Welchen Nutzen
hat ein digitales
Hinweisgebersystem?

Das digitale Hinweisgebersystem von otris software

Das otris Hinweisgebersystem unterstützt Unternehmen und Organisationen bei einer unkomplizierten Umsetzung der „EU-Whistleblower-Richtlinie“. Die Softwarelösung generiert den geforderten Hinweisgeberschutz durch einen anonymen Meldekanal. Sicher und datenschutzkonform.

Ab dem 17. Dezember 2021 sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, einen internen Meldekanal einzurichten, der die Vertraulichkeit der Identität von Hinweisgebern sicherstellt. Grundlage für das neue Gesetz ist die EU-Hinweisgeber-Richtlinie 2019/1937, die bis zum Jahresende in nationales Recht umgesetzt werden muss. Die genaue Ausgestaltung des Gesetzes wird derzeit diskutiert. Ein Referentenentwurf hat das Justizministerium bereits vorgelegt.

otris software ist Anbieter eines Hinweisgebersystems, das Unternehmen eine sichere, unkomplizierte Umsetzung der Richtlinie ermöglicht. Whistleblowing Software schützt die Identität von Hinweisgebern über einen technisch abgesicherten Kommunikationsweg: Hinweisgeber und Hinweisempfänger kommunizieren über eine webbasierte Meldeplattform, die alle ausgetauschten Daten verschlüsselt. Der Hinweisgeber kann wählen, ob er anonym meldet oder seine Kontaktdaten hinterlässt. Die Software vereinfacht zusätzlich den Prüfprozess und beschleunigt die Fall-Bearbeitung.

Anonyme Kommunikation und effiziente Fallbearbeitung

Produktgrafik - otris Hinweisgebersystem mit Meldeplattform und Case Management

Merkmale, die unser Hinweisgebersystem auszeichnen

otris ist etablierter Anbieter von Compliance-Software. Alle otris-Lösungen kombinieren leichte Handhabung mit hohen Standards bei Datensicherheit und Datenschutz. Anpassungen des Systems an unternehmensspezifische Vorgaben sind unkompliziert umsetzbar.

otris Hinweisgebersystem - höchste Datensicherheitsstandards

Sicherheit
Das otris-Hinweisgebersystem erfüllt höchste Datensicherheitsstandards: Hochsicherheitsrechenzentren in Deutschland, die nach ISO 27001 zertifiziert sind, moderne Verschlüsselungsalgorithmen und DSGVO-Konformität sowie wiederkehrende IT-Sicherheitsprüfungen und Penetrationstests.

otris Hinweisgebersystem - Flexibel und anpassbar

Anpassbarkeit
Das otris-Hinweisgebersystem steht Ihnen nach der Installation ohne weitere Anpassungen sofort zur Verfügung, ist jedoch zugleich sehr flexibel. Sie können beispielsweise das Hinweis-Formular der otris-Meldeplattform oder den Bearbeitungsprozess im Case-Management individuell nach Ihren Wünschen gestalten. Eine Koppelung zu bereits bestehenden Systemen ist möglich.

otris Hinweisgebersystem - Dashboard und Reporting

Dashboard und Reports
Das integrierte Dashboard sowie Echtzeit-Statistiken erleichtern Ihr Compliance-Reporting. Hierbei können sowohl übersichtliche Reports für einzelne Hinweise als auch grafische Auswertungen für ein bestimmtes Portfolio erstellt werden; z.B. Auswertungen hinsichtlich Thema, Status und Relevanz der eingehenden Hinweise.

Welchen Nutzen hat ein digitales Hinweisgebersystem?

Ohne Hinweise aus der Belegschaft ist es nahezu unmöglich, grobes Fehlverhalten aufzudecken, da Regelmissachtung häufig mit Verschleierung einhergeht. Potenzielle Hinweisgeber fürchten jedoch Nachteile durch die Preisgabe ihrer Informationen und Identität. Das otris Hinweisgebersystem bietet Whistleblowern einen Meldekanal, der anonyme Kommunikation garantiert und dadurch die Identität schützt.

Hinweise helfen
Regelverstöße einzelner Mitarbeiter können schwerwiegende, geschäftsschädigende Auswirkungen und rechtliche Konsequenzen für Ihr Unternehmen nach sich ziehen. Im Worst Case stehen Reputation, finanzielle Stabilität sowie die Arbeitsplatzsicherheit der gesamten Belegschaft auf dem Spiel. Frühe Hinweise Ihrer Mitarbeiter über Regelverstöße helfen Ihnen dabei, rechtzeitig Maßnahmen zur Schadensbegrenzung umzusetzen. Ihr Unternehmen kann aus Regelverstößen lernen und interne Unternehmensprozesse und -strukturen weiter optimieren. Mitarbeiter zu Preisgabe von Hinweisen an eine interne Stelle zu motivieren, ist daher eine sinnvolle Komponente der unternehmensweiten Compliance-Strategie.

Motivation generieren
Potenzielle Hinweisgeber fürchten Nachteile, wenn sie Hinweise öffentlich abgeben. Sie gefährden das gute Verhältnis zu Kollegen, ihre beruflichen Entwicklungschancen, und im Extremfall sogar die psychische und körperliche Gesundheit. Fallen diese Risiken weg, steigt die Motivation, schwere Regelverstöße zu melden. Die zuverlässigste Möglichkeit, Risiken für den Hinweisgeber zu minimieren, ist, seine Anonymität sicherzustellen. Schon aus Eigeninteresse (um Zugang zu vertraulichen Informationen zu erhalten) sollten Compliance-Verantwortliche daher sichere Meldekanäle bereitstellen, über die Hinweisgeber anonym Informationen preisgeben. Beim otris-Hinweisgebersystem entscheidet der Hinweisgeber selbst, ob er anonym bleiben oder seine Identität bewusst mitteilen möchte.

„otris software vereinfacht die Steuerung und Dokumentation unserer Compliance-Prozesse.“

Nils Langemann
Referent für Compliance bei MAST-Jägermeister SE

Optimieren Sie Ihre Compliance mit dem otris-Hinweisgebersystem

Um einen Meldekanal einzurichten, der konform zur EU-Richtlinie 2019/1937 funktioniert, muss er die Vertraulichkeit der Identität des Hinweisgebers sicherstellen. Auf technischer Ebene gewährleistet die otris-Meldeplattform Identitätsschutz durch den externen Betrieb und verschlüsselte Kommunikation.

Meldeplattform
Je sicherer ein Whistleblower/Hinweisgeber das System einschätzt, desto eher ist er zur Preisgabe seiner Information bereit. Über die otris-Meldeplattform sendet er seine Nachricht hochverschlüsselt an den Hinweisempfänger. Mithilfe einer automatisch generierten ID kann der Whistleblower über ein anonymes Postfach mit dem Hinweisempfänger (z.B. Compliance-Verantwortlicher) kommunizieren.

Die otris software AG, als neutrale Instanz, betreibt die Meldeplattform in der Cloud und garantiert Identitätsschutz auf technischer Ebene. Sämtliche Inhalte, die Hinweisgeber und Hinweisempfänger austauschen, werden durch die Meldeplattform hochverschlüsselt. Neben dem Identitätsschutz erfüllt das otris-Hinweisgebersystem die gesetzlichen Vorgaben zum Datenschutz und zur Datensicherheit.

Case-Management
Ergänzend zur Meldeplattform beinhaltet das otris-Hinweisgebersystem ein flexibel konfigurierbares Case-Management, mit dem Sie die Meldungen dokumentieren, bewerten und konsequent weiterverfolgen. Laut EU-Hinweisgeberschutz-Richtlinie 2019/1937 soll für jede Meldung spätestens nach 7 Tagen eine Eingangsbestätigung und spätestens nach 3 Monaten eine Rückmeldung beim Hinweisgeber eingegangen sein. Das System sendet Warnungen an den Bearbeiter, falls für einen offenen Fall eine Frist ansteht.
Ihr Compliance-Team kommuniziert ausgehend vom Case-Management mit dem Hinweisgeber, um Stichhaltigkeit und Relevanz des Hinweises zu prüfen. Das Case-Management-System leitet die Nachricht an die Meldeplattform weiter, auf die der Hinweisgeber anonym zugreift. Sie als Betreiber des Case-Managements entscheiden, ob das System On-Premises (in Ihrem Unternehmen) oder in der Cloud betrieben wird. Im Gegensatz zum Case-Management-System gibt es bei der Meldeplattform keine Auswahlmöglichkeit: Die Meldeplattform wird immer durch die otris software AG als neutrale Instanz in der Cloud betrieben, um Anonymität und Identitätsschutz des Hinweisgebers technisch sicherzustellen.

Events

otris compliance-Webcasts | Anmelden und kostenlos teilnehmen!

