Für die Zuordnung der Beiträge in Zukunft.

Einsatz von Social Media-Buttons auf Webseiten

Erhöhte Datenschutzrisiken aufgrund aktuellem EuGH-Urteil zum Facebook-Like-Button.

Thomas Göhrig, Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH und

Dr. Dorothea Baranyai, Datenschutzberaterin

Das jüngste Urteil des Europäischen Gerichtshofs zur Nutzung der „Gefällt mir“-Schaltfläche von Facebook (stellvertretend für alle Social Media-Plattformen wie XING, Linkedin, Twitter, Instagram, YouTube etc.) führt dazu, dass auch Webseitenbetreiber bei der Nutzung von Social Media-Schnittstellen haftbar gemacht werden können.

Bei Zuwiderhandlungen besteht ein hohes Risiko eines Bußgeldes, zum einen da die Nutzung von Social Media-Schaltflächen mit nur einem Klick auf Ihre Webseite nachzuprüfen ist, aber zum anderen aber auch da die Auslegung des Sachverhalts mit dem Urteil des EuGH bereits bis in die oberste rechtliche Instanz klar definiert wurde und es keinen Interpretationsspielraum mehr gibt.

BERATUNGSTIPPS

Quick-Check Datenschutz.

Auslagerung Datenschutz.

Beratung Datenschutz.

Nutzen Sie auf Ihren Webseiten eingebettete Social Media-Schaltflächen, besteht ggf. Anpassungsbedarf. Eine Hilfestellung sollten die folgenden Handlungsempfehlungen geben.

Aktuelle Rechtslage nach neuem EuGH-Urteil

Bindet ein Betreiber einer Webseite Social Media-Kanäle wie die Facebook-„Gefällt mir“-Schaltfläche, YouTube-Videos, Twitter, Linkedin, XING, Instagramm oder Google + ein, führt oft allein das Aufrufen der Webseite zu einer Erhebung und Übermittlung personenbezogener Daten wie der IP-Adresse oder lokal abgelegten Cookies an die sozialen Dienste, und das, ohne dass der Webseitenbesucher ein Nutzerkonto bei Facebook und Co. haben oder mit seinem Profil angemeldet sein muss.

Zu diesem Themenkomplex gibt es bereits zwei Urteile des EuGH:

  • EuGH, Urt. v. 05.06.2018, Az. C-210/16 (Urteil zu Facebook-Fanpages)
  • EuGH, Urt. v. 29.07.2019, Az. C-40/17 (Urteil zu „Gefällt mir“-Button)

Das jüngste EuGH-Urteil unterstreicht die klare gemeinsame Verantwortlichkeit von Webseitenbetreibern und Facebook (stellvertretend für alle Social Media-Plattformen), schränkt jedoch ein, dass jeder nur für seine Handlungen bzgl. personenbezogener Daten verantwortlich ist. Damit haftet der Seitenbetreiber bei der Erhebung personenbezogener Daten beim Besuch des Internetauftritts und bei der Weiterleitung der Daten an z. B. Facebook Irland gemeinsam mit dem Anbieter des Social Media-Plugins. Dabei sei es im konkreten Urteil auch unerheblich, dass der Seitenbetreiber nach der Übermittlung an Facebook gar keinen Zugriff mehr auf die personenbezogenen Daten habe. Es reiche bereits aus, dass er durch Einbindung des „Gefällt mir“-Buttons die Datenübermittlung an Facebook ermögliche und selbst von der durch den Klick auf den „Gefällt mir“-Button generierten Werbung profitiere.

Nach der Datenübermittlung tragen Facebook und Co. die alleinige Verantwortung für alles Weitere, also Datenverarbeitung/-speicherung/-sicherung/-löschung etc.

Überprüfen Sie den Ist-Zustand Ihrer Webseite inklusive aller Unterseiten

Zunächst einmal gilt zu unterscheiden, ob Sie tatsächlich Social Media-Plugins oder nur eine reine Verlinkung auf Ihre Social Media-Profile wie Facebook, Linkedin, XING, YouTube o. ä. verwenden bzw. verwenden möchten. Hier kommt es teilweise zu Missverständnissen.

Durch Social Media-Plugins, z. B. die Facebook-„Gefällt mir“-Schaltfläche oder ein eingebettetes „YouTube-Video“, können Nutzer mit einem Klick ein „Gefällt mir“ auf Facebook hinterlassen oder ein YouTube-Video schauen, ohne Ihre Webseite verlassen zu müssen.

Stellen Sie jedoch lediglich eine Verlinkung Ihrer Social Media-Profile bereit, ist dies unkritisch, da das Aufrufen Ihrer Hauptwebseite durch Verlinkung keine personenbezogenen Daten an die Social Media-Anbieter versendet. Der Nutzer wird erst durch Anklicken des Links weitergeleitet.

Hierbei gilt: Verzichten Sie möglichst auf Social Media-Schaltflächen und setzen Sie auf reine Verlinkungen.

Social Media-Plugins – aber wie?

Möchten Sie aus wirtschaftlichem Interesse nicht auf Social Media-Plugins verzichten, gilt folgendes:

  • Treffen Sie mit dem Social Media-Anbieter eine schriftliche Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO. Bisher gilt z. B. die von Facebook verfügbare Standardvereinbarung nur für Fanpages, nicht aber für z. B. „Gefällt mir“-Schaltflächen Da die meisten der Dienste aktuell keine Vereinbarungen für gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO anbieten, wäre deren Nutzung illegal.
  • Für die Weiterleitung der Daten an das soziale Netzwerk benötigen Sie eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Datenschutzbehörden haben sich hinsichtlich Tracking-Daten in kürzlichen Veröffentlichungen hierzu sehr restriktiv geäußert. Hierfür können neben einem Pop-Up-Banner auch anderweitige technische Lösungen (z. B. „Shariff“ oder „Embetty“) helfen. Durch diese Lösungen wird die automatische Weitergabe personenbezogener Daten bereits beim Besuch Ihrer Webseite blockiert, gleichzeitig muss der Seitenbesucher aber nicht auf die direkte Nutzung der Social Media-Plugins verzichten.
  • Aktualisieren Sie – sofern nicht schon geschehen – Ihre Datenschutzhinweise bzgl. der gemeinsamen Verantwortlichkeit von Ihnen (Datenerhebung/-weiterleitung) und dem Social Media-Anbieter (Datenverarbeitung/-speicherung/-löschung etc.). Fügen Sie hinzu welche Social Media-Plugins eingebunden sind, welche technischen Vorkehrungen zum Schutz der personenbezogenen Daten Sie getroffen haben und verweisen Sie auf die Datenschutzhinweise des Social Media-Kanals.

Technische Lösungen

Durch die Einbettung der Social-Media-Kanäle als „iframe“ werden bereits beim Laden der Webseite Daten an das soziale Medium übermittelt. Kostenfreie Lösungen bieten die Zweiklick-Lösung von Heise (https://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html): Erster Klick zum Aktivieren der ausgegrauten Social Media Buttons, zweiter Klick für das eigentliche Nutzen des Social Media Buttons. Nachteilig hier ist die unauffällige Optik der verlinkten sozialen Medien und damit weniger Klicks und weniger Sichtbarkeit und die Weiterentwicklung als Antwort auf das aktuelle Urteil des EuGH, die Einklick-Lösung von Heise (Shariff https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html): Sie ermöglicht die Einbettung des Social Media-Plugins als HTML-Link. Dadurch sind „iframes“ nicht mehr nötig, der Nutzer muss nur einmal kicken, um z. B. etwas zu „liken“ und auch die Buttons können im gewohnt auffälligen Design auf der Webseite eingebettet werden, was deren Nutzung und den damit gewünschten Effekt der Sichtbarkeit der Webseite gewährt.

PRAXISTIPPS

  • Überprüfen Sie Ihre Webseiten und Unterseiten auf eingebundene Social Media-Plugins.
  • Bewerten Sie, ob der Einsatz von Social Media-Plugins sinnvoll ist oder ob eine reine Verlinkung ausreicht.
  • Prüfen Sie die Umsetzung technischer Lösungen zur Umsetzung der Einwilligungserfordernis.
  • Aktualisieren Sie ggf. die Datenschutzhinweise der betroffenen Webseite.

 

Beitragsnummer: 85038

 

Wie KI die Kommunikation verändert

Gabriele Horcher, Kommunikations-Wissenschaftlerin, Vortragsrednerin, Buchautorin und geschäftsführende Gesellschafterin der Kommunikationsagentur Möller Horcher

Ein Endverbraucher muss sich nicht erst über seine Kommunikationsstrategie klar werden, bevor er Künstliche Intelligenz zu seinem Vorteil einsetzt. Er probiert die neuen kostenfreien Tools von GAFA & Co. aus. Mit Google Duplex gibt es in den USA bereits einen digitalen Assistenten, der Termine beim Friseur vereinbart oder im Restaurant einen Tisch reserviert. Viele Unternehmen haben in Sachen KI deutlichen Nachholbedarf. Höchste Zeit, das zu ändern.

Technologien wie Text-Mining erleichtern es Verbrauchern, nach Informationen zu recherchieren, die sie interessieren. Wenn sie Google News nutzen, surfen sie nicht mehr auf einzelnen Medien- oder Unternehmensseiten. Die Zielgruppe wird derart verwöhnt, dass sie selbst viel weniger recherchiert. Für Unternehmen und Medienhäuser bedeutet das: Es wird immer schwieriger, die Aufmerksamkeit der Zielgruppe auf die eigenen Botschaften zu lenken.

SEMINARTIPP

Prozess- & Datenorientierte Schutzbedarfsanalyse, 04.11.2019, Wiesbaden.

 

Nicht nur Endverbraucher profitieren von KI, sondern auch Einkaufsabteilungen. Sie achten bei der Lieferantenauswahl auf weitaus mehr als passende Produktspezifikationen. War früher lediglich die Bilanz des Zulieferers wichtig, recherchieren und bewerten inzwischen KIs die gesamten Rahmenbedingungen: das Umweltbewusstsein des Zulieferers, seine Haltung zu Menschenrechten, politischen Themen und Sicherheitsaspekten sowie Führungsstil.

Verändertes Kauf- und Verkaufsverhalten

Durch das Internet hat sich das Kaufverhalten schon einmal grundlegend geändert. In den vergangenen 20 Jahren haben viele Unternehmen Marktanteile und Umsätze eingebüßt. Sie sind noch heute überrascht, dass ihre bisherigen Strategien nicht mehr funktionieren. Sie erkennen nicht, dass das Internet die Basis für eine nie zuvor gekannte Markttransparenz schafft. Die ehemals markentreue Zielgruppe hat heute eine viel größere Auswahl und andere Informations- sowie Recherchemöglichkeiten. Darum ist eine tendenzielle Wechselwilligkeit an die Stelle alter Markenbindungen getreten. Unternehmen haben es verpasst, die Social Media und Bewertungsportale im Auge zu behalten und dort aktiv zu sein. Sie haben geglaubt, es aussitzen zu können, als GAFA & Co. die Auffindbarkeit ihrer Web-Präsenzen und -Informationen beschnitten haben. Sie haben weder die Technologie Internet noch das Verhalten ihrer Zielgruppe ausreichend analysiert. Und sie haben nicht rechtzeitig auf das geänderte Kaufverhalten reagiert. Angesichts des nächsten Paradigmenwechsels durch KI darf dies kein zweites Mal passieren.

