Interview mit ECM-Experten Bernhard Zöller zu Collaboration
Wie wirkt sich die aktuelle Covid-19-bedingte Situation auf das Angebot von und die Nachfrage nach Collaboration-Lösungen aus?
Zöller: Es ist eine massive Nutzungszunahme zu verzeichnen. Ich kenne kein Unternehmen, welches nicht auf den Einsatz von Collaboration-Tools wie »WebEx«, »Zoom«, »Microsoft Teams« & Co. setzt – allerdings meistens wohl für Video-Konferenzen und Anwendungs-Sharing. Gleichzeitig steigt die Einsicht, dass die Papierakte im Büro wenig Nutzen hat, wenn man im Home Office sitzt. Der generelle Trend zur Digitalisierung wird durch die aktuellen Rahmenbedingungen verstärkt.
Bereits vor der Coronakrise verfolgten ECM-Hersteller zunehmend die Strategie, ihre Kernfunktionalitäten um Collaboration-Funktionen wie Projekträume und Chat-Funktionen zu erweitern. Welche Hauptgründe sehen Sie hierfür?
Zöller: Archivierung ist halt nur noch eine zwar wichtige aber dennoch nur eine Teilfunktion moderner ECM-Lösungen. Früher genügte es vielleicht, wenn man auf gescannten Dokumenten ein paar Annotationen geschrieben hat. Heute werden sehr viel weitgehendere Team-Funktionen gewünscht, die sich auf beliebige ECM-Objekte wie Dokument, Akte und Vorgang beziehen können. Man kann beliebige Objekte dem Team auf Termin legen und zum Termin geht was auch immer für eine Anwendung auf und öffnet die Akte oder das Dokument. Man kann eine Mini-Diskussion zu den Objekten im Team führen ähnlich wie in Internet-Foren, aber eben spezifisch auf ein Dokument oder eine Akte. Die Anwender haben doch zuhause mittlerweile eine IT-Ausstattung – Tablets oder PCs – die funktional häufig umfangreicher ist als im Büro. Man ist es im privaten Umfeld gewohnt, sich im »Team« zu organisieren, Dokumente zu teilen, situative Gruppen einrichten zu können und Dritte einzuladen. Und was man zuhause gut findet, will man im Büro auch haben, weil es das Arbeiten erleichtert.
Welche Vorteile bieten an ECM-Systeme angebundene Collaboration-Lösungen den Anwendern?
Zöller: Wenn sowohl DMS- als auch Collaboration-Funktionen auf einer homogenen Architektur aufsetzen, lassen sich die Anforderungen an Berechtigungen, Minimierung der Client-Vielfalt und Benutzerführungen sowie Integration der Verknüpfungen von Akten oder Dokumente zu den Team-Objekten usw. einfacher und konsistenter umsetzen. Leider ist es aber derzeit noch so, dass die Collaboration-Funktionen der DMS-Hersteller sich primär auf das Teilen und die Zusammenarbeit auf Dokumente oder Dokumente-Prozesse beschränken. Aber immerhin: es geht in die richtige Richtung und der Anwender sollte prüfen, ob ihm die Team-Funktionen seiner DMS-Lösung ausreichen und welche Funktionen auf der Roadmap stehen.
Welche Nachteile haben die an ECM-Systeme angebundenen Collaboration-Lösungen?
Zöller: Wie schon erwähnt: noch geringe Funktionalität – selten gibt es mehr als ein bisschen textbasierte Kommunikation zu Akten oder Dokumenten – und manche Funktionen wirken wie auf alte Architekturen aufgepfropft. Andere Benutzerführung, keine wirklich synchronen Updates der Clients zum Server – die anderen sehen die Anmerkungen erst nach inakzeptabler Latenz – kein Co-Authoring. Darüber hinaus fehlen halt oft Funktionen und die entsprechenden Lizenzmodelle, um situativ Externe einbinden zu können, was ja mit »MS Teams« und »OneDrive« und anderen Collaboration-Lösungen spielend einfach geht.
Wann empfiehlt sich die Investition in eine dedizierte Collaboration-Lösung?
Zöller: Wenn die Funktionalität der DMS-Lösung nicht ausreicht und die Nachteile einer separaten Lösung mit den erhöhten Aufwendungen zur Integration rechtfertigt. ABER: Sind die beiden Lösungen gar nicht miteinander zu integrieren, käme ich heute gar nicht auf die Idee, vom DMS-Hersteller eine Collaboration-Lösung zu kaufen. Dann würde ich lieber eine moderne ECM-Lösung für Archiv, DMS und Akte kaufen und eine separate Lösung für meine Collaboration-Anforderungen. Wichtig ist es, nicht den Fehler zu machen und zu denken, dass Collaboration-Lösungen grundsätzlich und immer moderner sind und alles abdecken. Die typischen DMS-Anforderungen, die es trotz Collaboration-Szenarien immer noch gibt, werden heute von vielen Collaboration-Anwendungen nicht oder nur mittelmäßig abgedeckt.
Dropbox, Google Drive und Co. bieten teilweise kostenfreie Möglichkeiten, um gemeinsam Dokumente zu bearbeiten. Wie gut eignen sich solche Lösungen im Unternehmensumfeld?
Zöller: Das sind für mich zwei vollkommen getrennte Einsatzfelder und mit Ausnahme von d.velop mit »Foxdox« hat auch kein ECM-Hersteller meiner Kenntnis nach ernsthaft versucht, in diesen Markt zu gehen. Ich sehe nicht, wie ich mit Google Drive & Co zwingende Anforderungen wie strukturierte Akten, Integration in Fachsysteme und ERP-Anwendungen, hochskalierbare Archivanforderungen, feingranulare Berechtigungen für Dokumentarten, Aktenregister und die anderen Kompetenzen einer modernen DMS-Lösungen abdecken könnte.
Anbieter von Collaboration-Cloud-Services werben damit, dass die Datenhaltung ausschließlich in europäischen Rechenzentren erfolgt. Wann ist dies für Anwender von Bedeutung?
Zöller: Sobald es eine bindende Vorschrift gibt, die den Anwender zwingt, Daten in einem bestimmten geografischen Gebiet zu halten, ist das von Bedeutung. Gesetzliche Vorgaben sehe ich dafür eher nicht. Seit Jahren dürfen Anwender ihre steuerrechtlich aufbewahrungspflichtigen Daten und Dokumente auch im außereuropäischen Ausland aufbewahren, solange die Ordnungsmässigkeitsanforderung der deutschen Finanzverwaltung beachtet werden und dazu gehört eben auch, dass die Prüfbarkeit durch die Auslagerung nicht eingeschränkt sein darf. Ein komplett anderes Thema ist die datenschutzrechtliche Würdigung. Und hier wird in der Praxis im Graubereich kontrovers diskutiert, ob man in einem Amazon- oder Azure-Rechenzentrum, das in den USA steht, garantieren kann, dass die europäischen Anforderungen erfüllt. Selbst zur SafeHarbor-Nachfolgeregelung, dem Privacy-Shield Abkommen finden sich Kritiker, die ihm die DSG-VO Konformität absprechen. Man müsste also einschätzen, wie der betriebliche Datenschützer diese Situation einschätzt und dann entweder in eine aufwendige Diskussion einsteigen oder darauf achten, dass die Daten in einem Rechenzentrum innerhalb der EU gespeichert werden. Bitte nicht vergessen: auch die entsprechendew DSG-VO-konforme Auftragsvereinbarung einfordern.
Macht es einen Unterschied, ob das Versprechen, die Datenhaltung in Europa vorzunehmen, von einem europäischen oder einem US-Unternehmen stammt?
Zöller: Ich vermute, die meisten US-basierten Cloud-Lösungen lassen ihre Lösungen nicht nur in den USA sondern auch in der EU hosten. Ein Unterschied könnte dann noch in der Frage bestehen, ob das US-Unternehmen von US-Geheimdiensten gezwungen werden kann, Daten ihrer EU-Kunden auf Anfrage zur Verfügung zu stellen, was in einem Urteil aus 2014 positiv festgestellt wurde, weil der der US Patriot Act genau diese Möglichkeit für US-Geheimdienste vorsieht. In einem aktuellen Projekt ist genau dieser Punkt ein Diskussionsthema. Der favorisierte Anbieter bietet seine Lösung in einem Amazon-Rechenzentrum in Frankfurt an, kann aber nicht schriftlich garantieren, dass die NSA nicht den Zugriff auf die Daten verlangen darf. Was macht man jetzt? Sucht man sich einen anderen Anbieter oder trifft man eine Güterabwägung und schätzt die Eintrittswahrscheinlichkeit und den dann auftretenden Schaden ein und im Worst Case muss man sich dann einen Lösungsanbieter finden, dessen hoheitlichen Datensammelwünschen man als akzeptabler einschätzt als die in den USA. Ich persönlich halte manche Diskussion für skurril übertrieben. Da werden Haare auch gerne mal mehrfach gespalten. Digitalisierungsprojekte verzögern sich oder werden gestoppt, weil sich Datenschützer untereinander schon nicht einig sind, was denn konkret gemeint ist und wie unkonkrete Anforderungen konkret umgesetzt werden sollen. Man lese sich nur die Anforderungen zum Löschen und Sperren in der DS-GVO und die widersprüchlichen Auslegungen in den DSG-VO-Kommentaren und BDSG n.F. durch und es wird klar, dass die Anwender hier ziemlich allein gelassen sind, trotz einer Überflutung mit Checklisten, DSG-VO-Fibeln und sonstiger Literatur.
Auf welche Sicherheitsvorkehrungen sollten Anwender sonst noch Wert legen?
Zöller: Die regulatorischen Anforderungen wie Ordnungsmäßigkeit der Verarbeitung und Aufbewahrung nach DSG-VO, AO/HGB oder anderen geltenden Regularien sind ja nur ein Teil der Anforderungen. Ebenso muss man sich überlegen, wie geschäftskritisch die Anwendung ist, und ob der Cloud-Anbieter ein vergleichbares oder besseres Schutzniveau zur Verfügung stellt als der OnPremise Betrieb im eigenen Haus. Für kleine Organisationen dürften die Sicherheitsmechanismen (Hochverfügbarkeit, Ausfallschutz etc.) im Regelfall deutlich besser ausgeprägt sein, weil die eigene IT schlicht keine vergleichbaren Ressourcen und Kenntnisse mitbringt. Aber risikolos ist der Betrieb bei großen SaaS-Hostern oder Cloud-Anbietern natürlich auch nicht. Der Datenverlust bei Autoverleiher Buchbinder, Marriott oder EasyJet zeigen aber, dass auch bei Auslagerung von Teilen der IT Risiken vorhanden sind. Manchmal hat man aber gar keine Wahl, weil einige Collaboration-Lösungen nur als Cloud-Lösung verfügbar sind oder einige Funktionen – wie bei SharePoint Online – zuerst und vielleicht dauerhaft – nur auf der Cloud-Lösung angeboten werden. In diesem Fall sind die gleichen Kriterien zu prüfen wie bei OnPremise-Lösungen: gegebenenfalls Hochverfügbarkeit, verschlüsselte Übertragungswege, Verschlüsselung von Attributen und Inhalten, Backup & Recovery, 24/7 oder begrenzt, Mandantentrennung, Berechtigungsintegration mit zentralen Rechtesystemen oder denen der Fachsysteme und so weiter.