Die EU-Richtlinie zum Schutz von Whistleblowern ist 2019 in Kraft getreten, bis 2021 hätten die Mitgliedsstaaten den Bestimmungen nachkommen sollen. Doch wie sich die dazugehörigen Anforderungen effizient erfüllen lassen, ist in Deutschland bis heute nicht geregelt. Der nötige Gesetzesentwurf ist vor Kurzem im Bundesrat durchgefallen. Um dennoch Klarheit zu schaffen, lohnt ein Blick in Anforderungen und Prozesse.

Was müssen Organisationen implementieren – und bis wann? Welche Hinweise und Personengruppen sind vom Hinweisgeberschutzgesetz betroffen? Für Unternehmen besteht – ungeachtet ihrer Größe –dringender Handlungsbedarf. Übergeordnetes Ziel sollte sein, schnellstmöglich Strukturen zu schaffen, die Hinweisgebern ermöglicht, Rechtsverstöße frühzeitig zu melden.

So lassen sich nicht nur Bußgelder vermeiden, sondern auch rufschädigende Konsequenzen und beachtliche finanzielle Schäden. Ein klassischer Betrugsfall etwa dauert laut des aktuellen Berichts der Association of Certified Fraud Examiners zwölf Monate, bevor er aufgedeckt wird. Den durchschnittlichen Schaden beziffert die Vereinigung auf rund 111.000 Euro.

Hinweisgeberschutzgesetz einhalten – aber wie?

Das Hinweisgeberschutzgesetz sieht vor, die Hürden für Verstoßmeldungen abzubauen. Es gilt, negativen Konsequenzen für alle Personen vorzubeugen, die Hinweise geben oder Subjekt der Meldung sind. Den DSGVO-konformen Umgang mit personenbezogenen Daten müssen Organisationen dabei zu jedem Zeitpunkt gewährleisten.

Hier sind die wichtigsten Details und Anforderungen für Unternehmen im Überblick:

• Jedes Unternehmen mit mindestens 50 Mitarbeitern ist künftig verpflichtet, die Vorgaben des Gesetzes umzusetzen
• In einer Übergangsphase bis zum 17. Dezember 2023 sind nur Unternehmen mit mehr als 250 Mitarbeitern betroffen
• Unternehmen brauchen einen Meldekanal, über den Hinweisgeber schriftlich oder mündlich (Voice-Message/Aufnahme) Nachrichten und Daten senden können
• Benennung und Schulung eines Meldestellenbeauftragten, der dadurch nicht in einen Interessenkonflikt kommen darf
• Vertraulichkeit und DSGVO-konforme Behandlung personenbezogener Daten wahren
• Voraussichtlich werden bei Missachtung Bußgelder in Höhe von 20.000 Euro fällig, falls drei Monate nach Inkrafttreten des Gesetzes keine Meldestelle eingerichtet wurde

Doch Unternehmen sollten noch einen Schritt weitergehen, als nur einen Meldekanal einzurichten und einen Meldestellenbeauftragten zu benennen. Denn klar ist auch, dass in Zukunft mehr Hinweise eingehen werden als in der Vergangenheit – auch weil dies jetzt auch anonym möglich ist. Stringente Prozesse, die über ein E-Mail-Postfach hinausgehen, sind essenziell, um effizient und sicher mit Informationen umzugehen.

Mit Tresorit Whistleblowing-Richtlinie umsetzen

Technisch lässt sich die Whistleblowing-Richtlinie unter anderem mit Tresorit umsetzen, genauer mithilfe der bereits erprobten Funktion Dateianforderung. Wie genau funktioniert die Lösung für den Hinweisgeberschutz?

Vorab: Tresorit muss dafür nicht flächendeckend im Unternehmen im Einsatz sein. Alle Daten sind hochsicher sowie DSGVO-konform mit Zero-Knowledge-Verschlüsselung in der Cloud verwahrt, nur der Meldestellenverantwortliche behält die Kontrolle über die Datenübertragung. Er sendet den Link zur Dateianforderung an die Mitarbeiter, diese können damit entweder über eine anonyme private oder geschäftliche E-Mail-Adresse den Hinweis in den Ordner des Meldestellenverantwortlichen speichern. So kann dieser Dateien von beliebigen Personen empfangen und sammeln. Die Kontrolle erstreckt sich außerdem auf die Berechtigungen. Nur bestimmte Personen haben Zugriff auf den Zielordner und können die Dateien einsehen, was die Weitergabe an offizielle Meldestellen vereinfacht. Somit ermöglicht Tresorit Organisationen jeglicher Größe maximale Vertraulichkeit in der Kommunikation und Einhaltung der Whistleblowing-Richtlinie.

Um zudem zu gewährleisten, dass Mitarbeiter die Meldestelle im Unternehmen annehmen, hat neben Privatsphäre auch die Nutzerfreundlichkeit Priorität. Neben dem unkomplizierten Aufsetzen durch die IT-Administratoren ist auch der hohe Bedienkomfort für Nutzer wichtig. Da das Erstellen von Links und der Datenversand über Tresorit sekundenschnell funktioniert, wird die Lösung schnell Routine und nicht über Schatten-IT-Anwendungen umgangen. Auch bei Dateiformaten sind dem Nutzer kaum Grenzen gesetzt: Mithilfe einer Dateianforderung kann er bis zu 100 Daten und 5 GB auf einmal hochladen.

Schnell handeln, Schäden proaktiv vermeiden

Das Hinweisgeberschutzgesetzt wird früher oder später auch in Deutschland in nationales Recht überführt. Entscheider sollten proaktiv handeln und jetzt die nötigen Schritte einleiten. Eine interne Meldestelle, die effizient funktioniert, schützt vor finanziellen und Rufschäden.

Tresorit liefert Entscheidern, IT-Admins und Mitarbeitern außerdem eine nutzerfreundliche wie skalierbare Lösung für hochsicheren Datenaustausch über Firmengrenzen hinaus. Entscheidend für Whistleblower ist, dass sie sich keine Gedanken darüber machen müssen, ob ihre Meldung für sie negative Konsequenzen haben könnte. Ende-zu-Ende-verschlüsselt und durch klare Zugriffsrechte gesichert, ist genau das garantiert. Informationen bleiben stets vertraulich.

Weitere Informationen zum Thema finden Sie in diesem Beitrag von “Das Investment”. Er stammt von Szilveszter Szebeni, dem Informationssicherheits-Beauftragten von Tresorit.