Obwohl Deutschland laut Transparency International zu den zehn vorbildlichsten Ländern in der Verhinderung von Korruption gehört, beläuft sich der volkswirtschaftliche Schaden durch illegale Absprachen hierzulande nach Angaben der Johannes-Kepler-Universität Linz auf mehr als 200 Milliarden Euro pro Jahr. Dabei geht die Wirkung der Whistleblower-Richtlinie weit über die großen Fälle von Betrug, Bestechung oder Veruntreuung hinaus.
Auch jedes andere unethische Verhalten, Datenschutzmängel und Datenschutzverstöße, Diskriminierung sowie Rechtsverletzungen können gemeldet werden. Für die Unternehmen ist dies nicht nur eine bürokratische und technische Herausforderung, sondern auch eine Möglichkeit ein Zeichen zu setzen. Ein proaktiver Umgang kann auch die Unternehmenskultur positiv beeinflussen.
Darüber hinaus ist eine funktionsfähige Meldestelle in der Lage, Anregungen für Optimierungspotenziale im Unternehmen aufzunehmen, im Falle von Datenschutzverstößen Geldbußen zu verhindern und Verstöße intern aufzuarbeiten, bevor sie öffentlich werden und dem Ruf schaden.
Hinweisgeberschutz: Neue Anforderungen an Unternehmen
Unternehmen mit einer Mitarbeiterzahl von über 250 Personen sind nun dazu verpflichtet, effektive Kommunikationswege über interne oder externe Ansprechpartner zu etablieren, um Verstößen nachzugehen. Mitte Dezember wird diese Anforderung auch auf kleine und mittelständische Unternehmen mit mehr als 50 Angestellten ausgeweitet und ist ebenso für Behörden und öffentlich-rechtliche Institutionen verpflichtend.
Das Gesetz sieht neben der Einrichtung eines Meldekanals auch die Ernennung und regelmäßige Schulung eines Meldestellenbeauftragten vor. Firmen, die sich nicht an die Vorschriften halten, müssen mit Geldbußen von bis zu 20.000 Euro rechnen.
Die vorrangigen Verpflichtungen, die jeder Entscheidungsträger im Auge behalten sollte, sind wie folgt: Erstens die Schaffung eines Meldekanals, über den Hinweisgeber sowohl schriftlich als auch mündlich Nachrichten und Daten übermitteln können. Dabei reicht die analoge Umsetzung selbst für kleine Unternehmen nicht aus. Bemächtigt sich jemand der Meldungen analog oder digital wird gegen die DSGVO verstoßen. Zweitens ist die Ernennung eines Meldestellenbeauftragten erforderlich, der angemessen geschult wird und dessen neue Rolle keine Interessenkonflikte hervorrufen darf.
Compliance im Blick: Tipps zur DSGVO-konformen Umsetzung
Unternehmen sollten sogar einen Schritt weitergehen, als nur einen Meldekanal einzurichten und einen Meldestellenbeauftragten zu benennen. Im Zuge der Etablierung neuer Prozesse können IT-Verantwortliche das bestehende Datenmanagement weitergehend überdenken und modernisieren. Dabei stellt sich die Frage, an welchen anderen Stellen im Unternehmen sensible Daten genutzt, versendet und gespeichert werden. Es ist von Bedeutung, strengere Prozesse zu etablieren, die über den Rahmen eines herkömmlichen E-Mail-Postfachs hinausgehen. Dies ist entscheidend, um Informationen effizient und sicher zu handhaben.
Eine Lösung für viele Herausforderungen des DSGVO-konformen Umgangs mit Daten ist die Ende-zu-Ende-Verschlüsselung (E2EE). Sie wird oftmals als Goldstandard für sichere Kommunikation bezeichnet und kann mit Softwarelösungen über das ganze Unternehmen hinweg implementiert werden. Mit ihr werden Nachrichten verschlüsselt, bevor sie gesendet werden und erst dann entschlüsselt, wenn sie auf dem Gerät des Empfängers angekommen sind. Das bedeutet, dass niemand zwischen diesen beiden Endpunkten die Daten lesen oder bearbeiten kann. Dies ist insbesondere für die sichere Kommunikation mit Whistleblowern von Bedeutung.
