"Unternehmen pflegen ihre Daten wie WGs Kühlschränke"

Warum ist Information Governance ein geschäftskritisches ­Thema für Unternehmen?

Daniel Burgwinkel: Bei Information Governance geht es darum, dass alle geschäftsrelevanten Informationen eines Unternehmens rechtskonform aufbewahrt werden und die Informationsrisiken im Umgang mit neuen Technologien, wie Cloud, Mobile oder Social Media, minimiert werden. Hierbei ergibt sich die Herausforderung, zu erfassen, welche geschäftsrelevanten Informationen über welche digitalen Kanäle ausgetauscht werden: Was bespreche ich nur mündlich, was über E-Mail oder Chat und was über offizielle Geschäftskorrespondenz. Vor einigen Jahren war Records Management ein grosses Thema. Heute gibt es grosse Banken, die inzwischen eine Information-Governance-Abteilung gegründet haben und den Bereich Records Management dort unterordnen. Records Management ist also ein Teilgebiet der Information Governance.

Bruno Wildhaber: Unternehmen bewahren ihre Daten in einer Weise auf, wie WGs Kühlschränke führen. In der Regel weiss keiner, was drin ist, wem es gehört, wie alt es ist und ob man es wegwerfen kann. Und unglücklicherweise stehen in Unternehmen viele dieser "Kühlschränke".

Ab welcher Firmengrösse sollte sich das Management mit ­Information Governance auseinandersetzen?

Wildhaber: Das Interesse an Information Governance sollte von der Art der vorliegenden Daten abhängen. Grosse Unternehmen haben sich des Themas Information Governance zuerst angenommen. Aber hier sind es oft nur kleine Abteilungen, die dem Thema einen Wert beimessen. KMUs ziehen auf dem Gebiet nach. Ein Beispiel wäre ein Anlagenbauer im KMU-Umfeld. Über die Jahre wird er viele Baupläne angesammelt haben, und diese sind für ihn sehr wertvolle Daten.

Was sind aus Ihrer Sicht die Kriterien für eine erfolgreiche Information-­Governance-Strategie?

Burgwinkel: Information Governance wird in jedem IT-­Projekt relevant, bei dem interne und externe Daten erhoben werden. Es ist wichtig, die Risiken des Missbrauchs, etwa beim Datenschutz, miteinzubeziehen. Zu Beginn eines Projekts müssen deshalb die Anforderungen an die Kundendaten evaluiert werden. Das ist etwa bei innovativen Projekten in den Bereichen Big Data oder bei Social Media relevant.

Wie sollte man Ihrer Meinung nach am besten vorgehen?

Burgwinkel: Organisationen sollten eine Checkliste erarbeiten, Daten klassifizieren und den Datenschutz berücksichtigen. Sie sollten sich überlegen, was ausser den Geschäftsbüchern noch relevant ist, welche Branchennormen zu berücksichtigen und welche Gesetze zu beachten sind.

Mit welchem Zeitrahmen muss man rechnen?

Burgwinkel: Das ist ganz unterschiedlich und hängt vom jeweiligen Projekt ab. Aber wir sehen, dass ungeklärte Fragen zum Stolperstein in einem IT-Projekt werden können und dann das Pingpong-Spiel zwischen IT und Business losgeht. Letztlich steht die Frage im Raum, wer in der Verantwortung steht.

Wer ist bei einem Information-Governance-­Projekt verantwortlich?

Burgwinkel: Grundsätzlich ist das Business der Besitzer der Daten und die IT die Verarbeiterin. Aber jedes Unternehmen hat hier ein eigenes Verständnis, wer denn der Hüter der IT ist. Deshalb kommt es zu diesen Pingpong-Spielchen.

Wildhaber: Man muss sich aus der operativen Ebene lösen und methodisch so arbeiten, dass man kurzfristige Resultate erzielt und die langfristige Entwicklung im Auge behält. Aus­serdem muss die Umsetzung von oben nach unten erfolgen. Alternativ hilft es, einen sogenannten Kümmerer einzusetzen. Dieser braucht ein interdisziplinäres Wissen. Er muss ein Verständnis für alle Belange im Unternehmen mitbringen.

Wie kann man sich diesen Kümmerer vorstellen?

Wildhaber: Der Kümmerer muss die Unternehmensstrategie und die Geschäftsbereiche gut kennen, ebenso die regulatorischen Gegebenheiten. Das ist eine sehr herausfordernde Aufgabe. Daher eignen sich für diese Position insbesondere Verwaltungsräte mit einer gewissen Seniorität und grossem Erfahrungsschatz. Der Kümmerer muss eine Schnittstelle zwischen Projekt und Betrieb bilden. Jeden Tag fallen in einem Unternehmen Daten an – zusätzlich zu den alten auf Papier. Der Kümmerer muss sich überlegen, ob er einem Mitarbeiter empfehlen kann, Daten lokal abzulegen, oder ob es sich um strategische Informationen für das Unternehmen handelt und es hierfür eine gesamthafte Lösung braucht. Früher gab es Records-Management-­Abteilungen. Diese sind aber oft daran gescheitert, dass sie versuchten, methodisch und nach einem Top-Down-Ansatz zu arbeiten. Viele von ihnen sind aber gewissermassen verhungert. Sie hatten keine Unterstützung durch das obere Management, da sie praktisch keine direkt messbaren Resultate liefern konnten.

Ähnlich wie in der IT-Security, wo der Vorteil nur so lange schlecht messbar ist, bis etwas passiert?

Burgwinkel: IT-Security ist ein gutes Beispiel. Es gibt ein etabliertes Berufsprofil und das wird klar der IT zugeordnet. Bei der Information Governance wäre das ebenso wichtig. Das Records Management war früher in der Archiv­abteilung oder der Dokumentation verankert. Da aber auch immer weniger Papierarchive unterhalten werden und der Papier-Output, etwa bei der Produktion von Geschäftsbriefen, ausgelagert wird, wandelt sich das Berufsbild, und Unternehmen müssen sich im Bereich der Information Governance neu aufstellen. Wenn es dann heisst, dass wir einen Gerichtsfall haben und die Akten von vor fünf Jahren heraussuchen müssen, weiss niemand mehr, wo diese lagern.

Wildhaber: Ich bin da anderer Meinung, da sich Information Governance besser messen lässt. Die Security hat andere Probleme. Für Security werden jährlich zirka 80 Milliarden US-­Dollar ausgegeben. Davon werden wohl rund 50 Prozent ineffizient eingesetzt. Auf diesem Niveau bewegen wir uns in der Information Governance nicht. Bei der Information Goverance hinken wir der IT-Security dennoch um geschätzte 20 Jahre hinterher. Security ist also nicht effizienter, hat aber im Vergleich zur Information Governance besser ausgearbeitete Strukturen. Andererseits können Erfolge bei Information Governance besser gemessen werden als bei Security-Projekten.

Wie kommen Sie darauf, dass Schweizer Organisationen beim ­Thema Information Governance um 20 Jahre hinterhinken?

Wildhaber: Wir bilden seit Jahrzehnten immer mehr Spezialisten für bestimmte Arbeitsbereiche aus. Die Spezialisierung ist heute derart hoch, dass es schwieriger wird, Mitarbeiter mit Überblick zu finden. Das Problem wird durch die Wirtschaft verschärft, da Unternehmen Spezialisten statt Generalisten suchen. Interdisziplinarität ist ohnehin ein Thema, das weniger gefragt ist. Doch genau hier müssten wir bereits bei der Aus- und Weiterbildung ansetzen.

Burgwinkel: Die IT bildet immer stärker Spezialisten aus, wie IT-Security-Spezialisten. Aber es gibt kaum noch Fachleute, die sich mit Records Management und Information Governance auskennen. Was auch fehlt sind Berufsbilder und Verbände.

Haben die Hochschulen geschlafen?

Burgwinkel: Die Hochschulen müssten aktiver werden. Sie richten sich nach der Nachfrage. Ich sehe den Trend, dass sie immer weitere Spezialisierungen und Zertifikate anbieten. Es fehlen aber interdisziplinäre Angebote.

Wildhaber:Momenten gibt es etwa den Trend, Social-Media-Fachleute auszubilden, die wertvolle Kundeninformationen sammeln. Die aus den Social-Media-Kanälen gewonnen Kundendaten gelangen oft direkt in die Marketingabteilung, ohne dass die IT-, beziehungsweise die Rechtsabteilung miteinbezogen wird. Die Daten lagern dann beim Marketing und werden nicht mehr aktiv bewirtschaftet. Unter Compliance-Gesichtspunkten ist das schwierig.