Herausforderungen im Umgang mit KI

Um sich auf das veränderte Kaufverhalten einstellen zu können, sollten Unternehmen es kontinuierlich beobachten – und dieses Wissen mit den neuen strategischen und technologischen Möglichkeiten kombinieren. Denn es kommen gleich zwei Herausforderungen auf die Kommunikatoren in Sales, Service, Marketing und Unternehmenskommunikation zu: Einerseits müssen sie sich mit eigenen KI-Szenarien beschäftigen. Andererseits sollten sie erforschen, welche Informationsbedürfnisse bestehen und welche Anwendungen ihre Zielgruppe bereits jetzt nutzt oder in absehbarer Zukunft einsetzen wird. Zu wissen, wonach eine Lieferanten- oder eine Endverbraucher-KI sucht und wie sie das Ergebnis bewertet, ist der erste Schritt. Setzen sich Unternehmen damit nicht auseinander, kann die großartigste KI-unterstützte Kampagne vollkommen ins Leere laufen.

KI in der Kommunikation

Künstliche Intelligenz verändert die Art und Weise, wie Unternehmen in ihrer Kommunikation arbeiten: Digitale, sprachgesteuerte Assistenten helfen, schneller an relevante Informationen zu kommen, Dinge zu bestellen oder Fotos zu bearbeiten. Es gibt Funktionen wie Sprache-zu-Text und vice versa. Auch Übersetzungen ganzer Word- und Power-Point-Dateien, von Gesprächen sowie die automatisierte Bilderkennung und Texterstellung sind möglich. Wiederkehrende Prozesse zu automatisieren, spart viel Zeit und verbessert den Durchsatz und den Outcome enorm.

BUCHTIPP

Janßen/Plate/Riediger (Hrsg.), Digitalisierung im Dokumentenmanagement, 2017.

 

KI beschleunigt nicht nur repetitive Arbeitsabläufe, sondern bringt ganz neue Erkenntnisse. Die unterschiedlichsten Aspekte lassen sich analysieren: das Verhalten in Social Media, Stimmmuster, Gesichtsausdrücke oder auch Körpersignale wie Herz- und Atemfrequenz. Algorithmen können heute herausfinden, was eine Person in einem bestimmten Moment will, wie sie sich dabei fühlt oder generell tickt. Mit diesem Wissen lassen sich die spezifische Ansprache und das Angebotsportfolio verändern.

Ferne Zukunft war gestern

Zukünftig wird die KI-Nutzung auf Anbieter- und Käufer-Seite nicht nur die Art und Weise, wie wir in Sales, Service, Marketing und Kommunikation arbeiten, verändern, sondern auch einen Teil der Kommunikation komplett revolutionieren. Warum? Weil in Zukunft KIs auf der Anbieterseite mit KIs auf der Nachfrageseite kommunizieren werden. Sie benötigen dafür kein Chichi, keine schöne Website. KIs lassen sie sich in ihrer Entscheidung nicht von psychologischen Effekten beeinflussen. Sie brauchen Daten, Zahlen und Fakten in einer Tiefe, Breite und Geschwindigkeit, wie wir sie als Menschen nicht bieten können. Die Voraussetzung für eine reibungslose Kommunikation zwischen KIs ist hierbei, dass aktuelle und relevante Daten verfügbar und zugänglich sind.

Dass dadurch ein Kanal überflüssig wird, ist unwahrscheinlich. Die letzten Jahrzehnte haben gezeigt, dass Kanäle und Technologien zeitweise an Bedeutung verlieren, aber nie ganz verschwinden. Aktuell und für die nächsten zehn Jahre heißt die Monsterwelle Digitalisierung, Automatisierung und Künstliche Intelligenz. Die Komplexität nimmt dadurch aber nicht ab, sondern zu. Ein Grund mehr, sich durch KI Hilfe zu holen.

FILMTIPP

Der digitale Nachlass.

 

 

Kommunikation wird menschlicher

Die Befürchtung, Kommunikation verliere ihren Human Touch, ist zum Glück unbegründet. Durch den Einsatz von Technologie wird Kommunikation menschlicher. Was wir als typisch menschlich empfinden, ist eine Kommunikation mit individuellem Charakter – eine echte One-to-One-Kommunikation. Sie ist direkt, relevant, verständlich, vertrauensvoll und persönlich. Tatsächlich ist KI in der Lage, diese Kriterien zu erfüllen. Als erster Chatbot der Geschichte gilt Eliza – eine virtuelle Psychotherapeutin, die Joseph Weizenbaum schon 1966 programmierte. Maschinen haben bei einer individuellen Interaktion sogar Vorteile: Sie können nicht nur unser Verhalten, Mimik, Stimme und Körpersignale interpretieren, in ihre Kommunikation fließen zudem keine eigenen Befindlichkeiten ein. Ein Chatbot kennt keine schlechten Tage.

Jetzt handeln

Unternehmen müssen agieren. Verantwortungsbewusste Unternehmer sollten ihre Marketing-, Vertriebs-, Service- und Kommunikationsabteilungen jetzt dazu befähigen, an der Zukunft ihrer Kommunikation zu arbeiten. Für die Wettbewerbssituation von Unternehmen ist es entscheidend, ihr Verkaufsverhalten dem geänderten Einkaufsverhalten ihrer Zielgruppe anzupassen – und dieser Änderung im Idealfall zuvorzukommen. Branchenverbände sowie Messe- und Kongressveranstalter bieten häufig Vorträge und Workshops zu den diversen Trendthemen an. Auch Inhouse-Workshops und externe Berater sind sinnvoll.

Einen Schritt voraus sein

Wenn Unternehmen in ihrer Kommunikation mit Automatisierung und KI experimentieren, trainieren sie ihre Zukunftsfähigkeit. Für die Recherche nach passenden Tools empfiehlt es sich, einen Mitarbeiter aus der Kommunikationsabteilung zu beauftragen, der technologieaffin ist und gut Englisch spricht. Viele deutsche Anbieter von KI-Technologien versuchen, ihre internationale Bedeutung nach außen zu tragen, indem Sie ihre Informationen nur auf Englisch anbieten. Viele Technologieanbieter offerieren kostenfreie Probe-Accounts und unterstützen Anwender beim Experimentieren. Der Wandel der Unternehmenskommunikation ist allgegenwärtig. Um im Wettbewerb der Zukunft zu bestehen, ist es unerlässlich, sich jetzt mit den Möglichkeiten von Künstlicher Intelligenz auseinanderzusetzen, schon damit die Bemühungen einer Einkaufs-KI nicht ins Leere laufen.

PRAXISTIPPS

  • Kostenfreie Probe-Accounts nutzen, um mit KI in der Kommunikation zu experimentieren.
  • Fachlich versierte Mitarbeiter ins Boot holen, die technikaffin sind und Englisch sprechen.
  • Vorträge und Workshops zu KI-Themen besuchen.

 

Beitragsnummer: 83556

 

IT-Security ganzheitlich gedacht

Cornelia Luther, PR-Managerin/Kommunikation, Heidelberg iT Management GmbH & Co. KG

Die umfassende Absicherung der IT-Systeme bleibt im Hinblick auf die digitale Transformation und die immer raffinierteren Cyber-Attacken weiterhin eine große Herausforderung für IT-Abteilungen. Standard-Security-Lösungen sind zwar in nahezu allen Unternehmen vorhanden, ganzheitliche IT-Security auf Basis eines zentralen Konzeptes für Informationssicherheit wird dagegen noch zu selten umgesetzt.

Die IDC-Studie „IT-Security-Trends in Deutschland 2018“ zeigte eine angespannte IT-Sicherheitslage in deutschen Unternehmen: 67 % der befragten Unternehmen gaben an, in den letzten 24 Monaten mit Sicherheitsvorfällen konfrontiert worden zu sein. Primär betroffen waren PCs und Notebooks mit 34 %, Netzwerkhardware mit 31 % sowie Smartphones und Tablets mit insgesamt 30 %. Befragt wurden 230 IT-Entscheider aus Organisationen mit mehr als 20 Mitarbeitern.

Die größten Sicherheitsrisiken entstehen somit durch Fehlverhalten und schwach ausgeprägtes IT-Sicherheitsbewusstsein seitens der Endanwender, mangelhaft gesicherte Endgeräte, gezielte Angriffe durch Malware, Phishing und anderer Social-Engineering-Techniken sowie die weitreichende Vernetzung von Geräten und Anwendungen.

SEMINARTIPPS

IT-Sicherheit Kompakt, 24.09.2019, Frankfurt/M.

Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.

Proaktiv handeln

Angesichts dieser IT-Risikolage sind Unternehmen gut beraten, IT-Sicherheit proaktiv, strategisch und ganzheitlich anzugehen. Für die Erarbeitung und Umsetzung eines zentralen Konzeptes für Informationssicherheit, das alle Komponenten, Lösungen und Prozesse umfasst, empfiehlt sich die Zusammenarbeit mit qualifizierten Sicherheitsexperten eines externen IT-Dienstleisters.

Die folgenden Empfehlungen geben Impulse, wie eine höhere IT-Sicherheit in Unternehmen erzielt werden kann und so die Aufrechterhaltung des Geschäftsbetriebes gestärkt wird:

Transparenz schaffen

In einem ersten Schritt sollte die Schutz-, Abwehr- und Wiederherstellungsfähigkeit des Unternehmens auf den Prüfstand gestellt werden. Dafür ist eine umfassende Bestandsaufnahme aller eingesetzten Security-Lösungen notwendig. Einzubeziehen sind alle Geschäftsbereiche, auch Fachbereiche, deren IT-Ressourcen außerhalb der zentralen IT verwaltet werden. Ebenso alle Endgeräte, einschließlich Drucker und Multifunktionsgeräte, denn es gilt: Jede IP-Adresse ist ein potenzielles Angriffsziel.

Strategisch planen

IT-Security-Lösungen und -Services kommen nur innerhalb eines umfassenden IT-Sicherheitskonzeptes vollständig zum Tragen. Bei der Gestaltung eines zentralen Konzeptes hat sich die Orientierung an den Empfehlungen relevanter IT-Security-Best-Practice und IT-Sicherheits-Frameworks, z. B. BSI oder den NIST-Kategorien Identifizieren-Absichern-Aufdecken-Reagieren-Wiederherstellen, bewährt. Auch zahlt es ich aus, strategisch in IT-Security-Lösungen wie Back-up- und Recovery-Lösungen zu investieren, um die Auswirkungen eventueller Cyber-Attacken im Vorfeld zu entschärfen.

