HINTERGRUND deln . Darüber hinaus gibt es offizielle Institutionen , an die man entsprechende Hinweise geben kann , z . B . das Bundesamt für Finanzdienstleistungen ( BaFin ), das dafür zuständig ist , das Fehlverhalten innerhalb des Finanzsektors aufzudecken („ Hinweisgeberstelle BaFin “).
Anonymität gewährleisten
Eines – nein – wohl das Entscheidende beim Meldewesen ist , dass die Anonymität der Meldung und des Meldenden zu jedem Zeitpunkt gewährleistet bleibt . Hier kommt dann der Datenschutz ins Spiel . Internen Lösungen haftet per se der Makel an , nicht wirklich anonym zu sein , da über die internen Systeme eine Rückverfolgung auf den Hinweisgeber möglich erscheint . Bei einer externen Whistleblowing-Hotline ergibt sich die Anonymität über die Distanz . Bei Stellen wie dem Datenschutzbeauftragten hängt das Vertrauen sehr von der Person ab , obwohl diese in der Regel zur Verschwiegenheit gegenüber der Geschäftsleitung verpflichtet ist und keine Namen nennen darf , der Datenschutzbeauftragte ist beispielsweise gesetzlich verpflichtet .
Eine externe Lösung bietet – gefühlt – mehr Anonymität und – tatsächlich – weniger Aufwand . Wenn man also als Unternehmen eine externe Lösung präferiert , sollte man neben der 100prozentigen Anonymität noch andere wesentliche Datenschutzanforderungen beherzigen .
Viele der Anbieter von Whistleblowing- Systemen übermitteln und speichern ihre Daten in unsicheren Drittländern wie den USA , was spätestens nach dem Urteil des Europäischen Gerichtshofs ( EuGH ) zu „ Schrems II “ ( 07 / 2020 ) durch viele Aufsichtsbehörden als sehr kritisch angesehen wird . Daher sollten die Rechenzentren der Anbieter ( auch die Fall-back- oder Restore-Server ) in der EU oder in einem Staat , der ein angemessenes Datenschutzniveau bietet , betrieben werden . Die Übermittlung in die USA ist aber nicht nur aus Datenschutzsicht kritisch . Gerade als Unternehmer sollte man nicht riskieren , dass die USA Informationen über Missstände erfahren , die sie für eigene Interessen ihrer Unternehmen nutzen können .
Verschlüsselte Kommunikation
Wichtig ist die verschlüsselte sowie sichere Kommunikation mit dem Hinweisgeber . Es hilft nichts , wenn der Hinweisgeber anonym meldet und danach ( z . B . bei Nachfragen ) sofort erkennbar wird . Die Kommunikation sollte End-to-End verschlüsselt sein , also vom Schreiben bis zum Öffnen der Nachricht . Eine Zwei-Faktor- Authentisierung sollte ebenfalls ein „ Muss “ sein . Die Zwei-Faktor-Authentisierung bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten („ Faktoren “), wie z . B . eine vom System vorgegebene PIN- Nummer und ein vom Hinweisgeber selbst festgelegtes Passwort .
In der EU-Richtlinie sind zudem Sanktionen vorgesehen . So müssen Unternehmen mit empfindlichen Strafen rechnen , die das Melden von Missständen behindern oder zu behindern versuchen ( dazu gehört auch ein nicht effektives Meldesystem ). Gleiches gilt , wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln . Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden . Wie hoch diese Sanktionen ausfallen werden , kann derzeit noch nicht gesagt werden . Aber die Höhe der Sanktionen aus der EU-Datenschutzgrundverordnung zeigen , dass die europäische Union Unternehmen bei Compliance-Verstößen empfindlich treffen will .
Bis Dezember muss auf jeden Fall ein effektives Meldesystem implementiert sein . Man sollte das Thema also jetzt angehen .
Für Rückfragen oder weitere Informationen wenden Sie sich gerne an die Autoren dieses Beitrages .
Stepahnie Iraschko-Luscher und Christian Huth
Stephanie Iraschko-Luscher CCM Vorsitzende des AK Datenschutz des BvCM
kanzlei @ kanzlei-iraschko-luscher . de
Christian Huth stv . Vorsitzender
AK Datenschtz des BvCM
c . huth @ compliance-factory . com
19