Digitalisierung

Lesen Sie in dieser Rubrik alle Blog-Beiträge zum Thema Digitalisierung.

Beiträge

Wo ein Ziel ist, da ist auch ein Weg

SAVISCON GmbH veranstaltet internen Strategietag

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Da wo ein Ziel ist, ist auch ein Weg. Bei Unternehmenszielen heißt der Weg dorthin „Strategie“. Nur wie genau findet man diesen Weg? Wir von der SAVISCON GmbH wollen diesem Weg in mehreren Handlungsfeldern alle gemeinsam erarbeiten und mehr Struktur verleihen. Deswegen haben wir am 6. Mai 2022 einen Strategietag mit allen Mitarbeitern in Hamburg durchgeführt.

Strategietag: wie alles begann

Den Grundstein für diesen Strategietag haben wir als Team bereits bei unserem Weihnachtsevent im Dezember 2021 gelegt. Nachdem wir gemeinsam unseren Code of Conduct erarbeitet haben, hat die Geschäftsführung vier Handlungsfelder vorgestellt, in die wir Mitarbeiter eingebunden werden sollen:

  1. Kunden, Vertrieb und Marketing
  2. Differenzierung vom Wettbewerb
  3. Beratungsprozess
  4. Produktentwicklung

Wir haben zurzeit noch eine Unternehmensgröße, mit der es problemlos möglich ist, alle Mitarbeiter in den Strategieprozess einzubinden – und das leben wir auch. Das gemeinsame Arbeiten stärkt das „Wir-Gefühl“ und durch das Einbinden von eigenen Ideen und Vorschlägen fällt es uns als Mitarbeitern leichter, sich mit dem Unternehmen zu identifizieren.

Der Entwicklungs-Prozess

Als wir im Dezember mit dem Auftrag aus dem Meeting entlassen wurden, uns Maßnahmen für die unterschiedlichen Handlungsfelder zu überlegen, stand bei vielen von uns erstmal ein großes Fragezeichen im Gesicht. Erst im Laufe der Zeit und nach den ersten Gesprächen in den Teams hat sich das verändert und wir haben langsam ein gemeinsames Verständnis für die Inhalte und Ziele der verschiedenen Handlungsfelder entwickelt.

Erarbeiten der Maßnahmen

Von der Geschäftsführung hat jede Gruppe eine Excel-Datei als Vorlage zum Eintragen der entwickelten Maßnahmen erhalten. Darin enthalten die Spalten:

  • Was (Welche Maßnahme soll umgesetzt werde)
  • Wie (Was benötigen wir dazu)
  • Wer (Auf welche Ressourcen muss zurückgegriffen werden)
  • Warum (Wie sieht der erwartete Nutzen aus)
  • Benötigte Ressourcen
  • Umsetzungszeitpunkt (kurzfristig, mittelfristig, langfristig)
  • Gewichtung (leicht, mittel, schwer)
  • Priorisierung (1, 2, 3)

Auswerten der Maßnahmen

Beim dann folgenden Strategietag in Hamburg haben alle Gruppen ihre erarbeiteten Maßnahmen vorgestellt und wir sind in die Diskussion gegangen. Tatsächlich haben sich viele Maßnahmen in den unterschiedlichen Gruppen auch überschnitten. So zum Beispiel die Maßnahme, als Basis für alle folgenden Maßnahmen eine neue, aktuelle Wettbewerbs- und Zielgruppenanalyse durchzuführen.
Jetzt liegt es an der Geschäftsführung, die Ergebnisse zu konsolidieren und die ersten konkreten Maßnahmen abzuleiten und anzustoßen. Wir planen diesen Strategieprozess als jährlich wiederkehrenden, kontinuierlichen Prozess.

Über die Autorin

Porträt Kerstin Wittemeier

Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social-Media-Kanäle und den Blog. Bei Fragen, Anregungen oder für den Austausch: kerstin.wittemeier@saviscon.de

Lieferkettengesetz im Unternehmen umsetzen

Das müssen Sie über das Lieferkettengesetz wissen

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (LkSG) ist im Juli 2021 rechtskräftig geworden. Viele Unternehmer fragen sich, was jetzt zu tun ist.

