Whistleblowing per E-Mail? Warum Sie besser auf andere Meldekanäle setzen sollten

Drei Gründe, warum eine E-Mail-Adresse kein guter eigenständiger Kanal zur Meldung von Missständen im Unternehmen ist.

Moritz Homann
Auf einen Blick

Seit Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft. Es verpflichtet Unternehmen ab einer Größe von 50 Mitarbeitenden, einen internen Meldekanal für Compliance-Verstöße anzubieten. Aber welcher ist der richtige? Auf den ersten Blick mag es verlockend sein, einfach ein E-Mail-basiertes Hinweisgebersystem einzurichten. Das geht schnell, ist günstig und ermöglicht eine Zwei-Wege-Kommunikation. Doch bei genauerer Betrachtung ist Whistleblowing per E-Mail keine gute Idee und kann sogar zum Sicherheitsrisiko werden. Daher sollten Sie diesen Kanal nur als Teil einer umfassenden Compliance-Lösung einsetzen. Hier kommen fünf gute Gründe, die gegen E-Mail als eigenständiges Whistleblowing-System sprechen.

email-reporting-channel

1. Whistleblowing per E-Mail ist nicht sicher

Hinweisgeber teilen beim Whistleblowing sensible Informationen. In den seltensten Fällen werden E-Mails im Unternehmen aber Ende-zu-Ende verschlüsselt. Das heißt: Unbefugte könnten Nachrichten während der Übertragung abfangen und die Inhalte mitlesen oder sogar verändern. Weder die Übermittlung noch die Verarbeitung von Berichten ist somit revisionssicher und die Integrität der Daten wird dadurch stark gefährdet. Dies kann dazu führen, dass Informationen für die interne und externe Untersuchungen ungültig werden. 

2. Whistleblowing per E-Mail ist nicht anonym

E-Mails können leicht zurückverfolgt werden, insbesondere dann, wenn der Hinweisgeber seine persönliche E-Mail-Adresse verwendet. Aber auch sonst hinterlassen die digitalen Nachrichten Spuren und Metadaten, anhand der sich die Identität des Absenders aufdecken lässt. Whistleblowing per E-Mail garantiert also keine Anonymität. Gerade die Möglichkeit, anonym zu bleiben, ist für den Erfolg eines Hinweisgebersystems jedoch sehr wichtig, so der Whistleblowing-Report 2021. Nicht umsonst bieten laut der Whistleblowing-Umfrage 2023 bereits 85 Prozent der europäischen Unternehmen einen anonymen Meldekanal an.  

3. E-Mail gewährleistet keinen ausreichenden Datenschutz

Wenn ein Hinweisgeber ein mögliches Fehlverhalten meldet, werden personenbezogene Daten verarbeitet. Whistleblowing per E-Mail kann die Einhaltung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) jedoch nicht garantieren, da E-Mails die Anforderungen an die Datensicherheit (Artikel 32) nicht erfüllen. Sensible Informationen müssen gemäß der DSGVO auf Hochsicherheitsservern gespeichert werden, was bei E-Mails nur selten der Fall ist. Außerdem hat auch die IT-Abteilung Zugriff auf die E-Mail-Konten im Unternehmen. Es besteht immer das Risiko, dass den Administratoren einmal ein Fehler unterläuft und sie unbefugten Anwendern versehentlich Rechte auf das Whistleblowing E-Mail-Postfach einrichten. 

4. Mitarbeitende haben kein Vertrauen in E-Mail als Whistleblowing-Kanal

Mitarbeitende wenden sich nur dann an die interne Whistleblowing-Meldestelle im Unternehmen, wenn sie sich dort sicher fühlen. Sie müssen zu 100 Prozent darauf vertrauen können, dass ihre Identität geschützt bleibt und ihre Informationen diskret behandelt werden. Fehlt dieses Vertrauen, dann laufen Unternehmen Gefahr, dass sich potenzielle Hinweisgeber direkt an Behörden oder Medien wenden. Eine Studie der EQS Group und der HTW Chur zeigt zudem: Unternehmen mit einem spezialisierten Meldekanal wie zum Beispiel einem digitalen Hinweisgebersystem erhalten eher relevante Informationen als Unternehmen mit einfachen Berichtswegen wie einer Whistleblowing-E-Mail-Adresse.  

