02.06.2013 (as)
4.4 von 5, (23 Bewertungen)

Interview mit Dr. Ulrich Kampffmeyer, Project Consult

Bei der Zusammenarbeit mit einem ECM-Dienstleister sind Vertraulichkeit, der betriebliche Datenschutz ebenso wie die Datensicherheit als auch der Schutz persönlicher Daten nach Datenschutzgesetz vertraglich zu regeln und auf Einhaltung turnusmäßig zu überprüfen. Doch ebenfalls wichtig ist nach Meinung von Dr. Ulrich Kampffmeyer, Geschäftsführer von Project Consult, für Auftraggeber zu lernen, dass Leistungen auch einen Preis haben und dass man den Dienstleister »leben« lassen muss.

Wann empfiehlt sich die Implementierung einer ECM-Lösung direkt mit dem Hersteller durchzuführen und wann mit einem ECM-Dienstleister?

Dr. Ulrich Kampffmeyer, Project Consult (Bild: Project Consult)
Kampffmeyer: Dies ist zunächst davon abhängig, was für ein Vertriebskonzept der Hersteller hat. Hersteller, die nur Standardsoftware über den Channel verkaufen und selbst keine kundenspezifischen Anpassungen oder Integrationen vornehmen, kommen daher im Regelfall auch nicht als Implementierungspartner für den Endanwender in Frage. Hat ein Anwender die Wahl zwischen Hersteller und Integrator, dann entscheiden meistens die Erfahrungen mit gleichen Lösungen in ähnlichen Branche, die Eignung des Personals und die örtliche Nähe.

Nach welchen Kriterien soll ein Anwenderunternehmen einen ECM-Dienstleister auswählen?

Kampffmeyer: Dies ist davon abhängig, ob nur ein Integrator für eine bereits ausgewähltes Produkt oder aber ob Produkt, Lösung und Realisierer zusammen ausgewählt werden. Neben den grundsätzlichen Eigenschaften der Software sind unter anderem folgende Kriterien wichtig: Verlässlichkeit, nachgewiesene Qualität in der Projektabwicklung, aktuelle Referenzen mit vergleichbaren Lösungen, Verfügbarkeit geeigneten Personals, eigenständiger Beitrag zum Produkt wie branchenspezifische Zusatzmodule, Preis-Leistungs-Verhältnis, Integrationserfahrungen und Flexibilität. Dabei spielt eine besondere Rolle, für welche Aufgaben und in welchem Umfang Dienstleistungen in Anspruch genommen werden sollen. Die Bandbreite reicht von reiner Installation und Schulung über individuelle Anpassungen und Integration bis hin zu Betrieb, Outsourcing oder Cloud-Angeboten. Diese Bandbreite kann man nicht über einen Kamm scheren.

Referenzprojekte zeigen potenziellen Kunden, dass die angebotene Leistung bereits in der Realität funktioniert. Was ist aus Kundensicht bei Referenzprojekten besonders zu hinterfragen?

Kampffmeyer: Bei Referenzen gibt es verschiedene Ebenen des »Zuganges« zur Referenz – vom Whitepaper mit der Lösungsbeschreibung über das Telefonat bis zum Referenzkundenbesuch. Referenzen sollten immer möglichst aktuell und in Bezug auf die Aufgabenstellung direkt mit den eigenen Anforderungen vergleichbar sein. Dennoch wird bei der Nennung einer Referenz immer nur jemand genannt, der sehr positiv vom Produkt oder der Dienstleistung überzeugt ist. Bei Referenzbesuchen sollte man in jedem Fall darauf Wert legen, dass man mit den besuchten Anwendern auch ohne die Anwesenheit des Anbieters sprechen kann.

Welche Punkte werden in einem Vertrag mit einem ECM-Dienstleister häufig vergessen oder nicht detailliert genug dargestellt, wenn es um eine ECM-Implementierung geht?

Kampffmeyer: Fokussiert man auf den Dienstleister so ist dies der konkrete Umfang der zu erbringenden Leistung, die Qualität der Leistung und wie die Leistung prüfbar gemacht wird. Daneben gibt es die zahlreichen üblichen Fallstricke, wie sie jedes IT-Projekt mit sich bringt. Besonders relevant beim Thema ECM ist aber die zeitliche Dimension, da solche Lösungen mit Archivkomponente sehr langfristig auszulegen sind. Tests für Migration, Sicherstellung der Revisionssicherheit und andere spezifische Kriterien sollten sich auch in einem solchen Dienstleistervertrag befinden, wenn sie denn nicht schon durch die Produktverträge abgedeckt sind.

Welche Punkte werden in einem Vertrag mit einem ECM-Dienstleister häufig vergessen oder nicht detailliert genug dargestellt, wenn es um ECM-Outsourcing, zum Beispiel einer Scandienstleistung geht?

Kampffmeyer: Im Gegensatz zur Installation und Integration einer Inhouse-Lösung ist das Erbringen von Dienstleistungen wie Scannen und Indizieren, Hosten eines Systems oder Beistellung von Mitarbeitern zum Betrieb einer Lösung anders zu handhaben. Beim Beispiel Scannen geht es beispielsweise um organisatorische Verfahren der Anlieferung, Aufbereitung und Entsorgung, Einsatz von Signaturen oder anderen Sicherungsverfahren, Formate für die Zulieferung auf Datenträger oder Online, Tiefe und Qualität der Indizierung, Eignung und Verschwiegenheit des Scan-Personals, Form und Umfang der Qualitätssicherung, Erfüllung der ISO-Qualitätsnorm und Vorliegen einer Verfahrensdokumentation, usw. Hierfür gibt es auch ISO-Normen und Muster-SLAs, die Anhaltspunkte liefern.

Welche Vertragslaufzeit empfehlen Sie im Falle des ECM-Outsourcings?

Kampffmeyer: Das hängt davon ab, was outgesourct wird. Beim Scannen spielt sicher die geforderte Qualität der Erfassung eine Rolle. Jeder höher die Qualitätsanforderungen – und je größer damit der Aufwand bei Kunde und Dienstleister – desto länger laufen die Verträge. Beim Outsourcing von Archivdienstleistungen muss man neben der grundsätzlichen Möglichkeit eines Ausstieges natürlich auch darauf achten, dass zu definierten Konditionen eine sehr langfristige Vorhaltung des Archives sichergestellt ist. Mit Monats- oder Jahreszahlen hier ohne Kenntnis der Anwenderanforderungen zu jonglieren wäre fahrlässig.

Wie kann ein Kunde sicherstellen, dass er beim Outsourcing nicht in die Abhängigkeit eines Dienstleisters gerät und jederzeit zu einem anderen Dienstleister wechseln kann beziehungsweise den Prozess wieder inhouse erledigen kann?

Kampffmeyer: Man ist immer in einer Form von Abhängigkeit – vom Produktanbieter, vom Dienstleister und vom eigenen Personal. Als erstes gilt alles sauber zu dokumentieren, damit ein Wechsel überhaupt möglich ist. Beim externen Scannen ist das noch relativ einfach, wenn man das gleiche Konzept durch einen anderen Dienstleister erfüllen lassen will. Beim Outsourcing eines Papierarchives muss man den Transport und das erneute Ordnen mit Aufbau der Zugriffssystematik einrechnen. Bei elektronischen Archiven kann es sehr aufwändig werden, wenn die Datenmengen bereits sehr groß geworden sind und der ursprüngliche Dienstleister mit einem sehr proprietären System archiviert hat. Hierbei ist noch nicht einmal der Transport der Informationsobjekte kritisch, sondern mehr noch die Konsistenz des Index und die Logik für die Nutzung. Will man von einem Dienstleister auf eine Inhouse-Lösung wechseln muss man außerdem einkalkulieren selbst das Knowhow und Personal aufzubauen, das System einzurichten und testen sowie dann in einen ordentlichen Betrieb zu übernehmen. Der Austausch eines Dienstleisters gegen einen anderen ist häufig einfacher als in eine Inhouse-Lösung zu wechseln.

Wie verfährt man als Kunde, wenn Leistungen nicht vertragsgemäß erfüllt werden?

Kampffmeyer: Zunächst einmal gehört es zu den Aufgaben des Kunden, die Einhaltung der vertraglich vereinbarten Verfahren und Qualität regelmäßig zu überprüfen. Sonst ist auch die vertragliche Klausel kaum etwas wert. Das Verfahren zur Leistungsüberprüfung und zum Umgang mit Qualitätsmängeln sollte schon im Vertrag stehen. Werden nun objektivierbare Qualitätsmängel festgestellt, wird dann vertragsgemäß vorgegangen. Dies heißt beim Scannen im Normalfall Nachbesserung, Nacharbeiten oder Neuerfassung bevor ernstere Maßnahmen wie Regress oder gar eine Kündigung in Betracht gezogen werden. Bei Archiv-Outsourcing ist das Wichtigste überhaupt, gemeinsam erst einmal sicherzustellen, dass alles wieder vollständig und in definierter Qualität im Archiv nutzbar vorliegt. Bei kaufmännischen Informationen ist der Dienstleister nur Dienstleister und die rechtliche Verantwortung verbleibt trotz teilweiser Delegation des Betriebes bei Eigentümer der Daten. Ist die Dienstleistung noch umfangreicher oder komplexer, zum Beispiel durch Stellung von Personal, das im Hause des Kunden arbeitet, oder eine umfangreiche Gesamt-Outsourcing-Lösung, in der die ECM-Komponente nur einen kleinen Teil ausmacht – zum Beispiel Scan-Outsourcing im Rechnungseingang mit Archiv als Subsystem einer outgesourcten großen SAP-Installation – kann der Umgang mit Reklamationen sehr komplex werden. Gute und partnerschaftliche Verträge, die wirklich umsetzbar und nachprüfbar sind, sind hier das A-und-O.

