In der Klage der amerikanischen Aufsichtsbehörde Securities and Exchange Commission (SEC) wegen Betrugs gegen die US-Bank Goldman Sachs und den Ermittlungen des US-Senats zur Rolle von Banken in der Finanzkrise hatten interne E-Mails eine hohe Bedeutung. Das zeigt, wie die Reputation eines Unternehmens leiden kann, wenn interne E-Mails öffentlich werden.
Klar ist jedoch, dass die inner- und überbetriebliche Kommunikation per E-Mail noch kräftig zunehmen wird und eine unangemessene oder falsche Nutzung dieses Kommunikationskanals immer größeren Schaden anrichten kann. Beispielsweise können interne und vertrauliche Informationen über Kunden und Lieferanten unbemerkt entweder gezielt oder versehentlich an Dritte geleitet werden. Der eher lockere und oft informelle Jargon in E-Mails kann Mitarbeiter dazu verleiten, Ausdrücke zu verwenden, die aus dem Zusammenhang gerissen missverständlich, unangemessen oder verletzend wirken. Auch widersprechen die in internen E-Mails vermittelten Informationen bisweilen der offiziellen Darstellung eines Unternehmens. Auf diese Weise können Mitarbeiter versehentlich, irrtümlich oder vorsätzlich Schaden anrichten.
Besonders heikel ist dies für Finanzdienstleister, denn sie kennen Details zur wirtschaftlichen Situation von Geschäfts- und Privatkunden und verfügen über viele sensible Daten. Eine wesentliche Grundlage ihrer Geschäftstätigkeit sowohl im Absatz- als auch im Kapitalmarkt ist zudem das Vertrauen ihrer Kunden und die Reputation.
Das Risiko ist demnach erheblich. Um einen genaueren Einblick zu bekommen, wie Unternehmen E-Mails nutzen, haben die Fakultät für Wirtschaft und Informatik der Fachhochschule Hannover und das Institut für Wirtschaftsinformatik der Universität Bern eine empirische Untersuchung bei deutschen und Schweizer Großunternehmen durchgeführt. Dazu wurden mehr als 800 Fragebögen an Aufsichtsratsvorsitzende beziehungsweise Präsidenten von Verwaltungsräten versandt. 95 Bögen wurden beantwortet.
E-Mails gefährden die Reputation
Unternehmen müssen schon heute erheblichen Aufwand betreiben, um die Compliance, also die gesetzlichen, behördlichen und aufsichtsrechtlichen Anforderungen, in der Nutzung von E-Mails zu erfüllen. Mit dem Reputationsrisiko durch eine unangemessene Verwendung von E-Mails besteht ein weiterer wichtiger innerbetrieblicher Grund, um organisatorische und technische Maßnahmen zu ergreifen. Die Auswertung der erhobenen Daten zeigt, dass vor allem Banken und Versicherungen das Reputationsrisiko durch E-Mails zumindest erkannt haben. Unternehmen anderer Branchen stufen die Risiken weniger bedeutend ein.
Richtlinien sind üblich
Die Erhebung zeigt, dass Richtlinien zur Kommunikation per E-Mail weit verbreitet sind. Sie stellen die klassische Form organisatorischer Vorkehrungen dar: Fast 95 Prozent der Untersuchungsteilnehmer gaben an, dass in ihrem Unternehmen eine schriftliche E-Mail-Richtlinie für die Mitarbeiter besteht. Darin werden auch selbstverständlich anmutende Themen angesprochen, denn die Kommunikation per E-Mail ähnelt in Form und Inhalt häufig der Konversation per Telefon. Weil die elektronischen Briefe jedoch gespeichert werden und daher nicht so flüchtig sind wie das gesprochene Wort, besitzen sie höhere Evidenz. 96 Prozent der Finanzdienstleiter weisen ihre Mitarbeiter daher ausdrücklich darauf hin, Vertraulichkeit, Geheimhaltung und Datenschutz zu wahren. In Unternehmen anderer Branchen sind es 90 Prozent. Zudem verbieten die Richtlinien in 89 Prozent (Finanzdienstleister) beziehungsweise 82 Prozent der anderen Firmen explizit, belästigende und anstößige Inhalte zu verbreiten.
Vergleicht man die weiteren Vorgaben zum Umgang mit E-Mails, zeigt sich, dass die Regelwerke der Banken und Versicherungen deutlich umfassender und detaillierter sind als die anderer Branchen. 85 Prozent der teilnehmenden Finanzdienstleistungsunternehmen weisen beispielsweise ausdrücklich auf den geringen Schutz unverschlüsselter Mails hin. Von den anderen Unternehmen tun dies nur 69 Prozent. Zudem fordern 58 Prozent der Banken und Versicherungen ihre Mitarbeiter auf, in den E-Mails nur die offiziellen Antworten des Unternehmens darzustellen, während dies nur 46 Prozent der übrigen Firmen betonen.
