besenwesen87
Goto Top

Umsetzung EU-Whistleblower Gesetz

Hallo an alle,

gerade ist die Anfrage aus der Personalabteilung eingetrudelt, wie man denn das neue EU Gesetz umsetzen könnte.
Ich bin auch etwas ratlos, welche Möglichkeiten gäbe es denn, den Mitarbeitern anonym zu ermöglichen, Beschwerden einzusenden.
Am besten noch mit der Möglichkeit eine Datei hochzuladen und von "aussen", sprich von ausserhalb der eigenen Domäne zugänglich.

Mein erster Gedanke war, dass es doch bestimmt in Office 365 eine Funktion dafür gibt, hat jemand ne Idee?

Danke im voraus für alle sinnvollen Antworten

Content-ID: 2386774767

Url: https://administrator.de/contentid/2386774767

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

ItsJokaful
ItsJokaful 13.10.2023 aktualisiert um 14:14:10 Uhr
Goto Top
Office365 Forms

Problem ist: Wenn du das mit Dateiupload haben möchtest, braucht derjenige auch einen O365 Account.
Ohne Upload kann man das anonym teilen, braucht auch kein Account.
2023-10-13-14-10-46
8585324113
8585324113 13.10.2023 um 14:49:56 Uhr
Goto Top
Externen Anwalt beauftragen oder entsprechende Software hosten lassen?
StefanKittel
StefanKittel 13.10.2023 um 15:01:42 Uhr
Goto Top
Es gibt dazu verschiedene Anbieter die gehostet so eine zertifizierte Umgebung anbieten.
Alles was intern realisiert wird, könnte der Admin ja manipulieren um z.B. IP-Adressen oder Daten doch zu speichern.
Stefan
MacLeod
MacLeod 13.10.2023 um 15:06:09 Uhr
Goto Top
Hallo
@Besenwesen87
Lies Dir nochmal, genau durch, was Du das forderst. Ein Formular online ausfüllen aus der Firma heraus ist ein Ding. Dem User muss trotzdem klar sein, daß Zugriffe auf Webseiten geloggt werden können in jeder Firewall. Und aus Sicherheitsgründen oft auch müssen. Aber aus der Firma heraus anonym Daten irgendwohin zu transportieren, damit Sie von extern verfügbar sind? Ne, mal lieber nicht! Da sticht immer noch die DSGVO, jegliche Geheimhaltungsvereinbarung im Arbeitsvertrag und auch Schrems II hat da noch ein Wort mitzureden.
MfG,
MacLeod
8585324113
8585324113 13.10.2023 um 16:27:42 Uhr
Goto Top
Zitat von @MacLeod:

Hallo
@Besenwesen87
Lies Dir nochmal, genau durch, was Du das forderst. Ein Formular online ausfüllen aus der Firma heraus ist ein Ding. Dem User muss trotzdem klar sein, daß Zugriffe auf Webseiten geloggt werden können in jeder Firewall. Und aus Sicherheitsgründen oft auch müssen. Aber aus der Firma heraus anonym Daten irgendwohin zu transportieren, damit Sie von extern verfügbar sind? Ne, mal lieber nicht! Da sticht immer noch die DSGVO, jegliche Geheimhaltungsvereinbarung im Arbeitsvertrag und auch Schrems II hat da noch ein Wort mitzureden.
MfG,
MacLeod


Die DSGVO, Geheimhaltungsvereinbarungen und Schrem haben mit dem Ansinnen nichts zu tun.

