Regina Mühlich, AdOrga Solutions: Regulierung wird steuerbar, wenn sie organisiert wird.

Re­gu­lie­rung wird in Un­ter­neh­men häufig wie eine Samm­lung ein­zel­ner Pflich­ten behandelt.
Daten­schutz. Com­pli­ance. KI. In­for­ma­ti­ons­si­cher­heit. HR-Pro­­zes­­se. Hin­weis­ge­ber­schutz. Ge­schäfts­ge­heim­nis­se. Dokumentation.

Jedes Thema bringt eigene An­for­de­run­gen mit sich. Eigene Be­grif­fe, eigene Zu­stän­dig­kei­ten, eigene Do­ku­men­te und häufig auch eigene Prüf- oder Nach­weis­pflich­ten. Das ist nach­voll­zieh­bar. Schließ­lich ent­ste­hen re­gu­la­to­ri­sche An­for­de­run­gen selten als Ge­samt­pa­ket. Sie kommen nach­ein­an­der hinzu: durch neue Gesetze, Kun­den­an­for­de­run­gen, Audits, Zer­ti­fi­zie­run­gen, interne Vor­fäl­le oder einfach durch neue tech­ni­sche Entwicklungen.

In der Un­ter­neh­mens­pra­xis führt das jedoch oft dazu, dass viele ein­zel­ne Bau­stei­ne ent­ste­hen. Für jedes Thema gibt es intern eine Richt­li­nie, eine Check­lis­te, ein Ver­zeich­nis, eine Schu­lung oder einen Prozess. Auf dem Papier wirkt das erstmal strukturiert.

Die ent­schei­den­de Frage ist aber: Funk­tio­niert diese Struk­tur auch im Unternehmen?

Re­gu­lie­rung ist nicht nur Rechtsfrage

Gerade bei klein- und mit­tel­stän­di­schen Un­ter­neh­men wird Re­gu­lie­rung häufig ent­we­der als Rechts­fra­ge oder als Ver­wal­tungs­auf­ga­be ver­stan­den. Beides greift zu kurz. Na­tür­lich müssen recht­li­che An­for­de­run­gen ver­stan­den und richtig ein­ge­ord­net werden. Es ist damit aber nicht geklärt, wie sie im Un­ter­neh­men tat­säch­lich um­ge­setzt werden. Wer ist ver­ant­wort­lich? Wer ent­schei­det? Wer do­ku­men­tiert? Wer prüft? Wer erkennt, dass ein Thema nicht nur Daten­schutz, sondern zu­gleich IT, Se­cu­ri­ty, HR, Com­pli­ance oder Ge­schäfts­füh­rung betrifft?

Re­gu­lie­rung wird dort steu­er­bar, wo sie nicht iso­liert ab­ge­ar­bei­tet wird, sondern als Or­ga­ni­sa­ti­ons­fra­ge ver­stan­den wird. Das be­trifft insbesondere:

  • Ver­ant­wort­lich­kei­ten
  • Ent­schei­dungs­we­ge
  • Schnitt­stel­len zwi­schen Fachbereichen
  • Do­­ku­­men­­ta­­ti­ons- und Nachweispflichten
  • Kon­troll­me­cha­nis­men
  • Schu­lung und Sensibilisierung
  • die prak­ti­sche Ein­bin­dung in be­stehen­de Prozesse

Go­ver­nan­ce be­deu­tet dabei nicht, alles kom­pli­zier­ter zu machen. Im Ge­gen­teil! Gute Go­ver­nan­ce ordnet An­for­de­run­gen, so dass sie im Un­ter­neh­men hand­hab­bar werden.

Warum Ein­zel­maß­nah­men schnell an Grenzen stoßen

Viele Un­ter­neh­men haben zu ein­zel­nen Themen bereits etwas auf­ge­baut. Es gibt Da­ten­schutz­do­ku­men­ta­ti­on, In­for­ma­ti­ons­si­cher­heits­maß­nah­men, Com­­pli­­an­ce-Re­­ge­­lun­­gen, Hin­wei­se zum Umgang mit Ge­schäfts­ge­heim­nis­sen, Pro­zes­se für Hin­weis­ge­ber­mel­dun­gen oder erste Vor­ga­ben zur Nutzung von KI. Das Problem liegt selten darin, dass gar nichts vor­han­den ist. Das Problem liegt häu­fi­ger darin, dass die ein­zel­nen Maß­nah­men kaum oder nicht aus­rei­chend mit­ein­an­der ver­knüpft sind.

Ein Bei­spiel: Wenn ein Un­ter­neh­men KI-An­­wen­­dun­­gen ein­führt, ist es nicht aus­rei­chend, nur eine KI-Rich­t­­li­­nie zu er­stel­len. Es stellen sich Fragen des Da­ten­schut­zes, der In­for­ma­ti­ons­si­cher­heit, des Ge­schäfts­ge­heim­nis­ses, der Ver­trau­lich­keit, der Zu­stän­dig­kei­ten, der Frei­ga­ben, der Schu­lung und der Dokumentation.

Ähnlich ist es bei HR-Pro­­zes­­sen. Dort treffen per­so­nen­be­zo­ge­ne Daten, ar­beits­recht­li­che An­for­de­run­gen, Rollen- und Be­rech­ti­gungs­kon­zep­te, Do­ku­men­ta­ti­ons­pflich­ten und zu­neh­mend auch da­ten­ba­sier­te oder KI-ge­­stüt­z­­te Aus­wer­tun­gen aufeinander.

Auch Kunden- und Lie­fe­ran­ten­an­for­de­run­gen greifen häufig über ein­zel­ne Rechts­ge­bie­te hinaus. Wer ge­gen­über Kunden Aus­kunft zu Daten­schutz, In­for­ma­ti­ons­si­cher­heit, Com­pli­ance oder KI-Nutzung geben muss, be­nö­tigt nicht nur ein­zel­ne Do­ku­men­te. Er braucht eine be­last­ba­re Struktur.

Fünf Fragen, die Ge­schäfts­füh­run­gen stellen sollten

Ge­schäfts­füh­rer müssen nicht jede De­tail­an­for­de­rung selbst be­ar­bei­ten. Sie sollten aber er­ken­nen können, ob das Un­ter­neh­men re­gu­la­to­ri­sche An­for­de­run­gen grund­sätz­lich im Griff hat. Dafür helfen ins­be­son­de­re fünf Fragen.

1. Wer ist wofür verantwortlich?

Unklare Ver­ant­wort­lich­kei­ten sind einer der häu­figs­ten Gründe dafür, dass An­for­de­run­gen zwar bekannt sind, aber nicht wirksam um­ge­setzt werden. Es sollte klar sein, wer ein Thema fach­lich betreut, wer ent­schei­det, wer ein­ge­bun­den werden muss und wer die Um­set­zung dokumentiert.
Ebenso wichtig ist die Frage, wo Themen zu­sam­men­lau­fen und wann die Ge­schäfts­füh­rung ein­zu­be­zie­hen ist.

2. Wo liegen die Schnittstellen?

Daten­schutz, IT, HR, Com­pli­ance, Einkauf, Ver­trieb und Ge­schäfts­füh­rung ar­bei­ten in der Praxis selten voll­stän­dig ge­trennt. Viele re­gu­la­to­ri­sche Themen be­tref­fen mehrere Be­rei­che gleich­zei­tig. Gerade an diesen Schnitt­stel­len ent­ste­hen Lücken: etwa bei neuen Soft­ware­lö­sun­gen, KI-An­­wen­­dun­­gen, Dienst­leis­ter­ein­sät­zen, in­ter­na­tio­na­len Da­ten­flüs­sen, Hin­weis­ge­ber­pro­zes­sen oder Kundenanforderungen.
Schnitt­stel­len müssen deshalb nicht nur erkannt werden. Sie müssen auch or­ga­ni­sa­to­risch ge­re­gelt werden.

3. Welche Nach­wei­se brau­chen wir?

Re­gu­la­to­ri­sche An­for­de­run­gen enden nicht bei der Um­set­zung. Un­ter­neh­men müssen zu­neh­mend zeigen können, dass An­for­de­run­gen ver­stan­den, be­wer­tet und um­ge­setzt wurden. Das kann ge­gen­über Be­hör­den re­le­vant werden, aber ebenso ge­gen­über Kunden, Au­di­to­ren, Kon­zern­stel­len, Ver­si­che­rern oder Geschäftspartnern.
Nach­wei­se müssen dabei nicht mög­lichst um­fang­reich sein. Sie müssen nach­voll­zieh­bar, aktuell und auf­find­bar sein.

4. Was hat wirk­lich Priorität?

Nicht jede An­for­de­rung hat die­sel­be Dring­lich­keit. Ohne Über­blick wird jedoch schnell alles wichtig. Und wenn alles wichtig ist, wird am Ende oft nichts kon­se­quent ge­steu­ert. Eine pra­xis­taug­li­che Go­ver­nan­ce hilft dabei, Themen zu prio­ri­sie­ren: nach Risiko, Re­le­vanz, Um­set­zungs­auf­wand, Au­ßen­wir­kung und be­stehen­den Lücken.
Gerade im Mit­tel­stand ist das ent­schei­dend. Res­sour­cen sind begrenzt. Umso wich­ti­ger ist es, sie dort ein­zu­set­zen, wo sie tat­säch­lich Wirkung entfalten.

5. Funk­tio­niert das im Arbeitsalltag?

Eine Richt­li­nie ist nur dann hilf­reich, wenn sie ver­stan­den und genutzt wird. Ein Prozess ist nur dann be­last­bar, wenn er zu den tat­säch­li­chen Ab­läu­fen passt. Eine Do­ku­men­ta­ti­on ist nur dann sinn­voll, wenn sie ge­pflegt wird und im Ernst­fall ver­füg­bar ist.

Go­ver­nan­ce darf deshalb nicht nur formal gedacht werden. Sie muss all­tags­taug­lich sein.

Daten­schutz bleibt ein zen­tra­ler Vertrauensanker

Daten­schutz ist in vielen Un­ter­neh­men der Bereich, in dem re­gu­la­to­ri­sche Or­ga­ni­sa­ti­on bereits am stärks­ten aus­ge­prägt ist. Es gibt Ver­zeich­nis­se, Pro­zes­se, Rollen, Prü­fun­gen, In­for­ma­ti­ons­pflich­ten, Dienst­leis­ter­be­wer­tun­gen und Dokumentationsanforderungen.

Gerade deshalb kann Daten­schutz ein wich­ti­ger Aus­gangs­punkt für Go­­ver­­nan­ce-Struk­­tu­­ren sein.
Das be­deu­tet aber nicht, Daten­schutz mit allen anderen Themen gleich­zu­set­zen oder alles beim Daten­schutz ab­zu­la­den. Es be­deu­tet viel­mehr, vor­han­de­ne Struk­tu­ren sinn­voll zu nutzen und weiterzuentwickeln.

Die Tä­tig­keit als Da­ten­schutz­be­auf­trag­ter bleibt dabei ein zen­tra­ler Ver­trau­ens­an­ker. Sie gewinnt sogar an Be­deu­tung, wenn Daten­schutz nicht iso­liert be­trach­tet wird, sondern im Zu­sam­men­spiel mit KI-Go­­ver­­nan­ce, Com­pli­ance, In­for­ma­ti­ons­si­cher­heit, HR-Pro­­zes­­sen und Kundenanforderungen.

Go­ver­nan­ce heißt nicht: mehr Papier

Ein häu­fi­ger Irrtum ist, Go­ver­nan­ce mit zu­sätz­li­cher Bü­ro­kra­tie gleichzusetzen.
Na­tür­lich braucht es Do­ku­men­ta­ti­on. Ohne Do­ku­men­ta­ti­on gibt es keine be­last­ba­ren Nach­wei­se. Aber gute Go­ver­nan­ce misst sich nicht an der Anzahl der Dokumente.
Ent­schei­dend ist, ob Ver­ant­wort­lich­kei­ten, Do­ku­men­ta­ti­on und Pro­zes­se zusammenpassen.
Eine gute Richt­li­nie ersetzt keine klare Zu­stän­dig­keit. Ein Ver­zeich­nis ersetzt keine ge­leb­ten Pro­zes­se. Eine Schu­lung ersetzt keine Ent­schei­dung darüber, wer neue An­wen­dun­gen frei­gibt. Und ein Au­dit­fra­ge­bo­gen ersetzt keine be­last­ba­re Struk­tur im Unternehmen.

Go­ver­nan­ce soll nicht mehr Papier er­zeu­gen. Sie soll Ori­en­tie­rung schaffen.

Fazit: Steu­er­bar­keit ent­steht durch Organisation

Re­gu­lie­rung wird für Un­ter­neh­men nicht dadurch ein­fa­cher, dass man sie in immer klei­ne­re Ein­zel­the­men zerlegt. Und sie wird auch nicht dadurch steu­er­bar, dass man sie beklagt. Steu­er­bar­keit ent­steht, wenn An­for­de­run­gen ver­stan­den, prio­ri­siert, zu­ge­ord­net und in die Or­ga­ni­sa­ti­on über­setzt werden.

Gerade im Mit­tel­stand geht es deshalb nicht darum, für jedes neue Thema ein wei­te­res Ein­zel­pro­jekt auf­zu­set­zen. Es geht darum, Zu­sam­men­hän­ge zu er­ken­nen, vor­han­de­ne Schnitt­stel­len zu iden­ti­fi­zie­ren, vor­han­de­ne Struk­tu­ren zu nutzen und re­gu­la­to­ri­sche An­for­de­run­gen so zu ordnen, dass sie im Un­ter­neh­men funktionieren.

Am Ende zählt nicht die schöns­te Richt­li­nie. Sondern ob Ver­ant­wort­lich­kei­ten, Do­ku­men­ta­ti­on und Pro­zes­se im Un­ter­neh­men funktionieren.

Re­gu­lie­rung wird nicht dadurch steu­er­bar, dass man sie beklagt. Sondern dadurch, dass man sie organisiert.

Gerne un­ter­stüt­zen wir Sie dabei, re­gu­la­to­ri­sche An­for­de­run­gen im Un­ter­neh­men zu struk­tu­rie­ren, Ver­ant­wort­lich­kei­ten zu klären und pra­xis­taug­li­che Go­­ver­­nan­ce-Pro­­zes­­se auf­zu­bau­en. Kontakt: consulting@AdOrgaSolutions.de.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!