Was ist ein webbasiertes Hinweisgebersystem?

Ein webbasiertes Hinweisgebersystem ermöglicht einer hinweisgebenden Person eine Meldung digital über einen Verstoß anonym oder vertraulich abzugeben. Voraussetzung sind ein Browser sowie eine intakte Internetverbindung.

Was sind die Vorteile einer webbasierten Software?

Die sogenannte SaaS (Software as a Service) ist cloudbasiert, bedarf keiner Installation auf den Endgeräten des Unternehmens und ermöglicht eine einfache und schnelle Implementierung. Weitere Vorteile sind der reduzierte IT-Administrationsaufwand, da keine eigene Server betrieben und Updates installiert werden müssen. Die Software gewährleistet jederzeit einen Geräte- und ortsunabhängigen Zugriff. Rechenzentren, die nach dem ISO 27001 Standard zertifiziert sind, garantieren die Datensicherheit durch ein professionelles IT-Sicherheits-Managementsystem. Der Speicherplatz kann jederzeit erweitert werden. Sollten sich die Anforderungen ändern, können Anpassungen an der Software vorgenommen werden.

Die hohe Flexibilität, Datensicherheit und Schonung von eigenen IT – Ressourcen machen die SaaS sehr attraktiv für Unternehmen und Behörden.

Was sind die Vorteile eines webbasierten Hinweisgebersystems?

Das webbasierte Hinweisgebersystem von DISS-CO ist eine sichere Lösung mit vielen wählbaren Modulen, Integrationen und Anpassungsmöglichkeiten. Die Hinweisgebersoftware, die auch als Beschwerdemanagementsoftware eingesetzt werden kann, bietet Dashboards und ein intuitives Fallmanagement, das sensible personen- und fallbezogene Daten zentral, DSGVO konform und unmanipulierbar speichert. Durch eine verschlüsselte Kommunikation können weitere Informationen vom Hinweisgeber eingeholt werden, der die Möglichkeit zwischen einer anonymen und einer vertraulichen Meldung hat. Die Anonymität des Hinweisgebersystems ist wesentlich und schafft vertrauen. Durch die Entfernung der Metadaten der Dateianhänge sorgt das Hinweisgebersystem für die technische Anonymisierung. Auch die interne Kommunikation sowie die Kommunikation mit Beratern kann ausschließlich auf der Plattform verschlüsselt stattfinden. So wird das Datenleck Risiko reduziert. Durch ein individuelles Berechtigungskonzept können die Zugriffe innerhalb der Organisation geregelt werden. Wird die interne Meldestelle teils oder ganz ausgelagert, hat das externe Personal über ein Berechtigungskonzept Zugriff auf die Informationen. Personen, die bei der Aufklärung eines Falles unterstützen, können einfach und schnell einen Zugang für die Aufgabenverwaltung erhalten, ohne den gesamten Fall einzusehen. Damit behält die für den Fall zuständige Person jederzeit den Überblick über die Aufgaben und kann Fristen und Abhängigkeiten definieren. Zusätzlich bietet ein Kanban Board den Überblick über den Status der anstehenden und laufenden Aufgaben. Für die Revisionssicherheit werden sämtliche Informationen erfasst und können bis zur endgültigen Löschung des gesamten Falls nicht verändert werden. Die Software erinnert zudem an die gesetzlichen Fristen.

Die zentrale, sichere und unmanipulierbare Verarbeitung von Informationen in Verbindung mit der sicheren Kommunikation unter Beachtung der systemseitigen Wahrung der Anonymität der hinweisgebenden Person ermöglicht eine effiziente Fallbearbeitung.

Die Nachteile der E-Mail-Lösung als unternehmensinterner Hinweisgeberkanal

1) Keine Kontrolle über die Datenverarbeitung

Viele Unternehmen stellen nach wie vor eine allgemeine E-Mail-Adresse für das Melden von Verstößen zur Verfügung.

Möchte die hinweisgebende Person anonym bleiben, führt kein Weg an einem anonymen E-Mail-Konto vorbei. Das Erstellen eines E-Mail-Kontos bei einem privaten E-Mailprovider ist heutzutage sehr einfach und kostenlos möglich. Allerding hat diese Methode etliche Nachteile und Risiken.

