- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Fachartikel » Hintergrund

Compliance 2.0: Ergebnis einer dynamischen Welt


Um für die Digitalisierung gewappnet zu sein, müssen sich Organisationen intern wie extern auf neue Compliance-Vorschriften einstellen
Dabei berücksichtigt werden muss die Frage nach Verantwortlichkeit und Nachweisbarkeit einer Entscheidung

- Anzeigen -





Von Thomas Kuckelkorn, Manager PR & Kommunikation bei BCT Deutschland

Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. Für Organisationen – darunter fallen Unternehmen, Behörden und Institutionen – bedeutet dies, die eigenen Compliance-Vorschriften kontinuierlich auf die neuen, digitalen Gegebenheiten anpassen zu müssen. Dabei gilt es vor allem Verantwortlichkeit und Nachweisbarkeit klar zu definieren.

Im Folgenden werden die vier Faktoren und ihr Einfluss auf Compliance 2.0 näher vorgestellt:

Der Faktor Technologie
Aktuell erhalten Technologien wie Robotic Process Automation (RPA) über die industrielle Anwendung hinaus Einzug in Bürolandschaften. Sie befreien Mitarbeiter von oftmals ungeliebten Standardaufgaben, da sie routinierte Tätigkeiten schnell und automatisiert übernehmen. Im Bereich des Input Managements wird die RPA-Software etwa für die Übertragung der Daten in Folgesysteme sowie die Einbindung in nachstehende Prozesse eingesetzt. Diese Technologie entlastet somit bei Aufgaben, die stets nach einem gleichen Raster auf Basis strukturierter Informationen erfolgen. Eine Stufe weiter geht Artificial Intelligence (AI): Bei unstrukturierten Informationsabläufen greift die künstliche Intelligenz, indem sie selbstständig aus vergangenen Handlungen Rückschlüsse auf gegenwärtige Situationen zieht: „Tritt Fall X ein, muss Reaktion Y folgen.“ Unabhängig von der Informationsstruktur greifen in einer dynamischen Echtzeitwelt auch objektbasierte Lösungen weiter als dokumentenorientierte Technologien. Denn der Informationsstand kann etwa über das Internet of Things kontinuierlich nachgehalten und verfolgt werden.

Ein Aspekt zum Faktor Technologie, den Compliance 2.0 abdecken muss: Ein autonom agierendes System löscht relevante Daten. Kann es dafür zur Verantwortung gezogen werden?

Der Faktor Business
In einer digitalen Welt wächst zunehmend das Angebot an plattformbasierten Geschäftsmodellen. Sie sind die Reaktion auf das veränderte Verhalten im Privaten: Man bestellt, bucht und beantragt online – will folglich auch digital arbeiten und kommunizieren. Im Hinblick auf Kunden sind die neuen Plattformen besonders serviceorientiert. Denn durch synchrones und dynamisches Arbeiten innerhalb der Organisation und der gesamten Werkschöpfungskette können Anfragen zeitnah bearbeitet werden und beispielsweise automatisierte Statusmeldungen geteilt werden. Darüber hinaus verstehen sich Organisationen zunehmend als Teil eines großen Netzwerks. Sie müssen also keine eierlegende Wollmilchsau sein, sondern können als Partner an bestehende digitale Strukturen anknüpfen oder aber in Co-Creation sogar neue Services oder ganze Geschäftsmodelle entwickeln.

Ein Aspekt zum Faktor Business, den Compliance 2.0 abdecken muss: Über die Plattform einer Organisation werden verbotene Inhalte hochgeladen. Ist für das rechtliche Vergehen der Nutzer oder der Betreiber der Plattform verantwortlich?

Der Faktor Gesellschaft
Heute wird im Digital Workplace gearbeitet. Dieser ist mal im Büro, im Homeoffice oder unterwegs. Dadurch kommen Arbeitgeber dem geänderten Bedürfnis der Mitarbeiter entgegen, Aufgaben flexibler und selbstbestimmter erledigen zu können. Doch um smart arbeiten zu können, müssen Organisationen technische Grundlagen schaffen wie die Bereitstellung mobiler Endgeräte und eine sichere Verbindung zum organisationseigenen Server. Für eine geschützte digitale Zusammenarbeit innerhalb der Organisation sowie mit Dritten muss auch der Smart Worker selbst für Sicherheit im Digital Workplace sorgen, unter anderem in simpelster Konsequenz etwa durch eine Bildschirmsperre beim Verlassen des Arbeitsplatzes, aber auch durch den Schutz personenbezogener Daten. Wenn das mobile Arbeiten ohne festgelegte Regeln neu eingeführt wurde, sollten Mitarbeiter aktiv den Austausch mit Vorgesetzten suchen.

