Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

CDR – Corporate Digital Responsibility

Bild Prof. Dr. Reinhard Riedl

CDR steht für die Forderung, dass Unternehmen sich im digitalen Raum verantwortungsbewusst verhalten und Mitverantwortung übernehmen für das Gelingen der digitalen Transformation unserer Gesellschaft. Diese Forderung wirft zwei Fragen auf: WAS sollen sie tun und WARUM beziehungsweise WOZU sollen sie es tun.

CDR – warum und wozu?
Die Antworten auf die WARUM/WOZU-Frage sind einfacher. Fangen wir mit der praktischen Antwort an: In der Digitalwirtschaft scheitern viele geschäftliche Innovationen an fehlendem Vertrauen. Wenn dann sogar tatsächlich etwas schief geht – beispielsweise, wenn Kund*innendaten im Rahmen eine Cyberangriffs veröffentlicht werden - sind auch bis dahin erfolgreiche digitale Dienstleistungen und Produkte gefährdet. Es drohen im schlimmsten Fall sogar den Opfern von Angriffen Strafen, weil sie ihre unternehmerische Verantwortung nicht wahrgenommen haben. Deshalb ist es wichtig für Unternehmen, dass sie eine verständliche Strategie besitzen, wie sie ihre digitale Verantwortung wahrnehmen wollen (d.h. eine CDR-Strategie) und auf gut nachvollziehbare Weise über die Umsetzung dieser Strategie berichten (d.h. ein CDR-Reporting).

Konkret im Fall, dass etwas schief gegangen ist, ist es für Unternehmen entscheidend, dies als Unglück darstellen zu können. Sie sollten glaubwürdig zeigen können, wie viel sie zur Verhinderung getan haben, auch wenn sie damit gescheitert sind. Denn ihre Beurteilung durch Gerichte wie die Öffentlichkeit hängt wesentlich davon ab, ob sie fahrlässig Risiken in Kauf genommen oder im Gegenteil vieles getan haben, um diese Risiken zu minimieren.

Vor fünfzehn Jahren beschränkte man sich meist noch auf das Formulieren von Strategien, beispielsweise gab es für die «not more than 20 years»-SOX-Regulierung Strategiedokumente, welchen die CEOs vor dem Gefängnis – maximal 20 Jahre - schützten. Heute genügt das nicht mehr. Zwar ist 100%-Compliance aus den unterschiedlichsten Gründen objektiv oft unmöglich – beispielsweise, weil korrekte Umsetzung in der IT praktische Erfahrung braucht, die man im Lauf der Zeit erst sammeln muss – aber schöne Texte über die eigene korrekte Haltung und edle Gesinnung sind heute zu wenig.

Die unternehmerische Motivation für ein CDR-Engagement geht noch weiter als die skizzierte praktische Motivation. Das Potential für das Schaffen neuer Bedürfnisse erschöpft sich trotz regelmässiger technischer Disruptionen immer schneller. Mit einem CDR-Engagement kann ein Unternehmen die ideelle Werteperspektive verwenden, um neue Kund*innen zu gewinnen. Zwar muss für CDR erst das Kund*innenbedürfnis geschaffen werden, doch Marketing tut dies seit 50 Jahren: das Erwecken von Bedürfnissen, welche Kund*innen bis dahin noch gar nicht hatten.

Defensiv- und Offensivstrategie
Die oben geschilderte praktische Sicht begreift CDR als Defensivstrategie, die anschliessend kurz skizzierte unternehmerische Sicht sieht CDR dagegen als Offensivstrategie. In der Plattformökonomie werden in Zukunft wohl beide eins werden – dann nämlich, wenn breite Teile von Wissenschaft, Politik und Bevölkerung die Natur von digitalen Plattformen begreifen. Michael Seemann hat in seiner Dissertation gut nachvollziehbar dargestellt, was im deutschsprachigen sozialwissenschaftlichen Diskurs immer öfter angesprochen wird: Plattformen können nur dann substanzielle Gewinne abschöpfen, wenn sie die Nutzungsoptionen aktiv blockieren und damit Gemeinwohlnutzen verhindern. Deshalb werden sie irgendwann eine neue Erzählung benötigen, welche den Menschen versichert, dass sie trotzdem nicht böse sind. Diese Erzählung kann CDR-Elemente nutzen.

CDR – was tun?
Die Frage nach dem WAS ist viel schwieriger zu beantworten als die Frage nach dem WORUM/WOZU. Viele Unternehmen haben sowohl bei Auswahl des richtigen Tuns im Bereich CDR als auch bei der Gestaltung der Kommunikation darüber Schwierigkeiten – zumindest sofern sie überhaupt die praktische und unternehmerische Relevanz von CDR schon begriffen haben. Das Themengebiet ist unübersichtlich, in der wachsenden Zahl von Broschüren wird ein eher diffuses Konzept verkauft. Good Practices sind wenige bekannt. Die meisten Dokumentationen kommen als Hochglanzformate daher, welche allzu offensichtlich etwas verkaufen wollen. So unterbleiben viele dringliche, Vertrauen stiftende, Massnahmen. Auch über das, was schon jetzt getan wird, wird nicht oder zu wenig verständlich kommuniziert, weil eine konsistente Darstellung gerade in grossen Unternehmen schwierig ist.

