:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Whistleblower-Richtlinie ab Ende 2021 5 Tipps zum Whistleblower-Schutz für Unternehmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Viele betroffene Unternehmen wissen noch nichts davon und sind nicht ausreichend darauf vorbereitet: 2021 tritt in Deutschland das neue Whistleblower-Gesetz in Kraft. Konkret bedeutet das für Unternehmen mit über 250 Mitarbeitenden, dass sie ein sicheres und anonymes Hinweisgebersystem zur Verfügung stellen müssen. Was gilt es dabei zu beachten?
In den letzten Jahren rückte das Thema Whistleblower-Schutz verstärkt in das öffentliche Bewusstsein und wurde zunehmend in der Politik und in den Medien diskutiert. Aktueller Anlass hierfür ist die vom EU-Parlament beschlossene „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, kurz „Whistleblowing-Richtlinie“, die am 17. Dezember 2021 in Kraft treten wird. Betroffen sind zuerst Unternehmen mit mehr als 250 Mitarbeiter*innen oder mehr als 10 Millionen Euro Jahresumsatz, öffentliche Einrichtungen und Behörden sowie Gemeinden ab 10.000 Einwohner*innen. Ab 2023 folgen dann Unternehmen mit über 50 Mitarbeiter*innen. Sie alle müssen sichere interne Meldekanäle für Whistleblower bereitstellen. Was bedeutet dies nun für betroffene Firmen? Stellt das neue Gesetz schlichtweg mehr Pflicht, Bürokratie und Regulierung dar oder können Unternehmen darin auch eine Chance auf Stärkung ihrer eigenen Unternehmenskultur und Werte sehen?
Doch zuerst mal eine kurze Übersicht, was es mit der Whistleblowing-Richtlinie genau auf sich hat:
Worum geht es in der Whistleblowing-Richtlinie?
Die Richtlinie will Hinweisgeber*innen bzw. Whistleblower*innen auf europäischer Ebene unter einen einheitlichen Schutz stellen und somit Menschen unterstützen, die Rechtsverstöße gegen EU-Recht und nationales Recht melden. Sie sollen auf Missstände hinweisen können, ohne rechtliche Konsequenzen oder anderweitige Repressalien bzw. Benachteiligungen durch die Arbeitgeber*innen befürchten zu müssen.
Die anonyme Hinweisabgabe muss entweder schriftlich über ein Online-System, einen Briefkasten, oder per Postweg und/oder mündlich per Telefonhotline oder Anrufbeantwortersystem ermöglicht werden.
5 praktische Tipps für die Umsetzung der Whistleblowing-Richtlinie
Tipp 1: Bieten Sie Mitarbeitenden einen internen Kanal und minimieren Sie damit finanzielle und reputative Unternehmensrisiken
Die Richtlinie empfiehlt einen dreistufigen Meldevorgang, zu welchem Hinweisgeber*innen aber ausdrücklich nicht verpflichtet sind:
- 1. Die interne Meldung
- 2. Eine Meldung an die zuständige Behörde wie z. B. das Finanzamt oder das Gesundheitsamt
- 3. Eine Meldung an die Öffentlichkeit, z. B. an Pressevertreter
Um Reputationsschäden und hohe finanzielle Risiken zu vermeiden, sollten Unternehmen sich um eine gute interne Lösung kümmern und diese den Mitarbeitenden kommunizieren. Somit lassen sich unabsehbare Risiken minimieren und zudem stärken Sie das Vertrauen Ihrer Mitarbeitenden.
Tipp 2: Welche Kriterien sollten Sie bei der Wahl des geeigneten Meldekanals für Ihr Unternehmen beachten?
Bei der Auswahl sollten die Vor- und Nachteile der Kanäle gegeneinander abgewogen werden. Briefe und Telefonanrufe können sich schnell als kommunikative Einbahnstraßen herausstellen. Eine mittlerweile gängige Best Practice-Lösung stellen daher Online-Systeme dar, die orts-, zeit- und sprachunabhängig eingesetzt werden können.