5. E-Mail erlaubt keine effiziente Whistleblowing-Fallbearbeitung

Neben mangelnder Sicherheit und eingeschränktem Vertrauen der Mitarbeiter erschwert Whistleblowing per E-Mail die Verarbeitung von Hinweisen. Selbst wenn das Unternehmen über ein Fallmanagementsystem verfügt, müssen alle per E-Mail empfangenen Daten manuell protokolliert werden. Häufig fehlt jedoch ein solches Fallmanagementsystem, sodass es noch aufwändiger wird, aussagekräftige Fallübersichten zu erstellen und einen Vorfall zu untersuchen. Unternehmen sind dann womöglich nicht in der Lage, ihre gesetzlichen Rückmeldepflichten einzuhalten. Laut Hinweisgeberschutzgesetz müssen sie den Eingang von Hinweisen innerhalb von sieben Tagen bestätigen und innerhalb von drei Monaten berichten, welche Folgemaßnahmen sie ergriffen haben.

Die beste Alternative: ein digitales Hinweisgebersystem

Whistleblowing per E-Mail hat also viele Schwächen. Ganz ähnlich verhält es sich mit Whistleblowing per Telefon oder Briefkasten. Die beste Alternative sind digitale Hinweisgebersysteme, die sich schnell und einfach einführen und übers Intranet bereitstellen lassen. Sie garantieren die Einhaltung von Datenschutz, Datensicherheit und Vertraulichkeit, indem sie die gesamte Kommunikation mit dem Hinweisgeber verschlüsseln und auf Hochsicherheitsservern speichern. Außerdem haben Whistleblower die Möglichkeit, vollständig anonym zu bleiben. Dadurch steigen die Chancen, dass Mitarbeiter sich trauen, Fehlverhalten zu melden. Mit einem digitalen Hinweisgebersystem kann die Compliance-Abteilung Fälle effizient bearbeiten und Rückmeldepflichten fristgerecht einhalten. Alle Informationen werden revisionssicher dokumentiert und sind bei Bedarf jederzeit schnell griffbereit. Laut dem Whistleblowing Report 2023 setzen bereits 73 Prozent der europäischen Unternehmen ein digitales Hinweisgebersystem ein. 

Whistleblowing per E-Mail in eine umfassende Lösung integrieren

Grundsätzlich sollten Sie es Hinweisgebern so leicht wie möglich machen, Compliance-Verstöße zu melden. Die meisten Unternehmen bieten daher mehrere Meldekanäle an. Dabei erfreut sich E-Mail trotz der genannten Schwächen großer Beliebtheit, so der Whistleblowing Report 2023. Um Risiken zu minimieren, ist es entscheidend, den Kanal nicht eigenständig einzusetzen, sondern in ein ganzheitliches digitales Hinweisgebersystem zu integrieren. Compliance-Teams können dann Meldungen aus verschiedenen Kanälen an einem zentralen Ort bearbeiten, hohe Sicherheitsstandards gewährleisten und gesetzliche Anforderungen erfüllen. 

 

Mehr über die Vor- und Nachteile verschiedener Hinweisgebersysteme erfahren Sie auch in unserem kostenlosen White Paper „Hinweisgeberschutz für Unternehmen – So führen Sie ein effektives Hinweisgebersystem ein“

Whistleblowing Report

Umfassende Studie über Whistleblowing in europäischen Unternehmen

Teilen Sie diesen Artikel auf:

Moritz Homann contact image | integrityline.com
Moritz Homann
Managing Director Corporate Compliance | EQS Group
Moritz Homann verantwortet beim Münchner Technologieanbieter EQS Group den Produktbereich Corporate Compliance. In dieser Funktion betreut er die strategische Entwicklung digitaler Workflow-​Lösungen, die auf die Bedürfnisse von Compliance-​Beauftragten auf der ganzen Welt zugeschnitten sind.
Hinweisgebern haftet häufig ein negatives Image an – doch Whistleblower sind keine Denunzianten oder Verräter. Unternehmen können sogar von ihnen profitieren.
Der Aufsichtsrat ist für die Kontrolle und Beratung des Vorstands zuständig und muss sich im Zuge neuer Gesetze auch mit Hinweisgeberschutz und Hinweisgebersystemen auseinandersetzen. Wir zeigen auf, welche Rolle der Aufsichtsrat bei diesen Themen einnehmen kann.