GH GambleHub

Whistleblower-Kanal und Datenschutz

1) Zweck und Bereich

Bereitstellung einer sicheren, zugänglichen und vertrauenswürdigen Methode für Mitarbeiter, Auftragnehmer, Partner und andere Stakeholder, um Verstöße (Korruption, Betrug, AML/Sanktionen, RG, GDPR/PII, PCI/IB, Werbung/Partner, Interessenkonflikte, Diskriminierung und Belästigung, Lizenz-/Gesetzesverstöße) zu melden. Das Dokument regelt Kanäle, Anonymität, Datenverarbeitung, Ermittlungsverfahren und den Schutz vor Repressalien.

2) Grundsätze

Null Toleranz gegenüber Repression. Jede Reaktion ist verboten.
Datenschutz und Datenminimierung. Die Sammlung ist nur notwendig, nach dem Prinzip need-to-know.
Anonymität nach Wahl des Informanten. Die Fähigkeit, ohne Offenlegung der Identität zu kommunizieren.
Aktualität und Fairness. SLA Zulassung/Prüfung; eine dokumentierte, unparteiische Methodik.
Unabhängigkeit. Rollenverteilung: Nachrichten entgegennehmen, Ermittlungen, Sanktionen.
Transparenz des Prozesses. Statusverfolgung, Feedback, öffentliche Statistiken ohne Personalien.

3) Rollen und RACI

Whistleblowing Officer (WBO) - Prozesseigentümer, Triage, Koordination von Untersuchungen, Berichterstattung. (A/R)

Compliance/Legal/DSB - Rechtliche Bewertung, Datenschutz, Datenschutz. (R/C)

InfoSec/CISO - Kanalsicherheit, Verschlüsselung, Zugangskontrolle, Protokollierung. (R)

HR/ER (Employee Relations) - Ethik-/Verhaltensfälle, Unterstützungsmaßnahmen. (R)

Internal Audit (IA) - unabhängige Qualitätskontrolle von Untersuchungen und CAPA. (C)

Sicherheit/Trust & Safety - technische/Betrugsfälle, Sammlung digitaler Artefakte. (R)

Exec Sponsor (CEO/COO) - „tone from the top“, Ressourcen, Eskalationen S1. (I/A)

4) Nachrichtenempfangskanäle

1. Webformular (empfohlen primär): Unterstützung für Anonymität; Sichere Token/Pin-Korrespondenz.
2. E-Mail: dedizierte Box mit Auto-Verschlüsselung, Auto-Quittierung ohne Offenlegung des Inhalts.
3. Hotline/Telefon: Aufnahme in das System mit Datenmaskierung.
4. Chatbot im Unternehmens-Messenger: nicht für Anonyme (oder mit Proxy-Mechanismus).
5. Postanschrift/physische Box: für Offline-Nachrichten (Scannen und Hochladen in das System).
6. Direkter Kontakt zum WBO/IA: persönliches Treffen - auf Wunsch des Whistleblowers.

Kanalanforderungen: Ende-zu-Ende-TLS, Speicherung in verschlüsseltem Speicher, RBAC, Zugriffsprotokolle sind unveränderlich, kein IP/Device-Tracking in anonymisierter Form, transparente Cookie/Log-Politik.

5) Datenschutz und Rechtsgrundlage

Gesetzliche Grundlage: Erfüllung rechtlicher Pflichten, berechtigte Interessen des Unternehmens, öffentliches Interesse (je nach Gerichtsbarkeit).
DPIA: vor dem Start - Bewertung der Auswirkungen auf die Privatsphäre; Erfassung von Risiken und Minderungsmaßnahmen.
Datenklassifizierung: persönlich, sensibel (Gesundheit, Ethnizität usw.), Geschäftsgeheimnisse, Untersuchungsartefakte.
Minimierung: nicht zu viel sammeln; Nicht konforme Dokumente löschen.
Grenzüberschreitende Übertragungen: Nur bei Vorliegen einer Rechtsgrundlage und vertraglicher Garantien.
Rechte der betroffenen Personen: DSAR werden vom DSO verarbeitet; Ausnahme: Keine Offenlegung der Identität des Hinweisgebers und Daten, die die Ermittlungen/Dritte gefährden.
Retention: Nachrichten und Artefakte - in der Regel 5 Jahre entweder durch Politik/Gesetz/Lizenz; dann sicheres Löschen (crypto-shred/logisches Löschen mit Log).

6) Sicherheit und technische Maßnahmen

Verschlüsselung: at-rest (KMS/HSM), in-transit (TLS), Schlüssel - mit Rotation und Abgrenzung.
Zugang: RBAC/ABAC, Prinzip der kleinsten Privilegien, separate Domains für anonyme Fälle.
Protokolle: unveränderlich (WORM), Überwachung ungewöhnlicher Zugriffe, Warnungen.
Segmentierung: Das Nachrichtensystem ist von den Prod-Systemen isoliert; separate Backups mit Wiederherstellungsprüfung.
Metadaten: Maskieren, EXIF aus Anhängen entfernen, Hinweisgeber vor automatischer De-Identifizierung warnen.
Geheime Kommunikationskanäle: Sicheres Postfach/Webmail für zweiseitige anonyme Korrespondenz.

