Digitalisierung

Lesen Sie in dieser Rubrik alle Blog-Beiträge zum Thema Digitalisierung.

Schlagwortarchiv für: Digitalisierung

EU NIS 2 Cyber Security

Die neue EU-Richtlinie für Cybersicherheit

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die NIS-Richtlinie für Netz- und Informationssicherheit von 2016 wird abgelöst. Seit dem 10. November 2022 ist die EU NIS2-Direktive auf europäischer Ebene beschlossene Sache. Bis spätestens zum 17. Oktober 2024 werden alle 27 Mitgliedstaaten der Union nun Umsetzungskompetenz beweisen und die neue Richtlinie für Cybersecurity mit einer Übergangsfrist von 21 Monaten in nationales Recht umwandeln müssen. Die Entscheider in Unternehmen werden im NIS2-Gesetz als sogenannte „management bodies“ haftbar gemacht und sollten sich daher bereits jetzt mit diesem Thema auseinandersetzen und die entsprechende Umsetzung in ihrer Organisation proaktiv vorantreiben.

Welche Kernanforderungen NIS2 beinhaltet und an welchen Betroffenenkreis sie adressiert ist, lesen Sie im folgenden Blogbeitrag:

NIS und IT-Sicherheitsgesetz

Wie bereits die Vorgängerdirektive NIS, die in Deutschland im ersten IT-Sicherheitsgesetz von 2017 Anwendung fand, wird in Zukunft NIS2 den regulatorischen Rahmen zur Sicherstellung der Cybersicherheit bei Betreibern Kritischer Infrastrukturen (KRITIS) bilden.

Um den stetig wachsenden IT-Sicherheitsanforderungen der besonders durch die COVID-19-Pandemie immer rascher fortschreitenden Digitalisierung gerecht zu werden und so weiterhin ein hohes Cybersicherheit-Niveau in der gesamten EU zu gewährleisten, sieht die neue Richtline NIS2 einige notwendige Updates gegenüber der bisherigen Cybersecurity Gesetzeslage vor.

Wer ist von NIS2 betroffen?

Zentraler Bestandteil der NIS2-Direktive ist die Erweiterung des Geltungsbereiches für diejenigen Unternehmen (auch Betreiber oder „Entities“ genannt), die aufgrund ihrer wirtschaftlichen Tätigkeit in Branchen kritischer Infrastrukturen einer besonders hohen Bedrohungslage durch Cyberangriffe ausgesetzt sind. Die NIS2-Richtlinie reguliert daher insgesamt 18, in 11 „Essential“ (dt. kritische) und 7 „Important“ (dt. wichtige) unterteilte, Sektoren.

Essential Sektoren:

  • Energie, Transport
  • Banken
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Raumfahrt

Important Sektoren:

  • Post und Kurier
  • Abfallwirtschaft
  • Chemikalien
  • Ernährung
  • Industrie
  • Digitale Dienste
  • Forschung

Innerhalb dieser Sektoren werden zum einen alle mittelständischen Betreiber mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von 10 bis 50 Mio. EUR bzw. einer Bilanzsumme von bis zu 43 Mio. EUR in die Pflicht genommen. Zum anderen richtet sich NIS2 an Großkonzerne ab einer Größe von 250 Mitarbeitern mit einem Umsatz ≥ 50 Mio. EUR / einer Bilanzsumme ab 43 Mio. EUR.

Klein- und Kleinstunternehmen bleiben vorerst von NIS2 unberührt, jedoch gilt das Gesetz unabhängig der oben aufgeführten Größenwerte zusätzlich und ausnahmslos für alle Betreiber aus den Sektoren „Digitale Infrastruktur“, „Öffentliche Verwaltung“ und weitere Spezialfälle, deren IT und Netzwerke aufgrund Ihrer wichtigen gesellschaftlichen Funktion im Katastrophenfall besonders schützenswert sind.

Welche Anforderungen bringt NIS2?

Die umzusetzenden Mindestanforderungen an die Cybersecurity sind in Artikel 21 der NIS2-Richtlinie geregelt. Diese umfassen z. B. die initiale Durchführung einer umfangreichen Risikoanalyse und somit die Einrichtung eines aktiven Risikomanagements im Hinblick auf die potentiellen Informationssicherheits-Risiken eines Unternehmens. Dieser erste und wichtigste Schritt ist die Basis eines erfolgreichen Cybersecurity-Managements. Auch die IT-Sicherheit entlang der Supply-Chain („Sicherheit in der Lieferkette“) und ein intaktes Business Continuity Management im Krisenfall (BCM) zählen zu den obligatorischen Cybersecurity-Maßnahmen.

Welcher Behörde wird in Deutschland berichtet?

Weitergehend ist im Gesetz ein Meldewesen verankert, das von Cyberangriffen betroffene Betreiber dazu auffordert, erhebliche Störungsfälle unverzüglich den Behörden mitzuteilen. (Artikel 23) In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dieser Aufgabe betraut, das als nationale „Competent Authority“ für IT-Sicherheit zudem dafür verantwortlich ist, die regelkonforme Umsetzung der strengen Anforderungen und Pflichten der NIS2-Richtlinie zu beaufsichtigen. Zu den dafür notwendigen Governance-Maßnahmen des BSI zählen unter anderem die Anforderungen regelmäßiger Berichterstattung, Audits oder auch sogenannte Random Checks.

Welche Sanktionen drohen bei „Non-Compliance“?

Wo eine neue Gesetzgebung, da auch Sanktionen, die gegenüber betroffenen Organisationen verhängt werden können. Auch die NIS2-Direktive beruft sich hier in den Artikeln 34 bis 36 vor allem auf Strafen in Form von hohen Geldbußen in Millionenhöhe, die Unternehmen bei “Non-Compliance” erwartet. Je nach Zugehörigkeit zum Bereich der „Important“ bzw. „Essential“ Sektoren variiert dieser Betrag zwischen maximal 7 bis 10 Mio. EUR oder 1,4 % bzw. 2 % des weltweiten Umsatzes.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:
XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Aufsetzen eines funktionierenden Risiko-Management-Prozesses

Das müssen Sie vor dem Start beachten

Von Marcel Steur, Consultant Risiko-Management & GRC bei der SAVISCON GmbH

Was bisher geschah…

Rückblick: Vor fast einem Jahr haben wir in der SAVISCON GmbH das Programm GRC@SAVISCON gestartet. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Bei diesem Prozess nehmen wir die Leser unseres Blogs mit und berichten hier aus unserem Arbeitsalltag, welchen Fallstricken wir beim Umsetzen begegnen und wie wir sie meistern. Heute geht es in unserem Beitrag wieder um das Thema Risiko-Management.

