Mieten statt kaufen

Doch wie sicher sind die Nutzungsdaten?

Cristian Mangianello
Partner, Risk and Compliance Management

Ralf Hofstetter
Director, Trust and Transparency Solutions

Sharing-Angebote setzen sich auch im Business-to-Business-Bereich durch. Immer häufiger mieten Unternehmen Produkte als umfassendes, datenbasiertes Dienstleistungspaket, statt sie zu kaufen. Vermietende, Mietende und Nutzende haben ein gemeinsames Interesse daran, dass die erhobenen, oft personenbezogenen Nutzungsdaten sicher verarbeitet und verwahrt werden. Diese Sicherheit liefert eine unabhängige Prüfung.

Geteilte Nutzung, doppelter Gewinn

Im Aufwind des Trends «mieten statt kaufen» und mit dem Aufkommen des Internets der Dinge ist eine mächtige Sharing Economy entstanden, die sich vom Taxidienst über die Waschmaschine bis zur Finanzierungslösung über beinahe alle Branchen erstreckt. Was für Endkund:innen schon länger die Normalität darstellt, setzt sich nun auch im Geschäftsumfeld durch und löst damit das klassische operationelle Leasing ab. Verständlicherweise, denn bezieht ein Unternehmen ein Produkt als Dienstleistungspaket auf Zeit, flexibilisiert es seine Kosten, reduziert gebundenes Kapital und hält sich automatisch auf dem neusten Stand von Technik und Technologie. Aus der Sicht des Herstellers ändert sich dadurch das Geschäftsmodell von einem reinen Hersteller hin zu einem Dienstleistungserbringer (auch als «Servitization» bekannt).

Zwei Beispiele aus der Praxis

Beispiel eins: Ein Hersteller von Werkzeugmaschinen stellt Bauunternehmen und Handwerksbetrieben seine Produkte als Mietlösung mit integriertem Wartungsvertrag zur Verfügung. Durch die digitale Vernetzung des Portfolios weiss er zu jeder Zeit, wo, wann und wie lange eine Maschine im Einsatz ist. So kann er den Wartungsbedarf seiner Werkzeuge genau absehen und seine Kundschaft rechtzeitig informieren. Bei entsprechender Entwicklung der Werkzeuge verbleiben sie damit länger im Einsatz und können einen wesentlichen Beitrag zur Nachhaltigkeit leisten.

Beispiel zwei: Ein Pharmaunternehmen bietet massgeschneiderte Analyseplattformen an. Hier können Spitäler, Kliniken oder die Ärzteschaft ihre Betriebsdaten oder Diagnosen mithilfe von Algorithmen und künstlicher Intelligenz in Erkenntnisse zu Leistungen, Behandlungen und Therapien umwandeln und so ihre betriebliche Effizienz und die Patientenversorgung optimieren. Damit verbunden ändert sich beispielsweise in diesem Beispiel neben der Datennutzung auch die Bezahlart zu «Pay-per-Use» oder «Pay-per-Analysis».

Daten als Auftrag

Geschäftsmodelle mit digitalen Dienstleistungen basieren auf einem wertvollen Rohstoff: Daten. Die Anbieter derartiger Services sammeln in der Regel umfangreiche und gegebenenfalls auch personalisierte Informationen. Sie wissen, wer in welcher Firma ihre Dienstleistung wann und wie intensiv nutzt. Daraus können sie Rückschlüsse über Verbrauch, Verbrauchsverhalten, einzelne Teams oder sogar Personen ziehen. Damit stellt sich für alle am Geschäftsmodell Beteiligten – also für Vermietende, Mietende und Nutzende – eine grosse Frage: Wie sicher sind diese Daten?

Unternehmerische Verantwortung reloaded

Der Besitz und die Verwendung personenbezogener Daten impliziert, dass diese entsprechend geschützt werden müssen. Sowohl der Hersteller der Werkzeugmaschine als auch der Anbieter der Analyseplattform aus unseren obigen Beispielen müssen Transparenz über die Sicherheit und die Verwendung gesammelten Daten schaffen und sicherstellen, dass diese die gesetzlichen, regulatorischen und vertraglichen Anforderungen erfüllen und regelkonform bearbeitet sowie gespeichert werden. Zum Beispiel müssen sie der Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) oder dem Datenschutzgesetz und dessen Verordnung (DSG und VDSG) als Pendants in der Schweiz gerecht werden.

Gerade regulierte Kunden respektive Kunden mit hoher Maturität verlangen oft mehr als die reine Bestätigung, dass die Vorgaben eingehalten werden. Sie fordern es ein, dass ein Wirtschaftsprüfungsunternehmen diese Bestätigung validiert und einen Prüfbericht vorlegt. Dies mit dem Ziel einer umfassenden Kontrolle über ihre vor- und nachgelagerte Wertschöpfungsprozesse. Hier kommt die unabhängige Prüfung nach einem international anerkannten Standard ins Spiel.

Sichere Datenverarbeitung und -aufbewahrung prüfen lassen

Die Prüfung der Informationssicherheit in gewissen Geschäftsbereichen erfolgt freiwillig, also ohne (expliziten) gesetzlichen Auftrag. Schliesslich handelt es sich in den meisten Fällen um nichtfinanzielle Daten. Wir als Prüfungsgesellschaft wenden deshalb Prüfstandards für die nichtfinanzielle Berichterstattung an.

Im internationalen Kontext eignet sich dafür ISAE 3000 (Revised), der vom International Auditing and Assurance Standards Board (IAASB) im Jahr 2013 aktualisiert wurde. Der Standard ist prinzipienbasiert aufgebaut und lässt sich auf eine grosse Bandbreite von nicht-finanzorientierten Prüfaufträgen anwenden, zum Beispiel für testierte Aussagen zur Corporate Social oder Digitial Responsibility, Datensicherheit oder zum internen Kontrollsystem.
Ist ein Unternehmen primär im US-amerikanischen Umfeld tätig, so bietet sich eine Prüfung als Service Organization Control (SOC) an. Ein SOC-2®-Bericht nimmt interne Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit (Datenschutz) (sogenannte Trust Services Criteria) unter die Lupe, wobei das Kriterium der Sicherheit verpflichtend ist.

Unter dem Strich: positiv

Eine Prüfung bietet höchst attraktive Vorteile. Der Prüfbericht gibt dem geprüften Unternehmen die Sicherheit, dass es die vertraglichen Konditionen und die Bestimmungen von Regulator, Standardsetter und Selbstregulation in allen relevanten Bereichen erfüllt. Das Unternehmen kann seinen Anspruchsgruppen die Einhaltung definierter Vorgaben anhand der Prüfung und Berichterstattung durch eine unabhängige Wirtschaftsprüfungsgesellschaft nachweisen. Der Initialaufwand für die Ausarbeitung der Prüfkriterien ist zwar beachtlich und es fällt wie auch bei Abschlussprüfungen ein operativer und prüferischer Aufwand an. Doch je nach vertraglicher Situation kann das Unternehmen diese Kosten weiterbelasten und/oder während mehreren Jahren davon profitieren.

Opportunität statt lästiges Übel

Der Gesetzgeber fordert eine unabhängige Prüfung nicht ein. Für einmal handelt es sich dabei also nicht um ein lästiges Übel, sondern um eine vielversprechende Chance respektive einen Differenzierungsfaktor. Unternehmen, die digitale Services anstelle von oder mit Produkten anbieten oder nutzen, sollten sich fragen, ob diese Services sicher sind und ob sie maximale Transparenz über das Risiko der damit verbundenen Daten haben. Der Nachweis, dass dem so ist, stärkt nicht nur ihre Compliance, sondern lässt sich auch als echter Wettbewerbsvorteil und attestiertes Vertrauensbekenntnis ausspielen.