Whitepaper zum Hinweisgeberschutzgesetz.
Jetzt kostenfrei herunterladen
Whitepaper kostenfrei herunterladen
Logo Bundesanzeiger Verlag
t
?
H
Produkt & Services
Unternehmen
Kommunen
Preise & Bestellen
Unternehmen
Kommunen
Webinare
Jetzt Platz sichern!
Jetzt Platz sichern!
Wissen
Aktuelles
Kontakt
Impressum
Datenschutz
Rechtliches /AGB

Datenschutz und Datensicherheit wird bei uns groß geschrieben

Datenschutz und Whistleblowing

Der Schutz und die Vertraulichkeit der Daten spielt für Hinweisgeber (Whistleblower) und Unternehmen eine wichtige Rolle. Auch die Abgabe anonymer Hinweise spielt für Hinweisgeber eine wichtige Rolle. Wie hängen Datenschutz und Hinweisgeberschutz zusammen? Können anonyme Hinweise abgegeben werden? Und wie können Hinweisgebersysteme die Vertraulichkeit von Informationen schützen? Wir haben die wichtigsten Informationen auf einen Blick.

Anonyme Hinweise

Nach dem im Gesetzgebungsverfahren zum Hinweisgeberschutzgesetz gefundenen Kompromiss müssen anonyme Hinweise nicht mehr bearbeitet werden, sie sollen aber bearbeitet werden. Damit soll unter anderem verhindert werden, dass Meldestellen durch anonyme missbräuchliche Verwendung überlaufen werden und damit in Bußgeldfallen gedrängt werden. Nicht missbräuchliche anonyme Meldungen sollten aber schon aus eigenem Interesse sorgfältig bearbeitet werden, da es darum geht den Missstand im Unternehmen schnellstmöglich abzustellen und externe Meldungen oder die Offenlegung des Missstandes zu verhindern.


Überzeugt vom
Hinweisgeber-Dienst?
Jetzt Buchen
$

Datenschutz und Whistleblowing

In Hinweisen werden regelmäßig die personenbezogenen Daten vom Hinweisgeber selber enthalten sein (sofern er nicht anonym meldet), als auch von dem Beschuldigten und ggfs. weiteren Personen wie zB Zeugen, sodass das BDSG und die DSGVO Anwendung finden. Eine Herausforderung für jedes Unternehmen ist die Einhaltung der Vorschriften des BDSG und der DSGVO.

Vertraulichkeit
Ein datenschutzrechtlicher Grundsatz ist die Vertraulichkeit der Daten. Dieses ist auch im § 8 Hinweisgeberschutzgesetz aufgenommen worden. Danach haben Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Person zu wahren. Diese darf nur für die zur Entgegennahme von Meldungen zuständigen Stelle bekanntgegeben werden oder ausnahmsweise nach § 9 HinSchG bei offensichtlichem Missbrauch des Systems, grob fahrlässigen Falschmeldungen, im Rahmen von Strafverfahren auf Verlangen der Strafverfolgungsbehörden oder aufgrund behördlicher oder gerichtlicher Anordnung in Verwaltungsverfahren oder bei gerichtlicher Entscheidung.

Informationspflichten und Betroffenenrechte
Zusätzlich fordert die DSGVO die Betroffenen über die sie betreffende Datenverarbeitungen und deren Umfang in Kenntnis zu setzen. Das würde bedeuten, dass Unternehmen dazu verpflichtet wären, Beschuldigte über den Eingang von Whistleblowing-Meldungen über sie zu informieren. Das Problem: Beschuldigte würden dann auch den Namen des Hinweisgebers erfahren. Dem entgegen steht allerdings das Vertraulichkeitsgebot des § 8 HinSchG. Die Identität darf nur gegenüber den Personen weitergegeben werden, die für Entgegennahme von Meldungen bzw. Ergreifen von Folgemaßnahmen zuständig sind.​ Außerdem würde es die Ermittlungen gegebenenfalls verhindern. Nach Art. 14 Abs. 5 lit. b) DSGVO besteht die Informationspflicht aber dann nicht, wenn durch eine Information die Verwirklichung der Verarbeitungsziele unmöglich gemacht oder ernsthaftbeeinträchtigt wird. Wenn also durch eine Offenlegung der Identität des Hinweisgebers bzw. schon das Vorliegen einer Meldung die notwendigen Ermittlungen verhindert oder zumindest ernstlich erschwert werden würden, könnte man daraus schließen, dass die Offenlegung der Identität des Hinweisgebers hier ausscheide und seine Vertraulichkeit zu wahren wäre. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat hierzu 2018 in ihrer „Orientierungshilfe zu Whistleblowing-Hotlines vom 14.11.2018“ allerdings betont, dass ein etwaiges Zurückhalten der Information nur solange zulässig ist, wie das Risiko besteht, dass bei Unterrichtung des Beschuldigten die Untersuchung gefährdet wäre. Sobald aber dieser Aufschubgrund entfällt, müsse die Information nachgeholt werden, so dass demnach ein absoluter Schutz der Vertraulichkeit des Hinweisgebers bislang so nicht zu erreichen ist. Nach der Ausnahmeregelung des Art. 14 Abs. 5 lit. c) DSGVO i.V.m. § 29 Absatz 1 S. 1 BDSG muss der Beschuldigte dann nicht informiert werden, wenn dadurch Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen, insbesondere wegen überwiegenden berechtigten Interessen eines Dritten. Außerdem haben Betroffene einen Auskunftsanspruch nach Art.15 DSGVO bezüglich der zu Ihnen verarbeiteten Daten. Der Beschuldigte hätte damit die Möglichkeit herauszufinden, dass eine Meldung abgegeben wurde und wer der Hinweisgeber ist. Das Auskunftsrecht besteht nach § 29 Abs. 1 S. 2 BDSG hingegen nicht, wenn dadurch Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen geheim gehalten werden müssen, insbesondere wegen überwiegender berechtigter Interessen eines Dritten. Mindestens für den Zeitraum der Aufklärung muss der Beschuldigte also nicht informiert werden oder Auskunft erteilt. Danach findet eine Interessenabwägung statt unter Einbeziehung aller Umstände. Aufgrund dieser Unsicherheit wünschen sich trotz vieler Schutzmaßnahmen des Hinweisgeberschutzgesetzes viele Hinweisgeber weiterhin die Möglichkeit anonyme Meldungen abzugeben. Hinweisgebersysteme wie das Hinweisgeberportal bieten dafür eine praktikable Lösung. 

Technische und organisatorische Maßnahmen

Bei der Umsetzung eines Hinweisgebersystems müssen die Grundsätze Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) gewährleistet werden. Bei Betrieb eines Online-Meldeformulars oder der Entgegennahme von Meldungen per E-Mail muss die erforderliche Ende-zu-Ende-Verschlüsselung gewährleistet sein bzw. ermöglicht werden. Auch hierfür bieten Hinweisgebersysteme wie das Hinweisgeberportal der Bundesanzeiger Verlag GmbH eine sichere Lösung.

Überzeugt vom
Hinweisgeber-Dienst?
Jetzt Buchen
$

In 3 Schritten zur Hinweisgeber-Compliance

Das Hinweisgeberportal ist ein Meldesystem für Unternehmen und Organisationen, mit dem Hinweisgeber eventuelle Missstände unkompliziert, anonym und trotzdem DSGVO-konform melden können. Die Compliance des Systems wird von der Beauftragung bis zur Bearbeitung der Meldungen sichergestellt:

1.
Icon Beauftragung
Beauftragung
  • Missstände können entweder anonym oder mit Namensangabe gemeldet werden
  • Die Kommunikation zwischen Hinweisgeber und Fallbearbeiter ist verschlüsselt
2.
Icon Einrichtung
Einrichtung
  • Alle gesammelten Hinweise werden digital zusammengestellt
  • Bei Bedarf kann das Service-Personal telefonisch kontaktiert werden
  • 2 Fallbearbeiter Accounts werden festgelegt
3.
Icon Kommunikation
Bearbeitung
  • Fälle werden zentral im Hinweisgebersystem bearbeitet
  • Nutzung angemessener Meldekanäle, um eine öffentliche Bekanntmachung zu vermeiden
  • Eingehende Hinweise können kontrolliert werden
Überzeugt vom
Hinweisgeber-Dienst?
Jetzt Buchen
$

Sicherheit und Zertifizierung

Das Hinweisgebersystem erfüllt sämtliche Sicherheits- und Zertifizierungsmerkmale, um die Vertraulichkeit im Meldeprozess bei Missständen jederzeit zu gewährleisten:

  • Die Anforderungen an den Datenschutz sowie an das Hinweisgeberschutzgesetz sind erfüllt
  • EQS Group, Rechenzentren und Softwareentwicklung sind ISO 27001 zertifiziert
  • Alle eingehenden Meldungen werden verschlüsselt in ISO 27001 zertifizierten Hochsicherheitszentren gespeichert (Datenresidenz liegt nur in Deutschland)
  • Die Daten liegen jederzeit ausschließlich in verschlüsselter Form vor (in Transit und während der Speicherung)
  • Fallbasierte Verschlüsselung und Sicherheitsarchitektur verhindern den Datenzugriff einer dritten Partei
  • Die DSGVO-Konformität ist durch ein externes Audit nach ISAE 3000 Typ I und Typ II bescheinigt
  • Regelmäßige Penetrationstests mit einem externen Sicherheitsaudit schließen Sicherheitslücken der EQS Integrity Line aus
  • IP-Adressen werden niemals im System gespeichert, um die Anonymität zu gewährleisten
  • Schutz der Systeme vor unerwünschten Angriffen durch modernste Firewalls und IP-Restriktionen

Hinweisgeber erfüllen gesellschaftlich sowie unternehmerisch eine wichtige Aufgabe und sollten in ihrer Tätigkeit durch Hindernisse wie die DSGVO nicht aufgehalten oder gar abgeschreckt werden. Mit der Nutzung des Hinweisgeberportals sorgen Sie dafür, dass Meldungen weiterhin anonym und trotzdem gesetzeskonform übertragen und bearbeitet werden können.

Überzeugt vom
Hinweisgeber-Dienst?
Jetzt Buchen
$

FAQ Häufige Fragen

Die häufigsten Fragen rund um das Thema Datensicherheit

Wie wird sichergestellt, dass weder der Anbieter (die Bundesanzeiger Verlag GmbH), noch sonstige Dritte Zugriff auf die Daten im Hinweisgeberportal haben?
?
Sämtliche sich im digitalen Hinweisgeberportal befindlichen Daten sind verschlüsselt hinterlegt, lediglich der Hinweisgeber sowie die Fallbearbeiter haben Zugriff auf die Daten. Der Hinweisgeber besitzt den Zugang zu den Daten, durch seine Anmeldedaten zum sicheren Postfach. Die Inhalte der Meldung sehen Fallbearbeiter standardmäßig durch einen passwortgeschützten Benutzerzugang ein.
Findet eine IP-Verschlüsselung statt?
?
Das digitale Hinweisgeberportal nutzt eine sichere HTTPS Verbindung, die IP Adresse des Hinweisgebers wird vom digitalen Hinweisgeberportal weder gespeichert, noch getracked.
Alle Daten befinden sich hochverschlüsselt auf Servern mittels Public Private Key Verfahren.
Wird beim Upload von Dateien im Rahmen einer Hinweismeldung bereits ein Viren-Scan durchgeführt?
?
Ja, das digitale Hinweisgeberportal hat eine „File Detox“ Funktion, welche jede hochgeladene Datei auf Malware scannt und potentiell schädliche Dateien durch eine Formatumwandlung unschädlich macht.
Ist Ihr Unternehmen nach ISO27001 zertifiziert?
?
Die Bundesanzeiger Verlag GmbH ist grundsätzlich ISO 27001 und BSI-IT-Grundschutz zertifiziert und wird jährlich rezertifiziert.
Die EQS Group AG ist bereits mit dem digitalen Hinweisgeberportal ISO-zertifiziert und wird ebenfalls jährlich rezertifiziert (s. ISAE-3000-Auditbericht). Für den höchstmöglichen Schutz ist außerdem der Dienstleister zur Speicherung der Daten (Server/Hosting) ebenfalls ISO-zertifiziert.
Welche Verschlüsselungstechnologie kommt zum Einsatz?
?
Bei der Datenspeicherung erfolgt die Verschlüsselung der Daten wie folgt:
  • 2048-Bit-RSA-Algorithmus (Asymmetrische Verschlüsselung)
  • 256-Bit-Algorithmus(Symmetrische Verschlüsselung)
Bei der Datenübertragung erfolgt die Verschlüsselung mittels DigiCert-SHA2-SSL-Zertifikat.
Überzeugt vom
Hinweisgeber-Dienst?
Jetzt Buchen
$
Sie haben noch Fragen oder möchten einen Blick ins Produkt werfen?
Jetzt kostenfreie Produkt-Demo buchen!
Jetzt buchen
$
?