Was ist ein webbasiertes Hinweisgebersystem?

Ein webbasiertes Hinweisgebersystem ermöglicht einer Person Informationen über einen Verstoß anonym oder vertraulich digital einzureichen. Voraussetzungen sind ein Browser und eine intakte Internetverbindung.

Welche Vorteile bietet eine webbasierte Software?

Die sogenannte SaaS (Software as a Service) ist webbasiert, erfordert keine Installation auf den Endgeräten des Unternehmens und ermöglicht eine schnelle und einfache Implementierung. Weitere Vorteile sind die Verringerung des IT-Administrationsaufwands, da keine separaten Server verwendet und keine Updates installiert werden müssen. Die Software garantiert jederzeit einen geräte- und ortsunabhängigen Zugriff. ISO 27001 zertifizierte Rechenzentren garantieren Datensicherheit durch ein professionelles IT-Sicherheitsmanagementsystem. Der Speicherplatz ist jederzeit erweiterbar. Wenn sich die Anforderungen ändern, können Sie Änderungen an der Software vornehmen. Die hohe Flexibilität, Datensicherheit und der Schutz der IT-Assets machen eine SaaS für Unternehmen und Behörden sehr attraktiv.

Was sind die Vorteile eines webbasierten Hinweisgebersystems?

Das webbasierte Hinweisgebersystem von DISS-CO ist eine sichere Lösung mit vielen auswählbaren Modulen, Integrationen und Anpassungsoptionen. Die Hinweisgeber-Software, die auch als Beschwerdemanagement-Software genutzt werden kann, bietet Dashboards und ein intuitives Fallmanagement, das sensible und fallbezogene personenbezogene Daten zentral, DSGVO-konform und manipulationssicher speichert. Durch die verschlüsselte Kommunikation können mehr Informationen vom Hinweisgeber eingeholt werden, der zwischen einer anonymen oder vertraulichen Meldung wählen kann. Die Anonymität des Hinweisgebers ist essenziell und schafft Vertrauen. Durch das Entfernen von Metadaten aus Anhängen stellt das Hinweisgebersystem die technische Anonymität sicher. Die interne Kommunikation und die Kommunikation mit Beratern können auf der Plattform verschlüsselt erfolgen. Dadurch wird das Risiko eines Datenverlusts verringert. Der Zugriff innerhalb der Organisation kann durch ein individuelles Berechtigungskonzept gesteuert werden. Wird die interne Meldestelle ganz oder teilweise ausgelagert, haben die externen Mitarbeiter über ein Berechtigungskonzept Zugriff auf die Informationen. Personen, die die Fallbearbeitung unterstützen, können einfach und schnell auf die Aufgabenverwaltung zugreifen, ohne den gesamten Fall einsehen zu müssen. So hat der Fallbearbeiter stets den Überblick über die Aktivitäten und kann Fristen und Abhängigkeiten definieren. Zusätzlich gibt ein Kanban-Board einen Überblick über den Status anstehender und laufender Aktivitäten. Alle Informationen werden zur Überprüfungssicherheit protokolliert und können nicht geändert werden, bis der gesamte Fall endgültig entfernt wurde. Die Software erinnert auch an gesetzliche Fristen. Eine zentralisierte, sichere und unmanipulierbare Verarbeitung von Informationen in Verbindung mit einer sicheren Kommunikation unter Berücksichtigung des Schutzes der Anonymität des Hinweisgebers ermöglicht eine effiziente Fallbearbeitung.

Die Nachteile der E-Mail-Lösung als unternehmensinterner Hinweisgeberkanal

1) Keine Kontrolle über die Datenverarbeitung

Viele Unternehmen geben immer noch eine allgemeine E-Mail-Adresse an, um Verstöße zu melden. Möchte der Hinweisgeber anonym bleiben, führt kein Weg an einem anonymen E-Mail-Konto vorbei. Das Erstellen eines E-Mail-Kontos bei einem privaten E-Mail-Anbieter ist heutzutage sehr einfach und kostenlos. Diese Methode birgt jedoch eine Reihe von Nachteilen und Risiken.

E-Mails werden grundsätzlich nicht verschlüsselt, was ein Sicherheitsrisiko für das Unternehmen darstellt. Zudem werden Mitarbeiter gezwungen, unternehmensinterne Informationen über einen privaten E-Mail-Anbieter zu übermitteln. Sensible Informationen könnten während oder nach der Übertragung abgefangen werden. Übliche US-E-Mail-Anbieter wie Google und Yahoo übermitteln Daten an Server in den USA oder an einem anderen Ort bzw. an Subunternehmer oder verbundene Unternehmen, die ihrerseits die Informationen weiterverarbeiten und an ihre Subunternehmer und Partner senden. Der Strang der Datenverarbeitung ist für Benutzer nicht transparent. Sind beispielsweise US-Behörden an externen Ermittlungen beteiligt, sind Lieferanten zur Kooperation verpflichtet und müssen Informationen und E-Mails an die Behörden übermitteln. Interessenten werden bzgl. der Übertragung nicht informiert. In beiden Fällen führt dies dazu, dass vertrauliche unternehmensinterne Informationen unkontrolliert übermittelt und verarbeitet werden.

