Das Hinweisgeber-System: Ihre gesetzeskonforme Meldestellen-Lösung

Das Hinweisgeberschutzgesetz ist bereits vollumfänglich in Kraft getreten. Frühere Übergangsfristen sind bereits abgelaufen. 

In Deutschland gilt das Hinweisgeberschutzgesetz (Whistleblower-Richtlinie) für jeden Beschäftigungsgeber.

Verpflichtend ist die Einrichtung einer internen Meldestelle i.d.R. mindestens 50 Beschäftigten. Es kommt auf die Kopfzahl, nicht auf die Stellenzahl an. Für Beschäftigungsgeber aus dem Finanzdienstleistungsbereich ab dem 1. Beschäftigten.

Beschäftigte sind:

1. Arbeitnehmerinnen und Arbeitnehmer,

2. die zu ihrer Berufsbildung Beschäftigten:

3. Beamtinnen und Beamte,

4. Richterinnen und Richter mit Ausnahme der ehrenamtlichen Richterinnen und Richter,

5. Soldatinnen und Soldaten,

6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7. Menschen mit Behinderung, die in einer Werkstatt für behinderte Menschen oder bei einem anderen Leistungsanbieter nach § 60 des Neunten Buches Sozialgesetzbuch beschäftigt sind.

Das Hinweisgeberschutzgesetz (HinSchG) ist auch für Beschäftigungsgeber mit weniger als 50 Mitarbeitenden von großer Bedeutung. Hier sind einige Schlüsselaspekte, warum es wichtig ist, sich mit diesem Gesetz vertraut zu machen:

• Arbeitsrechtliche Aspekte
  Das HinSchG hat direkte Auswirkungen auf das Arbeitsrecht. Es schafft spezifische Pflichten für Arbeitgeber, wie z.B. den Schutz der Identität von Hinweisgebern, auch ohne verpflichtende Einrichtung einer internen Meldestelle. Die Nichtbeachtung dieser Pflichten kann zu arbeitsrechtlichen Streitigkeiten führen.

• Rechtskonformität
  Unabhängig von der Größe des Unternehmens ist es für jeden Beschäftigungsgeber wichtig, die gesetzlichen Vorschriften zu kennen und einzuhalten. Das HinSchG schafft rechtliche Rahmenbedingungen zum Schutz von Hinweisgebern, deren Nichtbeachtung rechtliche Konsequenzen nach sich ziehen kann.

• Vertrauenskultur fördern
  Durch die Kenntnis und Anwendung des HinSchG können kleinere Unternehmen eine Kultur des Vertrauens und der Offenheit fördern. Mitarbeiter, die sich sicher fühlen, Missstände anzusprechen, tragen zu einem gesunden und transparenten Arbeitsumfeld bei.
• Risikoprävention
  Das HinSchG ermöglicht es Mitarbeitenden, potenzielle Probleme und Risiken frühzeitig zu melden. Dies kann für kleinere Unternehmen besonders wertvoll sein, da sie oft weniger Ressourcen für umfassende interne Kontrollen und Audits haben.
• Reputationsschutz
  Ein Unternehmen, das aktiv den Schutz von Hinweisgebern unterstützt, fördert sein Image als verantwortungsvoller und ethischer Arbeitgeber. Dies kann gerade für kleinere Unternehmen entscheidend sein, um sich in einem wettbewerbsintensiven Markt zu behaupten.
• Zukunftssicherheit
  Die Vertrautheit mit dem HinSchG und dessen Umsetzung bereitet kleinere Unternehmen auf mögliche zukünftige gesetzliche Änderungen vor. Dies erleichtert die Anpassung an neue rechtliche Anforderungen und vermeidet kurzfristigen Anpassungsdruck

Insgesamt ist es also für Beschäftigungsgeber jeder Größe essentiell, sich mit dem Hinweisgeberschutzgesetz auseinanderzusetzen, um rechtlich abgesichert zu sein, eine positive Arbeitskultur zu fördern und langfristig wettbewerbsfähig zu bleiben.

Die Vertraulichkeit ist uneingeschränkt zu gewährleisten. Mit einer E-Mail Adresse oder einem Webformular ist nicht auszuschließen, dass die IT-Abteilung oder der Webhoster/Internetagentur Einblick in die Kommunikation mit dem Hinweisgebenden erhält. 

Folgende Liste verdeutlicht die Probleme:

Ja, das Gesetz erlaubt die Übertragung der Funktion der internen Meldestelle an einen externen Dienstleister. Aus unserer Sicht erhöht die Beauftragung einer neutralen externen Ombudsperson, oder einer externeren Meldestellenbeauftragten, das Vertrauen in ein Hinweisgebersystem immens. Wählen Sie z.B. unser Dienstleistungsangebot Meldestelle, um in kürzester Zeit eine gesetzeskonforme Umsetzung der gesetzlichen Anforderung zu realisieren. 

Bei uns: inklusive einer juristischen Ersteinschätzung eines eingegangenen Hinweises.  

Die Integrität und Sicherheit der uns anvertrauten Daten ist das höchste Gut.
Wir haben eine Reihe von Sicherheitsmechanismen und Systemen implementiert, um den Schutz Ihrer Daten zu gewährleisten.

ISO-zertifizierte Rechenzentren in Deutschland (Hetzner Online GmbH)
Bei der Wahl der Rechenzentren für die, von uns verwalteten, Server setzen wir ausschließlich auf deutsche Rechenzentren. Alle Rechenzentren sind ISO/IEC 27001 zertifiziert und garantieren eine Verfügbarkeit von 99.6 % bis 99.9 % im Jahresmittel.

Auch bei anderen Dienstleistern setzen wir vorzugsweise auf Anbieter aus Deutschland oder dem Verarbeitungsstandort innerhalb der Europäischen Union.

Der Einsatz von Firewalls auf Netzwerkebene und Application-Firewalls auf Anwendungsebene, sowie aktuelle Virenscanner sind selbstverständlich.

Das von uns genutzte Rechenzentrum der Hetzner Online GmbH, befindet sich in Deutschland und ist nach ISO27001 zertifiziert. Die Hetzner Online GmbH ist ein rein europäisches Unternehmen, eine Abhängigkeit von einer Muttergesellschaft  aus unsicheren Drittländern wie den USA besteht nicht.
Hiermit besteht eine vollständige Konformität zur DSGVO.
Laden Sie hier das ISO27001 Zertifikat für Ihre Unterlagen herunter: DOWNLOAD

Schutz vor unbefugtem Zugriff
Damit Ihr Konto und Ihre Daten wirklich sicher sind, setzten wir neben einem dediziertem Berechtigungskonzept eine strenge Passwort-Richtlinie ein.

So lässt das System keine schwachen oder kurzen Passwörter zu. Die Passwörter werden nach dem Stand der Technik mit einem starken Einweg-Hashing-Algorithmus als Hashwert gespeichert. Vor Änderung des Passworts wird geprüft, ob dieses bereits über einen Datenleak veröffentlicht wurde und unsicher ist.

Auch setzen wir keine vorgegebenen Passwörter ein, sondern lassen Sie direkt ihr Passwort wählen. So ist sichergestellt, dass nur Sie das Passwort Ihres Kontos kennen.

Für eine weitere Sicherheitsschicht kann optional eine Zwei-Faktor-Authentisierung aktiviert werden.
Sicherheit bei Übertragung und Speicherung
Um Ihre Daten bei der Übertragung zu schützen, setzen wir eine TLS-Verschlüsselung nach dem Stand der Technik ein. Um die höchste Sicherheit zu gewährleisten, wird diese Verschlüsselung regelmäßig in automatisierten Tests überprüft.

Die DNS-Abfrage ist über DNSSEC abgesichert.
Sobald die Daten im System gespeichert werden, werden personenbezogene Daten AES-256-CBC verschlüsselt.
AES ist ein symmetrisches Verschlüsselungsverfahren und gilt mit einer Schlüssellänge von 256 Bit zurzeit als unknackbar.

Schutz vor Datenverlust und Manipulation
Sollten Sie einmal vergessen zu speichern, warnt das System Sie beim Verlassen des Datenblatts und weist Sie darauf hin, dass es ungespeicherte Änderungen gibt.
Alle Änderungen werden im Hintergrund protokolliert, die Protokolle werden revisionssicher, unveränderbar gespeichert.
Um ungewünschte Änderungen durch betrügerische Webseiten zu verhindern, setzen wir CSRF-Tokens, sowie eine strenge X-Frame-Policy ein.

Eine strikte Content-Security-Policy lässt nur autorisierte Inhalte zu.

E-Mails, die über das System versendet werden, werden DKIM signiert und durch SPF und DMARC verifiziert. So können Sie sicher sein, dass die E-Mail wirklich von uns ist.

Mehrfach redundante Datensicherung
Sollten trotz aller Vorkehrungen Daten verloren gehen oder es zu einem Schadensfall im Rechenzentrum kommen, können wir auf ein umfangreiches Backup-System zurückgreifen.

Konkret werden mehrmals täglich Datensicherungen des Systems erstellt und in physisch getrennten Rechenzentren, verschlüsselt gespeichert.

Der gesamte Backup-Prozess wird dokumentiert und überwacht.

