Was ist ein Hinweisgebersystem?

Unter einem Hinweisgebersystem versteht man einen Meldekanal, der es einer hinweisgebenden Person ermöglicht, Informationen über Missstände vertraulich oder anonym abzugeben. Ein solcher Meldekanal ist Bestandteil des Compliance Management Systems und dient der frühzeitigen Erkennung von Regelverstößen und Straftaten.

Welche Rolle spielt das Hinweisgeberschutzgesetz bei der Wahl des Hinweisgebersystems?

Das Hinweisgeberschutzgesetz (HinSchG) wurde am 16.12.2022 im Bundestag verabschiedet. Das HinSchG regelt, dass der hinweisgebenden Person geeignete anonyme Meldekanäle zur Verfügung gestellt werden müssen. Weiterhin müsse die Möglichkeit der angemessenen Kommunikation der internen Meldestelle mit der anonymen hinweisgebenden Person gewährleistet sein. Es Bedarf eines einfachen und sicheren Hinweisgebersystems, das zum einen den rechtlichen Anforderungen entspricht und zum anderen den Schutz der hinweisgebenden Person sowie der sicheren und datenschutzkonformen Verarbeitung der sensiblen Daten gewährleistet. Der geeignetste Weg diesen Anforderungen zu entsprechen ist die Implementierung eines anonymen und digitalen Hinweisgebersystems.

Was ist ein digitales Hinweisgebersystem?

Ein digitales Hinweisgebersystem ermöglicht einer hinweisgebenden Person eine Meldung über einen Verstoß webbasiert anonym oder vertraulich abzugeben. Die Voraussetzungen sind ein Browser sowie eine intakte Internetverbindung.

Was sind die Vorteile einer webbasierten Software?

Die sogenannte SaaS (Software as a Service) ist cloudbasiert, bedarf keiner Installation auf den Endgeräten des Unternehmens und ermöglicht eine einfache und schnelle Implementierung. Weitere Vorteile sind der reduzierte IT-Administrationsaufwand, da keine eigenen Server betrieben und Updates installiert werden müssen. Die Software gewährleistet jederzeit einen Geräte- und ortsunabhängigen Zugriff. Rechenzentren, die nach dem ISO 27001 Standard zertifiziert sind, garantieren die Datensicherheit durch ein professionelles IT-Sicherheits-Managementsystem. Der Speicherplatz kann jederzeit erweitert werden. Sollten sich die Anforderungen ändern, können Anpassungen an der Software vorgenommen werden.

Die hohe Flexibilität, Datensicherheit und Schonung von eigenen IT – Ressourcen machen die SaaS sehr attraktiv für Unternehmen und Behörden.

Was sind die Vorteile eines webbasierten Hinweisgebersystems am Beispiel der Smart Integrity Platform von DISS-CO?

Das digitale Hinweisgebersystem von DISS-CO ist eine sichere webbasierte Hinweisgebersoftware mit vielen wählbaren Modulen, Integrationen und Anpassungsmöglichkeiten. Die Software, die auch als Beschwerdemanagementsoftware eingesetzt werden kann, bietet Dashboards und ein intuitives Fallmanagement, das sensible personen- und fallbezogene Daten zentral, DSGVO konform und unmanipulierbar speichert. Die hinweisgebende Person hat die Wahl zur Abgabe einer anonymen oder vertraulichen Meldung. Durch eine verschlüsselte und anonyme Kommunikation, wie es das HinSchG fordert, können weitere Informationen vom Hinweisgeber eingeholt werden. Die Gewährleistung der Anonymität des Hinweisgebersystems schafft zudem eine enorme Sicherheit und Vertrauen in die interne Meldestelle und das Unternehmen. Durch die Entfernung der Metadaten der Dateianhänge sorgt das Hinweisgebersystem für die technische Anonymisierung. Auch die interne Kommunikation sowie die Kommunikation mit Beratern kann ausschließlich und verschlüsselt auf der Plattform erfolgen. So wird das Datenleck Risiko reduziert. Durch ein individuelles Berechtigungskonzept können die Zugriffe innerhalb der Organisation geregelt werden. Wird die interne Meldestelle teils oder ganz ausgelagert, haben die externen Bearbeiter über ein Berechtigungskonzept Zugriff auf die Informationen. Personen, die bei der Aufklärung eines Falles unterstützen, können einfach und schnell einen Zugang für die Aufgabenverwaltung erhalten, ohne den gesamten Fall einzusehen. Damit behält die für den Fall zuständige Person jederzeit den Überblick über die Aufgaben und kann Fristen und Abhängigkeiten definieren. Zusätzlich bietet ein Kanban Board den Überblick über den Status der anstehenden und laufenden Aufgaben. Für die Revisionssicherheit werden sämtliche Informationen erfasst und können bis zur endgültigen Löschung des gesamten Falls nicht verändert werden. Die Software erinnert zudem an die gesetzlichen Fristen.

Die zentrale, sichere und unmanipulierbare Verarbeitung von Informationen in Verbindung mit der sicheren Kommunikation unter Beachtung der systemseitigen Wahrung der Anonymität der hinweisgebenden Person ermöglicht eine effiziente Fallbearbeitung.

Die Nachteile der E-Mail-Lösung als unternehmensinterner Hinweisgeberkanal

1)     Warum habe ich keine Kontrolle über meine Daten

Viele Unternehmen stellen nach wie vor eine allgemeine E-Mail-Adresse für das Melden von Verstößen zur Verfügung.

