Wie Sie den Überblick über Ihre Daten, relevante Gesetze und IT-Systeme gewinnen (1)

Für viele Unternehmen ist es nicht leicht den Überblick über die ständig wachsenden und in der Cloud verteilten Datenbestände zu behalten und nachzuprüfen, ob die relevanten gesetzlichen Anforderungen erfüllt werden.

In diesem ersten Blogbeitrag stellen wir eine Visualisierungsmethode vor, um die Beziehungen zwischen den gesetzlichen Anforderungen, Datenbeständen, IT-Systemen und verteilten internen Servierstandorten und Clouddiensten herzustellen. Die Modellierungsnotation „ArchiMate“ wird schon länger in der Softwarearchitektur für die Darstellung von Enterprise Architecture Landschaften verwenden. Insbesondere für die Darstellung von Records Management und Information Governance Analysen kann diese Methode hilfreich sein die Abhängigkeiten zu visualisieren und zu diskutieren.

Grundidee der Methode ist es, die Zusammenhänge zwischen (a) gesetzlichen und geschäftlichen Anforderungen (b) Geschäftsdaten und -prozessen, (c) Applikationen und der (d) Technologieinfrastruktur abzubilden.

Typische Fragestellungen in Information Governance Projekten sind:

• Welche Gesetze sind für Datenbestand 1 relevant und in welchen Geschäftsprozessen werden die Daten benutzt?
• In welchen Applikationen werden die Daten verarbeitet und an welchen Standorten bzw. Systemen werden die Daten gespeichert?

Viele Unternehmen haben für den ersten Teil der Frage umfangreiche Tabellen mit Verweisen auf Gesetze, Aufbewahrungsfristen und Dokumentenbestände  erstellt. Zum anderen werden die IT-Systeme meist in Handbüchern und Übersichten dokumentiert, wobei die gesetzlichen Anforderungen meist nur initial bei der Einführung dokumentiert werden. Die „ArchiMate“ Methode will die Brücke zwischen diesen beiden Kernfragen schliessen.

Im folgenden Beispiel wollen wir die Visualisierung von Anforderungen der Stakeholder für ein Digitialisierungsprojekt erläutern (siehe Abbildung). Die Stakeholder in der Geschäftsleitung wollen im Rahmen der Digitalisierung die Kundenschnittstelle im Internet verbessern. Zudem fordert der Leiter Recht und Compliance, dass die Rechtskonformität sichergestellt wird. Diese „Driver“ in der unteren Abbildung lassen sich weiter hinunterbrechen, nämlich in die Ziele „Kunde soll Vertrag über Internet abschliessen“, „Datenschutz“ und die „Einhaltung der rechtlichen Anforderung der Geschäftsbücherverordnung“. Im nächsten Schritt müssen die Ziele in konkrete „Requirements“ bzw. „Constraints“ detailliert werden. Insbesondere beim Records Management sind häufig „Prinzipien“ wie Nachvollziehbarkeit, Ordnungsmässig aufgeführt welche weiter detailliert werden müssen.

Wir nehmen in unserem Beispiel an, dass die Requirements ausformuliert wurden. Im nächsten Schritt werden nun die drei Schichten der Business, Applikationen und Infrastruktur modelliert und die Abhängigkeiten dokumentiert. Für diese Schichten stellt die Notationssprache ebenfalls Symbole bereit. Es lassen sich somit folgende Beispiele abbilden:

• Die Anforderungen „Datenschutz“ haben Einfluss auf die Wahl des Serverstandortes und welche Nutzers (aus verschiedenen Ländern) auf die Daten zugreifen dürfen.
• Die Anforderungen der Ordnungsmässigkeit hat Einfluss auf die Gestaltung der Geschäftsprozesse und Datenhaltung etc.

Im nächsten Blogbeitrag werden wir Beispiele im Kontext vom DMS und Archivsystemen geben. Eine Liste mit am markterhältlichen Modellierungstools und Details zur Modellierung der rechtlichen Anforderungen senden wir Ihnen gerne per E-Mail zu.