1. Whistleblowing per E-Mail ist nicht sicher
Hinweisgeber teilen beim Whistleblowing sensible Informationen. In den seltensten Fällen werden E-Mails im Unternehmen aber Ende-zu-Ende verschlüsselt. Das heißt: Unbefugte könnten Nachrichten während der Übertragung abfangen und die Inhalte mitlesen oder sogar verändern. Weder die Übermittlung noch die Verarbeitung von Berichten ist somit revisionssicher und die Integrität der Daten wird dadurch stark gefährdet. Dies kann dazu führen, dass Informationen für die interne und externe Untersuchungen ungültig werden.
2. Whistleblowing per E-Mail ist nicht anonym
E-Mails können leicht zurückverfolgt werden, insbesondere dann, wenn der Hinweisgeber seine persönliche E-Mail-Adresse verwendet. Aber auch sonst hinterlassen die digitalen Nachrichten Spuren und Metadaten, anhand der sich die Identität des Absenders aufdecken lässt. Whistleblowing per E-Mail garantiert also keine Anonymität. Gerade die Möglichkeit, anonym zu bleiben, ist für den Erfolg eines Hinweisgebersystems jedoch sehr wichtig, so der Whistleblowing-Report 2021. Nicht umsonst bieten laut der Whistleblowing-Umfrage 2023 bereits 85 Prozent der europäischen Unternehmen einen anonymen Meldekanal an.
3. E-Mail gewährleistet keinen ausreichenden Datenschutz
Wenn ein Hinweisgeber ein mögliches Fehlverhalten meldet, werden personenbezogene Daten verarbeitet. Whistleblowing per E-Mail kann die Einhaltung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) jedoch nicht garantieren, da E-Mails die Anforderungen an die Datensicherheit (Artikel 32) nicht erfüllen. Sensible Informationen müssen gemäß der DSGVO auf Hochsicherheitsservern gespeichert werden, was bei E-Mails nur selten der Fall ist. Außerdem hat auch die IT-Abteilung Zugriff auf die E-Mail-Konten im Unternehmen. Es besteht immer das Risiko, dass den Administratoren einmal ein Fehler unterläuft und sie unbefugten Anwendern versehentlich Rechte auf das Whistleblowing E-Mail-Postfach einrichten.
4. Mitarbeitende haben kein Vertrauen in E-Mail als Whistleblowing-Kanal
Mitarbeitende wenden sich nur dann an die interne Whistleblowing-Meldestelle im Unternehmen, wenn sie sich dort sicher fühlen. Sie müssen zu 100 Prozent darauf vertrauen können, dass ihre Identität geschützt bleibt und ihre Informationen diskret behandelt werden. Fehlt dieses Vertrauen, dann laufen Unternehmen Gefahr, dass sich potenzielle Hinweisgeber direkt an Behörden oder Medien wenden. Eine Studie der EQS Group und der HTW Chur zeigt zudem: Unternehmen mit einem spezialisierten Meldekanal wie zum Beispiel einem digitalen Hinweisgebersystem erhalten eher relevante Informationen als Unternehmen mit einfachen Berichtswegen wie einer Whistleblowing-E-Mail-Adresse.
5. E-Mail erlaubt keine effiziente Whistleblowing-Fallbearbeitung
Neben mangelnder Sicherheit und eingeschränktem Vertrauen der Mitarbeiter erschwert Whistleblowing per E-Mail die Verarbeitung von Hinweisen. Selbst wenn das Unternehmen über ein Fallmanagementsystem verfügt, müssen alle per E-Mail empfangenen Daten manuell protokolliert werden. Häufig fehlt jedoch ein solches Fallmanagementsystem, sodass es noch aufwändiger wird, aussagekräftige Fallübersichten zu erstellen und einen Vorfall zu untersuchen. Unternehmen sind dann womöglich nicht in der Lage, ihre gesetzlichen Rückmeldepflichten einzuhalten. Laut Hinweisgeberschutzgesetz müssen sie den Eingang von Hinweisen innerhalb von sieben Tagen bestätigen und innerhalb von drei Monaten berichten, welche Folgemaßnahmen sie ergriffen haben.
Die beste Alternative: ein digitales Hinweisgebersystem
Whistleblowing per E-Mail hat also viele Schwächen. Ganz ähnlich verhält es sich mit Whistleblowing per Telefon oder Briefkasten. Die beste Alternative sind digitale Hinweisgebersysteme, die sich schnell und einfach einführen und übers Intranet bereitstellen lassen. Sie garantieren die Einhaltung von Datenschutz, Datensicherheit und Vertraulichkeit, indem sie die gesamte Kommunikation mit dem Hinweisgeber verschlüsseln und auf Hochsicherheitsservern speichern. Außerdem haben Whistleblower die Möglichkeit, vollständig anonym zu bleiben. Dadurch steigen die Chancen, dass Mitarbeiter sich trauen, Fehlverhalten zu melden. Mit einem digitalen Hinweisgebersystem kann die Compliance-Abteilung Fälle effizient bearbeiten und Rückmeldepflichten fristgerecht einhalten. Alle Informationen werden revisionssicher dokumentiert und sind bei Bedarf jederzeit schnell griffbereit. Laut dem Whistleblowing Report 2023 setzen bereits 73 Prozent der europäischen Unternehmen ein digitales Hinweisgebersystem ein.
Whistleblowing per E-Mail in eine umfassende Lösung integrieren
Grundsätzlich sollten Sie es Hinweisgebern so leicht wie möglich machen, Compliance-Verstöße zu melden. Die meisten Unternehmen bieten daher mehrere Meldekanäle an. Dabei erfreut sich E-Mail trotz der genannten Schwächen großer Beliebtheit, so der Whistleblowing Report 2023. Um Risiken zu minimieren, ist es entscheidend, den Kanal nicht eigenständig einzusetzen, sondern in ein ganzheitliches digitales Hinweisgebersystem zu integrieren. Compliance-Teams können dann Meldungen aus verschiedenen Kanälen an einem zentralen Ort bearbeiten, hohe Sicherheitsstandards gewährleisten und gesetzliche Anforderungen erfüllen.
Mehr über die Vor- und Nachteile verschiedener Hinweisgebersysteme erfahren Sie auch in unserem kostenlosen White Paper „Hinweisgeberschutz für Unternehmen – So führen Sie ein effektives Hinweisgebersystem ein“.
Whistleblowing Report
Umfassende Studie über Whistleblowing in europäischen Unternehmen