Was schlagen Sie also vor?

Wildhaber: CIOs sind sich des Problems bewusst. Hochschulen müssten aber noch aktiver werden. International gibt es Studiengänge zum Thema Information Management. Europa hinkt hier aber hinterher. Der Berufsverband Records Management etwa zählt weltweit 11 000 Mitglieder. Davon arbeiten gerade einmal rund 50 im deutschsprachigen Europa.

Wie viele Spezialisten fehlen in der Schweiz?

Burgwinkel: Es fehlen in den meisten Unternehmen Spezialisten. Firmen sind sich dessen zwar bewusst, unternehmen aber noch zu wenig gegen den Mangel.

Wildhaber: Information Governance steht oft nicht auf der Agenda der Unternehmen. Hier muss die Geschäftsleitung Druck aufbauen, denn das Thema Information Governance wird im Hinblick auf die Digitalisierung immer wichtiger.

Welchen Einfluss übt die Digitalisierung auf die Information ­Governance aus?

Wildhaber: Digitalisierung heisst für mich, Information Governance gesamtheitlich zu betrachten. Ein gutes Beispiel wäre etwa die Nutzung von Cloud-Applikationen, wo viele Daten entstehen und auf verschiedenen Systemen inhouse und in der Cloud generiert, verwaltet und gespeichert werden. Auch hier muss zunächst einmal bestimmt werden, in welchen Anwendungsfällen Cloud-Applikationen überhaupt genutzt werden. Es ist die Aufgabe des Verwaltungsrats, hier Regeln aufzusetzen. Denn Governance heisst auch Kontrolle.

Welche Rolle spielt der CIO beim Thema Information Governance?

Wildhaber: Der CIO spielt hier eine zentrale Rolle. Die alte Funktion des sogenannten «Büchsenschiebers» ist vorbei. Hingegen sehen sich CIOs heute als Manager von Informationen. Aber das kann ein CIO nicht alleine bewerkstelligen. Er muss bereits dafür sorgen, dass die Technikinfra­struktur im Unternehmen funktioniert. Ausserdem begibt er sich in einen Interessenkonflikt: Er ist technischer Enabler und muss zugleich regulatorische Massnahmen im Auge behalten. Das ist eine Gratwanderung.

Information-Governance-Projekte können auch gründlich schiefgehen. Was sind die häufigsten Probleme bei diesen Projekten, und wie können diese umgangen werden?

Burgwinkel: Firmen versuchen oft, ein Problem zu lösen, indem sie ein Produkt kaufen, anstatt zuerst zu überlegen, was sie mit dem System umsetzen wollen. Dabei bestehen 70 Prozent eines solchen Projekts aus Brainwork. So wird häufig einfach ein ECM-Produkt gekauft. Ein weiterer Fall ist etwa Sharepoint. Die Lösung ist umfangreich und bietet zahlreiche Möglichkeiten des Datenmanagements. Doch hier sind Regeln für den Umgang mit den Daten gefragt.

Wildhaber: Man darf nicht gleich nach Produkten suchen, sondern muss sich zunächst einmal überlegen, was man selbst machen kann. Wie etwa beim Thema E-Mail. Hier würde schon eine Sortierung in "relevant", "irrelevant" und "unklar" helfen. Das sind einfache Massnahmen, die Mitarbeiter auf allen Ebenen für die Frage sensibilisieren: Welche Bedeutung hat Information für uns?

Welche Trends erwarten Sie für den Bereich Information ­Governance?

Burgwinkel: In den nächsten Jahren sollten sich Unternehmen überlegen, in welchem Bereich ihrer Organisation sie Information Governance ansiedeln wollen: in der IT, beim Business oder in der Rechtsabteilung.

Wildhaber: Ich erwarte bessere technische Lösungen, die bei der Bewältigung von Datenmengen helfen. Mit den richtigen Fachkräften können wir diese Daten besser verwenden. Unternehmen sitzen heute auf einem Schatz, den sie kaum nutzen, den sie geradezu sträflich vernachlässigen. Aber ich bin zuversichtlich, dass sich das Verhältnis verbessert. Wir nutzen immer mehr Apps und Informationen. Das wird es mit sich bringen, dass sich die künftigen Generationen viel stärker mit dem Thema Information Governance auseinandersetzen werden, als wir das heute tun.