Bei der Auswahl eines Software-Herstellers stellen sich Unternehmen früher oder später die Frage, welche Compliance-Anforderungen sie mit den angebotenen Lösungen erfüllen können und wie gut sich die jeweilige Software dafür eignet. Die Bandbreite reicht von spezifischen Branchenstandards, z.B. im regulierten Umfeld der Pharma-Industrie oder bei Stadtwerken und Versorgern, bis hin zu internationalen Vorgaben wie die EU-DSGVO. Muss eine Software alles abdecken oder gibt es auch „Nice-to-haves“? Um das zu klären sollten Unternehmen vorab diese Fragen klären:

• Wie wichtig sind Zertifizierungen generell für den Entscheidungsprozess, z.B. bei einer Ausschreibung?
• Muss für jede Anforderung ein Zertifikat vorliegen oder genügt ein Blick unter die Haube der Software?
• Welche Zertifizierungen müssen aus rechtlichen Gründen vorliegen?
• Auf welche Zertifizierungen ist beim Dokumentenmanagement und der elektronischen Archivierung zu achten?
• Welche branchenspezifischen Zertifizierungen sind zu berücksichtigen?
• Gibt es regionale Zertifizierungen, die nur für bestimmte Standorte vorliegen müssen?

Im Folgenden schauen wir uns die einzelnen Kriterien genauer an.

Zu Beginn des Auswahlprozesses sollten Unternehmen die Bedeutung von Zertifizierungen für Ihr Software-Projekt beurteilen. Sind bestimmte Zertifizierungen obligatorische Auswahlkriterien? Wenn ja, empfiehlt es sich, sie folgendermaßen aufzuschlüsseln: Welche Zertifikate sind rechtsverbindlich, z.B. EU-DSGVO? Welche Zertifikate sind für das eigene Unternehmen darüberhinaus wichtig? Welche sind optional?

Anhand einer so erstellten Auflistung lässt sich festlegen, ob Anbieter tatsächlich Zertifikate vorlegen müssen oder ob ein genereller Nachweis darüber ausreicht, dass sie bestimmte Standards erfüllen.

Der Weg zur Zertifizierung kann zeit- und budgetaufwendig sein. Aus diesem Grund entscheiden sich einige Software-Hersteller in erster Linie für Zertifizierungen für die wichtigsten Anforderungen, während sie andere „nur“ nachweisbar erfüllen. So können sie Ressourcen besser einteilen und z.B. umfassenderen Service bieten, anstatt Manpower in Zertifizierungsprozessen zu binden. Anstelle von Zertifizierungen erbringen sie auf Wunsch andere Nachweise dafür, dass sie bestimmte Compliance-Anforderungen erfüllen, wie z.B. funktionierende Kundeninstallationen.

Je nach Geschäftsmodell, Branche oder dem Markt, in dem Unternehmen tätig sind, sollten Zertifikate für die verwendete Software vorliegen. Das betrifft z.B. den Datenschutz nach EU-DSGVO. Die meisten ECM-Anbieter, deren Software EU-DSGVO-konform ist, weisen dies in irgendeiner Form nach. Bei der SER Group sogar durch eine Zertifizierung. Mit dieser gehen Unternehmen sicher, dass sie z.B. Kundendaten nachweisbar schützen und auf Wunsch übertragen und löschen können. Diese Anforderung gilt branchenunabhängig für alle Unternehmen, die mit oder in der Europäischen Union Geschäfte tätigen. Andere rechtsverbindliche Anforderungen die für den jeweiligen Markt, die Branche oder die zu implementierende ECM-Plattform gelten und für die Zertifizierungen erforderlich sind, müssen individuell recherchiert werden.

Es gibt mehrere Zertifizierungen, die für das Informations- und Prozessmanagement von Unternehmen Relevanz haben. Das sind z.B. Zertifizierungen für die Archivierung von Dokumenten nach ISO 16175-2, für QM-Anforderungen nach ISO 9001-2015 oder Anforderungen an elektronische Signaturen und den digitalen Rechnungseingang. Die Relevanz dieser Zertifizierungen hängt im Wesentlichen davon ab, wie Unternehmen die dafür vorgesehene Software, z.B. ein Enterprise Content Management, einsetzen wollen. Die jeweilige Digitalisierungs- und Informationsmanagement-Strategie ist dabei entscheidend. Unterstützung bei deren Ausarbeitung erhalten Unternehmen bei Bedarf durch unabhängige Berater oder direkt durch ihren ECM-Hersteller.

Je nach Land, Branche und der Art und Weise, wie Unternehmen ihre ECM-Plattform nutzen möchten, können weitere unterschiedliche Standards gelten. In der pharmazeutischen Industrie in den USA kann dies beispielsweise ein bestimmter FDA-Standard sein oder auch ein Standard Records Management und elektronische Signaturen.

Um sicherzustellen, dass länderspezifische Zertifizierungen ordnungsgemäß erfüllt werden, sollten Unternehmen eine Übersicht über die lokalen Anforderungen an ihren jeweiligen Standorten erstellen. SOC2 ist z.B. in den USA ein gängiger Standard. Er deckt die Informationssicherheit in einer Cloud/SaaS-Umgebung ab. Er gilt vor allem für Dienstleistungsunternehmen und stellt sicher, dass diese Informations- und Datensicherheit mit angemessenen Maßnahmen umsetzen. Ein weiteres Beispiel: In Deutschland gelten die GoBD für die Buchhaltung und Rechnungslegung. Das NEN 2082-Zertifikat aus den Niederlanden stellt sicher, dass die Prozesse zur Erfassung, Speicherung und Löschung von Informationen konform gesichert sind. In Russland ist das FSTEK-Zertifikat grundlegend für den Datenschutz und eine Voraussetzung für Unternehmen, die in dieser Region Produkte anbieten wollen.

Da die Standards und Zertifizierungen je nach Branche, Standort und Anwendungsfall unterschiedlich sein können, gibt es leider keine fertige „Musterliste“ aller relevanten Zertifikate. Unternehmen müssen hier selbst aktiv werden und festlegen, was für sie relevant ist. Auf dieser Basis lässt sich dann entscheiden, welche Software-Hersteller und Lösungen am besten geeignet sind, um die jeweiligen Compliance-Anforderungen umzusetzen.

Die SER Group verfügt über zahlreiche Zertifizierungen für internationale, nationale sowie branchenspezifische Anforderungen, die regelmäßig überprüft und erneuert werden. Wenn Sie dazu mehr wissen möchten, beraten wir Sie gerne.