Durch unser regelmäßig evaluiertes Backup- und Recovery-Konzept können wir selbst im unwahrscheinlichen Desaster-Fall das System innerhalb weniger Stunden wiederherstellen.

hinweis.de ist mit dem Anwalt oder der Kanzlei gemeinsam verwendbar. 

Sie können den Zugriff auf ausgewählte Fälle eingrenzen oder alle Fälle freigeben. 

Der zuständige Anwalt kann auch über neue Fälle benachrichtigt werden und die jeweilige Bearbeitung steuern.

Darüberhinaus ist ein vollständig vertrauliche Kommunikation aller Fallbeteiligten innerhalb des Systems möglich:

• DSGVO-konforme integrierte  Videokonferenzsystem
• Dokumentenbearbeitung und -erstellung innerhalb von Hinweis.de (integrierte Textverarbeitung) 
• Chat
• Kommentare
• Protokolle

Hinweisgebende Personen sollen auf den Schutz des HinSchG vertrauen können, wenn sie Verstöße gegen folgende Vorschriften melden:

• Verstöße gegen Strafvorschriften: Dies umfasst jede Strafnorm nach deutschem Recht.
• Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient: Die Regelung ist nach dem Willen des Gesetzgebers weit zu verstehen. Eine Bußgeldvorschrift dient dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane, wenn sie diesen Schutz bezweckt oder dazu beiträgt, den Schutz der genannten Rechtsgüter und Rechte zu gewährleisten. Darunter fallen beispielsweise Vorschriften aus folgenden Bereichen:

• Arbeitsschutz,
• Gesundheitsschutz,
• Verstöße gegen das Mindestlohngesetz,
• Vorgaben des Arbeitnehmerüberlassungsgesetzes,
• Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten, Gesamtbetriebsräten, Konzernbetriebsräten, Wirtschaftsausschüssen sanktionieren (§ 121 BetrVerfG).

Darüber hinaus sind alle Verstöße gegen Rechtsnormen umfasst, die zur Umsetzung europäischer Regelungen getroffen wurden. Dies umfasst eine Vielzahl verschiedener Bereiche, die zur Umsetzung der der EU-Whistleblower-RL im HinSchG enthalten sind. Dies sind beispielsweise folgende Bereiche:

• Regelungen zur Bekämpfung der Geldwäsche,
• Vorgaben zur Produktsicherheit,
• Vorgaben zur Beförderung gefährlicher Güter,
• Vorgaben zum Umweltschutz, Strahlenschutz,
• Lebensmittel- und Futtermittelsicherheit,
• Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten,
• Regelungen des Verbraucherschutzes,
• Regelungen des Datenschutzes,
• Sicherheit in der Informationstechnik,
• Vergaberecht,
• Regelungen zur Rechnungslegung bei Kapitalgesellschaften.

Neu hinzugekommen durch den Rechtsausschuss ist nun auch der Schutz für hinweisgebende Personen, die Hinweise geben zu Äußerungen von Beamtinnen und Beamten, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen.

Ein Hinweisgeberportal ist eine Online-Plattform, auf der Hinweisgeber ihre Missstände oder Verstöße innerhalb einer Organisation melden können. Ein solches Portal dient dazu, den Meldeprozess für Hinweisgeber zu vereinfachen und sicherer zu gestalten. Es kann auch dazu beitragen, dass Hinweisgeber schneller und effektiver unterstützt werden und dass ihre Meldungen schneller bearbeitet werden.

Ein Hinweisgeberportal kann von Unternehmen, öffentlichen Institutionen oder Nichtregierungsorganisationen betrieben werden. Es gibt verschiedene Arten von Hinweisgeberportalen, die sich in Bezug auf ihre Zielgruppe, den Meldebereich und die angebotenen Services unterscheiden können.

Einige Hinweisgeberportale sind auf bestimmte Branchen oder Themenbereiche ausgerichtet, während andere einen breiteren Meldebereich abdecken. Manche Hinweisgeberportale bieten auch zusätzliche Services wie Unterstützung bei der Durchsetzung von Ansprüchen oder Schadensersatz, juristische Beratung oder psychologische Unterstützung.

Es ist wichtig, dass ein Hinweisgeberportal Datensicherheit und Datenschutz gewährleistet, um die Anonymität von Hinweisgebern zu schützen. Es sollte auch eine vertrauenswürdige und transparente Meldekette sicherstellen, damit Meldungen schnell und effektiv bearbeitet werden können.

