Welches sind die wunden Punkte in der Datenhaltung bzw. Dokumentenverwaltung? Welches sind die „ewigen Hindernisse“, an welche sich die meisten Organisationen die Zähne ausbeissen?

Die meisten Organisationen verfügen implizit oder explizit über ein „Records Management System“, egal unter welchem Begriff ein solches in der Firma bekannt ist. Hauptsache die (rechts-)relevanten Dokumente, Akten, Belege usw. werden systematisch geführt und verwaltet, d.h. jemand kümmert sich darum. – Ist das so? Haben Sie sich auch schon gefragt, wieso denn gerade in unserem Unternehmen die Dokumentenverwaltung nicht so funktioniert, wie sie eigentlich sollte?

Die folgenden vier „Pain Points“ sind die statistisch am häufigsten auftretenden Probleme bei der praktischen Umsetzung eines Projekts bzw. Unterhalt eines Programms zur Verwaltung von Geschäftsinformation. Sie bergen auch die grössten Risiken. Am Schluss dieses Beitrags werden entsprechende Ansatzpunkte formuliert, um die entsprechenden Risiken zu minimieren.

• Fehlende Verantwortlichkeiten
• Durchsetzungsdefizite
• Unterbrochene Datenobhut (broken custody chain) & Datenklau
• Nichtbefolgung der offiziellen Aufbewahrungsregeln (schedule compliance) und als Folge davon fehlende oder unkontrollierte Datenvernichtung

1. Fehlende Verantwortlichkeiten

„The root of all of our problems with information, and we do have lots of problems with it, is the fact that there is no accountability for information as such.“ (Debra Logan, Gartner)

Die Kühlschrankanalogie im KRM-Video macht auf einfache Weise klar, was passiert, wenn sich niemand um den Lebenszyklus von Geschäftsinformation kümmert. Die IT kümmert sich in der Regel bloss um die Systeme bzw. Infrastruktur und nicht um die Bedeutung von Information im Business-Kontext. In vielen Organisationen fehlt deshalb eine Rolle (Informationsmanager, Records Manager), die verantwortlich ist für den Umgang und den Lebenszyklus der aufbewahrungspflichtigen Geschäftsinformation. Und dort, wo Rollen und Aufgaben definiert sind, braucht es klare Regeln betr. „Ownership“ (Verfügungsgewalt) und „Stewardship“ (operative Verantwortung, zB Qualität der Daten) sowie eine transparente Dokumentation aller Verantwortlichkeiten bis hin zur Regelung der Haftungsfragen im Gerichtsfall.

2. Durchsetzungsdefizite – „Successfully selling what nobody wants“

Der berühmte Fall der Firma Enron im Jahre 2001/2002 hat vor Augen geführt was passieren kann, wenn zwar Richtlinien bestehen, diese aber nur sehr mangelhaft durchgesetzt oder sogar absichtlich hintergangen wurden. Arthur Andersen ist in Konkurs gegangen. Sofern überhaupt Aufbewahrungsprogramme und Fachstellen in den Unternehmen bestehen, müssen die entsprechenden Richtlinien durchgesetzt werden, was nicht nur ein reines Führungsproblem ist, sondern auch viel mit der Unternehmenskultur zu tun hat, die über geeignete Kommunikationsmassnahmen beeinflusst werden kann.  Der US-Branchenverband AIIM hat in diversen Umfragen immwer wieder die selben Schwachpunkte identifiziert:

• Zwei Drittel der Organisationen verfügen über eine Informationsmanagement Strategie, aber nur etwas über 20% wenden sie an.
• Fast 80% der Organisationen verfügen über Aufbewahrungsrichtlinien, aber nur etwas über 30% setzen sie durch.
• Über 70% verfügen über Regelungen betr. Umgang mit mobilen Geräten sowie Soziale Medien, aber nur 30% setzen sie durch.

Diese Werte haben sich über die Zeit kaum verändert. Vorgaben ohne Durchsetzungschancen sind jedoch nutzlos und merken sie sich: Policies ohne Sanktionsmöglichkeiten bei Regelverstoss sind wirkungslos. Es bleibt die unangenehme Herausforderung etwas wirklich durchzusetzen was niemand so richtig will.

