So wurde die bestehende Entwicklung zur Digitalisierung der Produkte und Dienstleistungen durch die COVID-19-Pandemie nochmals entscheidend beschleunigt. Die Strategie „Digitalisierung“ steht dabei aber für vielmehr als bspw. für die Einführung eines Dokumentenmanagementsystems - es ist die komplette neue Ausrichtung des Unternehmens auf geänderte Anforderungen. Fest steht: Auch durch Digitalisierung verändert sich die Welt und damit auch die (nicht nur) digitale Risikolage der Unternehmen.
Aber was ist Digitalisierung? Digitalisierung wird gegenwärtig noch inflationärer genutzt als vor zwei bis drei Jahren – man kann bereits von einem digitalen „Overload“ sprechen. Dabei steht „Digitalisierung“ grundsätzlich zunächst rein für die Überführung von Informationen, wie bspw. papierbasierte Dokumente oder Bilder in ein binäres Format. Wie uns eine einschlägig bekannte Online-Enzyklopädie wissen lässt, steht im Weiteren (und heute meist üblichen) Sinn „der Begriff insgesamt für den Wandel hin zu digitalen Prozessen mittels Informations- und Kommunikationstechnik“.
Digitalisierung in Zeiten von COVID-19
COVID-19 hat stark dazu beigetragen, das „digitale Denken“ zu beschleunigen bzw. dabei auch für ein Umdenken zu sorgen. Viele Projekte, die zuvor verschoben wurden, mussten unter Hochdruck umgesetzt werden, um möglichst handlungsfähig zu bleiben.
Hier zeigte sich, dass Deutschland noch nicht vollständig im digitalen Zeitalter angekommen ist – ganz zu schweigen von der öffentlichen Verwaltung. Deutsche Behörden haben nach dem Onlinezugangsgesetz (OZG) bis Ende 2022 Zeit, um die Verwaltungsleistungen auch online zur Verfügung zu stellen. Knapp 600 Leistungen wurden dabei von Bund, Länder und Kommunen definiert. Seitens des WDR wurde im Rahmen des Projektes „docupy“ recherchiert, dass zum Stichtag 1.3.2020 für 3 von 600 Leistungen online Anträge abgesendet werden können, vollständig online aber keine Leistung nutzbar ist. Auch hier wird durch die Pandemie deutlich mehr Geschwindigkeit in die Themen kommen (müssen).
Für viele Unternehmen geht es aber krisenbedingt kurz- und mittelfristig um das reine Überleben. Die niedrigen Umsätze in den einzelnen Branchen tragen mit dazu bei, dass Investitionen - auch in die Digitalisierung - nicht vorgenommen werden. Dennoch erhöht die Corona-Krise das Bewusstsein für die Digitalisierung. Durch die weitreichenden, weltweiten Folgen ist Digitalisierung aber nicht die logische Schlussfolgerung.
Im Folgenden haben wir für die Fallgruppen #E-Commerce, #Homeoffice und die #Finanzbranche die Auswirkungen der Covid-19-Pandemie auf die Digitalisierung in diesen Bereichen näher beleuchtet.
#E-Commerce
Der E-Commerce boomt und Unternehmen, deren Produkte und Dienstleistungen bislang nicht digitalisiert werden konnten, werden sich spätestens jetzt damit befassen müssen, um auch langfristig konkurrenzfähig bleiben zu können.
Gerade die Corona-Pandemie beschleunigt das sich wandelnde Kaufverhalten der Kunden zugunsten des E-Commerce. Die Zahl der Neukunden in Online-Shops und Verkaufsportalen steigt stetig und auch die ältere Generation oder Kunden, die noch nie online eingekauft haben, werden durch die aktuellen Gegebenheiten regelrecht gezwungen, sich mit Online-Shopping auseinanderzusetzen. Dies wird langfristig Auswirkungen auf das Kaufverhalten sowie den klassischen stationären Handel haben.