Das Risiko-Management der SAVISCON GmbH hat einen Personalwechsel erfahren (siehe mein letzter Blog-Beitrag: Wie funktioniert ein Personalwechsel im Risiko-Management?) und im Zuge dessen auch interne Änderungen des gemeinsamen Risikoverständnisses und Neuerungen in Bezug auf den internen Risiko-Management Prozess. Nach mehreren Jahren des stetigen Wachstums galt es im Risiko-Management eine höhere Komplexität abzubilden, mehr Bereiche des Unternehmens zu analysieren und auch mehr Mitarbeiter und Arbeitsgruppen zu berücksichtigen. Als letzter Schritt wurde die Komplexität des Risiko-Management-Prozesses selbst erhöht und die internen Abläufe nach Vorbild der DIN ISO 31000:2018 geplant und eingeführt.

Anpassung der Komplexität unserer Organisationsstruktur

Laut bundesweitem Standard würde ein Unternehmen in der Größe der SAVISCON von einem zentralen Risikomanager organisiert werden, der alle Risiko-Management-Ebenen abdeckt. Aufgrund der fachlichen Breite im Bereich der Beratung, des Umfangs der Projektarbeit und der hohen Spezialisierung der Mitarbeiter, haben wir intern eine Organisationsstruktur mit fünf Hauptbereichen definiert: Compliance, IT, Projekte, Operatives Risiko-Management, Strategisches Risiko-Management.

Die spezifischen Bereiche Compliance-Risiken, IT-Risiken und Projekt-Risiken werden von unseren internen Fach-Consultants analysiert und gesteuert. Das Operative Risiko-Management umfasst die ursprünglich zentrale Instanz des Risiko-Managements, die alle Fachbereiche intern berät, den Risiko-Management-Prozess durchführt und die Gesamtanalyse der Risikosituation erstellt und auswertet. Das Strategische Risiko-Management wird von der Geschäftsführung verantwortet, in dieser führenden Instanz werden die Richtlinien für das Risiko-Management allgemein definiert und die strategischen Risiken analysiert.

Definition eines konsistenten Wordings

Um unternehmensweit die gleichen Begriffe verwenden zu können, müssen diese vor Einführung des neuen Risiko-Management-Prozesses definiert werden. Wir haben die Bedeutungen von Einzelrisiko, Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation, Risikosteuerung, Risikoüberwachung und Risikoeigentümer zuerst festgelegt:

  • Das Einzelrisiko zeigt eine wahrscheinliche, negative Planabweichung an. Lediglich wenn diese negative Planabweichung ausgeschlossen ist (Wahrscheinlichkeit null), dann existiert kein Einzelrisiko bzw. Risiko. Ein Risiko folgt aus einer Ursache (Gefahr) und heißt Auswirkung, sobald sich das Risiko realisiert und negative Planabweichungen festgestellt werden können.
  • Die Risikoidentifikation dient dazu Einzelrisiken im Unternehmen systematisch erkennen zu können. Dabei werden in jedem Fachbereich alle Risiken erkannt, die eine Eintrittswahrscheinlichkeit größer null haben.
  • Die Risikorelevanz ist eine Kategorisierung der Wichtigkeit. Hier wird entschieden, ob ein Risiko im subjektiven Unternehmenssinne Beachtung erfahren soll oder ob es, wegen „schwacher“ Auswirkungen, akzeptiert werden kann. Beim Akzeptieren eines Risikos würde keine Risikosteuerung erfolgen.
  • Die Risikobewertung ist eine Angabe eines monetären Schadenswerts. Diese Risikobewertung resultiert bei einem quantitativen Risiko (Datenbasis vorhanden, z. B. Bußgelder) sofort in einer schnell zu bezifferbaren maximalen Schadenshöhe. Bei einem qualitativem Risiko (keine Datenbasis vorhanden, z. B. Reputationsschäden) folgt primär eine genaue qualitative Beschreibung des wahrscheinlichen Schadensbereichs und sekundär eine möglichst genaue Schätzung der maximalen Schadenshöhe.
  • Die Risikoaggregation ist eine Zusammenfassung aller Einzelrisiken zu einer monetären Kennzahl (Value at Risk oder Expected Shortfall). Bei der Berechnung dieser Kennzahl werden jedoch mathematisch die Abhängigkeiten von Einzelrisiko-Paaren benötigt und für diese Kennzahl berücksichtigt. Es resultieren eine Kennzahl für die Bruttorisiken und eine Kennzahl für die Netto-Risiken.
  • Die Risikosteuerung bezeichnet das Planen von Maßnahmen, um das Einzelrisiko entweder in der Auftrittswahrscheinlichkeit zu reduzieren oder den maximalen Schaden zu senken. Sobald ein Risiko gesteuert wird erhält das Risiko eine zusätzliche Nettobewertung, die geringer sein sollte als die bisher bestimmte Bruttobewertung. Die Risikosteuerungsarten Risikovermeidung, Risikoreduktion, Risikotransfer und Risikoakzeptanz werden unterschieden.
  • Die Risikoüberwachung sorgt im engeren Sinne für die Überwachung der Risiken, das Aktualisieren von Risikorelevanz, Eintrittswahrscheinlichkeit und Schadenshöhe. Und im weiteren Sinne für die Überwachung von Maßnahmen, das Prüfen der aktiven Durchführung einer Maßnahme und die Prüfung der Wirksamkeit einer Maßnahme.
  • Der Risikoeigentümer besitzt über den vom Risiko betroffenen Prozess die Fachkenntnis und ist verantwortlich für diesen Prozess. Damit ist der Risikoeigentümer vom Risiko am meisten bedroht. Der in der Risiko-Management-Literatur zumeist genannte Risikoeigner (Risk Owner) ist eine Person, der die Verantwortung und Rechenschaftspflicht über einen Prozess und deren Risiken zugeordnet ist. Der Risikoeigner ist nicht am stärksten vom Risiko betroffen, trägt aber die Verantwortung.

 

Orientierung an der DIN ISO 31000:2018

Die Risiko-Management DIN ISO 31000 hat in der Überarbeitung von 2018 acht Prinzipien, die im Risiko-Management gelten sollten. Das Risiko-Management soll

  • integriert sein, also von allen Instanzen des Unternehmens geprägt oder angenommen werden.
  • strukturiert und umfassend sein, also für alle Bereiche des Unternehmens geplant sein.
  • maßgeschneidert sein, also genau an die jeweilige Komplexität des Unternehmens angepasst sein.
  • einbeziehend sein, also Arbeitsgewohnheiten, Arbeitsumfelder und alle Mitarbeiter berücksichtigen.
  • dynamisch sein, also Zeitpunkte für Ideenrunden für Prozessverbesserungen mit einplanen.
  • beste verfügbare Informationen nutzen, also regelmäßig neue Erkenntnisse anfragen und umsetzen.
  • menschliche und kulturelle Faktoren betrachten, also Mitarbeiter-Situationsspezifika mit analysieren.
  • fortlaufend Verbesserung erfahren, also regemäßig Verbesserungsideen anfragen und umsetzen.

Diese Prinzipien haben uns geleitet den Risiko-Management-Prozess noch mal neu zu denken und weiter abzuändern.

