LinkedIn DAS INVESTMENT
Suche
Aktualisiert am in Tipps & RatgeberLesedauer: 6 Minuten

Tipp für Unternehmensentscheider Daten- und Hinweisgeberschutz sauber umsetzen – aber wie?

Diskussion unter Kollegen
Diskussion unter Kollegen: Das Anfang Juli in Kraft getretene Hinweisgeberschutzgesetz soll Whistleblower schützen. | Foto: Imago Images / Westend61

Das Hinweisgeberschutzgesetz sieht vor, Hürden für Verstoßmeldungen abzubauen. So sollen negative Konsequenzen für alle Personen vermieden werden, die Hinweise geben. Den DSGVO-konformen Umgang mit personenbezogenen Daten müssen Organisationen dabei zu jedem Zeitpunkt gewährleisten.

Eine Forsa-Umfrage kam im Frühjahr vergangenen Jahres zu dem Ergebnis, dass nur ein Viertel aller Firmen auf die neuen Anforderungen vorbereitet ist. Unternehmen müssen also dringend handeln, um Strafen zu vermeiden. Bei Missachtung werden immerhin Bußgelder in Höhe von 20.000 Euro fällig.

Szilveszter Szebeni
                         Szilveszter Szebeni, Foto: Tresorit

Hinweisgeberschutzgesetz soll für Transparenz sorgen

Zwar gehört die Bundesrepublik laut Transparency International zu den zehn vorbildlicheren Ländern, was Korruption betrifft. Nichtsdestotrotz beträgt der volkswirtschaftliche Schaden, der durch illegale Absprachen entsteht, nach Berechnung der Linzer Johannes-Kepler-Universität allein in Deutschland jährlich deutlich mehr als 200 Milliarden Euro. Dabei reichen die Auswirkungen des Hinweisgeberschutzgesetzes weit über die großen Fälle von Betrug, Korruption oder Veruntreuung, über die in der Tagespresse berichtet wird.

Die Art der internen Meldungen kann vielfältig sein: Auch jedes andere unethische Verhalten, Datenschutzmängel und -verstöße, Diskriminierung und Rechtsverletzungen können gemeldet werden.

Für Unternehmen liegt darin nicht nur eine bürokratische und technische Herausforderung, sondern auch eine Chance. Ein proaktiver Umgang mit dem Thema Whistleblowing wirkt sich positiv auf die Unternehmenskultur aus. Eine handlungsfähige Meldestelle kann so auch Hinweise zu Verbesserungspotenzial im Unternehmen aufnehmen und Bußgelder beim Verstoß gegen Datenschutz vermeiden.

 

Hinweisgeberschutz – mehr als ein digitaler Kummerkasten

Unternehmen mit mehr als 250 Mitarbeitern müssen ab sofort Meldewege über interne oder externe Ansprechpartner etablieren, um Hinweisen auf Verfehlungen effizient nachzugehen. Ab Mitte Dezember gilt das auch für kleine und mittelständische Firmen mit mehr als 50 Angestellten. Ebenso für Behörden und öffentlich-rechtliche Institutionen.

Die zwei wichtigsten Aufgaben, die jeder Entscheider im Blick haben muss, sind:

  1. Die Einrichtung eines Meldekanals, über den Hinweisgeber schriftlich oder mündlich Nachrichten und Daten senden können
  2. Es muss ein Meldestellenbeauftragter benannt und entsprechend geschult werden, der durch seine neue Rolle nicht in einen Interessenkonflikt kommen darf.

1.200% Rendite in 20 Jahren?

Die besten ETFs und Fonds, aktuelle News und exklusive Personalien erhalten Sie in unserem Newsletter „DAS INVESTMENT Daily“. Kostenlos und direkt in Ihr Postfach.

Unternehmen sollten sogar einen Schritt weitergehen, als nur einen Meldekanal einzurichten und einen Meldestellenbeauftragten zu benennen. Im Zuge des Aufsetzens neuer Prozesse können IT-Verantwortliche bestehendes Datenmanagement neu evaluieren. Wo werden beispielsweise auch an anderer Stelle des Unternehmens sensible Daten genutzt, versendet und gespeichert? Stringente Prozesse, die über ein E-Mail-Postfach hinausgehen, sind essenziell, um effizient und sicher mit Informationen umzugehen.