Für wen gilt das Lieferkettengesetz?

Das Gesetz betrifft Unternehmen mit Hauptsitz in Deutschland (§1) und mehr als 3.000 Mitarbeitenden ab dem 01.01.2023., Unternehmen mit mehr als 1.000 Mitarbeitenden ab dem 01.01.2024. Eine Schätzung im Vorfeld der Veröffentlichung des Gesetzes besagt, dass etwa 3.000 Unternehmen in Deutschland direkt betroffen sein werden.
Trotzdem können sich alle anderen Unternehmen nicht unbedingt zurücklehnen. Die direkt betroffenen Unternehmen werden in aller Regel ihre unmittelbaren und vielleicht auch wichtige, mittelbare Lieferanten dazu verpflichten, ebenfalls den, in den Gesetzen vorgegebenen, Standards zu entsprechen. Für Lieferanten bedeutet das, dass auch sie sich mit dem Gesetz befassen müssen, damit sie nicht Gefahr laufen, bei Ihren Großkunden aus der Liste der Lieferanten zu fallen.

Was steht im Lieferkettengesetz?

Alle im Gesetz niedergeschriebenen Forderungen beziehen sich auf die Menschenrechtsverletzungen und Umweltschutz-Themen, die im §2 umfassend definiert werden.
Im zweiten Abschnitt sind dann die Anforderungen zu den Sorgfaltspflichten der Unternehmen beschrieben. Im §3 ist zusammengefasst, was Unternehmen machen müssen, um compliant zu sein. Details folgen in den nachfolgenden Paragraphen des zweiten Abschnitts:

  1. Risikomanagement etablieren (Details §4)
  2. Zuständigkeiten definieren (Details §4)
  3. Risikoanalysen regelmäßig durchführen (Details §5)
  4. Abgabe einer Grundsatzerklärung (Details §6)
  5. Verankerung von Präventionsmaßnahmen (Details §6)
  6. Einrichten von Abhilfemaßnahmen (Details §7)
  7. Einrichtung eines Beschwerdeverfahrens (Details §8)
  8. Sorgfaltspflichten auch für mittelbare Zulieferer (Details §9)
  9. Dokumentation und Berichterstattung (Details §10)

Im vierten Abschnitt ist dann noch der §12 relevant. Hier ist die Frist von vier Monaten nach Abschluss des Geschäftsjahres für den einzureichenden jährlichen Bericht nach §10 normiert. Das wird für die Zulieferer jedoch eher nicht zutreffen.

Die weiteren Paragraphen sind für die Umsetzung der Sorgfaltspflicht erst einmal nicht relevant, hier ist geregelt, wie und wann die Behörde agieren darf und wie sich etwaige Sanktionen darstellen.

Was genau bedeutet das für ein Unternehmen, auch wenn es nicht direkt vom Gesetz betroffen ist?

Für ein Unternehmen, das z. B. als unmittelbarer Zulieferer von direkt betroffenen Unternehmen agiert, empfiehlt es sich, den Anforderungen des Gesetzes wie oben beschrieben im Wesentlichen nachzukommen, wenn man Lieferant bleiben will. Insofern sollte man organisatorisch die Zuständigkeit festschreiben und ein Risiko-Management in diesem Kontext betreiben.

Einen sehr guten Leitfaden für KMU findet man unter folgendem Link:

KMU Kompass – Strategie entwickeln (wirtschaft-entwicklung.de)

Die Seite basiert auf einer Initiative des Wirtschaftsministeriums, welches schlussendlich für das LkSG auch das verantwortliche Ministerium ist. Hier haben die Ersteller sehr gut und intensiv Maßnahmen und Vorgehensweisen beschrieben, die zielführend sind. Das bedeute nicht, dass man, wenn man alle beschriebenen Maßnahmen durchführt, automatisch compliant ist. Es ist eher als Stoffsammlung gedacht, aus der sich Unternehmen Ihre maßgeschneiderte Vorgehensweise ableiten können.

