Das Hinweisgeber-System: Ihre gesetzeskonforme Meldestellen-Lösung

In Deutschland gilt das Hinweisgeberschutzgesetz (Whistleblower-Richtlinie) für Beschäftigungsgeber ab i.d.R. mindestens 50 Beschäftigten. Es kommt auf die Kopfzahl, nicht auf die Stellenzahl an. Für Beschäftigungsgeber aus dem Finanzdienstleistungsbereich ab dem 1. Beschäftigten.

Beschäftigte sind:

1. Arbeitnehmerinnen und Arbeitnehmer,

2. die zu ihrer Berufsbildung Beschäftigten:

3. Beamtinnen und Beamte,

4. Richterinnen und Richter mit Ausnahme der ehrenamtlichen Richterinnen und Richter,

5. Soldatinnen und Soldaten,

6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7. Menschen mit Behinderung, die in einer Werkstatt für behinderte Menschen oder bei einem anderen Leistungsanbieter nach § 60 des Neunten Buches Sozialgesetzbuch beschäftigt sind.

Bereits in Kraft getreten für:

– Unternehmen mit mehr als 249 Beschäftigten inkl. Auszubildende und Praktikanten

– Behörden ab 50 Beschäftigte
– Unternehmen aus dem Finanzdienstleistungsbereich ab dem ersten Beschäftigten

Ab dem 17.12.2023 (Übergangsregelung):

– Unternehmen mit mehr als 50 Beschäftigten

Es muss eine interne Meldestelle und ein Konzept zum Schutz von Hinweisgebenden eingerichtet und betrieben werden. 
Dies kann durch unser Hinweisgeberportal “hinweis.de” erledigt werden. Darüberhinaus muss die benannte Person als Meldestellenbeauftragte*r ein Fachschulung nachweisen können. Angebot zu dem Thema finden Sie in unserer Akademie.  

Neben der technischen Einführung des Hinweisgeberportals sollte auch die rechtzeitige Bekanntmachung und Verteilung von Informationsmaterial für Beschäftigte berücksichtigt werden. (Personalmarketing)

Die Vertraulichkeit ist uneingeschränkt zu gewährleisten. Mit einer E-Mail Adresse oder einem Webformular ist nicht auszuschließen, dass die IT-Abteilung oder der Webhoster/Internetagentur Einblick in die Kommunikation mit dem Hinweisgebenden erhält. 

Folgende Liste verdeutlicht die Probleme:

Ja, das Gesetz erlaubt die Übertragung der Funktion der internen Meldestelle an einen externen Dienstleister. Aus unserer Sicht erhöht die Beauftragung einer neutralen externen Ombudsperson, oder einer externeren Meldestellenbeauftragten, das Vertrauen in ein Hinweisgebersystem immens. Wählen Sie z.B. unser Dienstleistungsangebot Meldestelle, um in kürzester Zeit eine gesetzeskonforme Umsetzung der gesetzlichen Anforderung zu realisieren. 

Bei uns: inklusive einer juristischen Ersteinschätzung eines eingegangenen Hinweises.  

Die Integrität und Sicherheit der uns anvertrauten Daten ist das höchste Gut.
Wir haben eine Reihe von Sicherheitsmechanismen und Systemen implementiert, um den Schutz Ihrer Daten zu gewährleisten.

ISO-zertifizierte Rechenzentren in Deutschland (Hetzner Online GmbH)
Bei der Wahl der Rechenzentren für die, von uns verwalteten, Server setzen wir ausschließlich auf deutsche Rechenzentren. Alle Rechenzentren sind ISO/IEC 27001 zertifiziert und garantieren eine Verfügbarkeit von 99.6 % bis 99.9 % im Jahresmittel.

Auch bei anderen Dienstleistern setzen wir vorzugsweise auf Anbieter aus Deutschland oder dem Verarbeitungsstandort innerhalb der Europäischen Union.

