Gesetzlich vorgesehene Schutzformen für den Whistleblower
Die Identität des Whistleblowers wird sowohl während der Einholung der Meldung als auch in allen darauffolgenden Phasen geschützt; davon ausgenommen sind die Fälle, in denen die Identität von Rechts wegen preisgegeben werden muss (z. B. bei straf-, steuer- oder verwaltungsrechtlichen Ermittlungen, Inspektionen der Kontrollorgane usw.). Die Identität des Whistleblowers darf den Personen, die für die Abwicklung des gesamten Disziplinarverfahrens zuständig sind und dem Beschuldigten nur in den Fällen preisgegeben werden, in denen:
-
die meldende Person ausdrücklich ihre Zustimmung dazu gibt;
-
die Beanstandung der Disziplinarstrafe bezüglich der Meldung sich ganz oder teilweise als begründet herausstellt und die Kenntnis der Identität der meldenden Person absolut unerlässlich für die Verteidigung des Beschuldigten ist.
Alle Personen, die Meldungen erhalten oder die an deren Bearbeitung beteiligt sind, müssen die vertrauliche Behandlung der Identität der meldenden Person gewährleisten.
Das ÜO hat die mutmaßliche Diskriminierung dem Verwaltungsrat zu melden.
Der Fonds verpflichtet sich außerdem, auch im Sinne der spezifischen Vorschriften der einschlägigen Gesetze, den Verantwortlichen der Grundlegenden Funktion, welche eine Meldung erstattet, vor etwaigen Vergeltungsaktionen und diskriminierenden Handlungen zu schützen, unter strikter Einhaltung des vorliegenden Verfahrens und der im Ethikkodex enthaltenen Grundsätze.
Infrastruktur und Sicherheit
Die Verwaltungssoftware des Whistleblowing gewährleistet im Einklang mit den gesetzlichen Vorgaben sowohl für die meldende Person als auch die Infrastruktur ein ausgesprochen hohes Sicherheitsniveau.
Sicherheit der meldenden Person und der Meldungen
-
Asymmetrische Verschlüsselung der Textinhalte und angehängten Dateien: die Verschlüsselung erfordert keine spezifischen Handlungen seitens der Benutzer. Das Verschlüsselungssystem gewährleistet, dass die Nachrichten und entsprechenden Anlagen durch die Kombination aus „öffentlichem und privatem kryptographischem Schlüssel“ gelesen werden können.
-
Zugriffsmöglichkeit mit Smart Card.
-
Geregelter Zugriff unter Einhaltung des Datenschutzgesetzes: Der Zugriff auf die Meldungen ist ausschließlich mit entsprechenden Zugangsdaten (für registrierte Nutzer) oder die Eingabe der mit der Meldung verknüpften Codes (für nicht registrierte Nutzer) zulässig.
Anwendungssicherheit
Trennung der Meldung von der Identität der meldenden Person (wie im Übrigen auch im ANAC-Beschluss Nr. 6 vom 28. April 2015, Teil III, Kap. 2) vorgesehen: die Vertraulichkeit der meldenden Person wird zudem durch die Software garantiert, die eine strikte Trennung des Anmeldeverfahrens vom Meldeverfahren vorsieht. Somit ist eine ordnungsgemäße Datentrennung gewährleistet. In der versendeten Meldung wird in der Tat der Name der meldenden Person nicht genannt. Davon unberührt bleibt die Möglichkeit der Mitglieder des ÜO, das Verfahren zu aktivieren, anhand dessen das System die Identität der meldenden Person mit der Meldung verknüpft und zwar unter Begründung der Anfrage, wenn dies für notwendig erachtet wird sowie in den vom Gesetz vorgesehenen Fällen. Dieser Vorgang wird der meldenden Person automatisch mitgeteilt und im System registriert.
Dedizierte DigitalPA-Server: Maximaler Schutz der Daten und Sicherheitsstufen, die sowohl durch die Zertifizierung DigitalPA ISO 27001/2014 als auch die Infrastruktur der ISO 27001/2014 zertifizierten Serverfarm gewährleistet werden.
Firewall Hardware und integrierte Software: jede Plattform verfügt über eine integrierte Firewall mit äußerst strikten Regeln, die die Zugriffe und Handlungen auf die ausschließlich der Software gewidmeten Aufgaben begrenzen; die Firewalls integrieren einander und verstärken die Sicherheit zusätzlich.
SSL-Zertifikat: der Zugriff auf die Whistleblowing-Software ist ausschließlich durch HTTPS (Secure Sockets Layer) möglich.
Dedizierte IP und SSL-Zertifikat für jeden einzelnen Kunden.
Input-Validierung Nutzer: die Plattform basiert auf einem Input-Validierungsansatz des Nutzers. Anhand extrem strikter Regeln wird der Nutzer sowohl auf Client- als auch auf Server-Ebene überprüft.
CSRF-Prävention: Alle von der Plattform verwalteten Anfragen sind durch CSRF Token geschützt.