Auch sehr empfehlenswert ist dieser Artikel der Handelskammer Hamburg:

Lieferkettengesetz – Was kommt auf Lieferanten zu? – Handelskammer Hamburg (ihk.de)

Lieferkettengesetz Software: Systemunterstützung ist empfehlenswert

Um Risiko-Management, Maßnahmen und Dokumentation mit den zugehörigen Fristen effizient verwalten zu können, empfiehlt sich der Einsatz eines entsprechenden IT-Systems. Wir bieten zum Thema Lieferkettengesetz und digitale, softwaregestützte Umsetzung ein Webinar an. Darin werden wir die Umsetzung in unserem GRC-COCKPIT beispielhaft darstellen. Hier können Sie sich zum Webinar anmelden: Jetzt kostenfrei anmelden.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Office 365 datenschutzkonform einsetzen – klappt das?

Das müssen Sie beim Einsatz von Office 365 beachten

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In unserem internen Programm „GRC@SAVISCON“ stoßen wir in den Themenfeldern Risiko-Management, Compliance-Management, Informationssicherheits-Management und Datenschutz-Management immer wieder auf herausfordernde Themen. Wie wir diese meistern und mit unserer Software, dem GRC-COCKPIT, dokumentieren, das zeigen wir Ihnen in unserer Blog-Serie. Hier können Sie unseren initialen Blog-Beitrag lesen: Practice what you preach: GRC@SAVISCON. Heute ist unser Thema Datenschutz-Management und Office 365.

Microsoft Office 365 wird in fast jedem Unternehmen eingesetzt. So auch bei uns. Doch lässt sich das mit der DSGVO vereinbaren? Diese Frage habe ich mir in den letzten Monaten immer wieder gestellt und so war ich sehr dankbar darüber, dass bei den 15. Praxistage Datenschutz (die ich Mitte Februar 2022 drei Tage online besuchen durfte) die Themen Office 365, Datenübermittlung in Drittländer und noch vieles mehr ganz aktuell besprochen wurden.

Im heutigen Blog-Beitrag möchte ich Ihnen eine Zusammenfassung meiner gesammelten Erkenntnisse und gegen Ende auch eine Antwort auf meine Eingangsfrage, ob sich Office 365 und die DSGVO vereinen lassen, geben.

Datenübermittlung

Wir werden immer digitaler, ob wir wollen oder nicht. Wir können uns nicht dauerhaft auf lokale Systeme stützen, sondern müssen uns damit anfreunden, dass wir zukünftig immer mehr mit cloudbasierten Systemen arbeiten werden und dabei massenhaft Daten übermittelt werden. Deshalb ist es wichtig zu prüfen, welche Daten wohin übermittelt werden und wer darauf Zugriff hat.

Natürlich ist ein selbstgehostetes System immer zu bevorzugen, doch das verursacht meist hohe Kosten. Deshalb ist die beste Lösung, einen Anbieter mit Sitz in der EU bzw. dem europäischen Wirtschaftsraum (EWR) auszuwählen, denn dort sind die Daten nach der EU-Datenschutz-Grundverordnung zu schützen. Was ist aber, wenn aufgrund fehlender Alternativen ein globaler Anbieter (wie z. B. Microsoft) aus einem Drittland ausgewählt werden muss?
Dann werden z. B. Daten in die USA übermittelt und hier gilt US-Recht, nicht die DSGVO. Die Spielräume der US-Gesetze sind sehr breit und die Anwendungsbereiche nicht klar genug definiert. Es gibt keine Einschränkungen des Zugriffs von Behörden, keine Garantien für Nicht-US-Bürger.
Hört sich erstmal nicht gut an. Denn: Wir können die Grundsatzproblematik nicht lösen, trotzdem können wir einiges dafür tun, damit eine Datenübermittlung in Drittländer risikominimiert und unter Berücksichtigung der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) stattfindet. Dazu aber später mehr.

TTDSG

Über das neue Telekommunikation-Telemedien-Datenschutz-Gesetz hatte ich in einem eigenen Blog bereits im November 2021 berichtet. Seit 01.12.2021 ist das Gesetz nun in Kraft und seitdem fester Bestandteil im Arbeitsalltag eines Datenschutzbeauftragten. Im TTDSG sind u. a. die Regelungen zum Fernmeldegeheimnis geregelt, was früher im TKG (Telekommunikationsgesetz) zu finden war. Besonders wichtig ist hier § 25 TTDSG:

Absatz 1:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Absatz 2:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,

    1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
    2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Das TTDSG regelt also das Speichern und Nutzen der Daten in den Endeinrichtungen (auch der nicht personenbezogenen Daten). Als Datenschutzbeauftragter muss hier zukünftig 2-stufig geprüft werden, nämlich erstens aufgrund des TTDSG (Schutz der Privatsphäre) und zweitens aufgrund der DSGVO (Schutz der personenbezogenen Daten).

2-stufiger Prüfvorgang

Zur Prüfung aufgrund TTDSG muss ich mir z. B. folgende Fragen stellen:

  • Gilt das Fernmeldegeheimnis gemäß § 3 TTDSG?
  • Erfolgt ein Zugriff/eine Speicherung auf Endeinrichtungen nach § 25 TTDSG?
  • Wer greift auf die Endeinrichtung zu?
  • Aufgrund welcher Rechtsgrundlage findet der Zugriff statt?
  • Liegt eine Einwilligung vor (§ 25 Absatz 1)?
  • Trifft eine der beiden Ausnahmen zu (§ 25 Absatz 2)?

Zur Prüfung aufgrund DSGVO muss ich mir z. B. folgende Fragen stellen:

  • Für welchen Zweck werden Daten verarbeitet?
  • Welche Personen sind betroffen?
  • Welche Art von Daten werden verarbeitet?
  • Wie werden die Daten erhoben?
  • Aufgrund welcher Rechtsgrundlage erfolgt die Verarbeitung?
  • Wann werden die Daten gelöscht?
  • Wer hat Zugriff auf die Daten?

Und ich muss die datenschutzrechtliche Rolle bestimmen, also welchen Hut habe ich bei welcher Art von Verarbeitung auf. Bestimme ich die Antworten der oben genannten Fragen, bin ich Verantwortlicher. Geht es aber z. B. um Diagnosedaten aus Office 365, so ist Microsoft der Verantwortliche, denn Microsoft erhebt die Daten zu eigenen Zwecken, wie z. B. Aktualisierung der Software, Fehlerbehebung, Produktverbesserung, Sicherheit, etc.

Microsoft Office 365

Was gibt es nun konkret zu beachten bzw. zu tun, wenn Office 365 im eigenen Unternehmen genutzt werden soll?
Zuerst einmal sei erwähnt, dass Office 365 keine eigene Verarbeitungstätigkeit darstellt, sie ist lediglich das verwendete Tool, also „Mittel zum Zweck“. In unserem GRC-COCKPIT arbeiten wir mit Assets, d. h. in jeder Verarbeitungstätigkeit können die entsprechenden Assets (z. B. Tools wie Office 365) hinterlegt werden.

Screenshot GRC-COCKPIT

Auf diesem Screenshot aus dem GRC-COCKPIT sehen wir, dass die Verarbeitungstätigkeit „Adressliste Mitarbeiter“ mit dem Asset „Microsoft 365“ verknüpft ist.

Zusätzlich ist bei jeder Verarbeitungstätigkeit verpflichtend anzugeben, ob Daten in ein Drittland übermittelt werden. Bei der Verwendung von Office 365 ist das im Einzelfall (für jede Verarbeitungstätigkeit) zu prüfen. Wo genau Daten von Microsoft bei welcher Anwendung (Dienst) gespeichert werden, lässt sich hier nachlesen:

Auflistung Wo Microsoft 265-Kundendaten gespeichert werden.

Wo Microsoft 365-Kundendaten gespeichert werden.

Es wäre aber zu einfach, wenn man hier herauslesen könnte „Dienst: Microsoft Teams“ -> Daten werden in Deutschland gespeichert -> damit bin ich „safe“ und habe nichts weiter zu tun.

Denn hier muss tatsächlich die genaue Verarbeitungstätigkeit bzw. die Datenkategorien berücksichtigt werden. Nutze ich z. B. Microsoft Teams für eine Videokonferenz mit externen Teilnehmern und zeichne dieses Meeting auf (z. B. aufgrund von Nachweis- oder Dokumentationspflicht), so werden Daten in Microsoft Stream gespeichert und durch die Einladung externer Gäste werden Daten (Name und Mailadresse) über das B2B-Verzeichnis von Microsoft zusätzlich in die USA repliziert.

Es ist also wichtig, jede Verarbeitungstätigkeit einzeln zu prüfen. Eine pauschale Bewertung z. B. zur Verwendung von Office 365 mit JA oder NEIN hilft uns hier nicht weiter. Folgende Vorgehensweise zur Einzelfallprüfung kann angewendet werden:

1. Bestandsaufnahme:

  • Welche Datenkategorien werden in welche Länder übermittelt (innerhalb EU/EWR oder Drittland)?
  • Welche Rechtsgrundlage liegt hinter der Verarbeitung (z. B. Aufzeichnung wg. Nachweispflicht)?
  • Sind Informationspflichten zu beachten (z. B. Mitarbeiter, Kunden bei Aufzeichnungen)?
  • Welche technischen und organisatorischen Maßnahmen werden bereits ergriffen (z. B. Passwortschutz, Verschlüsselung, Pseudonymisierung)?

2. Alternativen prüfen:

Findet eine Übermittlung in ein Drittland statt, sollte geprüft werden, ob es einen alternativen Anbieter innerhalb EU/EWR gibt.

3. Überprüfung Rechtslage:

  • Wie ist die Rechtslage im entsprechenden Drittland?
  • Welche Eingriffsbefugnisse haben die dortigen Behörden?
  • Welche Standardvertragsklausel (SCC) kann zusätzlich zum AV-Vertrag abgeschlossen werden?

4. Risikoanalyse:

  • Welche Risiken bestehen?
  • Wie hoch ist der Schaden, der entstehen kann?
  • Wie hoch ist die Eintrittswahrscheinlichkeit?
  • Wie stufe ich das Risiko ein (geringes Risiko, Risiko, hohes Risiko)?
    Bei einem hohen Risiko ist zwingend eine Datenschutzfolgenabschätzung durchzuführen.

5. Zusätzliche Maßnahmen:

Zur Risikominimierung können weitere vertragliche, technische und organisatorische Maßnahmen ergriffen bzw. vereinbart werden. z. B. Verschlüsselung der Daten, Diagnosedaten in den Einstellungen minimieren, Tools wie MyAnalytics deaktivieren.

Kann man Office 365 DSGVO konform nutzen?

Wenn diese Punkte für jeden Einzelfall berücksichtigt werden, kann meiner Meinung nach Office 365 gut als Tool im Unternehmen eingesetzt werden. Da wir bei der SAVISCON GmbH Office 365 bereits nutzen, habe ich nach dieser ausführlichen Betrachtung nun deutlich weniger Bauchschmerzen, aber noch ein paar offene ToDos:

  • Sind alle Verarbeitungstätigkeiten mit dem Asset „Office 365“ auf dem aktuellen Stand?
  • Prüfen, ob wir (neben dem Hauptvertrag) den aktuellen Datenschutznachtrag von Microsoft dokumentiert haben (letzte Version sollte vom 15. September 2021 sein; Stand: 24.02.2022)
  • Können evtl. weitere Verschlüsselungsmethoden von Microsoft in Anspruch genommen werden?
  • Haben wir die Diagnosedaten soweit möglich eingedämmt?
  • Haben wir die Verwendung von MyAnalytics flächendeckend deaktiviert?

Wie sieht es bei Ihnen aus?