7) Fallklassifizierung und Prioritäten

S1 (Kritisch): Korruption/Bestechung, grober Betrug, PII/PCI-Leak, Bedrohungen des Lebens/der Sicherheit, schwere Verstöße gegen Lizenzen/Gesetze.
S2 (Hoch): systemische Richtlinienverstöße (AML/RG/GDPR/IB), schwerwiegende Interessenkonflikte, Diskriminierung/Belästigung.
S3 (Medium): lokale Verstöße gegen Verfahren, Fehler in Werbung/Affiliates, einmalige Verhaltensstörungen.
S4 (Niedrig): Verbesserungsvorschläge, risikoarme Vorfälle.

SLA:
  • Empfangsbestätigung: S1/S2 - ≤ 24 Stunden; S3/S4 — ≤ 3 Flusse dn.
  • Primäre Bewertung (Triage): S1 - ≤ 48 Stunden; S2 — ≤ 5 Flusse dn.; S3/S4 — ≤ 10 Flusse dn.
  • Untersuchungsplan: S1 - ≤ 3 r.d.; S2 — ≤ 10 Flusse dn.

8) Der Prozess von der Nachricht bis zum Schließen

Schritt 1 - Empfang und Quittung. ID-Vergabe, Kanalfixierung, Beweissicherung „as is“.
Schritt 2 - Triage und Unabhängigkeit. Prüfung auf Interessenkonflikte bei benannten Personen; Im Konflikt: Umverteilung.
Schritt 3 - Risikobewertung und Plan. Umfang, Hypothesen, Legalität der Methoden, Liste der Artefakte, Roadmap.
Schritt 4 - Beweise sammeln. Dokumente, Protokolle, Interviews, Transaktionsstichproben; Einhaltung von Chain-of-Custody.
Schritt 5 - Analyse und Schlussfolgerungen. Tatsache → Kriterium (Politik/Recht/Lizenz) → Risiko → Einfluss.
Schritt 6 - Empfehlungen und CAPAs. Korrektur-/Vorsorgemaßnahmen, Eigentümer, Termine, Erfolgskennzahlen.
Schritt 7 - Kommunikation und Feedback. Ohne Offenlegung der Identität des Informanten; saubere Sprache (keine Anklage bis zum Finale).
Schritt 8 - Schließen und Retention. Abschlussbericht, Status, Aufbewahrung von Artefakten, Veröffentlichung anonymisierter Statistiken.

9) Kommunikation und Whistleblower-Schutz

Kein Kippen-Aus. Den mutmaßlichen Tätern die Tatsache der Mitteilung/Untersuchung nicht offenbaren.
Schutz vor Repression. Herabstufung, Entlassung, Entzug von Boni, Mobbing usw. sind verboten. Vergeltungsmaßnahmen werden als separate S1/S2-Verletzung behandelt.
Unterstützung: bei Bedarf - Transfer in ein anderes Team, Urlaub, Beratung HR/Anwälte/psychologische Unterstützung.
Bidirektionale anonyme Kommunikation: Ein Whistleblower kann Fragen stellen und Status über eine Web-Inbox/Token erhalten.

10) Verhältnis zu anderen Politikbereichen

Ethik- und Verhaltenskodex - Standards und Kanäle.
Anti-Korruptions-Politik - Due Diligence, Geschenke, Vermittler.
DSGVO/PII - Rechtmäßigkeit der Verarbeitung, DSAR, Retention.
AML/RG/PCI/IB - Profilverfahren und Triage.
Interne Revision - unabhängige Qualitätskontrolle von Untersuchungen.

11) Checklisten

11. 1 Vor dem Starten des Kanals

  • DPIA und die Datenschutzrichtlinie werden vom DSB/Legal genehmigt.
  • Technische Architektur: Verschlüsselung, RBAC, WORM-Protokolle.
  • Ein anonymes Webformular und eine Zwei-Wege-Token-Kommunikation sind eingerichtet.
  • Schulung des WBO/Triage-Teams zur Untersuchungsmethodik.
  • Vorlagen vorbereitet (Quittung, Untersuchungsplan, Bericht, Abschlussschreiben).
  • Kommunikationskampagne: „Ton von oben“, Plakate, Intranet, FAQ.

11. 2 Empfang der Nachricht

  • ID zugeordnet, Datum/Kanal/S-Ebene erfasst.
  • Bestätigung an Whistleblower ohne Angabe von Details gesendet.
  • Der Interessenkonflikt der ausübenden Künstler wurde überprüft.
  • Alle Anhänge/Metadaten erfasst, De-Identifizierung durchgeführt.

11. 3 Untersuchung

  • Plan und Hypothesen genehmigt (Legal/DPO/InfoSec - falls erforderlich).
  • Chain-of-custody wird für jedes Artefakt geführt.
  • Die Interviews werden protokolliert; Datenschutzhinweis.
  • Schlussfolgerungen basieren auf überprüfbaren Fakten, Peer-Review durchgeführt.