So lassen sich Risiken verringern
Das Reputationsrisiko durch E-Mails lässt sich mittels einiger einfacher Maßnahmen deutlich senken.
1. Eingeschränkte Nutzung von E-Mails: Verboten werden sollte,
-
betriebliche Inhalte auf private E-Mail-Adressen weiterzuleiten;
-
geschäftliche Mails vom privaten Account zu versenden;
-
belästigende und anstößige Inhalte zu verschicken.
2. Auch selbstverständlich erscheinende Hinweise müssen den Mitarbeitern ausdrücklich mitgeteilt werden:
-
Die E-Mails müssen Vertraulichkeit, Geheimhaltung und Datenschutz wahren.
-
E-Mails stellen offizielle Aussagen des Unternehmens dar.
-
E-Mails genießen einen geringen Schutz vor Einsichtnahme durch Dritte.
-
Bei Bedarf dürfen E-Mails aus betrieblichen Gründen eingesehen werden.
Nutzung privater E-Mail-Adressen
Wenn Mitarbeiter keinen Web-Zugang zum internen Mail-Server haben, leiten sie ihre geschäftlichen E-Mails gerne auf ihren privaten Account weiter, um Anfragen auch fern vom Arbeitsplatz beantworten zu können. Aus ähnlichen Gründen senden sie von ihren privaten Adressen geschäftlich relevante E-Mails. Es kann einen unprofessionellen und unseriösen Eindruck hinterlassen, wenn der Geschäftspartner Korrespondenz von einer privaten Absenderadresse bekommt. Auch unter Compliance-Aspekten ist dieses Vorgehen abzulehnen, denn innerbetriebliche Abläufe und Kontrollen werden unterlaufen und E-Mails nicht ordnungsgemäß archiviert. Daher verbieten 85 Prozent der Finanzdienstleister die Weiterleitung geschäftlicher E-Mails auf private Accounts, 65 Prozent untersagen deren Nutzung zum Senden geschäftlicher E-Mails. Andere Unternehmen besitzen diesbezüglich ein geringeres Problembewusstsein.
Einsichtnahme kann erforderlich sein
Es gibt betriebliche Situationen, in denen die Unternehmen die Kommunikation ihrer Mitarbeiter einsehen müssen. Das kann etwa dann der Fall sein, wenn ein Mitarbeiter unvorhergesehen fehlt und die Kontinuität der Betriebsabläufe gefährdet ist, wenn die an ihn adressierten E-Mails nicht bearbeitet werden können. Auch zur betrieblichen Aufsicht und Kontrolle ist teilweise eine Einsichtnahme erforderlich. Diese Anforderung haben vor allem Banken und Versicherungen aufgegriffen. 64 der Befragten haben ihre Mitarbeiter darüber informiert, dass sie bei Bedarf E-Mails öffnen, soweit sie nicht ausdrücklich als privat gekennzeichnet sind. Nur 48 Prozent der Unternehmen anderer Branchen geben ihren Mitarbeitern derartige Hinweise.
Technik kann helfen
Neben den Richtlinien können auch technische Vorkehrungen das Reputationsrisiko reduzieren. So können Filter elektronische Briefe mit prekären Inhalten möglicherweise entdecken und zurückhalten. Die verfänglichen E-Mails werden nicht ausgesendet, sondern an den Absender zurückgeschickt. Zudem ist es möglich, das Weiterleiten betrieblicher E-Mails an offensichtlich private E-Mail-Adressen (oft werden kostenfreie E-Mail-Services genutzt) zu unterbinden. Auch lässt sich die Anzahl möglicher Adressaten pro E-Mail für die meisten Benutzer begrenzen, ohne dass sie in ihrer Arbeit eingeschränkt wären.
Fazit: Häufig fehlt das Risikobewusstsein
E-Mails sind zwar für die inner- und überbetriebliche Kommunikation sehr wichtig, bergen jedoch auch erhebliche Risiken für die Reputation des Unternehmens. Unter Compliance-Aspekten werden E-Mails schon seit geraumer Zeit in vielen Betrieben so behandelt, dass sie gesetzliche, behördliche oder aufsichtsrechtliche Anforderungen erfüllen. Darüber hinaus sollten Anwender künftig aber auch verstärkt Reputationsrisiken in der E-Mail-Nutzung beachten. Insbesondere Finanzdienstleister messen diesen Risiken erhebliche Bedeutung zu und reagieren mit detaillierten Richtlinien zur Handhabung von E-Mails. Selbstverständlich erscheinende Vorgaben zur Form und zu Inhalten geschäftlicher E-Mails werden aus Sorge um die Reputation der Unternehmen in E-Mail-Richtlinien gezielt ausgesprochen. Unternehmen anderer Branchen wenden Reputationsrisiken derzeit geringere Aufmerksamkeit zu. (jha)