• Whistleblowerhotline und IT

    Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat. Auch die IT Abteilung muss außen vor sein.

    BildAutorin & Juristin Nicole Biermann-Wehmeyer – Expertin für Compliance Themen

    Whistleblowerhotline und IT
    Die Richtlinie umfasst folgende Anforderungen an die digitale Umsetzung:

    Einrichtung von Kanälen und Verfahren für interne Meldungen und Folgemaßnahmen
    Möglichkeit zur schriftlichen und mündlichen Meldung
    Schutz der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden
    Empfangsbestätigung an den Hinweisgeber innerhalb von sieben Tagen
    Rückmeldung an den Hinweisgeber innerhalb von drei Monaten
    Dokumentation aller eingehenden Meldungen
    Maßnahmen, um jede Form von Repressalien gegen den Hinweisgeber zu verhindern (etwa Einschüchterung, Rufschädigung oder fristlose Kündigung)
    Erfordernisse in der digitalen Umsetzung
    Welche Erforderlichkeiten gibt es nun für die digitale Umsetzung. Ich habe einige wichtige Punkte zusammengestellt:

    Eindeutige Meldewege
    Aufklärung und Handreichung über Möglichkeiten und Grenzen
    Sicherer Kommunikationsweg
    Eingangsbestätigung
    Rückmeldung
    „Sicheres Postfach“
    Das Postfach wird bei Meldung erstellt und ist z.B. nur über einen generierten Code abrufbar
    Dokumentation aller eingegangenen Meldung
    In allen Schritten gilt, dass Vertraulichkeit und Schutz gewährleistet werden müssen. Gerade in der heutigen Zeit ist der Datenschutz extrem wichtig.

    Erfordernisse und Anforderungen
    Es reicht aus, eine Meldestelle konzernweit einzurichten. Das HinSchG erlaubt mit dem sog. „Konzernprivileg“ konzernweite Meldestellen. Danach kann die interne Meldestelle eines Unternehmens auch innerhalb eines Konzerns zentral bei einer Konzerngesellschaft eine unabhängige und vertrauliche Stelle als Dritter im Sinne des § 14 Absatz 1 HinSchG angesiedelt werden. Dabei ist es notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß weiterzuverfolgen und zu beheben, immer bei dem jeweiligen beauftragenden Konzernunternehmen verbleibt. Für hinweisgebende Personen muss ein leichter Zugang gewährleistet (z.B. keine sprachlichen Barrieren) sein.

    Der Scope in der digitalen Umsetzung : Usability und Zugänglichkeit des Systems

    Unternehmen sollten intensiv ein einfach zu nutzendes, internes Hinweisgebersystem unterstützen, um möglichst starke Anreize zu setzen, dass das interne Hinweisgebersystem vorrangig genutzt wird und somit ein externer Hinweis möglichst unterbleibt.

    Die Unternehmen sollten dafür den Beschäftigten klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens an die Hand geben. Die Möglichkeit einer externen Meldung darf hierdurch jedoch nicht beschränkt oder erschwert werden.

    Vertraulichkeit & Dokumentation
    Wie sieht es nun mit der Vertraulichkeit und Beschränkung von Nutzern aus?
    Die eigene IT Abteilung muss von den Informationen abgeschirmt sein – da sie in der Regel nicht die zuständige Stelle zur Bearbeitung der Meldungen ist. Einzig die zur Bearbeitung der Meldungen zuständige Stelle darf Inhalte einsehen

    Wie sieht es mit der Dokumentation im System aus?
    Die in einer Meldestelle für die Entgegengenahme von Meldungen zuständige Stelle, dokumentiert alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebotes. Erfolgt die Meldung über das Telefon oder über eine andere Art der Sprachübermittlung, darf eine brauchbare Tonaufzeichnung des Gespräches nur mit der Einwilligung der hinweisgebenden Person erfolgen. Die Dokumentation ist drei Jahre nach Abschluss des Verfahrens zu löschen.

    Anforderungen an das IT-System
    Welche Anforderungen werden nun an die Datensicherheit gestellt.