Neben den Herausforderungen und Veränderungen im privaten Umfeld sowie dem geänderten Konsumenten- und Kaufverhalten ist auch klar ersichtlich, dass es bereits Veränderungen im Arbeitsleben gibt und starre Routinen durch neue, flexiblere Arbeitsweisen und -modelle ersetzt wurden. Es wird erfolgsentscheidend, sich mit den möglichen Ausprägungen und Folgen für die Arbeitswelt auch nach COVID-19 zu befassen. Das bedeutet unter anderem auch, den Mitarbeitern die notwendigen Arbeitsbedingungen zu schaffen.
#Exkurs Digitalisierung von morgen im täglichen Leben
Aus der Kombination einzelner Aspekte der Digitalisierung innerhalb der digitalen Revolution kann sich bspw. folgendes Szenario im Einzelhandel ergeben:
- Ein Kunde betritt (unter Einhaltung der Wahrung des Mindestabstandes) eine stationäre Verkaufsstelle („Laden“) und wird optisch identifiziert (mit oder ohne Mundschutz!).
- Der Kunde wird über sein Smartphone auf für ihn „interessante“ Artikel hingewiesen.
- Der Kunde markiert einige Artikel für die spätere Zusendung. Andere Artikel legt er direkt in den Einkaufswagen.
- Beim Verlassen der Verkaufsstelle werden automatisch die Artikel seinem Kundenkonto zugeordnet und Konditionen berechnet. Logistische Aufträge werden automatisch generiert.
- Bestellungen werden automatisch an Lieferanten übermittelt. Die Bestandsführung ist minimal.
- Via 3D-Druck werden die Artikel sofort produziert.
- Die Drohnenauslieferung erfolgt innerhalb von 60 Minuten.
#Änderungen der Digitalisierung
Digitalisierung umfasst ein weites Spektrum von der Prozessintegration über Big Data bis hin zur Industrie 4.0. Digitalisierung ist die Kombination von mehreren Prozessen und Schritten, die Transformation von Information und Durchführung von Kommunikation.
Beispiel: So können Unternehmensabläufe durch die Digitalisierung mit RFID (Radio-Frequency-Identiication) komplett geändert werden. Hierbei dienen Chips der berührungslosen Identifikation von „Dingen“ via Radiowellen, sie kosten nur wenige Cents und haben die Form eines Aufklebers. RFID-Chips sind insbesondere im Bereich der Lagerlogistik sehr interessant, wenn in einem ersten Schritt jede Palette und im zweiten Schritt jeder Artikel mit einem solchen Chip ausgestattet wird. Dadurch ist der Standort jedes einzelnen Artikels sowie deren Menge jederzeit bekannt. Dies gilt nicht nur für die Artikel am Lagerplatz, sondern auch für Artikel auf dem Transportweg und führt u. a. dazu, dass jeder Artikel in Echtzeit nachverfolgt werden kann, Inventur und Bestandsinformationen auf Knopfdruck zur Verfügung stehen und Lagerbuchungen durch Standortverlagerungen (bspw. Umlagerungen oder Gefahrübergang zur Spedition) automatisiert erfolgen.
Geschäftsmodelle werden sich radikal ändern. Nur wer in der IT frühzeitig Geschwindigkeit, Qualität und Ordnungsmäßigkeit (Compliance) unter Berücksichtigung von IT-Sicherheit miteinander in Einklang bringt, wird am Markt bestehen. Digitalisierung beginnt bei einer Strategie. War früher eine klare IT-Strategie im Mittelstand ein „Nice-to-have“, so ist sie heute zwingende Voraussetzung für die Umsetzung von Geschäftsmodellen. IT-Sicherheit und IT-Compliance sind ebenso von integraler Bedeutung. Unternehmenserfolg setzt die richtigen Mitarbeiter mit der richtigen Qualifikation voraus!
#Homeoffice
Unternehmen mussten branchenübergreifend aufgrund der Pandemie innerhalb weniger Tage die Arbeit von ihren Büros in das „Homeoffice“ verlagern. Aus einem Unternehmensstandort wurden faktisch über Nacht Hunderte oder Tausende.
Viele stellten dabei fest, dass sich die Arbeit im Homeoffice produktiver gestalten lässt und keine Zeit im Berufsverkehr verloren wird. Demzufolge ist anzunehmen, dass auch nach der Krise eine Vielzahl der Mitarbeiter weiterhin im Homeoffice arbeiten wird und Unternehmen dafür Sorge zu tragen haben, dass sie die notwendigen Rahmenbedingungen für ein produktives Arbeiten im Homeoffice für ihre Mitarbeiter schaffen.
Voraussetzung für das Arbeiten im Homeoffice ist eine Softwareunterstützung bei der virtuellen Zusammenarbeit. Kollaborationstools (wie z. B. Microsoft Teams, Webex, GoToMeeting etc.) haben im Rahmen der Pandemie einen beispiellosen Siegeszug angetreten.
Verstärkt wird diese Erfolgsgeschichte durch den Trend zum projektorientieren ortsunabhängigen und agilen Arbeiten. Ansätze zum agilen Arbeiten waren schon in den vergangenen Jahren zu beobachten und Unternehmen setzten immer häufiger im Rahmen des Projektmanagements agile Methoden ein. Hinzu kommt nun die Herausforderung der Standortunabhängigkeit, da die räumliche Nähe der einzelnen Teammitglieder der agilen Teams nun durch das Remote-Arbeiten nicht mehr gegeben ist.
Aber die schöne neue digitale Welt im Homeoffice hat auch ihre Schattenseiten und damit meinen wir nicht die arbeitspsychologischen Themen. Als Stichwort sei hier Cyberkriminalität genannt - mehr unter „Risiken der Digitalisierung“.
#Finanzbranche
Digitalen Infrastrukturen kommt gegenwärtig eine deutlich höhere Bedeutung zu. Ohne eine entsprechende IT (auf allen Ebenen – Personal, Infrastruktur, Software) ist ein stabiler, ausfallsicherer sowie funktionierender Geschäftsbetrieb nicht möglich. Dies gilt insbesondere auch für Unternehmen in der Finanzbranche, da hier eine enorm hohe Abhängigkeit besteht.
Die Wichtigkeit der IT hat auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkannt und bereits in den Jahren 2017 bis 2019 im ersten Schritt die „Bankaufsichtliche Anforderungen an die IT“ (BAIT), anschließend die „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) sowie abschließend die „Kapitalverwaltungsaufsichtliche Anforderungen an die IT“ (KAIT) entwickelt und veröffentlicht, um die zuvor allgemein gehaltenen Anforderungen der Aufsicht an die IT zu konkretisieren und transparenter darzulegen.
Im Financial-Bereich steht Digitalisierung für die Unterstützung und Automatisierung von Geschäfts- und IT-Prozessen mittels relevanter Daten sowie geeigneter IT-Systeme (Hard- und Softwarekomponenten) - und zwar nicht nur innerhalb des Unternehmens, sondern bis zum Kunden. Wichtig ist die Vernetzung zu allen wesentlichen Schnittstellen. Die Digitalisierung eines Geschäftsprozesses ist jedoch nicht ausreichend, da erst die Verknüpfung der Prozessschritte zu einem tatsächlich digitalisierten Vorteil führt.
Wenngleich Online-Banking bereits seit Jahren existiert war bis zur Corona-Krise das klassische Filialgeschäft war weiterhin das bevorzugte Medium. Allerdings sind schon in den letzten Jahren Unternehmen in den Markt eingetreten, welche ihre Kunden primär online, bspw. über kundennutzenorientierten Banking- und Zahlungs-Apps, bedienen. Insb. die Bestandsinstitute sind somit gefragt sich an das geänderte Nutzerverhalten anzupassen.
