Anspruch prallt auf Wirklichkeit - dieses Motto scheint die Praxis der Information Governance zu sein. Das legt zumindest die Studie "Automating Information Governance - assuring compliance" nahe, für die der US-Marktforscher AIIM mehr als 500 Entscheider befragt hat.
Die Analysten zeigen sich erstaunt, dass Informations- und Datenschutz trotz Edward Snowden in vielen Unternehmen nicht konsequenter umgesetzt werden. Am Bewusstsein mangelt es nicht: Rechtstreitigkeiten, Diebstahl geistigen Eigentums, Imageschäden, Probleme bei Audits, Geldbußen - die Liste möglicher Folgen von Datenverlust ist lang und den Befragten bekannt.
Die Dringlichkeit auch: Fast sieben von zehn Studienteilnehmern (68 Prozent) erklärt, das Volumen elektronisch gespeicherter Dokumente wachse rapide, weitere 28 Prozent geben an, es wachse mäßig. Lediglich vier Prozent sagen, das Volumen bleibe stabil.
Selbstkritisch bei Sicherheitspolicies
Wie ausgereift denn die Information Governance sei, wollte AIIM wissen. Die Befragten zeigen sich durchaus selbstkritisch. Eine relative Mehrheit von 38 Prozent verfügt zwar über Policies - würde diese aber nicht als ausgereift bezeichnen. 26 Prozent sind schon einen Schritt weiter. Sie haben Policies für "einige Bereiche" etabliert. Eine Minderheit von 15 Prozent gibt an, stabile und unternehmensweite Richtlinien eingeführt zu haben.
Das Management elektronischer Unterlagen wird unterschiedlich umgesetzt. Etwa jeder Vierte arbeitet mit einem separaten System für "aktives Content Management". Fast ebenso viele integrieren das Thema in ihr Enterprise Content Management System (ECM). Andererseits: fast jeder Fünfte gibt an, in seinem Unternehmen gebe es kein ECM.
Verantwortung für Information Governance
Wer ist denn nun für Information Governance verantwortlich - auch auf diese Frage fallen die Antworten höchst unterschiedlich aus. Gut jedes vierte Unternehmen setzt ein dezidiertes Team für Record Management/Information Management/Compliance ein. Mehr als jedes Fünfte nimmt die jeweiligen Abteilungsleiter für ihre Daten in die Pflicht. IT-Aufgabe ist Information Governance für rund jeden Zehnten. Und: Fast jeder Vierte erklärt, formale Verantwortlichkeiten gibt es bei diesem Thema nicht.
Information Governance Team gründen
Das können die Analysten nicht unkommentiert stehen lassen. Sie sprechen einige Empfehlungen für den Daten- und Informationsschutz aus. So sollte jedes Unternehmen ein Information Governance Team einrichten. Dessen Mitglieder rekrutieren sich aus IT, Daten-Management, Compliance, Recht und Fachabteilungen, so AIIM.
Sobald Policies aufgestellt sind, sollte das Unternehmen möglichst viele Prozesse automatisieren, raten die Analysten. Nicht zuletzt betonen sie die Relevanz der Führungsspitze. Compliance muss von oben vorgelebt werden. Eben daran scheint es aber oft zu hapern: 45 Prozent der Befragten gaben an, die Unterstützung durch die Firmenleitung sei das größte Problem beim Aufstellen einer Information Governance Policy.