Aktualisierung unseres Risiko-Management-Prozesses

Zum ganzheitlichen und systematischen Abdecken und Analysieren aller Risiken der SAVISCON wurde der Risiko-Management-Prozess unter anderem an der ISO 31000:2018 orientiert, neu aufgesetzt und er besteht aus sieben Stufen: Risikoidentifikation, Risikorelevanz entscheiden, Risikobewertung (brutto) erstellen, Risikoaggregation (brutto) durchführen, Risikosteuerung, Risikoaggregation (netto) durchführen und Risikoüberwachung.

Der Risiko-Management-Prozess wird im Rahmen eines Workshops durchgeführt, der zu Beginn halbjährlich durchlaufen wird. Der Workshop besteht aus fünf Phasen, in denen die fünf Stufen des Risiko-Management-Prozesses in angepasster Art durchlaufen werden:

Phase 1

In einer ersten Phase werden alle Mitarbeiter über den anstehenden Prozess informiert und zu einer schriftlichen Befragung eingeladen. Inhalte sind Wahrnehmung des Risiko-Managements, individuell wichtigste Risiken oder Risikothemen und Ideen zu strategischen Risiken.  Diese schriftliche Befragung ist je nach Rolle (Risikoeigner oder nicht) anders aufgebaut und wird vom Mitarbeiter digital ausgefüllt. Am Ende der Phase wird der Fragebogen kurz mit dem Operativen Risiko-Management besprochen, um die Datenqualität und damit die Bedeutung der einzelnen Befragungen zu sichern.

Phase 2

In der folgenden, zweiten Phase, werden die Grundsteine des Risiko-Managements vom Strategischen und Operativen Risiko-Management gelegt, der Risiko-Management-Prozess definiert und die Grenzwerte und Kennzahlen festgelegt. In dieser Phase werden Risikoappetit, Risikopolitik, Risikokultur und Risikokommunikation verbalisiert. Außerdem werden Risikodeckungskapital und Schwellwerte beziffert und strategische Risiken identifiziert und gesteuert.

Phase 3

In der nächsten, dritten Phase, beginnt der Workshop für die gesamte SAVISCON. Die Einführung bildet eine allgemeine Risiko-Management-Schulung für alle Mitarbeiter. Im Anschluss ziehen sich die spezifischen Risikobereiche nacheinander mit dem Operativen Risiko-Management zurück und erarbeiten zusammen die ersten Stufen des Risiko-Management-Prozesses (Risikoidentifikation, Risikorelevanz, Risikobewertung (brutto und netto), Risikosteuerung, Risikoüberprüfung planen). Das Ende der Phase bildet das Operative Risiko-Management mit der Analyse aller übrigen Risiken.

Phase 4

In der darauf folgenden, vierten Phase, werden alle Informationen der dritten Phase durch das Operative Risiko-Management zusammengetragen, die Abhängigkeiten der Risiko-Paare definiert, die Risikoaggregationen (brutto und netto) durchgeführt und ein Risiko-Management-Abschlussbericht erstellt.

Phase 5

In der letzten, fünften Phase, werden die Kernaussagen aus dem Risiko-Management-Abschlussbericht mit allen Mitarbeitern geteilt und das Meinungsbild über den Risiko-Management-Prozess erhoben. Hier sollen gezielt Hinweise und Ideen für den nächsten Risiko-Management-Prozess abgefragt werden und es sollen bereits geplante Änderungen als Ausblick kommuniziert werden.

Ausblick:

Die nächsten Schritte des Risiko-Managements in der SAVISCON GmbH sind das Durchlaufen des neu geplanten Risiko-Management-Prozesses und das Erheben von Rückmeldungen und gegebenenfalls ersten Anpassungsvorschlägen. Weiter wird das interne Verständnis der ISO 31000:2018 aufgeklärt und die ergriffenen Maßnahmen erläutert. Außerdem wird das Strategische Risiko-Management näher betrachtet und das Verständnis der Begriffe Risikoappetit, Risikopolitik, Risikokultur und Risikokommunikation geteilt und thematisch eingeordnet.

Über den Autor:

Porträtfoto Marcel Steur

Marcel Steur ist Consultant Risiko-Management und GRC bei der SAVISCON GmbH.

Marcel Steur ist Wirtschaftswissenschaftler mit den Schwerpunkten Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de

5 Tipps für Ihr GRC-Management

Governance-, Risk- und Compliance-Management: Basis für gute Unternehmensführung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Leitungsorgane eines Unternehmens (Governance) haben unter anderem die Aufgabe, die Risiken auf ein Minimum zu reduzieren (Risiko-Management) als auch sicherzustellen, dass das Unternehmen und dessen Mitarbeiter alle relevanten Anforderungen und Regularien aus Gesetzen, Normen und internen Vorgaben Folge leistet (Compliance-Management). Dabei spielen auch die Informationssicherheit und der Datenschutz eine große Rolle, da sie gleichermaßen in das Risiko- und Compliance-Management greifen.

Diese Themen erstrecken sich dabei außerdem auf sämtliche Tätigkeiten von Unternehmen, denn es gibt Vorgaben in allen Bereichen: Finanzen, Personalwesen, Einkauf, Krankenpflege, Umweltschutz, Vertrieb, Logistik usw. Alle Fachbereiche müssen sicherstellen, dass sie alle bestehenden Vorgaben einhalten. Und ebenso müssen alle Bereiche sich um ihre Risiken kümmern, damit sie die Gesamtorganisation nicht gefährden. Der Zustand der Compliance- und Risiko-Managementsysteme muss den Leitungsorganen jederzeit transparent sein.

Als Handlungsgrundlage für gute und verantwortungsvolle Unternehmensführung und -kontrolle können Unternehmen den Deutschen Corporate Governance Kodex (DCGK) zugrunde legen. Wir haben für Sie 5 Tipps für verantwortungsvolles Handeln zusammengestellt:

Tipp 1: Selbstverpflichtung ernst nehmen

Eine zentrale Botschaft des Deutschen Corporate Governance Kodex ist die Selbstverpflichtung. Also: Verpflichten Sie sich selbst dazu, die Anforderungen aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), dem Transparenz- und Publizitätsgesetzes (TransPuG) sowie dem DCGK zu erfüllen.

Tipp 2: Aufsicht und Geschäftsführung strikt trennen

Eine der wesentlichen Anforderungen, nämlich auf Ebene der Rechtsträger (Geschäftsführung) eine angemessene und wirksame Aufsichtsstruktur zur Kontrolle der operativen Organe zu installieren, geschieht am besten durch die Einrichtung entsprechender Organe (Aufsichtsrat, Verwaltungsrat, Beirat). Dabei hat das Aufsichtsorgan, die Aufgabe dafür zu sorgen, dass die Geschäftsführung/Vorstand dies auch tun.

Unternehmen sollten formalisierte, personenunabhängige Verfahren, wie z. B. die Trennung von Aufsicht und Geschäftsführung, eine umfassende Wirtschaftsprüfung sowie Transparenz nach außen nutzen, um Fehlentwicklungen frühzeitig zu erkennen und diese durch geeignete Maßnahmen möglichst zu vermeiden. Instrumente für eine gute, verantwortungsvolle und wirtschaftliche Unternehmensführung sind laut DCGK für die Bereiche Controlling, Qualitätsmanagement, Leitung, Aufsicht und das Risiko-Management zu entwickeln und anzuwenden. Außerdem sollte ein entsprechendes Berichtswesen etabliert werden.