    Folgende Maßnahmen fallen unter den Begriff: „Geeignete technische Sicherheitsmaßnahmen“

    Schutz vor maschinellen Angriffen
    Erstellung und Zugang zum sicheren Postfach
    Einsichtnahme nur durch Hinweisgeber
    Beschränkung von Nutzerzugängen
    Kein Zugriff der Betreibenden Personen des Systems
    Alleiniger inhaltlicher Zugriff zuständige Meldestelle
    Verschlüsselung der Falldaten
    Übermittlungssicherheit (via SSL / EtoE)
    Serverstandort (und z.B. ISO 27001 für den Hostingbetreiber)
    Praktische Umsetzung – Whistleblowerhotline und IT
    Die Vertraulichkeit der Meldungen ist digital abbildbar.
    Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat.
    Da alle Meldungen von Verstößen dokumentiert und Folgemaßnahmen ergriffen werden müssen, sollte jede Meldung abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.

    Internationale bzw. globale Unternehmen sollten auf eine orts- und zeitunabhängige Hinweisabgabe achten

    Bei der Umsetzung des internen Meldekanals sollte darauf geachtet werden, dass die für die Bearbeitung der Meldungen zuständigen Mitarbeitenden speziell geschult und auch mit den geltenden Datenschutzvorschriften vertraut sind, damit sie die Meldungen effizient bearbeiten und die Kommunikation mit den Hinweisgebenden sowie geeignete Folgemaßnahmen einleiten können.

    Welche Maßnahmen sind zu empfehlen?
    Binden Sie bereits in die Onboarding Prozesse Compliance und Datenschutz Schulungen sowie eine Aufklärung zur Whistleblowerhotline mit ein.

    Evaluieren Sie Ihr Compliance Management System durch regelmäßige Risikoanalysen und Anpassungen. Auch an dieser Stelle sollten die Ergebnisse der Whistleblowerhotline integriert werden.

    Sorgen Sie für ein Handbuch, welches für jeden Mitarbeitenden zugänglich ist!

    Veröffentlichen Sie regelmäßig Compliance Hinweise im Intranet!

    Veranstalten Sie regelmäßige Schulungen und E-Learnings!

    Ich stehe für Beratungen zur Verfügung.

    Viel Erfolg!

    Verantwortlicher für diese Pressemitteilung:

    Bildungsinstitut Wirtschaft
    Frau Nicole Biermann-Wehmeyer
    Up de Welle 17
    46399 Bocholt
    Deutschland

    fon ..: 02871-239508-8
    web ..: https://bildungsinstitut-wirtschaft.de
    email : info@bildungsinstitut-wirtschaft.de

    Bildungsinstitut Wirtschaft – Bundesweite Inhouse Seminare –

    Das Bildungsinstitut Wirtschaft ist spezialisiert auf praxisnahe Fortbildungen in den Bereichen

    o Kommunikation im Team, Schulungen Resilienz, Gesunde Führung, Führung auf Distanz
    o Verkaufstraining
    o Telefontraining
    o Business Knigge
    o Social Media
    o Digitalisierung
    o Compliance
    o Datenschutz
    o Zeitmanagement
    o Ereignismanagement

    Die Themen werden in modernen Präsentationen für die Kunden vorbereitet und praxisnah und lebendig in Workshops an die Teilnehmer/innen weitergegeben.

    Die Präsentationen werden den Teilnehmern in digitaler Form zur Verfügung gestellt.
    info@bildungsinistut-wirtschaft.de
    www.bildungsinstitut-wirtschaft.de

    Inhaberin:
    Juristin Nicole Biermann-Wehmeyer

    „Sie können diese Pressemitteilung – auch in geänderter oder gekürzter Form – mit Quelllink auf unsere Homepage auf Ihrer Webseite kostenlos verwenden.“

    Pressekontakt:

    Bildungsinstitut Wirtschaft
    Frau Nicole Biermann-Wehmeyer
    Up de Welle 17
    46399 Bocholt

    fon ..: 028712395078
    web ..: https://bildungsinstitut-wirtschaft.de
    email : info@bildungsinstitut-wirtschaft.de


    Disclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.

    Categories: Allgemein

    Comments are currently closed.