ERP Projektstruktur

1. Projektplanung
2. Systemkonfiguration
3. Anpassungsprogrammierung
4. Datenmigration
5. Schulung
6. Abnahmetests
7. Inbetriebnahme

Gehen wir jeden dieser Schritte durch.

Projektplanung

Zieldefinition

Geschäftsführer denken über eine ERP-Implementierung nach, wenn ihr Unternehmen nicht so effizient arbeitet, wie sie es wünschen. Oftmals fehlt Ihnen Transparenz für strategische Entscheidungen und Kontrolle über operative Tätigkeiten. Informationen müssen von Mitarbeitern angefordert werden, die dazu selbst wiederum E-Mails, Ordner und verschiedene Systeme durchsuchen. Ab einer gewissen Komplexität des Geschäfts ist die Nutzung eines zentralen Systems nicht mehr wegzudenken. Mit einem ERP-System sind operative und finanzielle Kernzahlen sowie die darunterliegenden Transaktionen und Abläufe jederzeit einsehbar. Dies vereinfacht neben der Betriebsführung auch die Kommunikation mit Investoren und Kreditgebern.

Darüber hinaus gibt viele gute Gründe auf Ebene der einzelnen Geschäftsbereiche/Abteilungen. Hier im Besonderen gilt es, die Mitarbeiter und zukünftigen Nutzer des Systems abzuholen. Denn nur wenn diese an Bord sind, wird das Projekt zum Erfolg. Die für das Team wichtigsten sollten als Ziele definiert werden, um bei der Implementierung entsprechend priorisiert zu werden. Sie dienen als Kommunikationsinstrument, um sicherzustellen, dass alle Mitarbeiter die Gründe für die Implementierung verstehen und sich damit identifizieren können. Beispiele für Ziele finden sich in allen involvierten Abteilungen:

• Buchhaltung: Reduktion zeitaufwändiger Finanzabschlüsse und Berichterstattung. Automatisch erstellte Analysen und Prognosen zu Cashflow, Bestand, offenen Lieferungen, Rechnungen, Zahlungen etc. Verbesserte finanzielle Kontrollen. Automatisierte Buchungen auf Basis einer abgestimmten Buchungslogik
• Einkauf: Automatisierte Bestellvorschläge durch ein fortschrittliches MRP System, wodurch sich der Einkauf auf die Optimierung von Rahmenverträgen und strategische Einkaufsparameter fokussieren kann (Sicherheitsbestände, Mindestbestellmengen, Preise und Lieferzeiten etc.). Vereinfachte Verwaltung von Einkaufsfreigaben. Erhöhte Transparenz über verfügbare (und nicht verfügbare) Lagerbestände.
• Vertrieb: Automatisierte Erstellung von Angeboten und Kostenschätzungen. Einfache Nachverfolgung von Lieferverzögerungen, verspäteten Zahlungen, oder zu lange in Arbeit befindlichen Angebotsfreigaben. Erhöhte Transparenz zur Profitabilität einzelner Kunden. Einsicht in Kundenservicesituation.
• Lager: Reduzierter Aufwand für Inventur durch in Echtzeit verfügbare Bestandsdaten. Barcode-Scanner für die schnelle Erfassung von Artikeln und Beständen
• Kundendienst: Nachverfolgung von Serviceeinsätzen und -kosten. Einsicht in Kundenbeschwerden aufgrund unerfüllter Erwartungen hinsichtlich der Auftragsabwicklung, Lieferverzögerungen und schlechter Qualität. Rückverfolgbarkeit von Chargen
• IT: Vereinfachte Einhaltung von Compliance-Vorschriften durch Outsourcing an Cloud-Anbieter.
• Rechtsabteilung: Einhaltung von Vorschriften zu Finanzberichterstattung, internen Kontrollen, Rückverfolgung von Artikeln usw.
• Projektteam: Abschluss der Implementierung innerhalb von 6 Monaten innerhalb des Budgets.
• Geschäftsführung: Neben der bereits genannten Vorteilen: Automatisierte Analysen von Performance Indikatoren, z.B. Produktivität auf Basis der bearbeiteten Aufträge pro Mitarbeiter. Transparenz über Kosten, Erträge, und Profitabilität nach Produkt, Leistung, Abteilung, Region, Prozess etc. Besssere Kommunikation und Alignment im Unternehmen durch Zugang zu abteilungsübergreifenden Informationen.

