Datensicherheit wird bei uns groß geschrieben
Whistleblowing und Datenschutz
Anonymität spielt für Whistleblower eine wichtige Rolle. Doch die kann durch die Datenschutzgrundverordnung nicht mehr gewährleistet werden. Wie hängen Whistleblowing und Datenschutz zusammen? Und wie können Hinweisgebersysteme die Vertraulichkeit von Whistleblowern dennoch schützen? Wir haben die wichtigsten Informationen auf einen Blick.
Was ist Whistleblowing?
Unter dem Begriff „Whistleblowing“ versteht man die Veröffentlichung wichtiger interner Informationen, die bislang geheim gehalten wurden. In der Regel geht es dabei um die Bekanntmachung von Missständen in Unternehmen, Behörden, Verwaltungsanstalten oder anderen Bereichen. Die Allgemeinheit wird so über bestehende Fehlverhalten wie Diskriminierung, Datenmissbrauch oder gar Menschenrechtsverletzungen aufgeklärt. Personen, die diese Informationen preisgeben, nennt man auch Whistleblower bzw. Hinweisgeber.
Hinweisgeber leisten in den meisten Fällen einen enorm wichtigen Beitrag für die Gesellschaft und die Organisation, in der sie tätig sind. Durch die Bekanntmachung der Missstände wird nämlich oft verhindert, dass die Beschuldigten ihr Fehlverhalten ungesehen und ohne Konsequenzen weiterführen können. Gelangen diese Informationen an die Öffentlichkeit, wird die Gesellschaft für bestimmte Themen sensibilisiert und der demokratische Gedanke gestärkt. Die Arbeit der Hinweisgeber wird daher von der Allgemeinheit meist hoch anerkannt – nicht zuletzt, weil sie sich mit der Bekanntmachung geheimer Informationen selbst in eine angreifbare Situation bringen. Whistleblower agieren oft anonym, um eventuelle Repressalien oder (strafrechtliche) Folgen zu vermeiden.
Ist Whistleblowing strafbar?
Ob Whistleblowing strafbar ist, lässt sich pauschal nicht sagen. Werden die Informationen nur intern, z. B. an die zuständige Compliance-Stelle des Unternehmens, weitergegeben, begehen Hinweisgeber wohl kaum ein Verbrechen. Anders sieht es aus, wenn die Presse oder externe Behörden über Missstände informiert werden. Dann besteht im Zweifel tatsächlich die Möglichkeit einer strafrechtlichen Verfolgung.
Whistleblower und Datenschutz – die Problematik der DSGVO
Ein erhebliches Problem für die Vertraulichkeit der Hinweisgeber stellt die Datenschutzgrundverordnung (DSGVO) dar. Laut dieser dürfen Unternehmen personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Das bedeutet unter anderem, dass Unternehmen dazu verpflichtet sind, Beschuldigte über den Eingang von Whistleblowing-Meldungen über sie zu informieren. Das Problem: Bei strikter Einhaltung der DSGVO dürfen Beschuldigte auch den Namen des Hinweisgebers erfahren.
Dementsprechend müssen auch die Hinweisgeber über die Bekanntmachung ihrer Namen im Falle einer Meldung aufgeklärt werden. Die Anonymität der Whistleblower ist also durch die DSGVO nicht mehr geschützt. Die Folge: Hinweisgeber werden abgeschreckt, da sie um die Vertraulichkeit ihrer Daten und Konsequenzen fürchten, eventuelle Missstände werden nicht aufgedeckt.
Die Whistleblower-Richtlinie der EU
Um Hinweisgeber trotz DSGVO vor einer Kündigung, Degradierung oder anderen Konsequenzen zu schützen, wurde im Dezember 2019 die Whistleblower-Richtlinie der EU ins Leben gerufen. In dieser Richtlinie werden für alle Mitgliedsstaaten der Europäischen Union gemeinsame Mindeststandards definiert, um das Schutzniveau für Hinweisgeber zu erhöhen. Auch Deutschland wird die Whistleblower-Richtlinie der EU in Form eines Hinweisgeberschutzgesetzes (HinSchG) umsetzen. Die letzte vorgegebene Frist für die Verabschiedung eines solchen Gesetzes hat das Land zwar verstreichen lassen, allerdings wurde es nun in den Koalitionsvertrag der Ampel-Regierung aufgenommen.
Nach der EU-Vorgabe sind Unternehmen ab einer Größe von 50 Mitarbeitern bzw. ab einem Jahresumsatz von 10 Mio. € dazu verpflichtet, interne Meldekanäle einzurichten, die die Anonymität von Whistleblowern sicherstellen. Auch wenn das deutsche Hinweisgeberschutzgesetz noch auf sich warten lässt, können Whistleblower sich im Ernstfall bereits jetzt auf die geltende EU-Richtlinie berufen. Für Unternehmen empfiehlt es sich daher, geeignete Meldekanäle frühzeitig zu integrieren.
Die Konferenz der unabhängigen deutschen Datenschutzbehörden hat daher eine Orientierungshilfe für die Verarbeitung von Whistleblowing-Fällen in Unternehmen entwickelt. Danach sollen Unternehmen für die Integrierung geeigneter Systeme sorgen, mit denen Whistleblower ihre Meldungen anonym und diskret weitergeben können. Hinweisgebersysteme wie das Hinweisgeberportal bieten dafür eine praktikable Lösung.
In 3 Schritten zur Hinweisgeber-Compliance
Das Hinweisgeberportal ist ein Meldesystem für Unternehmen und Organisationen, mit dem Whistleblower eventuelle Missstände unkompliziert, anonym und trotzdem DSGVO-konform melden können. Die Compliance des Systems wird von der Beauftragung bis zur Bearbeitung der Meldungen sichergestellt:
1.
Beauftragung
- Missstände können entweder anonym oder mit Namensangabe gemeldet werden
- Die Kommunikation zwischen Hinweisgeber und Fallbearbeiter ist verschlüsselt
2.
Einrichtung
- Alle gesammelten Hinweise werden digital zusammengestellt
- Bei Bedarf kann das Service-Personal telefonisch kontaktiert werden
- 2 Fallbearbeiter Accounts werden festgelegt
3.
Bearbeitung
- Fälle werden zentral im Hinweisgebersystem bearbeitet
- Nutzung angemessener Meldekanäle, um eine öffentliche Bekanntmachung zu vermeiden
- Eingehende Hinweise können kontrolliert werden
Sicherheit und Zertifizierung
Das Hinweisgebersystem erfüllt sämtliche Sicherheits- und Zertifizierungsmerkmale, um die Vertraulichkeit im Meldeprozess bei Missständen jederzeit zu gewährleisten:
- Die Anforderungen an den Datenschutz sowie an die EU-Hinweisgeberrichtlinie sind erfüllt
- EQS Group, Rechenzentren und Softwareentwicklung sind ISO 27001 zertifiziert
- Alle eingehenden Meldungen werden verschlüsselt in ISO 27001 zertifizierten Hochsicherheitszentren gespeichert (Datenresidenz liegt nur in Deutschland)
- Die Daten liegen jederzeit ausschließlich in verschlüsselter Form vor (in Transit und während der Speicherung)
- Fallbasierte Verschlüsselung und Sicherheitsarchitektur verhindern den Datenzugriff einer dritten Partei
- Die DSGVO-Konformität ist durch ein externes Audit nach ISAE 3000 Typ I und Typ II bescheinigt
- Regelmäßige Penetrationstests mit einem externen Sicherheitsaudit schließen Sicherheitslücken der EQS Integrity Line aus
- IP-Adressen werden niemals im System gespeichert, um die Anonymität zu gewährleisten
- Schutz der Systeme vor unerwünschten Angriffen durch modernste Firewalls und IP-Restriktionen
Whistleblower erfüllen gesellschaftlich sowie unternehmerisch eine wichtige Aufgabe und sollten in ihrer Tätigkeit durch Hindernisse wie die DSGVO nicht aufgehalten oder gar abgeschreckt werden. Mit der Nutzung des Hinweisgeberportals sorgen Sie dafür, dass Meldungen weiterhin anonym und trotzdem gesetzeskonform übertragen und bearbeitet werden können.
FAQ Häufige Fragen
Die häufigsten Fragen rund um das Thema Datensicherheit
Wie wird sichergestellt, dass weder der Anbieter (die Bundesanzeiger Verlag GmbH), noch sonstige Dritte Zugriff auf die Daten im Hinweisgeberportal haben?
Sämtliche sich im digitalen Hinweisgeberportal befindlichen Daten sind verschlüsselt hinterlegt, lediglich der Hinweisgeber sowie die Fallbearbeiter haben Zugriff auf die Daten. Der Hinweisgeber besitzt den Zugang zu den Daten, durch seine Anmeldedaten zum sicheren Postfach. Die Inhalte der Meldung sehen Fallbearbeiter standardmäßig durch einen passwortgeschützten Benutzerzugang ein.
Findet eine IP-Verschlüsselung statt?
Das digitale Hinweisgeberportal nutzt eine sichere HTTPS Verbindung, die IP Adresse des Hinweisgebers wird vom digitalen Hinweisgeberportal weder gespeichert, noch getracked.
Alle Daten befinden sich hochverschlüsselt auf Servern mittels Public Private Key Verfahren.
Alle Daten befinden sich hochverschlüsselt auf Servern mittels Public Private Key Verfahren.
Wird beim Upload von Dateien im Rahmen einer Hinweismeldung bereits ein Viren-Scan durchgeführt?
Ja, das digitale Hinweisgeberportal hat eine „File Detox“ Funktion, welche jede hochgeladene Datei auf Malware scannt und potentiell schädliche Dateien durch eine Formatumwandlung unschädlich macht.
Ist Ihr Unternehmen nach ISO27001 zertifiziert?
Die Bundesanzeiger Verlag GmbH ist grundsätzlich ISO 27001 und BSI-IT-Grundschutz zertifiziert und wird jährlich rezertifiziert.
Die EQS Group AG ist bereits mit dem digitalen Hinweisgeberportal ISO-zertifiziert und wird ebenfalls jährlich rezertifiziert (s. ISAE-3000-Auditbericht). Für den höchstmöglichen Schutz ist außerdem der Dienstleister zur Speicherung der Daten (Server/Hosting) ebenfalls ISO-zertifiziert.
Die EQS Group AG ist bereits mit dem digitalen Hinweisgeberportal ISO-zertifiziert und wird ebenfalls jährlich rezertifiziert (s. ISAE-3000-Auditbericht). Für den höchstmöglichen Schutz ist außerdem der Dienstleister zur Speicherung der Daten (Server/Hosting) ebenfalls ISO-zertifiziert.
Welche Verschlüsselungstechnologie kommt zum Einsatz?
Bei der Datenspeicherung erfolgt die Verschlüsselung der Daten wie folgt:
- 2048-Bit-RSA-Algorithmus (Asymmetrische Verschlüsselung)
- 256-Bit-Algorithmus(Symmetrische Verschlüsselung)
Bei der Datenübertragung erfolgt die Verschlüsselung mittels DigiCert-SHA2-SSL-Zertifikat.
Überzeugt vom
Hinweisgeber-Dienst?
Hinweisgeber-Dienst?
Jetzt Buchen
Erfahren Sie mehr
jetzt KOSTENFREI whitepaper sichern!
jetzt KOSTENFREI whitepaper sichern!
KOSTENFREI herunterladen
Hoppla! Es ist etwas schief gelaufen mit dem Formular.