Home

Steinbeis-Beratungszentrum Wissensmanagement

Nur jedes zweite Unternehmen war vor Corona bereit für digitale Zusammenarbeit

29.05.2020

An Social Collaboration führt kein Weg mehr vorbei, denn viele Mitarbeiter arbeiten verstärkt im Homeoffice. Doch nicht immer verfügen sie über die richtigen Tools. Die Deutsche Social Collaboration Studie hat in den vergangenen fünf Jahren zwar Fortschritte in den Unternehmen festgestellt, doch nach wie vor bleibt die Bereitstellung moderner Tools ausbaufähig. Immerhin: Bei 45 Prozent der Unternehmen sind Collaboration-Tools bereits eingeführt oder derartige Projekte schon vor der Corona-Krise angelaufen. Das beflügelt die Produktivität, wie die Studie der TU Darmstadt und der Management- und Technologieberatung Campana & Schott, belegt. Mitarbeiter von Unternehmen mit hohem Social-Collaboration-Reifegrad sind um 39 Prozent effizienter als Mitarbeiter von Unternehmen mit niedrigem Reifegrad.

Mehr Info

Bußgelder, Datenpannen & Co.: Zwei Jahre DSGVO – der Status quo

19.05.2020

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten Mal. Die Regelung hat den Datenschutz der Bürger massiv modernisiert und an die Bedingungen der globalen digitalen Wirtschaft angepasst. Die eingeführten Privilegien verlangen von Firmen unter anderem, private Daten stärker zu schützen, fristgerecht zu löschen und Datenpannen zu melden.

Mindestens 234 Unternehmen haben gegen die DSGVO derart massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr allein 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro.1 Die Regelung fordert von Firmen auch, Datenpannen an die Behörden zu melden. Seit Mai 2018 gab es mehr als 21.000 dieser Vorfälle hierzulande. Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle vielleicht lieber verschweigt. Die Ereignisse legen offen, dass einige Firmen überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse sind dann zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.

In den letzten zwei Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche typischen Fehler Firmen im Bereich des Datenmanagements machen und wie erfolgreiche Firmen vorgehen. Andere Unternehmen können aus den Fehlern und Stärken der Compliance-Projekte lernen und in ihre eigene Umgebung übertragen. Nur wenn ein Unternehmen alle seine Daten kennt, sie schützt und den Zugriff darauf streng regelt, wird es von dieser Compliance-Aufgabe nicht überfordert.

1. Falsches Verständnis von Compliance

Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten. Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.

2. Fehlender Management-Support

Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.

3. WORM ist nicht gleich Compliance

Der Begriff WORM oder "Write once, read many" beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit (fälschlich auch "Rechtssicherheit") erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt.2 Die Firma war nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen.

Firmen sollten bei personenbezogenen Daten daher alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein. Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.

4. Das falsche Maß anlegen

Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimal-Maßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.

Die besten Ergebnisse erzielten Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorantrieben, der die internen Abläufe und Daten in einer Istaufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.

Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies, erklärt:

"Als Bürger der Europäischen Union profitieren wir vom modernsten Datenschutz der digitalen Welt. Verbraucher interessieren sich längst viel stärker dafür, wie Firmen ihre Daten nutzen und speichern. Wer wie jüngst ein Anbieter von Videokonferenzsystemen Daten zu aggressiv sammelt oder wie eines der 25 Unternehmen in Deutschland gegen Compliance-Vorgaben verstößt, schadet seiner Reputation und verliert das Vertrauen der Verbraucher - und riskiert Bußgelder.

Firmen allerdings, die Compliance nicht als reine Tick-the-box-Übung verstanden haben, konnten von positiven Nebeneffekten ihrer Datenmanagementprojekte profitieren. Sie waren in der Lage, den Inhalt und damit den Wert ihrer Daten besser zu verstehen und den Schutz ihrer sensibelsten Daten zu stärken. Sie haben ebenso unnütze Dokumente und Files als solche erkannt, von ihren Speichern gelöscht und so Kosten gesenkt."

Mehr Info


Quellen:

1 https://www.handelsblatt.com/politik/deutschland/dsgvo-datenschutz-verstoesse-zahl-der-bussgelder-ist-drastisch-gestiegen/25364576.html?ticket=ST-4361620-rxz1jEsHpSwoIpNbdanb-ap2

2 https://www.enforcementtracker.com/

Wie gelingt nachhaltiger RPA-Betrieb?

19.05.2020

Bereits seit einigen Jahren hält die Automatisierung Einzug in die administrativen Bereiche von Unternehmen unterschiedlichster Branchen. Insbesondere Routinetätigkeiten und wiederkehrende Arbeiten lassen sich mithilfe von Robotic Process Automation (RPA) teil- oder sogar vollautomatisieren. "Dies führt dazu, dass sich Mitarbeiter auf wertgenerierende Tasks konzentrieren und ihre Zeit sinnvoller einsetzen können", erklärt Alexander Steiner, Chief Solution Architect der meta:proc GmbH. Dabei lässt sich auf der bestehenden IT-Systemlandschaft weiterarbeiten, ohne aufwändige Schnittstellen programmieren zu müssen. "Um allerdings die vielseitigen Möglichkeiten mit diesen Software-Robotern langfristig zu erschließen, erweist sich eine nachhaltige Einführung als unerlässlich", weiß Steiner. "Dabei stellt sich der unternehmensweite Start von automatisierten Prozessen nicht als Sprint dar, sondern ähnelt eher einem Marathon."

Vorbereitung als Teamarbeit

Jede erfolgreiche RPA-Initiative beginnt mit einer Bestandsaufnahme der im Unternehmen bereits implementierten Prozesse. Genaue Dokumentation dieser Muster mit allen Varianten und Details bildet eine solide Grundlage für die nachfolgende Automatisierung. Bei dieser Inventur helfen automatisierte Erkennungswerkzeuge, denen auch versteckt ablaufende Systemprozesse und Defizite in der aktuellen IT-Landschaft nicht entgehen. "Mindestens genauso wichtig erscheint es, Feedback von Anwendern und Prozessteilnehmern einzuholen", so der Experte. "Mit welchen Abläufen sind die Anwender zufrieden? Wo läuft etwas nicht so, wie es sollte? Team-Meetings, eine Feedback-Mailbox oder eine Kontaktperson können helfen, Vorbehalte gegenüber der Automatisierungstechnologie abzubauen und ein besseres Verständnis für die durch RPA realisierbaren Vorteile zu erlangen." So lässt sich eine klare Vorstellung davon entwickeln, an welchen Stellen im Unternehmen sich der Einsatz von Robotic Process Automation als sinnvoll herausstellt, und gleichzeitig ein Rückhalt für das Thema bei den Mitarbeitern generieren.

Von der Kunst der kleinen Schritte

"Auch wenn die Versuchung groß sein mag, auf Anhieb mit der Automatisierung loszulegen, lohnt es sich, die Abläufe vorerst zu verfeinern", erklärt Steiner. "Denn laufen Prozesse insgesamt nicht reibungslos, macht RPA sie nicht besser, höchstens schneller." Vor dem eigentlichen Beginn spielen Anwender daher Abfolgen in mehreren Varianten außerhalb des produktiven Betriebs durch, um dadurch Optimierungspotenziale zu entdecken und im nächsten Schritt zu realisieren. "Es stellt sich als empfehlenswert heraus, sich zunächst auf kleinere, unkritische Verfahren zu konzentrieren, anstatt gleich zum großen Wurf auszuholen. Geschäftsunkritische Prozesse, zu denen sich aber in der Vergangenheit viele Anwender unzufrieden äußerten, stellen sich als die idealen Optimierungskandidaten dar", empfiehlt der meta:proc Chief Solution Architect. Ein im Anschluss aufgesetzter Pilot testet die optimierten Abläufe dann unter realen Praxisbedingungen - die dabei gemachten Erfahrungen erlauben weitere Kommunikation innerhalb der Organisation und dienen zur Ausarbeitung weiterer Anwendungsfälle. Jeder Workflow beginnt mit einem Prozessziel, welches definiert, warum ein bestimmter Vorgang ausgeführt wird und welche Bedingungen erfüllt sein müssen. Zeigt sich jeder einzelne Verfahrensschritt in einem Prozessdiagramm festgelegt und haben alle Mitarbeiter ihre Rollen gefunden, erfolgt die Implementierung des Gesamtvorganges als automatisierter, ausführbarer Workflow.

Mit DevOps zum Erfolg

Robotic Process Automation optimiert zwar die Workflows, die Software-Roboter können sich allerdings nicht selbst evaluieren. "Um die Qualität der Prozessoptimierung und den Erfolg der RPA-Initiative zu messen, sollten sich Anwender grundlegende Fragen stellen", erläutert Steiner und führt aus: "Generieren die automatisierten Methoden in der Praxis den Mehrwert, den man sich von ihnen erhofft hatte? Kommt es zu den geplanten Effizienz-, Zeit- und Einsparungsgewinnen? Gibt es ungeplante Nebeneffekte, die den Erfolg teilweise kompromittieren, und sollte der Einsatz gegebenenfalls neu konzipiert werden?" Dabei lässt sich diese Erfolgskontrolle nie als vollständig abgeschlossen ansehen. "Auch wenn die Resultate zunächst positiv ausfallen, sollten Mitarbeiter diese Beaufsichtigung in regelmäßigen Abständen durchführen", erklärt der Experte. Da sich realisierte Projekte und die darin einbezogenen Anwendungen verändern können, fallen außerdem Wartungsarbeiten an den Prozessen an. Dieses Zusammenspiel von Entwicklung (Dev) und Betrieb (Ops) erweist sich als Schlüsselkompetente bei der erfolgreichen und nachhaltigen Einführung von RPA. Glücklicherweise generiert eine typische Nutzung von Software-Bots bereits einen Großteil für deren Optimierung notwendigen Informationen - quasi als Nebenprodukt. So unterstützt RPA den DevOps-Prozess out of the box.

Mehr Info

Aktuelles

  • Nur jedes zweite Unternehmen war vor Corona bereit für digitale Zusammenarbeit
  • Bußgelder, Datenpannen & Co.: Zwei Jahre DSGVO – der Status quo
  • Wie gelingt nachhaltiger RPA-Betrieb?
» zu den News