#Exkurs: Digitalisierung & Outsourcing (beispielhaft im Kontext der BAIT)
Digitalisierung bringt stetig neue Anforderungen mit sich – umso wichtiger ist auch hier die strategische Ausrichtung. Mit der Digitalisierung ist zu beobachten, dass der Part des IT-Outsourcings bzw. die Spezialisierung von Dienstleistern auf diesen Geschäftszweig zugenommen hat. Gleichzeitig ist das Feld der Digitalisierung für viele etablierte Unternehmen der Kern der zukünftigen Strategie. Die SAP AG sei hier als Beispiel genannt, welche viele ihrer Anwendungen ausschließlich Cloud-basiert in den eigenen Rechenzentren anbieten möchte.
Der Faktor Geld spielt beim Outsourcing zwar immer noch eine Rolle, aber vermehrt eine untergeordnete. Der zentrale Faktor in der digitalen Welt wird die Verfügbarkeit und Geschwindigkeit - sowohl der Verarbeitung als auch der Zurverfügungstellung - von Informationen sein. Im Financial-Bereich bedeutet dies bspw. ein hochverfügbares Rechenzentrum bzw. zur Erhöhung der Ausfallsicherheit, mindestens ein weiteres Rechenzentrum zu betreiben, mit allen Anforderungen zur Einhaltung der Anforderungen u. a. der MaRisk.
Diesen Faktor haben aber sowohl Finanzinstitute als auch die BaFin erkannt. Bei dem Themenkomplex der Auslagerung, egal in welcher Form und in welchem Umfang, besteht bspw. auch bei den bankaufsichtsrechtlichen Forderungen die grundsätzliche Prämisse, dass die Verantwortung beim auslagernden Unternehmen verbleibt. Die MaRisk unterscheiden strikt zwischen dem sog. Fremdbezug sonstiger Dienstleistungen und einer wesentlichen Auslagerung. Der sonstige Fremdbezug wird nicht als Auslagerung bewertet.
Ergänzend zu den Anforderungen und Definitionen der MaRisk zu (wesentlichen) Auslagerungen, unterstreichen die BAIT die Betrachtungsrelevanz für den sonstigen Fremdbezug. So ist auch für diese, zumindest im Vorfeld, eine (einmalige) Risikobetrachtung durchzuführen und in den Risikomanagementprozess zu implementieren (zu berücksichtigen). Auch die als sonstiger Fremdbezug eingestufte (Fremd-)Dienstleistung ist durch das Institut zu überwachen.
Die BAIT konkretisieren den bereits ausführlichen Abschnitt der MaRisk über die Auslagerung von Dienstleistungen nicht direkt. Vielmehr wird der sonstige Fremdbezug von Dienstleistungen einer größeren Aufmerksamkeit zuteil, wenn auch noch nicht so weit und detailliert wie bei einer wesentlichen Auslagerung.
Risiken der Digitalisierung - Informationssicherheit, Datenschutz und steuerliche Ordnungsmäßigkeit
Digitalisierung birgt Vorteile aber auch Nachteile - neben strategischen Risiken aufgrund sich ändernder Wertschöpfungsketten sind dies auch die zunehmenden Informations- und Cybersicherheitsrisiken. Die Aussage, dass es für den Mitarbeiter unwichtig ist, wo er sich befindet, um Zugriff auf relevante Daten zu erhalten, ist einer der Kerngedanken in der digitalen Bewegung. In Verbindung mit Covid-19, dem angeordneten Lockdown bzw. der nun erfolgenden Wiederaufnahme des laufenden Betriebes kann dies folgende Risiken herbeiführen:
- Nutzung von Unternehmensinhalten auf nicht kontrollierbaren Endgeräten durch Mitarbeiter, die ggf. nicht der internen Sicherheitsrichtlinie entsprechen
- Überlastung bzw. nicht ausreichend vorbereitete IT-Systemlandschaft
- Unautorisierter Datentransfer
- Kein Umgang mit sensiblen Daten nach den Unternehmensrichtlinien
- Wesentliche Auslagerungen im Sinne des Outsourcings werden nicht im ausreichenden Maße erbracht
- Verstoß gegen datenschutzrechtliche Aspekte.
Gerade während der Krise existieren gravierende Cyberbedrohungen. Cyberkriminelle machen sich den Umstand zunutze, dass Mitarbeiter aus dem Homeoffice auf sensible Firmendaten zugreifen. Deshalb wird es auch nach der Krise notwendig sein, dass Wirtschaft und öffentliche Hand in Deutschland neben der eigentlichen Digitalisierung die Cybersecurity weiter ausbauen, um somit auch längerfristig die digitale Entwicklung voranzutreiben sowie das IT- Sicherheitsniveau in der jeweiligen Organisation aber auch in der Gesellschaft insgesamt zu steigern. Der Umgang mit Informationssicherheit im Rahmen eines strukturierten IT-Sicherheitsmanagement (ISMS) wird nicht nur für „kritische Infrastrukturen“ der Stand der Technik werden.
Die Zwangsdigitalisierung in den Zeiten von COVID-19 und speziell der flächendeckende sehr kurzfristig konzipierte Einsatz von Softwaresysteme hat zu erheblichen Prozessveränderungen geführt. Datenschutzaspekte der DSGVO (z. B. bei der Ablage personenbezogener Firmendaten auf dem privaten Endgerät) und Aspekte der steuerlichen Ordnungsmäßigkeit z. B. GoBD (z. B. bei Scannen bzw. Fotografieren von Belegen) haben dabei in der Regel nur eine untergeordnete Rolle gespielt.
Digitalisierungsstrategie
Das wichtigste Werkzeug, um die Digitalisierung voranzutreiben und damit Synergien der technischen- und der fachlichen Seite im Unternehmen zu nutzen, ist eine langfristige und nachhaltige Strategie. Dies inkludiert sowohl strategische Maßnahmen im Bereich der IT-Sicherheit, betrachtet aber auch weiterhin die Möglichkeit zum Outsourcing. Die aufsichtsrechtlichen und gesetzlichen Anforderungen werden in Zukunft eine noch größere Hürde darstellen – daher wird dies umso wichtiger sein.
Dies zeigen bspw. auch die Ende November 2019 veröffentlichten und seit dem 1.1.2020 geltenden „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Das auch hier gilt „GoBD goes digital“ zeigt bspw. die Rz.20 („Speichermedium Cloud“) der GoBD. Im Vergleich zu dem vorgehenden Schreiben aus 2014 wird u. a. die Definition von Datenverarbeitungs- und Ablagesystemen ergänzt. Demnach ist es unerheblich, ob die Systeme als eigene Hard- bzw. Software genutzt oder in einer Cloud bzw. als eine Kombination dieser Systeme betrieben werden (Rz. 20). Das Cloudsystem als Speichermedium sowie als Bearbeitungs- und Ablagetool zählt somit fortan als anerkanntes System für Haupt-, Vor- und Nebensysteme. Entscheidend ist der Standort des Cloud-Servers. Befindet sich dieser im Ausland, ist eine Genehmigung zur Aufbewahrung von Buchführungsunterlagen im Ausland gemäß §146 Abs. 2a AO erforderlich.
Fazit
Die rasanten Entwicklungen der letzten Wochen und Monate infolge der Covid-19-Pandemie werden auch nach der Krise erhalten bleiben und es ist anzunehmen, dass es zu einer neuen Normalität - dem „New Normal“ kommen wird. Die Umsetzung der Digitalisierung im deutschen Raum stellt eine umfassende Herausforderung dar, die noch einige Zeit in Anspruch nehmen wird. Die letzten ca. drei Monate haben gezeigt, dass Unternehmen innerhalb einer verhältnismäßig kurzen Zeit die bisherige Arbeitsweise um teilweise 180 Grad wenden können und trotzdem handlungsfähig bleiben. Entscheidend wird jetzt sein, im Rahmen eines Compliance Reengeneerings aus den Notfallprozessen der Pandemiezeit klare Prozesse zu entwickeln und zu dokumentieren (!), die u. a. auch Informationssicherheit, DSGVO und GoBD berücksichtigen.