Ein Aspekt zum Faktor Gesellschaft, den Compliance 2.0 abdecken muss: Einem Angestellten wird beim mobilen Arbeiten im Café sein Laptop gestohlen. Ist er aufgrund seiner Unachtsamkeit für Fremdzugriffe und den Datenverlust verantwortlich oder die Organisation, die diese Form des Arbeitens ermöglicht?

Der Faktor Recht
Im Gegensatz zu den drei übrigen Faktoren, die Organisationen von innen heraus bestimmen, ist der Faktor Recht extern gesteuert. In Zeiten mobilen Arbeitens und eines Informationsaustauschs via Cloud ist ein Sicherheitsrahmen für Menschen und Daten essenziell. Gesetze wie die Datenschutzgrundverordnung (DSGVO) setzen neue rechtliche Standards und müssen auch aus Compliance-Sicht eingehalten werden. So wird beispielsweise auf Gesetzesebene die digitale Eingangsrechnungsverarbeitung in Form von Standards wie ZUGFeRD und XRechnung vorangetrieben: Bundesministerien und Verfassungsorgane sind bereits verpflichtet Rechnungen nur noch in elektronischer Form zu empfangen und zu verarbeiten; weitere öffentliche Auftraggeber und sicherlich auch die restliche Organisationswelt sollen folgen. Bei Nichteinhaltung müssen Organisationen ihren Verstoß rechtfertigen und es kann zu Strafen, unter anderem in Form von Abmahnungen oder Bußgeldern, kommen. Der Faktor Recht weist somit Verantwortungen zu und ermöglicht eine Nachweisbarkeit bei Fehlverhalten.

Ein Aspekt zum Faktor Recht, den Compliance 2.0 abdecken muss: Compliance-Vorschriften unterliegen einer „höheren Macht“. Welche internen Maßnahmen muss eine Organisation umsetzen, um geltende rechtliche Standards zu erfüllen?

Fazit
In heutigen Zeiten werden vier große Faktoren von der Digitalisierung bestimmt. Die Technologie, das Business, die Gesellschaft und auch das Recht verändern sich und wirken gleichzeitig aufeinander ein. Sie schärfen das Bewusstsein für eine nachhaltige Organisationsführung, denn um dem Neuen gegenüber gewappnet zu sein, müssen Organisationen eine kontinuierliche Compliance verfolgen. Diese berücksichtigt die genannten vier Faktoren und ihre dynamischen Veränderungen. Aktiv müssen außerdem Verantwortlichkeiten und Nachweispflichten definiert werden, um ein digitales Chaos zu vermeiden.

Ein Informationsmanagement (Technologie) ist ein effektives und sicheres Tool (Recht), um auf technologischer Ebene den gewandelten Nutzungsbedürfnissen von Mitarbeitern (Gesellschaft) sowie dem neuen Serviceanspruch der Kunden (Business) gerecht zu werden. Es deckt somit alle vier Faktoren ab. Compliance-Vorschriften definiert es hingegen nicht. Hier sind die Organisationen in der Pflicht, bestehende Richtlinien auf ihre Tauglichkeit in Zeiten der Digitalisierung zu hinterfragen und neue festzusetzen. Leitend dabei sind die Fragen: Wer ist verantwortlich? Und wie kann eine Entscheidung nachgewiesen werden? Werden diese und weitere Fragen kontinuierlich gestellt und definiert, sind Organisationen für die dynamische Welt gewappnet.
(BCT Deutschland: ra)

eingetragen: 17.08.19
Newsletterlauf: 04.10.19

BCT Deutschland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • DSGVO: Die Pflicht ist geschafft

    Die EU-Datenschutz-Grundverordnung (DSGVO) hat eine hohe Aufmerksamkeit auf den Schutz von personenbezogenen Daten gelenkt und sorgt für verbesserte Rechte der Daten-Eigentümer. Doch Unternehmen und Organisationen fällt es oft noch schwer, ihre Geschäftsprozesse DSGVO-konform zu gestalten, um Regelverstöße und Strafen zu vermeiden. Dabei bietet die DSGVO viele Chancen, Geschäftsprozesse neu an den Kunden auszurichten und damit die Kundenbindung zu erhöhen. Laut einer aktuellen Bitkom-Studie haben erst ein Viertel der Unternehmen in Deutschland die DSGVO vollständig umgesetzt - die Mehrheit hinkt somit noch hinterher. Wer bisher schon das bestehende Bundesdatenschutzgesetz konsequent befolgt hat, für den stellt die DSGVO keinen Grund dar, nervös zu werden. Im Gegenteil - es lohnt sich gleich in zweierlei Hinsicht, die Anforderungen der DSGVO zu erfüllen: In erster Linie, um Datenverlust und -diebstahl zu verhindern, Reputationsschäden zu vermeiden und keine hohen Strafen zahlen zu müssen. Aber auch das Kundenverhältnis lässt sich nachhaltig verbessern: Wer die DSGVO proaktiv angeht und seine Geschäftsprozesse entlang ihrer Vorgaben entwickelt, schafft Vertrauen, wie die folgenden Beispiele zeigen.

  • In Sachen Datenschutz noch einiges zu tun

    Inzwischen greift die digitale Transformation in vielen Bereichen, nicht zuletzt im Handel. Die Branche leidet unter massiven Angriffen von Cyberkriminellen unterschiedlicher Couleur, nicht zuletzt auch unter Angriffen, die von staatlicher Seite aus unterstützt werden. Das Ziel sind insbesondere persönliche Informationen der Kunden, Kreditkartendaten oder Bankinformationen. Die Grenzen zwischen physischer Realität und digitaler Welt haben sich längst verwischt und Kriminelle den digitalen Raum für sich erschlossen. Gleichzeitig erwarten Kunden heute schnellere Bestell- und Zahlungsabwicklungen und eine prompte Lieferung. Online wie Offline. Mit diesen Erwartungen hat sich auch die Struktur des Einzelhandels verändert. Gerade im Bereich Handel ist die digitale Transformation in vielen Bereichen relativ weit fortgeschritten. Allein schon, weil Händler sich bemühen den Ansprüchen ihrer Kunden gerecht zu werden. Das führt auf der anderen Seite zu Herausforderungen, die nicht zu unterschätzen sind. Es gilt die persönlichen Informationen von Kunden, Partnern und Lieferanten in diesem Prozess umfassend zu schützen. Man darf getrost die Gleichung aufstellen, je mehr neue Technologien wie Cloud, Big Data, IoT und mobile Zahlungsdienstleistungen angetreten sind die Benutzererfahrung zu verbessern, desto größer die Sicherheitsherausforderungen.

  • Und dann noch die DSGVO

    Im aktuellen Look@IT beruft sich Michael Kroker in seinem Blog auf eine Studie des italienischen IT-Beraters und Systemintegrators Reply. Demnach ist das Thema Datensicherheit im großen Komplex Industrie 4.0 die wohl größte Herausforderung für den Mittelstand. Zwar ist die Bereitschaft da, eine umfassende Vernetzung anzugehen, allerdings sind die Hürden andere als die, mit denen Großkonzerne zu kämpfen haben. Positiv wird hervorgehoben, dass mittelständische Unternehmen bereit sind auf den fahrenden Zug aufzuspringen. Drei von vier Unternehmen wollen in den kommenden Jahren beispielsweise in ihre IoT-Strategie investieren. Die größte Hürde sind Datensicherheitsbedenken gerade im Hinblick auf das dazu notwendige Cloud Computing. Die aktuelle Realität in zahlreichen mittelständischen Unternehmen deckt sich mit den Ergebnissen der Studie: Firmen betreiben bevorzugt hybride Netzwerkvarianten. Was Großunternehmen oder Konzerne und den Mittelstand zusätzlich unterscheidet sind Bedenken wegen der zu erwartenden Kosten. Fast die Hälfte der in der Studie befragten Mittelständler (48 Prozent) macht sich deswegen Sorgen, aber nur 29 Prozent der Großunternehmen.

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Identitäten für elektronische Finanztransaktionen

    Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung. Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign.