Das österreichische HinweisgeberInnenschutzgesetz (HSchG oder HinSchG) legen Unternehmen mit einer Größe von mindestens 50 Mitarbeitenden ab sofort die Verpflichtung auf, ein Hinweisgebersystem im Unternehmen zu implementieren. Es geht darum in einem Unternehmen interner Meldekanäle einzurichten, damit Whistleblower vertraulich und anonym über diese Kanäle Verstöße oder auch Verdachtsmomente für Verstöße melden können. Wenn ein Unternehmen wenige Mitarbeiter hat, dann ist diese Implementierung übrigens freiwillig - ausser das Unternehmen ist in einem sensiblen Bereich tätig. Dazu gehören Finanzdienstleister oder im Gesundheitsbereich. Weitere Details zu den rechtlichen Hintergründen hat die WKO hier (LINK) veröffentlicht.
Arbeitgeber, die dem Geltungsbereich des HSchG unterliegen, müssen ein internes Meldesystem einrichten. Empfohlen werden anonyme Meldungen. Und damit wird die Sache ein wenig kompliziert, denn
der Absender einer eMail muss anonym sein und es
muss sichergestellt sein, dass der Eingang eines Hinweises dem Hinweisgeber schriftlich bestätigt wird.
Es gibt noch andere Möglichkeiten Hinweise aufzunehmen jedoch gestaltet sich bei diesen Lösungen entweder die Anonymisierung (Formular, Mündlich) oder die Rückmeldung (Briefkasten) schwierig.
Daher ist der einfachste und kostengünstigste Weg ein anonymes eMail-Konto für das Unternehmen einzurichten und dieses dann auch im Unternehmen an alle Mitarbeiter zu kommunizieren.
Eine anonyme E-Mail-Adresse ist eine Mailadresse oder ein E-Mail-Service, von dem aus anonyme E-Mails gesendet oder empfangen werden können. Dank dieser E-Mail-Adresse bleiben Absender und (eventuell auch der) Empfänger anonym.
Dafür gibt es einige kostenlose sogenannte Remailer-Dienste, die alle E-Mails über einen Server verschicken. Das bedeutet, der Server taucht auch als Absender auf. Alle anderen persönlichen Informationen, die Rückschlüsse auf den wahren Absender zulassen, werden gelöscht. Alternativ gibt es auch Remailer-Services, die irgendeinen zufällig ausgewählten Server nutzen. Auch dies führt dazu, dass der Absender nicht mehr auszumachen ist. Durch eine Anonymisierungssoftware ist es auch nicht mehr möglich, festzustellen, dass der Remailer-Dienst genutzt wurde. Manche dieser Services können auch den Inhalt einer E-Mail verschlüsseln. Andere Varianten wie Freemail-Konten oder Wegwerf-eMail-Adressen kann ich in diesem Fall nicht empfehlen, denn die Absender sind dabei entweder nicht anonymisiert (Freemail) oder technisch zu kompliziert (Wegwerf-eMail) und für einen potenziellen Whistblower sollte der Aufwand nicht zu kompliziert sein.
Ich habe mich daher auf die Suche gemacht und zwei paar Anbieter für anonymisierte eMail-Systeme gefunden:
Wenn man sich für ein System entschieden hat, dann sollte man als Unternehmen unter Verwendung eines Pseudonyms oder eines fiktiven Namens anonymes E-Mail-Konto erstellen. Unbedingt dran denken, ein starkes Passwort zu verwenden. Die Webseite und das Passwort kann man dann im Unternehmen kommunizieren. Damit steht allen Mitarbeitern die Möglichkeit offen, ein eMail an das Unternehmen zu senden.
Empfänger der eMail kann sein: eine Vertrauensperson, persönlich an die Geschäftsleitung oder ein eigens eingerichtetes eMail-Konto. z.B.: hinweis@microgast.at.
Der Absender des eMails ist damit anonym, jedoch sollte es weitere regeln geben:
Im Betreff sollte kein Hinweis auf den Hinweis stehen,
die eMails dürfen nicht in einem "gesendet Ordner" gespeichert werden und
der Erhalt des eMails muss im Konto dokumentiert sein. Dies ist notwendig um dem Whistleblower/der Whistleblowerin den Rückschluss zu geben.
Ich habe es mit Protonmail probiert und alle vom HSchG geforderten Vorgaben (LINK) sind technisch umzusetzen. Die Kosten sind durchaus überschaubar, denn es kostet NIX!
Wichtig sind den Mitarbeitern zu kommunizieren, dass man nicht mit echten Namen arbeitet, eine allgemeine Begrüßung verwendet, statt den Empfänger mit seinem Namen anzusprechen usw. jedenfalls dürfen keine Details im Mail vorkommen, die auf die Identität des Absenders hinweisen könnten.
Wie ihr lesen könnt geht es mir um den technischen Ansatz, denn, so schnell war das HinSch-Gesetz gar nicht "live", so rasch waren die ersten findigen Anwälte und Softwareanbieter mit Angeboten aktiv. Fakt ist, dass man hier, trotz der rechtlichen Vorgaben, bei der technischen Umsetzung die Kirche im Dorf lassen sollte! Gerne helfe ich bei den Texten, die man zur Kommunikation mit den Mitarbeitern benötigt und bei der technischen Einrichtung.
Gerne verweise ich an dieser Stelle auf einen Ratgeber der zu diesem Thema veröffentlicht wurde. Dabei wird unter anderem darauf eingegangen, auf welche Kriterien man bei der Auswahl eines eMail-Dienstes achten sollte und wie die größten Anbieter in Bezug auf diese Kriterien abschließen: https://www.privacytutor.de/blog/sichere-email-anbieter/
Comments