Es geht im einen gesetzlichen Zweck und eine gesetzliche Aufgabe. Einfach mal das Gesetz, dann äußern...
MacLeod
MacLeod 13.10.2023 um 17:45:05 Uhr
Goto Top
Was das Ansinnen des Gesetzes ist verstehen hier wohl alle.
Erst mal selbst versuchen zu lösen, dann kommentieren. Es gilt immer noch: Ober sticht Unter! Keine Aufweichung der DSGVO und Geheimnisschutz sowie Sicherheitsrichtlinien z.B. nach BSI. Das Problem ist die Umsetzung. Bei 2 unserer Kunden wird das gerade umgesetzt mit unserer Unterstützung. Momentan ist wohl nur eine rein externe Lösung eines zertifizierten Anbieters eine allumfassende realisierbare Lösung. Zumindest vom BR abgesegnet.
Solange aber die externen Anbieter den Unterschied zwischen Anonymisierung und Pseudonymisierung der Daten nicht verstanden haben, wird das auch in Zukunft noch Ärger geben. Wenn voll anonymisiert, dann ist es ja gar nicht möglich dem Hinweisgeber Rückmeldung zu geben! Werden Vorgänge gespeichert und entwickelt sich ein Dialog und der HWG hat etwa einen Login und PW sind die Daten nur noch pseudonymisiert. Gleiches Problem wie in der Datenerfassung einer jeden Studie. Und mir sind bislang keine Tools für das Netzwerk untergekommen, die bei gewissem Traffic gezielt wegsehen, oder das Logging selektiv unterlassen etc. Egal wie. Wer am Waldweg voller Fußabdrücke nur seinen Abdruck wegwischt, ist durch die Wischspur trackbar.
Hier sehen wir wieder einmal. Gut gemeint ist das Gegenteil von Gut gemacht.
MfG,
MacLeod
8585324113
8585324113 13.10.2023 um 18:18:36 Uhr
Goto Top
Zitat von @MacLeod:

Was das Ansinnen des Gesetzes ist verstehen hier wohl alle.
Erst mal selbst versuchen zu lösen, dann kommentieren. Es gilt immer noch: Ober sticht Unter! Keine Aufweichung der DSGVO und Geheimnisschutz sowie Sicherheitsrichtlinien z.B. nach BSI. Das Problem ist die Umsetzung. Bei 2 unserer Kunden wird das gerade umgesetzt mit unserer Unterstützung. Momentan ist wohl nur eine rein externe Lösung eines zertifizierten Anbieters eine allumfassende realisierbare Lösung. Zumindest vom BR abgesegnet.
Solange aber die externen Anbieter den Unterschied zwischen Anonymisierung und Pseudonymisierung der Daten nicht verstanden haben, wird das auch in Zukunft noch Ärger geben. Wenn voll anonymisiert, dann ist es ja gar nicht möglich dem Hinweisgeber Rückmeldung zu geben! Werden Vorgänge gespeichert und entwickelt sich ein Dialog und der HWG hat etwa einen Login und PW sind die Daten nur noch pseudonymisiert. Gleiches Problem wie in der Datenerfassung einer jeden Studie. Und mir sind bislang keine Tools für das Netzwerk untergekommen, die bei gewissem Traffic gezielt wegsehen, oder das Logging selektiv unterlassen etc. Egal wie. Wer am Waldweg voller Fußabdrücke nur seinen Abdruck wegwischt, ist durch die Wischspur trackbar.
Hier sehen wir wieder einmal. Gut gemeint ist das Gegenteil von Gut gemacht.
MfG,
MacLeod

Wo hast Du Jura studiert?
C.R.S.
C.R.S. 13.10.2023 um 18:20:37 Uhr
Goto Top
Es besteht weder die Pflicht, eine anonyme Hinweisgabe zu ermöglichen, noch zur IT-gestützten Umsetzung. Ein Briefkasten unter ausschließlicher Kontrolle der Meldestelle ist das einfachste Instrument, um eine formell ausreichende Vertraulichkeit herzustellen.

Grüße
Richard
MacLeod
MacLeod 13.10.2023 um 18:32:29 Uhr
Goto Top
@8585324113: Ich saß immer neben Dir, schon vergessen? Aber warum bist Du beim Mathe-Physik Diplom nicht angetreten? Wir haben dich vermisst.

Muss man nicht, wenn man Firmenanwälte hat, die vom Arbeitsrecht bis zum Patentschutz alles betreuen und sich direkt mit dem Betriebsrat kurzschliessen. Wir sind primärer IT Dienstleister dort und setzen um was diese absegnen. Die externe Lösung wurde unter Vorbehalt beider Seiten akzeptiert und wird realisiert. Sind eh schon zu spät dran. Am Jahresende kommt es nochmnal auf den Prüfstand.
Ich empfehle auch Dir, dich mal mit Profis zu unterhalten um dein Halbwissen upzugraden.
MfG,
MacLeod
8585324113
8585324113 13.10.2023 aktualisiert um 18:41:46 Uhr
Goto Top
Kannst du mir mal die Stelle in der DSGVO zeigen und auch die Stelle zeigen, warum das Hinweisgeberschutzgesetzt eine Auftragsdatenverarbeitung ist, die durch die DSGVO geregelt wird? Wegen Upgrade auf Halbwissen.
Und bitte nciht die § 1-3 lesen und VERSTEHEN!: https://www.recht.bund.de/bgbl/1/2023/140/regelungstext.pdf?__blob=publi ...
MacLeod
MacLeod 13.10.2023 um 18:43:39 Uhr
Goto Top
Zitat von @c.r.s.:

