Compliance im digitalen Zeitalter

bei

 / 17. June. 2019

Um für die Digitalisierung gewappnet zu sein, müssen sich Organisationen intern wie extern auf neue Compliance-Vorschriften einstellen. Dabei berücksichtigt werden muss die Frage nach Verantwortlichkeit und Nachweisbarkeit einer Entscheidung.

In unserer immer komplexer werdenden Welt erfüllt der Einzelne ganz unterschiedliche Rollen – auch im beruflichen Umfeld. Durch allgemein gültige Gesetze und individuell definierte Vorschriften steht er dabei allerdings in einer Art Spannungszentrum. Denn der moderne Mensch will und soll als soziales Wesen genauso wie als Geschäftsperson geltende Regelungen einhalten. Doch diese werden in der heutigen digitalen Zeit nach und nach umgekrempelt.

Die Faktoren Technologie, Business, Gesellschaft und Recht bilden inzwischen eine dynamische Einheit. Sie bedingen und beeinflussen einander: Im Businesskontext ermöglichen beispielsweise neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Für Organisationen – darunter fallen Unternehmen, Behörden und Institutionen – bedeutet dies, die eigenen Compliance-Vorschriften kontinuierlich auf die neuen, digitalen Gegebenheiten anpassen zu müssen. Dabei gilt es vor allem Verantwortlichkeit und Nachweisbarkeit klar zu definieren.

Im Folgenden werden die vier Faktoren und ihr Einfluss auf Compliance 2.0 näher vorgestellt:

Die Technologie automatisiert

Aktuell erhalten Technologien wie Robotic Process Automation (RPA) über die industrielle Anwendung hinaus Einzug in Bürolandschaften. Sie befreien Mitarbeiter von oftmals ungeliebten Standardaufgaben, da sie routinierte Tätigkeiten schnell und automatisiert übernehmen. Im Bereich des Input Managements wird die RPA-Software etwa für die Übertragung der Daten in Folgesysteme sowie die Einbindung in nachstehende Prozesse eingesetzt. Diese Technologie entlastet somit bei Aufgaben, die stets nach einem gleichen Raster auf Basis strukturierter Informationen erfolgen. Eine Stufe weiter geht Artificial Intelligence (AI): Bei unstrukturierten Informationsabläufen greift die künstliche Intelligenz, indem sie selbstständig aus vergangenen Handlungen Rückschlüsse auf gegenwärtige Situationen zieht: „Tritt Fall X ein, muss Reaktion Y folgen.“ Unabhängig von der Informationsstruktur greifen in einer dynamischen Echtzeitwelt auch objektbasierte Lösungen weiter als dokumentenorientierte Technologien. Denn der Informationsstand kann etwa über das Internet of Things kontinuierlich nachgehalten und verfolgt werden.

Ein Aspekt zum Faktor Technologie, den Compliance 2.0 abdecken muss: Ein autonom agierendes System löscht relevante Daten. Kann es dafür zur Verantwortung gezogen werden?

Das Business vernetzt

In einer digitalen Welt wächst zunehmend das Angebot an plattformbasierten Geschäftsmodellen. Sie sind die Reaktion auf das veränderte Verhalten im Privaten: Man bestellt, bucht und beantragt online – will folglich auch digital arbeiten und kommunizieren. Im Hinblick auf Kunden sind die neuen Plattformen besonders serviceorientiert. Denn durch synchrones und dynamisches Arbeiten innerhalb der Organisation und der gesamten Werkschöpfungskette können Anfragen zeitnah bearbeitet werden und beispielsweise automatisierte Statusmeldungen geteilt werden. Darüber hinaus verstehen sich Organisationen zunehmend als Teil eines großen Netzwerks. Sie müssen also keine eierlegende Wollmilchsau sein, sondern können als Partner an bestehende digitale Strukturen anknüpfen oder aber in Co-Creation sogar neue Services oder ganze Geschäftsmodelle entwickeln.

Ein Aspekt zum Faktor Business, den Compliance 2.0 abdecken muss: Über die Plattform einer Organisation werden verbotene Inhalte hochgeladen. Ist für das rechtliche Vergehen der Nutzer oder der Betreiber der Plattform verantwortlich?

Die Gesellschaft denkt um

Heute wird im Digital Workplace gearbeitet. Dieser ist mal im Büro, im Homeoffice oder unterwegs. Dadurch kommen Arbeitgeber dem geänderten Bedürfnis der Mitarbeiter entgegen, Aufgaben flexibler und selbstbestimmter erledigen zu können. Doch um smart arbeiten zu können, müssen Organisationen technische Grundlagen schaffen wie die Bereitstellung mobiler Endgeräte und eine sichere Verbindung zum organisationseigenen Server. Für eine geschützte digitale Zusammenarbeit innerhalb der Organisation sowie mit Dritten muss auch der Smart Worker selbst für Sicherheit im Digital Workplace sorgen, unter anderem in simpelster Konsequenz etwa durch eine Bildschirmsperre beim Verlassen des Arbeitsplatzes, aber auch durch den Schutz personenbezogener Daten. Wenn das mobile Arbeiten ohne festgelegte Regeln neu eingeführt wurde, sollten Mitarbeiter aktiv den Austausch mit Vorgesetzten suchen.

Ein Aspekt zum Faktor Gesellschaft, den Compliance 2.0 abdecken muss: Einem Angestellten wird beim mobilen Arbeiten im Café sein Laptop gestohlen. Ist er aufgrund seiner Unachtsamkeit für Fremdzugriffe und den Datenverlust verantwortlich oder die Organisation, die diese Form des Arbeitens ermöglicht?

Das Recht steuert

Im Gegensatz zu den drei übrigen Faktoren, die Organisationen von innen heraus bestimmen, ist der Faktor Recht extern gesteuert. In Zeiten mobilen Arbeitens und eines Informationsaustauschs via Cloud ist ein Sicherheitsrahmen für Menschen und Daten essenziell. Gesetze wie die Datenschutzgrundverordnung (DSGVO) setzen neue rechtliche Standards und müssen auch aus Compliance-Sicht eingehalten werden. So wird beispielsweise auf Gesetzesebene die digitale Eingangsrechnungsverarbeitung in Form von Standards wie ZUGFeRD und XRechnung vorangetrieben: Bundesministerien und Verfassungsorgane sind bereits verpflichtet Rechnungen nur noch in elektronischer Form zu empfangen und zu verarbeiten; weitere öffentliche Auftraggeber und sicherlich auch die restliche Organisationswelt sollen folgen. Bei Nichteinhaltung müssen Organisationen ihren Verstoß rechtfertigen und es kann zu Strafen, unter anderem in Form von Abmahnungen oder Bußgeldern, kommen. Reputations- und Image-Schäden können die Folge sein. Der Faktor Recht weist somit Verantwortungen zu und ermöglicht eine Nachweisbarkeit bei Fehlverhalten.

Ein Aspekt zum Faktor Recht, den Compliance 2.0 abdecken muss: Compliance-Vorschriften unterliegen einer „höheren Macht“. Welche internen Maßnahmen muss eine Organisation umsetzen, um geltende rechtliche Standards zu erfüllen?

Kontinuierliches Informationsmanagement

Um auf technologischer Ebene den gewandelten Nutzungsbedürfnissen der Mitarbeiter sowie dem neuen Serviceanspruch der Kunden gerecht zu werden, ist eine ganzheitliche Informationsmanagement-Plattform ein effektives und sicheres Tool. Gleichzeitig gewährleistet eine Organisation so die Einhaltung geltender interner wie externer Richtlinien. Denn über die Plattform kann sie jederzeit den Informationsstatus digitalisierter Dokumente, Prozesse und Objekte prüfen. Objekte sind etwa Gebäude, Maschinen aber auch Personen.

Häufig erfolgt der Nachweis noch nach dem dokumentenorientierten Prinzip einer Record-Management-Technologie: Sie gewährleistet die nachhaltige Sicherung von Informationen in Form einer faktischen Momentaufnahme des jeweiligen Ist-Zustands. Nach einem Meeting werden beispielsweise Beschlüsse protokolliert; die Informationen dazu sind im System vollständig verfügbar, interpretierbar und authentisch. Doch welche Abstimmungen und Entscheidungen wurden während der Besprechung getroffen? Oder hatte sich die Situation autonom verändert? Diese Fragen sind in einer Echtzeitwelt relevant!

Über eine Informationsmanagement-Plattform wird der Informationsstand eines Objekts daher kontinuierlich und transparent verfolgt. Im Falle der Besprechung wird zusätzlich zu den eigentlichen Beschlüssen der dynamische Verlauf von Handlungen und Entscheidungen festgehalten. Gleichzeitig ist aber auch die klassische Dokumentenverwaltung über die Technologie möglich, um die gesetzliche – heute noch dokumentenorientierte – Nachweispflicht zu erfüllen. Denn bisher fehlt es an rechtlichen Standards für die Arbeit mit Echtzeitdaten.

Fazit

In heutigen Zeiten werden vier große Faktoren von der Digitalisierung bestimmt: Technologie, Business, Gesellschaft und Recht. Sie verändern sich, wirken aufeinander ein und schärfen das Bewusstsein für eine nachhaltige Organisationsführung. Mithilfe einer Informationsmanagement-Technologie können Organisationen eine kontinuierliche Compliance verfolgen. Diese berücksichtigt die genannten vier Faktoren und ihre dynamischen Veränderungen. Aktiv müssen außerdem Verantwortlichkeiten und Nachweispflichten definiert werden, um ein digitales Chaos zu vermeiden.

Darüber hinaus sind Organisationen in der Pflicht, bestehende Richtlinien auf ihre Tauglichkeit in Zeiten der Digitalisierung zu hinterfragen und neue festzusetzen. Leitend dabei sind die Fragen: Wer ist verantwortlich? Und wie kann eine Entscheidung nachgewiesen werden? Werden diese und weitere Fragen kontinuierlich gestellt und definiert, sind Organisationen für die dynamische Welt gewappnet.

Einen Schritt weiter gehen Organisationen außerdem, wenn sie sich für ein konkretes Compliance-Management-System entscheiden bzw. einen Compliance Manager oder Compliance Officer ernennen. Auf diese Weise vermeiden sie kurz-, mittel- und langfristig Verstöße gegen das eigene Regelwerk und gesetzliche Vorgaben. Entscheidend dabei ist, Mitarbeiter als mündige Personen zu verstehen und sie gleichzeitig stetig zu informieren und dabei zu unterstützen, gute – und somit zwangsläufig regelkonforme – Entscheidungen zu treffen. Compliance ist somit auch immer eng mit dem Pflichtbewusstsein, Denken und Handeln des einzelnen Mitarbeiters verknüpft. Denn im Zentrum von Technologie, Gesellschaft, Business und Recht steht der Faktor Mensch.

 

Thomas Kuckelkorn ist als Manager PR & Kommunikation für die BCT Deutschland GmbH tätig. Mit seiner branchenübergreifenden Enterprise-Information-Management-Technologie sorgt BCT seit 1985 bei Nutzern für transparente, sichere und effiziente Informationsprozesse. Partner erweitern mit den EIM-Komponenten ihr vorhandenes Produkt- und Dienstleistungsportfolio oder entwickeln in Co-Creation mit BCT digitale und plattformbasierte Geschäftsmodelle. Seit 2010 ist das niederländische Unternehmen als BCT Deutschland in Aachen aktiv.