Nutzen Sie Office 365 in Ihrem Unternehmen und wie ist Ihre Einschätzung zum Thema Datenschutz? Lassen Sie uns gerne in den Kommentaren diskutieren.

Die Zukunft bleibt natürlich auch weiter spannend, denn die neue ePrivacy-Verordnung steht immer noch aus. Sobald diese dann in Kraft tritt, werden wahrscheinlich Vorgaben aus dem TTDSG durch die ePrivacy-Verordnung abgelöst. Aber nun bleibt erstmal abzuwarten, wann die EU-Mitgliedsstaaten die neue Verordnung verabschieden werden.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse des heutigen Blog-Beitrages:

  • Wir werden immer digitaler
  • Immer mehr Cloud-Anbieter werden unseren Alltag bestimmen, nicht nur Microsoft
  • Es müssen immer die DSGVO und das TTDSG zur Prüfung herangezogen werden
  • Die Datenübermittlung ist immer im Einzelfall zu prüfen
  • Bestehende Geschäftsmodelle und Geschäftsbeziehungen hinterfragen und ggf. umstellen
  • Wenn keine Alternative innerhalb EU/EWR zu finden ist, sind Standardvertragsklauseln und zusätzliche Maßnahmen notwendig

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Digitalisierung von Compliance-Management-Prozessen

Chance für eine ganzheitliche Betrachtung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Digitalisierung von Compliance-Prozessen ist auf dem Vormarsch! Diesen Trend bestätigen, stellvertretend für zahlreiche andere Ausführungen und Studien, beispielsweise die jährlichen Studien von Deloitte „The Future of Compliance 20xx”. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Durch die verteilte Bearbeitung bestimmter Compliance-Themenbereiche kann so in größeren Organisationen eine unkoordinierte Anhäufung von IT-Anwendungen entstehen. Das erhöht die Komplexität entweder für den IT-Betrieb, oder, bei starker Nutzung von Cloud-Dienstleistungen, den Aufwand für Datenschutz und Providermanagement. Es erhöht aber nicht unbedingt die Transparenz über alle Compliance-Aktivitäten in der Organisation. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen.

Unterschiedliche Anforderungen führen zu einer Sammlung verschiedener IT-Anwendungen

Die Digitalisierung bietet bereits heute viele Lösungen für bestimmte Compliance-Themenfelder an. Gemäß der Studie von Deloitte „The Future of Compliance 2020“ sind es vor allem Anwendungen für Sanktionslistenprüfung, Geldwäsche-Screening/KYC und Hinweisgebersysteme, die digital gut bis sehr gut funktionieren. Richtung Compliance-Kultur, Kommunikation und Sensibilisierung sind E-Learning und Computer-Based-Trainings bereits weit verbreitet. In der Zukunft werden sich weitere Systeme etablieren. Dabei sind es sicher Detektionsmechanismen, getrieben durch Big Data Analytics und KI, die zukünftig eine größere Rolle spielen werden. Wie etwa die bereits gängigen Anwendungen, welche aus Millionen Kontobewegungen auffällige Transaktionen herausfiltern und diese dem Compliance-Team anzeigen. Für jedes weitere Big Data Analyseziel muss allerdings immer ein eigenes Analysemodell und damit eine weitere Anwendung implementiert oder eingebunden werden.

Die Bearbeitung verschiedener Compliance-Themen ist über die Organisation verteilt

Wechseln wir einmal die Perspektive weg von IT-Systemen auf die Organisation selbst. „Vorzugsweise ist das Compliance-Management […] in das Finanz-, Risiko-, Qualitäts-, Umwelt- und Gesundheitsmanagement der Organisation und die betrieblichen Gegebenheiten und Prozesse integriert.“ Dieser Satz trifft den Nagel auf den Kopf, und das nicht ganz unerwartet. Schließlich steht er in der Einleitung der DIN ISO 19600:2016-12 Compliance-Managementsysteme – Leitlinien. Und eigentlich müsste man in dem Satz heutzutage noch das IT-Sicherheitsmanagement und das Management des Datenschutzes ergänzen. 

