Für die Klage der amerikanischen Aufsichtsbehörde Securities and Exchange Commission (SEC) wegen Betrugs gegen die US-Bank Goldman Sachs und die Ermittlungen des US-Senats zur Rolle von Banken in der Finanzkrise haben interne E-Mails eine hohe Bedeutung. Das zeigt, wie die Reputation eines Unternehmens leiden kann, wenn interne E-Mails öffentlich werden.
Klar ist jedoch, dass die inner- und überbetriebliche Kommunikation per E-Mail noch kräftig zunehmen wird und eine unangemessene oder falsche Nutzung dieses Kommunikationskanals immer größeren Schaden anrichten kann. Beispielsweise können interne und vertrauliche Informationen über Kunden und Lieferanten gezielt oder versehentlich an Dritte geleitet werden. Der eher lockere und oft informelle Jargon in E-Mails kann Mitarbeiter dazu verleiten, Ausdrücke zu verwenden, die aus dem Zusammenhang gerissen missverständlich, unangemessen oder verletzend wirken. Auch widersprechen die in internen E-Mails vermittelten Informationen bisweilen der offiziellen Darstellung eines Unternehmens. Auf diese Weise können Mitarbeiter versehentlich, irrtümlich oder vorsätzlich Schaden anrichten.
Besonders heikel ist dies für Finanzdienstleister, denn sie kennen Details zur wirtschaftlichen Situation von Geschäfts- und Privatkunden und verfügen über viele sensible Daten. Eine wesentliche Grundlage ihrer Geschäftstätigkeit sowohl im Absatz- als auch im Kapitalmarkt ist zudem das Vertrauen ihrer Kunden und die Reputation.
Das Risiko ist demnach erheblich. Die Fakultät für Wirtschaft und Informatik der Fachhochschule Hannover und das Institut für Wirtschaftsinformatik der Universität Bern haben empirisch untersucht, wie deutsche und Schweizer Großunternehmen mit E-Mails umgehen. Dazu wurden mehr als 800 Fragebögen an Aufsichtsratsvorsitzende beziehungsweise Präsidenten von Verwaltungsräten versandt. 95 Bögen wurden beantwortet.
E-Mails gefährden die Reputation
Unternehmen müssen schon heute erheblichen Aufwand betreiben, um die Compliance, also die gesetzlichen, behördlichen und aufsichtsrechtlichen Anforderungen, in der Nutzung von E-Mails zu erfüllen. Mit dem Reputationsrisiko durch eine unangemessene Verwendung von E-Mails besteht ein weiterer wichtiger innerbetrieblicher Grund, um organisatorische und technische Maßnahmen zu ergreifen. Die Auswertung der erhobenen Daten zeigt, dass vor allem Banken und Versicherungen das Reputationsrisiko durch E-Mails erkannt haben. Unternehmen anderer Branchen stufen die Risiken als weniger bedeutend ein.
Richtlinien sind üblich
Die Erhebung zeigt, dass Richtlinien zur Kommunikation per E-Mail weit verbreitet sind. Sie stellen die klassische Form organisatorischer Vorkehrungen dar: Fast 95 Prozent der Untersuchungsteilnehmer gaben an, dass in ihrem Unternehmen eine schriftliche E-Mail-Richtlinie für die Mitarbeiter besteht. Darin werden auch selbstverständlich anmutende Themen angesprochen, denn die Kommunikation per E-Mail ähnelt in Form und Inhalt häufig der Konversation per Telefon. Weil die elektronischen Briefe jedoch gespeichert werden und daher nicht so flüchtig sind wie das gesprochene Wort, besitzen sie höhere Evidenz. 96 Prozent der Finanzdienstleister weisen ihre Mitarbeiter daher ausdrücklich darauf hin, Vertraulichkeit, Geheimhaltung und Datenschutz zu wahren. In Unternehmen anderer Branchen sind es 90 Prozent. Zudem verbieten 89 Prozent der Finanzdienstleister beziehungsweise 82 Prozent der anderen Firmen in ihren Richtlinien explizit, belästigende und anstößige Inhalte zu verbreiten.
Vergleicht man die weiteren Vorgaben zum Umgang mit E-Mails, zeigt sich, dass die Regelwerke der Banken und Versicherungen deutlich umfassender und detaillierter sind als die anderer Branchen. 85 Prozent der teilnehmenden Finanzdienstleistungsunternehmen weisen beispielsweise ausdrücklich auf den geringen Schutz unverschlüsselter Mails hin. Von den anderen Unternehmen tun dies nur 69 Prozent. Zudem fordern 58 Prozent der Banken und Versicherungen ihre Mitarbeiter auf, in den E-Mails nur die offiziellen Antworten des Unternehmens zu verbreiten, während dies nur 46 Prozent der übrigen Firmen betonen.
So lassen sich Risiken verringern
Das Reputationsrisiko durch E-Mails lässt sich mittels einiger einfacher Maßnahmen deutlich senken.
1. Eingeschränkte Nutzung von E-Mails: Es wird verboten,
betriebliche Inhalte auf private E-Mail-Adressen weiterzuleiten;
geschäftliche Mails vom privaten Account zu versenden;
belästigende und anstößige Inhalte zu verschicken.
2. Auch selbstverständlich erscheinende Vorgaben müssen den Mitarbeitern ausdrücklich mitgeteilt werden:
Die E-Mails müssen Vertraulichkeit, Geheimhaltung und Datenschutz wahren.
E-Mails stellen offizielle Aussagen des Unternehmens dar.
E-Mails genießen einen geringen Schutz vor Einsichtnahme durch Dritte.
Bei Bedarf dürfen E-Mails aus betrieblichen Gründen eingesehen werden.
Nutzung privater E-Mail-Adressen
Wenn Mitarbeiter keinen Web-Zugang zum internen Mail-Server haben, leiten sie ihre geschäftlichen E-Mails gerne auf ihren privaten Account weiter, um Anfragen auch fern vom Arbeitsplatz beantworten zu können. Aus ähnlichen Gründen senden sie von ihren privaten Adressen geschäftlich relevante E-Mails. Es kann einen unprofessionellen und unseriösen Eindruck hinterlassen, wenn der Geschäftspartner Korrespondenz von einer privaten Absenderadresse bekommt. Auch unter Compliance-Aspekten ist dieses Vorgehen abzulehnen, denn innerbetriebliche Abläufe und Kontrollen werden dabei unterlaufen und E-Mails nicht ordnungsgemäß archiviert. Daher verbieten 85 Prozent der Finanzdienstleister die Weiterleitung geschäftlicher E-Mails auf private Accounts, 65 Prozent untersagen deren Nutzung zum Senden geschäftlicher E-Mails. Andere Unternehmen besitzen diesbezüglich ein geringeres Problembewusstsein.
Einsichtnahme kann erforderlich sein
Es gibt betriebliche Situationen, in denen Unternehmen die Kommunikation ihrer Mitarbeiter einsehen müssen. Das kann etwa dann der Fall sein, wenn ein Mitarbeiter unvorhergesehen fehlt und die Kontinuität der Betriebsabläufe gefährdet ist, wenn die an ihn adressierten E-Mails nicht bearbeitet werden können. Auch zur betrieblichen Aufsicht und Kontrolle ist teilweise eine Einsichtnahme erforderlich. Diese Anforderung haben vor allem Banken und Versicherungen aufgegriffen. 64 Prozent von ihnen haben ihre Mitarbeiter darüber informiert, dass sie bei Bedarf E-Mails öffnen, soweit sie nicht ausdrücklich als privat gekennzeichnet sind. Nur 48 Prozent der Unternehmen anderer Branchen geben ihren Mitarbeitern derartige Hinweise.
Technik kann helfen
Auch technische Vorkehrungen können das Reputationsrisiko reduzieren. So können Filter elektronische Briefe mit prekären Inhalten möglicherweise entdecken und zurückhalten. Die verfänglichen E-Mails werden an den Absender zurückgeschickt. Zudem ist es möglich, das Weiterleiten betrieblicher E-Mails an offensichtlich private E-Mail-Adressen zu unterbinden. Auch lässt sich die Anzahl möglicher Adressaten pro E-Mail für die meisten Benutzer begrenzen, ohne dass sie in ihrer Arbeit eingeschränkt werden.
Häufig fehlt das Risikobewusstsein
In der Praxis zeigt sich immer deutlicher, dass E-Mails zwar von hoher Bedeutung für die inner- und überbetriebliche Kommunikation sind, jedoch auch erhebliche Risiken für die Reputation des Unternehmens bergen. Neben den einschlägigen Compliance-Anfoderungen müssen auch Risiken für die Unternehmensreputation beachtet werden. Vorkehrungen in Form von E-Mail-Richtlinien gehören mittlerweile zum Standard und sind speziell bei Banken und Versicherungen oft ausgefeilt und ausgereift. Bei Unternehmen anderer Branchen besteht Nachholbedarf, insbesondere die Nutzung privater Accounts für geschäftliche E-Mails sollte deutlicher eingeschränkt werden. (jha)