Möchte die hinweisgebende Person anonym bleiben, führt kein Weg an einem anonymen E-Mail-Konto vorbei. Das Erstellen eines E-Mail-Kontos bei einem privaten E-Mailprovider ist heutzutage sehr einfach und kostenlos möglich. Allerdings hat diese Methode etliche Nachteile und Risiken.

Die E-Mails sind gewöhnlich unverschlüsselt, was zu einem Sicherheitsrisiko für das Unternehmen führt. Zudem werden die Mitarbeiter/innen praktisch gezwungen, betriebsinterne Informationen über einen privaten E-Mail Provider zu übertragen. Die sensiblen Informationen könnten während der Übertragung oder danach abgegriffen werden. Die üblichen US-E-Mail Provider wie Google und Yahoo übermitteln die Daten auf Servern in den USA oder an einem anderen Ort bzw. an Subauftragnehmer oder an Partnergesellschaften, die wiederum Informationen weiterverarbeiten und an ihre Subunternehmer und Partner weiterleiten. Für die Nutzer/innen ist der Strang der Datenverarbeitung intransparent. Werden z.B. im Rahmen von externen Ermittlungen US Behörden eingeschaltet, sind die Provider zur Kooperation verpflichtet und müssen die Informationen und E-Mails an die Behörden übermitteln. Die betroffenen Personen werden über die Übermittlung nicht informiert. In beiden Fällen ist die Folge, dass sensible unternehmensinterne Informationen unkontrolliert weitergegeben und verarbeitet werden.

2)     Welche Risiken haben die hinweisgebenden Personen

Mitarbeiter/innen verwenden zudem teilweise ihre privaten Endgeräte, je nach Struktur und IT-Richtlinien des Unternehmens. Entweder weil sie keine Endgeräte wie Laptops und Smartphones für ihre Tätigkeit benötigen oder weil es eine Bring-Your-Own Policy gibt oder aber die Nutzung von privaten Endgeräten für betriebliche Zwecke nicht geregelt ist. Für die betroffene Person birgt dies ein hohes Risiko. In der Vergangenheit gab es wiederholt Whistleblower Fälle mit strafrechtlichen Konsequenzen für die hinweisgebende Person aufgrund der Übertragung von betrieblichen Informationen in den privaten Bereich. Die Daten wurden dabei entweder physisch oder digital zwecks Übermittlung an externe Meldestellen oder an die Presse aus dem betrieblichen Umfeld transferiert, teilweise nachdem die Person aufgrund einer internen Meldung Repressalien erlitt. Es ist nicht relevant ob beispielsweise physisch ein oder mehrere Aktenordner oder die Daten digital auf externe Speichermedien oder per E-Mail übertragen werden. Relevant ist die Übertragung an sich. Daneben ist der Umfang der übertragenen Daten relevant.

Datenübertragungen über die Endgeräte des Unternehmens und aus dem Firmennetzwerk können mit unterschiedlichen Methoden nachvollzogen werden. Damit kann die Identität des anonymen Hinweisgebers aufgedeckt werden. Sicherer ist die Verwendung der webbasierten Hinweisgebersoftware Smart Intergity Platfom von DISS-CO und die Anwendung der dazugehörigen Richtlinien, die unter anderem ein Tracking der Nutzung der spezifischen URL durch die IT untersagen.

3)     Was sind Metadaten und warum sind sie wichtig?

Werden der Meldung noch Dateianhänge beigefügt, können über die Metadaten die Identität der hinweisgebenden Person festgestellt werden. Die Metadaten sind jeder Datei angefügt und geben unter anderem Aufschluss über den Verfasser, die Verwender und die Historie der Datei. Ist die hinweisgebende Person versiert genug die Metadaten selbst zu entfernen, können die Informationen nicht nachvollzogen werden. Aus der Praxis wissen wir, dass nur ein geringer Prozentsatz von Personen, die gewöhnlich Hinweise melden, über das technische Wissen verfügt oder bereit ist, sich ausführlich darüber zu informieren. Daher entfernt die Hinweisgebersoftware von DISS-CO die Metadaten von anonymen Meldungen automatisch.

4)     Was sind DLP Tools?

Zudem haben manche Unternehmen aus Sicherheitsgründen sogenannte Data Loss Prevention (DLP) Tools im Einsatz, die sämtliche Aktionen aufzeichnen und überwachen können. Die DLP Tools können präventiv zur Vorbeugung von Datendiebstahl eingesetzt werden, eignen sich jedoch auch sehr gut zur Mitarbeiterüberwachung und können die Anonymität des Hinweisgebers gefährden. Hinweisgebende Personen sind gut beraten, sich vorab über den Einsatz von DLP Tools zu informieren, sofern sie das Hinweisgebersystem für eine anonyme Meldung verwenden möchten.

5)     Fazit

Die Verwendung einer E-Mailadresse als interner Hinweisgeberkanal bietet viele Risiken für das Unternehmen und die hinweisgebende Person. Unternehmensinterne sensible Informationen werden unkontrolliert extern verarbeitet und weitergeleitet, könnten missbräuchlich verwendet werden und finanziellen Schaden sowie Reputationsschäden verursachen. Die möglichen negativen Folgen für die hinweisgebende Person mindern das Vertrauen in das Hinweisgebersystem, was zur geringeren Verwendung des Hinweisgebersystems führt. Dies wiederum führt dazu, dass Verstöße länger unerkannt bleiben.

Mit der Implementierung eines sicheren webbasierten Hinweisgebersystems wie die Smart Integrity Platform von DISS-CO können Unternehmen und Behörden hinweisgebende Personen Sicherheit bieten und Risiken frühzeitig aufdecken.