Was passiert in Unternehmen mit den alten Systemen und insbesondere den darin enthaltenen, oft personenbezogenen Daten? Setzen Firmen die Anforderungen gesetzlicher Regularien auch für diese Gerätschaften um? Zahlreiche IT-Experten warnen, dass sogenannte post-produktive Systeme in Hinblick auf die Umsetzung verschiedener regulatorischer Bestimmungen in Unternehmen vergessen oder nachgelagert behandelt werden. Um festzustellen, ob es sich dabei um Einzelfälle handelt oder bei post-produktiven Systemen in Unternehmen aus der DACH-Region generell Handlungsbedarf besteht, befragte die KPMG in Kooperation mit dem Co-Autor dieses Beitrags, Prof. Dr. Jens Böcker von Böcker Ziemen, im Frühjahr 2020 insgesamt 159 Unternehmen [1].

Unter den Begriff der nicht (mehr) produktiven beziehungsweise post-produktiven IT fallen Entwicklungs-, Test- oder Produktions- sowie Backup- und Archivierungssysteme, die nicht (mehr) im Wertschöpfungsprozess beziehungsweise Alltagsgeschäft zum Einsatz kommen. Folglich handelt es sich bei Daten aus solchen IT-Geräten um Altdaten, die noch im Unternehmen vorhanden sind, aber nicht mehr in den täglichen Geschäftsprozessen Verwendung finden.

Im Umgang mit post-produktiven Systemen wenden Unternehmen unterschiedliche Verfahrensweisen an. Unter anderem scheint der Weiterbetrieb der Altsysteme für zahlreiche Unternehmen bislang eine tragfähige und komfortable Option, die die Einhaltung der Aufbewahrungspflichten gewährleistet. Jedoch ist dies aus vielerlei Gesichtspunkten ein Trugschluss, denn der Weiterbetrieb von Altsystemen kann sowohl aus monetärer als auch regulatorischer Sicht riskant sein. Einerseits entstehen hohe Kosten: Ein typisches Unternehmen wendet rund 50 Prozent seines IT-Budgets für den Betrieb von Legacy-Systemen auf. Zum anderen ist die Einhaltung aller regulatorischen Anforderungen nicht immer sichergestellt.

Dazu gehören zum einen die Aufbewahrungsfristen nach HGB § 257, die in der Regel zehn Jahre betragen, aber auch kürzer oder länger ausfallen können. Zur buchhalterischen Pflicht der Aufbewahrung kommt die seit 2018 geltende Datenschutzgrundverordnung, die den Umgang mit personenbezogenen Daten regelt. Unternehmen müssen in der Lage sein, personenbezogene Daten zu löschen, wenn dies das Datensubjekt fordert oder der eigentliche Zweck entfällt. Hierbei reicht es nicht aus, nur die aktiven Systeme zu berücksichtigen, auch für die nicht mehr produktiven Systeme gilt es, die DSGVO-Bestimmungen vollständig umzusetzen. Dies ist mit einer unübersichtlichen Systemlandschaft kaum möglich.

Während die neuen Softwaregenerationen diesen Anforderungen entsprechen, ist dies bei Altsystemen oft nicht im benötigten Umfang der Fall. Zwar wäre ein sogenanntes "Retrofitting" der laufenden Altsysteme theoretisch möglich, in der Praxis ist dies jedoch sehr aufwendig und kostspielig. Somit ist es wichtiger denn je, den korrekten Umgang mit Legacy-Systemen bereits bei der anstehenden Transformation zu planen – und dabei auch regulatorische und datenschutzrechtliche Anforderungen zu berücksichtigen.

Als wäre diese Situation nicht schon kompliziert genug, rollt eine Welle an Umstellungen auf die Unternehmen zu. Applikationen müssen aufgrund des gestiegenen Transaktionsvolumens immer mehr Daten verarbeiten. Neue Lösungen von Anbietern wie SAP, Microsoft oder Infor können dieser Herausforderung aufgrund der eingesetzten Technologien besser begegnen.

Gleichzeitig laufen die Support-Zeiträume bisheriger Anwendungen in absehbarer Zeit aus, sodass der Weiterbetrieb bestehender Systeme für Unternehmen auch ein rechtliches Risiko darstellt. Eine nachträgliche Anpassung an neue Regularien ist mit einem hohen technischen und finanziellen Aufwand verbunden. Daher sind die Unternehmen zur Systemtransformation angehalten.

Die KPMG-Studie zeigt, dass 51 Prozent der Unternehmen post-produktive Systeme in Archivsysteme überführen, 21 Prozent lassen die Systeme laufen, ebenso viele schalten diese ab. In vier Prozent der Fälle ist der Umgang mit dem System von dessen Art abhängig. Die Befragung der Unternehmen brachte allerdings noch wesentliche Optimierungspotenziale hervor.

Der richtige Umgang mit dem post-produktiven System ist maßgeblich für den langfristigen Erfolg des Transformationsprojekts. Vielen Unternehmen ist allerdings nicht bewusst, dass die Regularien, die für produktive IT gelten (und dort auch meist berücksichtigt werden), gleichermaßen für Daten in post-produktiven Systemen gelten. Daher greift knapp die Hälfte der befragten Unternehmen zu vermeintlich einfachen, kostengünstigen Varianten, wie der Abschaltung oder Weiterbetrieb des Altsystems. Jedoch zeigt sich, dass diese Vorgehensweisen in vielen Fällen Trugschlüsse darstellen. Während die Abschaltung ohne vorhergegangene Archivierung die Aufbewahrungspflichten verletzt, ist beim Weiterbetrieb oft ein Retrofitting an neue Regularien wie die DSGVO notwendig, was technisch und wirtschaftlich schwierig bis unmöglich ist. Eine Archivierung des Rechners in eine dafür passende Lösung ist hierbei der geeignetste und nachhaltigste Weg, den auch die Hälfte der befragten Unternehmen verfolgt. So werden die Daten archiviert und bleiben zugänglich.

Entlang eines typischen Softwareprojekts ergeben sich Optimierungspotenziale in allen Projektphasen. Exemplarisch ist die sogenannte "Privacy by Design"-Anforderung schon in der Konzeption zu bedenken, da die DSGVO hierbei nicht zwischen post-produktiven und produktiven Systemen unterscheidet. Privacy by Design stellt ein Konzept dar, das insbesondere bei der Änderung oder Neuentwicklung von Produkten relevant ist. Es basiert auf dem Grundgedanken, dass sich Datenschutz am besten sicherstellen lässt, wenn Unternehmen die entsprechenden Maßnahmen zur Einhaltung der datenschutzrechtlichen Bestimmungen bereits in einer sehr frühen Phase ergreifen. In der DSGVO spiegelt Art. 25 dieses Konzept wider.

Um hierbei einen besonders pragmatischen Ansatz zu verfolgen, bietet sich die Möglichkeit, ein Datenschutz-Management-System (DMS) zu verwenden und in die Systemlandschaft zu integrieren. Dieses unterstützt bei der strukturierten und systematischen Organisation des Datenschutzes im Unternehmen. Im Laufe der Zeit haben sich viele Anbieter entsprechender Tools am Markt etabliert. 45 Prozent der befragten Unternehmen setzen ein solches System bereits ein. In 38 Prozent der Fälle befindet sich der Einsatz in der Planung. 14 Prozent geben an, kein DMS zu nutzen und den Einsatz derzeit auch nicht zu planen.

Im Anschluss an die Software-Auswahl und die Projektplanung folgt die Prozess- und Datenanalyse. Dabei werden die IST-Zustände der Geschäftsprozesse aufgenommen und Ziele der Systemtransformation definiert. Als Vorlage dafür dient das verabschiedete Lastenheft. Im Rahmen dieser Phase lernt der Dienstleister die aktuellen Workflows im Detail kennen und eine gemeinsame Ausgangsbasis und Sprache werden etabliert. Während der gesamten Phase gilt es, das abzulösende System samt der darin stattfindenden Prozesse und Daten präzise zu analysieren.

In der Analysephase stehen vor allem die Harmonisierung und Standardisierung der aufgenommenen Prozesse im Vordergrund. So vermeiden Unternehmen teure Individualisierungen. Diese Ana­lyse erlaubt Synergien, indem Unternehmen diese Phase zur Datenanalyse nach DSGVO-Anforderungen nutzen. Zur korrekten Umsetzung der Bestimmungen ist es sinnvoll, alle produktiven sowie post-produktiven Systeme auf das Vorhandensein personenbezogener Daten zu untersuchen. Für produktive Systeme ist eine solche Analyse in den meisten Fällen bereits erfolgt (86 Prozent), für post-produktive Systeme ist dies nur bei 57 Prozent der Fall.

Nachdem die Planungsphase die Umsetzung im Detail vorbereitet hat, erfolgen die technische Umsetzung und die Datenmigration. Hierbei werden die Abläufe in den Standard des gewählten Systems "übersetzt" und bei Bedarf Workflows und/oder die Datenqualität sinnvoll optimiert. Nach sorgfältiger Planung des Umgangs mit dem zukünftigen Altsystem und der Auswahl der passenden Archivierungslösung laden IT-Verantwortliche die zu archivierenden Daten in die Archivierungsplattform und schalten das neue System produktiv.

In der technischen Umsetzung gilt es, die in der Planung und Analyse verfolgten Ziele in die neue Umgebung einfließen zu lassen. Da diese Phase per Definition einen hohen Entwicklungsaufwand beinhaltet, sind hier Synergien realisierbar. Beispielsweise lässt sich ein systemseitiges Einwilligungsmanagement oder Privacy by Design leicht umsetzen und in die neue produktive und post-produktive Umgebung einpflegen.

Die Ergebnisse der Befragung zeigen, dass einige Unternehmen die regulatorischen Bestimmungen, insbesondere bei post-produktiven Systemen, noch nicht vollständig umgesetzt haben oder beachten. Für anstehende Transformationen als Werttreiber für das Unternehmen, aber insbesondere für die Compliance haben sich in der Praxis einige zentrale Punkte herauskristallisiert.

Berücksichtigen Sie die post-produktive Systemlandschaft bei der IT-Transformation: Während bei Transformationsprojekten üblicherweise das Neusystem mit beliebiger Detailtiefe im Fokus steht, ist die Berücksichtigung des zukünftigen Altsystems ein wichtiger, aber nicht unmittelbar ersichtlicher Bestandteil eines erfolgreichen Projekts. Machen Sie die post-produktive Umgebung direkt zu einem Teil des Transformationsprojekts, können Sie zielgerichtet auf aktuelle Defizite und Fallstricke im regulatorischen Umfeld achten und eingehen. Unternehmen profitieren davon, da dies die Erfüllung der regulatorischen Anforderungen erleichtert.

Stellen Sie sicher, post-produktive Systeme im Hinblick auf die DSGVO und weitere regulatorische Anforderungen nicht zu vernachlässigen: Die Bestimmungen der DSGVO gelten nicht nur für produktive, sondern auch für post-produktive Systeme, die personenbezogene Daten verarbeiten. Die Umsetzung der DSGVO in post-produktiven Systemen wird aufgrund des passiven Status der Systeme allerdings oftmals versäumt. Dies kann im Falle einer Datenpanne empfindliche Strafen zur Folge haben. Unternehmen sollten entsprechend sicherstellen, post-produktive Rechner auf ihrem DSGVO-Radarschirm zu haben.

Greifen Sie auf die Unterstützung von Spezialisten für post-produktive Systeme zurück: Unternehmenseigene IT-Abteilungen stehen oftmals unter großer Arbeitslast und konzentrieren sich daher auf die Wartung, Instandhaltung und Weiterentwicklung von produktiven Systemen. Durch ihren Einsatz im täglichen Geschäft haben diese oberste Priorität. Post-produktive Maschinen werden unternehmensintern – insbesondere in Hinblick auf die DSGVO – nachgelagert behandelt. Die Heranziehung von Partnern, deren Spezialgebiet die Ablösung von post-produktiven Systemen und die Sicherstellung der Einhaltung der regulatorischen Anforderungen darstellt, hat zahlreiche Vorteile:

- Entlastung der unternehmenseigenen IT, dadurch mehr Zeit für die Instandhaltung und Weiterentwicklung der produktiven Systeme.

- Vermeiden von Risiken aufgrund des Festhaltens an post-produktiven Systemen: Der technologische Fortschritt ist verantwortlich dafür, dass der Betrieb post-produktiver Systeme zukünftig nicht uneingeschränkt möglich ist. Dies kann beispielsweise Datenverlust zur Folge haben.

- Spezialisten kümmern sich um die Umsetzung der DSGVO-Bestimmungen. Die Verantwortlichen im Unternehmen sind dadurch in der Lage, sich auf die korrekte Umsetzung in produktiven Systemen zu konzentrieren.

Post-produktive Systeme geraten, wie die Umfrage zeigt, in Transformationsprojekten nur allzu leicht in Vergessenheit. Und selbst wenn sich jemand an sie erinnert, ist der Umgang mit solchen Systemen oft falsch und damit Risikobehaftet. IT-Verantwortliche sollten den Altsystemen mit personenbezogenen oder archivierungspflichtigen Daten oder in IT-Projekten hohe Aufmerksamkeit schenken und im Zweifelsfall externe Experten zu Rate ziehen.