KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.

Whistleblowing gegen Cybercrime?!

"Whistleblower" Textmarker Pink

[vc_row][vc_column][vc_custom_heading text=“Whistleblowing gegen Cybercrime?!“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1692622694152{margin-top: -25px !important;}“][vc_custom_heading text=“Das Hinweisgeberschutzgesetz als Faktor für
Cybersicherheit“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1692622703030{padding-bottom: 10px !important;}“][vc_column_text]Karoline Ligocki, meibers.rechtsanwälte

(Titelbild: © AdobeStock | 213308034| Feng Yu)[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz und Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1661761237969{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Mit dem Hinweisgeberschutzgesetz bieten sich für Unternehmen Chancen im Kampf gegen Cybercrime. Das neue Gesetz schützt nicht nur Beschäftigte, die Missstände in Unternehmen aufdecken, sondern bietet Unternehmen dadurch die Möglichkeit, frühzeitig von Sicherheitslücken in der IT zu erfahren. Hierzu müssen Unternehmen unter anderem interne Meldestellen einrichten und die Vorgaben des Hinweisgeberschutzgesetzes im Umgang mit Meldungen beachten.[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]In den vergangenen Jahren haben mehrere Vorfälle um sogenannte „Whistleblower“ in der Öffentlichkeit für Aufsehen gesorgt. Nun beschloss die Bundesregierung das Hinweisgeberschutzgesetz, welches am 02. Juli 2023 in Kraft getreten ist. Das Gesetz bietet nicht nur Schutz für Beschäftigte und sonstige hinweisgebende Personen, sondern leistet einen Mehrwert für das ganze Unternehmen: Werden Missstände in der Cybersicherheit und Sicherheitslücken in der IT schneller aufgedeckt, können diese zügiger beseitigt werden. Schädigern wird weniger Angriffsfläche geboten, wenn das Problem direkt an der Wurzel behoben wird.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Zweck des Hinweisgeberschutzgesetzes
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Missstände in Unternehmen und Behörden werden oftmals erst durch Hinweise der Beschäftigten aufgedeckt. Hinweisgeber:innen sind jedoch auch der Gefahr von Repressalien ausgesetzt. Mit dem neuen Hinweisgeberschutzgesetz sollen die sogenannten „Whistleblower“ geschützt werden, wie auch Personen, die Gegenstand einer Meldung oder von ihr betroffen sind. Unter anderem werden in dem Gesetz zu diesem Zweck die Errichtung von internen und externen Meldestellen vorgeschrieben sowie arbeitsrechtliche Modifizierungen vorgenommen. Durch den Schutz von Hinweisgebern unterstützt das Hinweisgeberschutzgesetz somit auch die Transparenz und Sicherheit in Unternehmen. Indem das Gesetz fördert, dass Unrechtmäßigkeiten oder gesetzeswidrige Zustände gemeldet werden, wird eine präventive Problemlösung begünstigt. Dadurch wird auch die Gefahr von Cyberangriffen gesenkt.[/vc_column_text][vc_custom_heading text=“Der Weg zum deutschen Hinweisgeberschutzgesetz“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Im Jahr 2019 beschlossen das Europäische Parlament und der Rat die EU-Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Diese Vorschrift ist auf nationaler Ebene jedoch nicht direkt anwendbar, sondern verpflichtet die Mitgliedstaaten der EU, eigene Gesetze zu verabschieden. Die Frist zur Umsetzung ist im Jahre 2021 abgelaufen, sodass der deutsche Gesetzgeber bereits im vergangenen Jahr europäischem Druck zur Umsetzung ausgesetzt war.

Ein erster Entwurf eines Hinweisgeberschutzgesetzes der Bundesregierung aus dem Jahre 2022 scheiterte zunächst an der notwendigen Zustimmung des Bundesrates. Nach Anrufung des Vermittlungsausschusses und Überarbeitung des Entwurfes wurde das Hinweisgeberschutzgesetz am 31. Mai 2023 durch den Bundestag beschlossen und ist am 02. Juli 2023 in Kraft getreten.

Das Gesetz bietet neben Verpflichtungen für Unternehmen auch Chancen im Kampf gegen Cyberkriminalität. Für eine korrekte Umsetzung der neuen Regelungen müssen Unternehmen daher zunächst verstehen, was und wen das Gesetz schützt.[/vc_column_text][vc_custom_heading text=“„Hinweisgeber“ und „Hinweise“ nach dem neuen Gesetz“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Hinweisgeber:innen im Sinne des Hinweisgeberschutzgesetzes sind „natürliche Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen“ (§ 1 Absatz 1 Hinweisgeberschutzgesetz). Darüber hinaus erstreckt sich der Schutz auf alle „Personen […], die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind“ (§ 1 Absatz 2 Hinweisgeberschutzgesetz).

Allerdings werden nicht alle Hinweise zu Verstößen von dem Hinweisgeberschutzgesetz erfasst. Unter den Anwendungsbereich fallen nach § 2 des Hinweisgeberschutzgesetzes unter anderem Hinweise zu Verstößen, die strafbewehrt sind, sowie Verstöße gegen Rechtsvorschriften aus den Bereichen der Geldwäsche, der Produktsicherheit und -konformität, des Straßeninfrastruktursicherheitsmanagements, der betrieblichen und technischen Sicherheit im Luftverkehr, des Umweltschutzes, der Lebensmittelsicherheit und der Verbraucherrechte. Insbesondere gilt das Hinweisgeberschutzgesetz auch für Hinweise zu Verstößen gegen Rechtsvorschriften aus den Bereichen des Datenschutzes, wie zum Beispiel dem Schutz der Vertraulichkeit der Kommunikation, sowie der Sicherheit in der Informationstechnik.[/vc_column_text][vc_custom_heading text=“Die Herausforderung der Einrichtung einer internen Meldestelle“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Das Hinweisgeberschutzgesetz sieht mehrere Maßnahmen zum Schutz von Hinweisgebern vor, unter anderem die Einrichtung einer internen Meldestelle. „Whistleblower“ sollen vor Repressalien geschützt werden und die Möglichkeit haben, Hinweise zu Missständen vertraulich zu melden. Eine Vielzahl von Unternehmen wird durch das Gesetz verpflichtet, eine interne Meldestelle einzurichten. Die Verpflichtung zur Einrichtung einer internen Meldestelle besteht generell für alle Unternehmen mit (in der Regel) mindestens 50 Beschäftigten. Es gibt jedoch auch Ausnahmen, sodass Meldestellen auch in kleineren Unternehmen eingerichtet werden müssen. Das gilt zum Beispiel für Kapitalverwaltungsgesellschaften oder Datenbereitstellungsdienste.

Die interne Meldestelle muss so eingerichtet werden, dass die Identität der hinweisgebenden Person vertraulich behandelt wird. Dies gilt auch für die Identität von Personen, die Gegenstand einer Meldung oder von dieser betroffen sind. Auch darüber hinaus ist die Einrichtung einer Meldestelle durchaus komplex: Die Durchführung des Meldeverfahrens bedarf der dauerhaften Dokumentation eingehender Meldungen in vertraulicher Weise sowie gegebenenfalls die Einleitung von Folgemaßnahmen. Die internen Meldestellen müssen beispielsweise so eingerichtet sein, dass dem/der Hinweisgeber:in drei Monate nach Bestätigung des Eingangs einer Meldung eine vertrauliche Rückmeldung gegeben werden kann. Diese Rückmeldung muss nach § 17 des Hinweisgeberschutzgesetzes „die Mitteilung geplanter sowie bereits ergriffener Folgemaßnahmen sowie die Gründe für diese“ umfassen.

Nicht zuletzt müssen die mit dem Meldeverfahren beauftragten Personen die erforderliche Fachkunde besitzen. Auch aus diesem Grund sieht das Hinweisgeberschutzgesetz vor, dass Unternehmen einen fachkundigen Dienstleister mit der Einrichtung der internen Meldestelle und der Wahrnehmung der Aufgaben der internen Meldestelle beauftragen können.[/vc_column_text][vc_custom_heading text=“Chancen im Kampf gegen Cyberkriminalität
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Das Hinweisgeberschutzgesetz erweckt zunächst den Anschein, dass es hauptsächlich Beschäftigte und sonstige hinweisgebende Personen vor Repressalien schützen soll. Auch wenn dies das Hauptaugenmerk des neuen Gesetzes darstellt, verfolgt das Gesetz ebenso die Erhaltung einer funktionierenden und rechtskonformen deutschen Wirtschaft wie auch den Schutz der einzelnen Unternehmen.

Denn das Thema Cyberkriminalität ist bedeutsamer denn je: Nahezu jedes Unternehmen verfügt über zahlreiche informationstechnologische Systeme und Strukturen und bietet damit Außenstehenden – wie Schädigern aus den eigenen Reihen – eine Vielzahl an Möglichkeiten, dem Unternehmen zu schaden. Ein Hackerangriff kann dazu führen, dass ein Unternehmen gänzlich „lahmgelegt“ wird und beispielsweise seine Produktion oder Dienstleistung vorübergehend oder dauerhaft einstellen muss. Auch können zum Beispiel durch interne Fehler und Sicherheitslücken entstandene Datenlecks dazu führen, dass Kriminelle die abgeflossenen Daten zu ihren Gunsten nutzen und andere Personen sowie das Unternehmen schädigen: Personenbezogene Daten von Kund:innen oder Geschäftspartner:innen werden von den Schädigern für Phishing oder sonstigen Betrug genutzt, Geschäftsgeheimnisse und interne Daten an die Öffentlichkeit getragen oder für eigene Zwecke verwertet.

Das Hinweisgeberschutzgesetz bietet nun die Chance, dass es erst gar nicht zu Datensicherheitspannen oder Cybersicherheitslücken kommt und wirkt einem Schaden im Unternehmen oder bei privaten Personen entgegen. Durch Einrichtung interner sowie externer Meldestellen wird es hinweisgebenden Personen deutlich erleichtert, auf Missstände aufmerksam zu machen. Darüber hinaus kann der erhöhte Schutz hinweisgebender Personen durch arbeitsrechtliche Modifizierungen dazu führen, dass diese nicht mehr dem massiven Druck bei einer Offenlegung ausgesetzt sind und daher auch anfängliche Missstände im Unternehmen aufdecken. Dem Unternehmen wird dann die Möglichkeit gegeben, diese Missstände, wie zum Beispiel eine Sicherheitslücke im IT-System, frühzeitig zu beheben und Cyberkriminellen keine Angriffsfläche mehr zu bieten. Erforderlich hierfür ist allerdings, dass sich das Unternehmen an die gesetzlichen Vorgaben des Hinweisgeberschutzgesetzes hält und so eine präventive Problemlösung unterstützt.[/vc_column_text][vc_custom_heading text=“Umfangreiche Vorgaben zu beachten
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Neben der Einrichtung interner Meldestellen haben Unternehmen weitere umfangreiche Vorgaben zu beachten. Unter anderem sollen Beschäftigungsgeber:innen Anreize dafür schaffen, dass sich Hinweisgeber:innen zunächst an die interne Meldestelle wenden, bevor sie eine externe Meldestelle aufsuchen. Gleichzeitig darf die Nutzung einer externen Meldestelle durch Beschäftigungsgeber:innen nicht behindert werden.

Eine der wichtigsten Normen des Regelungswerks ist § 36 des Hinweisgeberschutzgesetzes. Dort heißt es in Absatz 1: „Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben.“ Um diesen Schutz vollumfänglich zu gewährleisten hat das Hinweisgeberschutzgesetz auch arbeitsrechtliche Auswirkungen: Spricht das Unternehmen gegenüber einem/einer Hinweisgeber:in eine Kündigung aus, so trägt es bei Beanstandung die Beweislast dafür, dass die Kündigung nicht aufgrund des Hinweises erfolgte. Das Unternehmen ist nach der sogenannten „Beweislastumkehr“ also in der Pflicht zu beweisen, dass eine Kündigung „auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte“ (§ 36 Absatz 2 Hinweisgeberschutzgesetz).

Auch darüber hinaus macht das Hinweisgeberschutzgesetz nicht nur Vorgaben zum richtigen Umgang mit Hinweisen, sondern sieht auch Sanktionen bei einem falschen Umgang mit diesen vor: Sollte das Unternehmen beispielsweise dem/der Hinweisgeber:in entgegen dem Hinweisgeberschutzgesetz Sanktionen auferlegen, so droht dem Unternehmen eine Schadensersatzpflicht. Auch können Verstöße wie eine fehlende interne Meldestelle eine Ordnungswidrigkeit darstellen und mit Bußgeldern bis zu 20.000 Euro geahndet werden. Bei Verstößen wie der Behinderung von Meldungen, der gesetzeswidrigen Auferlegung von Repressalien sowie Verstößen gegen die Vertraulichkeit von Hinweisen drohen sogar Geldbußen von bis zu 50.000 Euro.[/vc_column_text][vc_custom_heading text=“Erhöhter Aufwand, aber auch eine große Chance
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Unternehmen fürchten oftmals den erhöhten Aufwand, der mit der Einrichtung einer internen Meldestelle einhergeht. Um alle gesetzlichen Vorgaben zu erfüllen, dürfen Beschäftigungsgeber:innen jedoch auch externe Dienstleister für die Einrichtung der internen Meldestelle einsetzen. Trotz des Aufwands sollten Unternehmen die mit dem neuen Hinweisgeberschutzgesetz einhergehenden Chancen nicht aus den Augen lassen. Durch die frühzeitige Aufdeckung von Missständen und Sicherheitslücken kann Cyberangriffen frühzeitig vorgebeugt und somit die Sicherheit und Integrität des gesamten Unternehmens geschützt werden.[/vc_column_text][vc_custom_heading text=“Digitalisierung als Schlüssel im Wissenszeitalter“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Zusammengefasst erleben wir eine Situation, in der a) Hochsicherheitssysteme oftmals zu teuer und zudem wenig hilfreich sind, b) Lösungen nur überzeugen, wenn Sie den Alltag erleichtern, weil sie ansonsten aufgrund mangelnder Zeit nicht umgesetzt werden und c) insgesamt eine Lage, bei der wir mit Angriffen sehr viel ernster umgehen sollten, denn sie sind nicht nur lästig für das Individuum, sie stören zunehmend unseren gesellschaftlichen Zusammenhalt.

In Zeiten, in denen zu berücksichtigende Teile der deutschen Gesellschaft Zweifel an der Fähigkeit von Demokratie äußern, sich um ihre Belange zu kümmern, ist hier ein Versagen der öffentlichen Hand besonders kritisch zu sehen. Gerade jetzt, in Zeiten multipler, verzahnter Krisen muss sich die Politik hier verlässlich, nachvollziehbar und stark zeigen können – und nicht etwa ein halbes Jahr keine Kennzeichen vergeben können oder auch im Wirrwarr der Marktschreienden auf Twitter und Co. untergehen.

Insbesondere die Möglichkeiten der Digitalisierung können, bei aller berechtigter Kritik und Vorsicht, der Schlüssel sein, wieder schneller, direkter und transparenter zu werden, aber auch zu neuen Ansätzen und Lösungswegen zu kommen. Wir stehen gerade erst an der Schwelle vom Informations- zum Wissenszeitalter, etwa durch sogenannte „Large Language Models“ wie ChatGPT. Nur: Damit diese Dienste nicht nur die zum Schmunzeln anregenden Halbwahrheiten ausspucken, braucht es aufbereitet das Verständnis – und damit die Daten – von nun schon über 30 Jahren gesamtdeutscher Demokratie. Sie sollte es uns wert sein.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Fmetaverse%2F|title:Metaverse%2C%20NFTs%20%26%20Cryptos|target:_blank“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]

LinkedIn
WhatsApp
Telegram
Facebook

Related Posts

The Moral Compass of the Mind

Gemeinsame globale Standards: Die UNESCO-Empfehlung als ethischer Kompass für KI

Image 2: Co-founders in front of W7-X2. (Proxima Fusion)

Fusion: The Final Frontier. These are the voyages of the next-generation stellarator reactors

Eintritt Campus Schwarzwald gGmbH

Vom Köhlerhandwerk zur KI-Forschung: Die neue Innovationslandschaft im Schwarzwald

Green city

Mit Moos mehr los: Wie Biofilter und Daten die Städte entlasten

Data Raining Wald

It’s Raining Data: Wasserprognosen gewinnen an Präzision

Labyrinth und Hand. Lösungen.

Repair Culture für Bauwerke: Diagnostik, die tief unter die Oberfläche reicht

  • 1. September 2023

August-Wilhelm Scheer Institut

Entdecken Sie unsere neusten Ausgaben

Innovationskultur – Räume, Regeln, Rebellen

Artikel entdecken