Fachlösung | compliance SUITE Hinweisgeberschutz und
HinSchG-Anforderungen
digital lösen.
Demo anfordern Beratungstermin vereinbaren

Das Hinweisgebersystem von otris software – einfach umsetzen und sicher betreiben

otris whistleblower unterstützt Unternehmen und Organisationen bei einer unkomplizierten Umsetzung der EU-Whistleblower-Richtlinie bzw. des deutschen Hinweisgeberschutzgesetzes. Die Softwarelösung generiert den geforderten Hinweisgeberschutz durch einen anonymen Meldekanal. Sicher und datenschutzkonform.

Ihr Produktnutzen

  • Sicheres System
  • Schnell einsetzbar
  • Kontrollierte Fristen
  • Leicht skalierbar

Die gesetzlichen Regelungen zum Hinweisgeberschutz betreffen einen bedeutenden Teil von Wirtschaft und Verwaltung: Unternehmen ab 250 Mitarbeitenden  sowie öffentliche Einrichtungen müssen Meldekanäle zur Verfügung stellen, die die Vertraulichkeit der Identität von Hinweisgebern sicherstellt. Seit dem 17.12.2023 fallen auch Organisationen mit mehr als 50 Mitarbeitenden unter die Vorschrift. Die gesetzeskonforme Umsetzung der Bestimmungen steht für viele Unternehmen im Mittelpunkt. Doch auch unabhängig von den gesetzlichen Anforderungen lohnt sich ein effizienter Hinweisgeberschutz: Ein sicheres, anonymes System motiviert potenzielle Hinweisgeber, wertvolle Informationen an den internen anstatt einen externen Kanal zu melden. Das gibt dem Unternehmen / der Organisation die Möglichkeit, Missstände frühzeitig zu beheben und eine Meldung an extern (Behörde / Presse) zu verhindern.

otris software ist Anbieter eines Hinweisgebersystems, das Unternehmen eine sichere, unkomplizierte Umsetzung der Richtlinie ermöglicht. Die Whistleblowing Software schützt die Identität von Hinweisgebern über einen technisch abgesicherten Kommunikationsweg: Hinweisgeber und Hinweisempfänger kommunizieren über eine webbasierte Meldeplattform, die alle ausgetauschten Daten verschlüsselt. Der Hinweisgeber kann wählen, ob er anonym meldet oder seine Kontaktdaten hinterlässt. Die Software vereinfacht zusätzlich den Prüfprozess und beschleunigt die Fall-Bearbeitung.

Anonyme Kommunikation und effiziente Fallbearbeitung

Welche Produkt-Edition passt zu Ihren Anforderungen?

Unsere drei Produkt-Editionen haben eine Gemeinsamkeit: Sie erfüllen dieselben hohen Anforderungen an IT-Sicherheit und Datenschutz. Welche Edition zu Ihrem Bedarf passt, ist von mehreren Faktoren abhängig – dazu zählen Unternehmensgröße, Hinweisaufkommen oder Gesellschaftsstruktur. Wir beraten Sie gerne. In einem persönlichen Gespräch, per E-Mail oder durch eine Produktpräsentation.

VARIANTEN

Unsere beiden Produkt-Editionen haben eine Gemeinsamkeit: Sie erfüllen dieselben hohen Anforderungen an IT-Sicherheit und Datenschutz. Welche Edition zu Ihrem Bedarf passt, ist von mehreren Faktoren abhängig – dazu zählen Unternehmensgröße, Hinweisaufkommen oder Gesellschaftsstruktur.

Wir beraten Sie gerne. In einem persönlichen Gespräch, per E-Mail oder durch eine Produktpräsentation.

HINWEISGEBERSYSTEM plus

System plus Service: Gesamtprozess auslagern an otris-Compliance-Kooperationspartner

Mit unserem „Rundum-Sorglos-Paket“ lagern Sie den gesamten Hinweisgeber-Prozess an unsere Kooperationspartner aus. Von der Einführung des otris-Hinweisgebersystems bis zur konkreten Fallbeurteilung und -bearbeitung übernehmen die Kooperationspartner alle anfallenden Aufgaben. Richtlinien- und DSGVO-konform.

Die otris-Kooperationspartner sind Compliance-Experten und unterliegen als Rechtsanwälte der Verschwiegenheitspflicht.

Jetzt informieren
„Die Implementierung ging wirklich schnell und problemlos. Die Zusammenarbeit mit otris ist unkompliziert und pflegeleicht.“

Michael Meyer-Schwickerath
Syndikusanwalt und Compliancebeauftragter in der KÖTTER Unternehmensgruppe

Merkmale, die unser Hinweisgebersystem auszeichnen

otris ist etablierter Anbieter von Compliance-Software. Alle otris-Lösungen kombinieren leichte Handhabung mit hohen Standards bei Datensicherheit und Datenschutz. Anpassungen des Systems an unternehmensspezifische Vorgaben sind unkompliziert umsetzbar.

otris compliance SUITE - Datensicherheit

Sicherheit
otris whistleblower erfüllt höchste Datensicherheitsstandards: Hochsicherheitsrechenzentren in Deutschland, die nach ISO 27001 zertifiziert sind, moderne Verschlüsselungsalgorithmen und DSGVO-Konformität sowie wiederkehrende IT-Sicherheitsprüfungen und Penetrationstests.

otris compliance SUITE - Icon Flexibel und anpassbar

Anpassbarkeit
Das otris-Hinweisgebersystem steht Ihnen nach der Installation ohne weitere Anpassungen sofort zur Verfügung, ist jedoch zugleich sehr flexibel. Sie können beispielsweise das Hinweis-Formular der otris-Meldeplattform oder den Bearbeitungsprozess im Case-Management individuell nach Ihren Wünschen gestalten. Eine Koppelung zu bereits bestehenden Systemen ist möglich.

otris compliance SUITE - Reporting

Dashboard und Reports
Das integrierte Dashboard sowie Echtzeit-Statistiken erleichtern Ihr Compliance-Reporting. Hierbei können sowohl übersichtliche Reports für einzelne Hinweise als auch grafische Auswertungen für ein bestimmtes Portfolio erstellt werden; z.B. Auswertungen hinsichtlich Thema, Status und Relevanz der eingehenden Hinweise.

Welchen Nutzen hat ein digitales Hinweisgebersystem?

Ohne Hinweise aus der Belegschaft ist es nahezu unmöglich, grobes Fehlverhalten aufzudecken, da Regelmissachtung häufig mit Verschleierung einhergeht. Potenzielle Hinweisgeber fürchten jedoch Nachteile durch die Preisgabe ihrer Informationen und Identität. Das otris whistleblower bietet Whistleblowern einen Meldekanal, der anonyme Kommunikation garantiert und dadurch die Identität schützt.

Hinweise helfen
Regelverstöße einzelner Mitarbeiter können schwerwiegende, geschäftsschädigende Auswirkungen und rechtliche Konsequenzen für Ihr Unternehmen nach sich ziehen. Im Worst Case stehen Reputation, finanzielle Stabilität sowie die Arbeitsplatzsicherheit der gesamten Belegschaft auf dem Spiel. Frühe Hinweise Ihrer Mitarbeiter oder von externen Personen über Regelverstöße helfen Ihnen dabei, rechtzeitig Maßnahmen zur Schadensbegrenzung umzusetzen. Ihr Unternehmen kann aus Regelverstößen lernen und interne Unternehmensprozesse und -strukturen weiter optimieren. Mitarbeiter zu Preisgabe von Hinweisen an eine interne Stelle zu motivieren, ist daher eine sinnvolle Komponente der unternehmensweiten Compliance-Strategie.

Motivation generieren
Potenzielle Hinweisgeber fürchten Nachteile, wenn sie Hinweise öffentlich abgeben. Sie gefährden das gute Verhältnis zu Kollegen, ihre beruflichen Entwicklungschancen, und im Extremfall sogar die psychische und körperliche Gesundheit. Fallen diese Risiken weg, steigt die Motivation, schwere Regelverstöße zu melden. Die zuverlässigste Möglichkeit, Risiken für den Hinweisgeber zu minimieren, ist, seine Anonymität sicherzustellen. Schon aus Eigeninteresse (um Zugang zu vertraulichen Informationen zu erhalten) sollten Compliance-Verantwortliche daher sichere Meldekanäle bereitstellen, über die Hinweisgeber anonym Informationen preisgeben. Beim otris-Hinweisgebersystem entscheidet der Hinweisgeber selbst, ob er anonym bleiben oder seine Identität bewusst mitteilen möchte.

„Wir sind mit der Betreuung durch die otris software AG äußerst zufrieden. Unsere Ansprechpartner sind jederzeit erreichbar und Änderungswünsche werden kompetent und schnell umgesetzt.“

Dr. Monika Glogger
Rechtsanwältin (Syndikusrechtsanwältin) und Compliance Officer GROB-Werke GmbH & Co. KG

Optimieren Sie Ihre Compliance mit dem otris-Hinweisgebersystem

Um ein Hinweisgebersystem einzurichten, das die gesetzlichen Anforderungen erfüllt, muss es die Vertraulichkeit der Identität des Hinweisgebers sicherstellen. Auf technischer Ebene gewährleistet die otris-Meldeplattform Identitätsschutz durch den externen Betrieb und verschlüsselte Kommunikation.

Meldeplattform
Je sicherer ein Whistleblower/Hinweisgeber das System einschätzt, desto eher ist er zur Preisgabe seiner Information bereit. Über die otris-Meldeplattform sendet er seine Nachricht hochverschlüsselt an den Hinweisempfänger. Die Anonymität stellt das System sicher – egal ob der Hinweis aus dem internen Firmennetzwerk gesendet wird oder von einer externen Person. Mithilfe einer automatisch generierten ID kann der Whistleblower über ein anonymes Postfach mit dem Hinweisempfänger (z.B. Compliance-Verantwortlicher) kommunizieren.

Die otris software AG, als neutrale Instanz, betreibt die Meldeplattform in der Cloud und garantiert Identitätsschutz auf technischer Ebene. Sämtliche Inhalte, die Hinweisgeber und Hinweisempfänger austauschen, werden durch die Meldeplattform hochverschlüsselt. Neben dem Identitätsschutz erfüllt das otris-Hinweisgebersystem die gesetzlichen Vorgaben zum Datenschutz und zur Datensicherheit.

Das otris-Hinweisgebersystem erfüllt nicht nur die Standards des HinSchG, sondern kann darüber hinaus auch als Beschwerdemanagement-System nach LkSG-Vorgaben eingesetzt werden.

Case-Management
Ergänzend zur Meldeplattform beinhaltet das otris-Hinweisgebersystem ein flexibel konfigurierbares Case Management, mit dem Sie die Meldungen dokumentieren, bewerten und konsequent weiterverfolgen. Laut EU-Hinweisgeberschutz-Richtlinie 2019/1937 soll für jede Meldung spätestens nach 7 Tagen eine Eingangsbestätigung und spätestens nach 3 Monaten eine Rückmeldung beim Hinweisgeber eingegangen sein. Das System sendet Warnungen an den Bearbeiter, falls für einen offenen Fall eine Frist ansteht.
Ihr Compliance-Team kommuniziert ausgehend vom Case Management mit dem Hinweisgeber, um Stichhaltigkeit und Relevanz des Hinweises zu prüfen. Das Case Management System leitet die Nachricht an die Meldeplattform weiter, auf die der Hinweisgeber anonym zugreift. Sie als Betreiber des Case Managements entscheiden, ob das System On-Premises (in Ihrem Unternehmen) oder in der Cloud betrieben wird. Im Gegensatz zum Case Management System gibt es bei der Meldeplattform keine Auswahlmöglichkeit: Die Meldeplattform wird immer durch die otris software AG als neutrale Instanz in der Cloud betrieben, um Anonymität und Identitätsschutz des Hinweisgebers technisch sicherzustellen.

Events

Live-Webcasts | Anmelden und kostenlos teilnehmen!

Zur Anmeldung

Webcast | Hinweisgebersystem

Webcast | Hinweisgebersystem – Hinweise melden, Vorfälle managen mit otris software

Termine: 12.12. | 07.01. | 28.01.
Jetzt kostenlos anmelden!

Zur Anmeldung

Webcast | Richtlinienmanagement

Webcast | Richtlinien erstellen und verteilen mit otris software

Termine: 05.12. | 19.12. | 09.01.
Jetzt kostenlos anmelden!

Zur Anmeldung

Webcast | LkSG

Webcast | Praxisorientierter LkSG-Prozess mit otris software

Termine: 10.12. | 19.12. | 09.01.
Jetzt kostenlos anmelden!

 Online-Demo | Jetzt kostenlos anmelden!

Die otris software AG wird alle hier bereitgestellten Informationen ausschließlich in Übereinstimmung mit der Datenschutzerklärung verwenden.

 Ihr Ansprechpartner

FAQ | Hinweisgebersystem (Whistleblowersystem)

Kompakt zusammengefasst: die wichtigsten Fragen und Antworten zum Thema Hinweisgebersystem, IT-Sicherheit und Datenschutz

Welchen Zweck verfolgt das HinSchG und was schreibt es vor?

Das Hinweisgeberschutzgesetzt (HinSchG) ist die deutsche Umsetzung der EU Richtlinie 2019/1937 (EU-Whistleblower-Richtlinie). Mit der EU-Richtlinie und somit auch dem deutsche HinSchG sollen Aufdeckung und Ahndung von Missständen verbessert werden. Der Hinweisgeberschutz ist ein Instrument zur Erreichung des Ziels, indem

  • Hinweisgeber, die Missstände melden, vor Repressalien geschützt werden,
  • der Schutz vor Repressalien Hemmungen abbaut, Meldungen abzugeben,
  • die Meldungen dazu beitragen, Verstöße aufzudecken, zu ahnden bzw. zu unterbinden.

Um Hinweisgeberschutz zu realisieren, enthält das HinSchG Vorschriften für Unternehmen und Organisationen, Meldekanäle einzurichten. Die Meldekanäle bzw. Hinweisgebersysteme müssen so konzipiert sein, dass die Identität des Hinweisgebers geschützt wird. Betroffen von der Vorschrift sind:

  • Unternehmen ab 250 Mitarbeitern
  • Unternehmen ab 50 bis 249 Mitarbeitern (Übergangsfrist bis zum 17.12.2023)
  • Gemeinden – abhängig vom jeweiligen Landesrecht (z.B. ab 10.000 Einwohnern)
  • Einrichtungen des öffentlichen Sektors

Wie funktioniert otris whistleblower konform zum HinSchG?

Das Hinweisgeberschutzgesetz schreibt vor, dass Unternehmen Meldekanäle anbieten müssen, die so sicher konzipiert sind, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt. Das otris Hinweisgebersystem realisiert den geforderten Identitätsschutz mit diesen technischen Mitteln:

  • Die Meldeplattform, über die Hinweisgeber Meldungen abgeben, wird nicht von dem Hinweisempfänger (Unternehmen, Organisation, Behörde) betrieben, sondern von otris software in der sicheren otris cloud. Die Meldeplattform leitet den abgegebenen Hinweis an den Empfänger weiter.
  • Das System speichert keine Daten, die Rückschlüsse auf den Hinweisgeber zulassen könnten (IP-Adresse, Standortdaten, Gerätespezifikationen etc.).
  • Ende-zu-Ende-Verschlüsselung aller Nachrichten und Anhänge zwischen Hinweisgeber und Hinweisempfänger.
  • Transportverschlüsselung aller Nachrichten und Anhänge (BSI TLS1.3 konform).
  • Verschlüsselung aller Daten, die auf den Datenbanken von Meldeplattform und Case Management liegen.
  • Regelmäßige IT-Security Audits (Pentests) kontrollieren die Systemsicherheit.
  • Meldungen können von der hinweisgebenden Person auch anonym abgegeben werden.
  • Die Kommunikation zwischen Fallbearbeitung und Hinweisgeber erfolgt über ein anonymes Postfach.

Wie funktioniert das otris-Hinweisgebersystem konform zur DSGVO?

Personenbezogene Daten von nicht-anonymen Hinweisgebern sowie von Dritten (z.B. einer beschuldigten Person) unterliegen den Bestimmungen der DSGVO. Auf technischer Ebene werden diese Daten durch Transport- und Ende-zu-Ende-Verschlüsselung (Meldeplattform und Case Management) geschützt. Regelbasierte Löschroutinen unterstützen die datenschutzkonforme Löschung eingegangener Meldungen. Eine mögliche Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz vor unberechtigtem Zugriff auf personenbezogene Daten über das Backend. Darüber hinaus vermittelt ein FAQ dem Hinweisgeber, was zum Schutz seiner personenbezogenen Daten zu beachten ist.

otris whistleblower schützt zudem die Identität und somit auch die personenbezogenen Daten von Hinweisgebern durch ein Verfahren, das anonyme Meldungen ermöglicht (siehe vorherigen Punkt). Die Meldeplattform protokolliert keine personenbezogenen Daten von anonym meldenden Hinweisgebern, wie z.B. die IP-Adresse des Hinweisgebers. Informationen, die der Hinweisgeber versendet, schützt das System auch hier durch Transport- und Ende-zu-Ende-Verschlüsselung.

Das SaaS-Angebot des otris Hinweisgebersystems wird ausschließlich auf Servern in Rechenzentren bereitgestellt, die

  • einem deutschen Rechtskontext unterliegen und in Deutschland stehen,
  • nach ISO 27001 zertifiziert sind,
  • nach ISO 9001 zertifiziert sind.

Durch die Ende-zu-Ende-Verschlüsselung ist ein Lesen abgegebener Meldungen durch Betreiber der Rechenzentren nicht möglich.
Ein TÜV-Gutachten bestätigt die Wirksamkeit des Datenschutzkonzepts für das otris Hinweisgebersystem.

Welche Sicherheits-Standards erfüllt das otris-Hinweisgebersystem?

Das otris Hinweisgebersystem und die genutzte Infrastruktur erfüllen folgende Datensicherheitsstandards:

  • Hybride Verschlüsselung aller hinweisbezogener Daten auf der Meldeplattform nach Vorgaben des BSI.
  • Ende-zu-Ende-Verschlüsselung. Signierung der Daten beim Versand durch den Hinweisgeber im Browser und beim Versand durch den Hinweisempfänger im Backend.
  • BSI-konforme Transportverschlüsselung aller Nachrichten und Anhänge mit TLS1.3
  • Möglichkeit zur Zwei-Faktor-Authentifizierung
  • Rechenzentren zertifiziert nach ISO 27001 und ISO 9001
  • Sicherheitsaudits und regelmäßige System-Pentests nach OWASP Application Security Verification Standard

Wie aufwendig ist die Implementierung des Systems?

Das otris Hinweisgebersystem steht nach einer Konfiguration innerhalb weniger Stunden zur Verfügung. Datenschutzerklärung, Hinweisgeber-FAQ, Meldungskategorien und E-Mail-Texte sind als Vorlage umgehend einsatzbereit und können bei Bedarf durch den Anwender einfach angepasst werden.
Das otris Hinweisgebersystem verfügt über einen Bearbeitungsprozess für Hinweise, der team- und rollenbasiert gestaltet werden kann. Somit ist das System sofort von der Hinweisabgabe bis zur Hinweisbearbeitung einsatzbereit. Anpassungen sind durch die Systemarchitektur unkompliziert umsetzbar, erfordern jedoch zusätzliche Zeit für die Implementierung.

Fordert das Hinweisgeberschutzgesetz ein softwaregestütztes System?

Nein. Das Gesetz definiert zwar Anforderungen (beispielsweise, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt). Wie die Anforderungen umgesetzt werden, kann jedes Unternehmen / jede Organisation jedoch selbst festlegen. Alternativen zum Software-System sind z.B. Ombudsperson, E-Mail-Postfach, Telefon-Hotline. Zu beachten ist, dass der geforderte Identitätsschutz über diese Kanäle unter Umständen schwer umsetzbar ist: Die Ombudsperson arbeitet im Auftrag des Unternehmens, bei einer gewöhnlichen E-Mail-Kommunikation kann die IP-Adresse nachvollzogen werden und bei einer Telefon-Hotline kann sich der Hinweisgeber nicht sicher sein, mit wem er telefoniert und ob seine Stimme verfremdet wird. Software-Systeme bieten die Möglichkeit, den Identitätsschutz des Hinweisgebers auf technischem Wege sicherzustellen und ihn dadurch zur Hinweisabgabe zu motivieren. Zudem ermöglichen Software-Systeme Rückfragen über das anonyme Postfach. Weiterer Nutzen: Softwaregestützte Hinweisgebersysteme sind leicht zugänglich (über eine Webseite), permanent erreichbar, vereinfachen die fristgerechte Bearbeitung, die Dokumentation sowie die datenschutzkonforme Löschung eingegangener Meldungen.