Was ist Environmental Social Governance?

Elmar Eperiesi-Beck leitet die von ihm gegründete eperi GmbH als CEO. Eine seiner Kernkompetenzen ist die Beratung von Unternehmen in Bezug auf die sichere und rechtskonforme Speicherung personenbezogener Daten in der Cloud. In den letzten Jahren hat er sich als geschätzter Berater für Cloud-Sicherheitsfragen auf Landes-, Bundes- und EU-Ebene etabliert. Angetrieben wird er von dem Bestreben, Menschen dabei zu unterstützen, zu jedem Zeitpunkt die Kontrolle über ihre personenbezogenen Daten zu erhalten.
Ab 2023 müssen sich viele Unternehmen in der EU an ESG-Kriterien halten. Wir erklären die Hintergründe und Richtlinien.
Die drei ESG-Kriterien können Werttreiber für Unternehmen sein.
Die drei ESG-Kriterien können Werttreiber für Unternehmen sein.
Foto: Mameraman - shutterstock.com

Environmental, Social & Corporate Governance (ESG) als ein neuer Maßstab zur Unternehmensbeurteilung sorgt dafür, dass Unternehmensleiter über ihren betriebswirtschaftlichen Tellerrand hinausblicken müssen. Ohnehin scheint in den Führungsetagen das Bewusstsein für die ökologischen und sozialen Aspekte wirtschaftlichen Handelns gewachsen sein. Da ist es nur gut, dass die entsprechenden Bemühungen durch ESG in geordnete, nachvollziehbare Bahnen gelenkt werden.

Environmental Social Governance - Definition

ESG ist ein relativ neuer Ansatz, um zu bewerten, in welchem Maße Unternehmen sich für Ziele einsetzen, die über die Gewinnmaximierung für ihre Aktionäre, Eigentümer oder Stakeholder hinausgehen. Das Ziel von ESG besteht unter anderem darin, alle nichtfinanziellen Risiken und Chancen zu erfassen, die mit den täglichen Aktivitäten eines Unternehmens verbunden sind.

Dieser Ansatz der Unternehmensbewertung ist aktuell noch optional, wird aber bereits bei Unternehmensbeteiligungen und Verkäufen als zusätzliches Kriterium angewandt. Zudem hat die Europäische Kommission in ihrer Corporate Sustainability Reporting Directive (CSRD) beschlossen, dass viele Unternehmen in der EU ab 2023 auch über ESG-Aspekte ihrer Tätigkeit Rechenschaft ablegen müssen. Laut Deloitte sind davon rund 50.000 Unternehmen betroffen.

Der Umgang mit Daten

Zu diesen ESG-Aspekten gehören beispielsweise bestimmte ökologische Vorgaben, die Unterstützung bestimmter sozialer Bewegungen und die Frage, ob das Unternehmen in einer Weise geführt wird, die Diversität, Gleichheit und Inklusion fördert. Viele betroffene Unternehmen sind sich dieser Anforderungen auch bereits bewusst. Weniger Aufmerksamkeit erfährt zur Zeit allerdings noch die Tatsache, dass nach ESG-Vorgaben Unternehmen auch daran gemessen werden, wie sie mit Daten umgehen.

E wie Environmental (Umwelt)

Tatsächlich stellen alle drei sogenannten "Säulen" von ESG Anforderungen an den Umgang eines Unternehmens mit Daten, wenn auch in unterschiedlich starkem Maße. So hat die Art und Weise, wie ein Unternehmen Daten erfasst, speichert und verarbeitet, auch Einfluss auf seine Umweltbilanz. Diese Prozesse benötigen Strom für den Betrieb von PCs, Servern oder Speichersystemen.

Je mehr Daten erfasst, verarbeitet und gespeichert werden, desto mehr Energie, Geräte und Platz werden benötigt. All diese Faktoren beeinflussen den Energieverbrauch und die Kohlendioxidemissionen. Auch der Umgang mit ausgedienten Geräten für die Datenverarbeitung fällt unter den Umweltaspekt von ESG.

Lesetipp: Der richtige Weg zur Data Governance

S wie Social (Soziales)

Unter dem sozialen Aspekt von ESG haben Unternehmen eine Verantwortung, Informationen zu schützen und die Privatsphäre derjenigen zu respektieren, deren Daten sie sammeln, verarbeiten und speichern. Insbesondere gilt es, Daten vor unberechtigter Einsichtnahme zu schützen, weil es erhebliche soziale Auswirkungen haben kann, wenn vertrauliche Daten öffentlich werden.

Hohe Anforderungen gelten vor allem in Bereichen und Branchen, in denen besonders sensible Daten verarbeitet werden. Das gilt insbesondere, wenn automatisierte Systeme beispielsweise Entscheidungen über Kreditwürdigkeit, Stellenvergabe, oder die Akzeptanz als Versicherungsnehmer treffen. Unternehmen sind nicht zuletzt dafür verantwortlich, dass derartige Prozesse vorurteilsfrei und transparent ablaufen.

G wie Governance (Unternehmensführung)

Die G-Säule von ESG verleiht DatenschutzDatenschutz und Datenmanagement eine hohe Priorität für die Unternehmensführung. Unternehmen sind aufgefordert, verlässliche Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Dazu gehört auch, dass sie relevante Daten vor unbefugtem Zugriff und versehentlicher Offenlegung schützen müssen. Alles zu Datenschutz auf CIO.de

Ähnlich wie die DSGVO legt ESG dabei hohe Maßstäbe an und verlangt nicht nur, dass Unternehmen über die erforderlichen Datenschutzrichtlinien verfügen. Betriebe sind auch dazu aufgefordert, ihre Datenschutz- und Datenverwaltungspraktiken aktiv zu überwachen und zu prüfen, um Probleme jederzeit erkennen und lösen zu können.

Insbesondere können Unternehmen zur Rechenschaft gezogen werden, wenn sie sensible Daten ihrer Angestellten, Partner oder Kunden ohne deren Zustimmung offenbaren oder verlieren und keine Vorsichtsmaßnahmen nach dem aktuellen Stand der Technik getroffen haben. Gegebenenfalls hat die Unternehmensleitung auch persönlich mit schwerwiegenden Konsequenzen zu rechnen.

Aktueller Stand der Technik

Der "aktuelle Stand der Technik" ist der Schlüssel zu allen drei genannten Aspekten des Umgangs mit Daten. Die sorgsame Auswahl und verantwortungsvolle Erneuerung der Hardware kann beispielsweise einen wichtigen Beitrag dazu leisten, die Umweltbilanz eines Unternehmens zu verbessern. Insbesondere für die S- und G-Aspekte des Umgangs mit Daten ist der aktuelle Stand der Technik von zentraler Bedeutung.

Um sensible Daten vor unbefugtem Zugriff sowie absichtlicher oder fahrlässiger Offenlegung zu schützen, bietet sich Verschlüsselubng als technisches Mittel an. Sie verhindert zwar nicht, dass Kriminelle sich Zugang zu Daten verschaffen. Allerdings sind die gestohlenen Informationen bei entsprechend starker Verschlüsselung nutzlos.

Bei der Wahl des passenden Verfahrens sollten Unternehmen darauf achten, dass es zu ihrem IT-Umfeld passt. Im Fall eines Unternehmens, für das die ESG-Richtlinien gelten, ist davon auszugehen, dass es neben dem eigenen Rechenzentrum eine Anzahl verschiedener Cloud-Lösungen nutzt. Die Verschlüsselungsmethode der Wahl sollte also idealerweise ein Multi-Cloud-Szenario unterstützen. Das lässt sich am einfachsten umsetzen, wenn das Unternehmen die Verschlüsselung in die eigenen Hände nimmt und Daten vor dem Transfer in die jeweilige Cloud verschlüsselt. Es ist darüber hinaus von entscheidender Bedeutung, nicht nur Daten im Ruhezustand ("Data at rest") oder Daten in Bewegung ("Data in transit") zu verschlüsseln, sondern auch Daten im Gebrauch ("Data in use").

Environmental Social Governance steigert den Marktwert

Durch eine bessere Akzeptanz in der Öffentlichkeit und nicht zuletzt eine Steigerung ihres Marktwertes werden Unternehmen direkt von der Umsetzung der ESG-Vorgaben profitieren. Dass die ESG-Richtlinien den Datenschutz ins Rampenlicht rücken, ist ein willkommener Nebeneffekt. Gerade für größere Unternehmen, die sich ab 2023 auch nach ESG-Vorgaben richten müssen, ist ein weiterer Grund hinzugekommen. (bw/jd)

Zur Startseite