EU-Whistleblowing-Richtlinie stellt Unternehmen vor neue Herausforderungen

schweigen und geheimhaltung

FTAPI launcht IT-gestütztes Hinweisgebersystem

München, 04. Mai 2021 – Noch in diesem Jahr muss die EU-Whistleblowing-Richtlinie, die die Einrichtung eines Hinweisgebersystems in Firmen fordert, in nationales Recht umgesetzt sein. Damit sind Unternehmen mit mehr als 50 Mitarbeiter:innen sowie Behörden und Kommunen ab 10.000 Einwohner:innen gefordert, ein solches System gemäß aller Anforderungen in ihre Betriebsstruktur zu implementieren. Der Münchener Anbieter für Datentransfer-Lösungen FTAPI hat erkannt, vor welche Herausforderungen besonders die 2,6 Millionen kleinen und mittelständischen Unternehmen in Deutschland damit gestellt werden. Deswegen bietet FTAPI ab sofort eine einfach zu integrierende und kostengünstige Lösung.

Warum E-Mail-Verteiler und Telefon-Hotlines keine adäquate Lösung sind

Wer in einem Unternehmen oder einer Behörde Verstöße gegen nationales oder EU-Recht feststellt, muss diese in Zukunft anonym, DSGVO-konform und zu jeder Uhrzeit melden können. Entsprechende Hinweisgeber:innen, so genannte Whistleblower, sollen durch diese Maßnahmen geschützt werden. An die Umsetzung wurden seitens der EU diverse Anforderungen zum Personen- und Identitätsschutz geknüpft, sodass klassische Kommunikationswege entweder unzulässig oder schwer umsetzbar sind. Sowohl eine interne Telefon-Hotline als auch eine gesonderte E-Mail-Adresse genügen nicht, da die Anonymität des Hinweisgebers nicht gewährt werden kann. Direkte Gespräche würden zwar den Anforderungen genügen, sind aber in der Praxis schwer umsetzbar. Allein ein IT-gestütztes Hinweisgebersystem erfüllt alle Vorschriften.


FTAPIs SecuForms fungieren als Hinweisgebersystem

FTAPI bietet Unternehmen bereits seit mehreren Jahren Ende-zu-Ende-verschlüsselte Formulare, sogenannte SecuForms, mit denen sensible Daten DSGVO-konform übertragen werden. Bisher kam diese Lösung unter anderem beim Bewerber:innen-Management zum Einsatz, um Bewerbungsunterlagen sicher und datenschutzkonform zu übermitteln. FTAPIs SecuForms basieren auf der sicheren Datenaustauschplattform SecuTransfer. Da die Produkte von Haus aus den Anforderungen der EU-Whistleblower-Richtlinie entsprechen, bietet das Münchener Unternehmen diese nun auch als schlüsselfertiges und zugleich individuell anpassbares Hinweisgebersystem an.

Unternehmen, die eine entsprechende Lizenz von FTAPI erwerben, verfügen über ein Hinweisgebersystem, welches über einen Link einfach und schnell in die bestehende Infrastruktur implementiert werden kann. Das Formular kann inhaltlich und optisch individuell angepasst werden, sodass es nicht nur dem Firmen-CI entspricht, sondern auch jedes Unternehmen selbst festlegen kann, wie das Formular aufgebaut sein soll. Jede Meldung, die über das Formular eingeht, wird sicher Ende-zu-Ende-verschlüsselt und auf Hochsicherheitsrechenzentren von SysEleven in Deutschland gespeichert. Die Datenübertragung erfolgt nach dem Zero-Knowledge-Prinzip, so dass niemand, auch kein Admin oder FTAPI selbst, auf die Daten zugreifen kann. Lediglich der oder die zuvor bestimmte Empfänger:in erhält diese unverschlüsselt zur Einsicht. Auch alle Meta-Daten wie die IP-Adresse oder Log-Dateien werden nach 24 Stunden automatisch gelöscht.


