Seit einigen Jahren werden Unternehmen von gesetzlichen und vertraglichen Regularien überrollt – TISAX, DSGVO und Nachhaltigkeit sind nur einige davon. Aber es gibt ein Tool, alles unter einen Hut zu bekommen.
Regelmäßig schlägt mir die Frustration von Firmenchefs am Telefon entgegen, ich kann die »Bad Vibes« schier durchs Telefon spüren. »Ich weiß gar nicht mehr, wo ich zuerst hinschauen soll«, erzählt mir gestern jemand, »wir machen derzeit drei verschiedene Zertifizierungen gleichzeitig, ISO 27001, ISO 9001 und ISO 14001!«. Ein anderer berichtet, jede Fachabteilung kommt mit anderen Bestimmungen daher, und jedes Mal sei es eine Insellösung: »HR teilt mit, ab 1. Oktober einen neuen Personalfragebogen einzuführen, aus irgendwelchen neuen vertraglichen oder gesetzlichen Bestimmungen heraus; Facility Management bildet auf einmal Brandschutzhelfer aus – ich blick bald nicht mehr durch«. Und eine Dritte vertraut mir an, sie habe das Gefühl, alles laufe kreuz und quer: »Der Informationssicherheitsbeauftragte will laut vertraglicher Verpflichtung mit dem Auftraggeber möglichst viel dokumentieren; der Datenschutzbeauftragte schießt quer mit dem Argument: ‘Moment, da gibt’s eine gesetzliche Anforderung im Datenschutzgesetz!’ – ich krieg die Krise!«
»Ich kann die Verwirrung, die Panik und den Frust verstehen, denn ich bin selbst Unternehmer. Aber ich habe ein Mantra dagegen, das mich und andere bestärkt – auch gegen die Regularienflut. Und das lautet: Mein Business nach meinen Regeln. Own your Compliance.«
ISO 27001, Personalfragebogen und Datenschutzbeaufragte – was für Unwissende nach überbordender Bürokratie klingt, ruft bei anderen allergische Reaktionen hervor. Ist auch verständlich, immerhin ist die Liste der Zertifizierungen, die Unternehmen laut vertraglichen Verpflichtungen erfüllen müssen, in den letzten Jahren immer länger geworden: Qualität (ISO 9001 und IATF), Informationssicherheit (TISAX, ISO 27001, TPN), Nachhaltigkeit (CR/CSR, ISO 14001); auch in punkto IT Sicherheit können vertragliche Verpflichtungen im Rahmenvertrag stehen, die regeln, welche Maßnahmen an IT-Sicherheit umgesetzt sein müssen – hier gibt es immer noch Konzerne, die meinen, sie müssten Cloud-Dienste verbieten.
Zu den Zertifizierungen, die vertragliche Verpflichtungen zwischen Auftraggebern und Auftragnehmern sind, kommt noch eine ellenlange Liste an gesetzlichen Auflagen hinzu, die sich alleine in den letzten Jahren ergeben haben: 2018 kam die Datenschutz-Grundverordnung (DSGVO/GDPR); in diesem Jahr hat es durch COVID-19 auch das Infektionsschutzgesetz (iNSG) zu neuer Prominenz gebracht. Außerdem kamen noch etliches mehr an gesetzlichen Verpflichtungen hinzu, die vor kurzem aktualisiert wurden und daher auch – neu – beachtet werden müssen:
• SARS-CoV-2-Arbeitsschutzstandard (Arbeitsschutzgesetz)
• Arbeitszeiterfassung (Arbeitszeitgesetz, Mindestlohngesetz)
• Nachhaltigkeit (CSR-Richtlinie-Umsetzungsgesetz, ISO 26000)
• Schutz von personenbezogenen Daten (EU-DSGVO)
• Belegausgabeverpflichtung (=Bonpflicht) (Kassengesetz)
• Fernmeldegeheimnis (Telekommunikationsgesetz)
• Aufbewahrungsfristen von Bewerberdaten (Antidiskriminierungsgesetz)
• Wirtschaftsprüfung (SOX, Sarbanes-Oxley Act of 2002)
Und wo wir gerade dabei sind: Wusstest du beispielsweise, dass es aushangpflichtige Gesetze gibt? Du bist als Arbeitgeber verpflichtet, bestimmte Gesetze auszuhängen oder diese den Mitarbeitern zugänglich zu machen. Den Arbeitnehmern soll durch den Aushang ermöglicht werden, sich schnell und unkompliziert über Gesetze zu informieren, die sie betreffen.
