Ein digitales Hinweisgebersystem ist ein Meldekanal, der es einem Hinweisgeber ermöglicht, Informationen über Verstöße vertraulich oder anonym zu übermitteln. Ein solcher Meldeweg ist Teil des Compliance-Management-Systems und dient der frühzeitigen Aufdeckung von Regelverstößen und Straftaten.
Die nationalen Hinweisgeberschutzgesetze beruhen auf der EU-Richtlinie 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, das in das nationale Recht aller EU-Mitgliedstaaten umgesetzt werden musste. Das Gesetz zum Schutz von Hinweisgebern sieht vor, dass Hinweisgebern geeignete vertrauliche Meldewege zur Verfügung gestellt werden müssen.
Darüber hinaus muss die Möglichkeit einer angemessenen Kommunikation zwischen der internen Meldestelle und dem Hinweisgeber gewährleistet sein. Es besteht ein Bedarf an einfacher und sicherer digitaler Whistleblowing-Software, die einerseits die gesetzlichen Anforderungen erfüllt und andererseits den Schutz des Hinweisgebers sowie die sichere und datenschutzkonforme Verarbeitung sensibler Daten gewährleistet. Der beste Weg, diese Anforderungen zu erfüllen, ist die Verwendung einer anonymen und digitalen Whistleblowing-Software.
Ein digitales Hinweisgebersystem ermöglicht es einem Hinweisgeber, eine webbasierte Meldung über einen Verstoß anonym oder vertraulich einzureichen. Die Voraussetzungen sind ein Browser und eine intakte Internetverbindung.
Die sogenannte SaaS (Software as a Service) ist cloudbasiert, bedarf keiner Installation auf den Endgeräten des Unternehmens und ermöglicht eine einfache und schnelle Implementierung. Weitere Vorteile sind der reduzierte IT-Administrationsaufwand, da keine eigene Server betrieben und Updates installiert werden müssen. Die Software gewährleistet jederzeit einen Geräte- und ortsunabhängigen Zugriff. Rechenzentren, die nach dem ISO 27001 Standard zertifiziert sind, garantieren die Datensicherheit durch ein professionelles IT-Sicherheits-Managementsystem. Der Speicherplatz kann jederzeit erweitert werden. Sollten sich die Anforderungen ändern, können Anpassungen an der Software vorgenommen werden.
Die hohe Flexibilität, Datensicherheit und Schonung von eigenen IT – Ressourcen machen die SaaS sehr attraktiv für Unternehmen und Behörden.
Das digitale Whistleblowing-System von DISS-CO ist eine sichere digitale Whistleblowing-Software mit vielen wählbaren Modulen, Integrationen und Anpassungsmöglichkeiten. Die Software, die auch als Beschwerdemanagement-Software verwendet werden kann, bietet Dashboards und ein intuitives Fallmanagement, das sensible persönliche und fallbezogene Daten zentral, DSGVO-konform und unmanipulierbar speichert. Der Whistleblower hat die Wahl, eine anonyme oder vertrauliche Meldung einzureichen. Durch verschlüsselte und anonyme Kommunikation können weitere Informationen vom Whistleblower eingeholt werden.
Die Gewährleistung der Anonymität des Hinweisgebersystems schafft auch eine enorme Sicherheit und Vertrauen in die interne Meldestelle und das Unternehmen. Durch das Entfernen der Metadaten der Dateianhänge sorgt das Hinweisgebersystem für eine technische Anonymisierung. Auch die interne Kommunikation sowie die Kommunikation mit Beratern kann ausschließlich und verschlüsselt über die Plattform erfolgen. Dadurch wird das Risiko von Datenlecks reduziert. Mit einem individuellen Berechtigungskonzept kann der Zugriff innerhalb der Organisation geregelt werden.
Wenn die interne Meldestelle ganz oder teilweise ausgelagert ist, haben die externen Bearbeiter über ein Berechtigungskonzept Zugriff auf die Informationen. Personen, die an der Klärung eines Falles mitwirken, können einfach und schnell Zugang für die Aufgabenverwaltung erhalten, ohne den gesamten Fall einsehen zu müssen. So kann der Fallverantwortliche jederzeit den Überblick über die Aufgaben behalten und Fristen und Abhängigkeiten festlegen. Darüber hinaus bietet eine Kanban-Tafel einen Überblick über den Status der anstehenden und laufenden Aufgaben. Zur Revisionssicherheit werden alle Informationen aufgezeichnet und können bis zur endgültigen Löschung des gesamten Falls nicht mehr geändert werden. Die Software erinnert auch an die gesetzlichen Fristen.
Die zentrale, sichere und unmanipulierbare Verarbeitung von Informationen in Verbindung mit der sicheren Kommunikation unter Beachtung der systemseitigen Wahrung der Anonymität der hinweisgebenden Person ermöglicht eine effiziente Fallbearbeitung.
Viele Unternehmen stellen nach wie vor eine allgemeine E-Mail-Adresse für das Melden von Verstößen zur Verfügung.
Möchte die hinweisgebende Person anonym bleiben, führt kein Weg an einem anonymen E-Mail-Konto vorbei. Das Erstellen eines E-Mail-Kontos bei einem privaten E-Mailprovider ist heutzutage sehr einfach und kostenlos möglich. Allerdings hat diese Methode etliche Nachteile und Risiken.
Die E-Mails sind in der Regel unverschlüsselt, was ein Sicherheitsrisiko für das Unternehmen darstellt. Außerdem sind die Mitarbeiter praktisch gezwungen, interne Unternehmensinformationen über einen privaten E-Mail-Anbieter zu übermitteln. Die sensiblen Informationen könnten während der Übertragung oder danach abgegriffen werden. Die üblichen US-E-Mail-Anbieter wie Google und Yahoo übermitteln die Daten an Server in den USA oder anderswo oder an Unterauftragnehmer oder verbundene Unternehmen, die wiederum Informationen verarbeiten und an ihre Unterauftragnehmer und verbundenen Unternehmen weitergeben. Für die Nutzer ist der Strang der Datenverarbeitung nicht transparent.
Wenn z.B. US-Behörden in externe Ermittlungen involviert sind, sind die Anbieter zur Kooperation verpflichtet und müssen die Informationen und E-Mails an die Behörden weiterleiten. Die betroffenen Personen werden über die Übermittlung nicht informiert. In beiden Fällen hat dies zur Folge, dass sensible unternehmensinterne Informationen weitergegeben und unkontrolliert verarbeitet werden.
Je nach der Struktur und den IT-Richtlinien des Unternehmens verwenden Mitarbeiter manchmal auch ihre privaten Geräte. Entweder weil sie Endgeräte wie Laptops und Smartphones nicht für ihre Arbeit benötigen oder weil es eine Bring-your-own-Policy gibt oder die Nutzung privater Endgeräte für Unternehmenszwecke nicht geregelt ist. Dies stellt ein hohes Risiko für die betroffenen Personen dar. In der Vergangenheit gab es wiederholt Whistleblower-Fälle mit strafrechtlichen Konsequenzen für den Whistleblower aufgrund der Weitergabe von Unternehmensinformationen in den privaten Bereich.
Die Daten wurden entweder physisch oder digital zum Zwecke der Übermittlung an externe Berichterstatter oder an die Presse aus dem Unternehmensumfeld übertragen, manchmal nachdem die Person aufgrund einer internen Meldung Repressalien erlitten hat. Es ist nicht relevant, ob z.B. ein oder mehrere Dateiordner physisch übertragen werden oder die Daten digital auf externe Speichermedien oder per E-Mail übertragen werden. Entscheidend ist die Übertragung selbst. Darüber hinaus ist auch der Umfang der übertragenen Daten relevant.
Die Datenübertragungen über die Endgeräte des Unternehmens und aus dem Unternehmensnetzwerk können mit verschiedenen Methoden zurückverfolgt werden. Dadurch kann die Identität des anonymen Hinweisgebers aufgedeckt werden. Sicherer ist die Verwendung der digitalen Hinweisgebersoftware Smart Intergity Platfom von DISS-CO und die Anwendung der zugehörigen Richtlinien, die unter anderem die Nachverfolgung der Nutzung der spezifischen URL durch die IT untersagen.
Wenn Dateianhänge dem Bericht beigefügt sind, können die Metadaten verwendet werden, um die Identität der Person zu ermitteln, die die Informationen bereitstellt. Die Metadaten werden an jede Datei angehängt und geben unter anderem Auskunft über den Autor, die Benutzer und den Verlauf der Datei. Wenn die Person, die die Informationen zur Verfügung stellt, geschickt genug ist, die Metadaten selbst zu entfernen, können die Informationen nicht zurückverfolgt werden. Aus der Praxis wissen wir, dass nur ein kleiner Prozentsatz der Personen, die üblicherweise melden, über das technische Wissen verfügen oder bereit sind, sich ausführlich darüber zu informieren. Deshalb entfernt die digitale Hinweisgebersoftware von DISS-CO automatisch die Metadaten aus anonymen Meldungen.
Zudem haben manche Unternehmen aus Sicherheitsgründen sogenannte Data Loss Prevention (DLP) Tools im Einsatz, die sämtliche Aktionen aufzeichnen und überwachen können. Die DLP Tools können präventiv zur Vorbeugung von Datendiebstahl eingesetzt werden, eignen sich jedoch auch sehr gut zur Mitarbeiterüberwachung und können die Anonymität des Hinweisgebers gefährden. Hinweisgebende Personen sind gut beraten, sich vorab über den Einsatz von DLP Tools zu informieren, sofern sie das Hinweisgebersystem für eine anonyme Meldung verwenden möchten.
Die Verwendung einer E-Mail-Adresse als interner Whistleblowing-Kanal birgt viele Risiken für das Unternehmen und den Whistleblower. Sensible Informationen innerhalb des Unternehmens werden unkontrolliert verarbeitet und nach außen weitergeleitet, könnten missbraucht werden und finanziellen und rufschädigenden Schaden anrichten.
Die möglichen negativen Folgen für den Whistleblower verringern das Vertrauen in das Whistleblowing-System, was zu einer geringeren Inanspruchnahme des Whistleblowing-Systems führt. Dies wiederum führt dazu, dass Verstöße länger unentdeckt bleiben.
Durch die Implementierung eines sicheren digitalen Hinweisgebersystems wie der Smart Integrity Platform von DISS-CO, können Unternehmen und Behörden Hinweisgebern Sicherheit bieten und Risiken frühzeitig aufdecken.
DISS-CO® ist ein innovatives Legal-Tech-Unternehmen mit einem starken Fokus auf Nachhaltigkeit, Risiko und Compliance.