2) Risiken für den Beschwerdeführer

Je nach Unternehmensstruktur und IT-Richtlinien nutzen Mitarbeiter teilweise auch ihre eigenen privaten Endgeräte. Entweder, weil sie für ihre Arbeit keine Endgeräte wie Laptops und Smartphones benötigen, weil es eine Bring-Your-Own Policy gibt, oder weil die Nutzung privater Endgeräte für geschäftliche Zwecke nicht geregelt ist. Dies stellt ein hohes Risiko für die betroffene Person dar. In der Vergangenheit kam es immer wieder zu Hinweisgeberfällen mit strafrechtlichen Konsequenzen für den Hinweisgeber oder die Hinweisgeberin, aufgrund der Übermittlung betrieblicher Informationen in den privaten Bereich. Die Daten wurden physisch oder digital an externe Meldestellen oder an die Presse aus dem Betriebsumfeld heraus übermittelt, in einigen Fällen, nachdem die betroffene Person Vergeltungsmaßnahmen für eine interne Meldung erlitten hatte. Dabei spielt es keine Rolle, ob beispielsweise ein oder mehrere Aktenordner physisch übertragen werden oder ob die Daten digital auf externe Speichermedien oder per E-Mail übertragen werden. Relevant ist die Übertragung selbst. Auch der Umfang der übermittelten Daten ist relevant. Datenübertragungen über die firmeninternen Endgeräte und aus dem Firmennetzwerk können auf verschiedene Weise nachvollzogen werden. Dadurch kann die Identität des anonymen Hinweisgebers preisgegeben werden. Es ist sicherer, die webbasierte Hinweisgebersoftware: Smart Intergity Platform von DISS-CO und die zugehörigen Anwendungsrichtlinien zu verwenden, die es der IT unter anderem verbieten, die Verwendung der spezifischen URL zu verfolgen.

3) Die Bedeutung von Metadaten

Wenn die Dateien an den Bericht angehängt sind, können die Metadaten verwendet werden, um den Hinweisgeber zu identifizieren. An jede Datei werden Metadaten angehängt, die unter anderem Auskunft über Autor, Benutzer und Verlauf der Datei geben. Wenn der Hinweisgeber versiert genug ist, die Metadaten selbst zu entfernen, können die Informationen nicht zurückverfolgt werden. Aus der Praxis wissen wir, dass nur ein kleiner Prozentsatz der Personen, die Verstöße melden, über das technische Wissen verfügen oder bereit sind, sich das notwendige Wissen anzueignen. Daher entfernt die Whistleblowing-Software von DISS-CO automatisch Metadaten aus anonymen Meldungen.

4) DLP-Tools

Außerdem verwenden einige Unternehmen aus Sicherheitsgründen sogenannte Data Loss Prevention (DLP)-Tools, die alle Aktionen aufzeichnen und überwachen können. DLP-Tools können proaktiv eingesetzt werden, um Datendiebstahl zu verhindern, sie eignen sich aber auch sehr gut zur Überwachung von Mitarbeitern und können die Anonymität von Hinweisgebern gefährden. Hinweisgebern wird empfohlen, sich im Voraus über die Verwendung von DLP-Tools zu erkundigen, wenn sie das Hinweisgebersystem für eine anonyme Meldung nutzen möchten.

5) Schlussfolgerung

Die Verwendung einer E-Mail-Adresse als interner Meldekanal birgt viele Risiken für das Unternehmen und die hinweisgebende Person. Vertrauliche Informationen innerhalb des Unternehmens werden unkontrolliert verarbeitet und nach außen weitergegeben und könnten missbraucht werden und zu finanziellen und Reputationsschäden führen. Mögliche negative Folgen für den Hinweisgeber verringern das Vertrauen in das Hinweisgebersystem, was zu einer geringeren Nutzung des Hinweisgebersystems führt. Dies wiederum bedeutet, dass Verstöße nicht mehr erkannt werden. Durch die Implementierung eines sicheren webbasierten Hinweisgebersystems wie der Smart Integrity Platform von DISS-CO können Unternehmen und Behörden Hinweisgeber einen sicheren Meldekanal zu Verfügung stellen und Risiken frühzeitig erkennen.