Soweit so gut – das war jetzt aber nur Deutschland. Sobald das Geschäft international wird, kommen on top auch noch länderspezifische Anforderungen hinzu. Du kannst als Unternehmer zwar auf Social Media posten: »Hey wohoo, wir machen jetzt einen Standort in NY und in Peking auf«, aber die anstrengende Seite des Unternehmertums ist: Welche Auflagen ergeben sich dadurch? Du schickst beispielsweise deine Mitarbeiter nach China und USA – Wie bereitest du sie vor, wenn die Grenzbeamten Fragen stellen? Dürfen die den Rechner scannen oder das Passwort verlangen? Du kannst nicht einfach dein verschlüsseltes Laptop nach China mitnehmen. Du hast einen Standort in London – Was ändert sich beim Brexit?
Ich tippe mal, spätestens jetzt sagst du: »Mist, der Typ hat Recht. Das haben wir gar nicht im Griff!«
Das blöde ist: Wenn mal was schiefgeht, dann kann es richtig unangenehm werden. Wenn Auflagen aus Regularien nicht erfüllt werden, ist das Vertragsbruch und kann zum Verlust des Kunden oder des Auftrags führen. Gesetzliche Verpflichtungen wie Datenschutz betreffen im Ernstfall Mitarbeiter und Chefs persönlich, trotz einer GmbH-Zugehörigkeit.
Viele Unternehmen haben keinen Überblick über die vertraglichen und gesetzlichen Verpflichtungen, denen sie nachkommen müssten. Das kommt eben daher, dass es so viele unterschiedliche Anforderungen gibt und diese unterschiedliche Abteilungen im Unternehmen auf unterschiedliche Art und Weise betreffen – das läuft sozusagen dezentral. Aber den Kopf in den Sand stecken und hoffen, dass nichts passiert, ist auch keine Lösung. Das ist aber genau der Grund, warum es so Leute wie uns gibt: die relativ junge Spezies der Compliance Berater.
Drei Unternehmertypen des Digitalzeitalters
Aus meiner Erfahrung heraus würde ich sagen, es gibt, was den Umgang mit diesen vertraglichen und gesetzlichen Anforderungen angeht, drei Typen von Unternehmern und Unternehmen.
Typ 1: Die »Kesselflicker«
Sie sehen Regularien als Bürokratie-Monster und fühlen sich dadurch ihrer persönlichen Freiheit beraubt und in erster Linie gegängelt. In ihrer Weltsicht schrumpft der eigene kreative Spielraum für das Unternehmertum unter ihren Füßen weg wie eine schmelzende Eisscholle im Klimawandel. Sie erzählen beim Stammtisch, sie hätten das Gefühl, nur noch damit beschäftigt zu sein, Auflagen zu erfüllen. So nach dem Motto (und sie machen dabei angedeutete Gänsefüßchen in der Luft) »Sorry, dass ich hier ein Unternehmen führen und Wertschöpfung betreiben will«. Sie hinken deshalb bei Auflagen und Regularien notorisch hinterher und betreiben Kesselflickerei: sie machen immer nur das, was dringend nötig ist, schnappen punktuelle Anforderungen an den Datenschutz auf, die sie notdürftig umsetzen, machen eine TISAX-Zertifizierung in letzter Minute und mehr schlecht als recht, um bei der Ausschreibung ihres Hauptkunden weiter berücksichtigt werden zu können, mogeln sich durch den Audit und schimpfen hinterher auf den Auditor.
Dass ein solcher Prozess auch positive Seiten haben könnte, kommt ihm nicht in den Sinn. Denn er würde eine harte Wahrheit ans Licht bringen: dass sich unter dem Deckmantel ihrer kreativen Freiheit seit langem einfach nur ein improvisiertes Chaos verbirgt – in sämtlichen Prozessen und Abläufen. Sie aber machen lieber so weiter wie bisher: nach dem Motto »Das haben wir schon immer so gemacht«. Erkennst du dich darin wieder? Dann verstehe ich gar nicht, warum du bis hier hin gelesen hast
Typ 2: Die »Pflichtbewussten«
Sie betreiben Zertifizierungsprozesse wie eine Ernährungsumstellung oder das alljährliche Fasten: als Disziplinierungsmaßnahme. Als Gelegenheiten, schlechte Gewohnheiten loszuwerden. Oder wie die schwäbische Kehrwoche oder einen Frühjahrsputz: einmal im Jahr die dunklen Ecken durchwischen, das Federbettzeug aufschütteln und durchlüften und auf den Schränken den alten Staub wegwischen. Sie machen diese Fastenkur nicht aus Spaß aus der Freude, sondern weil’s eben gemacht werden muss. Das sind die Typen, die auf die Frage, wie’s ihnen geht, antworten: »Muss ja.« Sie haben einen guten Überblick, was Gesetzesänderungen und Compliance betrifft und lassen sich auch von ihren Fachabteilungen nichts erzählen. Oft finde ich genau diese Leute in meinen Schulungen und als Hörer meines Podcasts. Wenn du Typ 2 bist – herzlichen Glückwunsch. Dein Unternehmen sollte dir auf Knien danken dass es dich gibt. Mein Appell wäre eigentlich nur: Hey, halte inne! Atme tief ein und genieße den Moment! In sauberen Strukturen und knallscharfen Prozessen liegt etwas meditatives, etwas wunderschönes – da liegt reine Freude. Und du bist nur einen Schritt entfernt vom ..
Typ 3: Die »Kreativunternehmer«
Sie lesen in der Freizeit Gesetzestexte und haben echt Spaß daran, sich in komplexes Zeug reinzunerden. Unternehmertum ist ihre kreative Ausdrucksform und ihre Art, die Welt genauso zu gestalten wie ihr eigenes Leben – deshalb sind sie im Herzen Lebenskünstler. Ihnen muss niemand sagen, dass sie reagieren müssen – sie agieren: Sie fahren den Bus, statt gefahren zu werden. Statt Gedichten schreiben sie ihre Compliance selber, bevor ihnen irgendjemand anderes seine Bedingungen diktiert – und sehen sie als Herz ihres Unternehmens an: eine Art Codex Hammurapi, die große, viertausend Jahre alte Sammlung an babylonischer Rechtssprechung. Für sie drückt sich in der Compliance die Haltung ihres Unternehmens aus, eine Art Denk- und Handlungsmodell, nicht nur ein Lippenbekenntnis, wie man es so oft im »Brand Statement« oder »Mission Statement« liest. Dazu gehört für sie eben auch, dass man sich regelmäßig die Hände wäscht, statt einer Weihnachtsaussendung das Geld lieber einer gemeinnützigen Organisation spendet oder klar geregelt ist, ob man mit dem Kunden essen gehen kann.
Drei proaktive Compliance-Ratschläge
1. Own your Complianc
Meine Erfahrung zeigt, dass die Pflichtbewussten und die Kreativunternehmer dem Typ moderner Unternehmer entsprechen, die verstanden haben, dass die einzige Konstante im Digitalzeitalter der Wandel ist. Es ist deshalb für sie nicht leidiges Übel, sondern die Königsdisziplin des Unternehmertums, den Fokus auf die eigenen Prozesse zu richten und somit die Mechanismen und Optimierungspotenziale der eigene Wertschöpfung immer wieder zu überprüfen. Deswegen sind es auch genau diese Unternehmertypen, die immer vorne dran und proaktiv sind, statt hinterherzuhinken. Falls du also diesem Typ entspricht und es nicht sowieso schon getan hast lautet mein Rat: Schreib deine eigene Compliance! Ich nenne das »Own your Compliance«. Eine solche Vorgehensweise denkt vom eigenen Managementsystem aus, sozusagen von innen nach außen, nicht umgekehrt; vereint dieses dann mit gesetzlichen und vertraglichen Anforderungen und führt alles zusammen. Qualitativ und systematisch, statt reaktiv und fremdgesteuert. Klingt gut, oder?