Ein weiterer Vorteil von elektronischen Hinweisgebersystemen ist, dass die meisten Systeme mithilfe eines digitalen Briefkastens die geschützte Kommunikation zwischen Bearbeiter*innen und Hinweisgeber*innen ermöglichen.
Das wichtigste Kriterium bei der Auswahl der Software sollte jedoch auf dem Thema Sicherheit liegen. Informieren Sie sich daher gründlich über die Hinweisgebersysteme auf dem Markt, denn sicher ist nicht gleich sicher. Die Möglichkeit zur Rückverfolgung der Identität variiert von Plattform zu Plattform.
Vertrauen Sie am besten auf Anbieter, die nur die höchsten Sicherheitsstandards anbieten und folgendes nachweisen können:
- Keine Datenlagerung in der Cloud, sondern Speicherung der sensiblen Daten in zertifizierten Hochsicherheitsrechenzentren
- Regelmäßige und unabhängige Audits und Zertifizierungen
- ISO-27001-Zertifizierung für Software UND die Hochsicherheitsrechenzentren
- Die regelmäßige Durchführung manueller Penetrationstests von externen und international renommierten Sicherheitsdienstleistern
Tipp 3: Wer sollte die eingehenden Meldungen bearbeiten und wie lange haben Unternehmen Zeit, auf Hinweise zu reagieren?
Unabhängig davon, welchen Meldekanal Sie wählen, sollten Sie Mitarbeiter*innen mit der Bearbeitung der Meldungen betrauen, die speziell geschult und auch mit den geltenden Datenschutzvorschriften vertraut sind. Dadurch wird sichergestellt, dass sie die Meldungen effizient bearbeiten und die Kommunikation mit den Hinweisgebenden sowie geeignete Folgemaßnahmen einleiten können.
Die Hinweisbearbeiter*innen sollten, je nach Unternehmensgröße, idealerweise in der Compliance-, Rechts- oder Personalabteilung angesiedelt sein. In kleineren Unternehmen können dies aber beispielsweise auch die Datenschutzbeauftragten übernehmen.
Eingehende Meldungen und Folgemaßnahmen müssen zudem sorgfältig dokumentiert werden. Hinweisgebende sollten innerhalb von drei Monaten darüber informiert werden, welche Folgemaßnahmen und weiteren Rückmeldungen zu erwarten sind.
Tipp 4: Welche Missstände dürfen gemeldet werden?
Hinweise können sich auf interne Missstände und Verfehlungen beziehen, wie z. B. die Verletzung interner Richtlinien und Regelungen („Code of conduct“), Verstöße gegen das allgemeine Gleichbehandlungsgesetz, sexuelle Belästigung, Diskriminierung, Korruption, Diebstahl, Betrug und Wettbewerbsverstöße.
Tipp 5: Wie lange dauert die Umsetzung des eigenen Hinweisgeber-Meldesystems?
Die Implementierung kann je nach Größe und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen, daher empfiehlt es sich, frühzeitig mit der Umsetzung zu beginnen.
Vereinzelt gibt es bereits Software-Lösungen, die sich als Self-Service-System speziell an kleine und mittlere Unternehmen mit bis zu 750 Mitarbeiter*innen richten. In wenigen Minuten können KMU damit ihr eigenes Hinweisgebersystem einrichten und so schnell und unkompliziert die Richtlinie erfüllen, ohne großen Aufwand und hohe Kosten.
Über den Autor: Kai Leisering unterstützt als Geschäftsführer der Business Keeper GmbH das 2001 gegründete Unternehmen auf dem Weg zum weltweit führenden Anbieter von Compliance-Lösungen. Er hilft Unternehmen dabei, hochwirksame Mechanismen zu schaffen, die dazu beitragen, Wirtschaftskriminalität wie Korruption, Geldwäsche und andere schwere Verbrechen gegen die Gesellschaft zu verhindern und zu bekämpfen.
(ID:47330613)
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/5e/a05e74d3a58b9a9cda9d0f2f3a4109c7/0115034563.jpeg "Mobiles Arbeiten stellt andere Anforderungen an die IT-Sicherheit als ein fester PC-Arbeitsplatz in einem Büro. (Bild: tippapatt - stock.adobe.com)")