ArtikelCompliance

Vertraulichkeit bewahren: Zur technischen Umsetzung des Hinweisgeberschutzgesetzes

Autor/Redakteur: Szilveszter Szebeni, CISO (Chief Information Security Officer) bei Tresorit/gg

Die Uhr tickt für Unternehmen: Das Hinweisgeberschutzgesetz schreibt vor, bis Ende 2023 geeignete Maßnahmen zur Übermittlung von Hinweisen zu implementieren. Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-weiten Whistleblower Richtlinie.

Quelle: Tresorit

Seit Juli 2023 ist das Hinweisgeberschutzgesetz nun in Kraft, bis Ende dieses Jahres müssen Unternehmen ab 50 Mitarbeitern die Anforderungen umsetzen. Für Betriebe führt dies nicht nur zu administrativen, sondern vor allem auch technischen Herausforderungen. Um die Anforderungen des Gesetzes zu implementieren, muss zum einen ein Meldekanal eingerichtet werden, über den Hinweisgeber schriftlich oder mündlich eine Eingabe zu beobachteten Verstößen gegen Compliance oder Gesetze machen können. Zum anderen muss eine Person als Meldestellenbeauftragter benannt werden. Wichtig ist dabei, darauf zu achten, dass diese Person in dieser neuen Rolle nicht in einen Interessenskonflikt mit ihren anderen Aufgaben und Verantwortlichkeiten kommt.

Wer die Frist einhalten will, muss also sowohl eine passende Person wie auch eine passende technische Lösung finden. Bei letzterer kommt es vor allem darauf an, dass sie unkompliziert zu bedienen und gleichzeitig leicht zu administrieren ist. Es versteht sich von selbst, dass gerade bei diesem Einsatzszenario ein Höchstmaß an Datensicherheit gegeben sein muss. Schließlich handelt es sich bei Whistleblowing-Informationen in der Regel um eine Kombination aus sensiblen Informationen verknüpft mit persönlichen Daten.

Kein „one size fits all“-Ansatz

Trotz aller gebotenen Eile lohnt es sich, einen genauen Blick auf die zahlreichen, schon jetzt verfügbaren IT-Lösungen zu werfen. Viele sind für das typische mittelständische Unternehmen schlicht überdimensioniert oder kompliziert in der Anwendung. Damit wächst die Hemmschwelle, sie auch zu nutzen.

Was den Datenschutz betrifft, unterscheiden sich die Lösungen mit Blick auf die versprochenen Standards kaum – deutliche Unterschiede zeigen sich jedoch in den Feinheiten der Umsetzung. Ein weiteres wichtiges Thema ist die einfache Skalierbarkeit.

Außerdem ist es wichtig, auf Folgendes zu achten:

  • Integrierbarkeit: Mitarbeiter sollten keine zusätzliche Software installieren müssen, bevor sie eine Meldung abgeben können
  • Datensouveränität: Die Daten müssen zu jeder Zeit vollkommen sicher sein, auch auf dem Server. Deshalb sollte die Lösung Wahlmöglichkeiten bieten was den Serverstandort angeht
  • Nutzungsfreundlichkeit: Um den eigenen Mitarbeitern zu signalisieren, dass das Unternehmen das Thema Hinweisgeberschutz ernst nimmt, sollte die Lösung intuitiv bedienbar sein
  • Zugriffsverwaltung: Administratoren sollten steuern können, wer Zugriff auf welche Dokumente hat. Am wichtigsten ist, dass der Hinweisempfänger volle Kontrolle über die Daten selbst, ihre Übertragung und die IT-seitig eingeräumten Nutzungsberechtigungen hat

Dateianforderung als technische Lösung

Technisch umsetzen lassen sich diese Punkte beispielsweise über die „File Request“-Funktion einer Softwarelösung zum sicheren Datenaustausch: Der Meldestellenverantwortliche sendet einen Ende-zu-Ende-verschlüsselten Link zur Dateianforderung an alle Mitarbeiter des Unternehmens. Über diesen Link können Hinweisgeber dann anonym oder mit einer E-Mail-Adresse einen Hinweis direkt in den bereitgestellten Ordner des Meldestellenverantwortlichen speichern.

Jede hochgeladene Datei wird dabei idealerweise bereits auf dem Gerät des Hinweisgebers verschlüsselt und landet für Außenstehende unlesbar im Ordner. So erreicht der Hinweis die Meldestelle, ohne dass eine individuelle Kommunikation, beispielsweise per Mail, vorangehen muss.

Aus der Perspektive des Meldestellenverantwortlichen hat die Variante der Dateianforderung den Vorteil, dass es maximale Kontrolle über den gesamten Meldekanal gibt. Wird der Link beispielsweise nicht mehr gebraucht oder der Ordner umgezogen, kann ein automatisches Ablaufdatum festgelegt oder der Link komplett gesperrt werden. Die wichtigste Kontrollfunktion besteht jedoch im Bereich Zugriffsverwaltung. Ausschließlich der Meldestellenverantwortliche und die von ihm berechtigten Personen haben Zugriff auf die abgelegten Dateien. Das gewährleistet nicht nur maximale Vertraulichkeit in der Kommunikation, es vereinfacht auch die Weitergabe an offizielle Meldestellen.

Datensicherheit – nicht nur für den Meldekanal

Viele Unternehmen sehen im Hinweisgeberschutz eine weitere administrative Bürde, die Zeit, Geld und Nerven kostet. Die neue Richtlinie bietet jedoch auch Chancen. Wer gezwungenermaßen tiefer in das Thema einsteigen muss, sollte bei dieser Gelegenheit die Datensicherheit als Gesamtsystem unter die Lupe nehmen. Dabei zeigt sich, wie komplex der Datenaustausch im täglichen Betrieb mittlerweile geworden ist und welche IT-Sicherheitsmaßnahmen nötig sind.

Auch der Dauerbrenner DSGVO, aber auch NIS-2 und DORA, sowie die sich stetig ändernde Compliancevorgaben sind gute Argumente, das Thema Hinweisgeberschutz mit einer grundsätzlichen Initiative zur Datensicherheit zu verknüpfen. Umfassenden Schutz bieten Lösungen wie Tresorit, die auf Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip basieren und auf Security by Design setzen. Dabei können selbst die Anbieter weder den Verschlüsselungscode der Benutzer noch die auf den Servern gespeicherten oder bearbeiteten Daten einsehen. Alle Aktivitäten und Daten der Nutzer werden kodiert, bevor sie die Server erreichen, wobei der Verschlüsselungscode für den Anbieter stets verborgen bleibt.

Administratoren als Enabler

Insgesamt fördert das Hinweisgeberschutzgesetz eine offene, transparente und verantwortliche Unternehmensführung. Es schützt diejenigen, die Fehlverhalten und Missstände aufdecken wollen. Die Rolle der IT ist dabei ganz klar die des Enablers. So schaffen Administratoren mit dem Einsatz der richtigen Lösungen genau die Strukturen, die die Umsetzung des Gesetzes nicht nur pro forma erledigen, sondern das Vertrauen zwischen Unternehmen und Mitarbeitern erhöhen. Eine technische Lösung, die den Hinweisgebern ein Maximum an Schutz bietet und die eingegangenen Hinweise gleichzeitig vollumfassend schützt, bewahrt Unternehmen vor Imageverlust, Bußgeldern und anderen finanziellen Schäden.