2. Du brauchst eine Task Force
Compliance-Themen und Audits sind leider nicht wie der Führerschein; du machst sie also nicht nur einmal und hast dann »den Lappen«; vielmehr sind es Dauerthemen, um die du dich kontinuierlich kümmern musst. Eine der Herausforderungen an diesen neuen Themen des Digitalzeitalters – Informationssicherheit, Datenschutz und Nachhaltigkeit – ist ja, dass sie sich als abteilungsübergreifende, horizontale »Rote-Faden-Themen« quer durchs Unternehmen ziehen und alles und jeden im Unternehmen betreffen. Deshalb tun sich auch viele meiner Kunden anfangs vor allem schwer damit, sie im Organigramm richtig zu verorten. Und da lautet mein Rat: Gründe eine abteilungsübergreifende Task Force: Dein Compliance-Team! Das Compliance-Team aufzusetzen ist wie ein System auf deinem Rechner zu installieren: ohne Installation läuft eben gar nichts. Von da aus wird die Compliance stetig weiterentwickelt, weil sich Anforderungen ständig ändern. Das ist wie bei einem System-Update: Dreimal im Jahr gibt’s dann eben ein Compliance-Update – wie bei iOS 13.7: da ist die Corona Tracing-Funktion jetzt einfach mit drin. Der Riesenvorteil ist: Wenn einmal diese Struktur steht, geht einem kein Update und keine neue Anforderung mehr durch die Lappen. Und was einmal im System ist, kann nicht mehr verloren gehen. Das ist der ureigenste Zweck eines Management-Systems.
3. Der richtige Zeitpunkt
Eine der Fragen, die ich am häufigsten gestellt bekomme, ist die nach dem richtigen Zeitpunkt. Wann oder wie anfangen? Was macht man als erstes? Dazu gibt es ein gutes Einstiegsszenario, mit dem man sich selbst sozusagen am Schlafittchen packen bzw. verpflichten kann. Es gibt ein Control in der Informationssicherheit bei 27001 und TISAX, das eben genau das von dir verlangt: dass du weißt, was du machen musst, und zwar sowohl gesetzlich als auch vertraglich. Deshalb lautet meine Antwort nach dem richtigen Zeitpunkt ganz allgemein: ein Informationssicherheitsprojekt hat den idealen Startpunkt, eine Compliance zu schreiben, sozusagen eingebaut. Und diesen Startpunkt und die Basis für ein solches Projekt definieren wir in der sogenannten »Gap-Analyse«. Bei der Gap-Analyse scannen wir jede Abteilung nach Gesetzen oder eine vertraglichen Verpflichtungen, die Maßnahmen erfordern, Vorgaben zum Verhalten machen oder den Umgang mit bestimmten Dingen regeln. Dabei geht’s dann nicht darum, »Alle Mitarbeiter müssen ein rotes T-Shirt tragen wenn sie für uns arbeiten.« Aber die Beispiele gehen ähnlich weit. Ein Kunde sagt z.B., »In unserer Zusammenarbeit dürfen nur Projektmitarbeiter mitarbeiten, die auf unserem NDA verpflichtet sind.« Oder »Alle, die für uns arbeiten, dürfen nicht im gleichen Raum sitzen wie Leute, die für andere Auftraggeber arbeiten (Stichwort Mandantentrennung)«. Oder »Wir wollen nicht, dass das eine Projekt das andere sieht« – sogar innerhalb desselben Unternehmens.
Die Zusammenfassung aller meiner drei Ratschläge läuft dann allerdings in genau der umgekehrten Reihenfolge ab: Die Gap-Analyse für ein Informationssicherheitsprojekt liefert ein fundiertes Einstiegsszenario. Die Task Force arbeitet wie System-Installation mit System-Updates; doch am wichtigsten ist fast der motivierende Grundgedanke und der Appell an das wahre, moderne Unternehmertum: Betreibe dein Business nach eigenen Regeln. Own your Compliance!