Integrieren und automatisieren

Zeitgemäße Security-Konzepte sollten nicht komplex, sondern klar und übersichtlich sein. Dies gelingt durch die Integration von etablierten Basisschutz- und Standard-Security-Lösungen wie Anti-Malware, Spamabwehr, Firewalls etc. und neuen Lösungen. Für eine End-to-End-Security-Architektur ist auch die Integration von Security-Lösungen eines oder unterschiedlicher Anbieter sowie das Zusammenspiel zwischen verschiedenen Lösungskomponenten erforderlich.

Die umfassende Automatisierung von Security-Prozessen ist ein weiteres Kernelement wirkungsvoller IT-Sicherheitskonzepte. Automatisierungstools für Grundelemente der IT-Sicherheit schützen vor Risiken wie Fehlkonfigurationen einer Lösung, die manuelle Tätigkeiten, etwa das Patchen von Systemen, das Aufsetzen von Servern oder das Konfigurieren von Firewalls mit sich bringen können.

Unified-Endpoint-Management (UEM)

Die Kenntnis aller Ressourcen und deren Abhängigkeiten sind maßgeblich für eine ganzheitliche und sichere Verwaltung der IT-Umgebung. Eine moderne UEM-Lösung unterstützt die IT-Administration dabei, ein Höchstmaß an IT-Sicherheit einzuführen und aufrechtzuerhalten. Beispiel Patchmanagement: Die schnelle, flächendeckende und automatisierte Update-Verteilung im Unternehmensnetz hat höchste Priorität. Schließlich reicht die Sicherheitslücke auf einem einzelnen Rechner in der IT-Umgebung aus, um die Sicherheit des Netzwerks und wertvolle Unternehmensdaten zu gefährden. Im Idealfall beinhaltet eine moderne UEM-Lösung, wie z. B. die baramundi Management Suite (bMS), ein automatisiertes Patchmanagement, das neben Microsoft-Patches auch Programm-Updates für populäre Anwendungen wie Adobe Reader, Java oder Mozilla Firefox verteilen kann.

Security-Kultur entwickeln

Allein mit Technik ist ein IT-Sicherheitskonzept nicht wirkungsvoll durchzusetzen. Die IT-Endanwender sind nach wie vor das größte Sicherheitsrisiko für Unternehmen. Sensibilisierungsmaßnahmen und regelmäßige IT-Sicherheitsschulungen für alle betrieblichen Akteure sind daher dringend erforderlich. Unternehmensführung und Fachverantwortliche sind hierbei gleichermaßen gefordert, damit am Ende alle Mitarbeiter die Anforderungen der Informationssicherheit und der IT-Sicherheit aus eigener Erkenntnis bei der Durchführung ihrer täglichen Arbeitsaufgaben beachten.

PRAXISTIPPS

  • Informationssicherheit, IT-Sicherheit und Datenschutz strategisch in einem Gesamtkonzept umsetzen.
  • Alle technologischen Ansätze evaluieren, denn IT-Security reicht über Antiviruslösungen und Firewalls hinaus.
  • Prozesse und Lösungen automatisieren und integrieren. Damit verringert sich die Komplexität der IT und das Risiko manueller Fehler.
  • Regelmäßige Awareness-Maßnahmen im Unternehmen durchführen – über alle Standorte und Hierarchieebenen hinweg bezüglich der Bedeutsamkeit von technischen Sicherheitsmaßnahmen und organisatorischen Vorgaben der Organisation.

 

Beitragsnummer: 83550

 

Quo vadis, Digitalisierung?

 

Markus Braun,
Geschäftsführer ESG GmbH;
IT-Leitung Speedpoint GmbH

Alle sprechen darüber, aber keiner weiß genau was das eigentlich ist: „Digitalisierung“. Es gab vor einigen Jahren einen Fernsehwerbespot, in dem nach dem Sinn gefragt wurde, warum die Firma der Protagonisten denn in dieses „Internet“ und einen Auftritt (Homepage) darin investieren sollte. Die Antwort erstaunt: „Weil es alle machen“. Vergleichbare Phänomene sehe ich seit einigen Jahren bei dem Themenkomplex „Digitalisierung“. Die Evangelisten der Branche sind sich sicher, dass kein Unternehmen, das nicht morgen komplett digitalisiert arbeitet, übermorgen noch existiert. Die Ewiggestrigen verharren im Modus der totalen Verweigerung. Wie findet das Gros der Unternehmen den Weg in die zweifelsohne wichtige und richtige Digitalisierung?

Zurück zum Themenkomplex: Auch wenn ich damit polarisiere, DIE Digitalisierung gibt es nicht. Einige Vordenker und Unternehmen, die sich – basierend meistens auf einer vorhandenen grundsätzlich digitalen Ausrichtung des Portfolios oder des Geschäftskonzeptes – an die Spitze der Digitalisierungsbewegung setzen konnten, werden nicht müde über die vielen Vorteile und das Potential der „Digitalisierung“ zu sprechen. Für diese Unternehmen war der zu gehende Schritt oft klein, die Risiken überschaubar und der erwartete Return sehr hoch. Das jedoch auf alle Unternehmen zu übertragen, wird der Realität nicht gerecht.

 

Von falschen und richtigen Gründen

 Bevor jetzt ein falscher Eindruck entsteht: Ich bin ein großer Fan dieser ominösen „Digitalisierung“. Solange es sich um durchdachte Weiterentwicklung von Prozessen, Geschäftsbereichen, Abteilungen oder der Generierung neuer Produkte oder Absatzstrategien bis hin zum Umbau beziehungsweise der Transformation ganzer Unternehmen dreht. Nicht aber, wenn es lediglich um die Teilnahme am aktuellsten Hype Train geht. Die Umbauarbeiten erfordern ein tiefgreifendes Verständnis der bestehenden Strukturen und den absoluten Willen aller Beteiligten, diesen Kraftakt zum Ziel zu führen und sich auf wirkliche Änderungen einzulassen. Apropos Ziel: Eine möglichst klare Zieldefinition – bei allen sonstigen Projekten der erste unumgängliche Schritt – wird bei der „Digitalisierung“ gern etwas schwammig gehalten. Es wird viel Geld in die Hand genommen, um irgendwie „dabei“ zu sein oder bei der nächsten Branchenumfrage mit Fug und Recht behaupten zu können: „Digitalisierung? Sind wir ganz vorn im Boot“.

Das breite Spektrum an Möglichkeiten, die in dem Themenkomplex „Digitalisierung“ stecken, sollte als das wahrgenommen werden, was es ist: Eine Chance, althergebrachtes zu überdenken, Krusten aufzubrechen und Firmen weiter zu entwickeln. Es gibt (noch) keine Faustformel für die erfolgreiche Digitalisierung von Unternehmen. Aber es gibt mutige Unternehmer, die die Chancen erkennen und als Kapitäne ihr Schiff in Richtung Digitalisierung steuern. Ich bin mir sicher, dass der Mittelstand – nach anfänglichem Zögern – seine Vorreiterrolle auch in puncto „Digitalisierung“ einnehmen wird.

 

Alles wird gut?

Die Arbeitswelt wird digitaler. Soweit der Konsens. Wie sich diese Digitalisierung aber bei den unterschiedlichen Teilnehmern in Wirtschaft, öffentlicher Hand, gesamtgesellschaftlich und im Zusammenspiel der Akteure auswirken wird, lässt sich derzeit nur erahnen.

Wichtig ist eine koordinierende Stelle im Unternehmen, an der alle Informationen zusammenlaufen und die den Überblick behält. Gerade die IT-Verantwortlichen sehen sich einem enormen Digitalisierungsdruck gegenüber, der z. B. durch einen steuernden CDO (Chief Digital Officer) deutlich gemildert werden kann.

Planvolles und zielgerichtetes Handeln ist somit der Schlüssel zum Erfolg. Ist das eine neue Erkenntnis? Nein. Aber: Überstürzter Aktionismus, wie er derzeit des Öfteren durch das Beschwören wahrer Horrorszenarien geschürt wird, ist bei dem dringend notwendigen Einstieg in die Themenwelt der Digitalisierung fehl am Platz.

Praxistipps
  • Oberste Prämisse: Digitalisierung betrifft das Unternehmen als Ganzes.
  • Zielgerichtetes, planvolles Vorgehen ist der Schlüssel zum Erfolg.
  • Identifizieren der individuellen digitalen Chancen.
  • Ein Muss: Entwicklung der eigenen „digitalen Strategie“.
  • Weiterbildung/Ausbildung der Mitarbeiter ist zwingend erforderlich.
  • Externe Berater sind – besonders in der Planungsphase – hilfreich.
  • Neue Position (CDO): unterstützt bei Bestandsaufnahme, Umsetzung und der ständigen Weiterentwicklung.

 

Beitragsnummer: 1123

Wie Entwicklungsfinanzierer Perspektiven für den Mittelstand schaffen

Christoph Hoeren, Senior Risk Manager, Credit Review Corporates/Funds, Kreditanalyse und -entscheidung bei Unternehmensfinanzierungen, DEG – Deutsche Investitions- und Entwick-lungsgesellschaft mbH, Köln

Definitionen für Entwicklungsfinanzierer

 Bevor auf die Besonderheiten eines Entwicklungsfinanzierers eingegangen wird, erfolgt zunächst eine Erklärung, was unter „Entwicklungsfinanzierer“ zu verstehen ist. Eine einheitliche Definition gibt es nicht; allerdings definiert die UN (2006) „Entwicklungsfinanzierer“ als Finanzierungsinstitut, das zur Stärkung der ökonomischen Entwicklung gegründet wurde und hierbei Ziele der sozialen Entwicklung und regionalen Integration in den Vordergrund stellt. Dies erfolgt dann durch langfristige Finanzierungen bzw. Beteiligung an Projektfinanzierungen mit positiven Beiträgen zu den vorgenannten Zielen. Die Weltbank (2012) schlägt zur Abgrenzung vor, dass ein Entwicklungsfinanzierer mindestens zu 30 % in Staatsbesitz ist und zudem ein explizites Mandat zur Erreichung sozial-ökonomischer Ziele in einer Region, Branche oder einem speziellen Marktsegment hat.

In der Literatur finden sich ebenfalls diverse Erklärungen, die alle auf die besonderen Ziele und die Wirksamkeit des Geschäftes unter Nachhaltigkeits- bzw. Entwicklungsgesichtspunkten sowie die Abgrenzung zum kommerziellen Bankgeschäft abstellen. Ferner wird die Funktion als Spezialinstitut für die Finanzierung von langfristigen Investitionsvorhaben mit entwicklungspolitischer Bedeutung (z. B. industrielle Großprojekte, Infrastrukturmaßnahmen) bzw. nationalen wirtschaftspolitischen Maßnahmen in Entwicklungsländern definiert. Für Entwicklungsländer sind Entwicklungsfinanzierer von besonderer Bedeutung, da ihre Kapitalmärkte weniger leistungsfähig sind und die Kapitalbildung wegen geringer lokaler Ersparnismobilisierung häufig unzureichend ist (Ersparnislücke). Neben Finanzierungsleistungen erbringen Entwicklungsfinanzierer auch Beratungsdienstleistungen bei der Begleitung von Investitionsvorhaben[1].

 

Struktur der Entwicklungsfinanzierer im globalen Kontext

Die Entwicklungsbanken bzw. -finanzierer lassen sich in international und national tätige Institute kategorisieren. Bei den multilateralen Entwicklungsfinanzierern sind die Weltbank-Gruppe und deren miteinander verbundene Organisationen hervorzuheben: International Bank for Reconstruction and Development (IBRD), International Finance Corporation (IFC), International Development Association (IDA), International Centre for Settlement of Investment Disputes (ICSID) und Multilateral Investment Guarantee Agency (MIGA). In den Industrieländern wie z. B. in Deutschland gibt es Förderbanken, wie die KfW Bankengruppe, die auch für die finanzielle Zusammenarbeit mit den Entwicklungsländern zuständig ist. Ein Tochterunternehmen der KfW ist die DEG – Deutsche Investitions- und Entwicklungsgesellschaft mbH mit Sitz in Köln, einer der größten Entwicklungsfinanzierer für den Privatsektor.

In Europa haben sich 15 bilaterale Entwicklungsfinanzierer zum Verbund der „European Development Finance Institutions“ (EDFI) zusammengeschlossen, der sich insbesondere dafür engagiert, die Zusammenarbeit in Europa zu vertiefen und dazu auch Standardisierung und Harmonisierung weiter auszubauen.

 

Abbildung 1: Im Verbund aktiv: European Development Finance Instutions (EDFI)
*) Stand: 31.12.2016

 

Alle EDFI-Mitglieder zusammen repräsentieren ein Investmentportfolio von rd. € 41 Mrd. (Ende 2018), das sich gegenüber 2005 mehr als verdreifacht hat.

Aber auch national wurden in vielen Entwicklungsländern eigene Entwicklungsinstitute etabliert, deren Tätigkeit sich auf die gesamte Wirtschaft des Landes oder bestimmte Branchen erstreckt (z. B. zur Förderung des Exports, des Mittelstands oder der Landwirtschaft).

Die Entwicklungsfinanzierer sind abzugrenzen von den „Förderinstituten“ auf europäischer Ebene (z. B. Europäische Investitionsbank) oder nationaler Ebene wie in Deutschland mit Förderinstituten auf jeweiliger Bundeslandebene (z. B. NRW.BANK für Nordrhein-Westfalen). Letzt genannte haben satzungsgemäß den staatlichen Förderauftrag, das jeweilige Bundesland und seine kommunalen Körperschaften bei der Erfüllung ihrer öffentlichen Aufgaben zu unterstützen. Dieser regionale Bezug und Förderauftrag unterscheidet sie von den Entwicklungsfinanzierer mit Fokus auf internationale Entwicklungsvorhaben; gleichwohl ergeben sich auch zwischen Förderinstituten und Entwicklungsfinanzierern interessante Kooperationsmöglichkeiten, bei der die jeweiligen Kompetenzen gegenseitig genutzt werden können.

 

Geschäftsmodell eines Entwicklungsfinanzierers am Beispiel der DEG – Deutsche Investitions- und Entwicklungsgesellschaft mbH

Die DEG – Deutsche Investitions- und Entwicklungsgesellschaft mbH fördert im Rahmen der unternehmerischen Entwicklungszusammenarbeit die Privatwirtschaft in Entwicklungs- und Schwellenländern und stellt eine Säule der internationalen Finanzierung der KfW Bankengruppe dar. Gemeinsam mit dem Geschäftsbereich KfW Entwicklungsbank und der KfW IPEX-Bank GmbH gestaltet sie das KfW-Angebot für internationale Finanzierungen. Hierbei arbeitet die DEG als Förderinstitut mit entwicklungspolitischem Auftrag subsidiär, d. h. sie engagiert sich dort, wo langfristige Investitionsfinanzierungen für Unternehmen nicht oder nicht ausreichend verfügbar sind.

Um diesen Förderauftrag wirksam umsetzen zu können, sind fundierte Kenntnisse der wirtschaftlichen und politischen Bedingungen in den Partnerländern, Kundennähe und Vor-Ort-Präsenz erforderlich. Dazu ist die DEG in Afrika, Asien, Lateinamerika und Osteuropa an 21 Standorten aktiv. Sie nutzt darüber hinaus auch die rd. 80 Auslandsbüros der KfW Bankengruppe mit.

Um die Lebensbedingungen der Menschen in den Entwicklungsländern zu verbessern und Perspektiven zu schaffen, sind qualifizierte Arbeit und Einkommen wesentliche Voraussetzungen. Daher finanziert die DEG betriebswirtschaftlich und entwicklungspolitisch nachhaltige, sozial- und umweltverträgliche Investitionsvorhaben privater Unternehmen mit Darlehen, Garantien, mit beteiligungsähnlichen Darlehen und Beteiligungen. Mit ihrem Angebot richtet sie sich insbesondere an den Mittelstand sowie an kleine und mittlere Unternehmen.

 

Abbildung 2: Die Lösungen der DEG für Investitionen in Entwicklungs- und Schwellenländern

 

Ziel der DEG ist es, durch verlässliche, langfristige Finanzierung und Beratung zum dauerhaften Erfolg ihrer Kunden beizutragen. Denn nur dauerhaft erfolgreiche Unternehmen generieren nachhaltige entwicklungspolitische Wirkungen.

Bei allen ihren Investitionen achtet die DEG darauf, dass die von ihr finanzierten Unternehmen internationale Umwelt- und Sozialstandards wie die IFC Performance-Standards und die Kernarbeitsnormen der Internationalen Arbeitsorganisation (ILO) einhalten.

Mit der Vereinbarung von Umwelt- und Sozial-Aktionsplänen werden die Bedingungen in den mitfinanzierten Unternehmen weiter verbessert. Über die gesamte Laufzeit ihres Engagements begleitet die DEG die Unternehmen eng und hält die Umsetzung der Aktionspläne nach. Für auftretende Fragen werden gemeinsam mit den Unternehmen Lösungen erarbeitet.

Das aktuelle Portfolio der DEG beläuft sich auf rd. 8,4 Mrd. €. Rund 40 % davon sind Risikokapitalfinanzierungen.

 

Abildung.3: DEG: Portfolio und Standorte

 

Die Kunden der DEG kommen aus verschiedenen Branchen: der Agrarwirtschaft, der verarbeitenden Industrie, dem Infrastruktur-, Dienstleistungs- und dem Finanzsektor. Sie stammen aus Entwicklungs- und Schwellenländern, aus Deutschland und aus anderen Industrieländern.

Neben lokalen Unternehmen aus den Partnerländern finanziert und berät die DEG auch deutsche Unternehmen bei ihren Investitionen in Entwicklungsländern. Denn deutsche Unternehmen leisten dort mit ihrem Engagement wichtige Beiträge zur Entwicklung. Zudem sichern sie in diesen Ländern ihre Marktanteile oder erschließen neue Märkte in Wachstumsregionen.

Um die spezifischen Bedürfnisse ihrer Kunden zu bedienen, bietet die DEG im Rahmen ihrer „Business Support Services“ (BSS) zusätzliche Begleitmaßnahmen an. Damit können Unternehmen, zumeist unter Einbindung externer Expertise, darin unterstützt werden, ihre Performance und die Entwicklungswirkungen ihrer Vorhaben weiter zu steigern. Mit Förderprogrammen kofinanziert die DEG außerdem Maßnahmen privater Unternehmen wie etwa Machbarkeitsstudien oder Pilotvorhaben. Dabei ergänzt die DEG mit eigenen oder öffentlichen Mitteln das finanzielle Engagement der Unternehmen.

Eine DEG-Initiative sind die „German Desks – Financial Support and Solutions“. Gemeinsam mit lokalen Partnerbanken und Außenhandelskammern unterstützen die „German Desks“ Unternehmen bei ihrem Markteintritt in Entwicklungs- und Schwellenländern mit passenden Finanzierungslösungen. Das Leistungsspektrum reicht von der Kontoeinrichtung über Dienstleistungen für Handelsfinanzierungen und Transaction Banking bis zu Kreditlinien oder Investitionsfinanzierungen für lokale Handelspartner, die etwa deutsche Anlagen erwerben wollen. German Desks gibt es bisher in Lagos/Nigeria, Nairobi/Kenia, Accra/Ghana, Jakarta/Indonesien, Lima/Peru sowie in Dhaka/Bangladesch.

Mit AfricaConnect bietet die DEG deutschen Unternehmen ein neues Finanzierungsangebot. Investitionen in reformorientieren afrikanischen Ländern werden durch dieses neue Programm gezielt gefördert und erleichtert. Die Darlehenssumme kann zwischen 750.000 € und vier Mio. € betragen bei Laufzeiten von drei bis sieben Jahren. Eine besondere Form der Risikoteilung sowie die Erfahrung und das Netzwerk der DEG erleichtern Unternehmern damit künftig die Entscheidung für den afrikanischen Kontinent.

 

[1] Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Entwicklungsbanken, online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/3658/entwicklungsbanken-v11.html

 

Praxistipps
  • Entwicklungsfinanzierer sind komplementär zu Geschäftsbanken. Es ergeben sich vielfältige Kooperationsmöglichkeiten, bei denen das Know-how, das Netzwerk und die Erfahrung der Entwicklungsfinanzierer bei Engagements in Entwicklungs- und Schwellenländern genutzt werden können.
  • Bei Investitionen deutscher Unternehmen in Entwicklungs- und Schwellenländern, deren Finanzierung für Geschäftsbanken ggf. nur eingeschränkt in Frage kommt, kann den Kundenbedürfnissen durch eine frühzeitige Einbindung von Entwicklungsfinanzierern begegnet werden.
  • Mit dem Angebot „German Desks – Financial Support and Solutions“ sowie dem neuen Programm „AfricaConnect“ bietet die DEG Lösungen, die gezielt am Bedarf mittelständischer (deutscher) Unternehmen ansetzen.

 

zurück zur News-Übersicht

 

Beitragsnummer: 1111

Basiswissen Compliance für die Geschäftsleitung

Teil 1 klassische Compliance.

Sandra Leicht, Vorstand, FCH Gruppe AG

 

Von Compliance über Geldwäsche bis hin zu Datenschutz, Betrugsprävention und Forensic Fraud – Wie viel Fachwissen braucht die Geschäftsleitung?

Zunächst vorab zur Bedeutung von Compliance. Es ist nach wie vor unglücklich, dass es zum Begriff „Compliance“ keine exakte deutsche Übersetzung gibt, bzw. keinen entsprechenden Begriff, den wir im deutschsprachigen Raum nutzen. Deshalb tun wir uns im Mittelstand ohne Auslandsbezug damit häufig schon per se etwas schwerer. Dem am nächsten kommt „Regelkonformität“. Das heißt, Compliance bedeutet eigentlich nichts anderes als einhalten von Gesetzen und Vorgaben, egal ob durch externe oder interne Verpflichtungen – und ist damit ein zentraler Punkt für alle Unternehmen.

 

Regelkonformität im weiteren Sinn

Da wir von Regelkonformität sprechen, können wir die einzelnen Bereiche, mit denen wir die Einhaltung von Regeln intern absichern, zum großen Teil unter dem Überbegriff Compliance zusammenfassen.

Deshalb möchte ich Ihnen alle Bereiche rund um Compliance kompakt darstellen. Wir starten im ersten Teil mit dem „klassischen“ Compliance-Bereich.

 

Rechtliche Vorgaben

Natürlich gibt es Branchen, die auch bezüglich Compliance stark geregelt sind. Das sind u. a. Banken und Finanzdienstleister. Für die „breite Industrie” gilt aber nach wie vor, dass keine konkreten Vorgaben oder Verpflichtungen bestehen, ein Compliance-System einzuführen.

Ableiten könnte man die Notwendigkeit aus verschiedenen Vorgaben, u. a.:

  • Deutscher Corporate Governance Kodex (DCGK – kein Gesetz, Bündelung von Prinzipien)
  • Analog § 161 AktG, mittelbar durch Ziff. 4.1.3 und 5.3.2 des DCGK („comply or explain“)
  • Grundsätze eines ordentlichen Kaufmanns
  • 14 StGB Organhaftung von Mitgliedern der Geschäftsleitung
  • 30 OWiG ermöglicht Geldbußen gegen Unternehmen
  • 130 OWiG ermöglicht Verhängung von Geldbußen gegen Inhaber, die Aufsichtsmaßnahmen unterlassen.

Wir sprechen aber von einer hohen Selbstverpflichtung – somit liegt der erste Schritt im Erkennen des konkreten Nutzens. Ganz grundlegend sollte man sich deshalb vor Augen führen, wer im Unternehmen für welche Verstöße haftet. Aber Compliance soll keine Ängste schüren, sondern Nutzen bringen.

 

Lassen Sie uns zwischen Risiken und Chancen unterscheiden

Verhindern von:

  • Negativpresse und Reputationsverlusten
  • Sanktionen und Strafzahlungen
  • rechtlichen Verstößen

Nutzen von:

  • positiver Außenwirkung
  • Vorteilen bei Vertragsverhandlungen

 

Compliance

Compliance selbst deckt dabei die Vermeidung vieler strafrechtlicher Themen ab. Beispiele: Korruption, Wettbewerbsverstöße, Untreue, Bestechung und Bestechlichkeit.

Compliance ist also ein Instrument, um präventiv Verstöße zu vermeiden. Das kann sich auch auf die Bereiche Arbeitsrecht, Arbeitssicherheit, Gesundheitsschutz, Beachtung von Tarifverträgen, Diskriminierungsverbot und Gleichbehandlung erstrecken. Grundsätzlich können wir Compliance vor allem dann zur Einhaltung von Regulatorik einbinden, wenn der Bereich intern noch nicht durch andere Abteilungen gesichert ist. Denn natürlich haben wir im Unternehmen schon den einen oder anderen Kontrollmechanismus implementiert.

Weitere Themengebiete könnten daher sein: Vertragsrecht, die Regeln zum Abschluss von Verträgen, zur Entgegennahme und Vergabe von Aufträgen, Sozialversicherungsrecht, die Beachtung der Meldepflichten für Renten-, Arbeitslosen- und Krankenversicherung oder öffentliches Recht, im Bereich von Ausschreibungen und Genehmigungsverfahren.

Das heißt für den Start von Compliance in Ihrem Unternehmen folgendes:

Zunächst einmal müssen Sie wissen oder erkennen, wo Ihre internen Risiken liegen könnten. Dabei können Sie als Geschäftsführung mit Ihrem Überblick über die Unternehmensstruktur durchaus mit gefragt sein.

 

Eine Analyse der Risiken als Grundlage der Risikovermeidung

 Folgende oder ähnliche Fragen können Ihnen einen ersten Überblick liefern:

  • In welcher Branche bewegen wir uns?
  • Wie stark ist unsere Branche reguliert?
  • Welche rechtlichen Vorgaben gelten für uns?
  • Gibt es rechtliche Besonderheiten?
  • Arbeiten wir grenzüberschreitend?
  • Auf was müssen wir bei der Qualifikation unserer Mitarbeiter achten?
  • Wer sind unsere Kunden?
  • Wer sind unsere Lieferanten?

 

Welche Bereiche im Unternehmen sind besonders „anfällig“ für Verstöße?

 Haben Sie beispielsweise Vertrieb und Einkauf? Hier liegen aufgrund der Kundennähe häufig höhere Risiken im Bereich Bestechlichkeit und Vorteilsannahme, aber auch der umgangssprachlichen „Vetternwirtschaft“.

 

Was passiert bei Verstößen gegen rechtliche Vorgaben?

Versuchen Sie auch, Ihre konkreten Risiken zu beziffern. Was passiert, wenn ein Verstoß eintritt, wie sind Sie betroffen, auch in der Außenwirkung? Ein großes Compliance-Thema ist Ihre Reputation.

  • Sanktionen
  • Bußgelder
  • Kunden
  • Markt

 

Wie gehen wir mit den Risiken um?

  • Vermeiden
  • versichern
  • in Kauf nehmen

sind mögliche Strategien, mit denen Sie Ihr Risikoverhalten steuern können. Am Ende entscheiden Sie, welche Risiken Sie bereit sind in Kauf zu nehmen.

Wenn Sie Risiken identifiziert haben und diese vermeiden möchten, ist zunächst zu klären, ob im Haus bereits Kontrollmechanismen bestehen. Waren die bisherigen Kontrollen wirksam? Gab es Verstöße und wurden diese erkannt?

In welchen Bereichen sollte sich auf Basis dieser Vorüberlegungen nun sinnvollerweise jemand einschalten, um Ihr Risiko zu minimieren?

Welches fachliche Know-how braucht dieser zukünftige Beauftragte, um hier effektiv bei der Prävention mitwirken zu können? Wer kommt in Frage? Können Sie den Bereich intern mit einem Mitarbeiter mit abdecken? Möchten Sie einstellen? Falls Sie einen Mitarbeiter einstellen möchten, ist dieser mit einer MaK auch wirklich ausgelastet oder braucht er die Qualifikation, eine weitere interne Tätigkeit mit übernehmen zu können, um ausgelastet zu sein? Benötigen Sie ggf. externe Unterstützung? Wer kommt dafür in Frage?

Das sind einige der Fragen, über die Sie sich Gedanken machen sollten, wenn Sie sich dazu entschließen, Compliance dann tatsächlich einzuführen.

 

Implementieren von Richtlinien

Wenn Sie sich dazu entschlossen haben, sich selbt zu verpflichten, müssen Sie und Ihr neuer Beauftragter außerdem Ihren Mitarbeitern einen Rahmen vorgeben, an den diese sich zu halten haben. Mögliche sinnvolle interne Dokumente können sein:

  • Verhaltensgrundsätze/Compliance-Richtlinie
  • Geschenkerichtlinie
  • Whistleblowing-Möglichkeiten

Die Vorgaben müssen den Mitarbeitern auch deutlich kommuniziert werden. Denken Sie an ein Schild im Straßenverkehr. Sie halten sich nur dann an dessen Vorgabe, wenn Sie seine Bedeutung auch kennen. Informieren Sie also die Mitarbeiter – und egal wer die Information vornimmt, lassen Sie keinen Zweifel daran, dass Sie als Geschäftsführung hinter den Richtlinien stehen.

 

Compliance lebt und endet nicht durch die Implementierung von Richtlinien

Wir unterscheiden zwischen den Vorgaben für unsere Mitarbeiter und unseren internen Überlegungen und Kontrollen, die der Beauftragte durchführt oder delegiert.

Das sind dann allerdings tiefergehende Überlegungen, mit denen sich der jeweilige Compliance-Beauftragte zu beschäftigen hat.

Für die Geschäftsleitung ist ab diesem Punkt wichtig, vom Compliance-Beauftragten über Auffälligkeiten informiert zu werden. In die weiteren klassischen Tätigkeiten und das Tagesgeschäft muss die Geschäftsleitung nicht mehr eingebunden werden.

Praxistipps
  • Implementieren Sie Compliance Schritt für Schritt, individuell und vor allem angemessen für Ihr Unternehmen.
  • Wenn Sie die Themen intern nicht abdecken können, nutzen Sie externe Unterstützung – aber achten Sie auch hier auf eine individuelle und angemessene Lösung.

 

Beitragsnummer: 1104

Ist der Einsatz von Hitlisten im Vertrieb zulässig?

Wenn Mitarbeitermotivation heikel wird…

Heidi Bois, Leiterin Vertrieb FCH Gruppe und Redaktionsmitglied DigiPraktiker und Dr. Barbara Sommer, Rechtsanwältin & Partnerin bei Weitnauer Rechtsanwälte, Standort Mannheim

Im Vertrieb werden oft sog. „Rennlisten“ zur Mitarbeitermotivation ausgehängt. So kann jeder sehen, wo er aktuell steht und wie erfolgreich er im Vergleich zur Vergangenheit ist. Der Anreiz dieser Bestenlisten soll für die Mitarbeiter per se darin bestehen, künftig noch besser zu werden und in der Rangliste weiter nach oben zu klettern. Datenschutzrechtlich ist diese Methode jedoch eher zweifelhaft.

Leistungsvergleichende Listen, die beispielsweise erbrachte Umsätze namentlich auflisten, erfreuen sich in Vertriebsabteilungen großer Beliebtheit.

Grundsätzlich ist datenschutzrechtlich nichts dagegen einzuwenden, dass der Arbeitgeber die Vertriebsaktivitäten seiner Mitarbeiter zum Zwecke der Vertriebssteuerung erfasst und auswertet. Er hat ein berechtigtes Informationsinteresse, um die Vertriebsaktivitäten seiner Mitarbeiter effizient gestalten zu können. Die Nutzung der Daten zur Erstellung und Veröffentlichung von Rennlisten wirft jedoch erhebliche datenschutzrechtliche Bedenken auf.

Starke Vertriebler werden eher weniger Einwendungen gegen die Veröffentlichung ihrer Leistungsergebnisse haben. Schwächere müssen dagegen befürchten, dass dies ihrer beruflichen Position und ihrem innerbetrieblichen Ansehen schadet. Jedoch hat jeder das Recht, zu verlangen, dass seine Daten nicht publiziert werden.