11. 4 Schließung

  • CAPAs zugewiesen, Termine und Kennzahlen definiert.
  • Der Whistleblower (Gelegenheit) erhielt unpersönliches Feedback.
  • Retention/Klassifikation festgelegt; Die Artefakte werden archiviert.
  • Statistik auf Dashboard aktualisiert.

12) Dokumentvorlagen (Schnelleinfügungen)

A) Quittung an den Informanten

💡 Vielen Dank für die Nachricht. Ihre ID: WB-XXXX. Wir werden die Informationen prüfen und uns gegebenenfalls über diesen sicheren Kanal in Verbindung setzen. Sie können anonym bleiben. Bitte geben Sie die Informationen erst öffentlich bekannt, wenn die Überprüfung abgeschlossen ist.

B) Untersuchungsplan (Ein-Pager)

Fall: WB-XXXX Priorität: S1/S2/S3/S4 Eigentümer:... Fristen:...
Hypothesen/Kriterien:...
Daten/Artefakte:...

Interview: Liste/Zeitplan

Datenschutzrisiken/rechtliche Einschränkungen:...
Kommunikation und Kontrollpunkte:...

C) Abschlussbericht (Struktur)

Zusammenfassung Fakten Kriterien (Politik/Recht) Analyse Schlussfolgerungen CAPA-Empfehlungen Anhänge (Artefakte).

D) Abschlussschreiben

💡 Wir informieren Sie, dass die Prüfung des Falles WB-XXXX abgeschlossen ist. Es wurden Compliance-Maßnahmen ergriffen. Vielen Dank für Ihren Beitrag zum ethischen und sicheren Betrieb des Unternehmens.

13) Metriken und Dashboards

Intake Volume: Anzahl der Beiträge nach Kategorie und Kanal.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA-Compliance nach S-Level.
CAPA-Fortschritt: abgeschlossen/in Arbeit/überfällig, Medianabschluss.
Retaliation Index: registrierte Beschwerden über Vergeltungsmaßnahmen (Ziel 0).
Anonymity Rate: Anteil anonymer Nachrichten und deren Umwandlung in bestätigte Fälle.
Repeat Findings: Wiederholbarkeit von Themen in 12 Monaten.
Awareness Impact: Zunahme der Zugriffe nach Kampagnen; Kanal-Vertrauens-NPS.

14) Risiken und Kontrollen

Deanonymisierung durch Metadaten. → De-Identifizierung, EXIF-Löschung, explizite Warnungen.
Fallzugriffslecks. RBAC- →, Segmentierung, WORM-Protokolle, regelmäßige Zugriffsüberprüfungen.
Fiktive Nachrichten/Missbrauch. → höflicher Filter und Faktencheck; Sanktionen für wissentliche Falschaussagen (ohne Einschüchterungseffekt).
Interessenkonflikt bei der Untersuchung. → Rotation der Darsteller, Beteiligung von IA/Legal.
Repression. → separate Flut von Beschwerden; schnelle Reaktion HR/Compliance.

15) Schulung und Sensibilisierung

Onboarding: Modul über Kanal, Anonymität und Datenschutz (Test ≥ 85%).
Jährliche Rezertifizierung für alle; zusätzliche Schulungen für WBO/Ermittler.
Vierteljährliche Kampagnen (Poster/Bot-Quizze/Videos): Wie man die erwarteten Beispiele einreicht.

16) 30-tägiger Implementierungsplan

Woche 1

1. Weisen Sie den WBO und die Arbeitsgruppe zu (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Führen Sie die DPIA durch, genehmigen Sie die Datenschutz- und Retentionspolitik.
3. Spezifizieren Sie Kanäle (Webformular/Mail/Leitung), Anforderungen an Anonymität und Protokolle.

Woche 2

4. Implementieren Sie eine technische Plattform: Verschlüsselung, RBAC, WORM-Protokolle, anonyme Web-Inbox.
5. Bereiten Sie Vorlagen und SOPs vor: Quittung, Plan, Bericht, Abschlussbrief, CAPA.
6. WBO/Triage-Team trainieren; RACI und SLA vorschreiben.

Woche 3

7. Pilot: 1-2 Testfälle (Tabellenspitze), Überprüfung der Beweiskette und der Retentionen.
8. Richten Sie ein Dashboard mit Metriken und Berichten für das Management/Komitee ein.
9. Kommunikation: CEO-Brief, Intranetseite, FAQ, Poster.

Woche 4

10. Kanal wird gestartet; SLA/Lastüberwachung; heiße Unterstützung.
11. Wöchentliche Fallstudien zu S1/S2 und CAPA-Status.
12. Retro und Anpassungen v1. 1 (Politik, Formulare, Ausbildung).

17) Verwandte Abschnitte

Ethik- und Verhaltenskodex

Antikorruptionspolitik

Die AML-Trainings und die Ausbildung der Mitarbeiter / Informiertheit des Personals über komplajense

Incident Playbooks und Szenarien

Compliance Dashboards und Monitoring

Interne Revision und externe Revision

Meldungen von Unregelmäßigkeiten und Meldefristen

Regulatorische Berichte und Datenformate

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.