Feebacksysteme sind im Bereich der Marktforschung angesiedelt. Dabei wird versucht möglichst viele Informationen über den Gegenstand sowie über die Person zu erfahren, um Leistungen und Services anzupassen. In diesem Zusammenhang werden häufig Antwortmöglichkeiten vorgegeben, wodurch der Feedback- oder Beschwerdegeber „nur noch“ auswählen muss. Es werden offene Suggestivfragen gestellt, in der die Antwort bereits in der Frage enthalten ist. Das Design und der Frageprozess sind ebenfalls darauf abgestimmt, möglichst viele Antworten zu erhalten und die Menge an Antworten im Nachhinein statistisch auszuwerten. Geprägt werden diese Systeme durch aktuelle Trends, deren Stellenwert eine wesentlich größere Rolle spielen als die exakten Ergebnisse.
Im Feedbacksystem werden die vom Feedbackgeber bereitgestellten Informationen zusätzlich durch selbst erhobene Daten über den Feedbackgeber angereichert. Feedbackgeber werden getrackt und es werden zusätzliche Informationen gespeichert. Das eigentliche Ziel des Trackings der Nutzer ist es an deren Identität zu gelangen. Durch die IP wird bspw. der Standort lokalisiert, Mausbewegungen und Klicks analysiert, um die Feedbackgeber in Benutzergruppen einzuteilen. Verschiedene Datensätze werden an Dritte weitergegeben und ausgetauscht, um ein vollständigeres Tracking zu erhalten. In fast jedem Bereich des Marketings kommen Google Produkte, wie Google Analytics und AdWords, zum Einsatz. Darüber hinaus werden Daten an Werbe- und Analysefirmen weitergegeben.
Das Backend von Feedbacksystemen sind evtl. datenschutzkonform ausgelegt, jedoch beachten diese eine Anonymisierung nicht vollständig. Es wird im Allgemeinen angenommen, dass allein durch die Masse an Daten und durch ein zu geringes Interesse an der Wiederherstellung vollständiger Profile eine Anonymisierung durch einfache Maßnahmen, wie z.B. dem Weglassen der letzten Stellen der IP, gewährleistet werden könne. Für einen alltäglichen Feedbackprozess scheint dies auch ausreichend. Die Nutzung eines Hinweisgebersystems hingegen ist für Meldende nicht alltäglich. Die erhobenen Daten bleiben überschaubar, wodurch die Anonymisierungsmaßnahmen eines Feedback- oder Beschwerdesystems nicht vollständig greifen. Es wird ebenfalls bezweifelt, ob einzelne, konkrete Maßnahmen, wie die Kürzung der IP, den Schutz eines Hinweisgebers gewährleisten könnten. Die üblicherweise im Marketing eingesetzten Anonymisierungsmaßnahmen halten einer IT-forensischen Analyse, beispielsweise im Rahmen eines Strafprozesses, nicht Stand – und sind natürlich auch nicht hierfür ausgelegt.
Hinweisgebersysteme zeichnen sich dadurch aus, dass sie eng an die gelten Regularien angepasst sind und diese in einem holistischen Ansatz berücksichtigen. Dies äußerst sich nicht zwangsläufig in der Erscheinung. Auf den ersten Blick scheint es viele Lösungen zu geben, die als Hinweisgebersystem in Betracht gezogen werden könnten. Das eigentliche Know-How von Regulatory Compliance Lösungen steckt nicht im äußerlichen Design. Es sind viele verschiedene Lösungsschritte, von denen jeder eng an Regularien geknüpft ist. Diese sind in einem ganzheitlichen Konzept zusammengefasst und stecken im Backend eines Systems. Dazu gehören mehrere Security Layer, Verschlüsselungen und durchdachte Lösch- und Aufbewahrungskonzepte. Hinweisgebersysteme sind in Ihrem Aufbau offen und objektiv gestaltet. Der Hinweisgeber soll das Gefühl haben frei entscheiden zu können. Beim Abgeben einer Meldung hat er sich bereits von selbst dazu entschieden, sich die Zeit zu nehmen. Ein „Durchschleusen“ durch das Formular ist weder ratsam noch nötig. Vielmehr geht es darum, qualitativ hochwertige Informationen zu erhalten. Dies wird erreicht, wenn der Hinweisgeber sich sicher fühlt und ihm auf seriöse Weise vermittelt werden kann, dass er beim Aufdecken von Missständen helfen kann. Jeder eingehende Hinweis muss individuell bearbeitet und bestätigt werden.
Hinweisgebersysteme sollten vollständig auf die Speicherung der IPs und weiteres Tracking verzichten. Das Erheben von Userdaten – genauso wie das Weitergeben – liegt weit vom eigentlichen Einsatzzweck eines Hinweisgebersystems entfernt. Auch wenn IP und andere Nutzerdaten in selbst entwickelte Software zu einem bestimmten Zeitpunkt nicht gespeichert werden, ist es für die Entwickler möglich, die Speicherung durch Änderungen des Codes zuzulassen. Auch lassen sich viele Programmierer gerne Hintertüren offen, um flexibel agieren zu können. Daher sind Eigenlösungen im Bereich der anonymen Hinweisgebersoftware zu vermeiden.
Lesen Sie mehr über die möglichen Lösungen zum Umgang mit dem neuen Gesetz zum Schutz von Hinweisgebern.
DISS-CO ist ein innovatives Legal Tech Unternehmen mit starkem Fokus auf eGRC und RegTech. Entwickelt von erfahrenen Ermittlern, die Fraud und andere Verstöße in verschiedenen Branchen aufgedeckt haben.