Ist ein Fallback-Szenario in jedem Fall erforderlich und wie legt man dieses am besten fest?

Kampffmeyer: Natürlich sind Fallback- und Backup-/Sicherheitsszenarien notwendig. Fallback betrifft dabei meistens nur den Zeitraum der Umstellung von einer Lösung auf eine andere mit der Möglichkeit, ohne größere Probleme zur ursprünglichen Lösung zurückzukehren. Backup- und Sicherheitsszenarien müssen sich an der Art der Dienstleistung und am Wert der Information orientieren. Beim Scannen zum Beispiel benötigt man Verfahren, die umgesetzt werden müssen, wenn die Firma zumacht, das Gebäude unter Wasser steht oder das Personal mehr als eine Woche streikt – natürlich auf einer abstrahierenden Ebene. Regeln, ob der Dienstleister zur Absicherung selbst einen anderen Dienstleister beschäftigen darf oder ob der Auftraggeber selbst Vorsorge treffen muss, ist individuell unterschiedlich. Beim Thema Archiv oder ECM sollte man in jedem Fall eine sofort lauffähige Sicherheitsinstanz besitzen – sei es beim gleichen Dienstleister oder bei einem anderen – die sofort ohne größere Differenz im Informationsbestand genutzt werden kann. Wer mehr Sicherheit braucht, hält die Systeme sogar dreimal und an unterschiedlichen Orten mit verschiedenen Bedrohungskriterien vor – was aber meistens am notwendigen Budget scheitert.

Was ist in punkto Datensicherheit bei der Zusammenarbeit mit einem Dienstleister besonders zu beachten?

Kampffmeyer: Die Vertraulichkeit, der betriebliche Datenschutz ebenso wie die Datensicherheit als auch der Schutz persönlicher Daten nach Datenschutzgesetz sind vertraglich zu regeln und wie erwähnt, auch auf Einhaltung turnusmäßig zu überprüfen. Dies gilt für das Unternehmen selbst ebenso wie für Systeme und Prozesse und am meisten für das mit der Verarbeitung beschäftigte Personal. Forderungen wie individuelle Vertraulichkeitserklärungen, Führungszeugnisse und Festanstellung können bei sehr sicherheits- und vertraulichkeitsrelevanten Informationen durchaus berechtigt sein. Eine direkte, kontinuierliche Kommunikation zwischen den Datenschutzbeauftragten des Dienstleisters und des Auftraggebers gehört in jedem Fall dazu.

Was macht eine gute Zusammenarbeit zwischen Systemhaus und Hersteller aus und wie profitiert der Kunde davon?

Kampffmeyer: Konflikte schaden beiden Seiten. Auch muss der Auftraggeber häufig erst lernen, dass Leistungen auch einen Preis haben und dass man den Dienstleister »leben« lassen muss, um nicht nur Sicherheit und Qualität sondern auch Kooperation und Vertrauen zu erlangen. Deshalb müssen in den Verträgen auch die Interessen beider Seiten gewahrt bleiben – auch wenn vielleicht auf der einen Seite als Auftraggeber ein Milliarden-Konzern steht, und auf der Seite des Dienstleisters nur 200 Leute werkeln. Nur wenn sich der Dienstleister voll ins Zeug legt und sich nicht den ganzen Tag mit der Erstellung von Change-Management-Requests beschäftigt (oder beschäftigen muss), sind die Projekte und die spätere Akzeptanz bei der Nutzung von Erfolg gekrönt. Vertrauen und gegenseitige Achtung kann man nicht vertraglich fixieren, sondern muss offen und täglich leben.

Welche Rolle übernimmt die Distribution im ECM-Bereich?

Kampffmeyer: Die Distribution hat es zunehmend schwieriger. Anbieter verkaufen direkt oder über Integratoren, Systemhäuser und Realisierungspartner. Solange die Distribution keinen Mehrwert dazu liefern kann, ist ihr Stand sehr schwierig. Hinzukommt ein immer größer werdendes Angebot an Outsourcing-, Cloud- und SaaS-Lösungen. Der reine Distributor – aber auch manchmal schon das Systemhaus – bleiben hier außen vor. Reine Distribution macht daher nur bei standardisierten Produkten in größeren Stückzahlen Sinn, nicht aber bei komplexeren ECM-Lösungen.