Indem man sich zu Beginn einer ERP-Implementierung Zeit nimmt, um klare und spezifische Ziele zu definieren, schafft man eine solide Grundlage für den Erfolg des Projekts. Sie sollten ebenfalls für Entscheidungen während des Implementierungsprozesses herangezogen werden.

Wichtig bei der Erstimplementierung ist, sich auf das Wesentliche zu konzentrieren. Viele Unternehmen übernehmen sich in Anbetracht der umfassenden Möglichkeiten. Das Ergebnis ist ein überambitionierter Plan, mit dessen Umsetzung sich das Unternehmen übernimmt. Die erforderliche Abstimmung zwischen Abteilungen lähmt das Projekt bereits bevor es losgeht, und bringt hohe interne und externe Beratungskosten mit sich.

Wir raten davon ab, gleich im ersten Schritt alle Bereiche anzugehen. Ein großer Umfang bei der Erstimplementierung erschwert die Planung und Abstimmung. Dies wiederum führt zu zeitlichen Verzögerungen und Budgetüberschreitungen. Stattdessen schlagen wir ein graduelles Vorgehen vor, das nur die Kernprozesse bei der Erstimplementierung abbildet. So wird die Implementierung planbarer und leichter umzusetzen. Sobald das System erfolgreich in Betrieb ist, können zusätzliche Funktionalitäten implementiert werden. Auch diese sind oft leichter einzuführen, da das Team bereits Erfahrung mit der Software gesammelt hat.

Bereiche, die von vornherein in einem ERP Projekt involviert sein müssen, sind Vertrieb, Einkauf, Logistik und Buchhaltung. Zwischen Vertrieb und Einkauf muss auch die Fertigung involviert sein. Bei dieser schlagen wir allerdings vor, die detaillierte Ressourcenplanung mit Plantafeln in der zweiten Phase abzuwickeln. Ebenfalls in spätere Phasen gehören zum Beispiel Qualitätssicherung und Personalwesen.

Projektteam

Das Projektteam ist der entscheidende Erfolgsfaktor für Ihre ERP-Implementierung, wichtiger noch als die Softwarefunktionalitäten. Es sollte aus vier Komponenten bestehen: (1) Executive Sponsor, (2) Projektmanager, (3) Vertreter der relevanten Fachabteilungen, (4) ERP Implementierungspartner.

Executive Sponsor 

Der Executive Sponsor stellt sicher, dass das Projektteam über die benötigten Ressourcen verfügt. Eine ERP-Implementierung erfordert viel Zeit von hochqualifiziertem Personal. Diese Zeit steht nicht für deren übliches Tagesgeschäft zur Verfügung. Der Sponsor muss sicherzustellen, dass die Kollegen diesen Kompromiss verstehen. Der Sponsor ist auch verantwortlich für die Genehmigung des Projektbudgets. Projektleiter und Execute Sponsor sollten sich alle zwei Wochen treffen, um sicherzustellen, dass Entscheidungen rechtzeitig getroffen werden.

Projektleiter

Der Projektleiter führt das Projektteam und bereitet Entscheidungsvorschläge für den Executive Sponsor vor. Er pflegt den Projektplan, überwacht den Fortschritt und kommuniziert Engpässe. Er muss das Team motivieren, neben ihrem üblichen Tagesgeschäft Zeit für das Projekt zu schaffen. Um dies zu schaffen, muss der Projektleiter innerhalb des Unternehmens gut akzeptiert sein.

