{"id":25384,"date":"2023-11-20T10:18:40","date_gmt":"2023-11-20T09:18:40","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=25384"},"modified":"2023-11-13T10:31:23","modified_gmt":"2023-11-13T09:31:23","slug":"vertraulichkeit-bewahren-zur-technischen-umsetzung-des-hinweisgeberschutzgesetzes","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=25384","title":{"rendered":"Vertraulichkeit bewahren: Zur technischen Umsetzung des Hinweisgeberschutzgesetzes"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/tresorit.com\/de\">Szilveszter Szebeni, CISO (Chief Information Security Officer) bei Tresorit<\/a>\/gg<\/p>\n\n\n\n<p>Die Uhr tickt f\u00fcr Unternehmen: Das Hinweisgeberschutzgesetz schreibt vor, bis Ende 2023 geeignete Ma\u00dfnahmen zur \u00dcbermittlung von Hinweisen zu implementieren. Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-weiten Whistleblower Richtlinie.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"489\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung-1024x489.png\" alt=\"\" class=\"wp-image-25386\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung-1024x489.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung-300x143.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung-768x366.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung-1536x733.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung-1320x630.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Tresorit_Dateianforderung.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">Quelle: Tresorit<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Seit Juli 2023 ist das Hinweisgeberschutzgesetz nun in Kraft, bis Ende dieses Jahres m\u00fcssen Unternehmen ab 50 Mitarbeitern die Anforderungen umsetzen. F\u00fcr Betriebe f\u00fchrt dies nicht nur zu administrativen, sondern vor allem auch technischen Herausforderungen. Um die Anforderungen des Gesetzes zu implementieren, muss zum einen ein Meldekanal eingerichtet werden, \u00fcber den Hinweisgeber schriftlich oder m\u00fcndlich eine Eingabe zu beobachteten Verst\u00f6\u00dfen gegen Compliance oder Gesetze machen k\u00f6nnen. Zum anderen muss eine Person als Meldestellenbeauftragter benannt werden. Wichtig ist dabei, darauf zu achten, dass diese Person in dieser neuen Rolle nicht in einen Interessenskonflikt mit ihren anderen Aufgaben und Verantwortlichkeiten kommt.<\/p>\n\n\n\n<p>Wer die Frist einhalten will, muss also sowohl eine passende Person wie auch eine passende technische L\u00f6sung finden. Bei letzterer kommt es vor allem darauf an, dass sie unkompliziert zu bedienen und gleichzeitig leicht zu administrieren ist. Es versteht sich von selbst, dass gerade bei diesem Einsatzszenario ein H\u00f6chstma\u00df an Datensicherheit gegeben sein muss. Schlie\u00dflich handelt es sich bei Whistleblowing-Informationen in der Regel um eine Kombination aus sensiblen Informationen verkn\u00fcpft mit pers\u00f6nlichen Daten.<\/p>\n\n\n\n<p><strong>Kein \u201eone size fits all\u201c-Ansatz<\/strong><\/p>\n\n\n\n<p>Trotz aller gebotenen Eile lohnt es sich, einen genauen Blick auf die zahlreichen, schon jetzt verf\u00fcgbaren IT-L\u00f6sungen zu werfen. Viele sind f\u00fcr das typische mittelst\u00e4ndische Unternehmen schlicht \u00fcberdimensioniert oder kompliziert in der Anwendung. Damit w\u00e4chst die Hemmschwelle, sie auch zu nutzen.<\/p>\n\n\n\n<p>Was den Datenschutz betrifft, unterscheiden sich die L\u00f6sungen mit Blick auf die versprochenen Standards kaum \u2013 deutliche Unterschiede zeigen sich jedoch in den Feinheiten der Umsetzung. Ein weiteres wichtiges Thema ist die einfache Skalierbarkeit.<\/p>\n\n\n\n<p>Au\u00dferdem ist es wichtig, auf Folgendes zu achten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Integrierbarkeit: Mitarbeiter sollten keine zus\u00e4tzliche Software installieren m\u00fcssen, bevor sie eine Meldung abgeben k\u00f6nnen<\/li>\n\n\n\n<li>Datensouver\u00e4nit\u00e4t: Die Daten m\u00fcssen zu jeder Zeit vollkommen sicher sein, auch auf dem Server. Deshalb sollte die L\u00f6sung Wahlm\u00f6glichkeiten bieten was den Serverstandort angeht<\/li>\n\n\n\n<li>Nutzungsfreundlichkeit: Um den eigenen Mitarbeitern zu signalisieren, dass das Unternehmen das Thema Hinweisgeberschutz ernst nimmt, sollte die L\u00f6sung intuitiv bedienbar sein<\/li>\n\n\n\n<li>Zugriffsverwaltung: Administratoren sollten steuern k\u00f6nnen, wer Zugriff auf welche Dokumente hat. Am wichtigsten ist, dass der Hinweisempf\u00e4nger volle Kontrolle \u00fcber die Daten selbst, ihre \u00dcbertragung und die IT-seitig einger\u00e4umten Nutzungsberechtigungen hat<\/li>\n<\/ul>\n\n\n\n<p><strong>Dateianforderung als technische L\u00f6sung<\/strong><\/p>\n\n\n\n<p>Technisch umsetzen lassen sich diese Punkte beispielsweise \u00fcber die \u201eFile Request\u201c-Funktion einer Softwarel\u00f6sung zum sicheren Datenaustausch: Der Meldestellenverantwortliche sendet einen Ende-zu-Ende-verschl\u00fcsselten Link zur Dateianforderung an alle Mitarbeiter des Unternehmens. \u00dcber diesen Link k\u00f6nnen Hinweisgeber dann anonym oder mit einer E-Mail-Adresse einen Hinweis direkt in den bereitgestellten Ordner des Meldestellenverantwortlichen speichern.<\/p>\n\n\n\n<p>Jede hochgeladene Datei wird dabei idealerweise bereits auf dem Ger\u00e4t des Hinweisgebers verschl\u00fcsselt und landet f\u00fcr Au\u00dfenstehende unlesbar im Ordner. So erreicht der Hinweis die Meldestelle, ohne dass eine individuelle Kommunikation, beispielsweise per Mail, vorangehen muss.<\/p>\n\n\n\n<p>Aus der Perspektive des Meldestellenverantwortlichen hat die Variante der Dateianforderung den Vorteil, dass es maximale Kontrolle \u00fcber den gesamten Meldekanal gibt. Wird der Link beispielsweise nicht mehr gebraucht oder der Ordner umgezogen, kann ein automatisches Ablaufdatum festgelegt oder der Link komplett gesperrt werden. Die wichtigste Kontrollfunktion besteht jedoch im Bereich Zugriffsverwaltung. Ausschlie\u00dflich der Meldestellenverantwortliche und die von ihm berechtigten Personen haben Zugriff auf die abgelegten Dateien. Das gew\u00e4hrleistet nicht nur maximale Vertraulichkeit in der Kommunikation, es vereinfacht auch die Weitergabe an offizielle Meldestellen.<\/p>\n\n\n\n<p><strong>Datensicherheit \u2013 nicht nur f\u00fcr den Meldekanal<\/strong><\/p>\n\n\n\n<p>Viele Unternehmen sehen im Hinweisgeberschutz eine weitere administrative B\u00fcrde, die Zeit, Geld und Nerven kostet. Die neue Richtlinie bietet jedoch auch Chancen. Wer gezwungenerma\u00dfen tiefer in das Thema einsteigen muss, sollte bei dieser Gelegenheit die Datensicherheit als Gesamtsystem unter die Lupe nehmen. Dabei zeigt sich, wie komplex der Datenaustausch im t\u00e4glichen Betrieb mittlerweile geworden ist und welche IT-Sicherheitsma\u00dfnahmen n\u00f6tig sind.<\/p>\n\n\n\n<p>Auch der Dauerbrenner DSGVO, aber auch NIS-2 und DORA, sowie die sich stetig \u00e4ndernde Compliancevorgaben sind gute Argumente, das Thema Hinweisgeberschutz mit einer grunds\u00e4tzlichen Initiative zur Datensicherheit zu verkn\u00fcpfen. Umfassenden Schutz bieten L\u00f6sungen wie Tresorit, die auf Ende-zu-Ende-Verschl\u00fcsselung nach dem <a href=\"https:\/\/tresorit.com\/blog\/de\/zero-knowledge-verschlusselung\/?utm_source=it-mittelstand&amp;utm_medium=website&amp;utm_campaign=hybrid%20work\">Zero-Knowledge-Prinzip<\/a> basieren und auf Security by Design setzen. Dabei k\u00f6nnen selbst die Anbieter weder den Verschl\u00fcsselungscode der Benutzer noch die auf den Servern gespeicherten oder bearbeiteten Daten einsehen. Alle Aktivit\u00e4ten und Daten der Nutzer werden kodiert, bevor sie die Server erreichen, wobei der Verschl\u00fcsselungscode f\u00fcr den Anbieter stets verborgen bleibt.<\/p>\n\n\n\n<p><strong>Administratoren als Enabler<\/strong><\/p>\n\n\n\n<p>Insgesamt f\u00f6rdert das Hinweisgeberschutzgesetz eine offene, transparente und verantwortliche Unternehmensf\u00fchrung. Es sch\u00fctzt diejenigen, die Fehlverhalten und Missst\u00e4nde aufdecken wollen. Die Rolle der IT ist dabei ganz klar die des Enablers. So schaffen Administratoren mit dem Einsatz der richtigen L\u00f6sungen genau die Strukturen, die die Umsetzung des Gesetzes nicht nur pro forma erledigen, sondern das Vertrauen zwischen Unternehmen und Mitarbeitern erh\u00f6hen. Eine technische L\u00f6sung, die den Hinweisgebern ein Maximum an Schutz bietet und die eingegangenen Hinweise gleichzeitig vollumfassend sch\u00fctzt, bewahrt Unternehmen vor Imageverlust, Bu\u00dfgeldern und anderen finanziellen Sch\u00e4den.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Uhr tickt f\u00fcr Unternehmen: Das Hinweisgeberschutzgesetz schreibt vor, bis Ende 2023 geeignete Ma\u00dfnahmen zur \u00dcbermittlung von Hinweisen zu implementieren. Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-weiten Whistleblower Richtlinie.<\/p>\n","protected":false},"author":81,"featured_media":25386,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10140],"tags":[17675,16530,9408,17673,17200,17074,17674],"class_list":["post-25384","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-compliance","tag-dateianforderung","tag-dora","tag-dsgvo","tag-hinweisgeberschutzgesetz","tag-nis-2","tag-tresorit","tag-whistleblower"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25384","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=25384"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25384\/revisions"}],"predecessor-version":[{"id":25387,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25384\/revisions\/25387"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/25386"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=25384"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=25384"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=25384"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}