Rechtsanwältin Dr. Barbara Sommer berät nationale und internationale Mandanten in den Bereichen IT-Recht, Datenschutzrecht und Recht des Geistigen Eigentums mit Schwerpunkt in der IT-Branche, im E-Commerce und der Industrie 4.0. Sie sagt dazu:

„Auch vor Inkrafttreten der DS-GVO wurde vertreten, dass die Veröffentlichung sog. Rennlisten unter Nennung des Namens der Mitarbeiter nur mit deren ausdrücklicher Einwilligung zulässig ist. Eine Erforderlichkeit für die Durchführung des Arbeitsverhältnisses als Rechtsgrundlage für die Veröffentlichung dürfte auch heute eher nicht in Betracht kommen. Eine Einwilligung muss nach § 26 Abs. 2 S. 3 BDSG-neu regelmäßig schriftlich erfolgen. Zu beachten ist aber, dass die Einwilligung wirklich freiwillig erteilt worden sein muss, was in Beschäftigungsverhältnissen regelmäßig angezweifelt wird. Für die Beurteilung der Freiwilligkeit der Einwilligung sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen, § 26 Abs. 2 S. 1 BDSG-neu. Sofern das Verfahren, auf dessen Grundlage die Rennlisten erstellt werden, eine automatisierte Entscheidung nach sich ziehen soll, sind außerdem die Anforderungen des Art. 22 DS-GVO schon für das Verfahren selbst zu beachten (unabhängig davon, ob es zu einer Veröffentlichung im Betrieb kommen soll). Sollte im Unternehmen ein Betriebsrat vorhanden sein, so ist auch dieser schon bei der Entscheidung über das Verfahren, auf dessen Grundlage Rennlisten erstellt werden, hinzu zu ziehen, § 87 Abs. 1 Nr. 6 BetrVG.

Das heißt, auf einer ersten Ebene ist zu prüfen, ob und unter welchen Bedingungen man überhaupt Verfahren zur Leistungsüberwachung einführen darf, und auf der zweiten Ebene stellt sich die Frage, wie mit den Daten, die sich aus diesen Verfahren ergeben, umgegangen werden darf. Die Prüfung der Zulässigkeit ist also auch dann durchzuführen, wenn man die gewonnenen Daten später anonymisiert im Betrieb veröffentlichen möchte.“

Praxistipps
  • Klären Sie vorab, welche Verfahren Sie für die Einführung von Rennlisten einsetzen dürfen und beziehen Sie – wenn vorhanden – den Betriebsrat mit ein.
  • Entschärfen Sie die „Rennlisten“ z. B., indem Sie die Daten anonymisiert präsentieren. Dies ermöglicht dem Einzelnen, sein eigenes Leistungsniveau und seine Ergebnisse in das gesamte Leistungsgefüge einzuordnen und daraus persönliche Leistungsziele abzuleiten.
  • Personenbezogene Listen sollten Sie nur mit schriftlicher und freiwilliger Einwilligung der Mitarbeiter veröffentlichen. Klären Sie dies unbedingt im Vorfeld mit einem Datenschutzexperten, damit Sie auf der (rechts)sicheren Seite sind.

 

Beitragsnummer: 1096

Tradition trifft auf Digitalisierung

Arbeitswelt 4.0: Herausforderungen, Hemmnisse und Hintergründe

Peter Kleinau,
Geschäftsführender Gesellschafter,
Executive Mediation GmbH, Kommunikationsexperte und Berater für Veränderungsprozess

 

Aktuell befindet sich die Arbeitswelt im Umbruch. Globalisierung, digitaler Wandel und Industrie 4.0 verändern das gesamte Wirtschaftsgefüge – vor allem jedoch die Art und Weise wie Menschen und Organisationen miteinander arbeiten. Bestehende Modelle, Strukturen und Prozesse weichen zunehmend neuen, flexiblen Formaten. Besonders den Mittelstand stellt das vor große Herausforderungen, da es sich meist um gewachsene Unternehmen mit klassischen Rollenbildern von Eigentümern und Managern handelt. Im Rahmen moderner Transformationsprozesse verändern sich jedoch die Organisationsstrukturen, die Gestaltung des Arbeitsplatzes sowie die Interaktion zwischen Führungskräften und Mitarbeitern. Doch Tradition und Digitalisierung schließen sich nicht von vornherein aus. Hier stellt sich keine Entweder-oder-Frage – das Alte oder das Neue –, sondern eher, die nach der Angemessenheit: Welche Veränderungen sind sinnvoll in einer sich ständig verändernden Welt?

 

Neue Arbeit

Intelligente Roboter in der Fabrik, neue Jobprofile, smarte Kommunikations- und Informationstechnologien im Büro, 3D-Druck, soziale Netzwerke, Cloud-Computing und Big Data gehören zu den Markenzeichen der sogenannten vierten industriellen Revolution. Grundlegende und treibende Kraft dieser Entwicklung ist neben dem technologischen Fortschritt die immer stärkere Vernetzung von Dienstleistungen, Produkten und Prozessen über das Internet. Anders als früher sind so nicht mehr nur Systeme innerhalb eines Unternehmens miteinander verknüpft, sondern auch entlang der gesamten Wertschöpfungskette. Maschinen tauschen untereinander Informationen aus, um sich selbstständig zu organisieren oder Abläufe zu koordinieren. Dadurch ändert sich das Verhältnis von Mensch und Maschine grundlegend. In Folge dessen entwickelt sich die klassische Arbeiterschaft immer mehr zu Entscheidungsträgern und Wissensarbeitern, die beispielsweise die Produktion überwachen, programmieren und steuern. In allen Bereichen gibt es einen steigenden Bedarf an Fachkräften. Im Kontext von Arbeit 4.0 steigt die Bedeutung von kontinuierlicher persönlicher Weitentwicklung sowie der Anpassungsfähigkeit an neue Anforderungen und Rahmenbedingungen – und das nicht nur in der IT-Branche. Längst ist der digitale Wandel in allen Branchen angekommen. So auch im produzierenden Gewerbe, im Handel oder im industriellen Sektor. Neue Kommunikations– und Informationstechnologien ermöglichen es Beschäftigten, Arbeitszeiten und -orte flexibel zu gestalten. Der klassische „nine-to-five“-Job könnte zum Auslaufmodell werden. Für viele Menschen wecken diese Vorstellungen allerdings nicht nur positive Assoziationen. Eine immer schnellere Automatisierung schürt besonders bei Menschen mit niedriger oder mittlerer Bildung Ängste vor einer digitalen Übernahme, vor Arbeitslosigkeit und Armut. Sie wissen nicht, wie sie sich auf bevorstehende Umbrüche vorbereiten sollen und viele Betriebe bieten zu wenig Raum für zusätzliche Fort- oder Weiterbildung. Hier sind die Unternehmen und vor allem die Führungsetage gefragt, den Qualifikationsbedarf nicht nur zu erkennen, sondern auch die Möglichkeiten zu schaffen diese nachhaltig in der Organisation zu verankern.

 

Digitalisierung im Mittelstand

In kleinen und mittelständischen Betrieben sind Agilität und Flexibilität längst keine neuen Themen. Im Gegenteil: Besonders innovative Technologien kommen hier häufig schneller zum Einsatz als in großen Konzernen. Allerdings stellen Geschwindigkeit und Umfang des Wandels besonders Mittelständler mit tradierten Strukturen und nachhaltigen Werten vor neue Herausforderungen. Zwar glauben viele Betriebe grundsätzlich an diese neue Dynamik, da sie als Wachstumschance und Wettbewerbsvorteil erkannt wurde. Einige agieren jedoch zu langsam. Bei anderen zeigt sich eine inhaltliche Überforderung wegen der enormen Komplexität und Mehrdeutigkeit des Themas Digitalisierung. Fehlende zeitliche oder finanzielle Ressourcen spielen dabei ebenso eine Rolle wie die Abwesenheit einer funktionierenden digitalen Strategie, bei der Menschen im Mittelpunkt stehen.

 

Von Anfang an auf der richtigen Spur

Fest steht: Digitalisierung funktioniert nicht im Hauruckverfahren. Es handelt sich um einen zeitintensiven Prozess, bei dem Technologien, Mitarbeiter und Organisation hinterfragt, entwickelt und aneinander angepasst werden müssen. Daher gilt es, sich frühzeitig mit Strategien und möglichen Folgen des digitalen Wandels auseinanderzusetzen. Um die Unternehmenskultur aktiv zu gestalten, sollte in erster Linie der Austausch auf allen Ebenen und die Verbesserung von Informationsflüssen gefördert werden. Denn digitale Transformationsprozesse betreffen niemals nur die IT-Abteilung oder ein Digitalisierungsgremium. Hier sind die oberste Führungsetage und das mittlere Management in der Verantwortung. Als treibende Kraft müssen sie sich engagieren, Sicherheit ausstrahlen, konsequent den gegebenen Handlungsrahmen und alte Prozesse neu denken. Ein zentraler Punkt ist, eine Unternehmenskultur zu etablieren, die Freiräume schafft und Querdenken fördert. Ganz gleich, ob Manager oder Mitarbeiter, alle Abteilungen sollten darin ermutigt werden, den Status Quo zu hinterfragen und Neues auszuprobieren. Dazu gehört auch, bestehende Abläufe, Geschäftsmodelle oder Strategien auf den Prüfstand zu stellen. Entsprechend wichtig ist es, dass sich Entscheider und Personal Zeit nehmen und grundsätzliche Fragen klären. Was bedeutet Digitalisierung für uns? Was kommt auf die Abteilung, das Team und jeden Einzelnen zu? Wie laufen die bestehenden Prozesse ab? Erst, wenn hier klare Antworten gefunden sind, kann eine kohärente Strategie für alle Bereiche des Unternehmens entwickelt werden. Außerdem gilt es, Interessen und spezielle Fähigkeiten der Mitarbeiter zu berücksichtigen und damit Motivation und Begeisterung für die digitale Strategie sinnvoll zu fördern. Dafür existiert allerdings längst nicht in jeder Firma ein Bewusstsein. Impulse durch externe Trainer können helfen innerhalb des Unternehmens ein gemeinsames Verständnis für Digitalisierung zu entwickeln und Transformationsprozesse effektiv begleiten. Ob in Workshops, Seminaren oder individuellen Coachings: Diese Experten geben als neutrale Dritte gezielt Anreize, um die Anforderungen des digitalen Wandels zu reflektieren, mögliche Barrieren abzubauen und erkannte Herausforderungen zu meistern. Denn erst, wenn bestehende Hemmnisse im Hinblick auf Strategie, Struktur oder Prozessabläufe bekannt sind, können individuelle auf das Unternehmen und den Markt zugeschnittene Wege hin zur Arbeit 4.0 gefunden werden.

 

Praxistipps
  • Sprechen Sie mit Ihren Mitarbeitern bevor grundlegende Veränderungen angestoßen werden – holen Sie sie ab und beziehen Sie sie mit in den Prozess ein.
  • Beobachten Sie den gestiegenen Fachkräfte- und Qualifikationsbedarf und reagieren Sie mit frühzeitiger Ausrichtung der Personalbeschaffungs- und Personalentwicklungsprozesse auf die neuen Anforderungen.
  • Entwickeln Sie eine passende digitale Strategie entsprechend Ihrer Tätigkeit und den Menschen Ihres Unternehmens und planen Sie ausreichende und feste Kapazitäten für die Umsetzung ein.
  • Digitalisierung ist Chefsache – Führungsebene und mittleres Management sind für das Projekt entscheidend und sollten in die Verantwortung.

 

Beitragsnummer: 1090

Kommunikation – der Schlüssel zu einer effizienten Compliance

Janina Marisa Becker,
Junior Compliance Officer,
Inkasso Kodat GmbH & Co. KG

 

Der berühmte Psychologe und Kommunikationswissenschaftler, Friedemann Schulz von Thun, erläuterte uns bereits mit seinen Erkenntnissen in „Die vier Seiten einer Nachricht: Das Kommunikationsquadrat”, dass Menschen beim Kommunizieren auf Botschaften und die Art und Weise wie sie vermittelt werden unterschiedlich reagieren. Äußerungen können anders vom Empfänger wahrgenommen werden, als der Sender eigentlich beabsichtigt hatte. Diese nur kurz in das Gedächtnis gerufene Theorie bildet eine Grundlage für das Verständnis, wie Compliance-Kommunikation gestaltet werden muss. Compliance kann nur dann erfolgreich im Unternehmen gelebt werden, wenn Mitarbeiter das Thema verstehen und verinnerlichen können. Dabei geht es um viel mehr als mit unzähligen Regelwerken um sich zu werfen, die ohnehin die meisten gerade einmal zur Kenntnis nehmen. Mitarbeiter benötigen eine für sie individuell gestaltete, verständliche Kommunikation und kein bloßes Übermitteln von Informationen. Menschen erreicht man nur dann, wenn man sich auf sie einstellt und ein Gefühl dafür bekommt, wie man Interesse beim Einzelnen wecken kann. Bevor wir aber definieren, wie das funktionieren kann, beschäftigen wir uns zunächst kurz mit der rechtlichen Verankerung von Compliance, die begründet, dass ein wirksames Compliance-Management für jedes Unternehmen nötig ist.

 

Verpflichtung zu Compliance – Wer fordert das überhaupt?

Im deutschen Recht lassen sich einige Anhaltspunkte, die eine Empfehlung zur Einführung und Ausgestaltung einer Compliance-Organisation ansprechen, entdecken. Diskutiert wird darüber, ob die Geschäftsführung einer GmbH beziehungsweise der Vorstand der AG eine rechtliche Verpflichtung zur Ausstattung des Unternehmens mit einer Compliance-Struktur hat. Lediglich für das Banken- und Versicherungswesen gibt es eine eindeutig konkrete Regelung dazu. Allerdings muss die Geschäftsleitung bzw. der Aufsichtsrat einer nicht in diesem Sektor operierenden Firma gute Gründe für das Ausbleiben der Einführung eines Compliance-Systems darlegen, wenn es dann doch einmal zu einem Vorfall kommt. „Der Haftung entgeht nur, wer darlegen kann, dass er gewissenhaft und sorgfältig gehandelt hat.”[1]. Das Aktien- und Gesellschaftsrecht gehört zu den wichtigsten Regelungen, die Compliance den Eingang in das deutsche Recht gewähren[2]. Die Sorgfaltspflicht (§ 93 Abs. 1 AktG bzw. § 43 Abs. 1 GmbHG) sorgt dafür, dass Entscheidungen des Vorstandes bzw. der Geschäftsführung auf einer angemessenen Informationsbasis und zum Wohle des Unternehmens getroffen werden. Außerdem muss die Geschäftsführung nach § 91 Abs. 2 AktG ihrer Überwachungs- und Risikokontrollpflicht nachkommen und Mechanismen und Maßnahmen einführen, die ermöglichen, gefährdende Entwicklungen im Geschäftsbetrieb frühzeitig zu erkennen. Der Gesetzgeber hat eine ausstrahlende Wirkung des Paragraphen auf andere Gesellschaftsformen bekannt gegeben. In welchem Umfang diese jedoch ein Compliance-Management einführen müssen, soll nicht Gegenstand dieses Beitrags sein. Die Kontrollpflichten der Geschäftsführung wurden mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in das AktG ergänzt.

Ein weiterer Hinweis auf Compliance verbirgt sich im Ordnungswidrigkeitengesetz (OWiG). Unternehmensinhaber oder Geschäftsführer sind nach § 130 OWiG durch die Aufsichtspflicht verpflichtet, strafrechtliches und mit Bußgeldern behaftetes Verhalten zu unterbinden. Kommen sie dieser Pflicht nicht nach, so handeln sie laut § 9 OWiG selbst ordnungswidrig. Das OWiG bildet hier eine Parallele zu den Anforderungen einer ordnungsgemäßen Geschäftsführung gem. § 93 AktG und § 43 GmbHG. Ebenso kann eine Strafe gegen das Unternehmen selbst gem. § 30 OWiG auferlegt werden.

 

Kommunikation – Ein wichtiges Element des Compliance-Management-Systems (CMS)

Compliance ist in den meisten Unternehmen ein unbeliebtes Thema. Viele Mitarbeiter haben bereits beim Aufkommen der Thematik eine Abwehrposition eingenommen. Bekannt sind die üblichen Denkstrukturen: „Warum soll ich etwas ändern? Es funktioniert doch alles.“ Oder: „Das haben wir immer so gemacht.“ Compliance Officer laufen geächtet durch die Gänge des Unternehmens. Mitarbeiter fragen sich untereinander: „Was machen die überhaupt den ganzen Tag?“ Die wenigsten haben eine echte Vorstellung von den umfänglichen, im Hintergrund des Geschäftsalltages laufenden Aufgaben. Kommen Angestellte dann doch einmal mit Compliance in Berührung, empfinden sie die Begegnung häufig als negativ. Nerv-tötende Schulungen, die vermeidlich niemand benötigt, Erklärungen, die niemand wirklich versteht, oder sogar Sanktionen in Folge von Fehlverhalten. All dies sind negative Assoziationen, die aus dem Weg geräumt werden müssen. In der Realität scheint dies nicht so leicht zu sein. Der richtige Ansatz ist, eine umfassende Kommunikationsstrategie zu entwickeln und das Element „Kommunikation“ eines CMS nicht zu vernachlässigen. Durch dieses wird die Kultur des Unternehmens genauso wesentlich geprägt wie durch den „Tone from the top“. Compliance Officer sind betriebswirtschaftlich und/oder juristisch sehr gut ausgebildet, jedoch mangelt es häufig an Fachwissen im Bereich der Kommunikation. Es ist sinnvoll, beim Aufbau einer Kommunikationskampagne zumindest einen Compliance-Mitarbeiter diesbezüglich weiterzubilden und ihm die Aufgabe klar zuzuweisen. Dieser wird beim Verteilen von relevanten Informationen als Ansprechpartner wahrgenommen werden und verleiht der Compliance-Kommunikation ein Gesicht.

 

In der Praxis ist Kreativität und Empathie gefragt

Der Ansprechpartner ist festgelegt. Aber wie werden Informationen nun am besten vermittelt? Wer soll welche Art von Informationen erhalten? Wir kennen alle bereits die üblichen Mittel: E-Mails mit relevanten Richtlinien, E-Learning und Präsenzschulungen, Broschüren, Hinweise im Intranet oder auf der Unternehmenswebseite u. v. m. Dies sind sicherlich unverzichtbare Instrumente. Allerdings muss doch zunächst einmal, bevor die Informationsfülle auf die Mitarbeiter einprasselt, verständlich gemacht werden, wozu diese Regelungen überhaupt gut sind. Nehmen Sie Bezug auf den Alltag Ihrer Mitarbeiter. Wichtig ist, vor allem die relevanten Regelwerke für die einzelnen Unternehmensbereiche zur Verfügung zu stellen. Stellen Sie den Bezug zu kniffligen Situationen im Alltag her und zeigen Sie Empathie. Erklären Sie genau, warum bestimmtes Verhalten an den Tag gelegt werden muss und positionieren Sie die Compliance-Funktion als eine Unterstützung oder einen Ratgeber und nicht als einen kontrollsüchtigen Parasiten. Vermitteln Sie den Mitarbeitern, was wir als Compliance Officer bereits alle wissen: Compliance ist kein Hemmnis für die Wirtschaftlichkeit des Unternehmens. Sie schützt das Unternehmen vor Verlust, unterstützt die Mitarbeiter und sichert Arbeitsplätze. Wenn Sie nach diesen Prinzipien auftreten und sich so vor der Belegschaft positionieren, werden Sie den Blickwinkel vieler Angestellter bereits verändern. Entwickeln Sie eine persönliche positive Grundstimmung der Mitarbeiter Ihnen gegenüber. Bereits ein nettes „Guten Tag, wie geht’s Ihnen?“ und ein freundliches Lächeln bei Begegnungen tragen zur Bekämpfung einer abwertenden Haltung gegenüber der Compliance-Abteilung bei.

Setzen Sie sich mit dem Bereich Unternehmenskommunikation zusammen und entwickeln Sie eine kreative Kommunikationskampagne. Beispielelemente einer solchen Kampagne könnten die Integration von Mitarbeitern aus dem normalen Geschäftsbetrieb, ein einschlägiger Slogan oder Compliance-Wettbewerbe der Unternehmensbereiche sein. Seien Sie kreativ in der Kampagnengestaltung und versuchen Sie mitreißende Aktionen zu positionieren, bei denen die Mitarbeiter Spaß an Compliance-Themen entwickeln. Die Partizipation jedes Einzelnen soll den Anreiz nehmen, Regelbrüche zu begehen. Gewinnen Sie als Compliance Officer das Vertrauen und die Herzen der Mitarbeiter, um als Bezugsperson wahrgenommen zu werden.

 

Die individuelle Reaktion

Gerade der Start der Mitarbeitersensibilisierung ist schwierig. Mitarbeiter verarbeiten Informationen ganz verschieden und haben unterschiedliche Interessensgrundlagen. Sie werden auf Mitarbeiter treffen, die stets offen für Neues sind, recherchieren und sich auf Grundlage der verschiedensten Quellen eine eigene Meinung bilden. Andere Mitarbeiter wiederrum werden sich nicht so aufwändig mit dem Thema beschäftigen. Auf welche Art und Weise sich die Mitarbeiter mit Compliance beschäftigen, hängt von ihrer Motivation und ihren Fähigkeiten ab (Femers-Koch, S. (2018). Compliance-Kommunikation aus wirtschaftspsychologischer Sicht. Keine Regel ohne Ausnahme. (S. 31, Z. 21 ff.). Berlin: Springer Fachmedien Wiesbaden GmbH.). Wichtig ist, zu wissen, wie der jeweilige Mitarbeiter Informationen aufnimmt und verarbeitet, um ihm diese auf die für ihn empfängliche Art und Weise zu übermitteln und seine Motivation, mehr über das Thema Compliance zu erfahren, zu steigern. Da der Compliance Officer natürlich nicht jeden Mitarbeiter persönlich kennen und einschätzen kann, lohnt es sich, bei der Entwicklung der Kommunikationsstrategie ebenfalls mit den Team- oder Abteilungsleitern zusammen zu arbeiten und auf Grundlage ihrer individuellen Mitarbeitereinschätzungen die Kommunikation zu gestalten. Dazu kann der Teamleiter von Ihnen erstellte Fragebögen ausfüllen lassen, Gespräche zum Thema führen und auch gern selbst Stellung zum Thema nehmen. Setzen Sie sich intensiv mit denjenigen Abteilungen auseinander, die ganz klar einen Widerspruch zwischen Compliance und Geschäftserfolg wahrnehmen. Sprechen Sie diesen an, entwickeln Sie Empathie und im nächsten Schritt gegenseitiges Verständnis. Sie können aufzeigen, dass dieser Widerspruch gar nicht existiert, wenn Sie genau verstehen, warum ein solcher wahrgenommen wird und zusammen mit den Betroffenen nach einer angemessenen Lösung suchen.

Das Wichtigste an Compliance-Kommunikation ist, dass diese transparent gestaltet wird und das Team Compliance stets authentisch bleibt.

 

[1] Steinmeyer, P. & Späth, P. (2010), Rechtliche Grundlagen und Rahmenbedingungen („Legal Compliance”), in Wieland, J., Steinmeyer, R. & Grüninger, S. (Hrsg.), Handbuch Compliance-Management. Konzeptionelle Grundlagen, praktische Erfolgsfaktoren, globale Herausforderungen (S. 188). Berlin: Erich Schmidt Verlag.

[2] Fissenewert, P. (2013). Compliance Management contra Wirtschaftskriminalität. In Behringer, S. (Hrsg.), Compliance kompakt. Best Practice im Compliance-Management (3. überarb. Aufl.) (S. 52) Berlin: Erich Schmidt Verlag.

 

Praxistipps
  • Fördern Sie die kommunikativen Fähigkeiten Ihrer Compliance Officer.
  • Machen Sie sich ein Bild der einzelnen Mitarbeiter. Bei großen Abteilungen: Fragen Sie nach Hilfe bei den Teamleitern zur Erarbeitung eines individuellen Konzeptes.
  • Entwickeln Sie in enger Zusammenarbeit mit der internen Kommunikation und den Abteilungsleitern eine authentische und motivierende Kommunikationskampagne.
  • Bleiben Sie greifbar, menschlich und zeigen Sie Verständnis für individuelle Alltagssituationen.
  • Appellieren Sie an persönliche Werte der Mitarbeiter und machen Sie Regeln zu persönlich relevanten.
Buchtipp

Femers-Koch, S., Compliance-Kommunikation aus wirtschaftspsychologischer Sicht. Keine Regel ohne Ausnahme. (eBook), 2018.

Beitragsnummer: 1081

Informationssicherheit für den Mittelstand

Jeder Anfang kann leicht sein.

Chris Borgsdorf,
Geschäftsführer & Cyber-Security-Berater,
bitformer GmbH

Die Anzahl der professionellen Hackergruppen wächst jährlich und damit Ihr Risiko selbst Opfer von Cyber-Angriffen zu werden. Dieser Beitrag bietet Ihnen eine Lösung, die sich in der Praxis bewährt hat.

 

Entwicklung der letzten Jahre und aktueller Stand

Wir können aufgrund der langjährigen Betreuung unserer Kunden aus dem KMU-Bereich der Branchen Chemie, Öffentlicher Dienst, Architektur, Industrie, Handwerk, Werbung und Gesundheitswesen eine spannende Entwicklung beobachten, die von der „Wirtschaftstudie“ (s. Abb. 1) des Branchenverbands bitkom bestätigt wird. Trotz der unterschiedlichen Tätigkeitsfelder der Auftraggeber besteht branchenübergreifend eine Gemeinsamkeit:

Als Motoren der deutschen Gesellschaft und Wirtschaft sind ihre Fachkenntnis und Flexibilität in der heutigen Zeit wichtig wie nie zuvor. Individuelles Know-how, einzigartige Produkte und spezialisierte Prozesse sind nicht mehr länger nur für den direkten Konkurrenten interessant. Globalagierende Konzerne und ausländische Geheimdienste konzentrieren gezielte Angriffe auf den deutschen Mittelstand, um an ihre Informationen zu gelangen.

In den vergangenen zwei Jahren betrug der verursachte Schaden durch Wirtschaftsspionage und Cyber-Kriminalität in Deutschland über 40 Mrd. €. Wer davon ausgeht, er wäre mit seinen Produkten zu unwichtig und somit keine Zielscheibe, unterschätzt die Cyber-Gefahren des 21. Jahrhunderts. Die Schnelllebigkeit und der digitale Wandel schreiten unweigerlich voran. Jedes Detail kann der Konkurrenz Vorsprung verschaffen. Wer nicht vorbereitet ist, wird in kürzester Zeit auf dem hart umkämpften Markt nicht bestehen oder durch Cyber-Kriminalität ins Hintertreffen gelangen.

Dank der EU-DSGVO stehen Datenschutz und IT-Sicherheit im Fokus wie nie zuvor. Dennoch sind KMU-Organisationen nicht ausreichend vorbereitet bzw. geschützt. Sofern Cyber-Angriffe überhaupt bekannt werden, wird auf Sicherheitsvorfälle nur rudimentär reagiert.

 

Ist das Management im Mittelstand leichtsinnig?

Ja und nein. Ein Sicherheitskonzept für die Behandlung von Cyber-Gefahren und die Reduzierung von Risiken liegt zumeist nicht vor. Bekannte Sicherheitskonzepte, auch Informationssicherheitsmanagementsysteme (ISMS) genannt, sind aufwändig und ebenso kostenintensiv. Oft werden ISO 27001 Projekte gestartet und nach drei Monaten abgebrochen, da der Aufwand unterschätzt wurde. Kurzum: Der Mittelstand braucht Methoden zur nachhaltigen Steigerung der Sicherheit, die auch wirtschaftlich sind.

 

Das ISMS VdS 10000 bietet insbesondere für kleine und mittelständische Organisationen ein Höchstmaß an erforderlicher Flexibilität und kann innerhalb kürzester Zeit das Sicherheitsniveau steigern. Wichtig ist, dass sich Unternehmen mit Informationssicherheit beschäftigen und die Verantwortung für die Umsetzung intern oder extern an einen Informationssicherheitsbeauftragten (ISB) delegieren. Die IT und die zugehörige Sicherheit sind in die bestehenden Organisationsprozesse zu integrieren.

Wurde das ISMS erfolgreich implementiert, sind die Geschäftsprozesse und Abhängigkeiten zwischen Mensch, Informationen und IT-Systemen bekannt und dokumentiert. Das akzeptierte Restrisiko für das Eintreten möglicher Cyber-Bedrohungen ist ermittelt. Eine Prozesslandkarte, IT-Dokumentationen, Notfallmanagement und die kontinuierliche Weiterentwicklung der Informationssicherheit begründen das subjektive Sicherheitsempfinden der Entscheider in der Organisation.

 

Wie kann begonnen werden?

Der erste Schritt ist immer die organisationsweite Analyse des aktuellen Sicherheitsniveaus. Diese kann durch unsere bewährte und kompakte Methode des Quick-Audits für Basis-Informationssicherheit erreicht werden. Auf Basis der VdS 10000 werden alle notwendigen Teilbereiche der Informationssicherheit analysiert und bewertet. Das Ergebnis ist ein fundierter Auditbericht zur aktuellen Sicherheitslage und ein Maßnahmenkatalog für die konsequente Steigerung der Informationssicherheit. Zugleich können technische und organisatorische Maßnahmen (TOM) für die Umsetzung der EU-DSGVO-Bestimmungen sinnvoll ergänzt werden.

Der Weg wird skizziert und der Anfang zur Implementierung eines ISMS erleichtert. Das subjektive Sicherheitsgefühl und die Risikobereitschaft des Top-Managements definieren letztlich, welche empfohlenen Maßnahmen umgesetzt werden. Wird eine anerkannte Zertifizierung gewünscht, so bietet sich nach der erfolgreichen Umsetzung der normativen Punkte der VdS 10000 das externe Audit an.

Organisationen, die bereits ein ISMS implementiert haben, können sich das Sicherheitsniveau mithilfe des Quick-Audits zur Basis-Informationssicherheit überprüfen lassen.

 

ISO 27001, BSI Grundschutz und VdS 10000 verfolgen gemeinsam das gleiche Ziel – eine nachhaltige Verbesserung des Sicherheitsniveaus. Die Normen unterscheiden sich im Aufwand und in den Interpretationsmöglichkeiten. Benötigte Ressourcen steigen um ein Vielfaches, je höher ihr Sicherheitsbedürfnis ist.

Dank der Aufwärtskompatibilität der VdS 10000 kann eine zukünftige Zertifizierung der international anerkannten ISO 27001 angestrebt werden.

Praxistipps
  • Definieren Sie Verantwortungsbereiche für Informationssicherheit. Sind keine internen Ressourcen vorhanden, dann bestellen Sie einen externen Informationssicherheitsbeauftragten (ISB). In Kooperation mit dem Informationssicherheitsteam (IST) und dem Datenschutzbeauftragten (DSB) werden Sicherheitskonzepte erarbeitet.
  • Das Bewusstsein für Cyber-Gefahren muss an erster Stelle stehen. Informieren Sie Ihre Mitarbeiter und Kollegen stets über aktuelle Bedrohungen, um bei Sicherheitsvorfällen schnellstmöglich reagieren zu können.
  • Sicherheit ist nicht kostenlos. Legen Sie einen Budget- und Zeitplan fest, um Informationssicherheit in der Organisation zu integrieren. Suchen Sie sich einen vertrauensvollen Partner, der Ihre Sicherheit objektiv bewertet und Sie beim Aufbau des ISMS unterstützt.
  • Konzentrieren Sie sich zu Beginn auf Ihre Kernprozesse. Dabei sind Abhängigkeiten zwischen Mensch, IT-Systemen und einzelnen Prozessen zu erfassen. Sie steigern die Zuverlässigkeit des Betriebes und verkürzen bei einer Störung die Wiederanlaufzeit.
  • Überprüfen Sie die Zuverlässigkeit Ihrer Datensicherung und testen Sie die Wiederherstellung von Daten und vollständigen IT-Systemen.
  • Installieren Sie regelmäßig System- und Sicherheitsupdates.

Beitragsnummer: 1068