Tipp 3: Governance, Risk & Compliance gehören zusammen

Immer noch werden Risiko-Management und Compliance-Management in vielen Unternehmen separat voneinander betrachtet. Dabei ergibt es Sinn die Interdependenzen zu nutzen und so die internen Abläufe effizienter zu gestalten. Das spart Zeit, Geld und Nerven. Das ist der Kern des GRC-Managements: Beim GRC-Management werden die drei Bereiche Governance (G), Risk (R) und Compliance (C) in einem System zusammengefasst. Durch die gemeinsame Betrachtung können Sie die Effizienz und Transparenz Ihrer Prozesse steigern.

Tipp 4: GRC-Management als Chance

Sehen Sie das GRC-Management nicht als ein notwendiges Übel, sondern als Chance zur besseren und nachhaltigen Unternehmensführung. Mit einem strukturierten und digitalisierten GRC-Management-System sind Sie der Zeit einen Schritt voraus. Das kann für Sie auch rechtlich und somit finanziell gesehen einen großen Vorteil bedeuten. Denn es werden zunehmend drastischere Sanktionen verhängt. Bußgelder werden immer höher und sind zuweilen sogar existenzgefährdend. Organ-Mitglieder und leitende Angestellte haften häufiger persönlich, auch hier drohen Bußgelder oder sogar Berufsverbote.

Außerdem legen neuere Gesetze auch den Schwerpunkt auf die Nachhaltigkeit, so zum Beispiel das Lieferkettengesetz. Diese Gesetze können dazu frühen, dass, neben Sanktionen, auch tatsächliche Umsatzausfälle eintreten können, wenn den Anforderungen nicht gerecht wird. Denn wird man dem Lieferkettengesetz nicht gerecht kann es sein, dass Auftraggeber einen aus der Lieferantenliste streichen.

Tipp 5: Digitalisieren Sie Ihr GRC-Management

Alle Informationen zum GRC-Management gehören zusammen. Excel, E-Mail und Co. sind nicht mehr als digitale Zettelwirtschaft. Arbeiten Sie besser mit einer Software, die alle notwendigen Anforderungen, Risiken und Maßnahmen an einer zentralen Stelle mit den dazugehörigen Dokumenten speichert und verknüpft. Da in Unternehmen die ineinandergreifenden Prozesse zu immer höheren Anforderungen aus Gesetzen, Normen, Standards und Verträgen führen, empfiehlt sich die Implementierung eines umfassenden und nachhaltigen GRC-Managements.

Aufgrund der Komplexität des GRC-Managements und den daraus entstehenden großen Datenmengen, ergibt es Sinn, die Bearbeitung frühestmöglich mithilfe einer Software durchzuführen. Durch die konsequente digitale Zuweisung von Vorgängen und Abläufen mittels einer strukturellen Software arbeiten alle Mitarbeiter in einem System. „Medienbrüche“ werden durch die komplette Dokumentation aller Vorgänge ausgeschlossen und somit die Revisionssicherheit gewährleistet. Ein umfangreiches Reporting auf Knopfdruck vereinfacht Audits und Prüfungen, wie z. B. bei der Zertifizierung nach ISO 27001. Wir von der SAVISCON GmbH bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann: Alle Management-Systeme gebündelt an einem Ort. Jetzt mehr zum GRC-COCKPIT erfahren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:
XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Wo ein Ziel ist, da ist auch ein Weg

SAVISCON GmbH veranstaltet internen Strategietag

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Da wo ein Ziel ist, ist auch ein Weg. Bei Unternehmenszielen heißt der Weg dorthin „Strategie“. Nur wie genau findet man diesen Weg? Wir von der SAVISCON GmbH wollen diesem Weg in mehreren Handlungsfeldern alle gemeinsam erarbeiten und mehr Struktur verleihen. Deswegen haben wir am 6. Mai 2022 einen Strategietag mit allen Mitarbeitern in Hamburg durchgeführt.

Strategietag: wie alles begann

Den Grundstein für diesen Strategietag haben wir als Team bereits bei unserem Weihnachtsevent im Dezember 2021 gelegt. Nachdem wir gemeinsam unseren Code of Conduct erarbeitet haben, hat die Geschäftsführung vier Handlungsfelder vorgestellt, in die wir Mitarbeiter eingebunden werden sollen:

  1. Kunden, Vertrieb und Marketing
  2. Differenzierung vom Wettbewerb
  3. Beratungsprozess
  4. Produktentwicklung

Wir haben zurzeit noch eine Unternehmensgröße, mit der es problemlos möglich ist, alle Mitarbeiter in den Strategieprozess einzubinden – und das leben wir auch. Das gemeinsame Arbeiten stärkt das „Wir-Gefühl“ und durch das Einbinden von eigenen Ideen und Vorschlägen fällt es uns als Mitarbeitern leichter, sich mit dem Unternehmen zu identifizieren.

Der Entwicklungs-Prozess

Als wir im Dezember mit dem Auftrag aus dem Meeting entlassen wurden, uns Maßnahmen für die unterschiedlichen Handlungsfelder zu überlegen, stand bei vielen von uns erstmal ein großes Fragezeichen im Gesicht. Erst im Laufe der Zeit und nach den ersten Gesprächen in den Teams hat sich das verändert und wir haben langsam ein gemeinsames Verständnis für die Inhalte und Ziele der verschiedenen Handlungsfelder entwickelt.

Erarbeiten der Maßnahmen

Von der Geschäftsführung hat jede Gruppe eine Excel-Datei als Vorlage zum Eintragen der entwickelten Maßnahmen erhalten. Darin enthalten die Spalten:

  • Was (Welche Maßnahme soll umgesetzt werde)
  • Wie (Was benötigen wir dazu)
  • Wer (Auf welche Ressourcen muss zurückgegriffen werden)
  • Warum (Wie sieht der erwartete Nutzen aus)
  • Benötigte Ressourcen
  • Umsetzungszeitpunkt (kurzfristig, mittelfristig, langfristig)
  • Gewichtung (leicht, mittel, schwer)
  • Priorisierung (1, 2, 3)

Auswerten der Maßnahmen

Beim dann folgenden Strategietag in Hamburg haben alle Gruppen ihre erarbeiteten Maßnahmen vorgestellt und wir sind in die Diskussion gegangen. Tatsächlich haben sich viele Maßnahmen in den unterschiedlichen Gruppen auch überschnitten. So zum Beispiel die Maßnahme, als Basis für alle folgenden Maßnahmen eine neue, aktuelle Wettbewerbs- und Zielgruppenanalyse durchzuführen.
Jetzt liegt es an der Geschäftsführung, die Ergebnisse zu konsolidieren und die ersten konkreten Maßnahmen abzuleiten und anzustoßen. Wir planen diesen Strategieprozess als jährlich wiederkehrenden, kontinuierlichen Prozess.