Eine Möglichkeit, die CDR-Strategie, respektive das CDR-Reporting, aufzubauen, ist die Ausrichtung an den 17 Nachhaltigkeitszielen, indem man klärt, wie man diese im digitalen Bereich umsetzen will, respektive umsetzt. Dass gerade dies in Hochglanz-Marketingprospekten gern praktiziert wird, ist kein Grund, es nicht zu tun. Wichtig ist vor allem, die eigene Entwicklung aufzuzeigen, statt sich selbst zu loben. So gewinnt man Glaubwürdigkeit.

Ein komplementärer Zugang, welcher aus der Ethik kommt, ist der Fokus auf den unbeabsichtigten Nutzungsmöglichkeiten der eigenen digitalen Produkte und Dienstleistungen. Diese schaffen nämlich nicht nur die für den vorgesehenen Verwendungszweck intendierten Handlungsoptionen, sondern können auch anders als beabsichtigt genutzt werden – sei es, dass sie ungeschickt verwendet werden, sei es, dass sie für andere Handlungszwecke angeeignet werden, welche irgendjemandem schaden.

Ethisch verantwortungsbewusstes Design digitaler Produkte und Dienstleistungen antizipiert solche Nutzungsmöglichkeiten und schränkt den falschen Gebrauch und den Missbrauch ein, ohne jedoch unbedenkliche Umnutzungen zu verhindern. Denn man möchte ja nicht ausschliessen, dass sich Menschen digitale Werkzeuge für neue Zwecke aneignen, die kompatibel mit einer Gemeinwohlperspektive sind.

Neben diesen beiden grundsätzlichen Herangehensweisen gibt es auch thematische, welche direkt aus dem Diskurs zur digitalen Transformation kommen: Drei grosse CDR-Themen sind die digitalen Arbeitsplätze für Mitarbeitende, die Daten der Kund*innen und die Online-Kommunikation. Arbeitsplätze können befähigen und individuelle Entwicklung fördern, oder sie können Druck ausüben, überbordend kontrollieren und tief in die individuelle Autonomie eingreifen – abgesehen davon, dass sie bisweilen die Basis für Mobbing generieren. Mit zum Thema «digitalen Arbeitsplätze» gehört die Verwaltung und Bewirtschaftung der Daten der Mitarbeitenden. Viele gutgemeinten Ideen sind hier schlicht unanständig.

Kund*innendaten sind ein zweites grosses Thema der digitalen Transformation und nur in der Theorie durch DSGVO und DSG gut geschützt. In der Praxis greifen die EU-Regulierung wie nationale Gesetze oft zu kurz. Wünschenswert wäre mehr Verantwortungsbewusstsein bei den Unternehmen als nur ein rechtskonformes Verhalten. Open Banking zeigt darüber hinaus, dass sich unser Verständnis, was ein fairer Umgang mit Kund*innendaten ist, stetig weiterentwickelt.

Das dritte grosse Thema der digitalen Transformation ist die Online-Kommunikation. Sie kann viel mehr manipulieren, als uns meist bewusst ist, beginnend bei scheinbar harmloser Kuratierungen. Entlarvender Weise verletzt sogar manch eine CDR-Broschüren jedes Transparenzgebot aufs Gröbste. Das erinnert uns daran, dass CDR wie alle Wirtschaftskonzepte auch missbraucht werden kann. Umso wichtiger wäre es, Minimalstandards zu entwickeln.

Zusätzlich zu den drei skizzierten Themen gibt es noch das grosse Thema der Teilhabe an der digitalen Wirtschaft und Gesellschaft. Möglichst alle Menschen zu Teilhabe zu befähigen ist eine grosse politische Aufgabe, an der sich auch die Privatwirtschaft beteiligen kann und soll. Es steht Unternehmen gut an, potentiell benachteiligten Gruppen und Individuen zu fördern – mindestens aber sollten sie keine algorithmenbasierte Diskriminierung praktizieren.

Die Initiative muss von der Geschäftsleitung kommen
Für die hier besprochenen zwei Umsetzungsperspektiven und vier Umsetzungsthemen gibt es mittlerweile einiges Fachwissen, das man erwerben oder einkaufen kann. Wichtig ist für eine erfolgreich Praxis aber auch das richtige Framing, das heisst eine klare verständliche Sprache mit überzeugenden und glaubwürdigen Narrativen. Dieses Framing muss von der Geschäftsleitung ausgehen. «Wir haben dafür eine Spezialistin / einen Spezialisten.» ist der falsche Ansatz. Um es mit einem Vergleich zu sagen: Auch die besten Scrum-Master bringen nichts, wenn es keine Product Owner gibt, die ihren Job ernst nehmen. Mutatis mutandis gilt dies auch bei CDR, dem Wahrnehmen der Corporate Digital Responsibility.


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Security-Finder Schweiz: Newsletter