Hinweisgebersystem

Regeln, Mut und Prävention – mit System

Digitales Hinweisgebersystem & unabhängige Ombudsstelle

Das Thema „Hinweisgebersystem und Compliance“ wird in einer Vielzahl von Unternehmen noch immer nachlässig behandelt. Die EU-Whistleblower-Richtlinie soll dies ändern und ermöglicht Arbeitnehmern, Kunden, Lieferanten und sonstigen Dritten (z. B. ehemaligen Arbeitnehmern, Bewerbern und Journalisten), vertraulich Hinweise zu Verstößen gegen EU-Vorschriften über das Unternehmen abzugeben – z. B. bei vermuteter Geldwäsche, Steuerbetrug oder zu Bereichen wie Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit oder Verbraucher- und Datenschutz.

Dieses neue System soll nicht nur Verstöße aufdecken und präventiv unterbinden, es fördert auch die interne Kommunikation im Unternehmen: Es setzt ein Zeichen für den Mut und das Engagement der Arbeitnehmer und unterstreicht das Vertrauen und das Verantwortungsbewusstsein aller Beteiligten. Wir stellen Ihnen ein Hinweisgebersystem zur Verfügung, welches sowohl hohe Sicherheitsstandards als auch eine vertrauliche und zugleich datenschutzkonforme Datenverarbeitung bietet.

  • Branding & Mandantenfähigkeit

    Optionale Integration von Unternehmenslogo und den Farben der Corporate Identity. Je nach Bedarf eine gemeinsame Hintbox für mehrere Unternehmen oder die gemeinsame Fallbearbeitung mit mehreren Hintboxen.

  • Vordefinierte Workflows & Fristenmanagement

    Nachvollziehbare und einheitliche Definition von Bearbeitungsschritten. Integrierte Überwachung von Fristabläufen und Benachrichtigungen von Hinweisgebern und Sachbearbeitern.

  • Mehrsprachiges Onlineportal

    Verfügbarkeit des Online-Portals in 24 Sprachen mit automatischer Übersetzung der Kommunikation mit Hinweisgebern.

  • Isolierte Datenhaltung in Deutschland

    Betrieb der Hintbox als geschlossenes System mit echter und vollständiger Ende-zu-Ende Verschlüsselung und Trennung von anderen Hintboxen.

Ein interner Meldekanal, der als Online-Portal angeboten wird, muss zahlreichen technischen und rechtlichen Anforderungen genügen. Rechtliche Risiken durch den Einsatz von Softwareanbietern in Drittstaaten außerhalb der EU ohne angemessenes Datenschutzniveau waren ebenso zu vermeiden wie eine unzureichende Verschlüsselung der Inhalte des Hinweisgebersystems.

Unsere Wahl ist daher auf die Hintbox der lawcode GmbH gefallen. Neben der Gewährleistung höchster Sicherheitsstandards und einer echten Ende-zu-Ende Verschlüsselung bietet die Hintbox vor allem zahlreiche unterstützende Funktionen in der Fallbearbeitung und ein faires Preis-Leistungs-Verhältnis. Die mehrsprachige Benutzeroberfläche mit automatischer Übersetzung in bis zu 24 Sprachen ermöglicht zudem die Kommunikation mit Hinweisgebern ohne Sprachbarrieren.

Unsere Fallmanager sind im Bereich des Datenschutzes, der Informationssicherheit und des Compliance Managements qualifiziert und werden regelmäßig geschult – auch in Bezug auf die besonderen Anforderungen der EU-Whistleblower-Richtlinie.

Sie benötigen einen internen Meldekanal und Unterstützung bei der Bearbeitung von Meldungen? Gern erstellen wir Ihnen ein unverbindliches Angebot für unser digitales Hinweisgebersystem und die Tätigkeit als unabhängige Ombudsstelle.

Verfügbarkeit

Interner Meldekanal
inkl. Online-Portal und
24/7 Erreichbarkeit.

Vertraulichkeit

Ende-zu-Ende Verschlüsselung
und anonyme Meldungen
mit Kommunikation.

Zuverlässigkeit

Fristgerechte und
qualifizierte Fallbearbeitung
als unabhängige Ombudsstelle.

FAQ Hinweisgebersystem

Eine Pflicht zur Einrichtung von (anonymen) Meldewegen für Hinweisgeber kann je nach Branche bereits gesetzlich vorgeschrieben sein.

Mit der EU-Richtlinie 2019/1937 vom 23. Oktober 2019 wurden allerdings Regelungen geschaffen, die den Schutz von Hinweisgebern stärken und die Rahmenbedingungen für die Einrichtung von Meldekanälen sowie den Umgang mit Hinweisen durch Beschäftigte und Geschäftspartner festlegen. Die Mitgliedstaaten der EU hätten diese Richtlinie bis zum 17. Dezember 2021 in nationales Recht umsetzen müssen. Viele EU-Länder haben diese Frist allerdings verstreichen lassen – auch Deutschland hat das geplante Hinweisgeberschutzgesetz noch nicht verabschiedet.

