Ziel der Untersuchung ist die Darstellung von Organisation und Controlling des Informationsmanagements (IM) und der sich daraus ergebenden wechselseitigen Beziehungen. Dabei richtet sich der Blick nicht allein auf gewinnorientiert arbeitende Unternehmen, sondern vielmehr auf die Darstellung von Organisation und Controlling des IM in Organisationen allgemein. Innerhalb des so gesteckten Rahmens liegt der Blick auf den verschiedenen vom Informationsmanagement (IM) zu erfüllenden Aufgaben und den Formen der Aufgabenerfüllung. Im Anschluss daran wird der Frage nachgegangen, welche unterstützende Funktion das Controlling der Informationsversorgung in einer Organisation wahrzunehmen hat und welche Instrumente dem Controlling hierbei zur Verfügung stehen. Abgerundet wird die Darstellung von Einzelanforderungen an Informationsversorgungssysteme. Schwierigkeiten ergaben sich insbesondere daraus, dass eine einfache und alle Gesichtspunkte berücksichtigende überschneidungsfreie Klassifizierung und Systematisierung von Aufgaben des Informationsmanagements (IM) kaum möglich ist¹, diese Klassifizierung und Systematisierung jedoch darüber entscheidet wie der Organisationsaufbau des Informationsmanagements (IM) und dessen Arbeitsabläufe zu gestalten sind². Dies vor Augen wurde hier eine an Aufgaben orientierte und sodann nach zentralen und bereichsübergreifenden Gesichtspunkten untergliederte Darstellung in Anlehnung an SCHWARZE zugrunde gelegt und hieraus der Organisationsaufbau abgeleitet³. Ausgeklammert wurden dabei diejenigen Stimmen, welche die vorhandene Aufbauorganisation zum Ausgangspunkt nehmen und daraus die wahrzunehmenden Aufgaben herleiten⁴ oder anhand der Ablauforganisation den Organisationsaufbau bestimmen⁵. Das Konzept greift daher den von KOSIOL vertretenen klassischen Standpunkt auf, macht zugleich aber darauf aufmerksam, dass moderne Organisationsstrukturen prozessorientiert Aufbau- und Ablauforganisation in Übereinklang bringen⁶.

2.1Aufgaben des Informationsmanagements

2.1.1Zentrale Aufgaben

Das Informationsmanagement (IM) umfasst die zentralen Aufgabenbereiche Analyse, Strategie, Umsetzung und operative Aufgaben⁷.

Wie bei jeder planvollen Veränderung bedarf es auch im Bereich des Informationsmanagements (IM) einer sorgfältigen „Erfassung und Systematisierung von Ist-Zuständen, Zielen“⁸ und Anforderungen, mithin der Analyse des Informations-, Kommunikations- und Personalbedarfs⁹. Außerdem ist zu berücksichtigen, welche strategische Schlüsselposition das Informationsmanagement (IM) im Hinblick auf die angestrebten Organisationsziele zukünftig einnehmen soll¹⁰, welches organisatorische Umfeld in und durch die Organisation in ihrer derzeitigen Struktur bereits bereitgestellt wird¹¹, welche organisatorischen und technologischen Möglichkeiten der Markt bereithält¹² und ob solche Strukturen ggf. von anderen Organisationen schon genutzt werden.

Ziel der dabei anzustellenden Informationsbedarfsanalyse ist es, die für eine optimale Aufgabenerfüllung erforderlichen Informationen zeitpunktbezogen aus internen und externen Quellen zu identifizieren und in Übereinstimmung mit dem Informationsangebot und der Informationsnachfrage in der Organisation zu bringen¹³. Dabei ist insbesondere auf Aktualität, Relevanz, Objektivität, Eindeutigkeit, Zuverlässigkeit und Vollständigkeit der in die Analyse einbezogenen Quellen größter Wert zu legen¹⁴. Gleichwohl ist zu bedenken, dass subjektive Einflüsse jede Analyse bestimmen können und sich eine dem objektiven Informationsbedarf angenäherte Analyse daher nur durch Betrachtung verschiedenster Ansätze erreichen lässt¹⁵.

Die darauf aufbauende Kommunikationsbedarfsanalyse umfasst u.a. die Identifizierung externer und interner Kommunikationspartner, möglicher Schnittstellen und Kommunikationswege (z.B. von Face-to-Face über Telefon- und Videokonferenz, Corporate TV, E-Mail, Datenträger bis hin zu Netzwerken) sowie der Kommunikationsarchitektur, d.h. im Bereich der besonders interessierenden elektronischen Datenverarbeitung der Verwendung offener (z.B. Telefonnetz) oder geschlossener (z.B. Virtual Private Network) Kommunikationssysteme¹⁶.

Ziel der Situationsanalyse ist es die zukünftige Rolle der Informationsfunktion, mithin deren fundamentale Bedeutung für die Entwicklung der Organisation zu bestimmen¹⁷. Bei dieser Analyse ist zunächst das vorhandene und zukünftige Leistungspotential zu bestimmen und in Beziehung zum Organisationstyp zu setzen¹⁸, so dass unter weiterer Berücksichtigung der Wettbewerbssituation auf die Rolle der Informationsfunktion geschlossen werden kann¹⁹. Darauf aufbauend kann sodann die zukünftige Informationsinfrastruktur ermittelt werden, d.h. mit welcher Hard- und Software, organisatorischen und personellen Konzepten und Regelungen, Eigen- und Fremdentwicklungen Informationen am wirksamsten und wirtschaftlichsten bereitgestellt, übertragen und genutzt werden können²⁰.

Schließlich bedarf es einer umfassenden Organisationsanalyse. Diese umfasst neben der Identifizierung und Darstellung bestehender Organisationsstrukturen auch die Erfassung und Zerlegung von Prozessen in kleinste Einheiten (Vorgänge) mit anschließend optimierender Wiederverbindung²¹.

Zudem muss eine Technologiebedarfsanalyse durchgeführt werden, bei welcher anhand des sich ständig wandelnden technologischen und organisatorischen Umfeldes die wirtschaftlichste Schlüsseltechnologie, die dafür nötigen Investitionen sowie mögliche Zeitpunkte für Beginn und Ende einer Nutzung bzw. Investition bestimmt werden²².

Aufgrund der Bedeutung solcher Analysen für die weitere Aufgabenerfüllung des Informationsmanagements (IM) und damit ggf. den Bestand der Organisation selbst, sollten diese dem Informationsmanagement (IM) selbst vorbehalten sein und gerade nicht in den Zuständigkeitsbereich der Fachabteilungen delegiert werden.

Nach Abschluss sämtlicher Analysen muss das Informationsmanagement (IM) die anstehenden strategischen Aufgaben formulieren²³. Aufgabeninhalte sind dabei die Planung und Entwicklung einer Informationsstrategie, -systemarchitektur und -infrastruktur, organisatorische Überlegungen zur internen oder externen Durchführung, eine Gesamtplanung unter Nutzung verschiedenster Portfolio-Techniken sowie Fragen des Daten-, Personal-, Sicherheits- und Katastrophenmanagements, d.h. derjenigen Aspekte, welche das langfristige Handeln innerhalb einer Organisation bestimmen²⁴.

Dabei werden eingangs grundlegende Richtlinien und Rahmenbedingungen für die praktische Ausgestaltung des IM aus der Organisationsstrategie hergeleitet und damit die Informationsstrategie bestimmt²⁵. Diese muss entsprechend dem in der Analyse zugeordneten Organisationstyp²⁶ ausgerichtet sein, da andernfalls die Gefahr bestünde, dass Informationen ungenutzt blieben und nicht zum Vorteil der Organisation entsprechend dem Organisationstyp eingesetzt werden. Bei Formulierung der Informationsstrategie bedarf es zudem zwingend der direkten Beteiligung der Organisationsführung und sonstiger Betroffener auf sämtlichen Ebenen, damit nicht abgestimmte und damit unerwünschte Wechselwirkungen zwischen der Gesamtstrategie und der Informationsstrategie vermieden werden²⁷.

Aus der Informationsstrategie ist in Folge die Informationssystemarchitektur abzuleiten. Dabei handelt es sich um „die Gesamtheit aller Regeln, Vorschriften und Konzepte, die dem Aufbau eines Informationsversorgungssystems oder der gesamten Informationsinfrastruktur zugrunde liegt“²⁸. Für diesen Entwicklungsprozess wurden verschiedene Konzepte entwickelt [Ansatz des „St. Galler Informationssystem-Managements“, „CIM-OSA-Framework“, „IFIP WG 8.1. Architektur“, „Architektur integrierter Informationssysteme (ARIS)“], welche unterschiedliche Phasen, Ebenen und Sichtweisen darstellen²⁹ und damit ein planvolles Vorgehen sichern sollen.

Hieran schließt sich die strategische Planung der Informationsinfrastruktur an. Ziel dieser Planungsphase ist es, die bisherigen Überlegungen zu konkretisieren. Dabei geht es um die einzusetzenden technischen Systeme, d.h. darum im Hinblick auf die längerfristige Nutzung und unter Berücksichtigung von Preis und Leistung die richtigen Komponenten, Technologien und Architekturen auszuwählen. Der sich dabei ergebende Fragenkreis umfasst etwa die Herstellerauswahl, die Netzwerk- und Rechnerkapazitätsauswahl, die Wahl zwischen einem zentralen Server oder Satellitenservern, die Anzahl der Drucker, den Anschluss des Netzwerkes nach draußen, die Standorte der Server und die Ausstattung sowie Erweiterbarkeit des Serverraums, den Einsatz von Standard- oder Individualsoftware oder wie tief das System in die Organisationsstruktur integriert werden soll³⁰. Zur Erleichterung eines planvollen Vorgehens werden auch in dieser Phase verschiedene Modelle angewandt, so dass von IBM entwickelte „Business-Systems-Planning“ (BSP)³¹.

Wegen der grundlegenden und tiefgreifenden Veränderung bestehender organisatorischer Abläufe und Strukturen durch Einführung bzw. Änderung von Informationsversorgungssystemen (z.b. bei Aufbau- und Ablauforganisation, Informations- und Datenstruktur, Schnittstellen zur Umwelt) stellt die Organisationsplanung schließlich einen wichtigen Baustein wahrzunehmender strategischer Aufgaben dar³². Dabei erfolgt in der Regel zugleich eine Sichtung der Aufbau- (statische Sicht) und der Ablauforganisation (dynamische Sicht) mit dem Ziel aufzuzeigen, wie Informationsprozesse in die Gesamtabläufe der Organisation eingebunden sind, wie sich eine Aufgabenerweiterung oder -beschränkung auswirkt, Potentiale ausgeschöpft werden können und damit insgesamt eine Optimierung von Prozessen herbeigeführt werden kann³³.

Anschließender Teil der strategischen Planung ist sodann die grundlegende Entscheidung, ob und welche Aufgaben des Informationsmanagements (IM) durch die vorhandene oder veränderte Organisation selbst oder durch einen oder mehrere externe Dienstleister (Outsourcing) mittel- oder längerfristig erbracht werden können und sollten („Make or Bay“)³⁴.

Die Wahrnehmung strategischer Aufgaben gehört damit gleichfalls zum originären Tätigkeitsbereich des Informationsmanagements (IM) und nicht in den Zuständigkeitsbereich von Fachabteilungen.

Die auf strategischer Ebene beschlossenen Konzepte bedürfen schließlich der unmittelbaren Umsetzung. Auch dabei ist vom Informationsmanagement (IM) planvoll und koordiniert, bei möglichster Vermeidung der sich aus unterschiedlichen Zielen der Beteiligten ergebenden Konflikte vorzugehen³⁵. In der Hauptsache sieht sich das Informationsmanagement (IM) dabei mit Problemen der Organisations- und Systementwicklung, einem auf die Umsetzung zugeschnittenen Qualitäts- und Konfigurationsmanagement und der Hard- und Softwarebeschaffung sowie den bereichsübergreifenden Aufgaben „Personalbeschaffung und Personalqualifizierung, Entwurf und Implementierung von Datenbanken [sowie der] Installation von Sicherheitskonzepten³⁶“ konfrontiert.

Bei der Umsetzung hat das Informationsmanagement (IM) zunächst wiederum die sich aus den veränderten Rahmenbedingungen des strategischen Konzepts ergebenden Auswirkungen auf die Organisation und deren Abläufe zu prüfen³⁷. Ergibt sich sodann bei wenig überschaubaren Sachverhalten die Notwendigkeit einer Veränderung, ist es weitere Aufgabe den Veränderungsprozess im Modell darzustellen und dabei alle Auswirkungen zu berücksichtigen und zwar sowohl auf die Gesamtorganisation, als auch auf einzelne Stellen bezogen³⁸. Dabei dürfen Fragen der Wirtschaftlichkeit, etwa beim Bedarf an Sach- und Finanzmitteln genau sowenig wie einzelne Veränderungen bei Stellen- und Aufgabenbeschreibungen oder arbeitsrechtliche und soziale Fragestellungen außer acht gelassen werden³⁹.

Hiernach kann es an die konkrete Entwicklung des Informationsversorgungssystems gehen. Dabei sind etwa die erforderliche Hard- und Software zu beschaffen oder selbst zu entwickeln, vorhandene Strukturen der Informationsversorgung zu ergänzen, inhaltliche Systemanforderungen und Anforderungen an ggf. nötige Arbeitsplatzumgestaltungen zu ermitteln, gesetzeskonforme Regeln für die Systemnutzung aufzustellen (Datenschutz, Arbeitsrecht), Mitarbeiter in der Anwendung zu schulen oder etwa schlicht Fragen der Datensicherung zu lösen⁴⁰. In der Regel wird der Systementwurf dabei Top-Down, Programmierung und Test der Programme Bottom-Up durchgeführt, alternativ aber auch auf induktive oder deduktive Strategien zurückgegriffen⁴¹.

Gleichzeitig sind bereits für die sich anschließenden Phase der Systemnutzung Konzepte und Strategien vorzubereiten, welche sowohl die eigentliche Systemnutzung, die Fehlererkennung und Beseitigung, die Dokumentation, das Qualitätsmanagement bis hin zur Weiterentwicklung des Informationsversorgungssystemes aufgrund sich verändernden Umwelt und geändertem Nutzerverhaltens sichern⁴².

Um dabei dem Aspekt der Wirtschaftlichkeit ausreichend gerecht zu werden und insbesondere der Einführung fehlerhafter Informationsversorgungssysteme vorzubeugen, bietet es sich an, die Durchführbarkeit der angestrebten Veränderung zunächst in „funktioneller, technischer, personeller, sozialer, rechtlicher, finanzieller und wirtschaftlicher Hinsicht“⁴³ zu testen. Vordergründig in Betracht kommt dabei, das neue Informationsversorgungssystem entweder im Versuchsbetrieb oder falls bereits Informationsversorgungssysteme vorhanden sind im Parallelbetrieb zu fahren, da beide Varianten losgelöst vom bisherigen Geschäftsbetrieb so auf Herz und Nieren geprüft werden können⁴⁴. Daneben ist eine direkte Umstellung, d.h. das Abschalten des bisherigen Systems der Informationsversorgung und Implementierung des neuen Systems mit erheblichen Risiken verbunden⁴⁵, die zunächst daraus resultieren, dass für den Zeitraum der Umstellung überhaupt kein System für die Informationsversorgung zur Verfügung steht und jeglicher Arbeitsanfall aus dieser Zeit zunächst anderweitig, etwa in Papierform erfasst und dann ins neue System übertragen werden muss. Als weitaus gravierender Nachteil dürfte allerdings gelten, dass Fehler im neuen System der Informationsversorgung, welche sich erst nach der Inbetriebnahme herausstellen, zu einem Abarbeitungsstau in der Informationsverarbeitung der Organisation bis hin zum Totalausfall und der Wiederinbetriebnahme des alten Systems führen können⁴⁶. Zwar wird auch erwogen über eine schrittweise Implementierung einzelner Module oder Teilsysteme vorzugehen und erst bei störungsfreiem Betrieb der neuen Komponente weitere in Betrieb zu nehmen⁴⁷. Jedoch dürfte ein solches Vorgehen nur dort angezeigt sein, wo alte Hard- und Software dies „technisch“ zulassen. Ein prominentes Beispiel hierfür sei der Versuch, rein auf Linux basierende Software auf einer Windowsplattform zu etablieren. Auch die ferner vorgeschlagene „horizontale stufenweise Umstellung“⁴⁸, bei welcher zunächst einzelne Arbeitsplätze und erst sodann bei deren störungsfreiem Betrieb nach und nach das ganze System umgestellt wird⁴⁹, erscheint zwar geeignet Totalausfälle wie bei einer direkten Umstellung zu vermeiden, dürfte jedoch nur dann ein probates Mittel sein, wenn im Netzwerk gearbeitet wird und durch die alte Hard- und Software Fehlerauswirkungen auf das alte Informationsversorgungssystem abgefangen werden.

Um bei dem anzustrebenden schrittweisen Vorgehen jederzeit eine Fehlersuche und -bereinigung zu ermöglichen, ist eine alle Zwischenschritte umfassende Rückverfolgung (meist als Versionsmanagement) im Rahmen eines Konfigurationsmanagements zu etablieren⁵⁰.

Auch bei der nun anstehenden Beschaffung konkreter Hard- und Software ist planvoll vorzugehen. Dabei treten Probleme nicht nur hinsichtlich der Auswahl der richtigen technischen Lösung aus einer kaum noch zu überschauenden Anzahl unterschiedlichster Produkte auf⁵¹. Problematisch sind auch die mitunter erheblichen Preisspannen bei den Produkten mit sonstigen Beurteilungskriterien wie verlängerte Garantie, kostenlose Servicezeiten, Kundendienstnetz, Bedienungsanleitung, Raumkosten pp. Diese sollten daher gemeinsam monetär und nach möglichem Nutzen dargestellt werden, um so die verschiedensten Angebote vergleichbar zu machen⁵². In Anbetracht des raschen Werteverfalls in der Informationstechnologie sollten entsprechenden Systeme nicht mit längerer Nutzungsdauer als 2-4 Jahre veranschlagt werden und der Anschaffung sollte zusätzlich eine ausreichende Analyse des Marktes und der Einsatzbedingungen der Hardware vorausgehen (Nutzung fremder Erfahrungswerte)⁵³.

Bei der Beschaffung von Software sollte adäquat vorgegangen werden⁵⁴. Im Unterschied zur Hardwarebeschaffung stellt sich hier allerdings häufig die Frage, ob Standard- oder Individualsoftware erworben werden sollte⁵⁵. Standardsoftware ist dabei leichter zu beschaffen und somit kostengünstiger als Individualsoftware, zumeist sehr schnell in der Organisation einsatzbereit und mit vorhandener Standardsoftware in der Regel kompatibel⁵⁶. Als problematisch wird angesehen, dass Standardsoftware wegen des Zuschnitts des Programmes auf eine große Anwendergruppe mitunter erst an die betrieblichen Erfordernisse angepasst werden muss⁵⁷. Allerdings dürfte dies nur für ganz spezielle Programme gelten, so dass insoweit dann die Anschaffung von Individualsoftware angezeigt erscheint. Für die sonst üblichen Arbeitsabläufe (z.B. Büro- oder Verwaltungsarbeiten) dürfte dagegen heute problemlos Standardsoftware ohne größere Anpassungsprobleme eingesetzt werden können (Outlook, Office pp.).

Im Zuge der Beschaffung obliegt dem IM auch die Aufgabe den konkreten Lieferanten auszuwählen und für eine Vertragsgestaltung im Sinne der Organisation zu sorgen⁵⁸. Dazu sind erneut alle bisher in die Auswahl eingestellten Kriterien abzuwägen, z.B. ob der Lieferant längere Garantien als der Hersteller anbietet oder ob für die Lieferung ein Allein- bzw. Mehrfachauftrag zu erteilen ist⁵⁹. Hinsichtlich der Vertragsgestaltung ist darauf zu achten, dass sich daraus keine Unwägbarkeiten für Einsatz und Betrieb des Informationsversorgungssystems ergeben⁶⁰. Neben der exakten Vereinbarung des Liefer- und Leistungsumfanges⁶¹ könnte vor allem problematisch sein, dass eine möglicherweise an den Lieferanten geleistete Anzahlung vor einer Insolvenz zu schützen ist. Erreicht werden sollten im Rahmen der Vertragsgestaltung auch weitere Zugeständnisse des Lieferanten, indem dieser z.B. seine Garantie erweitert, Anpassungen für eine Übergangszeit kostenfrei vornimmt oder Wartungs- und Serviceleistungen ohne Berechnung übernimmt⁶².

Zwar lässt sich damit nicht verkennen, dass jede Umsetzung strategischer Ziele auch der Mit- und Zuarbeit der Fachabteilungen bedarf. Originär sollte die Umsetzung strategischer Ziele zur Vermeidung vieler Insellösungen in den Fachabteilungen jedoch auch in dieser Phase beim Informationsmanagement (IM) selbst verbleiben.

Schließlich hat das Informationsmanagement (IM) umfangreiche operative Aufgaben wahrzunehmen. Hierbei handelt es sich in der Regel um die beim täglichen Einsatz der Informationsversorgungssysteme anfallenden Aufgaben⁶³.

Einen Schwerpunkt dabei bildet die Hardware- und Softwarebeschaffung, -installation und -wartung⁶⁴. Die Beschaffung kann dabei zentral über das Informationsmanagement (IM) oder dezentral durch die Fachabteilungen unter Abstimmung mit dem Informationsmanagement (IM) erfolgen⁶⁵. Soweit es um die Installation und Wartung von Hard- und Software geht (Instandhaltung und Instandsetzung), wird das Informationsmanagement (IM) diese Aufgaben jedoch in aller Regel aufgrund der dort gebündelten Fachkompetenz selber durchführen⁶⁶. Sollte auf der obersten Managementebene der Organisation die Auslagerung von operativen Aufgaben (Outsourcing) beschlossen worden sein, bleibt das Informationsmanagement (IM) gehalten ausreichend qualifizierte Mitarbeiter für den sich daraus ergebenden erhöhten Koordinations- und Überwachungsbedarf im operativen Geschäft vorzuhalten⁶⁷.

Auch bei starker Dezentralisierung wird es für erforderlich gehalten, ein zentrales Hardware- und Netzmanagement zu etablieren⁶⁸. Hierfür wird u.a. ins Feld geführt, dass nur so zentral abzuwickelnde Aufgaben erfüllt werden könnten, sich die Verwaltung und Pflege der Daten vereinfache, eine größere Rechenleistung zur Verfügung stünde sowie eine zentrale Datensicherung möglich sei⁶⁹. Allerdings scheinen sich die Vorteile einer zentralen Infrastruktur in Anbetracht der enormen Fortentwicklung vernetzten Rechnens mittlerweile aufzulösen. Die dezentrale Serverinfrastruktur von Internetsuchmaschinen dürfte hierfür ein prominentes Beispiel sein.

Gegenstand eines beim IM bestehenden zentralen Hard-, Software- und Netzmanagements sollte zudem die Hard- und Softwareverwaltung sein⁷⁰. Diese umfasst die Verwaltung der Softwareoriginalversionen, Erstellung von Sicherungskopien, Vergabe von Nutzungsrechten, Überwachung von Lizenzen, Einspielung von Updates, Anpassung der Hard- und Software an verändertes Nutzerverhalten, Überwachung des laufenden Betriebs durch Leistungsmessung der Hard- und Software (Monitoring) bis hin zur Behebung von Fehlern durch das Informationsmanagement (IM) selbst, jedenfalls aber im Falle des Outsourcings dessen Überwachung⁷¹.

Zu den operativen Aufgaben zählt ferner die Unterstützung der Anwender (Benutzer Support) zu möglichst allen Fragen und Problemen rund um den Betrieb der umfangreichen Hard- und Software sowie zur Arbeit im Netzwerk. Denn nicht jeder Benutzer verfügt zusätzlich zu seiner für die Aufgabenerledigung notwendigen Qualifikation auch über entsprechende Zusatzqualifikationen im IT-Bereich⁷². Von daher müssen sich Art und Umfang des Supports sowohl an den technischen Vorgaben der Hard- und Software, aber auch am Stand der Qualifikation der Benutzer orientieren. Nur dann ist ein betriebswirtschaftlich sinnvoller Einsatz der Informationsversorgungssysteme möglich⁷³. Dabei kommt es darauf an Störungen frühzeitig zu erkennen, zu identifizieren und zu dokumentieren, da nur dann deren schnelle und dauerhafte Behebung unter Minimierung der sich daraus ergebenden Auswirkungen auf den Benutzer (Ausfälle, Nutzungseinschränkungen) möglich ist⁷⁴. Da sich die Systeme der Informationsversorgung der weiteren Entwicklung ihrer Umwelt anpassen sollten⁷⁵, werden gute Informationsversorgungssysteme in der Regel so konzipiert sein, dass Änderungen jederzeit möglich sind, jedenfalls aber kurzfristig umgesetzt werden können. Insoweit fällt dem Informationsmanagement (IM) die Aufgabe zu, bereits während der Betriebsphase weitere Änderungen, Anpassungen und Erweiterungen zu planen, deren Umsetzung zu steuern, zu kontrollieren und zu dokumentieren⁷⁶.

In diesem Rahmen darf ferner nicht unberücksichtigt bleiben, wie hierdurch verursachte Kosten auf die übrigen Teile der Organisation umgelegt werden können⁷⁷. Solche Kosten entstehen einerseits durch die veränderten Aufbaustrukturen und Abläufe⁷⁸, andererseits bei institutionalisiertem Informationsmanagement (IM) als Kosten der interne Leistungserbringung, so dass diese Kosten zur Initiierung und zum Erhalt eines entsprechenden IT-Kostenbewusstseins innerhalb der Organisation auf die leistungsempfangende Stelle verrechnet werden müssen⁷⁹. Dem Informationsmanagement (IM) fällt insoweit daher die Aufgabe zu eine nach Wirtschaftlichkeitskriterien arbeitende Kosten- und Leistungsrechnung umzusetzen und durchzuführen⁸⁰. Schließlich ist daran zu denken, dass konkrete Kosten- und Leistungsdaten des Informationsmanagements (IM) auch für weitere Investitions- oder Outsourcingentscheidungen benötigt werden⁸¹. Die Be- und Verrechnung der Leistungen des Informationsmanagements (IM) kann entweder nach Kostenarten, Kostenstellen oder Kostenträger erfolgen⁸².

2.1.2Bereichsübergreifende Aufgaben

Neben den dargestellten zentralen Aufgaben müssen vom Informationsmanagement (IM) auch solche Aufgaben wahrgenommen werden, welche sowohl analytischer, strategischer und operativer Natur sind und zugleich die Umsetzung strategischer Aufgaben betreffen.

Hierzu gehört das Datenmanagement. Dieses umfasst „alle Managementaufgaben (Führen, Planen, Kontrollieren) der Identifizierung, Strukturierung und Modellierung von Daten sowie des Entwurfs und des Betriebs von Datenbanken einschließlich Gewährleistung von Datensicherheit und Datenschutz“⁸³, kurz „die Bereitstellung von Daten bzw. Informationen am richtigen Ort, beim richtigen Adressaten, zur richtigen Zeit, in der richtigen Form“⁸⁴. Da viele Bereich einer Organisation oft auf eine große Menge an Daten zugreifen und durch Vernetzung ebenfalls Zugriff auf eine erhebliche Anzahl externer Datenbanken besteht (z.B. über das Internet), wird es für erforderlich gehalten für die Aufgabenbereiche Analyse, Strategie, Realisierung und Betrieb zwingend ein Datenmanagement zu etablieren, welches in größeren Organisationen wegen der Bedeutung der Informationsversorgungssysteme für den Bestand der Organisation institutionalisiert sein sollte⁸⁵.

In diesem Rahmen umfasst die vom institutionalisiertem Datenmanagement durchzuführende Analyse die Erfassung der realen Welt, deren schrittweise Überführung in ein Modell und Übersetzung in auf einem Datenträger abgespeicherte Informationen, ferner Auswahl externer Datenbanken und Ermittlung und Einrichtung von Zugriffsmöglichkeiten und -bedingungen auf intern und extern bereitgestellte Daten für jeden Arbeitsplatz oder alternativ auf Personen bezogen⁸⁶.

Das institutionalisierte Datenmanagement sollte ferner bereits in der Phase der strategischen Planung aktiv werden und etwa darauf achten, dass die zur Lösung der Aufgabe richtige Datenbanktechnologie und -architektur vorausgewählt wird, mithin die längerfristige „Identifizierung, Strukturierung und Modellierung von Daten sowie des Entwurfs und Betriebs von Datenbanken einschließlich Gewährleistung von Datensicherheit und Datenschutz“⁸⁷ im Sinne der Organisationsziele sichergestellt ist⁸⁸.

Während der Phase der Umsetzung muss ferner im Auge behalten werden, ob es zu Abweichungen zwischen den Vorgaben der strategischen Planung und dem Ist-Zustand kommt⁸⁹.

Schließlich sind auch während der Betriebsphase vielfältige operative Aufgaben wahrzunehmen, welche vom eigentlichen Betrieb der Informationsversorgungssysteme über die Reorganisation von Speichermedien bis hin zur Datensicherung reichen⁹⁰.

Insbesondere im Hinblick auf die Umsetzungs- und Betriebsphase ergibt sich, dass ein institutionalisiertes Datenmanagement die dargestellten Aufgaben nicht ohne Hilfe und Unterstützung der Fachabteilungen erfüllen kann. Denn weder Datenlager (z.B. nach dem Data-Warehouse-Konzept)⁹¹, noch Reporting – Systeme⁹² können ohne die Hilfe und Unterstützung „vor Ort“ in den Fachabteilungen mit Informationen gefüllt und so am Leben gehalten werden.

Datenmanagement betrifft daher gleichermaßen sowohl institutionalisiertes Informationsmanagement (IM) und das Management der Fachabteilungen⁹³. In kleineren Organisationen ist es wegen des ansonsten kaum vertretbaren Aufwandes allerdings möglich, auf die Institutionalisierung zu verzichten. Dann aber sollten zumindest entsprechende Verantwortlichkeiten für das Informationsmanagement (IM) bestimmten Personen zugewiesen werden⁹⁴.

Auch beim Personalmanagement handelt es sich um eine Aufgabe ohne konkrete Zuweisung zu einem der oben bestimmten zentralen Aufgabengebiete⁹⁵. Vielmehr umfasst das Personalmanagement im „Spannungsfeld zwischen Unternehmenszielen, Zielen anderer Funktionsbereiche (z.B. Informatik, Vertrieb usw.), individuellen Zielen der Mitarbeiter sowie finanziellen und rechtlichen Restriktionen“⁹⁶ stehend „die Aufgaben der Personalführung, die sich auf die Mitarbeiter im institutionellen Informationsmanagement (IM) beziehen, sowie informatikspezifische Personalführungsaufgaben aller übrigen Mitarbeiter“⁹⁷.

So sind auf strategischer Ebene bereits personelle Maßnahmen und deren Auswirkungen abteilungsübergreifend zu beurteilen und zu berücksichtigen (Personalplanung), im Zuge der Realisierung Konsequenzen für Personalbeschaffung, Personalentwicklung und Personaleinsatz zu ziehen und im Rahmen des operativen Geschäfts auf konkrete sich verändernde Situationen einzugehen und jeweils als Lösung umzusetzen (Personalführung)⁹⁸.

Die Personalplanung umfasst die Entwicklung, Beschaffung, Freisetzung und den Einsatz von Personal, wohingegen sich die Personalführung dem Führen, Motivieren und Entlohnen des Personals verschrieben hat⁹⁹. Letztere ist als Teil des Human-Ressources-Managements sowohl dem institutionalisiertem Informationsmanagement (IM) und dem Management der Fachabteilungen zuzuweisen¹⁰⁰. Bei kleineren Organisationen gilt die genannte Erleichterung.

Auch die Beschaffung, Freisetzung und Entwicklung von Personal gehört als Aufgabe gleichermaßen zum Wirkungskreis eines institutionalisiertem Informationsmanagement (IM) und dem Management der Fachabteilungen¹⁰¹. Dabei wird sich das institutionalisierte Informationsmanagement (IM) vorwiegend mit der Ermittlung des Brutto-, Netto- und qualitativen Personalbedarfs in Umsetzung seiner strategischen Personalplanung auseinanderzusetzen haben¹⁰², ist hierbei jedoch zugleich auf die Mitwirkung des Managements der Fachabteilungen angewiesen. Denn wesentliches personalwirtschaftliches Problem ist, neben der mitunter in den Personalakten nur unvollständig erfassten Qualifikationen (insbesondere der „soft skills“) bzw. fehlerhafter Stellenbeschreibungen, dass die Ermittlung des zukünftigen Personalbedarfs in den einzelnen die Informationsversorgungssysteme nutzenden Abteilungen wegen der ungeheuren Dynamik des technischen Innovationsprozesses¹⁰³ und der meist in den oberen Etagen des Top-Managements zudem meist nicht bekannten und sodann zu unerwarteten Eigenkündigungen führenden zwischenmenschlichen Probleme ohne Mithilfe des Managements der Fachabteilungen weder ausreichend abgeschätzt, noch vollständig erfasst und eingeordnet werden können (Prognoseproblem)¹⁰⁴. Hier sollen durch eine frühzeitige Beteiligung der Fachabteilungen Entlassungen vermieden, frühzeitig mit dem Aufbau des für die späteren Nutzung nötigen Wissens begonnen und zugleich aber auch freie Stellen rechtzeitig durch qualifiziertes Personal neu besetzt werden¹⁰⁵. Hinzu kommen Einstellungen, Stellenzuweisungen, Arbeitseinweisungen, Qualifizierungen oder Beurteilungen als operative Aufgaben¹⁰⁶, welche wegen ihrer Sachnähe eher dem Management der Fachabteilungen zuzuordnen sind.

Systeme der Informationsversorgung sind aufgrund ihrer Komplexität vielfältigen Gefahren ausgesetzt. Bereichsübergreifend muss das Informationsmanagement (IM) daher auch hinsichtlich möglicher Notfälle und Störungen in Bezug auf die Systemsicherheit und die Sicherheit von Informationen und Daten im Rahmen eines Sicherheits- und Katastrophenmanagement tätig werden. Gefahrenursachen können insoweit sowohl technischer, natürlicher als auch menschlicher Natur sein¹⁰⁷. Ihnen allen wohnt jedoch inne, dass kleinste Fehler oder Unterlassungen bereits zu schwerwiegenden Fehlern, Datenverlusten bis hin zum völligen Zusammenbruch einer ganzen Organisation führen können¹⁰⁸.

Vor diesem Hintergrund verfolgt das Sicherheits- und Katastrophenmanagement die Aufgabe, den störungsfreien Betrieb der Informationsinfrastruktur und der Datensicherheit im Hinblick auf den Fortbestand Gesamtorganisation zu gewährleisten¹⁰⁹.

Mögliche Gefahren sind zunächst zu analysieren und sodann nach möglichem Risiko, Umfang, Dauer, Objekt, Wirkung und Schadenhöhe prognostisch zu bewerten und strategische Maßnahmen zu deren Vermeidung zu planen. Zumindest ist im Schadenfall bereits eine planvolle Minimierung der Auswirkungen und zwar sowohl hinsichtlich Schadenhöhe als auch -dauer der schadenbedingten Unterbrechung anzustreben sowie das unvermeidbare Restrisiko mittels Versicherung abzudecken¹¹⁰.

Als Gefahrenquellen kommen in der Regel solche aus der Informationsinfrastruktur selbst resultierende (z.b. Hardwareausfall), der Beziehung zur Umwelt sich ergebende (z.B. Blitzschlag ins Rechenzentrum) oder aus unerlaubten Handlungen folgende (z.B. Datendiebstahl) in Frage¹¹¹. Diesen Gefahren kann bei der Umsetzung durch ausreichenden Objekt- und Hardwareschutz, Vergabe von Passwörtern, Einrichtung von Firewalls, regelmäßige Backups, Personenkontrollen, Notstromaggregaten oder etwa speziellen Feuerlöscheinrichtungen begegnet werden¹¹².

Damit wird deutlich, dass derart zentral auf den Fortbestand der Organisation ausgerichtete Aufgaben aus den Bereichen Analyse, Strategie und Umsetzung nur zentralisiert erledigt werden können und bei institutionalisiertem Informationsmanagement (IM) einem speziellen Sicherheitsmanagement vorbehalten sein sollten¹¹³. Durch Einrichtung der letztgenannten Stelle wird nämlich gewährleistet, dass das übrige Informationsmanagement (IM) in Anbetracht der Vielzahl der zur Erledigung anstehenden Aufgaben die für den Fortbestand der Organisation essentiellen Sicherheits- und Katastrophenschutzaufgaben in einem Bereich des Managements untergebracht weiß, welcher sich mit aller Kraft und ausschließlich dieser äußerst wichtigen Aufgabe widmen kann.

Zugleich steht damit aber auch fest, dass sich die Erledigung operativer Aufgaben ohne Einschaltung des Managements der Fachabteilungen nicht erledigen lässt. Denn dort müssen Mitarbeiter im Umgang mit der Sicherheitstechnik eingewiesen, auf regelmäßigen Wechsel der Passwörter geachtet oder der Zutritt unbefugter Personen unterbunden werden.

Das Sicherheits- und Katastrophenmanagement stellt sich daher ebenfalls als eine dem institutionalisierten Informationsmanagement (IM) und dem Management der Fachabteilungen gleichermaßen zuzuweisenden Aufgabe dar.

Das Informationsmanagement (IM) ist in seinem Wirkungsbereich wie jeder andere Bereich einer Organisation der Determination durch vielfältige nationale und internationale Rechtsvorschriften und der Rechtsfindung und -fortbildung durch die Rechtsprechung unterworfen¹¹⁴, welche Einfluss auf Art und Inhalt des Betriebs- bzw. Organisationsablaufes haben oder gar jedes Tätigwerden einer Organisation unterbinden können¹¹⁵. Vor diesem Hintergrund ist es heute geradezu zwingend, ein Rechtsmanagement in jeder Organisation zu etablieren. Naturgemäß spielt bei dessen Tätigkeit das Bürgerliche Recht, insbesondere zum Zustandekommen, Inhalt und Abwicklung von Verträgen die größte Rolle, gefolgt vom Handelsrecht mit den Bestimmungen zur elektronischen Buchführung, dem Wettbewerbsrecht, Urheberrecht, Arbeitsrecht einschließlich der Betriebsverfassung und dem Recht der Arbeitnehmererfindungen¹¹⁶. Im Bereich des Öffentlichen Rechts stehen einschlägige Bestimmungen zum Datenschutz- und Telekommunikationsrecht meist im Spannungsverhältnis zum Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 iVm Art. 2 Abs. 1 GG) und führen zu erheblichem Beratungsbedarf¹¹⁷. Nicht unerwähnt sollen jedoch auch die europarechtlichen Vorgaben auf dem Gebiet des bürgerlichen Rechts und seiner Nebengebiete sowie zum Datenschutz- und Telekommunikationsrecht in ihrem Spannungsverhältnis zu den Grundfreiheiten und zur Grundrechtecharta der Europäischen Union bleiben. Schließlich wirken als Sanktionsnormen Regelungen des Ordnungswidrigkeiten- und Strafrechts ein. Von besonderer Bedeutung dabei sind die Straftatbestände Computerbetrug (§ 263a StGB), Computersabotage (§ 303b StGB), Datenspionage (§ 202a StGB) und Datenveränderung (§ 303a StGB) sowie die im Nebenstrafrecht angesiedelten Straftatbestände, z.B. aus dem Urheberrecht¹¹⁸.

Deutlich wird, dass eine Einbindung des Rechtsmanagements jedenfalls sehr frühzeitig erfolgen muss, nämlich bereits dann, wenn in der Phase der Analyse die Vereinbarkeit des Ist – Zustandes bestehender oder in der Entwicklung angedachter Systeme der Informationsversorgung mit der derzeitigen und zukünftig erwarteten Rechtslage zu prüfen ist. Nur dies gewährleistet das Fehlentwicklungen vermieden und auch der weitere Weg über die strategische Planung und deren Umsetzung erfolgreich vom Rechtsmanagement begleitet werden kann. Klar ist damit aber auch, dass Rechtsmanagement wegen der sich ständig verändernden rechtlichen Rahmenbedingungen zudem stark dem operativen Geschäft verpflichtet ist, etwa wenn es darum geht bestehende Internetpräsenzen der aktuellen Entwicklung des Telekommunikationsrechts anzupassen.

In Anbetracht dieser speziellen und in der Regel kaum noch von Spezialisten vollständig zu überschauenden Regelungsmaterie sollte bei institutionalisiertem Informationsmanagement (IM) dieser Bereich einem speziellen Rechtsmanagement vorbehalten bleiben. Zwar könnte diese Aufgabe prinzipiell auch von der allgemeinen Rechtsabteilung einer Organisation wahrgenommen werden. Allerdings besteht dann die Gefahr, dass die unter Juristen mitunter als zweitrangig angesehenen Regelungen aus dem IT-Bereich bei der Erledigung allgemeiner Rechtsaufgaben untergeht oder entsprechend fachliches Wissen fehlt¹¹⁹.

Das Management der Fachabteilungen wird schließlich darüber zu wachen haben, dass bestehende rechtliche Regelungen und Vorgaben in den Abteilungen umgesetzt werden, Verstöße unterbleiben bzw. rechtzeitig geahndet werden.

Das Rechtsmanagement berührt daher gleichfalls das institutionalisierte Informationsmanagement (IM) und das Management der Fachabteilungen.

Da oft gerade harmlos erscheinende Kleinigkeiten erhebliche Folgen für den Ablauf innerhalb einer Organisation nach sich ziehen können, ergibt sich ferner das Erfordernis ein Qualitätsmanagement für den Bereich des Informationsmanagements (IM) einzurichten¹²⁰. Dieses umfasst „alle vorbeugenden, kontrollierenden und nachbessernden Maßnahmen bei der Ausführung von IM-Aufgaben, die konkret und bewusst auf die Erreichung von Qualität ausgerichtet sind“¹²¹. In diesem Rahmen ist auf Qualitätsplanung, -steuerung, -kontrolle und -dokumentation Wert zu legen und zwar sowohl durch „konstruktive Qualitätsmanagementmaßnahmen“¹²² wie „widerspruchsfreie und vollständige Definition der Qualitätsziele“¹²³ oder „Aufbau eines Qualitätsberichtswesen“¹²⁴, als auch durch „analytisches Qualitätsmanagement“¹²⁵, das jede Zwischen- oder Endstufe der Entwicklung des oder am Informationsversorgungssystem einer Prüfung und Bewertung zu unterziehen hat¹²⁶.

Welche Qualitätsmaßstäbe dabei anzulegen sind, ist in der Regel in DIN ISO – Normen, mitunter aber auch in betriebsinternen Qualitätsrichtlinien festgelegt¹²⁷. Letztere gehen entweder auf die Eigeninitiative der Organisation oder aber auf Forderung von Kunden zurück. So bestehen etwa in der Automobilindustrie in der Regel feste Qualitätsstandards, welche auch von den Zulieferfirmen beachtet und diesen mitunter sogar als eigene betriebsinterne Qualitätsrichtlinien aufgezwungen werden.

Das Qualitätsmanagement ist deswegen Teil der von einem institutionalisierten Informationsmanagement (IM) und den Fachabteilungen gleichermaßen wahrzunehmenden Aufgaben¹²⁸, wobei die Hauptlast bei der Aufgabenerledigung eher bei den Fachabteilungen liegen dürfte, da die Umsetzung und Überwachung zentral festgelegter Qualitätsmaßstäbe wirksam meist nur vor Ort erfolgen kann.

2.2Aufgabenerfüllung

2.2.1Organisatorische Eingliederung

Im Ergebnis der bisherigen Ausführungen sollte das Informationsmanagement (IM) daher wegen der Vielzahl zu erfüllender und zum Teil bereichsübergreifender Aufgaben insbesondere in größeren Organisationen als zentraler Informationsmanagement – Bereich (institutionalisiertes Informationsmanagement) geführt werden¹²⁹.

Dieser zentrale Bereich muss zumindest „für Planungs-, Koordinierungs- und Steuerungsaufgaben, für die Unterstützung der Fachabteilungen und für zentrale operative Aufgaben“¹³⁰ eingerichtet, in kaufmännischen, technischen, rechtlichen, sozialen und sonstigen Fragen zuständig und mit abteilungsübergreifenden Entscheidungsbefugnissen ausgestattet sein, wobei die Gliederung je nach Größe der Organisation unterschiedlich tief ausfallen kann¹³¹.

Bei kleineren, in aller Regel noch überschaubaren Organisationen bietet es sich hingegen an, das Informationsmanagement (IM) als dezentrale Führungsaufgabe in Fachabteilungen erledigen zu lassen¹³². Dies kann soweit gehen, dass aus wirtschaftlichen Erwägungen oder personellen Gründen letztlich „alle Mitarbeiter eingebunden werden“¹³³. Allerdings muss bei diesen sodann ausreichende Kompetenz in der Informationsversorgung vorhanden sein¹³⁴ und eine eindeutige Aufgabenzuweisung erfolgen.

Da die sichere Zuordnung einer Organisation als klein oder groß in Ermangelung einer in der Praxis handhabbaren Definition mit Unsicherheiten behaftet ist, bietet es sich an, die oben dargestellten zentralen Aufgabenbereiche der Analyse, Strategie, Realisierung und des operativen Geschäfts prinzipiell institutionalisiert, bereichsübergreifende Aufgaben wie Daten-, Personal-, Sicherheits- und Katastrophen-, Rechts- und Qualitätsmanagement hingegen sowohl beim institutionalisierten Informationsmanagement (IM) als auch beim Management der Fachbereiche anzusiedeln¹³⁵, wobei alle „fachspezifischen oder anwendungsindividuellen Aufgaben im Zusammenhang mit Beschaffung, Verarbeitung, Übertragung, Speicherung und Bereitstellung von Informationen“¹³⁶ allein „in den Zuständigkeitsbereich der Fachabteilungen“¹³⁷ gehören¹³⁸.

Nicht unerwähnt bleiben darf, dass in der Literatur eine Vielzahl weiterer Kriterien für eine Differenzierung angeführt werden¹³⁹, so etwa strategische Ausrichtung¹⁴⁰, Geschäftsprozessorientierung¹⁴¹, Unternehmensgröße¹⁴², Organisationsstruktur¹⁴³, Formalisierungs- und Regelungsgrad der Organisation¹⁴⁴, Produktionsprogramm¹⁴⁵ oder Sicherheitsanforderungen¹⁴⁶.

Aus der hier zugrunde liegenden Gliederung nach Aufgaben ergibt sich somit der nachfolgende Organisationsaufbau¹⁴⁷:

Abb. 1: aufgabenorientierter Organisationsaufbau des Informationsmanagements (IM)¹⁴⁸

Wie oben ausgeführt ist es dabei möglich, aber mitunter wegen der Bedeutung der Aufgabe oder der zur Erfüllung nötigen fachspezifischen Kenntnisse nicht immer vorteilhaft, einzelne bereichsübergreifende Aufgaben in allgemeine Abteilungen auszugliedern, z.B. das Rechtsmanagement in der für die gesamte Organisation zuständigen Rechtsabteilung anzusiedeln.

Kommt man hingegen von der Gliederung in zentrale und bereichsübergreifende Aufgaben weg „und orientiert sich mehr an den Objekten eines IM“¹⁴⁹ ergibt sich folgender, dann alternativ zu wählender Organisationsaufbau¹⁵⁰:

Abb. 2: objektorientierter Organisationsaufbau des Informationsmanagements (IM)¹⁵¹

Hierbei fallen allerdings in den verschiedenen Bereichen sowohl „Analyseaufgaben, strategische Aufgaben, Realisierungsaufgaben und operative Aufgaben“¹⁵² an, was zu einer Zergliederung von Aufgaben und damit erhöhtem Koordinationsbedarf innerhalb der Organisation führt.

Eine weitere Möglichkeit des Aufbaus liegt in der Gliederung allein nach Funktionen, wobei auch andere als die in nachfolgender Abbildung dargestellten Funktionen denkbar sind¹⁵³:

Abb. 3: funktionsorientierter Organisationsaufbau des Informationsmanagements (IM)¹⁵⁴

Dem Vorteil einer optimalen Ausnutzung vorhandener Ressourcen bei einem an der Funktion orientierten Organisationsaufbau stehen als Nachteile allerdings erhöhter Übermittlungs- und Koordinationsaufwand sowie eine erschwerte Anreizgestaltung gegenüber¹⁵⁵.

Sofern bei institutionalisiertem Informationsmanagement (IM) mit Projekten zu rechnen ist, bietet sich u.U. Auch der Aufbau einer an den Phasen der Systementwicklung orientierten Matrixorganisation an¹⁵⁶:

Abb. 4: projektorientierte Matrixorganisation des Informationsmanagements (IM)¹⁵⁷

Dabei werden die Vorteile funktionaler und projektorientierter Organisationsstrukturen miteinander verknüpft. Die projektorientierte Seite hilft bestehende funktionale Barrieren innerhalb der Organisation im Sinne einer besseren Zielerreichung, z.B. bei der Produktentwicklung, abzubauen, während die funktionale Seite gewährleistet, dass sich bei der jeweils mit der Aufgabenerfüllung befassten Stelle Expertenwissen ansammelt, was in der Historie dazu geführt hat, dass heute in vielen Bereichen nur noch in Projekten gearbeitet wird und es dadurch zu einer neuen Konkurrenzsituation und neuen Konflikten zwischen Linien- und Projektarbeit, deren jeweiligen Instanzen, aber auch zwischen den Projekten selbst kommt¹⁵⁸.

Seit der Abkehr vom Gedanken des Primats der Aufbauorganisation und der Hinwendung zur Prozessorganisation, werden in neuerer Zeit zuvor definierten „Ressourcen der Informationsinfrastruktur zugeordnet“¹⁵⁹ und so die „interne Organisation des institutionellen IM . . . mit der übrigen Organisation verzahnt“¹⁶⁰:

Abb. 5: prozessorientierter Organisationsaufbau des Informationsmanagements (IM)¹⁶¹

Die so gewonnene Fähigkeit einer Organisation „Geschäftsprozesse, schnell, kostengünstig, flexibel und fehlerfrei zu gestalten“¹⁶² führt zu einer zeitnahen und konsequenten Problemlösung im Sinne der Kundenwünsche¹⁶³ und ist in Fortentwicklung der projektorientierten Matrixorganisation auch als prozessorientierte Matrixorganisation denkbar, was zur „Vereinigung von funktionsspezifischem Fachwissen und abteilungsübergreifender Prozesserfahrung führt“¹⁶⁴.

Daneben findet sich in der Literatur eine Vielzahl denkbar weiterer Formen des Organisationsaufbaues¹⁶⁵.

Die Einbindung des Informationsmanagements (IM) in die Gesamtorganisation erfolgt sodann entweder als Teil der Linienorganisation oder als Division (Profit oder Cost Center)¹⁶⁶.

Strukturell kann die Einbindung als „Unterabteilung des Rechnungswesens, Stabsstelle auf oberster Managementebene“¹⁶⁷, durch „mehrere Stabsstellen auf unterschiedlichen Hierarchieebenen, Hauptabteilung, Abteilung oder Bereich in einer Linienorganisation“¹⁶⁸ oder in einer „Linienorganisation mit Querschnittsfunktion, die mit bedingten Weisungsbefugnissen“¹⁶⁹ ausgestattet ist, vorgenommen werden.

Deutlich wird vor diesem gesamten Hintergrund, dass jede Veränderung der Organisationsstruktur unmittelbare Auswirkungen auf die Ablauforganisation haben muss. Denn die bisher vorhandene und als optimiert angesehene zeitliche und sachlogische Verknüpfung strukturierter Arbeits- und Bewegungsvorgänge (z.B. Auslastung von Stellen, optimierte Durchlaufzeiten von Objekten, arbeitsteilige Erledigung von Teilaufgaben pp.) lässt sich unter einer neuen oder veränderten Aufgabenverteilung aufgrund veränderter Organisationsstruktur nicht mehr aufrecht erhalten¹⁷⁰.

Von daher muss jede Veränderung des Organisationsaufbaus schon in den Phasen von Analyse und strategischer Planung mögliche spätere Auswirkungen auf die Ablauforganisation berücksichtigen.

Zur Vermeidung von Fehlern und Unsicherheiten sollte insoweit die gesamte Ablauforganisation in kleinste nicht mehr teilbare Einheiten zunächst zerlegt und sodann wieder optimiert zusammengefügt werden¹⁷¹. Ergeben sich daraus wiederum nötige Veränderungen am Organisationsaufbau, sollten diese Berücksichtigung finden, denn Aufbau- und Ablauforganisation determinieren sich aus Sicht der modernen am Geschäftsprozess ausgerichteten Organisationslehre und sind daher in Übereinstimmung zu bringen¹⁷².

2.2.2Organisatorische Ausgliederung

Neben der Aufgabenerfüllung innerhalb einer Organisation, lassen sich die oben dargestellten Aufgaben bzw. im Falle einer prozessorientierten Sicht auch ganze Geschäftsprozesse an externe Organisationen übertragen¹⁷³.

Organisatorisch kann dies auf verschiedenste Weise erfolgen.

In Frage kommt die Aufgabenübertragung an eine bereits wirtschaftlich und rechtlich unabhängige Organisation, die entweder nur für die auslagernde Organisation oder aber auch für andere Organisationen tätig ist. Alternativ können die Aufgaben aber auch an eine gesondert zu diesem Zweck gegründete oder zugekaufte Tochtergesellschaft der Organisation übertragen werden, die dann von der outsourcenden Unternehmung wirtschaftlich abhängig aber rechtlich unabhängig ist¹⁷⁴. Auch hier kann die Tochtergesellschaft einen oder mehrere Auftraggeber bedienen. Ferner besteht die Möglichkeit, dass die auslagernde Organisation zusammen mit einer anderen Organisation ein Joint Venture eingeht und auf diese Weise Aufgaben beider Organisationen erfüllt werden können, zugleich aber auch eine eigene Tätigkeit am Markt entfaltet werden kann¹⁷⁵.

SCHWARZE (1998) bezeichnet die Ausgliederung „zwischenbetrieblich integrierter IV-Systeme“¹⁷⁶, bei welcher die Aufgaben des Informationsmanagements (IM) auf Kunden und Lieferanten übertragen werden, als spezielle Variante des Outsourcings, da dabei kein Outsourcing-Dienstleister, sondern Geschäftspartner und Kunden beteiligt seien¹⁷⁷. Allerdings erschließt sich insoweit nicht, dass damit eine spezielle Variante des Outsourcings vorliegen soll, denn auch Geschäftspartner und Kunden sind rechtlich und wirtschaftlich von der auslagernden Organisation unabhängig.

Die Gründe für das Outsourcing im Bereich des Informationsmanagements (IM) sind vielfältig. So werden die Vermeidung der immer kürzeren Innovationszyklen durch die schnelllebige IT-Welt, die Möglichkeit des Rechnens auf verteilten Kapazitäten¹⁷⁸, Mangel an qualifizierten Mitarbeitern oder Probleme ausfallsichere Hardware bereitzustellen (Feuersicherheit, unterbrechungsfreie Stromversorgung) oder die Ablösung kostenintensiver Altsysteme¹⁷⁹, kurz die Abwälzung von Risiken genannt¹⁸⁰. Im Kern geht es dabei jedoch in der Regel immer um die Einsparung von Kosten¹⁸¹, mithin um die innerhalb der gesamten Betriebswirtschaftslehre relevante Fragestellung „Make or Bay“¹⁸².

Allerdings ist die Ausgliederung nicht ohne Risiken, da ggf. zusätzliche Kosten durch erhöhten Koordinierungsbedarf zwischen der eigenen Organisation und dem Outsourcing-Dienstleister anfallen können¹⁸³. Hinzu kommen Sicherheitsrisiken bei der Datenübertragung oder beim externen Dienstleister¹⁸⁴, Abhängigkeiten durch Verlust eigener Kompetenz oder eine später unerwünschte Bindung an dessen eingesetzte Technologie, welche keine kurz- oder mittelfristigen Änderungen erlauben¹⁸⁵ sowie vielfältigste rechtliche, insbesondere arbeitsrechtliche Problemstellungen, welche einem Outsourcing ganz im Wege stehen können¹⁸⁶.

Ob durch Outsourcing von Informationsmanagement (IM) - Dienstleistungen letztlich ein ausgewogenes Kosten-Nutzen-Verhältnis erzielt werden kann, hängt primär damit zusammen, wie sich das Verhältnis zwischen Organisation und Outsourcing-Dienstleister im Einzelnen darstellt, d.h. wie sich das Verhältnis der eingesparten Kosten zum Nutzen der Ausgliederung verhält¹⁸⁷. Auf die damit zusammenhängenden Einzelfragen kann wegen der Vielzahl möglicher Konstellationen an dieser Stelle nicht eingegangen werden. Soweit die Klärung im Einzelfall praxisrelevant wird, sollten die möglichen Vor- und Nachteile zur Erleichterung der Entscheidung jedenfalls zumindest vergleichend gegenüber gestellt werden¹⁸⁸.

Vom Umfang her umfasst das Outsourcing die Ausgliederung von Kern- und/oder Querschnittsaufgaben¹⁸⁹.

Alternativ besteht bei entsprechendem Organisationsaufbau (s.o.) aber auch die Möglichkeit nach Anwendungsbereichen (z.B. in Forschung und Entwicklung, Rechnungswesen, Vertrieb) zu differenzieren und Aufgaben des Informationsmanagements (IM) aus dem jeweiligen Bereich heraus zu verlagern¹⁹⁰ oder die Möglichkeiten einer Ausgliederung nach Objekten zu bestimmen und Komponenten des IT-Gesamtsystems wie Hard- und Softwaresysteme, das Netzwerkmanagement oder den Desktopservices in die Hände Dritter zu geben¹⁹¹. Weiterhin wird für möglich erachtet, eine Ausgliederung aufgrund des Umfangs der zu erledigenden Aufgaben, entweder als totales oder teilweises Outsourcing, getrennt nach Facilities und Systems Management oder Professionell Services, System Integration und Facility Management vorzunehmen¹⁹².

Allerdings ist nicht jede der dargestellten zentralen oder bereichsübergreifenden Aufgabe bzw. jeder kleinste Teil derselben (Unteraufgaben) gleichermaßen für eine Ausgliederung geeignet, da dem häufig strategische, rechtliche oder revisionelle Gründen entgegen stehen¹⁹³.

Mit dem Outsourcing sind erhebliche Rechtsprobleme verknüpft.

Schwerpunkt jeder Outsourcing-Entscheidung muss daher sein, wie jeder einzelne durch vielfältigste nationale und internationale Rechtsvorschriften determinierte Aufgabenbereich oder -teil unter Berücksichtigung der rechtlichen Rahmenbedingungen auf- bzw. abgespalten, ausgegliedert (übertragen) und die Verbindung zwischen Outsourcing-Dienstleister und Organisation über eine Schnittstelle rechtssicher gestaltet werden kann.

Naturgemäß dürfte insoweit dem bürgerlichen Recht, als dem Kernbereich des Privatrechts die Hauptrolle zukommen¹⁹⁴, gefolgt von gesellschafts-, wettbewerbs-, urheber-, straf-, marken- oder europarechtlichen Fragestellungen. Dabei kann es z.B. darum gehen bestehende Wartungs- und Pflegeverträge auf den externen Dienstleister als neuen Vertragspartner des Lieferanten zu übertragen¹⁹⁵ oder Lizenzen und Markenrechte zu schützen.

Zumindest im Einflussbereich deutscher und europäischer Rechtsnormen wohnt dem Arbeits- und Datenschutzrecht eine nicht zu unterschätzende Brisanz inne.

So wird etwa zu beurteilen sein, ob die Weitergabe bisher im Informationsversorgungssystem gespeicherter personenbezogener Daten von Kunden und Arbeitnehmern und deren Speicherung und Verarbeitung beim externen Dienstleister ohne Zustimmung der Betroffenen zulässig ist¹⁹⁶, ja ob im Falle eines vom Outsourcing-Dienstleister außerhalb des Geltungsbereichs deutscher und europäischer Datenschutzbestimmung betriebenen Servers allein die Verbringung dieser Daten dorthin möglich ist.

Im Bereich des Arbeitsrechts ist vordringlich, ob mit der organisatorischen Ausgliederung Entlassungen durchgeführt werden müssen und durchgeführt werden können, insbesondere ob in der Sache ein Betriebsübergang nach § 613a BGB vorliegt. Letzterer steht einer Freisetzung von Personal im Zuge des Outsourcings durch die statuierte Übernahmeverpflichtung entgegen.

Soweit dabei wesentliche Betriebsmittel wie z.B. Hardware in die Obhut des externen Dienstleisters übergeben werden, dürfte sich ein Betriebsübergang mit der Rechtsprechung des Bundesarbeitsgerichts relativ einfach bejahen lassen.

Als problematischer stellt sich eine rechtliche Bewertung des Outsourcings jedoch heraus, wenn keine umfangreichen Betriebsmittel übergeben werden oder sich die Ausgliederung im Wesentlichen auf geistiges Eigentum zur Nutzung durch den externen Dienstleister beschränkt. Dann ist mit der Entwicklung der Rechtsprechung angefangen von „Christel Schmidt“ (EuGH Urteil vom 14.04.1994 - C-392/92) zu „Ayse Süzen“ (EuGH Urteil vom 11.03.1997 - C-13/95) entscheidend, ob der größte Teil der alten Belegschaft zukünftig beim externen Dienstleister arbeitet.

Insbesondere Outsourcing – Projekte durch Gründung rechtlich unabhängiger Tochtergesellschaften unter Ausgliederung des größten Teils der bisherigen IT-Beschäftigten an diesen neuen IT-Dienstleister werden dadurch unter Umständen mit erheblichen Kosten belastet. Denn nicht mit ausgegliederte und ggf. entlassene Arbeitnehmer können sich u.U. in die Tochtergesellschaft einklagen.

Schließlich kommt es auch durch die Aufgabenübertragung an Dritte innerhalb der Organisation zu einer Änderung der Struktur und Rollenverteilung¹⁹⁷.

Ehemals rein interne Abläufe werden an den Outsourcing-Dienstleister übertragen, so dass dieser in die Prozesse der Informationsversorgung der auslagernden Organisation selbst eingebunden wird und zwar in dem Umfang wie Aufgaben ausgegliedert wurden und zwischen diesen Aufgaben und den in der Organisation selbst noch verbleibenden Aufgaben Beziehungen über Schnittstellen bestehen¹⁹⁸.

Örtlich optimal wird die Einbindung im Organisationsaufbau daher an derjenigen Stelle erfolgen, welche zuvor die ausgelagerte Aufgabe wahrgenommen hat, da andernfalls der gesamte Organisationsaufbau und die Ablauforganisation in Frage gestellt bzw. verändert wird. Denkbar ist aber auch, dass es durch die Ausgliederung zu einer völlig veränderten Organisationsstruktur und damit auch einer veränderten Ablauforganisation kommt, so dass eine erneute Optimierung der Geschäftsprozesse erforderlich wird.

3.1Aufgaben und Ziele

3.1.1Zentrale und bereichsübergreifende Aufgaben

Die Aufgabe des Controllings ist die zielorientierte Koordination und Koordinationskontrolle innerhalb des Führungssystems¹⁹⁹. Dabei obliegt dem Controlling nicht die „Entscheidungs- und Ergebnisverantwortung“²⁰⁰, sondern die „Transparenz- und Informationsverantwortung sowie die Rolle als Ratgeber des Managements i.S. Wirtschaftlichkeit“²⁰¹.

Dies umfasst als Teilaufgaben etwa die Unterstützung, Kontrolle, Steuerung und Korrektur der strategischen und operativen Planung sowie deren Umsetzung, die Ziel- und Entscheidungsfindung, die Bewertung von Situationen, Aufbau und Implementierung von Planungs- und Kontrollsystemen, Koordination von Entscheidungsprozessen und die Versorgung mit Informationen für die Teilbereiche „Zielfindung, Planung, Entscheidung und Kontrolle“²⁰².

Um diesen Aufgaben gerecht zu werden, stellt der schnelle und vollständige Informationsfluss zur Organisationsführung und zurück zum Controlling eine entscheidende Grundvoraussetzung für erfolgreiches Handeln der Organisation dar. Informationen sind deshalb für ein funktionierendes Controlling gleichsam Rohstoff, dem sich allerdings auch das IM bedient²⁰³.

Allerdings beschäftigt sich das IM mehr mit der „physischen Erstellung und Verwaltung der Ressource Information“²⁰⁴, d.h. mit der Informationsinfrastruktur sowie der damit zusammenhängenden personellen, rechtlichen oder qualitativen Fragen einschließlich des Schutzes dieser Struktur vor Risiken²⁰⁵.

Wohingegen das Controlling mit der „Auswahl und Nutzung von Methoden (Techniken, Instrumente, Modelle, Denkmuster) und Informationen für arbeitsteilig ablaufende Planungs- und Kontrollprozesse sowie die funktionsübergreifende Koordination (Abstimmung) dieser Prozesse“²⁰⁶ beschäftigt ist.

Die Aufgabe des IV-Controllings ist damit die zielorientierte, unterstützende Koordination und Koordinationskontrolle der Tätigkeit des IM im Hinblick auf sämtliche vom IM auf analytischer, strategischer, realisierender und operativer Ebene wahrzunehmenden, oben dargestellten, zentralen und bereichsübergreifenden Aufgaben²⁰⁷.

Das IV-Controlling wird daher auch als funktions- und bereichsübergreifend tätiger Diener des IM verstanden²⁰⁸.

Auf analytischer Ebene ergibt sich damit, dass bereits bei der vom IM frühzeitig durchzuführenden „Erfassung und Systematisierung von Ist-Zuständen, Zielen, Anforderungen“²⁰⁹ für den Informations-, Kommunikations-, Organisations-, Technologie- und Personalbedarf einschließlich der Marktbeobachtung²¹⁰ das IV-Controlling sämtliche Abläufe innerhalb des IM mit Blick auf und in Abstimmung mit anderen Teilen der Organisationsführung zu koordinieren und Fehlentwicklungen vorzubeugen hat²¹¹.

In der Praxis geht es dabei etwa um die frühzeitige „Erkennung von Reorganisations- oder Rationalisierungspotenzialen“²¹², die „Mitwirkung bei der Zieldefinition für die betriebliche Informationsversorgung und Ausrichtung an den Unternehmenszielen“²¹³ oder überhaupt eine vollständige „Analyse der Organisation des Informationswesens“²¹⁴.

Auf strategischer Ebene hat das IV-Controlling sodann die aus der Organisationsstrategie abgeleiteten „grundlegenden Richtlinien und Rahmenbedingungen für das IM“²¹⁵ nicht nur zur Kenntnis zu nehmen, sondern vielmehr an dieser Stelle aktiv deren Gestaltung und die sich daraus ergebenden Abläufe im IM sowie deren Beziehungen zu anderen Führungsteilsystemen zu koordinieren, Fehlentwicklungen entgegenwirken und soweit solche bereits entstanden sind, diese möglichst schadlos zu beseitigen.

Die Praxis dreht sich dabei häufig um die Entwicklung einer Informationssystem-Architektur²¹⁶ (Client-Server oder Peer-to-Peer), die Beurteilung von Outsourcing-Projekten²¹⁷, die Gestaltung des Berichtswesens²¹⁸, strategisches Daten-, Personal- Sicherheits- und Katastrophenmanagement²¹⁹ oder schlicht um reine Kostenplanung, Leistungsmessung und -verrechnung²²⁰.

Auf der Realisierungsebene muss das IV-Controlling schließlich gleichsam „Organisationsentwicklung, Systementwicklung, Qualitätsmanagement, Konfigurationsmanagement, Hard- und Softwarebeschaffung, Personalbeschaffung und Personalqualifizierung, Entwurf und Implementierung von Datenbanken“²²¹ sowie die „Installation von Sicherheitskonzepten“²²² koordinierend im Auge behalten, Fehlentwicklungen rechtzeitig entgegenwirken bzw. diese umgehend beseitigen.

In der Praxis berühren diesbezügliche Einzelfragen etwa die „Umsetzung des Berichtswesens“²²³, den ständigen „Soll-Ist-Vergleich wichtiger Kennzahlen“²²⁴, die weitere „Gestaltung der Kosten/Leistungsrechnung“²²⁵, eine „Mitwirkung an der Erstellung von IV-Budgets“²²⁶ oder die „Personalbeschaffung und -qualifizierung“²²⁷ für die neuen bzw. geänderten IV-Systeme.

Auf operativer Ebene gehören die Koordination und Kontrolle der laufenden „Hardwarebeschaffung, -installation und -wartung“²²⁸, der „Betrieb zentraler Hardwareressourcen, Netzmanagement, Betrieb der Anwendungsprogramme, Benutzerservice, IV-Revision, Abrechnung“²²⁹ und das Daten-, Personal-, Sicherheits- und Katastrophen-, Rechts- und Qualitätsmanagement als Querschnittsaufgaben zum Tätigkeitsbereich des IV-Controlling²³⁰.

In der Praxis umfasst dies zum Beispiel fortwährende Soll-Ist-Vergleiche wichtiger Kennzahlen, die Kontrolle und Koordinierung des Benutzerservice und der laufenden Abrechnung zwischen Kostenstellen, aber auch die Überwachung organisationseigener Standards und Vorschriften²³¹ (z.B. Betriebsvereinbarungen über einen in § 87 Abs. 1 Nr. 6 BetrVG genannten Regelungsgegenstand).

3.1.2Ziele des Controllings

Primär steht als Formalziel der am Organisationszweck (wirtschaftlicher oder nicht wirtschaftlicher Natur) ausgerichtete Erfolg der Organisation auch im Mittelpunkt der Tätigkeit des IV-Controllings²³².

Jeder längerfristige Fortbestand einer Organisation lässt sich dabei jedoch nur durch eine fortlaufende Kontrolle von Effektivität („die richtigen Dinge tun“²³³) und Effizienz („die Dinge richtig tun“²³⁴) bei der Informationsversorgung erreichen²³⁵.

„Effektivität ist dann gewährleistet, wenn die Ziele des Informationsmanagements auf die strategischen Unternehmensziele abgestimmt sind“²³⁶ und die „richtige Auswahl und Implementierung der benötigten Informationstechnologie“²³⁷ eine spätere Verfügbarkeit und Weiterverarbeitung von Informationen in den Fachbereichen gewährleistet und für einen schnellen und komprimierten Datenfluss zur Organisationsführung gesorgt ist (sog. „strategische Komponente“)²³⁸.

Effizienz erfasst demgegenüber das Verhältnis von Leistung und Kosten (sog. operative Komponente)²³⁹.

Eine bessere Wirtschaftlichkeit kann damit im Bereich der Informationsversorgung in den denkbaren Extremen des ökonomischen Prinzips auch nur „durch Senkung der Kosten“²⁴⁰ bei gleichbleibendem Output (Minimalprinzip) oder „Steigerung des Nutzens“²⁴¹ bei gleichbleibendem Input (Maximalprinzip) erreicht werden²⁴².

Zur Realisierung eines Formalzieles können bestimmte Sachziele als Unterziele in der Organisation definiert werden. Diese Sachziele zeichnen sich dadurch aus, dass der „anzustrebende Endzustand explizit durch konkrete Merkmale“²⁴³ festgelegt und die „Menge der (noch) zulässigen Handlungsalternativen“²⁴⁴ daher eingeschränkt wird, jeglicher Entscheidungs- oder Ermessensspielraum dadurch unter Umständen sogar bis auf Null reduziert werden kann²⁴⁵.

Als wesentliches vom IV-Controlling zu verfolgende Sachziel wird die Erhöhung des Nutzens der Informationsversorgung durch bessere Funktionalität, höhere Qualität und die unbedingte „Termintreue bei der Befriedigung von neuen Anforderungen“²⁴⁶ genannt²⁴⁷.

Eine bessere Funktionalität lässt sich dabei nur erreichen, wenn das IV-Controlling jeder Zeit der Frage nachgeht, ob die vom IM verfolgten Ziele und die zu ihrer Verwirklichung angedachten konkreten Schritte zunächst geeignet sind, die ihnen jeweils zugedachte Funktion zu erfüllen (Abschätzung der Gebrauchstauglichkeit) oder im Hinblick auf eine dauerhafte (strategischer Nutzen²⁴⁸), nur innerhalb der Umsetzungsphase interessante (taktischer Nutzen²⁴⁹) oder gar nur beim operativen Geschäft (operativer Nutzen²⁵⁰) brauchbare Nutzung die bisherige Lösung sogar übertreffen kann.

Kaum getrennt werden davon kann die Frage nach der Erfüllung der „Qualität der IV sowie Termintreue bei der Befriedigung von neuen Anforderungen“²⁵¹, da eine minderwertige Informationsversorgung und -verarbeitung bzw. eine nicht fristgerechte Bedienung von Informationsansprüchen jeglichen Nutzeffekt zunichte machen würde und im Extremfall sogar zu einer Totalverweigerung bei den Anwendern führen kann.

3.2Controllinginstrumente

Um die gesteckten Formal- und Sachziele zu erreichen, bedient sich das IV-Controlling hergebrachter Controlling Methoden und Techniken wie Budgetierung, Kennzahlen und Kennzahlensysteme, Balanced-Scorecards oder Betriebsvergleiche, welche jedoch an die Besonderheiten bei der Informationsverarbeitung angepasst wurden²⁵².

So greift man für die Ermittlung der Wirtschaftlichkeit bei der Informationsverarbeitung z.B. auf den Einsatz von verschiedensten „Verfahren und Techniken zur Planung, Messung und Kontrolle von Qualität und Leistung“²⁵³, wie das Benchmarking oder Monitoring-Verfahren zurück bzw. prüft schlicht die Ordnungsmäßigkeit der Informationsverarbeitung anhand vordefinierter Checklisten²⁵⁴.

3.2.1Zugriffsprotokollierung

Neu im Vergleich zur Praxis vor Einführung der elektronischen Datenverarbeitung ist allerdings, dass sich das IV-Controlling heute vielfach der Zugriffsprotokollierung auf Systeme und Datenbanken zur Erfolgsmessung bedient²⁵⁵. Anders als früher kann damit jede Bewegung innerhalb eines IT-Systems, bildlich gesprochen sogar jede Bewegung von Mensch und Material innerhalb und außerhalb einer Organisation (z.B. im Rahmen der Sendungsverfolgung über Satellit) erfasst, dokumentiert und auf Knopfdruck ausgewertet werden.

Diese Protokollierung von Zugriffen und Nutzungen von Systemen und Datenbanken ist einerseits im Hinblick auf eine möglichst weitgehende und alle Bereiche des IM erfassende Aktivität des IV-Controllings zu begrüßen, auf der anderen Seite ergeben sich jedoch zugleich erhebliche daten- und arbeitsschutzrechtlich Problemstellungen.

Bereits im Geltungsbereich des Rechts der Bundesrepublik Deutschland unterliegen Erfassung, Speicherung und Nutzung personenbezogener Daten sehr engen Voraussetzungen (§ 28 ff. BDSG).

Eigentlich für das IV-Controlling interessante Daten dürfen daher nur so erfasst, gespeichert und genutzt werden, dass jedwede Abbildung eines Nutzerprofils gegen den erklärten Willen des Nutzers unmöglich und auch das Zusammenführen von anonymen Nutzerprofilen mit dem Träger eines solchen Pseudonyms technisch ausgeschlossen ist²⁵⁶.

Soweit trotzdem anonymisierte Nutzerprofile erstellt werden, ist nach den neuesten Forderungen der Datenschutzbeauftragten von Bund und Ländern (im Hinblick auf die Nutzung des Dienstes Google – Analytics erhoben²⁵⁷), zusätzlich eine Widerspruchsrecht für den Betroffenen vorzusehen, bei dessen Gebrauch jedwede Protokollierung des Nutzerverhaltens gemäß § 15 Abs. 3 TMG für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien unzulässig ist²⁵⁸.

Ganz erheblich weiteren Bedenken begegnet es dann, wenn so vom IV-Controlling erstellte Protokolle nicht auf deutschen Servern erfasst und abgespeichert, sondern zu diesem Zweck ins Ausland, etwa an einen anderen Teilbereich der Organisation (z.B. eine ausländische Tochtergesellschaft) und dann sogar noch in ein Land mit wenig ausgeprägten Datenschutzbestimmungen wie die USA transferiert oder von dort aus unter Nutzung einer fremden nicht vollständig von der Organisation kontrollierten Software erfasst werden²⁵⁹. Solcherlei Datentransfer ist generell unzulässig, soweit nicht am ausländischen Ort ein „dem deutschen Datenschutzniveau vergleichbares Schutzniveau herrscht“²⁶⁰. Von daher müssen in derartigen Fällen dem deutschen Datenschutzrecht entsprechende vertragliche Regelungen getroffen werden²⁶¹.

Zugleich ist aber auch mit allen in der Organisation tätigen oder von außen eingebundenen natürlichen Personen eine entsprechende vertragliche Abreden zu treffen, welche sowohl den Datentransfer ins Ausland, die Lagerung der Daten an diesem Ort, als auch bereits die Erfassung und Erstellung anonymisierter Nutzerprofile für Zwecke des IV-Controllings gestatten²⁶².

Regelmäßig ist mit der Protokollierung von Zugriffen und Nutzungen von Systemen und Datenbanken durch das IV-Controlling auch die Gefahr einer Überwachung des Verhaltens und der Leistung von Arbeitnehmern verbunden, so dass die Zustimmung des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG bereits in der Einführungsphase solcher Überwachungssysteme zwingend erforderlich ist.

3.2.2Kennzahlen, Kennzahlensysteme und Betriebsvergleich

Ganz erheblich wird im Bereich des IV-Controllings jedoch noch auf die Aussagekraft von Kennzahlen vertraut²⁶³. Diese „dienen in der betrieblichen Praxis zu Planungs-, Steuerungs- und Kontrollzwecken“²⁶⁴ und „informieren in verdichteter Form über quantifizierbare betriebliche Tatbestände (HORVÁTH 2006, S. 716)“²⁶⁵. Kennzahlen sind einzeln weniger, in einer sachlogischen Verknüpfung zu einem Kennzahlensystem hingegen mehr aussagekräftig²⁶⁶, was jedoch nicht darüber hinwegtäuschen sollte, dass diese nur in Verbindung mit weiteren Controllinginstrumenten ein wertorientiertes, an strategischen Entscheidungen und sich daraus ergebenden Entwicklungen ausgerichtetes Gesamtbild vermitteln²⁶⁷.

Insbesondere im IT-Bereich besteht die Gefahr, dass es durch die Vielzahl vorhandener Kennzahlen zu einer „Kennzahleninflation“²⁶⁸ und damit zu einer Überfrachtung der Informationsströme innerhalb der Organisation unter Ausblendung sonstiger Faktoren kommt²⁶⁹.

Hinzu kommt, dass althergebrachte betriebswirtschaftliche Kennzahlen (DuPont, ZVEI) im Hinblick auf ihre Praktikabilität im IM-Bereich in der Regel für wenig aussagekräftig gehalten werden, da sie „zu wenig auf die Details der Informationsverarbeitung ausgerichtet“²⁷⁰ sind²⁷¹. Von Unternehmensberatungen oder Anwendervereinigungen deswegen hilfsweise speziell für die Informationsversorgung entwickelte Kennzahlensysteme sind jedoch allenfalls zur Orientierung geeignet, da diese entweder „nicht auf dem aktuellen Stand oder nur aufwändig zu realisieren“²⁷² sind. In vielen Organisationen haben die IT-Abteilungen daher eigene Kennzahlen und Kennzahlensysteme, teilweise unter Modifikation hergebrachter betriebswirtschaftlicher Kennzahlen entwickelt²⁷³.

Genannt werden insoweit für einen organisationsinternen Vergleich im Bereich des Rechenzentrums z.B. der Servicegrad, „d.h. im Dialogbetrieb die Systemverfügbarkeit (im Verhältnis zur Arbeitszeit der Benutzer) und die Antwortzeiten, insbesondere bei Transaktionen . . .“²⁷⁴:

oder „die Kapazitätsauslastung der Hardwarekomponenten und Netze“²⁷⁵

²⁷⁶

Für den Bereich der Systementwicklung wird der Soll-Ist-Vergleich bei Aufwand und Kosten, das Verhältnis der Termintreue zur Projektdauer oder der Überstundenanteil im Verhältnis zum Gesamtaufwand²⁷⁷ bzw. für den Bereich des Benutzerservicezentrums die „Inanspruchnahme nach Benutzern, Problemen, Art und Dauer der Unterstützung, Personalkosten“²⁷⁸ genannt.

Schließlich soll auch die Störungsrate als Verhältnis von Anzahl der Störungen zur Nutzungsdauer des Systems, die Störungsintensität als das Verhältnis von Ausfallzeit zur Nutzungsdauer, der Kostenverrechnungsgrad als Verhältnis verrechneter Kosten zu den IM-Gesamtkosten, der Kostenanteil eines bestimmten Bereichs als das Verhältnis der Bereichskosten zu den Gesamtkosten des IM in Kennzahlen Ausdruck finden²⁷⁹.

Soweit organisationsübergreifende Vergleiche (Benchmarking) angestellt werden „dominiert als Kennzahl trotz geringer Aussagekraft die Größe der IT-Kosten bezogen auf den Umsatz des Unternehmens“²⁸⁰ oder aber seltener die „IT-Kosten pro Gesamtkosten des Unternehmens“ und die als „IT-Durchdringung“ bezeichnete Größe IT-Beschäftigte pro Beschäftigte insgesamt“²⁸¹.

3.2.3Balanced Scorecards

Als Weiterentwicklung herkömmlicher Kennzahlensystemen bilden Balanced Scorecards zuvor vom Betrachter festgelegte bestimmte Messgrößen und deren Verhältnis zu monetären und nicht-monetären Zielen der Organisation als Ursache-Wirkungskette ab, die als bei der allgemeinen Unternehmensführung bereits etabliertes Analyse- und Bewertungstool auch im Bereich der Informationsversorgung herangezogen werden²⁸².

Hierbei erfolgt zugleich eine Betrachtung aus der Perspektive des Kunden, des internen Geschäftsprozesses, der in der Organisation vorhandenen Potentiale und aus finanzieller Sicht²⁸³, wobei im Bereich des IM vorgeschlagen wird diese vier grundlegenden Kategorien sodann in „finanzielle IM-Ziele“, „Interne IM-Prozesse“, „Potenziale des IM“ und „unterstützte (kritische) Geschäftsprozesse“ zu modifizieren, um eine wertorientierte Steuerung zu ermöglichen²⁸⁴.

3.3Informationsversorgungssysteme

3.3.1Zentrale Schnittstellenfunktion

Damit wird deutlich, dass das Controlling und das IM innerhalb einer Organisation um die Aufgabe der Informationsversorgung konkurrieren.

Während das IM nach der von HORVÁTH/SEIDENSCHWARZ getroffenen und hier zugrunde gelegten Abgrenzung funktional für den informationstechnologischen Rahmen verantwortlich ist, trägt das Controlling für die konzeptionelle Gestaltung und den Inhalt der Informationssysteme Verantwortung²⁸⁵.

Das Controlling determiniert insoweit das IM.

Institutional ist nach HORVÁTH/SEIDENSCHWARZ die Gestaltung der Informationssysteme wegen ihrer strategischen Bedeutung entweder direkt bei der Führung der Organisation oder innerhalb der Hierarchie, z.B. als Stabsabteilung angesiedelt. Es besteht jedoch auch die Möglichkeit die Verantwortung für Controlling und IM je einem getrennten Bereich zuzuweisen und beide Bereiche sodann durch ein organisatorisches Regelwerk unter Hinnahme des dadurch sich ergebenden erhöhten Abstimmungsbedarfs zu koordinieren²⁸⁶.

Nach seiner instrumentellen Funktion liefert das Controlling nach HORVÁTH/SEIDENSCHWARZ die Methoden zur Planung und Kontrolle der Wirtschaftlichkeit der Informationssysteme, während das IM die Instrumente zur informationstechnischen Umsetzung bereitstellt²⁸⁷. Auch insoweit determiniert das Controlling wieder das IM.

„Die controllingbezogene Funktion des Informationsmanagements besteht darin, dem Controlling durch die Gestaltung von Informationssystemen ein Koordinationspotential zur Verfügung zu stellen. Die Systemgestaltung bezieht sich hier darauf, dem vom Controlling geschaffenen konzeptionellen Inhalt von Planungs- und Kontrollsystemen sowie von Informationsversorgungssystemen einen informationstechnologischen Rahmen zu geben. Das Informationsmanagement hat hier eine Unterstützungsfunktion.“²⁸⁸.

Abb. 6: Schnittstellen und Aufgabenbeziehungen zwischen Controlling und IM²⁸⁹

Schnittpunkt zwischen Controlling und IM ist seit der Ablösung des traditionellen betriebswirtschaftlichen Berichtswesens durch die elektronische Datenverarbeitung damit das Informationsversorgungssystem selbst²⁹⁰. Dort ist das Controlling wichtigster Benutzer mit spezifisch technologischen Bedürfnissen²⁹¹. Dem IM kommt im Hinblick auf die Aufgabenerfüllung des Controllings hingegen nur eine Hilfs- und Unterstützungsfunktion zu.

Abb. 7: Das Controlling als Benutzer im Informationsversorgungssystem²⁹²

3.3.2Einzelanforderungen an Informationsversorgungssysteme

Aufgrund der zunehmenden Komplexität globaler wirtschaftlicher Problemstellungen und der raschen Veränderung sämtlicher Marktbedingungen wird die Notwendigkeit der zielorientierten Ausrichtung und Koordination auch kleinster Einheiten einer Organisation und damit auch die Notwendigkeit einer entsprechenden prozess- und teamorientierten Ausrichtung des Controllings immer größer²⁹³. Informationsversorgungssysteme zeitgemäßer Prägung sollten daher in der Lage sein alle am Planungs- und Kontrollprozess Beteiligten nicht nur ausreichend und mit nach individuellen Wünschen zusammengestellten Daten zu versorgen, sondern die den herkömmlichen Controllingsystemen eigenen Unzulänglichkeiten „insbesondere in den Bereichen Kommunikation, Informationsverteilung und Interpretation der gewonnenen Ergebnisse“²⁹⁴ überwinden.

Auf „konzeptioneller Ebene“²⁹⁵ ist es daher erforderlich Systeme zur „Unterstützung der Controlling Funktionalität“²⁹⁶ bereits so zu konzipieren, dass strukturierte und unstrukturierte Informationen gleichermaßen durch individuell an die Bedürfnissen des Nutzers angepasste Komponenten für eine Kommunikation, Kooperation und Koordination zwischen den einzelnen Nutzern in vertikaler und horizontaler Hinsicht bereit gestellt werden können („offene, hierarchie- und funktionsübergreifende Informationsversorgung“²⁹⁷ mit Kommunikationsunterstützung, z.B. durch Messaging-Systeme) und diese Daten sowohl mit der strategischen, operativen sowie sach- und formalzielorientierten Planung verknüpft sind, so dass nach Möglichkeit ein „Self-Controlling“ erreicht werden kann²⁹⁸. Hierbei wird der horizontal und am Geschäftsprozess ausgerichtete Informationsfluss bedingt durch die Teamarbeit allerdings den Löwenanteil einnehmen („Prozess- und Teamunterstützung“²⁹⁹)³⁰⁰. Ein prozess- und teamorientiertes Controllingsystem muss daher „offen und flexibel ausgelegt sein und sich schnell und einfach an sich ändernde Bedürfnisse und Bedingungen“³⁰¹ innerhalb und außerhalb der Organisation, aber auch der Informationsinfrastruktur selbst, anpassen lassen³⁰² („Flexibilitätsanforderungen“³⁰³), dabei im Hinblick auf Neu- und Weiterentwicklung des Informationsversorgungssystems, seiner Daten und seiner Funktionalität eine jederzeitige Integration gestatten („Integrationsanforderungen“³⁰⁴)³⁰⁵ und Informationen vollständig, zielgerichtet sowie aktuelle bereit- und darstellen („Informationsverfügbarkeit und -darstellung“³⁰⁶)³⁰⁷.

Auf der „informationstechnologischen Ebene“³⁰⁸ bedarf es deswegen einer „komponentenbasierten Systemarchitektur“³⁰⁹. Dabei gestattet der modulare Einsatz im Gegensatz zum Einheitssystem³¹⁰ die jederzeitige Änderung der Zusammensetzung und somit die ständige Erweiter- und Beschränkbarkeit des IV-Systems, aber auch die Wieder- bzw. Weiterverwendung alter Komponenten. Kostenvorteile und die Möglichkeit schnell und flexibel Anforderungen umzusetzen sind die direkte Folge³¹¹. Schließlich muss die Nutzung des IV-Systems von verschiedenen Plattformen aus (z.B. mobil, stationär über Webbrowser oder durch organisationsinterne Software) ohne wesentliche Leistungseinschränkungen möglich sein („Connectivity Anforderungen“³¹²). Dies ist insbesondere dann erforderlich, wenn die Datenerfassung und -nutzung dezentral, wie in multi- und transnationalen Organisationen erfolgt. Zur Umsetzung solcher Konzepte bedarf es daher zwingend einer Client-Server-Architektur³¹³. Zugleich sollte eine einfache Bedienbarkeit des IV-Systems gewährleistet sein, was sich durch grafische Benutzeroberflächen und die bekannte „Windows – Fenstertechnik“ erreichen lässt (Endbenutzer-Interaktion-Anforderungen). Dabei verwendete Symbole müssen leicht erkennbar und alltäglichen Vorgängen bzw. bereits eingeführten Symbolen z.B. in Anlehnung an die Symbole der Microsoft Windows Oberfläche zugeordnet werden können (Nutzung des Wiedererkennungswerts). Schließlich muss das System aus sich heraus verständlich und bedienbar sein, d.h. Buttons, Links, Hilfetexte pp. müssen dort platziert werden, wo Nutzer mit unterschiedlichen Vorkenntnissen solche intuitiv erwarten. Neben Standardreports sollten individuelle Berichte und Analysen unterschiedlichster Verdichtungsstufen (Drill Downs) interaktiv erstellt werden können³¹⁴. Daten sollten flexibel und ohne Medienbrüche (Tabellen, Grafiken, Texte und Multimedia) dargestellt und präsentiert werden können („Informationspräsentation“³¹⁵), um Problemstellungen mehrdimensional betrachten und so zielsicher einer Lösung zuführen zu können. Bereits erstellte Analysen sollten auch nach einem längeren Zeitraum erneut verwendet werden können. Wiedervorlagen und Informationsfilter ergänzen schließlich moderne IV-Systeme³¹⁶. Moderne IV-Systeme müssen zudem vor nicht autorisierten internen und externen Zugriffen geschützt werden („Sicherheitsanforderungen“³¹⁷). Dies kann im Hinblick auf interne Benutzer etwa durch Vergabe von Nutzerrechten erfolgen. Hierbei erhält jeder Nutzer immer nur Zugriff auf einen bestimmten Teil von Informationen, entweder durch Vergabe reiner Leserechte oder aber durch Vergabe von Schreib- und Leserechten. Externe Zugriffe lassen sich z.B. durch die Implementierung eines Passwortschutzes und von Firewalls abwehren. Um unautorisierte oder unbeabsichtigte Veränderungen am Datenbestand oder der Software rückgängig machen zu können, müssen solche schließlich jederzeit innerhalb des IV-Systems aufzufinden und korrigierbar sein, wozu man sich sogenannter Zeitstempel bzw. einer konsequenten Versionierung bedienen und zum Schutz der Datenintegrität eine regelmäßige Datensicherung durchführen oder den Einsatz einer Datenspiegelung nutzen sollte³¹⁸.

Das Informationsmanagement hat in den Teilbereichen Analyse, Strategie, Umsetzung und operative Planung rund um Informationsversorgungssysteme vielfältigste und am übergeordneten Organisationsziel ausgerichtete Aufgaben wahrzunehmen. Zugleich muss das IM aber auch solche Aufgaben erledigen, welche verschiedene Organisationsbereiche, wie Recht, Informatik, Personal pp. berühren, so dass die Palette der insgesamt wahrzunehmenden Aufgaben eine interdisziplinäre ist. Aus den zu erledigenden Aufgaben ergibt sich sodann auf Grundlage der vom jeweiligen Betrachter als maßgeblich erachteten Kriterien für eine Systematisierung die adäquate Aufbauorganisation, woraus nach der von KOSIOL initiierten Auffassung in Folge die Ablauforganisation hergeleitet wird. Vorgezeichnet ist damit, dass jede Veränderung der Aufgaben zu einer Veränderung der Aufbauorganisation führen muss und diese wiederum eine veränderte Ablauforganisation nach sich zieht. Aus heutiger Sicht wird jedoch davon ausgegangen, dass sich Aufbau- und Ablauforganisation gegenseitig determinieren und nach der modernen und am Geschäftsprozess ausgerichteten Organisationslehre in Übereinstimmung zu bringen sind. Aufgrund der sich damit ergebenden Komplexität sollte das IM in größeren Organisationen regelmäßig institutionalisiert geführt, kann in kleineren Organisationen aber auch bestimmten Personen als Einzelverantwortlichkeit zugewiesen werden. Soweit man sich nach dem in der Regel entscheidenden Kostenkriterium für die Eingliederung des IM in die Organisation entscheidet, kann das IM an allen betriebswirtschaftlich sinnvollen Positionen in die Gesamtorganisation eingebunden werden. Gleiches gilt, allerdings unter Inkaufnahme von erhöhtem Kontroll- und Koordinierungsaufwand, auch für den Fall des Outsourcings. Dazu muss sich allerdings die Schnittstelle zwischen auslagernder Organisation und externem Dienstleister exakt an gleicher Position der Gesamtorganisation befinden. Da dies in der Praxis jedoch kaum zu bewerkstelligen sein wird, gehen Outsourcing-Entscheidungen in der Regel immer mit einer veränderten Ablauforganisation einher. Hinzu kommt, dass sich nicht jede vom IM wahrzunehmende Aufgabe für eine Ausgliederung eignet und zudem meist zusätzliche rechtliche, insbesondere arbeitsrechtliche Hindernisse im Wege stehen.

Das IV-Controlling ist als spezielles Controlling auf das IM ausgerichtet und von daher mit der Koordination und Koordinationskontrolle sämtlicher vom IM wahrzunehmender Aufgaben beschäftigt. Hierbei hat das IV-Controlling darauf zu achten, dass von der Organisation vorgegebene Formal- und Sachziele verfolgt und Fehlentwicklungen möglichst sofort korrigiert werden. Je nach Unternehmenstyp ist zudem der Nutzen der Informationsversorgung zu erhöhen, was im extremsten Fall sogar soweit führen kann, dass die Informationsversorgung als Waffe im Kampf mit konkurrierenden Organisationen einzusetzen ist. Zur Erfüllung seiner Aufgaben bedient sich das IV-Controlling der in der Betriebswirtschaft üblichen Controllinginstrumente, greift heute zusätzlich aber auch auf das Instrument der Zugriffsprotokollierung zurück, was insbesondere unter datenschutz- und arbeitsrechtlichen Gesichtspunkten nicht ganz unproblematisch ist. Insgesamt ergibt sich damit zwar, dass das IM und das IV-Controlling gleichermaßen mit Informationen arbeiten und um die Aufgabe der Informationsversorgung in einer Organisation konkurrieren. Jedoch liefert das IM hierbei nur den informationstechnologischen Rahmen, während dem IV-Controlling die konzeptionelle und inhaltliche Ausgestaltung der Informationsversorgungssysteme obliegt. Das IV-Controlling determiniert daher das IM und Schnittpunkt zwischen beiden ist das Informationsversorgungssystem. Dort ist das IV-Controlling ein User mit spezifisch technologischen und vom IM zu befriedigenden Bedürfnissen, so dass dem IM daher bei der Erfüllung der Controlling Aufgaben Hilfs- und Unterstützungsfunktion zukommt. Zeitgemäße Informationsversorgungssysteme sollten daher in der Lage sein alle am Planungs- und Kontrollprozess Beteiligten ausreichend und nach individuellen Wünschen mit Daten und Informationen zu versorgen. Zudem sollte zeitgemäßen Informationsversorgungssystemen ein offener modularer Aufbau zugrunde liegen, das System flexibel einzusetzen sein, höchsten Sicherheitsanforderungen genügen und leicht bedienbar eine direkte Kommunikation zwischen allen Usern zulassen.