Es besteht weder die Pflicht, eine anonyme Hinweisgabe zu ermöglichen, noch zur IT-gestützten Umsetzung. Ein Briefkasten unter ausschließlicher Kontrolle der Meldestelle ist das einfachste Instrument, um eine formell ausreichende Vertraulichkeit herzustellen.

Grüße
Richard

Richtig. Aber dann ist das entweder eine reine Einbahnstrasse und voll anonym ist kein Feedback möglich. Oder der Meldeführer wird identifizierbar für einen Dialog. Betriebsräte suchen aber gerne nach der eierlegenden Wollmilchsau, die es momentan noch nicht gibt.
MacLeod
MacLeod 13.10.2023 um 18:56:09 Uhr
Goto Top
Zitat von @8585324113:

Kannst du mir mal die Stelle in der DSGVO zeigen und auch die Stelle zeigen, warum das Hinweisgeberschutzgesetzt eine Auftragsdatenverarbeitung ist, die durch die DSGVO geregelt wird? Wegen Upgrade auf Halbwissen.
Und bitte nciht die § 1-3 lesen und VERSTEHEN!: https://www.recht.bund.de/bgbl/1/2023/140/regelungstext.pdf?__blob=publi ...

Wenn Du Artikel 14 der DSGVO liest erschliesst sich eventuell auch für dich die Problematik. Und genau hier tritt das Missverständnis von Anonymisierung und Pseudonymisierung zu Tage. Wird in fast allen Erörterungen in Internet Artikeln falsch interpretiert. Lesestoff für Dich leicht verständlich als Beispiel:
https://www.dataguard.de/blog/pseudonymisierung-und-anonymisierung-in-ds ...
8585324113
8585324113 13.10.2023 um 18:56:30 Uhr
Goto Top
Du hast es ganz offenkundig nicht verstanden. Warum liest du nciht das Gesetz oder die EU-Regelung?
C.R.S.
C.R.S. 13.10.2023 um 19:05:41 Uhr
Goto Top
Zitat von @MacLeod:

Richtig. Aber dann ist das entweder eine reine Einbahnstrasse und voll anonym ist kein Feedback möglich. Oder der Meldeführer wird identifizierbar für einen Dialog. Betriebsräte suchen aber gerne nach der eierlegenden Wollmilchsau, die es momentan noch nicht gibt.

Betriebsräte sind nicht die Adressaten des HinSchG und haben jede gesetzestreue Umsetzung durch den Arbeitgeber zu akzeptieren.
Für Unternehmen, die sich die Zielsetzungen des Gesetzes nicht zueigen machen wollen, sollte die sonst mögliche Auslösung eines Mitbestimmungstatbestands geradezu einen weiteren Anreiz darstellen, keinesfalls über die Mindestanforderungen des Gesetzes hinauszugehen und die Umsetzung technisch und organisatorisch so einfach wie möglich zu halten.
MacLeod
MacLeod 13.10.2023 um 19:08:14 Uhr
Goto Top
Zitat von @8585324113:

Du hast es ganz offenkundig nicht verstanden. Warum liest du nciht das Gesetz oder die EU-Regelung?

Ditto
Wir haben das nicht nur verstanden, wir setzen das sogar um. Bei Firma 1 mit Segen vom BR und somit von fast 500 MA übrigens. Wenn Du irgendwann mal von der Theorie in die Praxis übergehst und mit so einem Projekt betraut werden solltest, dann wirst auch Du die Diskrepanzen wischen Gesetzestexten und deren Auslegung von (mindestens) 2 konkurrierenden Parteien spüren.
Gute Nacht
MacLeod
MacLeod 13.10.2023 um 19:20:29 Uhr
Goto Top
Zitat von @c.r.s.:

Zitat von @MacLeod:

Richtig. Aber dann ist das entweder eine reine Einbahnstrasse und voll anonym ist kein Feedback möglich. Oder der Meldeführer wird identifizierbar für einen Dialog. Betriebsräte suchen aber gerne nach der eierlegenden Wollmilchsau, die es momentan noch nicht gibt.

