„Digital Compliance“ – Drei Punkte, die Unternehmen bei Cloud und Co. beachten sollten
Die Digitalisierung hält weiter Einzug in die Unternehmenswelt. Viele große und mittlere Unternehmen setzen zunehmend auf vernetzte Systeme, Cloudlösungen und künstliche Intelligenz. Gleichzeitig nehmen die rechtlichen und tatsächlichen Risiken im Zusammenhang mit diesen Technologien weiter zu.
Vor diesem Hintergrund kommt der „Digital Compliance“ eine essentielle Bedeutung zu. Der Begriff bezieht sich dabei nicht nur auf die Sicherstellung der IT-Sicherheit, sondern auf alle gesetzlichen und unternehmerischen Vorgaben zum Einsatz und Umgang mit Informationstechnik. Daher sind mit digitaler Compliance auch Themen wie Datenschutz, die Auslagerung wesentlicher Geschäftsprozesse oder Open Source-Compliance verbunden.
Die vielfältigen rechtlichen Herausforderungen der „Digital Compliance“ richtig anzupacken, bleibt nach wie vor eine der größten Herausforderungen für Unternehmen. Dies verdeutlicht eine aktuelle Studie, die Noerr in Zusammenarbeit mit der Technischen Universität München kürzlich veröffentlicht hat und aus der sich wichtige Erkenntnisse für eine Verbesserung der digitalen Compliance im Unternehmen ergeben.
Die folgenden drei Punkte, die sich aus dieser Studie besonders herauskristallisiert haben, sollten Unternehmen beim Umgang mit digitalen Tools aus Compliance-Sicht unbedingt beachten.
1. Be aware or be square – Digitale Risiken erkennen
Ob Buchhaltungssoftware, ERP-Systeme oder Personalverwaltung in der Cloud: wesentliche Teile der Unternehmensinfrastruktur sind heutzutage vollkommen digitalisiert. Unternehmen sollten sich daher proaktiv mit den digitalen Technologien auseinandersetzen, die sie verwenden und die damit verbundenen Compliance-Risiken analysieren.
Die aktuelle Noerr-Studie verdeutlicht, dass es gerade bei Cloudlösungen, Firmennetzwerken und neuen Technologien, wie künstliche Intelligenz, Blockchain oder Big-Data-Analysen, noch Nachholbedarf bei der Risiko-Awareness gibt:
- Bei der Verwendung von Cloudlösungen sehen 44% der befragten Unternehmen nur geringe Risiken – trotz hoher datenschutzrechtlicher Relevanz. Denn der Europäische Gerichtshof erklärte am 16.07.2020 den „EU-US Privacy Shield“, ein Rechtsinstrument für sichere Datenübermittlungen in die USA, für ungültig (Rs. C 311/18 – Schrems II). Da viele Cloudlösungen für Unternehmen vor allem von US-Anbietern stammen, hat die Frage der datenschutzrechtskonformen Nutzbarkeit dieser Angebote entscheidende Bedeutung.
- Unternehmen sollten auch ihre Risiko-Awareness gegenüber Firmennetzwerken steigern. Der Großteil der befragten Unternehmen bescheinigt in der aktuellen Noerr-Studie Firmennetzwerken nur einen geringen Risikograd. Dabei ist gerade diese Infrastruktur oft das Einfallstor für verheerende Cyberangriffe, wie beispielsweise Ransomware-Attacken.
Das Bundesamt für Sicherheit in der Informationstechnologie stellt in seinem aktuellen Lagebild zur IT-Sicherheit in Deutschland fest, dass die Anzahl und Qualität von Cyberangriffen im letzten Jahr rasant zugenommen hat. Prominente Fälle der jüngeren Zeit, wie zum Beispiel der Angriff auf die US-Firma Kaseya oder der Verschlüsselungstrojaner „Wannacry“, der hunderttausende Computer in über 150 Ländern infizierte, dokumentieren diese gesteigerte Bedrohungslage eindrucksvoll.
- Zudem sollten Unternehmen die Chancen und Risiken neuer Technologien, wie künstliche Intelligenz, Blockchain oder Big-Data-Analysen, auch dann bewerten, wenn sie diese noch nicht aktiv nutzen. Insbesondere ist zu erwarten, dass die Regulierung dieser Technologien zunehmen wird, wie man unter anderem an der geplanten KI-Verordnung der Europäischen Kommission sieht.
Die Rückmeldungen zur aktuellen Noerr-Studie lassen jedoch vermuten, dass sich einige Unternehmen mit diesen Technologien noch nicht hinreichend auseinandergesetzt haben, da zwischen 9% und 21% keine Angaben machten.
2. Allocation is key – Unternehmensressourcen richtig einsetzen
Das Thema „Digital Compliance“ sollte auch personell durch entsprechende Positionen innerhalb des Unternehmens adressiert werden. Die richtige Allokation führt dazu, dass Unternehmen die mit der Digitalisierung einhergehenden Risken bestmöglich managen können.
In diesem Bereich scheint noch deutliches Optimierungspotential zu bestehen.
- Bislang haben nur etwa ein Drittel der befragten Unternehmen eine spezielle Position für digitale Compliance-Risiken geschaffen. Interessanterweise ist der Unterschied zwischen großen und kleineren Unternehmen (Grenze von 1.000 Beschäftigten) eher marginal (29% versus 32%).
- Digitale Compliance-Risiken werden zukünftig eine interdisziplinäre und vernetzte Herangehensweise erfordern. Für Unternehmen kann es daher sinnvoll sein, diesen multidimensionalen Herausforderungen der digitalen Compliance durch einen „Digital Compliance Hub“ zu begegnen. Dieser dient als zentrale Anlaufstelle und Kompetenzzentrum für IT-, Compliance- und Digitalisierungsfragen und kann damit die erforderliche rechtliche sowie technische Expertise im Unternehmen bündeln und vernetzen.
3. Compliance goes digital – Chancen nutzen
Der fortschreitende Einsatz von Informationstechnik im Unternehmen bietet auch Chancen für die Compliance-Funktion.
Viele digitale Compliance-Tools können Unternehmen unterstützen, „analoge“ Compliance-Verstöße zu verhindern oder besser aufzuklären. So können beispielsweise Dashboard-Lösungen eine Vielzahl analysierter Daten strukturiert und visualisiert erfassen. Außerdem werden digitale Compliance-Tools durch verbesserte Algorithmen, Deep-Learning und künstliche Intelligenz weiter an Bedeutung gewinnen.
Allerdings sollten sich Unternehmen vergegenwärtigen, dass der Einsatz digitaler Compliance-Tools selbst mit Compliance-Risiken einhergehen kann und diesen Umstand in ihrer Risikoanalyse berücksichtigen. Dies scheint derzeit nach den Rückmeldungen der aktuellen Noerr-Studie noch nicht ausreichend der Fall zu sein. Nur weniger als ein Viertel der befragten Unternehmen sieht den Einsatz digitaler Compliance-Tools als risikobehaftet an.
Ausblick
Zukünftig werden Unternehmen Cloud und Co. aufgrund ihrer enormen Vorteile noch verstärkter nutzen. Gleichzeitig werden durch den vermehrten Einsatz dieser digitalen Tools auch die Compliance-Risiken weiter zunehmen. Mit dem richtigen Ansatz können Unternehmen das Potential der Digitalisierung voll ausschöpfen und die damit einhergehenden Risiken minimieren. Dabei sollte jedes Unternehmen die oben dargestellten drei Punkte als Basis seiner digitalen Compliance individuell und adäquat umsetzen.