Dennoch ist die Wahrnehmung im Austausch mit unseren Kunden eine andere. Die Rechtsabteilungen größerer Organisationen behandeln in der Regel die gängigen Themen wie Geldwäsche und Terrorismusbekämpfung, Kartellrecht, Bestechung und Bestechlichkeit in einem Team. In der Finanzindustrie beispielsweise kommen die spezifischen Anforderungen der BaFin wie MaRisk, VAIT oder einschlägige Gesetze wie das Versicherungsvertragsgesetz noch dazu. Die Überprüfung weiterer bindender Verpflichtungen liegt jedoch regelmäßig in anderen Organisationseinheiten bei dazu ernannten Beauftragten. Hier geht es um Datenschutz, Umweltschutz, Arbeitsschutz, Betreiberverantwortung oder (IT-)Sicherheitsmanagement, um einmal die häufigsten zu nennen. Die benannten Beauftragten sitzen eher selten in der Compliance-Abteilung. Sie nehmen „ihre“ Themen für sich mit und bearbeiten diese nach bestem Wissen und Gewissen. Und das unter Umständen noch in eigenen, spezialisierten IT-Anwendungen.

Die digitale Klammer – ein digitales CMS

Die Anzahl der spezifischen Compliance-Anwendungen gepaart mit der Verteilung der Compliance-Themen auf die verschiedenen Organisationseinheiten erschwert den Überblick. Transparenz über den gesamten Compliance-Status einer Organisation zu erhalten, und diesen an verschiedene Stakeholder zielgruppengerecht und tagesaktuell zu berichten, wird so zur ständigen Herausforderung für die Ausführenden der Compliance-Funktion.

Hier kann die Digitalisierung klar weiterhelfen. Sie schafft mit einer Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Das liegt daran, dass für die Themengebiete oft eigene Managementsysteme entworfen worden sind, wie ein Blick auf die einschlägigen DIN/ISO Standards zeigt. Die Anforderungen an die Prozesse in den Managementsystemen sind daher weitestgehend deckungsgleich. Die gängigen Managementsysteme orientieren sich in der Regel am Deming-Zyklus (Plan-Do-Check-Act) oder ähnlichen Konstrukten zur kontinuierlichen Verbesserung. Ein generischer digitaler CMS Kernprozess stellt sich wie folgt dar:

Infografik Compliance-Management-Kern

Kernprozess eines Compliance-Management-Systems

Beispielhafter Ablauf des Prozesses

Es beginnt mit Informationen, die möglicherweise Auswirkungen auf die Compliance haben. Diese Information werden in den Identifikationen am Anfang des Prozesses dokumentiert und über Workflows einer Würdigung durch eine oder mehrere betroffene Fachabteilungen zugeführt. Dabei kann es verschiedene Quellen für Identifikationen geben. Ob nun der Entwurf des Lieferkettengesetztes oder die Anbahnung eines Großauftrags zur Lieferung von Maschinenteilen ins Ausland. Beide Identifikationen müssen bezüglich der Abhängigkeit oder Auswirkungen auf die Compliance untersucht werden. Auch Einträge aus einem Hinweisgebersystem können über einen besonders geschützten Workflow anonymisiert und neutralisiert in Identifikationen hineinlaufen. Nur, wenn die Untersuchung der Identifikation einen Handlungsbedarf ergibt, läuft die Information in den Compliance-Management-Kernprozess.

Im Falle des Gesetzentwurfs wird das Gesetz als Anforderung in das System geladen. Es wird geprüft, ob die Organisation gegenüber den neuen Anforderungen bereits Maßnahmen implementiert hat, die den Anforderungen gerecht werden. Ist das der Fall, werden die Maßnahmen dokumentiert und mit der Anforderung verknüpft. Ist das nicht der Fall, muss die Risikoprüfung erfolgen und festgestellt werden, ob die Non-Compliance hier ein wesentliches Risiko darstellt. Wenn ja, müssen entsprechende Maßnahmen zur Risikobehandlung abgeleitet und geplant werden. Die Umsetzung aller Maßnahmen muss überwacht und deren Wirksamkeit festgestellt werden.

