Beiträge

Die EU-DSGVO im Kontext der Digitalisierung

Risikofaktor IoT: Schützenswert sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

von Dr. Ralf Magagnoli

Am 25. Mai 2016 trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU-Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt.
Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von EU-Bürgern verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler und KMU.
Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert.

DSGVO und IoT

Als Daten gelten dabei nicht nur Kontakdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer. Damit betrifft sie auch das IoT, sammeln seine Geräte doch zuhauf vielfältige Nutzerdaten. Je nach Funktion reichen diese von Blutgruppe, über das bevorzugte TV-Programm bis hin zum Aufenthaltsort des Hundes. Hier sollte ein Privacy-by-Design-Ansatz verfolgt werden, damit schon bei der Entwicklung die Datenschutzrisiken gering gehalten werden können und Datensicherheit gewährleistet ist. Schließlich ist auch zu klären, wo im Unternehmen die Daten überhaupt gespeichert sind und wer Zugriff darauf hat.

Was ist neu?

Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden.

Hinzu kommt die Verpflichtung, ein sogenanntes „Privacy by Design“ einzuführen, mit dem datenschutzrelevante Maßnahmen von Beginn an in Design sowie Entwicklung von Systemen, Prozessen und Produkten integriert werden. Auch sind mehr Daten betroffen, so etwa Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Die Anforderungen an „bestimmbare Personen“ sind sehr gering. Auch Lieferanten können betroffen sein, zum Beispiel solche, die von einem Unternehmen beauftragt werden, personenbezogene Mitarbeiterdaten zu verarbeiten.

Mehr Rechte für Beschäftigte, mehr Pflichten für die Unternehmen

Nach Auffassung vieler Fachleute werden die Pflichten des Arbeitgebers beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden. Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte haben hier einen großen Aufwand, da die dafür zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen.

Vieles hängt von der Art und Größe des Unternehmens ab

Einige Experten warnen, die Aufgaben im Zusammenhang mit der Verordnung zu unterschätzen. Die häufig vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeichnisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentieren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betroffenenrechte. Eine Lösung muss all diese Aspekte mitberücksichtigen und ganzheitlich erfüllen. In welchem „Detailgrad“ die Umsetzung auf Unternehmensebene erfolgt, hängt jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.

Von der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und aktiv werden.

Zertifizierungen als Basis

Manche Unternehmen profitieren von bereits vorhandenen Zertifizierungen, etwa nach ISO 9001 oder ISO / IEC 27001. Diese Zertifizierungen dienen als Basis für ein Datenschutzmanagementsystem (DSMS), das die Compliance mit der EU-DSGVO gewährleistet. Ähnliches gilt für die Zertifizierung nach dem Standard BS 10012:2017. Trotzdem muss vieles noch angepasst werden im Hinblick auf die neuen Regeln.

Datenschutz als Querschnittsaufgabe

Wichtig sei es, darin stimmen Experten überein, das Thema EU-DSGVO als Querschnittsthema im gesamten Unternehmen zu verankern und das Bewusstsein der Mitarbeiter für diese Problematik zu schärfen. Vom Vorstand oder der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und teilweise aktiv werden:

  • Vorstand und Geschäftsführung müssen die veränderte datenschutzrechtliche Praxis im Unternehmen kennen;
  • die IT-Abteilung muss prüfen, welche technisch-organisatorischen Maßnahmen für das geforderte Risk-Management notwendig sind;
  • die Finanzabteilung muss die Kosten berücksichtigen, die dem Unternehmen durch Anpassungsprozesse entstehen;
  • die Rechtsabteilung muss viele Verträge anpassen;
  • die Compliance-Abteilung muss die Risiken eines Verstoßes gegen die Verordnungen berücksichtigen – diese betreffen die außerordentlich hohen Bußgelder, aber auch den Vertrauensverlust, der bei Kunden, Lieferanten oder Mitarbeitern entstehen kann;
  • die Forschungs- und Entwicklungsabteilung muss schon bei einem frühen Projektstadium darauf achten, dass die datenschutzrechtlichen Grundsätze eingehalten werden;
  • für die Personalabteilung entsteht ein hoher Aufwand, da sie einerseits Mitarbeiterschulungen zum Thema organisieren, andererseits den Mitarbeitern auf Nachfrage nachweisen muss, wie ihre Daten geschützt werden; auch der Betriebsrat ist einzubinden.

Ist es sinnvoll, darüber hinauszugehen?

Vielleicht aber ist es sinnvoll, noch ein paar Schritte weiterzugehen. Die Einhaltung der EU-DSGVO-Compliance sollte Teil einer umfassenden Unternehmensphilosophie sein und von der Spitze her gelebt werden – damit ist das EU-DSGVO-Management Chefsache. Es sollte nicht einfach eine lästige Pflicht sein, denn immerhin geht es darum, das Image des Unternehmens in der Öffentlichkeit, bei gegenwärtigen und künftigen Mitarbeitern sowie bei Geschäftspartnern als verantwortungsvoll handelnde Organisation zu stärken. Dazu gehören auch ein umfassender Schutz der Daten und der sichere IT-Betrieb.

Die Risiken einer Verletzung des Datenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z. B. Kanada oder Japan.

Echte Mehrwerte im Wettbewerb entstehen, wenn es gelingt, über entsprechende Maßnahmen und ihre Dokumentation Vertrauen zu schaffen. Zudem fördern transparente personenbezogene Daten die Automatisierung von Prozessen und treiben somit die Digitalisierung voran. Einige aktuelle Studien belegen, dass Unternehmen, die auf diesem Weg vorangegangen sind, sich bereits Vorteile verschafft haben. Es liegt also an den Unternehmen selbst, ob ihnen die EU-DSGVO mehr nutzt oder doch eher schadet. //


Kontakt zum Autor

Namensnennung – Weitergabe unter gleichen Bedingungen 3.0 Deutschland (CC BY-SA 3.0 DE)

Dies ist eine allgemeinverständliche Zusammenfassung der Lizenz (die diese nicht ersetzt).

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten

Bearbeiten — das Material remixen, verändern und darauf aufbauen
und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.

Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.

Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.

Digital Banking

FinTechs, Tech-Giganten und neue Technologien verändern die Branche.

Zwar begann die Digitalisierung der Banken mit dem Online-Banking schon im letzten Jahrtausend, doch weitere Innovationen blieben lange aus. Für den Knotenpunkt aller Geldgeschäfte galt der Bankkunde als Selbstverständlichkeit und musste nicht mit technischen Neuerungen gebunden werden. Selbst das Online-Banking diente mehr dem Stellenabbau und der damit verbundenen Gewinnoptimierung als dazu, einen wirklichen Service anzubieten. Heute noch beworbene Tagesgeldkonten wirken wie absurde Überbleibsel aus der Zeit, in der sie mit lukrativen Zinsen als Online-Banking-Marketingmaschine fungierten.

Seit einigen Jahren verändert nun die aufstrebende FinTech-Branche den Finanzmarkt. Dem Kundenwunsch nach mehr digitalen Lösungen, der vor allem durch die Entwicklungen der Mobile Devices mit ständigem Internetzugriff noch verstärkt wird, soll entsprochen werden. Vormals ineffiziente und unflexible Geschäftsfelder werden revolutioniert oder zumindest den neuen technologischen Möglichkeiten angepasst. Durch die PSD2-Richtlinie wurde mittlerweile auch das Monopol der Banken in Bezug auf Kontoinformationen gebrochen. Sie sind nun verpflichtet, eine API-Schnittstelle anzubieten, und, die Einverständniserklärung des Kunden vorausgesetzt, auch anderen Unternehmen Zugriff zu gewähren.

Mittlerweile haben auch viele der altehrwürdigen Bankhäuser erkannt, wie wichtig es im Wettbewerb um die Gunst der Kunden ist, durch eine Modernisierung und Technologisierung der gesamten Dienstleistungskette zu punkten. Oftmals machen sie sich dabei die Innovationskraft eines agilen Start-ups zunutze. Nicht selten agieren diese als White-Label-Lösung im Verborgenen, profitieren aber im Gegenzug von der bereits aufgebauten Kundschaft der etablierten Institute. Auf der anderen Seite machen es die vielen Regularien für Start-ups fast unmöglich, die Bedingungen für eine Banklizenz zu erfüllen. Gerade bei besonders populären FinTech-Lösungen, wie dem Crowdlending, agieren daher nun die Banken im Hintergrund und regeln beispielsweise die Abwicklung der Kreditvergaben.

Zwar machten kleine Start-ups den Anfang, doch mittlerweile bitten auch die Tech-Giganten auf dem Finanzparkett zum Tanz. Siri ermöglicht mittlerweile Überweisungen per Sprachbefehl und ebenso wie Apple Pay ermöglicht auch das Android-Pendant Google Pay das Bezahlen via Smartphone an der Kasse.

Amazon-Go-Filialen schaffen Kassensysteme sogar komplett ab. Eine auf dem Smartphone installierte App vernetzt sich mit der ausgeklügelten Technik im Geschäft, die genau erkennt, welche Waren der Kunde einsteckt. Nach Verlassen des Ladens erhält dieser nur noch eine Push-Benachrichtigung, einen digitalen Kassenbon. Zusätzlich setzen sich die Unternehmen auch im Online-Commerce an die Schnittstelle zwischen Händler und Kunden, indem sie bei Bezahlungen per App Rabatte anbieten oder als Identitätsdienst die Registrierung beim Onlineshop mit nur einem Klick ermöglichen.

Enormes disruptives Potenzial wird auch der Blockchain zugesprochen. Der Hype der Kryptowährungen endete zwar relativ schnell nach dem Bitcoin-Höchststand im Dezember 2017, doch nicht nur FIAT-Währungen werden durch die Technologie in Frage gestellt. Blockchain-Ökosysteme ermöglichen Legitimation, Absicherung und Auslandszahlungsverkehr – also Kerndienstleistungen der Banken.


Neues Lizenzmanagement

Die Lizenzmodelle der Softwareindustrie wandeln sich im Zuge des Cloud-Computings. Neue Abrechnungsmodelle müssen kalkuliert werden.

Die TREND-REPORT-Redaktion sprach mit Prof. Dr. Andreas Gadatsch, Hochschule Bonn-Rhein-Sieg, und Dipl.-Kfm. Stefan Brassel M. A., Bechtle AG, über zukünftige Lizenzpraktiken und die damit einhergehenden Folgen für Unternehmen.

Herr Prof. Dr. Gadatsch, wie werden cloudbasierte Software- und Infrastruktur-Services die heutige IT-Nutzungskultur in den Unternehmen verändern?
Die IT-Leistungen vermischen sich zunehmend mit Business-Leistungen. Der Unterschied zwischen IT und Business verschwindet immer mehr. Anwender werden Leistungen beziehen und nicht danach fragen, ob „die eigene IT das kann oder nicht“. Dies bedeutet, dass der CIO bzw. der CDO mehr in die Rolle des Moderators, Beschaffers und Koordinators wechselt und Innovationen ganzheitlich vorantreiben muss.

Und was ändert sich im Kontext der jetzigen Lizenzpraktiken?
In der Vergangenheit verbanden Kunden mit „Lizenzierung“ lediglich softwaretechnologische sowie lizenzrechtliche Fragestellungen. Software- und Businessstrategie wurden als getrennte Bereiche eingestuft und von verschiedenen Personen verantwortet. In diesem Zusammenhang tauchte die Frage nach dem eigenen IT-Betrieb bzw. internen Unternehmensprozessen – insb. die Fragestellung nach dem sogenannten „Wertbeitrag“ der IT zum Unternehmenszweck im Rahmen der Servicedienstleistung – auf, welche die IT den Fachabteilungen anzubieten hatte. Die Entscheider im Unternehmen hatten oftmals lediglich einen Fokus auf den finanziellen Aspekt. Zudem waren Kaufentscheidungen im Standardsoftwareumfeld oftmals durch die Compliance-Überprüfungen der Lizenzgeber „beeinflusst“ und weniger technologisch getrieben. Wenn Unternehmen sich mit Outsourcing befassten, passierte dies i. d. R. unabhängig von der Softwarebeschaffung, im Rahmen einer grundsätzlichen Strategiediskussion, oftmals vor dem Hintergrund von Kostensenkungsaspekten. Bedingt durch die „Verschmelzung von Software und Hardware sowie Serviceanteilen“ zu Cloud-Diensten, kann man im Rahmen von „Lizenzierung“ nun über Outsourcing durch die Hintertür sprechen. Der Eingriff in Unternehmensprozesse ist teilweise enorm (als Beispiel sei hier nur die technologische Abhängigkeit von Diensten wie Office 365 vom Design des „Active Directory“ eines Kunden genannt), die Anbieterauswahl stark eingeschränkt und SLAs und Haftungsfragen können i. d. R. nicht verhandelt werden. In diesem Zusammenhang gilt es zudem, die Grundsätze der „Principal Agent Theory“ und des Transaktionskostenansatzes im Auge zu behalten.

  • Durch Cloud-Dienste entsteht ein enormes Einsparpotenzial im IT-Betreib, jedoch sollte im Vorfeld eine ausführliche technische Evaluation und eine Analyse der zur Diskussion stehenden Vertragswerke stattfinden.
  • Wo der Einfluss auf die SLAs von großer Bedeutung ist, kann es sinnvoll sein, auf „lokale“ Outsourcing-Partner zu setzen, mit denen Vertragsinhalte noch verhandelt werden können.
  • Früher sorgte der IT-Controller einfach für möglichst niedrige Lizenzgebühren und Mengenvolumina, heute muss er er einen vollständigen Business-Case erstellen bzw. bewerten und ggf. nach Alternativen suchen.

Herr Brassel, wie reagieren Unternehmen am besten und schnell darauf?
Entscheidend ist im ersten Schritt, dass sich die IT-Abteilungen der Unternehmen der Auswirkungen dieser Entwicklung bewusst werden und der CIO in seiner Rolle als Schnittstelle zum Management das Thema „Softwarebeschaffung“ unter den neuen Gegebenheiten auf Managementebene strategisch diskutiert. Hieran schließt sich die Frage nach den Anforderungen an die interne IT an (Wertbeitrag der IT zum Unternehmenszweck). Es ist zu klären, welche der erbrachten Leistungen eher „Commodity“ ohne strategische Relevanz sind und welche Leistungen als erfolgskritisch für die Unternehmensstrategie angesehen werden können.

Was müssen Unternehmen jetzt konkret tun?

Dipl.-Kfm. Stefan Brassel M. A.

Zu empfehlen ist hier eine Analyse und Clusterung der Unternehmensdaten. Welche Daten sind für den Unternehmenserfolg so entscheidend, dass sie nicht herausgegeben werden können, selbst wenn sie verschlüsselt wurden, und welche Daten könnte man auslagern? Im Allgemeinen bietet es sich an, über die Auslagerung von Basis-IT-Services wie Mail, Collaboration, Communication und DataShare nachzudenken. Denn hier lassen sich neben Standardisierungsüberlegungen und Einsparpotenzialen im IT-Betrieb insb. auch Optimierungen im Bereich der Administration realisieren. Dies erfordert jedoch im Vorfeld neben einer ausführlichen technischen Evaluation auch eine Analyse der zur Diskussion stehenden Vertragswerke in Bezug auf „Service Level Agreements“ (SLA), Pönalen (Strafen für SLA-Verletzungen), Datenschutz, Laufzeiten und Kündigungsfristen. Auch gilt es, den „regulären“ Unternehmensbetrieb im Verhältnis zu extrem störempfindlichen Unternehmensbereichen, wie z. B. einem Produktionsbetrieb, zu analysieren und für den IT-Support jedes einzelnen Unternehmensbereiches eine gesonderte „Make or buy“-Entscheidung zu treffen.

 

 

 

Herr Prof. Dr. Gadatsch, wie wirkt sich der Wandel auf das IT-Controlling aus?

Dr. Andreas Gadatsch, Hochschule Bonn-Rhein-Sieg

Die Rolle des IT-Controllers besteht ja für viele immer noch im jährlichen Aufstellen von IT-Budgets und deren monatlicher Kontrolle. Diese Eingrenzung ist historisch bedingt nachvollziehbar, weil früher hohe IT-Kosten „verdächtig“ waren und die Unternehmensleitung bestrebt war, die IT-Kosten möglichst zu senken. Beim klassischen Lizenzcontrolling hat dieses Modell noch funktioniert. Der IT-Controller sorgt für möglichst niedrige Lizenzgebühren und Mengenvolumina in Kooperation mit dem IT-Einkauf. Heute wird eher danach gefragt, welche IT-Investitionen sinnvoll sind und wie sie sich auf die Geschäfte des Unternehmens auswirken. Im Rahmen der aktuellen Veränderungen müssen komplexe Prozesse bewertet werden. Dies macht die Aufgabe des IT-Controllers wesentlich schwieriger. Er muss nun einen vollständigen Business-Case erstellen bzw. bewerten und ggf. auch nach Alternativen suchen.
Müssen neue Attribute, Begriffe oder Rollen für das Risikomanagement gefunden werden?
Neue Begriffe sind immer gut für Berater, Journalisten und Wissenschaftler. Oft findet man aber den bekannten alten Wein in neuen Schläuchen. Es kommt aber immer auf die Inhalte an. Das Risikomanagement war bislang im IT-Controlling nur ein Thema von vielen. Es ist aufgrund der veränderten Rahmenbedingungen wahrscheinlich, dass die Aufgabengebiete IT-Controlling und IT-Risikomanagement enger zusammenwachsen. Vielleicht ist Risikomanagement in Zukunft eine Kernaufgabe des IT-Controllers.

Herr Brassel, quasi die Renaissance der SLA?
Eher eine ganz neue Wahrnehmung der Bedeutung von unternehmensinternen SLAs. Den Unternehmen muss bewusst sein, dass sie etwas „Outsourcen“ um Geld zu sparen, womit der beteiligte Dienstleister aber dennoch Geld verdienen möchte. So etwas funktioniert nur über Skalierung bzw. Standardisierung. Die SLAs im Rahmen von Diensten wie z. B. Office 365 der Firma Microsoft sind im Prinzip nicht verhandelbar. Der Dienst ist auch nur oberflächlich individuell „konfigurierbar“. Die Prozesse, Verfügbarkeit und Haftungsfragen sind weitestgehend vom Anbieter vorgegeben und weltweit standardisiert. Das wirft im Bezug auf SLAs ganz neue Fragen auf. Wo vom Nachfrager maximale Flexibilität und Verfügbarkeit gefordert werden, scheiden solche hochstandardisierten Dienste eher aus. Wo der Einfluss auf die SLAs von großer Bedeutung ist, kann es nach wie vor sinnvoll sein, auf „lokale“ Outsourcing-Partner zu setzen, mit denen die Vertragsinhalte noch verhandelt werden können. Somit könnte man eher von einer Renaissance der grundsätzlichen Make-or-buy-Strategie in einem Unternehmen sprechen, des grundsätzlichen Sourcingansatzes vor dem Hintergrund der Anforderungen an SLAs. Zumindest was IT-Dienste betrifft.

Herr Prof. Dr. Gadatsch, CIO, CEO und CDO: Wie sieht die neue Rollenverteilung im Kontext der „transformierten IT“ aus?
Die Rolle des CIO wurde über 20 Jahre lang diskutiert, trotzdem finden Sie in den Unternehmen immer noch sehr unterschiedliche Sichten. Die Rolle des CDO wird ja gerade erst langsam klarer, wenngleich die Diskussion noch im vollen Gang ist. Egal, wer die digitale Transformation treibt, ein klassischer IT-Leiter, ein CIO oder ein CDO: Sie bleibt im Kern Chefsache und damit ist der CEO immer involviert.

Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/


Informationen zu Prof. Dr. Andreas Gadatsch

Informationen zu Dipl. Kfm Stefan Brassel M.A.

Cloud-Computing

Dezentral, flexibel und günstig – Cloud-Computing erobert mit hoher Skalierbarkeit bei niedrigen Kosten immer mehr deutsche Unternehmen.

von Andreas Fuhrich

Unter Cloud Computing versteht man die Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern auf einem anderen Rechner, der aus der Ferne aufgerufen wird. Technischer formuliert umschreibt das Cloud Computing den Ansatz, IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Datensicherheit, Netzkapazitäten oder auch fertige Software) über ein Netz zur Verfügung zu stellen, ohne dass diese auf dem lokalen Rechner installiert sein müssen. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über technische Schnittstellen und Protokolle sowie über Browser. Die Spannweite der im Rahmen des Cloud-Computings angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationstechnik und beinhaltet unter anderem Plattformen, Software und Infrastruktur wie z. B. Rechenleistung oder Speicherplatz.  Die Möglichkeit online seine Mails abzurufen oder seine Urlaubsfotos in sozialen Netzwerken zur Schau zu stellen waren zwar schon erste Cloud-Angebote, doch der Begriff setzte sich erst durch die Möglichkeiten der Virtualisierung durch.

Die häufigste Virtualisierungsmethode nutzt sogenannte Hypervisoren, die den simultanen Betrieb mehrerer Gastsysteme auf einem Hostsystem erlauben. Der Hypervisor verwaltet die Ressourcenzuteilung für einzelne Gastsysteme. Er verteilt die Hardware-Ressourcen derart, dass für jedes einzelne Gastbetriebssystem alle Ressourcen bei Bedarf verfügbar sind, so, als ob nur ein Betriebssystem vorhanden wäre. Den einzelnen Gastsystemen wird dabei jeweils ein eigener kompletter Rechner mit allen Hardware-Elementen – Prozessor, Laufwerke, Arbeitsspeicher usw. – vorgespielt.

Durch den Einsatz der Virtualisierung, lässt sich die Ressourcen-Auslastung optimieren, zumal Server, die im Moment nicht benötigt werden, abgeschaltet werden können. Lokale Ressourcen und die damit verbundenen Kosten lassen sich so einsparen. Neben der Private-Cloud, deren Server sich innerhalb der eigenen Organisation befinden, kann man dabei auch auf die Services von Public-Cloud-Anbietern zurückgreifen. Diese erlauben ihren Kunden, IT-Infrastruktur auf einer flexiblen Basis des Bezahlens zu mieten, ausgerichtet am tatsächlichen Nutzungsgrad. Ein Vorteil: Auch extreme aber nur kurze Auslastungsspitzen, beispielsweise im E-Commerce-Weihnachtsgeschäft lassen sich selbst unvorhergesehen so noch besonders kostengünstig bewältigen.

Um die Wettbewerbsvorteile nutzen zu können, die durch die Inanspruchnahme dieser Dienste entstehen, ist eine schnelle Breitbandversorgung Grundvoraussetzung. Damit es keinen Unterschied mehr macht, ob Daten lokal auf einem PC oder auf entfernten Servern in einer Cloud gespeichert sind, muss der Netzausbau vorangetrieben werden.

Bedenken bzgl. der Public-Cloud-Anbieter bestehen allerdings bezüglich des Datenschutzes. So dürfen nach einem Urteil des Europäischen Gerichtshofs nur eingeschränkt Daten in die USA gelangen. Wenn personenbezogene Daten Dritter in die Cloud gegeben werden, müssen sich deutsche Auftraggeber vorab und anschließend regelmäßig nachvollziehbar davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden. Der Patriot Act erschwert zusätzlich das Vertrauensverhältnis zur neuen Welt – Unternehmen mit Sitz in den USA sind dazu gezwungen, Daten an amerikanische Behörden auszuliefern, selbst wenn sich die Server im fremden Hoheitsbereich befinden.

Ein Kampf gegen Windmühlen?

Gut gerüstet mit Verschlüsselungstechnologien und einem zuverlässigen Key-Management werden Cloud-Risiken für Unternehmen beherrschbar.

von Thorsten Krüger

Geringe Kosten, hohe Flexibilität – Cloud-Computing ist längst kein Schlagwort mehr, sondern aus der Unternehmenswelt nicht mehr wegzudenken. Rund ein Drittel aller IT-Manager und Sicherheitsverantwortlichen nutzt IT heute schon ausschließlich aus der Cloud, mehr als zwei Drittel erachten cloudbasierte Services und Plattformen als wichtig für ihr Geschäft. Allerdings stehen viele vor der Herausforderung, in Umgebungen fernab ihres eigenen Rechenzentrums die Kontrolle über Daten zu behalten und alle Richtlinien zu erfüllen. Jeder Zweite hält die gewählte Cloud-Sicherheitsstrategie und die Einhaltung von Datenschutzrichtlinien im eigenen Unternehmen für unzureichend. Vor allem sensible Informationen werden zu sorglos mit Geschäftspartnern, Auftragnehmern oder Händlern geteilt.
Häufig kommen zudem unzureichende Kontroll- und Sicherheitsmaßnahmen zum Einsatz, um sensible Daten in der Wolke zu schützen. Der Fokus wird oft auf Intrusion-Prevention, Firewall, Content-Security oder Access-Point-Security gesetzt, um Infrastrukturen abzusichern. Solche klassischen Sicherheitsmaßnahmen greifen in Cloud-Umgebungen zu kurz.

Obendrein erschwert das Phänomen Schatten-IT die Sicherheitsvorkehrungen. Fast die Hälfte aller Cloud-Services wird nicht von den IT-Verantwortlichen selbst, sondern von anderen Abteilungen betrieben. IT-Sicherheitsexperten sind auch selten in die Entscheidung involviert, welche Cloud-Applikationen oder -Plattformen zum Einsatz kommen. Das Ergebnis: Fast die Hälfte aller Geschäftsdaten in der Cloud steht nicht unter der Kontrolle der IT-Abteilung. Dass vor diesem Hintergrund der Überblick über die eigenen Applikationen, Plattformen oder Infrastruktur-Services verloren geht, ist kaum verwunderlich. Gefährdet sind vor allem vertrauliche und sensible Daten wie Kundeninformationen, E-Mails, Personalakten und Zahlungsinformationen, die häufig in der Cloud gespeichert werden.

Der Versuch, immer neue Sicherheitslücken zu schließen, gleicht einem Kampf gegen Windmühlen, und auch der Ansatz, die Security-Compliance von Cloud-Providern untersuchen zu wollen, entpuppt sich oft als aussichtsloses Unterfangen. Um sensible Informationen effektiv zu schützen, müssen die Unternehmen die Kontrolle über ihre Daten behalten. Im Zentrum der Sicherheitsbemühungen sollte ein datenzentrierter Ansatz stehen, mit dem sich sowohl Kunden- als auch Geschäftsdaten über alle täglich verwendeten Cloud-Services hinweg schützen lassen. Technologien wie Authentifizierung in Verbindung mit Verschlüsselung, Tokenization und anderen kryptografischen Lösungen kommen dafür in Frage. Dreh- und Angelpunkt muss hierbei sein, dass Unternehmen ihre kryptografischen Schlüssel nicht aus der Hand geben.

Der Schlüssel zu mehr Sicherheit

Das Identitätsmanagement in der Cloud empfinden viele als schwieriger als in On-Premise-Umgebungen. Die meisten Unternehmen setzen noch immer auf Passwörter und Nutzernamen, um Identitäten zu verifizieren und Nutzerzugänge zu schützen. Die Erkenntnis, dass das für ein hohes Sicherheitsniveau nicht ausreichend ist, setzt sich jedoch immer mehr durch.
Erst eine Multifaktor-Authentifizierung sorgt dafür, dass sich Cloud-Zugänge von Mitarbeitern und Dritten zuverlässig überwachen lassen. Dabei werden mindestens zwei voneinander unabhängige Faktoren für die Authentifizierung von Kunden genutzt. Konkret können dies Dinge sein, die der Kunde weiß (Passwort, Sicherheitsfrage), die er besitzt (Mobiltelefon, Token) oder etwas, das ihn persönlich auszeichnet (Fingerabdruck, biometrische Gesichtserkennung).

Kernaussagen

  • Jeder zweite IT-Manager hält die Cloud-Sicherheitsstrategie im eigenen Unternehmen für unzureichend.
  • Klassische Sicherheitsmaßnahmen greifen in Cloud-Umgebungen nicht.
  • Fast die Hälfte aller Geschäftsdaten in der Cloud wird nicht von der IT-Abteilung kontrolliert.
    Durch Technologien wie Verschlüsselung, Tokenization und andere kryptografische Lösungen behalten Unternehmen die Kontrolle über ihre Daten in der Cloud
  • Mit Multifaktor-Authentifizierung lassen sich die Cloud-Zugänge von Mitarbeitern und Dritten zuverlässiger überwachen als mit Passwörtern.
  • Verschlüsselung gewährleistet „Vertraulichkeit, Integrität und Verfügbarkeit“, sowohl bei mobilen Geräten als auch in der Cloud.

Bis dato verschlüsselt nur rund ein Drittel der Unternehmen sensible oder vertrauliche Daten direkt in der cloudbasierten Applikation. Sauber und ohne Hintertüren implementiert trägt Verschlüsselung dazu bei, die drei Sicherheitsziele „Vertraulichkeit, Integrität und Verfügbarkeit“ zu erfüllen. Dabei kann die Technologie zwar nicht alle Aufgaben der Zugangs-, Zugriffs- und Weitergabekontrolle übernehmen, doch ohne sie sind diese Kontrollmaßnahmen kaum möglich.

Bei mobilen Endgeräten ist die Verschlüsselung nicht weniger wichtig als in der Cloud. Vor allem bei Smartphones und Tablets besteht ein hohes Verlust- und Diebstahlrisiko. Fehlt die mobile Datenverschlüsselung, können Gerätediebe und unehrliche Finder auf die vertraulichen Daten zugreifen.
Die deutschen Aufsichtsbehörden für den Datenschutz betonen: Verschlüsselung in der Cloud sollte so organisiert werden, dass die Schlüssel in der Hoheit der Nutzer verbleiben. Unternehmen sind deshalb einerseits in der Pflicht, nach Verschlüsselungslösungen Ausschau zu halten, die hinsichtlich Stärke und Algorithmus dem Stand der Technik entsprechen. Andererseits gilt es, ein zuverlässiges Key-Management zu etablieren. Das Thema Sicherheit in der Cloud wird für Unternehmen damit beherrschbar und diese können somit auch den Vorgaben bei Compliance und Governance gerecht werden. Sensible Daten sind überall und zu jederzeit geschützt.

Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/


Informationen zu Thorsten Krüger

Neue digitale Sicherheitskultur

Sicherheit für kritische Infrastrukturen und innovative Cyber-Abwehr sind für Unternehmen und den Public Sektor gefragter denn je.

Die  Digitalisierung und Vernetzung, das Internet der Dinge, Industrie 4.0 und die zunehmende Mobility bieten Cyber-Angreifern vielfältige Möglichkeiten, Informationen auszuspähen, Geschäftsprozesse zu sabotieren oder sich unter Einsatz von Malware und damit verbundener erpresserischer Datenverschlüsselung kriminell zu bereichern.

Täglich werden rund 380 000 neue Schadprogrammvarianten entdeckt, die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang ist explosionsartig um 1 270 Prozent angestiegen. Wie Frau Merkel bemerkte, werden Cyber-Angriffe zum Alltag gehören.

Klassische Abwehrmaßnahmen reichen nicht mehr aus

Unternehmen aller Branchen,  kritische Infrastrukturen, Forschungseinrichtungen, Ver­waltung und Bürger sind es, auf die sich Angreifer mit flexibel einsetzbaren Angriffsmitteln und -methoden fokussieren. Konsequenzen aus bereits erfolgten Angriffen sind teils verheerend und verdeutlichen, wie verwundbar eine digitalisierte Gesellschaft ist.  Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte. Hinzu kommen die gesetzlichen Vorgaben, wie das 2015 eingeführte IT-Sicherheitsgesetz, das um Sicherheitsanforderungen an sogenannte „Kritische Infrastrukturen“ noch ergänzt wurde. Es gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind. Das bedeutet, diese Risiken zu identifizieren, analysieren und bewerten. Um darauf aufbauend die Erstellung eines ganzheitlichen Sicherheitskonzeptes zu ermöglichen. Das beinhaltet nicht nur die eingesetzten Technologien, sondern auch organisatorische Maßnahmen, wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder konzeptionelle Aspekte, wie etwa Mindestanforderungen für bestimmte Sicherheitsmerkmale zu definieren.

Kritische Infrastrukturen müssen branchenspezifische Mindeststandards erfüllen, wozu insbesondere die Einführung eines ISMS zählt. Hilfestellungen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI. Eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines ISMS erläutern. Weiterhin müssen große Unternehmen und solche der „kritischen Infrastruktur“ relevante Vorfälle, die die IT-Sicherheit betreffen, an das BSI melden.

Durch das IT-Sicherheitsgesetz wurden außerdem weitere Gesetze wie z. B. das Energiewirtschaftsgesetz geändert. Durch die Änderung des Energiewirtschaftsgesetzes werden sämtliche Strom- und Gasnetzbetreiber verpflichtet, den IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen und ein ISMS einzuführen.

ISO 27001

Als Standard für Managementsysteme der Informationssicherheit hat sich die ISO-Norm 27001 zur Umsetzung und Kontrolle von gesetzlichen Vorgaben hinsichtlich Informationssicherheit und Datenschutz etabliert. Bei der Verwendung von Informationssystemen müssen proaktiv Schutzmaßnahmen und Schutzmethoden ergriffen werden, um mögliche Bedrohungen und Schwachstellen bestenfalls vorab zu verhindern oder auf ein überschaubares Risiko zu minimieren.
Die Zukunft ist vernetzt und mobil, mit immer mehr Schnittstellen zwischen Mensch, System und Maschine, national und global. Das bedeutet, dass wir ein sicheres und vertrauenswürdiges Ökosystem vom kleinsten Sensor bis zum Benutzer benötigen. Eine Absicherung der Systeme kann nur unter Einbezug sämtlicher Beteiligter, also Hersteller, Systemintegrator, Betreiber der Anlagen sowie der Öffentlichkeit, gleichermaßen gewährleistet werden.
Der Einsatz aktueller Schutzmechanismen, die Verfügbarkeit, Verbindlichkeit und Authentizität gewährleisten, wird von zunehmender Bedeutung sein. Techniken zur Verschlüsselung, Authentifizierung und Autorisierung auf Basis biometrischer Verfahren und hochleistungsfähiger Kryptografie-Methoden werden zum Standard avancieren.

Weiterführende Reportage aus TREND REPORT zum Thema

Heft 3/2015 „Vernetzte Gesellschaft“
„IoT: Beginn der Vernetzung“, Autor Chris Löwer
https://trendreport.de/iot-beginn-der-vernetzung/

Heft 2/2016 „Deutschland digital“
„Orientierung gesucht“, Dr. Ralf Magagnoli
https://trendreport.de/orientierung-gesucht/

Heft 1/2016 „Creative Companies“
„360°: Risiken immer im Blick“, Frank Romeike
https://trendreport.de/360-risiken-immer-im-blick/

Abteilung Einkauf & Beschaffung

Einfluss der Digitalisierung auf Einkauf &Beschaffung

Die ständig wachsenden Herausforderungen und die Digitalisierung auf den globalen Märkten führen dazu, dass die Beschaffung immer mehr an Bedeutung gewinnt. Die Beschaffungsoptimierung hat direkte Auswirkungen auf den Gewinn des Unternehmens.

Im Vergleich zu traditionellen Beschaffungsstrukturen, die sich durch Ineffizienz kennzeichnen, ermöglicht die konsequente Integration von E-Procurement-Systemen eine Vielzahl von Vorteilen zur Prozessverbesserung und Kosteneinsparung. Das Ziel von E-Procurement ist, die strategische aber auch die operative Beschaffung durch elektronische Hilfsmittel zu unterstützen. Das passiert in der Praxis durch den Einsatz verschiedener E-Procurement-Werkzeuge.

Das Katalogmanagement spielt dabei eine wichtige Rolle, Produktkataloge können der Auswahl und Beschaffung von Produkten auf Kundenseite, Lieferseite oder auf Marktplätzen dienen. Neue Technologien, rasante Digitalisierung und massiv geänderte Kundenerwartungen stellen die bisherige Einkaufsorganisation auf den Prüfstand. Die  Entwicklungen  im  Zusammenhang  mit  der  Digitalisierung  sollten  nicht  losgelöst  voneinander  betrachtet  werden. So spielt der CPO („Chief Procurement Officer“) im Einkauf und damit bei der Umsetzung von Industrie 4.0 in Zukunft eine zentrale Rolle. Er muss die Technologien und Innovationen mit dem CDO und der Geschäftsleitung ins Unternehmen  bringen,  damit  es  die  vierte  industrielle  Revolution  erfolgreich  meistern kann. In diesem Kontext ist Einkauf 4.0 nicht nur ein  „Buzzword“. Künstliche Intelligenz und kognitive Systeme werden in Zukunft das Lager mit der Produktion und dem Einkauf verbinden. Die digitale Konvergenz zieht sich durch: nicht nur durch den kompletten Lebenszyklus eines Produktes, sondern auch durch die komplette Produktwertschöpfungskette.

Die Digitalisierung ist damit auch der Treiber für das Next-Level-Procurement, bei dem neue Anforderungen wie Agilität, Kollaboration und Analytik gefragt sind. Zu deren  Umsetzung  ist  die  Prozesskompetenz  und  Marktexpertise des CPOs und des CDOs unverzichtbar.
Mit der  vierten  industriellen  Revolution  bietet sich dem Einkauf die Chance, eine neue strategische Rolle im Unternehmen einzunehmen und damit der zunehmenden Automatisierung zu „entgehen“. Je digitaler und vor allem autonomer die Einkaufsprozesse, desto eher kann sich der Einkauf auf seine strategischen Aufgaben konzentrieren.

Die Lagerhaltung der Zukunft wird ohne die momentan gebräuchlichen Scanner auskommen und mit innovativer Kamera- und Sensortechnik sowie deren Analyseverfahren Echtzeitinformationen zur Verfügung stellen. Mit Location-based Services lassen sich schon heute Inhouse-Warenströme in Echtzeit analysieren, um Ware sicher bis auf die Verkaufsflächen nachzuverfolgen.

Alles was sich auf einer Palette befindet, die sich durch das Lager bewegt, kann durch die Bluetooth-Technologie in „Realtime“ getrackt werden. Kameras und Sensoren identifizieren zum Beispiel Gabelstapler und ihre Bewegung. Es lässt sich so verfolgen, ob Fahrzeuge Lasten aufgenommen oder abgegeben haben. Stellplätze und Lagerflächen werden effizient überwacht, damit weitere Lagerhaltungsprozesse angestoßen werden können.

Daten im Kontext aller logistischen Vorgänge wie z. B. der Ein- oder Auslagerungen sind in Echtzeit abrufbar und werden automatisch  mit dem ERP- oder Lagerverwaltungssystem abgeglichen. In einer Vorstudie vom Fraunhofer-Institut für Materialfluss und Logistik (IML) beschreibt Prof. Dr. Michael Henke, dass sich die Anzahl der Mitarbeiter im Einkauf, sowohl im operativen als auch im strategischen Bereich, verringern wird: „Der operative Einkäufer wird aussterben. Der komplette operative und administrative Bereich wird digitalisiert sein.“

Durch den Wandel brauchen die Einkäufer zukünftig viele neue Fähigkeiten:

  • Der Einkauf agiert als Koordinator, Multi-Talent, Controller, Vertragsmanager.
  • Der Einkauf wird zum Berater.
  • Der Einkäufer entwickelt sich immer mehr zum Produktentwickler.
  • Der Einkäufer wird zum Datenanalysten.
  • Der Einkäufer wird Manager der Rahmenbedingungen.
  • Der Einkäufer wird noch mehr zum Schnittstellenmanager.

Der Mensch wird weiterhin eine zentrale Rolle beim Einkaufen behalten, da der persönliche Kontakt und die „Chemie“ wichtig für Verhandlungen und Lieferantenbeziehungen bleiben wird. Dadurch, dass es im strategischen Einkauf weniger Einkäufer geben wird, diese aber komplexere Aufgaben bewältigen müssen, erfordert dies ein höheres Qualifikationsniveau.

Industrie 4.0 steht für ein Zukunftsprojekt der deutschen Bundesregierung, welches die vierte industrielle Revolution bezeichnet. Diese zeichnet sich durch die Individualisierung bzw. Hybridisierung der Produkte und der Integration von Kunden und Geschäftspartnern in die Geschäftsprozesse aus. Einkauf 4.0 bezeichnet folgerichtig den Einkauf in einer digitalisierten Produktionswelt. Die Digitalisierung der Lieferkette wird nach Ansicht des BME die Geschäftsmodelle revolutionieren.

Die Digitalisierung des Einkaufs und dessen enge Vernetzung nach innen und außen bieten die Möglichkeit, dass innovative Erfolgsstrategien für das gesamte Unternehmen entwickelt werden. In Zukunft bedeutet Einkauf Mehrwert, der durch Digitalisierung und Automation der Supply-Chain erzeugt wird. Deswegen geht der Einkauf 4.0 über das E-Procurement und E-Sourcing hinaus. Zulieferer und Einkauf werden in Zukunft auch enger aneinander angebunden sein, damit im Idealfall die Warenbestände automatisiert sind und in Echtzeit diese abgefragt und angefordert werden können.

Durch Verträge abgesicherte Allianzen und Partnerschaften werden nötig sein, um kundenspezifische Lösungen zu realisieren, denn herkömmliche Produkte werden intelligent werden und somit zu einer Kernkomponente von Industrie 4.0. Dies macht die Prozesskompetenz und Marktexpertise des Einkaufs unverzichtbar, um das „Internet der Dinge und Dienste“ umzusetzen. Ziel soll sein, eine voll integrierte Steuerung der Lieferkette über mehrere Unternehmen hinweg zu haben und je nach Marktentwicklung die besten Gewinnaussichten oder niedrigsten Kosten zu haben.

Dies zeigt laut BME, dass der Einkauf und die Logistik die Digitalisierung der Wirtschaft vorantreiben, denn ohne Einkauf und organisierte Supply-Chain kann das „Internet der Dinge“ nicht stattfinden. Durch gutes Knowledge-Management und die Nutzung von E-Tools kann aber das Hoheitswissen, über welches ein strategischer Einkäufer verfügt, einfacher übertragen werden.

Deshalb geht die ATKearney davon aus, dass die Unternehmen sich in Zukunft die Frage stellen, wo der Einkauf stattfinden wird, da die Einkaufsabteilung, wie andere Serviceprozesse (Human Resource, Buchhaltung, Logistik), in Shared-Service-Centern gebündelt und gegebenenfalls komplett outgesourct wird. Daher muss der Einkauf durch permanente Innovation und neue Wertbeiträge einen dauerhaften positiven ROSMA („Return on Supply Management Assets“) generieren.

Quellen und Textlizenz:
Vorstudie „Digitalisierung des Einkaufs – Einkauf 4.0“, Fraunhofer-Institut für Materialfluss und Logistik IML und Bundesverband Materialwirtschaft, Einkauf und Logistik e.V. (BME) https://www.bme.de/fileadmin/_horusdam/4190-Vorstudie_Einkauf_40.pdf

https://winfwiki.wi-fom.de/index.php/Einfluss_der_Digitalisierung_auf_die_Beschaffung; Autor(en): Pavel Horia Basca, Pritam Satija, Philipp Myck.

Lizenzbestimmungen: https://www.gnu.org/licenses/fdl-1.2

Elektronische Rechnungsbearbeitung

von Dr. Martin Bartonitz

Papier ist geduldig, aber auch teuer. Dieser kurze Satz verweist indirekt auf die Vorteile einer papierlosen, elektronischen Rechnungsbearbeitung. Dabei geht es beim Thema E-Invoicing nicht zwingend um Materialkosten oder Umweltschutzaspekte, sondern um Einsparungen auf der Prozesskostenseite. Zu Beginn der elektronischen Datenverarbeitung mussten Papierrechnungen ausgedruckt oder händisch ausgefüllt, kuvertiert, frankiert und per Post verschickt werden (vgl. Abb. 1). Das Fax beschleunigte den Übertragungsprozess, allerdings blieb der Papierverbrauch fast unverändert. Der Empfänger musste die Rechnung prüfen und bei Beanstandungen auf dem gleichen Weg zurücksenden. Kopien der Rechnung mussten anschließend bei dem Versender und dem Empfänger liegen, um der zehnjährigen gesetzlichen Aufbewahrungspflicht gerecht zu werden (u. a. zur Absetzung der USt., vgl. Box 1). Der Platzbedarf für Archive stieg stetig an, mehrere Kilometer Aktenschränke waren (und sind!) bei Großunternehmen mit Hunderttausenden Papierdokumenten nicht ungewöhnlich.

Abb. 1: Kostentreiber in der Rechnungsbearbeitung

Rechnungen im unternehmerischen Umfeld

Die Papierrechnung wird das 21. Jahrhundert vielleicht nicht überleben, doch wer sie schon abschreibt, ist auf dem Holzweg. Denn auch wenn z. B. Mobilfunkanbieter für ihre Privatkunden bereits auf papierlose Rechnungen setzen, ist die Situation im unternehmerischen Bereich grundverschieden. Rund 75 % aller deutschen Unternehmen empfangen ihre Rechnungen noch in Papierform, Digitalisierung hin oder her. Da Papierrechnungen erst händisch geprüft, dann ggf. weitergeleitet und freigegeben werden müssen, verstreicht viel Zeit. Dies ist besonders dann der Fall, wenn Rechnungen in den Zwischenschritten „hängenbleiben“, sei es krankheitsbedingt oder weil Details unklar sind. Vielen Firmen entgeht dadurch nicht nur der Schnellzahler-Rabatt (Skonto, vgl. Box 2), sie laufen zudem Gefahr, Mahnungen zu erhalten. Bei einer elektronischen Bearbeitung (bestenfalls in einem Enterprise-Content-Management-System) kön­nen Fragen schneller geklärt, Freigaben in Sekunden erteilt und Stellvertreter im Workflow festgelegt werden, selbst wenn der Freigebende außer Haus ist, was den Prozess bis zur Bezahlung deutlich beschleunigt.
Achtung: Eine gescannte Rechnung im PDF-Format ist nicht automatisch eine elektronische Rechnung, denn letztere müssen sowohl elektronisch versendet als auch elektronisch empfangen werden (vgl. Box 3).

Box 1: Erfolgsneutralität der Umsatzsteuer

  • Unternehmensumsätze unterliegen der Umsatzsteuer (derzeit 19 %, bisweilen sieben Prozent)
  • Der Leistungserbringer berechnet seinen Umsatz (100 %) und fügt die Steuer hinzu. Der Leistungsempfänger muss folglich 119 % der Leistung bezahlen.
  • Die 19 % des Leistungserbringers gehen an das Finanzamt. Die verbleibenden 100 % werden als umsatzsteuerliches Entgelt des Leistenden bezeichnet.
    Sofern der Leistungsempfänger ebenfalls unternehmerisch tätig ist, können die 19 % Umsatzsteuer vor dem Finanzamt als Vorsteuer geltend gemacht werden. Es verbleibt eine betriebswirtschaftliche Belastung des Empfängers von 100 %.

Kostentreiber in der Rechnungsbearbeitung

Die manuelle Rechnungsverarbeitung kostet versendende Unternehmen zwischen 0,70 und 4,00 €, bisweilen sogar 13,00 € pro Rechnung und den Empfänger zwischen 2,00 und 30,00 € (je nach Unternehmensgröße und Personalkosten, verfügbare Studien variieren hier; vgl. Abb. 1). Mit elektronischer Rechnungsbearbeitung könnten diese Kosten, laut einer Studie von Capgemini, um bis zu 75 % gesenkt werden. Am meisten Geld sparen Unternehmen aber bei der Strafvermeidung: Fehlerhafte Rechnungen schlagen – aufgrund von Strafzahlungen bei Audits oder Problemen zwischen Lieferant und Empfänger – mit bis zu 50 € pro Rechnung zu Buche. Insgesamt könnten auf EU-Ebene laut Berechnungen der Deutschen Bank durch eine Umstellung auf E-Invoicing Einsparungen zwischen 80 und 250 Milliarden € erzielt werden – und 12 Millionen Bäume müssten nicht gefällt werden.

Box 2: Einsparpotenziale elektronischer Rechnungen

  • Minimale Versandkosten – Versender
  • Schnellzahler-Rabatt (Skonto) – Empfänger
  • Automatisierte Prüfung – Empfänger und Versender
  • Geringe Archivierungskosten – Empfänger und Versender

Verfahrensarten und Extraktion

Doch keine Prozessoptimierung und Automatisierung ohne eine Standardisierung der Datensätze. Weit verbreitet ist z. B. der internationale, branchenübergreifende Standard EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport), der bereits seit über 20 Jahren existiert. EDIFACT ist bei der UN-Wirtschaftskommission für Europa (UNECE) angesiedelt und galt als großer Hoffnungsträger des elektronischen Datenaustauschs. Allerdings wurden die Formate mittlerweile branchenspezifisch so stark ausdifferenziert und zwischen Lieferanten und Kunden so individuell angepasst, dass EDIFACT kaum noch als Standard-Austauschformat bezeichnet werden kann.
Ein „klassisches“ PDF wiederum lässt sich zwar problemlos erstellen und versenden, doch ist es auch fehleranfällig, nicht zuletzt aufgrund der sog. Medienbrüche. Ein Beispiel: Die ursprüngliche Rechnungsdatei liegt beim Aussteller in strukturierter Form, also z. B. als Exceldatei, vor. Wird ein PDF erstellt, werden diese strukturierten Daten in ein Bild (= unstrukturierte Daten) umgewandelt (erster Medienbruch), nur um auf der Empfängerseite wieder als strukturierte Daten extrahiert zu werden (zweiter Medienbruch). Bei jedem dieser Schritte kann es zu Fehlern kommen, welche die Rechnung korrumpieren. Dazu kommen mögliche Tippfehler, Unschärfen aus dem Scanprozess und die Manipulierbarkeit von Bildern generell: Der Teufel lauert im Detail und Fehler können, wie erwähnt, sehr teuer werden.

Box 3: Was ist eine elektronische Rechnung?

  • Eine „elektronische Rechnung“ muss sowohl elektronisch erstellt als auch elektronisch ausgeliefert werden. Nicht jeder Scan ist also eine elektronische Rechnung!
  • Der Vorsteuerabzug bei elektronischen Rechnungen geht verloren, wenn der Nachweis und die Kontrolle der Echtheit, Herkunft und Unversehrtheit des Inhalts fehlen und die Rechnung nicht alle Angaben enthält.

Abb. 2: Digitale Erfassung von Papierdokumenten (Beispiel)

Reformen und Standardisierung

Das Europäische Parlament und der Rat der Europäischen Union brachten Bewegung in die wenig zufriedenstellende Situation. Im Rahmen einer EU-weiten Reform für das E-Government wurden ab 2011 einheitliche Richtlinien und Gesetze für die Rechnungsstellung erarbeitet und initiiert. Veränderungen im Bereich der Rechnungsstellung, die in Deutschland ebenfalls 2011 durch das Steuervereinfachungsgesetz angestoßen wurden (Abschaffung der verpflichtenden Verwendung digitaler Signaturen), mündeten 2013 im E-Government-Gesetz des BMI und 2014 in der Richtlinie 2014/55/EU des Europäischen Parlaments und des Rates über die elektronische Rechnungsstellung bei öffentlichen Aufträgen. Verwaltungen in den Mitgliedstaaten wurden angehalten, ihre Prozesse zu digitalisieren und vollständig auf elektronische Rechnungsbearbeitung umzustellen. Die Öffentliche Verwaltung in Deutschland ist gemäß RL 2014/55/EU ab 2018 zum elektronischen Rechnungsaustausch verpflichtet.

ZUGFeRD als zukunftsfähiger Standard?

Da EDIFACT mittlerweile zu ausdifferenziert und reine PDF-Dateien zu fehleranfällig waren, musste ein neuer Standard her, der ohne Medienbrüche auskommt, aber gleichzeitig Sicherheit und Verlässlichkeit gewährleistet. In Anlehnung an die Richtlinien der EU entstand der Zentrale User Guide des Forums elektronische Rechnung Deutschland (ZUGFeRD). Der Guide kombiniert maschinenlesbare, standardisierte Daten mit dem menschenlesbaren Beleg auf Grundlage des PDF/A-3-Standards. Der PDF-Datei wird eine XML-Datei inkludiert, die dem Format ZUGFeRD genügt und sämtliche relevanten Daten einer erstellten Rechnung enthält.

Box 5: Hashwert-Prüfverfahren im Dokumentversand

  • Vor dem Versand wird mit einem Algorithmus eine Quersumme über den Inhalt des Dokumentes gebildet.
  • Nach dem Empfang erfolgt die Gegenprüfung, ob die Quersumme noch stimmt.
  • Bei Unregelmäßigkeiten kann sofort interveniert und eine manuelle, inhaltliche Dokumentprüfung vorgenommen werden.

In der Regel wird eine solche ZUGFeRD-konforme Rechnung in einem Enterprise-Resource-Planning-System erstellt. Sollte der Rechnungsempfänger kein ERP-System nutzen, kann das Auslesen auch über ein Dokumentenmanagement-System erfolgen. Diese Art der Rechnungsablage erfordert dennoch einen manuellen, menschlichen Zwischenschritt. Soll der Prozess automatisiert werden, kommt eine Klassifizierungssoftware (vgl. Abb. 2) zum Einsatz, die das ZUGFeRD-Format automatisch ausliest, die Daten vom Dokument trennt, strukturiert im System ablegt und für die Weiterverarbeitung bereitstellt. Diese Vorgehensweise lohnt sich aber erst bei einer sehr hohen Zahl an Eingangsrechnungen pro Tag, denn es müssen große Trainingsmengen gebildet werden, um der Software beizubringen, jede Rechnung richtig zu klassifizieren und zu extrahieren. Die Schwierigkeit ergibt sich aus dem nicht einheitlichen Layout von Rechnungen, da jeder Rechnungssteller anders tabelliert – ZUGFeRD ist also nur ein Datenformatstandard und hat nichts mit dem Layout von Rechnungen zu tun.

Box 4: Rechnungsprüfung

  • Echtheit der Herkunft
  • Übereinstimmung der Rechnung mit Bestellung
  • Unversehrtheit des Rechnungsinhalts
  • Lesbarkeit der Rechnung
  • Erfüllung sämtlicher gesetzlicher Voraussetzungen für eine Rechnung im umsatzsteuerlichen Sinne

Ob automatisierte oder manuelle Extraktion: In jedem Fall müssen interne, inhaltliche Prüfverfahren festgelegt werden (vgl. Box 4). Automatisierte Kontrollen, wie das Hashwert-Prüfverfahren (vgl. Box 5), können nur auf Unregelmäßigkeiten hinweisen, aber die inhaltliche Prüfung nicht ersetzen.

Ausblick

Bisher ist ZUGFeRD vor allem in der Öffentlichen Verwaltung im Einsatz, hat aber aufgrund der großen Einsparmöglichkeiten auf Empfängerseite auch Zukunftspotenzial in der Privatwirtschaft. ZUGFeRD basiert auf den Standards „Cross Industry Invoice“ (CII) und Message User Guides (MUG), die vom Europäischen Standardisierungsgremium CEN entwickelt wurden und eignet sich daher als Grundstein zur Etablierung eines einheitlichen europäischen Formates. Im European Multi Stakeholder Forum on Electronic Invoicing wird derzeit an einer Empfehlung für den europaweiten Einsatz gearbeitet.

Kernaussagen

Elektronische Rechnungen bergen jede Menge Vorteile, wie bspw. minimale Versand- oder Archivierungskosten.Durch digitale Verteil- und Freigabeworkflows inkl. automatisierter Ablage, Prüfung und Buchung werden Fehler reduziert, Arbeitszeit gespart und Skontofristen besser eingehalten.

Trotz aller Vorteile: Die durchgängige digitale Prozessoptimierung und Automatisierung erfordert eine weitergehende Standardisierung von Rech­nungsdatensätze. Der in die Jahre ge­kommene internationale, branchen­übergreifende Standard EDIFACT genügt – ebenso wie einfache PDF-Rechnungen – diesen Anforderungen nicht bzw. nicht mehr.

Die Lösung: Der neue, an EU-Richtlinien angelehnte Standard ZUGFeRD, ermöglicht auch das weitestgehend medienbruchfreie und automatisierte Versenden, Empfangen und Ablegen digitaler Rechnungen – in Kombination mit Klassifizierungssoftware – in ECM-Systemen.

Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/


Informationen zu Prof. Bartonitz

Gastbeitrag: Den digitalen Tsunami meistern

von Roger Illing und Lars Drexler

Lars Drexler

Kaum ein Thema beschäftigt die IT derzeit so stark wie die digitale Transformation. In der Praxis verstehen viele Unternehmen darunter allerdings nur die Optimierung einzelner Geschäftsprozesse. Damit wird das Potenzial der Digitalisierung jedoch nur unzureichend genutzt. Schließlich ermöglicht dieser Wandel zugleich eine umfassende Neuausrichtung des Unternehmens – bis hin zu komplett neuen, digitalen Geschäftsmodellen. Immerhin bekommen Hersteller erstmals einen unmittelbareren Zugang zu den Kundenwünschen und -bedürfnissen und können die Wert­schöpfungskette in dieser Hinsicht optimieren.
Ein weiterer typischer Fehler vieler Unternehmen ist, auf voneinander isolierte und jeweils bei Bedarf bereitgestellte Kanäle und Werkzeuge zu setzen. In dieser Hinsicht hebt sich die Lösung von OpenText deutlich ab: Die ganzheitliche Plattform ermöglicht es, den gesamten Informationsfluss zu verwalten und zu analysieren und so Kernbereiche der User-Experience, Machine-to-Machine-Integration, Automation und andere Aspekte abzudecken. Kaum ein Anbieter liefert eine derart umfassende Lösung, die sämtliche Bereiche eines Unternehmens integriert.

Der Weg zur Digitalisierung

Bevor Unternehmen sich in die Digitalisierung stürzen, ist eine ausführliche Analyse sinnvoll. Dabei sollten zunächst diejenigen Bereiche identifiziert werden, in denen die Digitalisierung den größten Vorteil bringt. Ein klassisches Beispiel dafür ist das Aufheben von Medienbrüchen: Sobald Dokumente nicht mehr nur in Papierform vorliegen, entfällt der aufwändige Scanvorgang und selbst dieser relativ kleine Digitalisierungsschritt zahlt sich aus. Auf diese Weise entsteht unmittelbar eine hohe Wertschöpfung.

Roger Illing

Das Beispiel zeigt, wie wichtig ein umfassendes Audit ist. Dabei gilt es herauszufinden, welche Arten von Informationen an welchen Stellen im Unternehmen entstehen und lagern und wie diese miteinander in Verbindung stehen. Schnell wird dabei klar, dass es sich längst nicht mehr nur um Textdateien, Präsentatio­nen oder Tabellenkalkulationen handelt. Schließlich lagert auch in unzähligen weiteren Dateien wertvolles Wissen. Neben E-Mails und Prozess­informationen müssen deshalb auch Formate wie Chats und Videos berücksichtigt werden.

Angesichts dieser Umstände ist klar, dass nur ein System für das „Enterprise Information Management“ (EIM) diese Anforderungen erfüllen kann. Anders als ein ERP-System ist es in der Lage, auch unstrukturierte Daten und Abläufe zu verwalten. Eine wichtige Rolle spielt dabei die IT-Abteilung. Sie muss im Rahmen der Digitalisierung die Anforderungen der Fachabteilungen erkennen und umsetzen. Umso wichtiger ist es, auf ein ganzheitliches Informationsmanagement zu setzen, das Informationssilos über Abteilungs- und Anwendungsgrenzen hinweg aufbricht.

Nur wenn sämtliche dieser Punkte beachtet werden, bringt die Digitalisierung die erwünschten Vorteile. Möglicherweise wurden einzelne oder mehrere dieser Aspekte nicht berücksichtigt oder falsch angegangen. Gerade deshalb ist es wichtig, mit einem starken Partner zu arbeiten. OpenText bietet nicht nur eine ausgesprochen leistungsfähige Software, sondern berät mit seinen Experten auch Unternehmen dabei, die optimale Strategie für die Digitalisierung umzusetzen.

Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/


Informationen zu Lars Drexler

Informationen zu Roger Illing