IT-Security & Datenschutz von Hinweisgebersystemen
In digitalen Hinweisgebersystemen müssen eine Vielzahl von Vorgaben der IT-Security und des Datenschutzes implementieren werden. Die Meldungen der Hinweisgeber über Verstöße gegen Gesetze oder Unternehmensrichtlinien können – teils sensible – personenbezogene Daten enthalten. Mit dem folgenden Blogbeitrag werden die wesentlichen Vorgaben dargestellt. Zudem zeigen wir Ihnen, dass unsere Hintbox alle diese Vorgaben sowohl technisch und organisatorisch als auch rechtlich erfüllt.
Einsatz modernster Verschlüsselungstechnologien
Das europäische Datenschutzrecht schreibt vor, dass Verantwortliche und Auftragsverarbeiter von Hinweisgebersystemen geeignete technische und organisatorische Maßnahmen implementieren müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählt insbesondere die Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 Buchst. a) DSGVO).
Die Datenbanken der Hintbox werden mit modernsten Verschlüsselungstechnologien gegen einen unberechtigten Zugriff umfassend geschützt. Eine TLS-Verschlüsselung (Transport Layer Security) gewährleistet eine sichere Datenübertragung zwischen Ihnen und der Hintbox sowie unserer Website.
Des Weiteren implementieren wir aktuell eine Ende-zu-Ende-Verschlüsselung, von der Eingabe eines Hinweises durch den Hinweisgeber bis hin zur Speicherung bei unserem Hoster, um unseren Kunden einen höchst möglichen Sicherheitsstandard bereitzustellen. Dadurch werden die personenbezogenen Daten in unserem Hinweisgebersystem über alle Übertragungsstationen verschlüsselt und nur die berechtigten Beteiligten (Tippgeber sowie das Unternehmen/Behörde bzw. der Compliance Officer/Verantwortliche) können die Daten entschlüsseln und sehen. Die Verschlüsselung findet ausschließlich bei der hinweisgebenden Person oder Compliance Manager statt. Das bedeutet, die Daten kommen bereits verschlüsselt auf unseren Servern an, sodass weder wir, die lawcode, noch sonstige Dritte die Informationen zu keinem Zeitpunkt mitlesen können.
Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Wiederherstellung
Unser Whistleblowersystem gewährleistet ferner die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Daten (Art. 32 Abs. 1 Buchst. b) DSGVO). Jeder Nutzer der Hintbox kann eine sichere 2-Faktor-Authentifizierung aktivieren, um die Vertraulichkeit der Daten zu gewährleisten. Zudem erhält jeder unserer Hintbox-Kunden eine eigene separierte Hintbox-Instanz, wodurch eine stringente Datentrennung sichergestellt wird. Ein unberechtigter Zugriff auf Daten Dritter ist aufgrund unserer isolierten Datenhaltung in unserem Hinweisgebersystem daher ausgeschlossen.
Durch den Einsatz höchster Verschlüsselungstechnologien und eine Indexierung von Eingaben von Daten und ihre Veränderungen stellen wir zudem die Datenintegrität in der Hintbox sicher. Unser Whistleblowersystem ist des Weiteren hoch verfügbar. Zudem ermöglichen wir die Umsetzung von Löschungsvorgaben, die sowohl das Datenschutzrecht als auch die EU-Whistleblower-Richtlinie verlangen. Unser Hinweisgebersystem ermöglicht ferner die Umsetzung eines Berechtigungskonzepts, indem nur einzelne berechtigte Personen (etwa der Compliance Officer) einen Zugriff auf die eingegangenen Meldungen erhalten.
Durch Echtzeit-Backups können die Daten ferner problemlos wiederhergestellt werden (Art. 32 Abs. 1 Buchst. c) DSGVO). Im Rahmen unseres implementierten Datenschutz-Management-Systems wird die Wirksamkeit unserer technischen und organisatorischen Maßnahmen zudem regelmäßig auditiert und evaluiert (Art. 32 Abs. 1 Buchst. d) DSGVO).
Datenhosting bei einem zertifizierten Rechenzentrum in Deutschland
Sämtliche Daten unseres Hinweisgebersystems werden in Deutschland in einem ISO/IEC 27001 zertifizierten Rechenzentrum gehostet. Es erfolgt kein Datenhosting und auch keine Datenweitergabe in Drittländer. Damit stellen sich für unsere Kunden auch keine kritischen Fragen im Zusammenhang mit einem Drittstaatentransfer, die von den Datenschutzaufsichtsbehörden oder Gerichten thematisiert werden (Effektivität von Standardvertragsklauseln oder EuGH-Urteile „Schrems I und II“).
Sicherstellung der Anonymität
Mit der Hintbox wird die Anonymität eines Whistleblowers im Falle einer anonymen Meldung technisch sichergestellt. Es werden keine IP- oder MAC-Adressen, Standortdaten oder sonstige Informationen, die Rückschlüsse auf eine betroffene Person erlauben, gespeichert. Auch die Login-Daten für einen anonymen Hinweisgeber werden zufällig und automatisch generiert. Diese Login-Daten ermöglichen eine anonyme Kommunikation zwischen dem Whistleblower und dem Compliance-Officer bzw. Verantwortlichen. Dadurch können Informationen zu der Meldung ergänzt oder Nachfragen gestellt werden.
Erfüllung der datenschutzrechtlichen Vorgaben an ein Whistleblowersystem
Die Hintbox erfüllt die Regeln zur Verarbeitung personenbezogener Daten und entspricht damit der Datenschutz-Grundverordnung sowie dem Bundesdatenschutzgesetz. Die Erfüllung dieser Vorgaben ist zudem eine explizite Verpflichtung der EU-Whistleblower-Richtlinie. Wir verarbeiten die personenbezogenen Daten ausschließlich nach dokumentierter Weisung und im Auftrag unserer Kunden als Auftragsverarbeiter. Dazu schließen wir mit unseren Kunden eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO ab. Diese Vereinbarung enthält auch die hohen Standards an technischen und organisatorischen Maßnahmen, die wir mit unserem Hinweisgebersystem gewährleisten. Damit entspricht unsere Hintbox auch den Vorgaben der Aufsichtsbehörden an ein Whistleblowersystem (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz vom 14. November 2018).