3. Unterbrochene Datenobhut (broken custody chain) und Datenklau

Viele Datenlücken entstehen, wenn Mitarbeiter die Firma verlassen oder in einen andern Bereich wechseln ohne ihre relevanten Daten und Dokumente an den Nachfolger oder Vorgesetzten zu transferieren. Für Rechtsdienste ist es zB ein Albtraum, wenn  Transaktionen oder Geschäftsvorfälle nicht mehr nachvollziehbar sind, weil die Mails mit wichtigen Entscheiden und Aussagen drei Monate nach Austritt des Mitarbeiters defaultmässig gelöscht worden sind und damit jede Evidenz verloren gegangen ist. Noch gravierender sind die Auswirkungen des unrechtmässigen Abzugs von Daten von Mitarbeitern, die die Firma verlassen. Es ist sehr verbreitet und erwiesen, dass Mitarbeiter absichtlich sensitive und vertrauliche Daten zu ihrem nächsten Arbeitgeber oder in die eigene Firma mitnehmen. Eine aufschlussreiche Studie von Osterman Research (2016) hat ergeben, dass die entsprechenden Auswirkungen höher sind als angenommen. Über 80% die ihren Job verlassen nehmen ihre selbst generierten Daten mit obwohl diese juristisch dem Unternehmen gehören (Arbeitserzeugnisse); fast 30% die ihren Job verlassen nehmen Daten mit, die ihre Kollegen in der Firma erzeugt haben. Die Studie liefert Erklärungsgründe und Präventionsmassnahmen; u.a. sollte der unrechtmässige Abzug von Daten via „removable or mobile devices“ durch technische Hürden verhindert werden (was  auch ein ziemliches hoffnungsloses Unterfangen ist).

4. Nichtbefolgung der offiziellen Aufbewahrungsregeln (schedule non-compliance) und als Folge davon fehlende oder unkontrollierte Datenvernichtung

Wenn ein Aufbewahrungsplan existiert und zB vorgibt, dass gewisse Akten nach 10 Jahren vernichtet werden sollten, dann sollte dies auch geschehen. Die Regel ist jedoch heute, dass viele Vorgaben – sofern sie denn definiert sind – sehr lasch gehandhabt werden. Dies führt zu einer permanenten non-Compliance mit einmal festgelegten Aufbewahrungsfristen. Ein wichtiger Grund ist die Tatsache, dass die meisten Aufbewahrungspläne reine Referenzpunkte sind, die nie eine funktionale Integration der Lifecycle Attribute (Frist, Trigger) in irgendwelche Dokumentenmanagement- oder ERP-Systeme erfahren haben. Dies würde zumindest eine Teilautomatisierung des Lebenszyklusmanagements von Records erlauben. Die vollvernetzte und automatisierte Kontrolle der Aufbewahrungsfrist bleibt jedoch eine Vision, die zwar technisch machbar ist (DM/RM-Systeme verfügen über die entsprechende Funktionalität), aber aus organisatorischen Gründen kaum im Unternehmensalltag anzutreffen ist  (vgl. Kap. 4.4.11 des Leitfadens Information Governance: Tools zum Management eines unternehmensweiten Archivplans)

Schliesslich wird auch als eine Folge von unzulänglichem Handling von Aufbewahrungsinstrumenten die Vernichtung von abgelaufenen Records nicht systematisch durchgeführt, womit die KRM-These  bestätigt wird, dass nur diejenigen Organisationen ihre Daten im Griff haben, die auch kontrolliert löschen können, denn speichern kann jeder!

Eine zu lange Aufbewahrung birgt zwar kleinere Risiken als eine vorzeitige irrtümliche Vernichtung, aber grosse Datenfriedhöfe generieren unnötige Kosten. Als Prävention gilt auch hier: Disziplin bei der Durchsetzung einmal definierter Regeln, zudem sollten regelmässig Data Cleanups durchgeführt werden, das KRM bietet dazu Hand.

Ansatzpunkte zur Risikominimierung