Sorgfaltspflichten beim Digitalisieren von Prozessen

Wie uns die letzten Jahre gezeigt haben, ist es nicht selbstverständlich, dass „die Cloud“ jederzeit erreichbar ist. Software-Anbieter ändern ihre Strategie und die Anwendung, die man seit Ewigkeiten genutzt hat, steht nicht mehr oder nur mit großen Änderungen zur Verfügung. Und bei der Übernahme eines Dienstleisters durch einen Konkurrenten kann es auch schnell für den ausreichenden Schutz von Geschäftsgeheimnissen Handlungsbedarf geben.

Technik ist nicht alles

Zu jedem Digitalisierungsprojekt sollten daher auch die folgenden nicht technischen Fragen beantwortet werden:

• Wie kritisch ist der digitalisierte Prozess? Wie lange kann das Unternehmen auf den ganzen Prozess oder Teilaspekte davon verzichten?
• Wie vertraulich sind die Informationen, die im Prozess verarbeitet werden? Was würde passieren, wenn ein Unberechtigter (zum Beispiel ein Konkurrent) die Daten sehen würde?
  Wie störungsanfällig sind die verarbeiteten Daten, fallen verfälschte Daten beispielsweise schnell auf?
• Habe ich gesetzliche, regulatorische oder vertragliche Anforderungen zu erfüllen (zum Beispiel Aufbewahrungsfristen, Kundenanforderungen)?

Die Einschätzung, wie wichtig der Prozess für das Unternehmen ist, bestimmt neben den fachlichen Anforderungen weitere Soll-Anforderungen für das Digitalisierungsprojekt. Die angestrebte Lösung muss immer wieder hinsichtlich dieser Anforderungen geprüft werden. Reicht die Umsetzung nicht aus, bedeutet dies automatisch ein Geschäftsrisiko. Das kann entweder getragen werden oder es sind weitere Maßnahmen zur Absicherung erforderlich.

Zur Bewertung einer konkreten Lösung empfiehlt es sich, die durch die Digitalisierung entstehenden Abhängigkeiten zu betrachten: Von welchen IT-Systemen, Anwendungen oder Dienstleistern besteht eine Abhängigkeit und wie ist diese gestaltet? Oder kann ich schnell und einfach durch eine andere Lösung unabhängig werden? In der Praxis bedeutet dies etwa: Ein Gerät, das eine Webanwendung bedient, aber leicht gegen ein anderes Gerät oder sogar ein Smartphone ausgetauscht werden kann, ist eine schwache Abhängigkeit. Ein Dienstleister, der die Cloud-Telefonanlage betreibt, ist eine starke Abhängigkeit. Denn bei ihm liegen wichtige Daten und Konfigurationen, die nicht ohne Migrationsaufwand und neue Verträge sofort ersetzt werden können. Gleiches gilt in der Regel für die Warenwirtschaft – egal ob in der Cloud oder nicht, da sich die Datenbestände selten ohne Migrationsprojekt von einem in ein anderes System übertragen lassen.

Was bringt das Vertragsende?

Während Systeme, die ein Unternehmen selbst betreibt, im Notfall meist auch über das Supportende hinaus genutzt werden können (dies ist im Rahmen der Nutzungslizenz aber zu prüfen), kommt bei Cloud-Anwendungen das Nutzungsende immer mit Einstellung des Dienstes oder des Nutzungsvertrags. Deshalb am besten schon bei Einführung der Software ein Exit-Konzept erstellen, damit klar ist, was dafür vorzubereiten ist, und dies gegebenenfalls auch vertraglich zu regeln. Gleichzeitig ist für Systeme, deren Verfügbarkeit kritisch ist, ein Notfallkonzept mit Handlungsanweisungen und Vorlagen wichtig, die bei Ausfall angewendet werden können.

Vergleichbare Überlegungen sind ebenso für den Schutz von Vertraulichkeit und Korrektheit der Anwendung und der Daten anzustellen. Können Probleme auftreten, wenn der Anbieter durch ein neues Release die Verarbeitung ändert und daraus abgeleitete Teilprozesse nicht mehr funktionieren? Was ist dann zu tun? Auch solche Aspekte sind schon bei der Digitalisierung neben den üblichen technischen und organisatorischen Maßnahmen zu bedenken.

Um zwischen den Optionen „Risiko tragen“ und teuren Maßnahmen, mit denen sich einige Anbieter Aufwände abseits des (häufig nicht ausreichenden) Standards vergüten lassen, das richtige Maß zu finden, ist ein Erfahrungsaustausch wichtig. Was geht mit herstellereigenen Mitteln? Welche zusätzlichen Hilfsmittel und Vorlagen gibt es, die man verwenden kann? – Um Antworten auf solche Fragen und Experten zu finden, ist das regionale Netzwerk IT-for-Work e. V. ideal.

www.it-for-work.de