HinSchG mit
neuen Anforderungen
7. Februar 2023

Hinweisgeberschutzgesetz – Anonymität im Fokus

Am 16. Dezember 2022 hat der Bundestag den Gesetzentwurf zum HinSchG beschlossen. „In letzter Minute“ wurden einige Änderungen zum Vorentwurf eingebracht. Aus technisch-organisatorischer Sicht ist insbesondere eine Neuerung relevant: Unternehmen müssen Hinweisgebern einen Meldekanal anbieten, der anonyme Kommunikation ermöglicht. Der Vorentwurf sah lediglich einen Meldekanal vor, der die Vertraulichkeit der Identität von Hinweisgebern sicherstellt. Das digitale Hinweisgebersystem der otris unterstützt bei der Umsetzung aller gesetzlichen Anforderungen.

Nach dem Bundestagsbeschluss fehlt nun noch die Zustimmung des Bundesrats, die voraussichtlich in dieser Woche erfolgt. Nach der Zustimmung durch den Bundesrat tritt das HinSchG in Kraft. Übergangsfristen für die Einrichtung eines Hinweisgebersystems sind nicht vorgesehen. Für die im Gesetzesentwurf geänderte Anforderung, anonyme Meldekanäle einzurichten, dagegen schon: Die Übergangsfrist zur Ausgestaltung eines anonymen Meldekanals ist der 01.01.2025. Trotz Übergangsfrist sollten Unternehmen schon jetzt über Umsetzungsmöglichkeiten nachdenken. Denn nach Zustimmung durch den Bundesrat sind nur die Systeme zukunftssicher, die anonyme Kommunikation garantieren können.

Anonymität als Anforderung

Anonyme Kommunikation ist eine deutlich höhere Anforderung an ein System als der im Vorentwurf des Gesetzes beschriebene Identitätsschutz. Eine Möglichkeit für Unternehmen ist es, Ombudspersonen zu beauftragen, an die sich Hinweisgeber wenden sollen. Abhängig von den Voraussetzungen (z.B. falls es in dem Unternehmen noch keine Ombudspersonen gibt) kann eine technische Lösung effektiver und kostengünstiger sein. Digitale Hinweisgebersysteme, die Anonymität garantieren, senken die Hemmschwelle für Hinweisgeber. Je niedriger die Hemmschwelle, desto größer die Wahrscheinlichkeit, dass das Unternehmen von wertvollen Hinweisen profitiert. Ein weiterer Vorzug digitaler Hinweisgebersysteme ist, dass sie schnell implementierbar sind und zu überschaubaren Kosten (monatliche SaaS-Gebühr) betrieben werden.

Technische Lösung von otris

Bei der Entwicklung des Hinweisgebersystems der otris war der anonyme Kommunikationskanal eine Hauptanforderung – auch wenn er in dem Gesetzgebungsverfahren zunächst nicht gefordert wurde. Ein anonymer Meldekanal sorgt nicht nur für eine zusätzliche Motivation von Hinweisgebern, die unerkannt bleiben möchten, er vereinfacht auch die Umsetzung einer weiteren gesetzlichen Anforderung: Identitätsschutz. Hinweisgeber, die sich für eine anonyme Meldung entscheiden, genießen automatisch Identitätsschutz, da ihre Identität nicht bekannt ist. Die Identität der Hinweisgeber, die nicht-anonym melden, muss selbstverständlich ebenfalls geschützt werden. Die hohen IT-Sicherheitsstandards des otris-Hinweisgebersystems bieten die technischen Voraussetzungen für Identitätsschutz: Das System stellt sicher, dass Dritte nicht auf Informationen zugreifen können, die Hinweisgeber und Hinweisempfänger austauschen. Hierfür erfüllt das System unter anderem folgende IT-Security-Standards:

  • Hybride Verschlüsselung nach Vorgaben des BSI (gilt für alle hinweisbezogenen Daten auf der Meldeplattform)
  • Ende-zu-Ende-Verschlüsselung
  • BSI-konforme Transportverschlüsselung aller Nachrichten und Anhänge mit TLS1.3
  • Auf Wunsch: Zwei-Faktor-Authentifizierung
  • Rechenzentren zertifiziert nach ISO 27001 und ISO 9001
  • System-Pentests nach OWASP Application Security Verification Standard
  • Sicherheitsaudits

Gerne stellen wir Ihnen vor, wie Sie eine anonyme Kommunikation und weitere gesetzliche Anforderungen mit dem Hinweisgebersystem der otris umsetzen. Wir freuen uns auf einen Austausch mit Ihnen – per E-Mail, Telefon oder Webformular!