Digitale Identität hilft bei Berichtspflicht

Derzeit ist das Lieferkettensorgfaltspflichtengesetz Thema in allerlei Gesprächen. Ab dem 1.Januar 2023 müssen Unternehmen nachweisen, dass die Herstellung ihrer Produkte und Dienstleistungen in Bezug auf menschenrechtliche und umweltbezogene Sorgfaltspflichten unbedenklich ist. Dazu ist einmal jährlich ein entsprechender Bericht dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) abzugeben.

Obwohl das Gesetz ab einer Unternehmensgröße von 3000 Mitarbeitern greift, sind auch kleine und mittlere Unternehmen davon betroffen, wenn sie direkt oder indirekt Zulieferer für berichtspflichtige Unternehmen sind. Wie ist das Gesetz organisatorisch, aber auch technisch umzusetzen? Letztlich geht es nur um ein paar Daten, aber irgendwie spürt jeder, dass es mit einem Excel-Sheet nicht getan ist. Daten müssen gesammelt, gespeichert, Produkten oder Dienstleistungen zugeordnet sowie für Reports und Auswertungen aufbereitet werden. Eigentlich ist das ganz einfach.

Hier liegen die Herausforderungen

Aber genau im Sammeln, Speichern und Zuordnen der Daten liegt die Herausforderung. Es fehlen die Eigenschaften. Daten müssen über Wertschöpfungsketten hinweg gesammelt werden, das meint meist über Unternehmens- und Ländergrenzen. Gerade der Datenaustausch über Unternehmensgrenzen hinweg bringt neben technischen auch meist viele organisatorische Hindernisse mit sich. Denn ein Zulieferer scheut, im Bezug auf Wirtschaftsdaten, oft die Transparenz gegenüber seinen Kunden. Diese hingegen würden gern mehr Transparenz über ihre Zulieferer haben, um mehr über deren Wirtschaftlichkeit und Lieferfähigkeit zu wissen. Beides hat sicher positive, wie weniger positive Aspekte.

Lesetipp: Audi, Porsche und VP prüfen Lieferanten mit KI

Die Speicherung der Daten muss fälschungssicher erfolgen. Die Möglichkeit, die Daten nachträglich zu ändern, kann nicht im Interesse der Beteiligten liegen. Das birgt die Gefahr, dass das komplette ReportingReporting gemäß Lieferkettensorgfaltspflichtengesetz gegenüber dem BAFA als ungültig erklärt wird. Zurück auf "Los", würde man umgangssprachlich sagen. Das hilft niemandem. Alles zu Reporting auf CIO.de

Die Zuordnung muss eindeutig zu einem Produktionsschritt eines Produktes oder einer Dienstleistung erfolgen. Das führt dazu, dass ganze Herstellungsschritte in der Wertschöpfungskette nachzuverfolgen und dem Produkt oder der Dienstleistung zuzuordnen sein müssen. Sicher hat das seine Grenzen, aber im Rahmen technischer Möglichkeiten sollten Ereignisse und Aktivitäten klar voneinander abgegrenzt und zugeordnet werden. Die Arbeitsbedingungen eines Mitarbeiters im Werksschutz gehören zwar indirekt zur Produktion, wirken sich aber in anderem Maße aus, als die Herkunft des verbauten Lithiums in den Halbleiterelementen.

Lösungsansatz: Die Digitale Identität

Einige Themen können Unternehmen nicht im vorhandenen Supply-Chain-Management-System abdecken, da diese Daten mit anderen Unternehmen geteilt werden müssten. Für die Integration von Kunden und Zulieferern möchte man auch nicht jedes Mal das bestehende IT-System ändern. Und dass alle Unternehmen das gleiche Supply ChainSupply Chain Management einsetzen, ist unwahrscheinlich. Alles zu Supply Chain auf CIO.de

Darum braucht es eine - idealerweise standardisierte - Sprache und Vorgehen zur Integration der Daten und Mitwirkenden, was uns zur Digitalen Identität führt. Der vom W3C verabschiedete Standard so genannter Decentralized Identifiers (DID) mit dem Verifiable Credentials Data Model (VC) schafft genau die Basis dafür. Doch was steckt hinter DID und VC?

Decentralized Identifiers (DID)

Hinter einer DID kann sich eine eindeutige digitalisierte Abbildung eines Menschen, einer Organisation oder eines Dings verbergen. Das Ding wird meist das (Teil-)Produkt, die (Teil-)Dienstleistung sein. Die Organisation ist die wertschöpfende Einheit, also der Zulieferer. Die Person selbst, kann eine vertretungsberechtigte Person dieser Organisation, oder sogar die bzw. der wertschöpfende Mitarbeitende sein. Darüber können, in angeschlossenen Systemen, Prozesse digitalisiert und die jeweiligen Akteure eindeutig zugeordnet werden.

Verifiable Credentialsl Data Model (VC)

Die VCs sind, den DIDs zugeordnete, kleinteilige digitale Nachweise. Diese können frei definiert und gestaltet werden. Hier könnten Herstellungsangaben oder Ausbildungsnachweise hinterlegt werden. Für ein Ding (Produkt oder Dienstleistung) könnte mit jedem Arbeitsschritt durch die bearbeitende Person ein Bearbeitungsnachweis als Verifiable Credential hinterlegt werden.

Herstellungskette auf der Blockchain dokumentieren

Da Dinge (Produkt oder Dienstleistung) aus anderen Dingen entstehen beziehungsweise bestehen können, lässt sich eine solche Kette beliebig lang, aber immer hierarchisch strukturiert aufbauen. So entsteht eine digitalisierte Abbildung der Herstellungskette. Diese Herstellungskette dann zusätzlich auf einer Blockchain dokumentiert würde eine fälschungssichere Dokumentation der Herstellung erzeugen und könnte als Basis für das Reporting genutzt werden. Die Sicherung der Daten und Zugriffe lässt sich ebenfalls mit Boardmitteln der Blockchain-Technologie abbilden.

Die Integration in die verschiedenen Legacy-Systeme beteiligter Parteien können über eindeutige Ankerpunkte / Identifier vorgenommen werden. So ließen sich aufwendige Umbauarbeiten an der bestehenden Legacy-Welt vermeiden und große Teile der neuen Anwendungslandschaft können auf der grünen Wiese entstehen.