Zur Anmeldung

Webcast | Hinweisgebersystem

Hinweisgebersystem | Webcast Compliance Management otris compliance

Termine: 16.12. | 13.01. | 25.01.
Jetzt kostenlos anmelden!

Zur Anmeldung

Webcast | Richtlinienmanagement

Richtlinienmanagement | Webcast Compliance Management otris compliance

Termine: 09.12. | 03.02. | 03.03.
Jetzt kostenlos anmelden!

Zur Anmeldung

Webcast | Risikomanagement

Risikomanagement | Webcast Compliance Management otris compliance

Termine: 14.12. | 11.01. | 08.02.
Jetzt kostenlos anmelden!

FAQ | Hinweisgebersystem (Whistleblowersystem)

Kompakt zusammengefasst: die wichtigsten Fragen und Antworten zum Thema Hinweisgebersystem, IT-Sicherheit und Datenschutz

Welchen Zweck verfolgt die „EU-Whistleblower-Richtlinie“ und was schreibt sie vor?

Mit der Richtlinie zum Schutz von Hinweisgebern („Whistleblower-Richtlinie“) verfolgt die EU das Ziel, EU-Recht durchzusetzen und Verstöße aufzudecken bzw. zu unterbinden. Der Hinweisgeberschutz ist ein Instrument, zur Erreichung des Ziels, indem

  • Hinweisgeber vor Repressalien geschützt werden,
  • der Schutz vor Repressalien Hemmungen abbaut, Meldungen abzugeben,
  • die Meldungen dazu beitragen, Verstöße aufzudecken, zu ahnden bzw. zu unterbinden.

Um Hinweisgeberschutz zu realisieren enthält die Richtlinie Vorschriften für Unternehmen und Organisationen, Meldekanäle einzurichten. Die Meldekanäle bzw. Hinweisgebersysteme müssen so konzipiert sein, dass die Identität des Hinweisgebers geschützt wird. Betroffen von der Vorschrift sind:

  • Unternehmen ab 250 Mitarbeitern (Frist: 17.12.2021)
  • Unternehmen ab 50 Mitarbeitern (Frist 17.12.2023)
  • Gemeinden ab 10.000 Einwohnern
  • Einrichtungen des öffentlichen Sektors
  • Behörden

Wie funktioniert das otris Hinweisgebersystem konform zur „EU-Whistleblower-Richtlinie“?

Die EU-Direktive schreibt vor, dass Unternehmen Meldekanäle anbieten müssen, die so sicher konzipiert sind, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt. Das otris Hinweisgebersystem stellt den geforderten Identitätsschutz sicher, indem das System anonyme Meldungen ermöglicht. Anonymität wird mit diesen technischen Mitteln realisiert:

  • Die Meldeplattform, über die Hinweisgeber Meldungen abgeben, wird nicht von dem Hinweisempfänger (Unternehmen/Organisation/Behörde) betrieben, sondern von otris software. Die Meldeplattform leitet den abgegebenen Hinweis an den Empfänger weiter.
  • Das System speichert keine Daten, die Rückschlüsse auf den Hinweisgeber zulassen könnten (IP-Adresse, Standortdaten, Gerätespezifikationen etc.).
  • Ende-zu-Ende-Verschlüsselung aller Nachrichten und Anhänge zwischen Hinweisgeber und Hinweisempfänger.
  • Transportverschlüsselung aller Nachrichten und Anhänge (BSI TLS1.3 konform).
  • Verschlüsselung aller Daten, die auf den Datenbanken von Meldeplattform und Case Management liegen.
  • Regelmäßige IT-Security Audits (Pentests) kontrollieren die Systemsicherheit.

Wie funktioniert das otris Hinweisgebersystem konform zur DSGVO?

Das otris Hinweisgebersystem schützt die Identität und somit auch die personenbezogenen Daten von Hinweisgebern durch ein Verfahren, das anonyme Meldungen ermöglicht (siehe vorherigen Punkt). Die Meldeplattform protokolliert keine personenbezogenen Daten von anonym meldenden Hinweisgebern. Informationen, die der Hinweisgeber versendet, schützt das System durch Transport- und Ende-zu-Ende-Verschlüsselung. Darüber hinaus vermittelt ein FAQ dem Hinweisgeber, was zum Schutz seiner personenbezogenen Daten zu beachten ist.

Die DSGVO-Konformität beschränkt sich jedoch nicht auf anonyme Hinweisgeber. Personenbezogene Daten von nicht-anonymen Hinweisgebern sowie von Dritten (z.B. einer beschuldigten Person) unterliegen ebenfalls den Bestimmungen der DSGVO. Auf technischer Ebene werden auch diese Daten durch Transport- und Ende-zu-Ende-Verschlüsselung (Meldeplattform und Case Management) geschützt. Regelbasierte Löschroutinen unterstützen die datenschutzkonforme Löschung eingegangener Meldungen. Eine mögliche Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz vor unberechtigtem Zugriff auf personenbezogene Daten über das Backend.

Das SaaS-Angebot des otris Hinweisgebersystems wird ausschließlich auf Servern in Rechenzentren bereitgestellt, die

  • einem deutschen Rechtskontext unterliegen und in Deutschland stehen,
  • nach ISO 27001 zertifiziert sind,
  • nach ISO 9001 zertifiziert sind.

Durch die Ende-zu-Ende-Verschlüsselung ist ein Lesen abgegebener Meldungen durch Betreiber der Rechenzentren nicht möglich.
Ein TÜV-Gutachten bestätigt die Wirksamkeit des Datenschutzkonzepts für das otris Hinweisgebersystem.

Welche Standards zur Datensicherheit erfüllen Meldeplattform und Case Management?

Das otris Hinweisgebersystem und die genutzte Infrastruktur erfüllen folgende Datensicherheitsstandards:

  • Hybride Verschlüsselung aller hinweisbezogener Daten auf der Meldeplattform nach Vorgaben des BSI.
  • Ende-zu-Ende-Verschlüsselung. Signierung der Daten beim Versand durch den Hinweisgeber im Browser und beim Versand durch den Hinweisempfänger im Backend.
  • BSI-konforme Transportverschlüsselung aller Nachrichten und Anhänge mit TLS1.3
  • Möglichkeit zur Zwei-Faktor-Authentifizierung
  • Rechenzentren zertifiziert nach ISO 27001 und ISO 9001
  • Sicherheitsaudits und regelmäßige System-Pentests nach OWASP Application Security Verification Standard

Wie aufwendig ist die Implementierung des Systems?

Das otris Hinweisgebersystem steht nach einer Konfiguration innerhalb weniger Stunden zur Verfügung. Datenschutzerklärung, Hinweisgeber-FAQ, Meldungskategorien und E-Mail-Texte sind als Vorlage umgehend einsatzbereit und können bei Bedarf durch den Anwender einfach angepasst werden.

Das otris Hinweisgebersystem verfügt über einen Bearbeitungsprozess für Hinweise, der team- und rollenbasiert gestaltet werden kann. Somit ist das System sofort von der Hinweisabgabe bis zur Hinweisbearbeitung einsatzbereit. Anpassungen sind durch die Systemarchitektur unkompliziert umsetzbar, erfordern jedoch zusätzliche Zeit für die Implementierung.

Fordert die „EU Whistleblower-Richtlinie“ ein softwaregestütztes System?

Nein. Solange die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt, kann jedes Unternehmen / jede Organisation selbst festlegen, welche Art von Meldekanälen sie einrichtet. Alternativen zum Software-System sind z.B. Ombudsperson, E-Mail-Postfach, Telefon-Hotline. Zu beachten ist, dass der geforderte Identitätsschutz über diese Kanäle unter Umständen schwer umsetzbar ist: Die Ombudsperson arbeitet im Auftrag des Unternehmens, bei einer gewöhnlichen E-Mail-Kommunikation kann die IP-Adresse nachvollzogen werden und bei einer Telefon-Hotline kann sich der Hinweisgeber nicht sicher sein, mit wem er telefoniert und ob seine Stimme verfremdet wird. Software-Systeme bieten die Möglichkeit, den Identitätsschutz des Hinweisgebers auf technischem Wege sicherzustellen und ihn dadurch zur Hinweisabgabe zu motivieren. Zudem ermöglichen Software-Systeme Rückfragen über das anonyme Postfach. Weiterer Nutzen: Softwaregestützte Hinweisgebersysteme sind leicht zugänglich (über eine Webseite), permanent erreichbar, vereinfachen die fristgerechte Bearbeitung, die Dokumentation sowie die datenschutzkonforme Löschung eingegangener Meldungen.

Online-Demo | Jetzt kostenlos anmelden!

reCAPTCHA erforderlich.

Die otris software AG wird alle hier bereitgestellten Informationen ausschließlich in Übereinstimmung mit der Datenschutzerklärung verwenden.


Ihr Ansprechpartner

Ulrich Palmer
+49 231 95806950
compliance@otris.de

Hinweisgebersystem