Das Hinweisgeberschutzgesetz gibt den Meldestellen strenge Fristen vor:

• Innerhalb von 7 Tagen müssen interne Meldestellen den Eingang der Meldung gegenüber dem Hinweisgeber bestätigen.
• Innerhalb von 3 Monaten nach der Meldung muss die Meldestelle den Hinweisgeber zudem darüber informieren, welche Maßnahmen getroffen wurden.

Das von uns genutzte Rechenzentrum der Hetzner Online GmbH, befindet sich in Deutschland und ist nach ISO27001 zertifiziert. Die Hetzner Online GmbH ist ein rein europäisches Unternehmen, eine Abhängigkeit von einer Muttergesellschaft  aus unsicheren Drittländern wie den USA besteht nicht. Hiermit besteht eine vollständige Konformität zur DSGVO.

Der international anerkannte Standard für Informationssicherheit bescheinigt der Hetzner Online GmbH und der Hetzner Finland Oy, dass ein geeignetes Informationssicherheits-Managementsystem, kurz ISMS, implementiert wurde und gelebt wird. Das ISMS findet an den Standorten Nürnberg und Falkenstein sowie Helsinki unter dem Scope “Der Anwendungsbereich des Informationssicherheits-Managementsystems umfasst die Infrastruktur, den Betrieb und den Kundensupport der Rechenzentren.” seine Anwendung. Das entsprechende Zertifizierungs-Verfahren wurde durch die FOX Certification GmbH durchgeführt.

Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT-Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.

Laden Sie hier das ISO27001 Zertifikat für Ihre Unterlagen herunter: DOWNLOAD

Das von uns genutzte Rechenzentrum der Hetzner AG mit Sitz in Deutschland ist ISO27001 zertifiziert.

Neben dem Hetzner-Support, der sich auf hardwareseitige Supportfälle konzentriert, und eine 99,9% Erreichbarkeit der Netzwerkinfrastruktur gewährleistet, haben wir mit der Kiel-IT GmbH einen Managed-Service-Provider als Partner verpflichtet, welcher eine Reaktionszeit von 2 Stunden Werktags zwischen 7 – 18 Uhr garantiert.

Es werden mehrmals täglich georedundante Server-Backups erstellt, so dass die vollständige Wiederherstellung innerhalb von 4-6 Stunden garantiert werden kann.
In Fällen einer höheren Auslastung unserer Server, ist durch die Cloud-Infrasatruktur zu jederzeit eine Erhöhung der Server-Kapazität möglich (CPU, RAM, HDD).

Somit ist das geforderte Schutzziel “Verfügbarkeit” nach der DSGVO gewährleistet.

Neben der ISO27001 zertifiziertem Rechenzentrum, welches eine hohe IT-Sicherheit gewährleistet, wird das Hinweisgebersystem regelmäßig von der Breaking-Labs GmbH nach internationalen Standards (OWASPv4) untersucht.

Etwaige Schwachstellen werden mittels sogenannter Penetrationstests ermittelt und geschlossen.

Die interne Meldestelle kann entweder durch den Beschäftigungsgeber oder durch einen externen Dritten betrieben werden.
Für beide Situationen bieten wir Ihnen eine Lösung.

Als externer Meldestellenbeauftragter sind wir die direkte Anlaufstelle für alle Hinweise und Meldungen zu tatsächlichen, vermuteten, möglichen oder befürchteten Verstößen und übernehmen insbesondere die folgenden Tätigkeiten:

• Wir richten gemeinsam mit Ihnen die vorgeschriebenen Meldekanäle ein.
• Wir prüfen die Hinweise durch unsere Juristen (erste Schlüssigkeitsprüfung, sachlicher Anwendungsbereich) und leiten unsere Einschätzung hinsichtlich des erforderlichen Reaktions- und Ermittlungsbedarfs an Sie weiter.
• Wir übernehmen die fristgerechte Kommunikation mit der hinweisgebenden Person (Eingangsbestätigung, Protokoll, Bericht) und stehen für eine persönliche Zusammenkunft zwecks Meldung zur Verfügung.
• Wir informieren Sie zudem über Änderungen in der Rechtslage, klären Fragen zur Optimierung des Meldesystems und geben Ihnen eine Auswertung zu den Meldungen.

Wir bieten spezielle Partnerkonditionen für Kanzleien, externe Datenschutzbeauftragte und Ombudspersonen, die Ihren Kunden und Mandanten eine Hinweisgeber-Lösung im Rahmen Ihrer Dienstleistung anbieten möchten. Kontaktieren Sie uns und wir erstellen Ihnen ein maßgeschneidertes Angebot für die Zusammenarbeit!

Speziell für Non-Profit Organisationen und Bildungseinrichtungen bietet hinweis.de alle angebotenen Tarife mit 20% Vergünstigung an.