Betriebsräte sind nicht die Adressaten des HinSchG und haben jede gesetzestreue Umsetzung durch den Arbeitgeber zu akzeptieren.
Für Unternehmen, die sich die Zielsetzungen des Gesetzes nicht zueigen machen wollen, sollte die sonst mögliche Auslösung eines Mitbestimmungstatbestands geradezu einen weiteren Anreiz darstellen, keinesfalls über die Mindestanforderungen des Gesetzes hinauszugehen und die Umsetzung technisch und organisatorisch so einfach wie möglich zu halten.

Richtig. Aber wie will man dem Betriebsrat, der zumindest informiert wird, klar machen, das die UMSETZUNG auch wirklich gesetzeskonform ist. Der BR will mitreden, mitwirken und mitbestimmen. Der zweifelt das einfach mal an und schon hat man den Salat. So die Realität.
C.R.S.
C.R.S. 14.10.2023 um 14:45:34 Uhr
Goto Top
Zitat von @MacLeod:

Richtig. Aber wie will man dem Betriebsrat, der zumindest informiert wird, klar machen, das die UMSETZUNG auch wirklich gesetzeskonform ist. Der BR will mitreden, mitwirken und mitbestimmen. Der zweifelt das einfach mal an und schon hat man den Salat. So die Realität.

Du setzt voraus, dass der BR die Grenzen seines Mitbestimmungsrechts verkennt (etwas, womit die meisten BRe, im Gegensatz zu vielleicht dem HinSchG, bestens vertraut sein dürften), und der AG den resultierenden Konflikt im Einvernehmen lösen möchte.

Was ist die Schlussfolgerung daraus, für welchen Lösungsansatz argumentierst du also? Für eine bestimmte Software? Es ist das spezifische Problem von Lösungen, die über das Gesetz hinausgehen und/oder sich technischer Komplexität bedienen, Anknüpfungspunkte für eine Mitbestimmung zu liefern. Daher ist es nicht verwunderlich, dass der Betriebsrat einbezogen werden will und ggf. muss, wenn Software von einem "zertifizierten Anbieter" und ein IT-Dienstleister im Spiel sind. Für einen schwierigen BR ergibt das ungleich mehr Betätigungsfelder als eine simple Umsetzung als Unterrichtungsfall, wirft mehr Rechtsfragen auf und macht eine gerichtliche Klärung riskanter.

Unter Governance-Gesichtspunkten kann es insbesondere für internationale Konzerne natürlich opportun sein, über den Rahmen einzelner lokaler Gesetze hinauszugehen. Viel häufiger steht so ein IT-Projekt am Ende des üblichen Zusammenwirkens von Verunsicherung und Upselling, sowohl aus der Rechtsdienstleistungs- als auch der IT-Branche. Das ist zweifellos eine Realität, deren Teil wahrscheinlich mehr als genug Praktiker sind, führt aber im Sinne einer objektiven Betrachtung des Themas nicht weiter.
MacLeod
MacLeod 14.10.2023 um 17:25:14 Uhr
Goto Top
Hallo,
danke das sich das hier wieder konkretisiert. Firma tendiert zu einer kompletten externen Lösung, zertifiziert und DIN und Tralala. Welche genau bin ich gerade am Suchen und warte auch auf Feedback von anderen Firmen in derselben Branche. Eine eigene Umsetzung inhouse kommt nicht in Frage, alleine weil hier bei der Umsetzung Fehler passieren könnten. DSGVO VA möchte sich den Schuh nicht anziehen, interne IT will dafür auch keine rechtliche Verantwortung übernehmen. Verständlich.
Weiterhin abeitet diese Firma mit Azure AD Sync und MS365. Die kleine MS und die große MS Datenkrake sind also immer am mitlauschen. Damit meine ich das Intune mit seiner Überwachung und den Defender Endpoint. Jeder Zugriff auf Webseiten, jeder Dateitransfer auf USB, jeder Ausdruck wird mitgeloggt. Das ist so und das bleibt so. Hier gibt es keine Schlupflöcher. Also fällt die Nutzung der Firmen IT für Meldezwecke weg.
Jetzt kommt der BR ins Spiel und interpretiert die Pflicht zur Umsetzung der Firma so, daß man das anonym vom Firmengerät, aus dem Firmennetz machen können muss. Sieht Firma natürlich nicht so, ich auch nicht, aber ich bin ja kein Anwalt.
Mein (unser) Vorschlag ist nun, ein weiteres internes Gast WLAN aufzuspannen, was über einen übrigen DSL Router nach draußen geht. Hier greifen zwar auch wieder passive Abuse Regeln über die MAC Adresse und natürlich findet auch ein Logging statt. Aber eben nicht personenbezogen mit einem Firmenaccount, sondern nur per MAC. Die Geschwindigkeit wird gedrosselt auf 16/1 Minimum und Volumen pro Gerät/Woche auf Wert X reduziert. So wird es uninteressant für Youtube etc. Passwort für WLAN wird wöchentlich geändert und in den Pausenräumen aufgehängt. So kann jeder meldehungrige mit seinem eigenen Gerät (Handy) vom Arbeitsplatz aus (zumindest dort wo Abdeckung ist) berichten und sogar Fotos hochladen. Da die Arbeiter ohnehin eigene Handys dabei haben wird die Gefahr für "Spionage" dadurch auch nicht größer.
Gibt es bessere Ansätze?
MfG,
Macleod
Besenwesen87
Besenwesen87 16.10.2023 um 07:50:42 Uhr
Goto Top
Okay, ich fasse die bisherigen Ergebnisse mal zusammen:
Lösung nach aussen schlecht, da in irgend einer Art und Weise mitgeloggt wird.
Kummerkasten in schriftlicher Form die einfachste Lösung. Frage hierzu: unsere HR sagte, es müsse telefonisch, digital und analog funktionieren, ist da was dran?
Beste momentan verfügbare Lösung ein externer Dienstleister, der uns jede Menge Geld kostet.
Ich bin jetzt weder Anwalt, noch habe ich das DSGVO mit der Muttermilch eingesogen, aber es muss doch ne einfache und praktikable Lösung geben?

Wir werden zukünftig Exact Synergy einsetzen, kennt das eventuell jemand?
Ich bin gerade mit der Beraterfirma, die uns bei der Einführung unterstützt, am diskutieren, ob es da einen Weg gibt.
Besenwesen87
Besenwesen87 16.10.2023 um 08:50:40 Uhr
Goto Top
Zitat von @8585324113:

NEIN.

Du hast dich verarschen lassen. Da ist jemand psychisch auffällig und trollt im Forum. Das ist der kleine Junge der Fremden den falschen Weg riet.

Lese dich einfach das Gesetz, es sind nur ein paar Seiten.

Oder: https://de.whistly.org/

Das ist auch nur wieder ein Link zu einem externen Unternehmen. Der Gedanke ist ja aber, zuerst mit Bordmitteln zu schauen, ob das umsetzbar ist.
8585324113
8585324113 16.10.2023 um 09:17:17 Uhr
Goto Top
Zitat von @Besenwesen87:

Zitat von @8585324113:

NEIN.

Du hast dich verarschen lassen. Da ist jemand psychisch auffällig und trollt im Forum. Das ist der kleine Junge der Fremden den falschen Weg riet.

Lese dich einfach das Gesetz, es sind nur ein paar Seiten.

Oder: https://de.whistly.org/

Das ist auch nur wieder ein Link zu einem externen Unternehmen. Der Gedanke ist ja aber, zuerst mit Bordmitteln zu schauen, ob das umsetzbar ist.

Dazu müsste man sehr viel über dein Unternehmen wissen. Außerdem wird das Angebot eines internen Meldesystemes nur angenommen, wenn das gesamte Unternehmen grundsätzlich Vertrauenswürdigkeit auf jeder Ebene lebt und ausstrahlt.
Die Lebenserfahrung sagt und zeigt, dass das selten der Fall ist. Das ist auch der Grund warum das externe Modell so beliebt ist.

Natürlich gibt es auch die internen Lösungen die mit Absicht so schlecht gemacht sind.

Das Problem werdet ihr auch nicht in einem IT-Forum lösen.
MacLeod
MacLeod 16.10.2023 um 09:22:19 Uhr
Goto Top
Hallo,
da ich noch konkrete Antworten schuldig bin:
- Gesetzestext verbindlich: https://www.recht.bund.de/bgbl/1/2023/140/VO.html
- Es ist Feedback von Bechtle und eines Betriebes der gleichen Branche aus Österreich eingetrudelt. Bechtle ist bei Akarion GmbH und in die anderen sind Sie bei Otris.de. Einer davon wird es werden.
- Die interne WLAN Geschichte, von der ich berichtet habe, wird komplett verworfen. Das war nämlich eigentlich noch ein Bestandteil aus der Planung für interne Umsetzung.
MfG,
MacLeod
Besenwesen87
Besenwesen87 16.10.2023 um 10:06:00 Uhr
Goto Top
Okay, ich stelle fest, wahrscheinlich gibt es da keinen internen Weg, es führt wohl doch kein Weg an einem externen Dienstleister vorbei.

Erstmal danke für alle Antworten zum Thema.
Thomas2
Thomas2 16.10.2023 aktualisiert um 10:11:05 Uhr
Goto Top
Zitat von @Besenwesen87:

Okay, ich fasse die bisherigen Ergebnisse mal zusammen:
Lösung nach aussen schlecht, da in irgend einer Art und Weise mitgeloggt wird.
Kummerkasten in schriftlicher Form die einfachste Lösung. Frage hierzu: unsere HR sagte, es müsse telefonisch, digital und analog funktionieren, ist da was dran?
Beste momentan verfügbare Lösung ein externer Dienstleister, der uns jede Menge Geld kostet.
Ich bin jetzt weder Anwalt, noch habe ich das DSGVO mit der Muttermilch eingesogen, aber es muss doch ne einfache und praktikable Lösung geben?

Wir werden zukünftig Exact Synergy einsetzen, kennt das eventuell jemand?
Ich bin gerade mit der Beraterfirma, die uns bei der Einführung unterstützt, am diskutieren, ob es da einen Weg gibt.

Hi,

der einfachste Weg ist, einen Mitarbeiter oder eine Abteilung als Meldestelle zu benennen und die Mitarbeiter bezüglich der Pflichten und der DSGVO zu schulen.

Gruß,
Thomas
Besenwesen87
Besenwesen87 16.10.2023 um 10:49:57 Uhr
Goto Top
Zitat von @Thomas2:

Zitat von @Besenwesen87:

Okay, ich fasse die bisherigen Ergebnisse mal zusammen:
Lösung nach aussen schlecht, da in irgend einer Art und Weise mitgeloggt wird.
Kummerkasten in schriftlicher Form die einfachste Lösung. Frage hierzu: unsere HR sagte, es müsse telefonisch, digital und analog funktionieren, ist da was dran?
Beste momentan verfügbare Lösung ein externer Dienstleister, der uns jede Menge Geld kostet.
Ich bin jetzt weder Anwalt, noch habe ich das DSGVO mit der Muttermilch eingesogen, aber es muss doch ne einfache und praktikable Lösung geben?

Wir werden zukünftig Exact Synergy einsetzen, kennt das eventuell jemand?
Ich bin gerade mit der Beraterfirma, die uns bei der Einführung unterstützt, am diskutieren, ob es da einen Weg gibt.

Hi,

der einfachste Weg ist, einen Mitarbeiter oder eine Abteilung als Meldestelle zu benennen und die Mitarbeiter bezüglich der Pflichten und der DSGVO zu schulen.

Gruß,
Thomas

Damit habe ich den digitalen Weg ja nicht erschlagen....
Thomas2
Thomas2 16.10.2023 um 11:23:59 Uhr
Goto Top
Hey,

der MA in der Firma hat in der Regel ein Büro, eine Telefonnummer und ein E-Mail Postfach. Wobei ich dafür ein eigenes Postfach einrichten würde, damit die Daten getrennt sind.

Gruß,
Thomas
Besenwesen87
Besenwesen87 16.10.2023 um 14:00:45 Uhr
Goto Top
Aktueller Stand ist, dass tatsächlich ein Mitarbeiter zum Datenschutzbeauftragten ausgebildet werden soll, damit derjenige das aufs Auge gedrückt bekommt