Inzwischen gibt es verschiedene, kostspielige und für spezialisierte Anwendungen konzipierte Lösungen. Inwiefern der Einsatz dieser Software zur Einhaltung der gesetzlichen Vorschriften sinnvoll ist, sollten IT-Verantwortliche jedoch hinterfragen. Ganzheitliche Lösungen, wie Tresorit, die für sicheren Dateiaustausch innerhalb des Unternehmens und mit externen Partnern entwickelt wurden, bieten ein vergleichbares Schutzniveau.
Zudem verfügen sie über Vielzahl weiterer nützlicher Funktionen für den alltäglichen Betrieb, was sowohl die Nutzerfreundlichkeit für Mitarbeiter als auch den Sicherheitsaspekt verbessert. Durch die Implementierung von Lösungen, die auf dem Prinzip „Privacy by Design“ basieren, haben Unternehmen die Möglichkeit, ihre Datenflüsse so zu gestalten, dass die Vertraulichkeit und die DSGVO-konforme Verarbeitung personenbezogener Informationen gewährleistet sind. Die unternehmensweite Einführung von Ende-zu-Ende-Verschlüsselung ermöglicht es Firmen, unabhängig von zukünftigen Veränderungen der Rechtslage zu agieren.
In diesem Zusammenhang sollten IT-Administratoren in Erwägung ziehen, ob der Einsatz einer spezialisierten Lösung zur internen Umsetzung der gesetzlichen Vorgaben die geeignete Herangehensweise darstellt. Je vielfältiger die im Unternehmen eingesetzten Lösungen, desto größer ist das Risiko eines Datenverlusts beim Wechsel zwischen verschiedenen Programmen.
Bei der Aufsetzung eines funktionierenden Meldekanals sollten folgende Punkte stets bedacht werden: Interne und externe Ansprechpartner sollen ohne die Installation von separater Software eine Meldung abgeben können. Sensible Daten müssen hochsicher und DSGVO-konform gesichert werden, also beispielsweise nicht auf in den USA gehosteten Servern. Das ermöglicht auch ein Speichern in der Cloud. Der Meldestellenverantwortliche sollte die Kontrolle über die Übertragung haben sowie über die abliegenden Daten. Die Kontrolle erstreckt sich außerdem auf die Nutzungsberechtigungen. Nur bestimmte Personen haben Zugriff und können die Dateien einsehen, was auch die Weitergabe an offizielle Meldestellen vereinfacht.
Um zudem zu gewährleisten, dass Mitarbeiter die Meldestelle im Unternehmen annehmen, hat neben Privatsphäre auch die Nutzerfreundlichkeit Priorität. Neben dem unkomplizierten Aufsetzen durch die IT-Verantwortlichen ist auch der hohe Bedienkomfort für Nutzer wichtig. Um eine einfache Anwendung zu gewährleisten, sollten Nutzer beispielsweise unterschiedliche Dateiformate und große Datenmengen hochgeladen können.
Effektiver Hinweisgeberschutz
Eine effektive Meldestelle verhindert finanzielle Verluste und Imageschäden. Bei der Umsetzung sollten Entscheidungsträger und IT-Administratoren darauf achten, eine nutzerfreundliche und skalierbare Lösung für einen hochsicheren Datenaustausch über Unternehmensgrenzen hinweg zu etablieren. Die Nutzung von Ende-zu-Ende-Verschlüsselung bietet eine Antwort auf die grundlegenden Herausforderungen der datenschutz-konformen Umsetzung.
Für Whistleblower ist von zentraler Bedeutung, dass sie keine Bedenken haben müssen, dass ihre Meldung nachteilige Folgen für sie haben könnte. Durch eine konsequente Verschlüsselung und klare Definition der Zugriffsrechte wird dies sichergestellt. Auf diese Weise können Unternehmen von frühzeitigen Meldungen von Verstößen sowie Hinweisen auf Verbesserungspotenziale profitieren und sind gleichzeitig vor möglichen Bußgeldern geschützt.
Autor Szilveszter Szebeni ist Mitbegründer von Tresorit und Fachmann für Informationssicherheit und Kryptografie.