Datenschutz und Whistleblower-Gesetz Sicherheit der Hinweisgebersysteme

Von Dr. Thomas Altenbach

Anbieter zum Thema

Der digitale Wandel und die Erfahrungen aus über einem Jahr Pandemie verändern unsere Art, beruflich und privat miteinander zu interagieren und zu kommunizieren. Effizienz, Rentabilität und Agilität sind die Buzzwords und Business-Treiber. So entsteht in nahezu allen Unternehmen die Herausforderung innerhalb der vier Kerndisziplinen Datenschutz, Datensicherheit, Datenqualität und Datenverfügbarkeit, größtmögliche Schnelligkeit mit höchstmöglicher Sicherheit zu kombinieren.

Hinweisgebersysteme dienen als eine Art Frühwarnsystem, um interne Verstöße gegen Compliance-Regeln oder externe Gesetzesverstöße gegen Auflagen frühzeitig zu erkennen und diesen gegenzusteuern, sie im besten Fall sogar zu verhindern.
Hinweisgebersysteme dienen als eine Art Frühwarnsystem, um interne Verstöße gegen Compliance-Regeln oder externe Gesetzesverstöße gegen Auflagen frühzeitig zu erkennen und diesen gegenzusteuern, sie im besten Fall sogar zu verhindern.
(© jariyawat - stock.adobe.com)

In diese allgemeine Gemengelage drängt sich Ende dieses Jahres eine weitere Notwendigkeit: die EU-Hinweisgeberrichtlinie wird auf nationaler Ebene innerhalb der 27 Mitgliedstaaten gesetzlich verankert. Kernelement dieser neuen regulatorischen Anforderung, des sogenannten Whistleblower-Gesetzes, ist ein digitales, anonymes Hinweisgebersystem, ein Meldekanal zum Schutz von Hinweisgeber:innen. Für die kleinsten Unternehmen (von 50 bis zu 249 Mitarbeiter:innen), die von der Regelung betroffen sind, wird es eine verlängerte Umsetzungsfrist bis Ende 2023 geben. Rechnet man diese mit ein, betrifft diese Regelung allein in Deutschland rund 90.000 Unternehmen (ab 50 Mitarbeiter:innen). Hinzu kommen Kommunen ab 10.000 Einwohner:innen, Behörden ab 50 Mitarbeiter:innen sowie Schulen, Universitäten und Unternehmen der Kommunen wie Stadtwerke, Müllabfuhr etc. Viele Unternehmen sind bei der Einführung der DSGVO durch zu spätes Handeln in große Schwierigkeiten geraten, vor allem durch die Umrüstung ihrer Datenbanken und Veränderung ihrer Prozesse zur Datenverarbeitung. Um solche Fehler bei dieser neuen regulatorischen Anforderung auszuschließen, ist allen Unternehmen dringend geraten, sich bereits jetzt mit den wesentlichen rechtlichen und technischen Erfordernissen auseinanderzusetzen.

Welche Voraussetzungen müssen Unternehmen für die Umsetzung des Whistleblower-Gesetzes erfüllen?

Aus juristischer Sicht treffen bei der Umsetzung des Whistleblower-Gesetzes zwei entgegenwirkende Prinzipien aufeinander: Eine/n Beschuldigten zu informieren (Unterrichtungspflicht) und seine oder ihre Daten laut DSGVO fristgerecht zu löschen (Löschkonzept), widerspricht den Pflichten zum Hinweisgeberschutz. Die EU-Hinweisgeberrichtlinie fordert nämlich sowohl die Wahrung der Anonymität als auch die lückenlose Dokumentation. Ein Ausweg aus dieser juristischen Konfliktlage ist mit der Einrichtung eines digitalen Hinweisgebersystems möglich. Doch auch mit einem solchen System ist die Speicherung der Daten der „Knackpunkt“. Davon betroffen sind vor allem die personenbezogenen Daten, also Name, Geschlecht, Geburtsdatum etc., die laut der DSGVO als besonders schützenswert gelten. Auch dafür gibt es wieder Ausnahmeregelungen und Einschränkungen, die ein Unternehmen vorab in Betracht ziehen muss. Aufgrund dieser Komplexität sollte das Unternehmen daher vor der Einführung eines Hinweisgebersystems immer die eigene Rechts- und Compliance-Abteilung oder aber eine externe Rechts- und Compliance-Beratung miteinbeziehen.

Anforderungen an die IT

Unabhängig von der juristischen Betrachtungsweise befasst sich natürlich auch die interne oder externe IT mit dem Schutz und der Sicherheit der Unternehmensdaten. Umso wichtiger, diese Abteilung sowohl bei der Auswahl als auch bei der Implementierung eines anonymen Hinweisgebersystems an Bord zu haben. Worauf muss die IT bei einem digitalen Hinweisgebersystem achten, um richtlinienkonform zu agieren: zuallererst ist das Hosting der Daten ausschlaggebend. Gewiss haben auch server-basierte Lösungen einige Vorzüge, doch die der Cloud-Lösungen überwiegen. Diese sollte in einem Rechenzentrum der Spitzenklasse liegen, wie das beispielsweise die Open Cloud der Deutsche Telekom (OTC) garantiert. Regelmäßige interne Tests und externes periodisches Penetration Testing (Pentesting), die entsprechend dokumentiert werden, stellen das hohe Sicherheitsniveau sicher. Gerade bei einem System, das rund um die Uhr erreichbar sein soll, ist die Verfügbarkeit ein sehr wichtiger Faktor: Lösungen mit Twin Core Technology garantieren eine 99,999 prozentige Verfügbarkeit bei einem Sicherheitsniveau auf Stufe Tier 3+ gemäß Uptime Institut. Dieses wird regelmäßig zertifiziert, entsprechend den Richtlinien und Qualitätsstandards des TCDP 1.0 Zertifikats. Erweiterten Schutz und Sicherheit seitens des Hostings bieten die Dekra-Zertifikate ISO 27001 zur Einhaltung der Informationssicherheit, ISO 27017 zur Überwachung des Datensicherheitsmanagement und ISO 27018 zur Anerkennung des Datenschutzmanagements.

Im Idealfall sollten die in einem Hinweisgebersystem enthaltenen sensiblen Daten durch weitere Maßnahmen gesichert werden. Beispielsweise kann dies mittels einer erzwungenen Transportverschlüsselung durch ein SSL/HTTPS Kommunikations-Protokoll erfolgen oder durch eine Verschlüsselung der Applikationsdaten at-rest. Weiterhin sollten regelmäßige Penetration Testings von unabhängigen IT-Security Spezialisten auch auf Systemebene erfolgen, um die Sicherheitsstandards auf die Probe zu stellen. Das Testing sollte das Einhalten von OWASP (Open Web Application Security Project) und ASVS (Application Security Verification Standard) auf Level 1 bestätigen und gewährleisten können.

Welche Kernfunktionen sollte ein Hinweisgebersystem enthalten?

Die Basis für jedes Hinweisgebersystem muss die hundertprozentige Konformität mit der neuen EU- Whistleblower-Richtlinie sein. Besonders der deutsche Mittelstand ist häufig auch im europäischen Binnenmarkt und international tätig. Deswegen sollten gerade mittelständische Unternehmen bei der Auswahl eines geeigneten Systems darauf achten, dass das System sowohl in der Administration als auch für den potenziellen Hinweisgeber mehrsprachig und multinational verfügbar ist und gegebenenfalls zusätzliche Spracherweiterung anbietet. Aufgrund der Tatsache, dass die Richtlinie von jedem Mitgliedsstaat in nationales Recht übersetzt werden muss, steigt die rechtliche Komplexität durch die ausländischen Tätigkeiten eines Unternehmens. Man sollte darauf achten, dass die Anbieter eines Hinweisgebersystems sich kontinuierlich darum kümmern, das System auf Kompatibilität der nationalen rechtlichen Anforderungen zu überprüfen. Das unternehmensintern abzudecken, wäre enorm zeit- und kostenintensiv.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Dem Hinweisgeber sollte es möglich sein, vertraulich oder anonym zu melden. Eine inkludierte Chatfunktion, die die Anonymität der Hinweisgeber:innen garantiert, erleichtert die Aufklärung bei Rückfragen zum Sachverhalts enorm. Darüber hinaus ist auch klar, dass die Probleme oder Schwachstellen in Unternehmen äußerst verschieden sein können. Denken Sie an ein produzierendes Unternehmen im Maschinenbau im Vergleich zu einem Service-Dienstleister: Ein Unternehmen muss die Möglichkeit haben, eigene Risikofelder zu adressieren, indem es in einem Hinweisgebersystem beispielsweise den Fragenkatalog an die branchen- und prozessspezifischen Risiken anpassen kann. Eine gut strukturierte Benutzerverwaltung und ein intelligentes Fristenmanagement sind die Grundlage für den reibungslosen Umgang mit Hinweisen innerhalb des Unternehmens. Zwei-Faktoren-Authentifizierung per E-Mail, SMS oder Google Authenticator bieten zusätzliche Sicherheit, dass nur Berechtigte Zugriff auf die sensiblen Daten innerhalb des Hinweisgebersystems haben. Ein Dashboard für das regelmäßige Reporting im Unternehmen sowie der professionelle Kundenservice sind wichtige Auswahlkriterien für eine Lösung.

Besondere Herausforderung: Anonymität trotz direkter Kommunikation

Ein Hinweisgebersystem wird zum zentralen Element der Compliance eines Unternehmens. Durch gewährte Anonymität schützt es die Hinweisgeber:innen vor möglichen Nachteilen. Durch derartige Meldungen frühzeitig aufgedeckte Missstände schützen das Unternehmen vor Skandalen und wirtschaftlichen Schäden. Doch wie können Hinweisgeber:in und Hinweisempfänger:in innerhalb des Meldekanals miteinander kommunizieren? Die zuvor erwähnte Chatfunktion innerhalb eines digitalen Hinweisgebersystems ist einer der wichtigsten Vorteile gegenüber klassischen, man könnte sagen „altmodischen“, Lösungen wie Briefkästen oder Hotlines: Bei Abgabe eines Hinweises erstellt der oder die Hinweisgeber:in manuell und individuell eine 4-stellige PIN. In Kombination mit einer zusätzlich vom System automatisch randomisierten und generierten 16-stellige numerischen Code (Case-ID) kann sich die Person erneut in diesen Hinweis einloggen, um den Stand der Dinge zu verfolgen oder auf Rückfragen zu antworten.

Fazit

Für welches Hinweisgebersystem sich ein Unternehmen entscheidet, ist immer auch abhängig von der Größe, der damit zusammenhängenden Infrastruktur sowie der finanziellen und personellen Kapazitäten. Es gibt eine Reihe von Fragen, die vor der Implementierung eines Hinweisgebersystems beachtet werden müssen: Diese betreffen neben den oben angesprochenen Features die Operational Procedures, das Management der Technical Vulnerability, das Capacity Management und auch SLA (Service Level Agreements) zwischen Unternehmen und externen Anbietern. Entscheidend ist, dass bei der Auswahl eines Hinweisgebersystems immer dessen eigentliche Intention beachtet wird: Hinweisgebersysteme ermöglichen eine doppelseitige Schutzschildfunktion für Unternehmen und dessen Mitarbeiter:innen. Sie dienen als eine Art Frühwarnsystem, um interne Verstöße gegen Compliance-Regeln oder externe Gesetzesverstöße gegen Auflagen frühzeitig zu erkennen und diesen gegenzusteuern, sie im besten Fall sogar zu verhindern. Ganz konkret: Unternehmen jeder Größenordnung verlieren schätzungsweise 5 Prozent ihres Jahresumsatzes durch Straftaten im Wirtschaftsbereich, darin sind Schäden wie Reputationsverlust nicht beziffert. Das Whistleblower-Gesetz ist also kein Katalysator von Denunziantentum – ganz im Gegenteil: es vereinfacht Unternehmen und deren Mitarbeiter:innen die langfristige Sicherung ihres Erfolges.

Über den Autor: Dr. Thomas Altenbach ist CEO und Gründer von. LegalTegrity. Dr. Altenbach ist ein Compliance-Experte mit einer Leidenschaft für Integrität und Innovation. Als Anwalt in internationalen Konzernen mit großer Führungs- und Etatverantwortung sowie als Berater mittelständischer Unternehmen erarbeitete er sich den Ruf als einer der gefragtesten Compliance-Spezialisten und war Mitglied einer UN Expertengruppe. Komplexe Fragen des internatio-nalen Gesellschaftsrechts, der Compliance und der Unternehmenshaftung sind ihm ebenso vertraut, wie unternehmerische Zielsetzungen, Ressourcen-planung, Innovationsfähigkeit und Finanzierbarkeit mittelständischer Unternehmen.

(ID:47905218)