Unternehmen sollten jedoch nicht auf die nationale Gesetzgebung warten, da die Vorgaben der EU-Richtlinie in jedem Fall (früher oder später) umgesetzt werden müssen. Wer mehr als 250 Personen beschäftigt, sollte umgehend die Einrichtung eines internen Meldekanals und den Schutz von Hinweisgebern gewährleisten. Juristische Personen mit 50 bis 249 Beschäftigten, wird von der EU-Richtlinie ein Übergangszeitraum bis 17. Dezember 2023 gewährt, es sei denn, die (zukünftige) nationale Gesetzgebung verlangt eine frühere Umsetzung.

Auf Grundlage der EU-Whistleblower Richtlinie müssen juristische Personen interne Meldekanäle einrichten, die es Beschäftigten und Geschäftspartnern (Kunden, Lieferanten) ermöglichen, Informationen über Rechtsverstöße mündlich oder schriftlich zu melden. Dies schließt z.B. eine telefonische Hotline oder Online-Portale ein.

Im Anschluss müssen diese internen Meldungen geprüft und je nach Ergebnis Folgemaßnahmen ergriffen werden. Meldekanäle können intern von einer hierfür benannten Person oder Abteilung betrieben oder extern von einem Dritten bereitgestellt werden.

Meldekanäle müssen so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und unbefugten Mitarbeitern der Zugriff darauf verwehrt wird.

Die Bearbeitung von Hinweisen, die über einen oder mehrere interne Kanäle gemeldet wurden, erfordert auch die Benennung einer unparteiischen Person oder Abteilung, die für die Folgemaßnahmen zuständig ist. Dies darf ausdrücklich dieselbe Person oder Abteilung sein, die Meldungen empfängt und mit Hinweisgebern kommuniziert.

Eine unabhängige Ombudsstelle wird durch einen externen Dritten betrieben, um sowohl für den Betrieb eines internen Meldekanals als auch für anschließende Folgemaßnahmen zuständig ist. Dabei sind bestimmte Berufsgruppen in Bezug auf die Verschwiegenheitspflicht und die Qualifikation besonders geeignet, z.B. Rechtsanwälte, externe Datenschutzbeauftragte oder Compliance Manager.

Wir sind als Beratungsunternehmen für Datenschutz, Informations- und IT-Sicherheit tätig und wurden von Unternehmen weltweit als externe Datenschutzbeauftragte benannt. Auf Grundlage der Qualifikation unserer Beschäftigten bieten wir die Tätigkeit als unabhängige Ombudsstelle an. Dies beinhaltet sowohl die Bereitstellung eines internen Meldekanals – in elektronischer (=schriftlicher) Form – als auch die fristgerechte Bearbeitung von Meldungen und Folgemaßnahmen.

Auf Anfrage sind aber auch individuelle Anpassungen möglich – von der Bereitstellung des Online-Meldeportals ohne Fallbearbeitung bis zur Einrichtung weiterer Meldekanäle (Präsenz, E-Mail, Telefon). Bitte sprechen Sie uns bei Bedarf an.

Als unabhängige Ombudsstelle gewährleisten wir sowohl die Entgegennahme von Hinweisen (interner Meldekanal) als auch die individuelle Fallbearbeitung. Dabei sind je nach Rechtsgebiet des Verstoßes unterschiedliche Workflows implementiert. In jedem Fall werden Hinweise durch uns evaluiert und Folgemaßnahmen an das betroffene Unternehmen empfohlen. Die Entscheidung über die Durchführung von bestimmten Maßnahmen (z.B. Meldung an Behörden, Strafanzeigen etc.) trifft allerdings immer die Geschäftsleitung.

Grundsätzlich stellen wir mit dem digitalen Hinweisgebersystem einen internen Meldekanal bereit. Selbstverständlich kann das betroffene Unternehmen parallel auch eigene Möglichkeiten für die Abgabe von Hinweisen bereitstellen (z.B. Intranet, Briefkasten). Auf Anfrage bieten wir zusätzliche Kommunikationsmöglichkeiten an, die in die Fallbearbeitung der Hintbox integriert werden können (z.B. telefonische oder persönliche Entgegennahme von Hinweisen).

Mit Beauftragung unseres digitalen Hinweisgebersystems sollten Sie Beschäftigte und Geschäftspartner über diesen internen Meldekanal und die Zuständigkeit der unabhängigen Ombudsstelle für Folgemaßnahmen informieren. Ideal sind kurze Beiträge auf der Website sowie im Intranet und in Newslettern, die einen Link zum Online-Portal bereitstellen.