Über die Autorin

Porträt Kerstin Wittemeier

Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social-Media-Kanäle und den Blog. Bei Fragen, Anregungen oder für den Austausch: kerstin.wittemeier@saviscon.de

Lieferkettengesetz im Unternehmen umsetzen

Das müssen Sie über das Lieferkettengesetz wissen

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (LkSG) ist im Juli 2021 rechtskräftig geworden. Viele Unternehmer fragen sich, was jetzt zu tun ist.

Für wen gilt das Lieferkettengesetz?

Das Gesetz betrifft Unternehmen mit Hauptsitz in Deutschland (§1) und mehr als 3.000 Mitarbeitenden ab dem 01.01.2023., Unternehmen mit mehr als 1.000 Mitarbeitenden ab dem 01.01.2024. Eine Schätzung im Vorfeld der Veröffentlichung des Gesetzes besagt, dass etwa 3.000 Unternehmen in Deutschland direkt betroffen sein werden.
Trotzdem können sich alle anderen Unternehmen nicht unbedingt zurücklehnen. Die direkt betroffenen Unternehmen werden in aller Regel ihre unmittelbaren und vielleicht auch wichtige, mittelbare Lieferanten dazu verpflichten, ebenfalls den, in den Gesetzen vorgegebenen, Standards zu entsprechen. Für Lieferanten bedeutet das, dass auch sie sich mit dem Gesetz befassen müssen, damit sie nicht Gefahr laufen, bei Ihren Großkunden aus der Liste der Lieferanten zu fallen.

Was steht im Lieferkettengesetz?

Alle im Gesetz niedergeschriebenen Forderungen beziehen sich auf die Menschenrechtsverletzungen und Umweltschutz-Themen, die im §2 umfassend definiert werden.
Im zweiten Abschnitt sind dann die Anforderungen zu den Sorgfaltspflichten der Unternehmen beschrieben. Im §3 ist zusammengefasst, was Unternehmen machen müssen, um compliant zu sein. Details folgen in den nachfolgenden Paragraphen des zweiten Abschnitts:

  1. Risikomanagement etablieren (Details §4)
  2. Zuständigkeiten definieren (Details §4)
  3. Risikoanalysen regelmäßig durchführen (Details §5)
  4. Abgabe einer Grundsatzerklärung (Details §6)
  5. Verankerung von Präventionsmaßnahmen (Details §6)
  6. Einrichten von Abhilfemaßnahmen (Details §7)
  7. Einrichtung eines Beschwerdeverfahrens (Details §8)
  8. Sorgfaltspflichten auch für mittelbare Zulieferer (Details §9)
  9. Dokumentation und Berichterstattung (Details §10)

Im vierten Abschnitt ist dann noch der §12 relevant. Hier ist die Frist von vier Monaten nach Abschluss des Geschäftsjahres für den einzureichenden jährlichen Bericht nach §10 normiert. Das wird für die Zulieferer jedoch eher nicht zutreffen.

Die weiteren Paragraphen sind für die Umsetzung der Sorgfaltspflicht erst einmal nicht relevant, hier ist geregelt, wie und wann die Behörde agieren darf und wie sich etwaige Sanktionen darstellen.

Was genau bedeutet das für ein Unternehmen, auch wenn es nicht direkt vom Gesetz betroffen ist?

Für ein Unternehmen, das z. B. als unmittelbarer Zulieferer von direkt betroffenen Unternehmen agiert, empfiehlt es sich, den Anforderungen des Gesetzes wie oben beschrieben im Wesentlichen nachzukommen, wenn man Lieferant bleiben will. Insofern sollte man organisatorisch die Zuständigkeit festschreiben und ein Risiko-Management in diesem Kontext betreiben.

Einen sehr guten Leitfaden für KMU findet man unter folgendem Link:

KMU Kompass – Strategie entwickeln (wirtschaft-entwicklung.de)

Die Seite basiert auf einer Initiative des Wirtschaftsministeriums, welches schlussendlich für das LkSG auch das verantwortliche Ministerium ist. Hier haben die Ersteller sehr gut und intensiv Maßnahmen und Vorgehensweisen beschrieben, die zielführend sind. Das bedeute nicht, dass man, wenn man alle beschriebenen Maßnahmen durchführt, automatisch compliant ist. Es ist eher als Stoffsammlung gedacht, aus der sich Unternehmen Ihre maßgeschneiderte Vorgehensweise ableiten können.

Auch sehr empfehlenswert ist dieser Artikel der Handelskammer Hamburg:

Lieferkettengesetz – Was kommt auf Lieferanten zu? – Handelskammer Hamburg (ihk.de)

Lieferkettengesetz Software: Systemunterstützung ist empfehlenswert

Um Risiko-Management, Maßnahmen und Dokumentation mit den zugehörigen Fristen effizient verwalten zu können, empfiehlt sich der Einsatz eines entsprechenden IT-Systems. Wir bieten zum Thema Lieferkettengesetz und digitale, softwaregestützte Umsetzung ein Webinar an. Darin werden wir die Umsetzung in unserem GRC-COCKPIT beispielhaft darstellen. Hier können Sie sich zum Webinar anmelden: Jetzt kostenfrei anmelden.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Office 365 datenschutzkonform einsetzen – klappt das?

Das müssen Sie beim Einsatz von Office 365 beachten

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In unserem internen Programm „GRC@SAVISCON“ stoßen wir in den Themenfeldern Risiko-Management, Compliance-Management, Informationssicherheits-Management und Datenschutz-Management immer wieder auf herausfordernde Themen. Wie wir diese meistern und mit unserer Software, dem GRC-COCKPIT, dokumentieren, das zeigen wir Ihnen in unserer Blog-Serie. Hier können Sie unseren initialen Blog-Beitrag lesen: Practice what you preach: GRC@SAVISCON. Heute ist unser Thema Datenschutz-Management und Office 365.

Microsoft Office 365 wird in fast jedem Unternehmen eingesetzt. So auch bei uns. Doch lässt sich das mit der DSGVO vereinbaren? Diese Frage habe ich mir in den letzten Monaten immer wieder gestellt und so war ich sehr dankbar darüber, dass bei den 15. Praxistage Datenschutz (die ich Mitte Februar 2022 drei Tage online besuchen durfte) die Themen Office 365, Datenübermittlung in Drittländer und noch vieles mehr ganz aktuell besprochen wurden.

Im heutigen Blog-Beitrag möchte ich Ihnen eine Zusammenfassung meiner gesammelten Erkenntnisse und gegen Ende auch eine Antwort auf meine Eingangsfrage, ob sich Office 365 und die DSGVO vereinen lassen, geben.

Datenübermittlung

Wir werden immer digitaler, ob wir wollen oder nicht. Wir können uns nicht dauerhaft auf lokale Systeme stützen, sondern müssen uns damit anfreunden, dass wir zukünftig immer mehr mit cloudbasierten Systemen arbeiten werden und dabei massenhaft Daten übermittelt werden. Deshalb ist es wichtig zu prüfen, welche Daten wohin übermittelt werden und wer darauf Zugriff hat.

Natürlich ist ein selbstgehostetes System immer zu bevorzugen, doch das verursacht meist hohe Kosten. Deshalb ist die beste Lösung, einen Anbieter mit Sitz in der EU bzw. dem europäischen Wirtschaftsraum (EWR) auszuwählen, denn dort sind die Daten nach der EU-Datenschutz-Grundverordnung zu schützen. Was ist aber, wenn aufgrund fehlender Alternativen ein globaler Anbieter (wie z. B. Microsoft) aus einem Drittland ausgewählt werden muss?
Dann werden z. B. Daten in die USA übermittelt und hier gilt US-Recht, nicht die DSGVO. Die Spielräume der US-Gesetze sind sehr breit und die Anwendungsbereiche nicht klar genug definiert. Es gibt keine Einschränkungen des Zugriffs von Behörden, keine Garantien für Nicht-US-Bürger.
Hört sich erstmal nicht gut an. Denn: Wir können die Grundsatzproblematik nicht lösen, trotzdem können wir einiges dafür tun, damit eine Datenübermittlung in Drittländer risikominimiert und unter Berücksichtigung der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) stattfindet. Dazu aber später mehr.

TTDSG

Über das neue Telekommunikation-Telemedien-Datenschutz-Gesetz hatte ich in einem eigenen Blog bereits im November 2021 berichtet. Seit 01.12.2021 ist das Gesetz nun in Kraft und seitdem fester Bestandteil im Arbeitsalltag eines Datenschutzbeauftragten. Im TTDSG sind u. a. die Regelungen zum Fernmeldegeheimnis geregelt, was früher im TKG (Telekommunikationsgesetz) zu finden war. Besonders wichtig ist hier § 25 TTDSG:

Absatz 1:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Absatz 2:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,

    1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
    2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Das TTDSG regelt also das Speichern und Nutzen der Daten in den Endeinrichtungen (auch der nicht personenbezogenen Daten). Als Datenschutzbeauftragter muss hier zukünftig 2-stufig geprüft werden, nämlich erstens aufgrund des TTDSG (Schutz der Privatsphäre) und zweitens aufgrund der DSGVO (Schutz der personenbezogenen Daten).

2-stufiger Prüfvorgang

Zur Prüfung aufgrund TTDSG muss ich mir z. B. folgende Fragen stellen:

  • Gilt das Fernmeldegeheimnis gemäß § 3 TTDSG?
  • Erfolgt ein Zugriff/eine Speicherung auf Endeinrichtungen nach § 25 TTDSG?
  • Wer greift auf die Endeinrichtung zu?
  • Aufgrund welcher Rechtsgrundlage findet der Zugriff statt?
  • Liegt eine Einwilligung vor (§ 25 Absatz 1)?
  • Trifft eine der beiden Ausnahmen zu (§ 25 Absatz 2)?

Zur Prüfung aufgrund DSGVO muss ich mir z. B. folgende Fragen stellen:

  • Für welchen Zweck werden Daten verarbeitet?
  • Welche Personen sind betroffen?
  • Welche Art von Daten werden verarbeitet?
  • Wie werden die Daten erhoben?
  • Aufgrund welcher Rechtsgrundlage erfolgt die Verarbeitung?
  • Wann werden die Daten gelöscht?
  • Wer hat Zugriff auf die Daten?

Und ich muss die datenschutzrechtliche Rolle bestimmen, also welchen Hut habe ich bei welcher Art von Verarbeitung auf. Bestimme ich die Antworten der oben genannten Fragen, bin ich Verantwortlicher. Geht es aber z. B. um Diagnosedaten aus Office 365, so ist Microsoft der Verantwortliche, denn Microsoft erhebt die Daten zu eigenen Zwecken, wie z. B. Aktualisierung der Software, Fehlerbehebung, Produktverbesserung, Sicherheit, etc.

Microsoft Office 365

Was gibt es nun konkret zu beachten bzw. zu tun, wenn Office 365 im eigenen Unternehmen genutzt werden soll?
Zuerst einmal sei erwähnt, dass Office 365 keine eigene Verarbeitungstätigkeit darstellt, sie ist lediglich das verwendete Tool, also „Mittel zum Zweck“. In unserem GRC-COCKPIT arbeiten wir mit Assets, d. h. in jeder Verarbeitungstätigkeit können die entsprechenden Assets (z. B. Tools wie Office 365) hinterlegt werden.

Screenshot GRC-COCKPIT

Auf diesem Screenshot aus dem GRC-COCKPIT sehen wir, dass die Verarbeitungstätigkeit „Adressliste Mitarbeiter“ mit dem Asset „Microsoft 365“ verknüpft ist.

Zusätzlich ist bei jeder Verarbeitungstätigkeit verpflichtend anzugeben, ob Daten in ein Drittland übermittelt werden. Bei der Verwendung von Office 365 ist das im Einzelfall (für jede Verarbeitungstätigkeit) zu prüfen. Wo genau Daten von Microsoft bei welcher Anwendung (Dienst) gespeichert werden, lässt sich hier nachlesen:

Auflistung Wo Microsoft 265-Kundendaten gespeichert werden.

Wo Microsoft 365-Kundendaten gespeichert werden.

Es wäre aber zu einfach, wenn man hier herauslesen könnte „Dienst: Microsoft Teams“ -> Daten werden in Deutschland gespeichert -> damit bin ich „safe“ und habe nichts weiter zu tun.

Denn hier muss tatsächlich die genaue Verarbeitungstätigkeit bzw. die Datenkategorien berücksichtigt werden. Nutze ich z. B. Microsoft Teams für eine Videokonferenz mit externen Teilnehmern und zeichne dieses Meeting auf (z. B. aufgrund von Nachweis- oder Dokumentationspflicht), so werden Daten in Microsoft Stream gespeichert und durch die Einladung externer Gäste werden Daten (Name und Mailadresse) über das B2B-Verzeichnis von Microsoft zusätzlich in die USA repliziert.

Es ist also wichtig, jede Verarbeitungstätigkeit einzeln zu prüfen. Eine pauschale Bewertung z. B. zur Verwendung von Office 365 mit JA oder NEIN hilft uns hier nicht weiter. Folgende Vorgehensweise zur Einzelfallprüfung kann angewendet werden:

1. Bestandsaufnahme:

  • Welche Datenkategorien werden in welche Länder übermittelt (innerhalb EU/EWR oder Drittland)?
  • Welche Rechtsgrundlage liegt hinter der Verarbeitung (z. B. Aufzeichnung wg. Nachweispflicht)?
  • Sind Informationspflichten zu beachten (z. B. Mitarbeiter, Kunden bei Aufzeichnungen)?
  • Welche technischen und organisatorischen Maßnahmen werden bereits ergriffen (z. B. Passwortschutz, Verschlüsselung, Pseudonymisierung)?

2. Alternativen prüfen:

Findet eine Übermittlung in ein Drittland statt, sollte geprüft werden, ob es einen alternativen Anbieter innerhalb EU/EWR gibt.

3. Überprüfung Rechtslage:

  • Wie ist die Rechtslage im entsprechenden Drittland?
  • Welche Eingriffsbefugnisse haben die dortigen Behörden?
  • Welche Standardvertragsklausel (SCC) kann zusätzlich zum AV-Vertrag abgeschlossen werden?

4. Risikoanalyse:

  • Welche Risiken bestehen?
  • Wie hoch ist der Schaden, der entstehen kann?
  • Wie hoch ist die Eintrittswahrscheinlichkeit?
  • Wie stufe ich das Risiko ein (geringes Risiko, Risiko, hohes Risiko)?
    Bei einem hohen Risiko ist zwingend eine Datenschutzfolgenabschätzung durchzuführen.

5. Zusätzliche Maßnahmen:

Zur Risikominimierung können weitere vertragliche, technische und organisatorische Maßnahmen ergriffen bzw. vereinbart werden. z. B. Verschlüsselung der Daten, Diagnosedaten in den Einstellungen minimieren, Tools wie MyAnalytics deaktivieren.

Kann man Office 365 DSGVO konform nutzen?

Wenn diese Punkte für jeden Einzelfall berücksichtigt werden, kann meiner Meinung nach Office 365 gut als Tool im Unternehmen eingesetzt werden. Da wir bei der SAVISCON GmbH Office 365 bereits nutzen, habe ich nach dieser ausführlichen Betrachtung nun deutlich weniger Bauchschmerzen, aber noch ein paar offene ToDos:

  • Sind alle Verarbeitungstätigkeiten mit dem Asset „Office 365“ auf dem aktuellen Stand?
  • Prüfen, ob wir (neben dem Hauptvertrag) den aktuellen Datenschutznachtrag von Microsoft dokumentiert haben (letzte Version sollte vom 15. September 2021 sein; Stand: 24.02.2022)
  • Können evtl. weitere Verschlüsselungsmethoden von Microsoft in Anspruch genommen werden?
  • Haben wir die Diagnosedaten soweit möglich eingedämmt?
  • Haben wir die Verwendung von MyAnalytics flächendeckend deaktiviert?

Wie sieht es bei Ihnen aus?

Nutzen Sie Office 365 in Ihrem Unternehmen und wie ist Ihre Einschätzung zum Thema Datenschutz? Lassen Sie uns gerne in den Kommentaren diskutieren.

Die Zukunft bleibt natürlich auch weiter spannend, denn die neue ePrivacy-Verordnung steht immer noch aus. Sobald diese dann in Kraft tritt, werden wahrscheinlich Vorgaben aus dem TTDSG durch die ePrivacy-Verordnung abgelöst. Aber nun bleibt erstmal abzuwarten, wann die EU-Mitgliedsstaaten die neue Verordnung verabschieden werden.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse des heutigen Blog-Beitrages:

  • Wir werden immer digitaler
  • Immer mehr Cloud-Anbieter werden unseren Alltag bestimmen, nicht nur Microsoft
  • Es müssen immer die DSGVO und das TTDSG zur Prüfung herangezogen werden
  • Die Datenübermittlung ist immer im Einzelfall zu prüfen
  • Bestehende Geschäftsmodelle und Geschäftsbeziehungen hinterfragen und ggf. umstellen
  • Wenn keine Alternative innerhalb EU/EWR zu finden ist, sind Standardvertragsklauseln und zusätzliche Maßnahmen notwendig

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Digitalisierung von Compliance-Management-Prozessen

Chance für eine ganzheitliche Betrachtung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Digitalisierung von Compliance-Prozessen ist auf dem Vormarsch! Diesen Trend bestätigen, stellvertretend für zahlreiche andere Ausführungen und Studien, beispielsweise die jährlichen Studien von Deloitte „The Future of Compliance 20xx”. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Durch die verteilte Bearbeitung bestimmter Compliance-Themenbereiche kann so in größeren Organisationen eine unkoordinierte Anhäufung von IT-Anwendungen entstehen. Das erhöht die Komplexität entweder für den IT-Betrieb, oder, bei starker Nutzung von Cloud-Dienstleistungen, den Aufwand für Datenschutz und Providermanagement. Es erhöht aber nicht unbedingt die Transparenz über alle Compliance-Aktivitäten in der Organisation. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen.

Unterschiedliche Anforderungen führen zu einer Sammlung verschiedener IT-Anwendungen

Die Digitalisierung bietet bereits heute viele Lösungen für bestimmte Compliance-Themenfelder an. Gemäß der Studie von Deloitte „The Future of Compliance 2020“ sind es vor allem Anwendungen für Sanktionslistenprüfung, Geldwäsche-Screening/KYC und Hinweisgebersysteme, die digital gut bis sehr gut funktionieren. Richtung Compliance-Kultur, Kommunikation und Sensibilisierung sind E-Learning und Computer-Based-Trainings bereits weit verbreitet. In der Zukunft werden sich weitere Systeme etablieren. Dabei sind es sicher Detektionsmechanismen, getrieben durch Big Data Analytics und KI, die zukünftig eine größere Rolle spielen werden. Wie etwa die bereits gängigen Anwendungen, welche aus Millionen Kontobewegungen auffällige Transaktionen herausfiltern und diese dem Compliance-Team anzeigen. Für jedes weitere Big Data Analyseziel muss allerdings immer ein eigenes Analysemodell und damit eine weitere Anwendung implementiert oder eingebunden werden.

Die Bearbeitung verschiedener Compliance-Themen ist über die Organisation verteilt

Wechseln wir einmal die Perspektive weg von IT-Systemen auf die Organisation selbst. „Vorzugsweise ist das Compliance-Management […] in das Finanz-, Risiko-, Qualitäts-, Umwelt- und Gesundheitsmanagement der Organisation und die betrieblichen Gegebenheiten und Prozesse integriert.“ Dieser Satz trifft den Nagel auf den Kopf, und das nicht ganz unerwartet. Schließlich steht er in der Einleitung der DIN ISO 19600:2016-12 Compliance-Managementsysteme – Leitlinien. Und eigentlich müsste man in dem Satz heutzutage noch das IT-Sicherheitsmanagement und das Management des Datenschutzes ergänzen. 

Dennoch ist die Wahrnehmung im Austausch mit unseren Kunden eine andere. Die Rechtsabteilungen größerer Organisationen behandeln in der Regel die gängigen Themen wie Geldwäsche und Terrorismusbekämpfung, Kartellrecht, Bestechung und Bestechlichkeit in einem Team. In der Finanzindustrie beispielsweise kommen die spezifischen Anforderungen der BaFin wie MaRisk, VAIT oder einschlägige Gesetze wie das Versicherungsvertragsgesetz noch dazu. Die Überprüfung weiterer bindender Verpflichtungen liegt jedoch regelmäßig in anderen Organisationseinheiten bei dazu ernannten Beauftragten. Hier geht es um Datenschutz, Umweltschutz, Arbeitsschutz, Betreiberverantwortung oder (IT-)Sicherheitsmanagement, um einmal die häufigsten zu nennen. Die benannten Beauftragten sitzen eher selten in der Compliance-Abteilung. Sie nehmen „ihre“ Themen für sich mit und bearbeiten diese nach bestem Wissen und Gewissen. Und das unter Umständen noch in eigenen, spezialisierten IT-Anwendungen.

Die digitale Klammer – ein digitales CMS

Die Anzahl der spezifischen Compliance-Anwendungen gepaart mit der Verteilung der Compliance-Themen auf die verschiedenen Organisationseinheiten erschwert den Überblick. Transparenz über den gesamten Compliance-Status einer Organisation zu erhalten, und diesen an verschiedene Stakeholder zielgruppengerecht und tagesaktuell zu berichten, wird so zur ständigen Herausforderung für die Ausführenden der Compliance-Funktion.

Hier kann die Digitalisierung klar weiterhelfen. Sie schafft mit einer Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Das liegt daran, dass für die Themengebiete oft eigene Managementsysteme entworfen worden sind, wie ein Blick auf die einschlägigen DIN/ISO Standards zeigt. Die Anforderungen an die Prozesse in den Managementsystemen sind daher weitestgehend deckungsgleich. Die gängigen Managementsysteme orientieren sich in der Regel am Deming-Zyklus (Plan-Do-Check-Act) oder ähnlichen Konstrukten zur kontinuierlichen Verbesserung. Ein generischer digitaler CMS Kernprozess stellt sich wie folgt dar:

Infografik Compliance-Management-Kern

Kernprozess eines Compliance-Management-Systems

Beispielhafter Ablauf des Prozesses

Es beginnt mit Informationen, die möglicherweise Auswirkungen auf die Compliance haben. Diese Information werden in den Identifikationen am Anfang des Prozesses dokumentiert und über Workflows einer Würdigung durch eine oder mehrere betroffene Fachabteilungen zugeführt. Dabei kann es verschiedene Quellen für Identifikationen geben. Ob nun der Entwurf des Lieferkettengesetztes oder die Anbahnung eines Großauftrags zur Lieferung von Maschinenteilen ins Ausland. Beide Identifikationen müssen bezüglich der Abhängigkeit oder Auswirkungen auf die Compliance untersucht werden. Auch Einträge aus einem Hinweisgebersystem können über einen besonders geschützten Workflow anonymisiert und neutralisiert in Identifikationen hineinlaufen. Nur, wenn die Untersuchung der Identifikation einen Handlungsbedarf ergibt, läuft die Information in den Compliance-Management-Kernprozess.

Im Falle des Gesetzentwurfs wird das Gesetz als Anforderung in das System geladen. Es wird geprüft, ob die Organisation gegenüber den neuen Anforderungen bereits Maßnahmen implementiert hat, die den Anforderungen gerecht werden. Ist das der Fall, werden die Maßnahmen dokumentiert und mit der Anforderung verknüpft. Ist das nicht der Fall, muss die Risikoprüfung erfolgen und festgestellt werden, ob die Non-Compliance hier ein wesentliches Risiko darstellt. Wenn ja, müssen entsprechende Maßnahmen zur Risikobehandlung abgeleitet und geplant werden. Die Umsetzung aller Maßnahmen muss überwacht und deren Wirksamkeit festgestellt werden.

Bei dem Beispiel des Großauftrags leitet man direkt aus der Identifikation die Risiken ab, welche der Auftrag mit sich bringt. Beispielsweise Währungsrisiken, Risiken der Logistik oder auch Risiken aufgrund politischer Rahmenbedingungen. Aber auch Maßnahmen können direkt aus der Identifikation abgeleitet bzw. bereits vorhandene Maßnahmen damit verknüpft werden. Zum Beispiel die bereits bestehenden Standardmaßnahmen zur Überprüfung der Sanktionslisten und die Prüfung, ob Dual-Use bei den zu liefernden Maschinenteilen möglich und die Lieferung damit erlaubt ist. Auch diese Maßnahmen bekommen jeweils eine Überwachung und müssen bezüglich Durchführung und Wirksamkeit im System dokumentiert werden.

Die generische Anwendung ermöglich ein umfassendes Berichtswesen

Dieses Vorgehen lässt sich auf beliebige Compliance-Themen ausweiten. Jede Information, die relevant sein könnte, wird als Identifikation einer Würdigung unterzogen. Wird kein Handlungsbedarf festgestellt, so ist trotzdem im System dokumentiert, dass das Thema betrachtet wurde und warum diese Einschätzung getroffen wurde. Alle anderen Themen laufen in den Kernprozess, der generisch für alle Themen funktioniert.

Da alles in einem System stattfindet, ist auch das zielgerichtete Reporting leicht umgesetzt. Dabei geht es zum einen um Berichte in Form von Dokumenten, aber vor allem auch um ein Cockpit, in dem der Zustand des Systems immer aktuell auf einen Blick erfassbar ist:

COCKPIT Ansicht

Mögliches Beispiel für eine Cockpit Ansicht

In einer operativen Plausibilitätsprüfung können Auffälligkeiten ausgewertet und dargestellt werden, sodass mit einem Mausklick direkt die Auffälligkeiten betrachtet, analysiert und behoben werden können.

Screenshot Health Check aus dem GRC-COCKPIT

Mögliches Beispiel für eine Plausibilitätskontrolle.

Ein weiterer Vorteil des digitalen CMS ist, dass für interne und auch externe Audits alle Information im System vorhanden sind. Man kann also die Auditoren mit temporären und gezielten Zugriffsberechtigungen den Zustand des Compliance-Management-Systems vorab remote prüfen lassen, bevor ggf. eine örtliche Begehung stattfindet. Das reduziert die Reisetätigkeit und beschleunigt den Auditprozess erheblich.

Das bringt uns zurück an den Beginn dieses Textes. Die Ausführung soll zeigen, dass es mit einem solchen generischen Ansatz gelingen kann, alle Compliance-Themengebiete und auch Managementsysteme in einer Anwendung abzubilden. Entsprechende zielgruppenkonforme Sichten zeigen den spezifischen Anwendern genau die Informationen, die sie benötigen. Trotzdem hat aber die Unternehmensleitung einen vollständigen und ganzheitlichen Überblick, wie es um das Compliance-Management im Unternehmen bestellt ist. Das funktioniert allerdings nur, wenn die Compliance-Management-Prozesse komplett in einem digitalen CMS abgebildet sind, das die digitale Klammer um alle darunter liegenden Einzelprozesse und IT-Anwendungen bildet.

Fazit: Eine digitale Umsetzung eines Compliance-Management-Systems eröffnet die (einzige) Chance, trotz der großen Menge der anfallenden Daten und unabhängig von der Größe der Organisation, das CMS ganzheitlich aufzusetzen. Es ermöglicht ein Aufbrechen der Prozess-Silos und schafft damit erhebliche Synergieeffekte, die in der Bearbeitung der Compliance-Themen im gesamten Unternehmen gehoben werden können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus.