Mit zunehmender Digitalisierung wird die Abhängigkeit von der Informationstechnologie immer deutlicher und Risiken für Daten und unterstützte Geschäftsprozesse steigen stetig an. An vielen Stellen schreibt der Gesetzgeber deshalb Maßnahmen vor, um diese Risiken zu minimieren. Das gilt insbesondere für Betreiber kritischer Infrastrukturen aber auch für die personenbezogenen Daten jedes Einzelnen. Doch über den Einsatzbereich der Informationstechnik hinaus gibt es eine Reihe von Risikofaktoren, die durch angemessene oder vorgeschriebene technische oder organisatorische Maßnahmen abgefedert werden sollen. Nicht zu vergessen sind von Organisationen selbst definierte Regeln oder Richtlinien. All diese Aspekte werden unter dem Begriff Compliance zusammengefasst und sollen im Idealfall transparent dokumentiert werden.
Ein Unternehmen, welches sich der Herausforderung stellt, komplexe Compliance-Prozesse mit einer passgenauen Lösung zu managen, ist die Robin Data GmbH aus Merseburg. Dabei nutzt man die Konvergenz von Einzelsparten wie Informationssicherheit und Datenschutz hin zu einer ganzheitlichen Compliance-Betrachtung aus und ergänzt um weitere Themenkomplexe außerhalb der IT. Das Management dieser Themen wird durch den Einsatz einer digitalen SaaS-Plattform übersichtlich und handelbar. Nun haben die procilon GmbH und die Robin Data GmbH eine intensive Partnerschaft vereinbart. Damit eröffnet sich für procilon Kunden ein leichter Zugang zum Know-How der Robin Data und Robin Data Kunden profitieren von procilon Technologie bei der Umsetzung von technisch organisatorischen Maßnahmen. Alles in allem Grund genug, mit drei Fragen an Prof. Andre Döring, Geschäftsführer der Robin Data GmbH einen Blick hinter die Kulissen zu werfen:
F: Herr Prof. Döring wann und warum haben Sie beschlossen aus einem Datenschutz-Management-System ein Compliance-Management-System zu machen?
AD: Ich habe mich schon seit vielen Jahren mit den Themen Datenschutz, Informationssicherheit und Compliance beschäftigt. Alles aber immer zu Fuß, heißt manuell und Excel-basiert. Als 2018 die DSGVO wirksam wurde, war der perfekte Zeitpunkt, ein smartes Online-Tool für die weitgehend automatisierte Umsetzung des Datenschutzes umzusetzen. Das war der Startschuss für Robin Data!
Mittlerweile haben wir unzählige Kundengespräche über deren wirkliche Bedürfnisse führen dürfen und konnten viele Erfahrungen sammeln. Zusammenfassend haben wir den Schluss gezogen, dass der Wunsch besteht, das Management aller Compliance-Felder wie Datenschutz und Informationssicherheit und deren Risiken auf einer Plattform zu managen. Diese Plattform soll dann möglichst viele Managementprozesse automatisieren und den Mitarbeitern Zeit für die eigentlichen Aufgaben wie Beratung und Kontrolle geben.
Unsere Antwort darauf heißt: ComplianceOS. OS steht für Operating System.
F: Die Zahl der zu beachtenden Gesetze, Verordnungen und Richtlinien nimmt ständig zu. Wie behält man dabei den Überblick?
AD: Der erste Schlüssel heißt: Standardisierung von Aufgaben zu Vorschriften, im Compliance-Managementsystem auch als „Kontrollen“ bezeichnet. In unserer Datenschutz-Lösung setzen wir bereits stark auf Standardisierung, z. B. von über 1.500 Verarbeitungsverzeichnissen für über 250 Branchen.
Im ComplianceOS strukturieren wir ganze Compliance-Felder in sogenannten Programmen vor. Dieses kann eine Norm sein, wie die ISO / IEC 27001 oder B3S, als auch ein Programm für Krankenhäuser oder Kommunen mit den wichtigsten Kontrollen, die für Verantwortliche die größten Haftungsrisiken bergen.
Zweitens müssen Kontrollen mit den Compliance-Informationen verknüpft werden. Kontrollen, Assets, Risiken und Nachweise sowie laufende Maßnahmen brauchen einen Bezug zueinander. Dann hat man z. B. die Chance, Auswirkungen gesetzlicher Änderungen auf die Compliance darzustellen oder ein Norm- und Rechtskataster aufzubauen und über relevante rechtliche Änderungen oder Schwachstellen zu informieren und Ereignisse zu erkennen und zu behandeln.
Im ComplianceOS haben wir hierzu verschiedene Mechanismen wie unseren „Stream“ von Ereignissen oder den „Matcher“ zum Verknüpfen von Daten umgesetzt. Kunden können direkt ihr gewünschtes Programm importieren und erhalten die daraus resultierenden Kontrollen. Mustermandanten für spezifische Branchen erleichtern den Einstieg.
F: Warum ist die Umsetzung von Compliance-Prozessen Ihrer Meinung nach am besten digital, mittels einer SaaS-Plattform gelöst?
AD: Eine zentrale SaaS-Lösung bietet uns die Möglichkeit, viele Aufgaben im Compliance-Management zu automatisieren und Inhalte wie Meldungen und Ereignisse aus und in Drittsystemen einfließen zu lassen. Dazu haben wir eine Micro-Service-Infrastruktur geschaffen, die hier Maßstäbe setzt.
Weiterhin sehe ich heutzutage nur noch wenig Veranlassung, auf on-premise Lösungen zu setzen, da der administrative Aufwand höher ist als bei der Nutzung einer Saas-Lösung, die wie das ComplianceOS ISO 27001 konform betrieben wird.
Drittens profitieren unsere Kunden von regelmäßigen Updates, die einfach eingespielt werden können. Unsere Infrastruktur ist so aufgebaut, dass die Anwender dieses in der Regel gar nicht merken – außer natürlich die neuen Funktionen – da ein Update im LIVE-System nur wenige Augenblicke in Anspruch nimmt.
Das System selbst startet bei Problemen ohne Datenverluste neu, da auch wir unsere DEV-OP-Prozesse automatisiert haben, um einen optimalen Service Level zu bieten.
F: Die letzte Frage will ich bewusst provokativ formulieren. So ein Compliance-Tool erzeugt doch erst einmal ‚nur‘ Arbeit. Da hält sich sicher die Begeisterung in Grenzen, wenn Sie in einer Verwaltung oder einem Unternehmen auftauchen?
AD: Es ist richtig, dass zunächst einmal die Organisation mit ihrer Ausprägung angelegt werden muss. Daten wie Risiken, Assets oder Nachweise müssen erfasst werden, wobei wir, wenn möglich, gerne mit Automatisierung bei der Migration von Bestandsdaten unterstützen.
Ist dann aber alles „an seinem Platz“ und sind die Einstellungen zielgruppenspezifisch vorgenommen, können viele Routineaufgaben automatisiert werden. Das geht vom Aufgabenmanagement bis hin zur Verarbeitung von Meldungen oder Lieferantenbewertungen oder der Risikoeskalationen. Die Compliance-Verantwortlichen gewinnen Zeit für die eigentlichen Aufgaben: Strukturen schaffen, beraten und kontrollieren.
Ich habe das mal spaßeshalber durchgerechnet: bei einer Gruppe von fünf Compliance-Verantwortlichen mit einem mittleren Jahresgehalt rechnet sich eine Lösung wie das ComplianceOS, wenn diese jeweils 2 Arbeitsstunden pro Monat an Verwaltung einsparen können. Da die bisherige Tätigkeit dieser Personen häufig zu 80% Verwaltungsarbeit war, ist dieses nicht schwer zu erzielen.
Herr Prof. Döring, vielen Dank für die anregende Beantwortung der Fragen!
Die Fragen stellte Andreas Liefeith, Leiter der Unternehmenskommunikation procilon GROUP.
Weitere Informationen zur procilon GROUP sind im Lösungskatalog verfügbar.