Anforderungen an die technische Umsetzung 

Eine Lösung für viele Herausforderungen des DSGVO-konformen Umgangs mit Daten ist die Ende-zu-Ende-Verschlüsselung (E2EE). Sie wird als Goldstandard für sichere Kommunikation bezeichnet und kann mit Softwarelösungen über das ganze Unternehmen hinweg implementiert werden. Mit ihr werden Nachrichten verschlüsselt, bevor sie gesendet werden, und erst dann entschlüsselt, wenn sie auf dem Gerät des Empfängers angekommen sind. So kann niemand zwischen diesen beiden Endpunkten die Daten lesen oder bearbeiten. Gerade für die sichere Kommunikation mit Whistleblowern ist das essenziell.

Durch Lösungen, die „Privacy by Design“ bieten, können Unternehmen ihre Datenströme so aufsetzen, dass sie Vertraulichkeit und DSGVO-konforme Behandlung personenbezogener Daten wahren. Mit der unternehmensweiten Implementierung von E2EE machen sich Unternehmen unabhängig von einem Wandel in den Anforderungen und der Rechtslage.

 

Für den Einsatz als Whistleblowing-Lösung gibt es mittlerweile eine Reihe von recht teuren Spezialanwendungen. IT-Verantwortliche sollten allerdings hinterfragen, ob der Einsatz einer solchen Software für die interne Umsetzung der Gesetzesvorgaben effizient ist. Schließlich bilden Lösungen wie Tresorit, die für den verschlüsselten Austausch von Dateien im Unternehmen und mit externen Partnern konzipiert wurden, das gleiche Sicherheitsniveau sowie eine ganze Reihe weiterer Funktionen, die im „normalen“ Arbeitsalltag das Leben der Mitarbeiter erleichtern und die Sicherheit erhöhen.

Ganz konkret sollten folgende Punkte beim Aufsetzen des Meldekanals berücksichtigt werden:

  • Interne und externe Ansprechpartner sollen ohne die Installation von separater Software eine Meldung abgeben können.
  • Sensible Daten müssen hochsicher und DSGVO-konform, also beispielsweise nicht auf in den USA gehosteten Severn, gespeichert werden. Das ermöglicht auch ein Speichern in der Cloud.
  • Der Meldestellenverantwortliche sollte die Kontrolle über die Übertragung haben sowie über die abliegenden Daten. Die Kontrolle erstreckt sich außerdem auf die Nutzungsberechtigungen.
  • Nur bestimmte Personen haben Zugriff und können die Dateien einsehen, was auch die Weitergabe an offizielle Meldestellen vereinfacht.
  • Um zudem zu gewährleisten, dass Mitarbeiter die Meldestelle im Unternehmen annehmen, hat neben Privatsphäre auch die Nutzerfreundlichkeit Priorität. Neben dem unkomplizierten Aufsetzen durch die IT-Administratoren ist auch der hohe Bedienkomfort für Nutzer wichtig. Um eine einfache Anwendung zu gewährleisten, sollten Nutzer beispielsweise unterschiedliche Dateiformate und große Datenmengen hochgeladen können.  

Eine Meldestelle, die effizient funktioniert, schützt vor finanziellen und Rufschäden. Entscheider und IT-Administratoren sollten bei der Umsetzung darauf achten, dass sie eine nutzerfreundliche sowie skalierbare Lösung für hochsicheren Datenaustausch über Firmengrenzen hinaus implementieren. Ende-zu-Ende-Verschlüsselung bietet eine Lösung für die grundsätzlichen Herausforderungen des Datenschutzes. 

Denn entscheidend für Whistleblower ist, dass sie sich keine Gedanken darüber machen müssen, ob ihre Meldung für sie negative Konsequenzen haben könnte. Konsequent verschlüsselt und durch klare Zugriffsrechte gesichert, ist genau das garantiert. Informationen bleiben stets vertraulich. So können auch Unternehmen von frühzeitigen Meldungen von Verstößen sowie Hinweisen auf Verbesserungspotenzial profitieren und sind gleichzeitig vor Bußgeldern geschützt.

Über den Autor:

Szilveszter Szebeni ist Fachmann für Informationssicherheit und Kryptografie und Mitgründer des Schweizer Cloud-Service-Dienstleisters Tresorit. Er tritt zudem als Sprecher bei Branchenveranstaltungen auf und referiert dort über Ende-zu-Ende-verschlüsselte Cloud-Technologien.

Wie hat Ihnen der Artikel gefallen?

Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen
PDF nur für Sie. Weitergabe? Fragen Sie uns.
Tipps der Redaktion