“Ein Hinweisgebersystem verlangt höchstes Vertrauen in die darunterliegende Infrastruktur. Daher sind wir stolz, dass FTAPI SysEleven als Cloud-Anbieter für ihr DSGVO-konformes Cloud-Native-Angebot ausgewählt hat“, sagt Marc Korthaus, Gründer und Geschäftsführer von SysEleven. „Wir haben uns als innovativer OpenStack Cloud Anbieter offenen Standards und der Digitalen Souveränität verpflichtet und stellen eine hoch performante, vertrauenswürdige Basis für die verschlüsselte Kommunikation zur Verfügung.”

Geht eine Meldung ein, wird der oder die Empfänger:in – das kann eine ausgewählte Person im Unternehmen oder auch eine externe Anwaltskanzlei sein, zunächst per E-Mail darüber informiert, dass eine neue Meldung vorliegt. Mit einem speziellen Schlüssel, dem eigens von FTAPI entwickelten SecuPass, erhält die Empfangsperson Zugang zum eingereichten Hinweis über die FTAPI-Plattform. Diese Plattform basiert ebenfalls auf einem bereits zuvor entwickelten FTAPI-Produkt, dem so genannten SecuTransfer. So wird sichergestellt, dass nur diese Person als authentifizierte:r Empfänger:in die Nachricht entschlüsseln kann. Whistleblower erhalten neben einer Eingangsbestätigung auch eine Kopie ihrer Meldung. Sie haben außerdem die Möglichkeit, sich anonym einzuloggen, wenn sie einen weiteren Informationsaustausch wünschen, dabei aber ihre Identität nicht preisgeben wollen.


„Da wir mit unseren SecuForms sowie dem SecuTransfer bereits die nötige Technologie und Erfahrung für ein Hinweisgebersystem besaßen, war es für uns die einzig logische Konsequenz unsere sicheren Formulare auf diesen speziellen Anwendungsfall hin anzupassen. So wichtig der Schutz von Whistleblowern auch ist, es darf nicht vergessen werden, vor welche Herausforderung vor allem die KMUs in Deutschland gestellt werden. Viele verfügen gar nicht über die technischen und finanziellen Mittel ein solches System selbst aufzubauen. Daher freuen wir uns, dass wir mit unserem Know-How all jene unterstützen können, die die Richtlinie erfüllen wollen, aber keine eigene Compliance-Abteilung im Rücken haben,“ erklärt Daniel Niesler, CEO von FTAPI.

FTAPIs Hinweisgebersystem kann als Lizenz zu einem monatlichen Preis von 99 Euro erworben werden.

Webinar klärt über richtige Umsetzung auf

Weiterführende Informationen gibt FTAPI gemeinsam mit seinen Partnern Taylor Wessing, SysEleven und der audatis Group in einem Webinar am 20. Mai 2021. Beim Webinar zum Thema „EU-Whistleblowing-Richtlinie richtig umsetzen“ wird sowohl auf die rechtlichen Rahmenbedingungen als auch auf die technischen Anforderungen eingegangen. Die Teilnahme ist kostenlos, Interessierte können sich hier anmelden.

Über FTAPI


FTAPI ist der einzige Softwareanbieter für umfassenden Datentransfer auf deutschen Servern. Seit dem Markteintritt im Jahr 2010 vertrauen bereits 1.200 Unternehmen und über eine Million Nutzer:innen auf FTAPI und nutzen eigens entwickelten SecuPass-Sicherheitstechnologie. Die Plattform des Münchener Unternehmens ermöglicht Unternehmen, Behörden und medizinischen Einrichtungen den einfachen, sicheren und DSGVO-konformen Datenaustausch. Zu den Kunden zählen u.a. die Bundesärztekammer, der ADAC, das DRK und Peri. Datenräume, sichere Formulare und Prozesse ergänzen die Datenübertragung per Mail, Browser oder App. Das Münchener Unternehmen, welches von CEO Daniel Niesler geführt wird, beschäftigt 55 Mitarbeiter:innen und zählt seit Jahren gemäß Deloitte Fast 50 zu den am schnellsten wachsenden Technologie-Unternehmen.