Die E-Mails sind gewöhnlich unverschlüsselt, was zu einem Sicherheitsrisiko für das Unternehmen führt. Zudem werden die Mitarbeiter/innen praktisch gezwungen, betriebsinterne Informationen über einen privaten E-Mail Provider zu übertragen. Die sensiblen Informationen könnten während der Übertragung oder danach abgegriffen werden. Die üblichen US-E-Mail Provider wie Google und Yahoo übermitteln die Daten auf Servern in den USA oder an einem anderen Ort bzw. an Subauftragnehmer oder an Partnergesellschaften, die wiederum Informationen weiterverarbeiten und an ihre Subunternehmer und Partner weiterleiten. Für die Nutzer/innen ist der Strang der Datenverarbeitung intransparent. Werden z.B. im Rahmen von externen Ermittlungen US Behörden eingeschaltet, sind die Provider zur Kooperation verpflichtet und müssen die Informationen und E-Mails an die Behörden übermitteln. Die betroffenen Personen werden über die Übermittlung nicht informiert. In beiden Fällen ist die Folge, dass sensible unternehmensinterne Informationen unkontrolliert weitergegeben und verarbeitet werden.

2) Risiken für die hinweisgebende Person

Mitarbeiter/innen verwenden zudem teilweise ihre privaten Endgeräte, je nach Struktur und IT-Richtlinien des Unternehmens. Entweder weil sie keine Endgeräte wie Laptops und Smartphones für ihre Tätigkeit benötigen oder weil es eine Bring-Your-Own Policy gibt oder aber die Nutzung von privaten Endgeräten für betriebliche Zwecke nicht geregelt ist. Für die betroffene Person birgt dies ein hohes Risiko. In der Vergangenheit gab es wiederholt Whistleblower Fälle mit strafrechtlichen Konsequenzen für den Hinweisgeber bzw. die Hinweisgeberin aufgrund der Übertragung von betrieblichen Informationen in den privaten Bereich. Die Daten wurden dabei entweder physisch oder digital zwecks Übermittlung an externe Meldestellen oder an die Presse aus dem betrieblichen Umfeld transferiert, teilweise nachdem die Person aufgrund einer internen Meldung Repressalien erlitt. Es ist nicht relevant ob beispielsweise physisch ein oder mehrere Aktenordner oder die Daten digital auf externe Speichermedien oder per E-Mail übertragen werden. Relevant ist die Übertragung an sich. Daneben ist der Umfang der übertragenen Daten relevant.

Datenübertragungen über die Endgeräte des Unternehmens und aus dem Firmennetzwerk können mit unterschiedlichen Methoden nachvollzogen werden. Damit kann die Identität des anonymen Hinweisgebers aufgedeckt werden. Sicherer ist die Verwendung der webbasierten Hinweisgebersoftware Smart Intergity Platfom von DISS-CO und die Anwendung der dazugehörigen Richtlinien, die unter anderem ein Tracking der Nutzung der spezifischen URL durch die IT untersagen.

3) Die Wichtigkeit der Metadaten

Werden der Meldung noch Dateianhänge beigefügt, können über die Metadaten die Identität des Hinweisgebers identifiziert werden. Die Metadaten sind jeder Datei angefügt und geben unter anderem Aufschluss über den Verfasser, die Verwender und die Historie der Datei. Ist der/die Hinweisgeber/in versiert genug die Metadaten selbst zu entfernen, können die Informationen nicht nachvollzogen werden. Aus der Praxis wissen wir, dass nur ein geringer Prozentsatz von Personen, die gewöhnlich Hinweise melden, über das technische Wissen verfügt oder bereit ist, sich ausführlich darüber zu informieren. Daher entfernt die Hinweisgebersoftware von DISS-CO die Metadaten von anonymen Meldungen automatisch.

4) DLP Tools

Zudem haben manche Unternehmen aus Sicherheitsgründen sogenannte Data Loss Prevention (DLP) Tools im Einsatz, die sämtliche Aktionen aufzeichnen und überwachen können. Die DLP Tools können präventiv zur Vorbeugung von Datendiebstahl eingesetzt werden, eignen sich jedoch auch sehr gut zur Mitarbeiterüberwachung und können die Anonymität des Hinweisgebers gefährden. Hinweisgebende Personen sind gut beraten, sich vorab über den Einsatz von DLP Tools zu informieren, sofern sie das Hinweisgebersystem für eine anonyme Meldung verwenden möchten.

5) Fazit

Die Verwendung einer E-Mailadresse als interner Hinweisgeberkanal bietet viele Risiken für das Unternehmen und die hinweisgebende Person. Unternehmensinterne sensible Informationen werden unkontrolliert extern verarbeitet und weitergeleitet, könnten missbräuchlich verwendet werden und finanziellen Schaden sowie Reputationsschäden verursachen. Die möglichen negativen Folgen für die hinweisgebende Person mindern das Vertrauen in das Hinweisgebersystem, was zu geringeren Verwendung des Hinweisgebersystems führt. Dies wiederum führt dazu, dass Verstöße länger unerkannt bleiben.

Mit der Implementierung eines sicheren webbasierten Hinweisgebersystems wie die Smart Integrity Platform von DISS-CO können Unternehmen und Behörden hinweisgebende Personen Sicherheit bieten und Risiken frühzeitig aufdecken.