Der Einsatz von Firewalls auf Netzwerkebene und Application-Firewalls auf Anwendungsebene, sowie aktuelle Virenscanner sind selbstverständlich.

Das von uns genutzte Rechenzentrum der Hetzner Online GmbH, befindet sich in Deutschland und ist nach ISO27001 zertifiziert. Die Hetzner Online GmbH ist ein rein europäisches Unternehmen, eine Abhängigkeit von einer Muttergesellschaft  aus unsicheren Drittländern wie den USA besteht nicht.
Hiermit besteht eine vollständige Konformität zur DSGVO.
Laden Sie hier das ISO27001 Zertifikat für Ihre Unterlagen herunter: DOWNLOAD

Schutz vor unbefugtem Zugriff
Damit Ihr Konto und Ihre Daten wirklich sicher sind, setzten wir neben einem dediziertem Berechtigungskonzept eine strenge Passwort-Richtlinie ein.

So lässt das System keine schwachen oder kurzen Passwörter zu. Die Passwörter werden nach dem Stand der Technik mit einem starken Einweg-Hashing-Algorithmus als Hashwert gespeichert. Vor Änderung des Passworts wird geprüft, ob dieses bereits über einen Datenleak veröffentlicht wurde und unsicher ist.

Auch setzen wir keine vorgegebenen Passwörter ein, sondern lassen Sie direkt ihr Passwort wählen. So ist sichergestellt, dass nur Sie das Passwort Ihres Kontos kennen.

Für eine weitere Sicherheitsschicht kann optional eine Zwei-Faktor-Authentisierung aktiviert werden.
Sicherheit bei Übertragung und Speicherung
Um Ihre Daten bei der Übertragung zu schützen, setzen wir eine TLS-Verschlüsselung nach dem Stand der Technik ein. Um die höchste Sicherheit zu gewährleisten, wird diese Verschlüsselung regelmäßig in automatisierten Tests überprüft.

Die DNS-Abfrage ist über DNSSEC abgesichert.
Sobald die Daten im System gespeichert werden, werden personenbezogene Daten AES-256-CBC verschlüsselt.
AES ist ein symmetrisches Verschlüsselungsverfahren und gilt mit einer Schlüssellänge von 256 Bit zurzeit als unknackbar.

Schutz vor Datenverlust und Manipulation
Sollten Sie einmal vergessen zu speichern, warnt das System Sie beim Verlassen des Datenblatts und weist Sie darauf hin, dass es ungespeicherte Änderungen gibt.
Alle Änderungen werden im Hintergrund protokolliert, die Protokolle werden revisionssicher, unveränderbar gespeichert.
Um ungewünschte Änderungen durch betrügerische Webseiten zu verhindern, setzen wir CSRF-Tokens, sowie eine strenge X-Frame-Policy ein.

Eine strikte Content-Security-Policy lässt nur autorisierte Inhalte zu.

E-Mails, die über das System versendet werden, werden DKIM signiert und durch SPF und DMARC verifiziert. So können Sie sicher sein, dass die E-Mail wirklich von uns ist.

Mehrfach redundante Datensicherung
Sollten trotz aller Vorkehrungen Daten verloren gehen oder es zu einem Schadensfall im Rechenzentrum kommen, können wir auf ein umfangreiches Backup-System zurückgreifen.

Konkret werden mehrmals täglich Datensicherungen des Systems erstellt und in physisch getrennten Rechenzentren, verschlüsselt gespeichert.

Der gesamte Backup-Prozess wird dokumentiert und überwacht.

Durch unser regelmäßig evaluiertes Backup- und Recovery-Konzept können wir selbst im unwahrscheinlichen Desaster-Fall das System innerhalb weniger Stunden wiederherstellen.

Hinweisgebende Personen sollen auf den Schutz des HinSchG vertrauen können, wenn sie Verstöße gegen folgende Vorschriften melden:

• Verstöße gegen Strafvorschriften: Dies umfasst jede Strafnorm nach deutschem Recht.
• Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient: Die Regelung ist nach dem Willen des Gesetzgebers weit zu verstehen. Eine Bußgeldvorschrift dient dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane, wenn sie diesen Schutz bezweckt oder dazu beiträgt, den Schutz der genannten Rechtsgüter und Rechte zu gewährleisten. Darunter fallen beispielsweise Vorschriften aus folgenden Bereichen:

• Arbeitsschutz,
• Gesundheitsschutz,
• Verstöße gegen das Mindestlohngesetz,
• Vorgaben des Arbeitnehmerüberlassungsgesetzes,
• Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten, Gesamtbetriebsräten, Konzernbetriebsräten, Wirtschaftsausschüssen sanktionieren (§ 121 BetrVerfG).

Darüber hinaus sind alle Verstöße gegen Rechtsnormen umfasst, die zur Umsetzung europäischer Regelungen getroffen wurden. Dies umfasst eine Vielzahl verschiedener Bereiche, die zur Umsetzung der der EU-Whistleblower-RL im HinSchG enthalten sind. Dies sind beispielsweise folgende Bereiche:

• Regelungen zur Bekämpfung der Geldwäsche,
• Vorgaben zur Produktsicherheit,
• Vorgaben zur Beförderung gefährlicher Güter,
• Vorgaben zum Umweltschutz, Strahlenschutz,
• Lebensmittel- und Futtermittelsicherheit,
• Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten,
• Regelungen des Verbraucherschutzes,
• Regelungen des Datenschutzes,
• Sicherheit in der Informationstechnik,
• Vergaberecht,
• Regelungen zur Rechnungslegung bei Kapitalgesellschaften.

Neu hinzugekommen durch den Rechtsausschuss ist nun auch der Schutz für hinweisgebende Personen, die Hinweise geben zu Äußerungen von Beamtinnen und Beamten, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen.

Ein Hinweisgeberportal ist eine Online-Plattform, auf der Hinweisgeber ihre Missstände oder Verstöße innerhalb einer Organisation melden können. Ein solches Portal dient dazu, den Meldeprozess für Hinweisgeber zu vereinfachen und sicherer zu gestalten. Es kann auch dazu beitragen, dass Hinweisgeber schneller und effektiver unterstützt werden und dass ihre Meldungen schneller bearbeitet werden.

Ein Hinweisgeberportal kann von Unternehmen, öffentlichen Institutionen oder Nichtregierungsorganisationen betrieben werden. Es gibt verschiedene Arten von Hinweisgeberportalen, die sich in Bezug auf ihre Zielgruppe, den Meldebereich und die angebotenen Services unterscheiden können.

Einige Hinweisgeberportale sind auf bestimmte Branchen oder Themenbereiche ausgerichtet, während andere einen breiteren Meldebereich abdecken. Manche Hinweisgeberportale bieten auch zusätzliche Services wie Unterstützung bei der Durchsetzung von Ansprüchen oder Schadensersatz, juristische Beratung oder psychologische Unterstützung.

Es ist wichtig, dass ein Hinweisgeberportal Datensicherheit und Datenschutz gewährleistet, um die Anonymität von Hinweisgebern zu schützen. Es sollte auch eine vertrauenswürdige und transparente Meldekette sicherstellen, damit Meldungen schnell und effektiv bearbeitet werden können.

Das Hinweisgeberschutzgesetz gibt den Meldestellen strenge Fristen vor:

• Innerhalb von 7 Tagen müssen interne Meldestellen den Eingang der Meldung gegenüber dem Hinweisgeber bestätigen.
• Innerhalb von 3 Monaten nach der Meldung muss die Meldestelle den Hinweisgeber zudem darüber informieren, welche Maßnahmen getroffen wurden.

Das von uns genutzte Rechenzentrum der Hetzner Online GmbH, befindet sich in Deutschland und ist nach ISO27001 zertifiziert. Die Hetzner Online GmbH ist ein rein europäisches Unternehmen, eine Abhängigkeit von einer Muttergesellschaft  aus unsicheren Drittländern wie den USA besteht nicht. Hiermit besteht eine vollständige Konformität zur DSGVO.

Der international anerkannte Standard für Informationssicherheit bescheinigt der Hetzner Online GmbH und der Hetzner Finland Oy, dass ein geeignetes Informationssicherheits-Managementsystem, kurz ISMS, implementiert wurde und gelebt wird. Das ISMS findet an den Standorten Nürnberg und Falkenstein sowie Helsinki unter dem Scope “Der Anwendungsbereich des Informationssicherheits-Managementsystems umfasst die Infrastruktur, den Betrieb und den Kundensupport der Rechenzentren.” seine Anwendung. Das entsprechende Zertifizierungs-Verfahren wurde durch die FOX Certification GmbH durchgeführt.

Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT-Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.

Laden Sie hier das ISO27001 Zertifikat für Ihre Unterlagen herunter: DOWNLOAD

Das von uns genutzte Rechenzentrum der Hetzner AG mit Sitz in Deutschland ist ISO27001 zertifiziert.

Neben dem Hetzner-Support, der sich auf hardwareseitige Supportfälle konzentriert, und eine 99,9% Erreichbarkeit der Netzwerkinfrastruktur gewährleistet, haben wir mit der Kiel-IT GmbH einen Managed-Service-Provider als Partner verpflichtet, welcher eine Reaktionszeit von 2 Stunden Werktags zwischen 7 – 18 Uhr garantiert.

Es werden mehrmals täglich georedundante Server-Backups erstellt, so dass die vollständige Wiederherstellung innerhalb von 4-6 Stunden garantiert werden kann.
In Fällen einer höheren Auslastung unserer Server, ist durch die Cloud-Infrasatruktur zu jederzeit eine Erhöhung der Server-Kapazität möglich (CPU, RAM, HDD).

Somit ist das geforderte Schutzziel “Verfügbarkeit” nach der DSGVO gewährleistet.

Wir bieten spezielle Partnerkonditionen für Kanzleien, externe Datenschutzbeauftragte und Ombudspersonen, die Ihren Kunden und Mandanten eine Hinweisgeber-Lösung im Rahmen Ihrer Dienstleistung anbieten möchten. Kontaktieren Sie uns und wir erstellen Ihnen ein maßgeschneidertes Angebot für die Zusammenarbeit!

Neben der ISO27001 zertifiziertem Rechenzentrum, welches eine hohe IT-Sicherheit gewährleistet, wird das Hinweisgebersystem regelmäßig von der Breaking-Labs GmbH nach internationalen Standards (OWASPv4) untersucht.

Etwaige Schwachstellen werden mittels sogenannter Penetrationstests ermittelt und geschlossen.

Die interne Meldestelle kann entweder durch den Beschäftigungsgeber oder durch einen externen Dritten betrieben werden.
Für beide Situationen bieten wir Ihnen eine Lösung.

Als externer Meldestellenbeauftragter sind wir die direkte Anlaufstelle für alle Hinweise und Meldungen zu tatsächlichen, vermuteten, möglichen oder befürchteten Verstößen und übernehmen insbesondere die folgenden Tätigkeiten:

• Wir richten gemeinsam mit Ihnen die vorgeschriebenen Meldekanäle ein.
• Wir prüfen die Hinweise durch unsere Juristen (erste Schlüssigkeitsprüfung, sachlicher Anwendungsbereich) und leiten unsere Einschätzung hinsichtlich des erforderlichen Reaktions- und Ermittlungsbedarfs an Sie weiter.
• Wir übernehmen die fristgerechte Kommunikation mit der hinweisgebenden Person (Eingangsbestätigung, Protokoll, Bericht) und stehen für eine persönliche Zusammenkunft zwecks Meldung zur Verfügung.
• Wir informieren Sie zudem über Änderungen in der Rechtslage, klären Fragen zur Optimierung des Meldesystems und geben Ihnen eine Auswertung zu den Meldungen.