FAQ Meldeportal

Als unabhängige Ombudsstelle betreibt die IBS data protection services and consulting GmbH das Online-Meldeportal sowohl als Telemedienanbieter im Sinne des § 5 Telemediengesetz und als Verantwortlicher im Sinne der DSGVO. Eine Beauftragung zur Einrichtung des internen Meldekanals sowie zur Bearbeitung von Meldungen und Folgemaßnahmen erfolgt als externer Dritter und somit nicht im Rahmen einer Auftragsverarbeitung.

Die lawcode GmbH wird im Rahmen der Bereitstellung der Hintbox wiederum von uns als Auftragsverarbeiter eingesetzt. Das Hosting der Hintbox erfolgt bei wiederum bei der Hetzner Online GmbH, die als Auftragsverarbeiter der lawcode GmbH tätig sind.

Weder die lawcode GmbH noch die Hetzner Online GmbH sind im Besitz der Schlüssel, sodass ein Zugriff auf die Inhalte der Hintbox ausgeschlossen ist.

Ja.

Es besteht die Möglichkeit des individuellen Brandings. Dabei können für jede Hintbox ein zusätzliches Logo (neben dem Logo der IBS data protection) sowie eine individuelle Bannergrafik und eine Wunschfarbe (Highlight, Button, Linktext, Rahmen) gewählt werden.

Die Rechtstexte werden von uns bereitgestellt, da wir Betreiber des Online-Portals sind. Eine Abstimmung der Texte auf der Startseite sowie in Bezug auf Formulierungen zum Unternehmen kann wiederum individuell erfolgen.

Ja.

Jede Hintbox ist über eine individuelle DNS-Adresse erreichbar, die sich aus einer frei wählbaren Subdomain und einer von mehreren verfügbaren Toplevel-Domains zusammensetzt. Somit ist das Online-Portal jederzeit öffentlich über das Internet als eigenständige Website erreichbar. Es besteht jedoch auch die Möglichkeit die Hintbox anschließend als iFrame in Ihre Website im Internet / Intranet einzubetten.

Jede Hintbox wird als vollständig geschlossener Container betrieben, sodass eine separate Datenhaltung und Trennung von anderen Hintboxen gewährleistet wird. Die Kommunikation zwischen dem Browser des Hinweisgebers / Fallbearbeiters und der Server ist mittels TLS (https) gesichert. Daten auf dem Server werden vollständig verschlüsselt, wobei die Schlüssel wiederum nur den an der Kommunikation beteiligten Parteien (Hinweisgeber und Benutzer der Hintbox) zur Verfügung stehen. Der Zugriff auf die Inhalte ist auch bei einer Beschlagnahme nicht möglich, ohne dass die IBS data protection den Zugriff gewährt. Zudem wird jeder Zugriff auf Informationen des Hinweisgebers und jeder Bearbeitungsschritt in der Hintbox protokolliert.

Jede Meldung, die über das Online-Portal abgegeben wird, ist ausschließlich in der Hintbox verfügbar. Durch die Ende-zu-Ende Verschlüsselung wird gewährleistet, dass zunächst nur zuständige Fallmanager der IBS data protection Zugriff auf die Kommunikation haben. Weder das betroffene Unternehmen noch die lawcode GmbH oder die Hetzner Online GmbH können die Daten des Hinweisgebers lesen. Je nach Zulässigkeit und Erforderlichkeit für die Bearbeitung der Meldung sowie die Ergreifung von Folgemaßnahmen können Daten des Hinweisgebers oder anderer beteiligter Personen an Dritte weitergegeben werden.

Ja.

Obwohl die EU-Richtlinie nicht vorsieht, dass juristische Personen die anonyme Meldung für Hinweisgeber ermöglichen, bietet die Hintbox diese Funktion an. Durch den Verzicht auf die Erfassung von IP-Adressen oder anderen Verbindungsdaten sowie die Entfernung von Metadaten bei Dateiuploads kann die echte Anonymisierung des Hinweisgebers gewährleistet werden. Die anschließende Kommunikation erfolgt über einen elektronischen Briefkasten, auf den nur der Hinweisgeber Zugriff hat. Je nach Einzelfall kann es allerdings erforderlich sein, dass der Hinweisgeber die Anonymität aufgibt, damit angemessene Folgemaßnahmen ergriffen werden können.

Für die technische Einrichtung einer Hintbox einschließlich der notwendigen Rechtstexte, des individuellen Brandings und eines Testlaufs benötigen wir aktuell 10 Werktage. Sollten für einen Konzernverbund mehrere Hintboxen erforderlich sein, verlängert sich die technische Einrichtung ab der zweiten Hintbox um jeweils 5 Werktage. Hinzu kommen noch die Zeiten für die vertraglichen Vereinbarungen und die Informationen über den internen Meldekanal auf Ihrer Seite (Website/Intranet o.ä.).

Haben Sie noch Fragen?

Wir helfen Ihnen gern weiter.