Bei dem Beispiel des Großauftrags leitet man direkt aus der Identifikation die Risiken ab, welche der Auftrag mit sich bringt. Beispielsweise Währungsrisiken, Risiken der Logistik oder auch Risiken aufgrund politischer Rahmenbedingungen. Aber auch Maßnahmen können direkt aus der Identifikation abgeleitet bzw. bereits vorhandene Maßnahmen damit verknüpft werden. Zum Beispiel die bereits bestehenden Standardmaßnahmen zur Überprüfung der Sanktionslisten und die Prüfung, ob Dual-Use bei den zu liefernden Maschinenteilen möglich und die Lieferung damit erlaubt ist. Auch diese Maßnahmen bekommen jeweils eine Überwachung und müssen bezüglich Durchführung und Wirksamkeit im System dokumentiert werden.

Die generische Anwendung ermöglich ein umfassendes Berichtswesen

Dieses Vorgehen lässt sich auf beliebige Compliance-Themen ausweiten. Jede Information, die relevant sein könnte, wird als Identifikation einer Würdigung unterzogen. Wird kein Handlungsbedarf festgestellt, so ist trotzdem im System dokumentiert, dass das Thema betrachtet wurde und warum diese Einschätzung getroffen wurde. Alle anderen Themen laufen in den Kernprozess, der generisch für alle Themen funktioniert.

Da alles in einem System stattfindet, ist auch das zielgerichtete Reporting leicht umgesetzt. Dabei geht es zum einen um Berichte in Form von Dokumenten, aber vor allem auch um ein Cockpit, in dem der Zustand des Systems immer aktuell auf einen Blick erfassbar ist:

COCKPIT Ansicht

Mögliches Beispiel für eine Cockpit Ansicht

In einer operativen Plausibilitätsprüfung können Auffälligkeiten ausgewertet und dargestellt werden, sodass mit einem Mausklick direkt die Auffälligkeiten betrachtet, analysiert und behoben werden können.

Screenshot Health Check aus dem GRC-COCKPIT

Mögliches Beispiel für eine Plausibilitätskontrolle.

Ein weiterer Vorteil des digitalen CMS ist, dass für interne und auch externe Audits alle Information im System vorhanden sind. Man kann also die Auditoren mit temporären und gezielten Zugriffsberechtigungen den Zustand des Compliance-Management-Systems vorab remote prüfen lassen, bevor ggf. eine örtliche Begehung stattfindet. Das reduziert die Reisetätigkeit und beschleunigt den Auditprozess erheblich.

Das bringt uns zurück an den Beginn dieses Textes. Die Ausführung soll zeigen, dass es mit einem solchen generischen Ansatz gelingen kann, alle Compliance-Themengebiete und auch Managementsysteme in einer Anwendung abzubilden. Entsprechende zielgruppenkonforme Sichten zeigen den spezifischen Anwendern genau die Informationen, die sie benötigen. Trotzdem hat aber die Unternehmensleitung einen vollständigen und ganzheitlichen Überblick, wie es um das Compliance-Management im Unternehmen bestellt ist. Das funktioniert allerdings nur, wenn die Compliance-Management-Prozesse komplett in einem digitalen CMS abgebildet sind, das die digitale Klammer um alle darunter liegenden Einzelprozesse und IT-Anwendungen bildet.

Fazit: Eine digitale Umsetzung eines Compliance-Management-Systems eröffnet die (einzige) Chance, trotz der großen Menge der anfallenden Daten und unabhängig von der Größe der Organisation, das CMS ganzheitlich aufzusetzen. Es ermöglicht ein Aufbrechen der Prozess-Silos und schafft damit erhebliche Synergieeffekte, die in der Bearbeitung der Compliance-Themen im gesamten Unternehmen gehoben werden können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus.

SAVISCON GmbH | Wohldorfer Damm 1a | 22395 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

SAVISCON GmbH | Wohldorfer Damm 1a | 22395 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel