichen Einrichtungen, Kanzleien und Softwarehäusern in Italien.
9f2a…cifrato nel browser
Abgedeckte Vorschriften
Maßgebliches nationales Gesetz: Deutschland · Hinweisgeberschutzgesetz (HinSchG, 2023)
Umgang mit Anonymität: Anonyme Meldungen müssen bearbeitet werden, wenn sie eingehen, ein anonymer Meldekanal ist für Unternehmen jedoch nicht verpflichtend (§16 HinSchG).
Vocea stellt die Werkzeuge für einen konformen Meldekanal bereit; die vollständige Konformität hängt auch von den Bestellungen, der DSFA und der Konfiguration der Organisation ab. Für verbindliche Auskünfte wenden Sie sich an die zuständige interne Meldestelle oder an einen Rechtsbeistand.
Wie ist Ihre Situation?
Vocea geht von Ihrem Problem aus, nicht von unseren Funktionen. Wählen Sie das Profil, das Ihnen am ähnlichsten ist.
Verpflichtetes Unternehmen
«Ich bin gesetzlich verpflichtet: ich möchte mich schnell in Ordnung bringen, ohne Komplikationen und ohne Sanktionen zu riskieren.»
- Eine ANAC-Sanktion kann bis zu 50.000 € betragen, schon allein für einen fehlenden oder nicht konformen Kanal.
- Die Linee Guida ANAC 2025 besagen, dass E-Mail oder PEC nicht mehr ausreichen: es braucht eine dedizierte und verschlüsselte Plattform.
- Zwischen DPIA, Ernennungen, Fristen und Datenschutz wissen Sie nicht, wo Sie anfangen sollen.
- Konformer Kanal in wenigen Minuten aktiv, mit Schritt-für-Schritt-Onboarding.
- Gesetzliche Fristen (Eingangsbestätigung 7 Tage, Rückmeldung 3 Monate) automatisch verfolgt und in Erinnerung gerufen.
- DPA Art. 28 und DPIA-Vorlage inklusive: wir nehmen Ihnen die Datenschutzpflicht ab.
Berater / Kanzlei
«Ich möchte meinen Kunden Whistleblowing anbieten und viele davon von einem einzigen Ort aus verwalten – möglichst unter meiner Marke.»
- Ihre verpflichteten Kunden fragen Sie nach einer Lösung, aber sie einzeln zu verwalten ist nicht machbar.
- Sie möchten einen neuen Mehrwertdienst, kein anonymes Produkt mit der Marke eines anderen weiterverkaufen.
- Sie brauchen eine technische Vertraulichkeitsgarantie, um die Rolle des externen Beauftragten zu übernehmen.
- Multi-Kunden-Konsole: verwalten Sie als externer Beauftragter die Kanäle mehrerer Organisationen über ein einziges Dashboard.
- White-label: Ihr Logo und Ihre Farben auf dem Kanal der Kunden, um den Dienst unter Ihrer Marke anzubieten.
- Echtes zero-knowledge: als externer Beauftragter haben nur Sie Zugang, mit Ihrem Schlüssel – nicht einmal wir können lesen.
Öffentliche Verwaltung / RPCT
«Verpflichtete öffentliche Einrichtung: ich brauche einen konformen Kanal, mit SPID/CIE-Zugang, barrierefrei und mit Daten, die in Italien bleiben.»
- Die öffentliche Verwaltung ist immer verpflichtet, unabhängig von der Anzahl der Mitarbeiter.
- Es braucht digitale Identität (SPID/CIE), Barrierefreiheit und Garantien zum Datenstandort.
- Der RPCT muss Vertraulichkeit, Fristen und Nachverfolgbarkeit ohne Fehlermarge verwalten.
- Zugang mit SPID/CIE und eine auf Barrierefreiheit ausgelegte Oberfläche.
- Variante mit Datenstandort in Italien, zusätzlich zum GDPR-konformen Basis-Hosting in der EU.
- Manipulationssicheres Register (Hash-Kette) und integrierter gesetzlicher Fristenkalender.
Bringen Sie einen Whistleblowing-Kanal in Ihre Software
Vocea ist nicht nur eine eigenständige Website: Sie können es in Ihr Verwaltungssystem, Portal oder Intranet einbetten. Mit wenigen Zeilen melden Ihre Nutzer, ohne Ihre Software zu verlassen, während die zero-knowledge-Verschlüsselung vollständig auf der Client-Seite bleibt. Es ist die ideale Wahl für Softwarehäuser, Verwaltungssysteme und Berater, die Whistleblowing-Compliance als Teil ihres eigenen Produkts anbieten möchten.
Einbettbares Widget
Kanalseite einbettbar per iframe (mit hellem/dunklem Theme) oder per wb-link.js-Snippet auf Ihrer Website. Keine Cookies, keine Telemetrie, keine zu verwaltenden Schlüssel: die Verschlüsselung erfolgt im Browser des Nutzers.
API /v1
REST-Gateway mit X-API-Key und minimalen Scopes (Übermittlung, Statusabfrage): leitet Meldungen und verschlüsselte Anhänge aus Ihren Systemen weiter. Die API gibt Metadaten und verschlüsselten Text aus, nie Klartextinhalt. Anleitung unter vocea.cloud/integrazioni.html.
Ihre Marke (white-label)
Logo, Farben und Domain des Kanals unter Ihrer Marke, multi-tenant zur Verwaltung mehrerer Kunden. Bieten Sie Whistleblowing als Modul Ihres Produkts an, mit dem Support und der italienischen Konformität von Vocea im Hintergrund.
Bereits von Partnerprodukten der Suite (NIS2, LG231, TRPG, ALLTAX) über dieselben APIs integriert.
Sind Sie zu einem Meldekanal verpflichtet?
Schon eine dieser Bedingungen genügt, um unter die Pflicht des D.Lgs. 24/2023 zu fallen.
50+ Beschäftigte
Private Organisationen mit mindestens 50 Beschäftigten müssen einen internen Meldekanal einrichten.
Modell 231
Wer ein Organisationsmodell 231 eingeführt hat, ist auch mit weniger als 50 Beschäftigten verpflichtet.
Öffentliche Verwaltung und regulierte Sektoren
Öffentliche Verwaltung und regulierte Sektoren (Finanzwesen, Geldwäschebekämpfung, Sicherheit, Umwelt) sind unabhängig von der Schwelle verpflichtet.
Ohne einen konformen Kanal können die ANAC-Sanktionen bis zu 50.000 € betragen. Und seit 2025 verlangen die ANAC-Leitlinien eine dedizierte und verschlüsselte Plattform: E-Mail oder PEC reichen nicht mehr aus.
Und wenn Sie nicht verpflichtet sind? Ein Meldekanal bleibt ein Zeichen von Seriosität: einen Missstand zu melden ist vor allem ein Bürgerrecht. Auch nicht verpflichtete Unternehmen, Vereine und Kanzleien aktivieren Vocea, um Vertrauen, Ethik und Reputation aufzubauen.
Wie Vocea funktioniert
Ein durchgängiger Ablauf auf Basis von Zero-Knowledge-Kryptografie.
Für Hinweisgeber
- 1
Kanal öffnen
Rufen Sie die öffentliche Kanal-URL der Organisation auf. Keine Registrierung, kein Konto erforderlich.
- 2
Meldung ausfüllen
Beschreiben Sie den Verstoß, wählen Sie eine Kategorie und fügen Sie Dateien, Audio- oder Videoaufnahmen bei. Vollständige Anonymität ist möglich.
- 3
Browserseitige Verschlüsselung
Alle Daten werden vor der Übertragung auf Ihrem Gerät verschlüsselt. Der Server empfängt ausschließlich unleserliche Daten.
- 4
Code erhalten
Sie erhalten einen eindeutigen Code, um den Status zu verfolgen und sicher mit dem zuständigen Beauftragten zu kommunizieren.
Für das Aufsichtsorgan
- 1
Sicherer Zugang
Anmeldung mit SPID/CIE und Zwei-Faktor-Authentifizierung.
- 2
Lokale Entschlüsselung
Laden Sie den privaten Schlüssel in Ihren Browser und entschlüsseln Sie die Meldung. Der Schlüssel wird zu keinem Zeitpunkt übertragen.
- 3
Konforme Bearbeitung
Aktualisieren Sie den Status, halten Sie gesetzliche Fristen ein, antworten Sie im Chat und erstellen Sie die erforderliche Dokumentation.
- 4
Rückverfolgbarkeit
Jede Aktion wird in einem manipulationssicheren Protokoll mit verifizierbarer Hash-Kette aufgezeichnet.
Was Zero-Knowledge bedeutet
Die Verschlüsselung erfolgt vollständig im Browser des Hinweisgebers mittels WebCrypto. Die symmetrischen Schlüssel, die die Daten schützen, werden ihrerseits mit den öffentlichen RSA-Schlüsseln der Empfänger verschlüsselt. Der Server speichert ausschließlich Chiffretext und eingeschlossene Schlüssel: Ohne den zugehörigen privaten Schlüssel sind die Daten nicht entschlüsselbar.
Drei Schlüssel, drei Schutzebenen
K_content — Inhalt
Schützt den Hinweistext und die Anhänge.
K_identity — Identität
Schützt die Identität des Hinweisgebers, separat und optional.
K_metadata — Metadaten
Schützt die vom Beauftragten hinzugefügten Verwaltungsmetadaten.
Technische Anonymität, nicht nur prozedurale
Das Gesetz lässt die Anonymität als Wahlmöglichkeit offen; wir machen sie durch die Architektur real. Wir speichern keine IP-Adresse, die Identität liegt in einem separaten, verschlüsselten Kompartiment, und nicht einmal wir besitzen den Schlüssel: Das ist technische Anonymität, stärker als die rein prozedurale, die von den Vorschriften gefordert oder zugelassen wird.
Die Kanäle sind nicht alle gleich. Der Web-Kanal (Formular oder eingebettetes Widget) bietet die stärkste technische Anonymität. Kanäle wie WhatsApp schützen – wo aktiviert – die Identität: Deine Nummer wird der Organisation nie angezeigt – sind aber technisch nicht anonym: Die Nachricht wird über Drittanbietersysteme (WhatsApp/Meta und einen Delivery-Hub) übertragen, bevor sie verschlüsselt wird. Für maximale Anonymität wähle den Web-Kanal.
Warum Vocea und kein anderer
Italienische Konformität und echte Sicherheit, ohne Kompromisse.
Wirklich Zero-knowledge
Anders als bei rein «verschlüsselten» Systemen, bei denen der Anbieter die Schlüssel behält, können hier nicht einmal wir die Meldungen lesen: der Schlüssel bleibt allein bei Ihrem Beauftragten. Fragen Sie einen Anbieter immer: «wer behält den privaten Schlüssel?».
Konform by design
D.Lgs. 24/2023, Fristen von 7 Tagen und 3 Monaten, DPA und DPIA-Vorlage, Ausrichtung an den ANAC-Leitlinien und an ISO 37002.
Daten in der EU oder in Italien
Europäisches Hosting GDPR-konform, mit einer Variante mit italienischer Datenresidenz für öffentliche Verwaltung und kritische Einrichtungen.
Einfach zu nutzen
Für Hinweisgeber wie ein Chat; für die OdV ein automatischer Fristenkalender und ein manipulationssicheres Register.
Italienische Compliance-Suite
Vocea ist Teil einer vertikalen italienischen Suite (NIS2, 231, ESG): native Konformität und Unterstützung, kein angepasstes globales Produkt. Ein einziger Ansprechpartner für mehrere Pflichten.
Häufig gestellte Fragen
Alles, was Sie brauchen, um den Dienst zu verstehen.
Wer ist verpflichtet, den Kanal einzurichten?
Private Unternehmen mit 50+ Beschäftigten, wer ein Modell 231 hat (auch unter 50), die öffentliche Verwaltung und die regulierten Sektoren. Die Pflicht gilt vollständig seit dem 17. Dezember 2023.
Ist die Meldung wirklich anonym?
Ja, wenn Sie sich entscheiden, Ihre Identität nicht preiszugeben. Die Daten werden direkt im Browser verschlüsselt und die IP-Adresse wird nicht gespeichert; wenn Sie sich identifizieren möchten, reist Ihre Identität in einem getrennten, optionalen verschlüsselten Bereich. Der Assistent warnt Sie, wenn der Text Rückschlüsse auf Ihre Person zulassen könnte.
Was bedeutet „Zero-knowledge“?
Dass der Schlüssel zum Lesen der Meldungen ausschließlich bei der Aufsichtsstelle (OdV) verbleibt. Unser Server speichert nur verschlüsselten Text: Nicht einmal Vocea kann die Inhalte lesen.
Was kostet es?
Das hängt vom Tarif und von der Größe der Organisation ab. Sie können mit einer kostenlosen Testphase von 30 Tagen beginnen und ein maßgeschneidertes Angebot anfordern, unverbindlich.
Wo werden die Daten gespeichert?
Auf Infrastrukturen in der Europäischen Union, die GDPR-konform sind, mit einer Variante mit Datenresidenz in Italien für die öffentliche Verwaltung und kritische Einrichtungen.
Genügt ein E-Mail-Postfach oder eine dedizierte PEC?
Nein. Die ANAC-Leitlinien 2025 betrachten E-Mail als ungeeignet und verlangen eine dedizierte und verschlüsselte Plattform, wie Vocea.
Und wenn meine Identität später doch bekannt wird?
Auch wer anonym meldet, bleibt geschützt, wenn er später identifiziert wird und Repressalien erleidet (Richtlinie (EU) 2019/1937, Art. 6 Abs. 3).
Vocea kommt
Die Plattform geht am 1. September 2026 live. Fordern Sie jetzt Informationen oder eine Demo an – wir melden uns vor dem Launch.
Informationen anfordern
Hinterlassen Sie Ihre Daten: Wir melden uns für eine Demo oder bei Fragen zu Vocea. Unverbindlich.
Sind Sie ein Unternehmen? Aktivieren Sie Ihren Kanal
Wenige geführte Schritte, um mit D.Lgs. 24/2023 konform in Betrieb zu gehen – mit Anonymität und Ende-zu-Ende-Verschlüsselung.
1. Aktivierung beantragen
Füllen Sie das folgende Formular aus: Wir melden uns, um Ihre Organisation freizuschalten.
2. In der Konsole anmelden
Unter vocea.cloud/gestore mit digitaler SPID/CIE-Identität: kein Passwort erforderlich.
3. Kanal einrichten und onboarden
Beauftragen Sie Verantwortliche und Schlüsselinhaber, akzeptieren Sie den DPA, füllen Sie die DPIA aus: Die Plattform führt Sie Schritt für Schritt.
4. Aktivieren und veröffentlichen
Aktivieren Sie den Kanal und teilen Sie Link und QR-Code mit den Mitarbeitenden: Meldungen gehen Ende-zu-Ende-verschlüsselt ein.
5. Integrieren (optional)
Über die Konsole stellen Sie API keys aus, um HR-Systeme, Portale oder Intranets anzubinden. Anleitung unter vocea.cloud/integrazioni.html.
Zugang zur Plattform
Gesicherte Bereiche für Hinweisgeber, für das Aufsichtsorgan und für Kanaladministratoren.
Meldung einreichen
Dieser Kanal schützt Ihre Identität mit Zero-Knowledge-Verschlüsselung. Sie können anonym melden.
Meldung verfolgenKanal erstellen
Richten Sie in wenigen Minuten einen konformen Kanal ein, mit geführtem Onboarding.
Erstellen Sie Ihren Hinweisgeberkanal