Funktionale Leiter / Abteilungsvertreter

Das Projektteam muss aus Abteilungsleitern oder Spezialisten für die vom neuen System betroffenen Prozesse bestehen. Diese Vertreter müssen eng zusammenarbeiten, da ERP-Prozesse sich oft über verschiedene Abteilungen und Funktionen erstrecken. Selbst ein einfacher Beschaffungsprozess erfordert die Beteiligung der Abteilungen Einkauf, Logistik und Buchhaltung, oft auch Produktion oder Vertrieb. Jeder Vertreter muss kompetent sein und gut mit anderen Mitarbeitern zusammenarbeiten. Rückschläge bei ERP Einführungen für kleine Unternehmen resultieren oft aus ungeeigneten Mitarbeitern, die nur deshalb ausgewählt wurden, weil sie gerade verfügbar waren. Jedes dieser Projektmitglieder muss 5-10 Stunden pro Woche für das Projekt aufwenden, um eine schnelle Abwicklung zu gewährleisten. Fragen Sie sich, ob Sie diesen Kompromiss akzeptieren können, bevor Sie beginnen.

Implementierungspartner

Schließlich benötigen Sie einen Implementierungspartner, der Erfahrung mit der Einführung vom ERP-System hat. Es ist in den letzten Jahrzehnten zwar einfacher geworden, ein ERP-System einzuführen. Trotzdem wird eine erste Implementierung ohne die Hilfe eines erfahrenen Partners, der die Fähigkeiten und Eigenheiten des Systems kennt, aus dem Ruder laufen.

Geschäftsprozesse definieren

Um Ihre kommerziellen Prozesse in einem ERP-System zu automatisieren, müssen Sie diese zuerst schriftlich festhalten. Sie können dazu bestehende Dokumentation und Schulungsmaterialien verwenden. Stellen Sie jedoch sicher, dass diese die tatsächlichen Prozesse im Unternehmen widerspiegeln. Es ist herausfordernd, Prozessdokumentationen zu pflegen, die vollständig, korrekt und aktuell sind. Darüber hinaus müssen die meisten Prozesse verschiedene Szenarien abdecken (z.B., wie beeinflusst mangelnde Verfügbarkeit bei Ihrem bevorzugten Lieferanten Ihren Beschaffungsprozess).

Nicht alle Prozesse müssen sofort im System implementiert werden. Im Gegenteil führt dieser Versuch oft zu Kostenüberschreitungen im Projekt. Wir empfehlen, sich bei der Erstimplementierung auf ausgewählte Schlüsselprozesse zu konzentrieren. Planen Sie die Umsetzung weiterer Prozesse für spätere Phasen nach dem Go-Live. Die zuvor besprochenen Prioritäten sind ein guter Indikator dafür, welche Prozesse als Schlüsselprozesse zu definieren sind.

Zwei Prozesse sollten Teil jeder Implementierung sein: (1) Der Auftrag-zu-Zahlung-Prozess (Order-to-Cash) und der (2) Einkauf-zu-Zahlung-Prozess (Purchase-to-Pay). Beide zeigen, wie ERP-Prozesse traditionelle Abteilungen überspannen. Der Order-to-Cash Prozess umfasst alle Aktivitäten, die beim Verkauf von Waren oder Dienstleistungen an Kunden anfallen. Dazu gehören das Entgegennehmen und Bearbeiten von Bestellungen, die Bestätigung der Produktverfügbarkeit, die Lieferung von Waren oder Dienstleistungen, das Ausstellen von Rechnungen, das Einziehen von Zahlungen und die Buchhaltung dieser Transaktionen. Der Purchase-to-Pay Prozess bezieht sich auf die Aktivitäten, die notwendig sind, um Waren oder Dienstleistungen von Lieferanten zu erwerben.

Das Niederschreiben der Prozesse bietet die Möglichkeit zur Standardisierung und Vereinfachung. ERP-Systeme können nahezu jeden kommerziellen Prozess automatisieren, solange er standardisiert ist, d.h. immer wieder gemäß eines klaren Ablaufes durchgeführt wird. Aber übertreiben Sie es nicht mit der Geschäftsprozessdefinition: Eine wichtige Entscheidung bei jeder ERP-Implementierung ist, ob das System an den Prozess angepasst werden soll, oder der Prozess an das System. Gute ERP-Systeme basieren auf bewährten Verfahren und ihre Prozesse bieten oft eine Reihe von Vorteilen. Anpassungen verursachen nicht nur Aufwand und Entwicklungskosten, sondern können auch zu suboptimalen Prozessen führen. Daher schlagen wir vor, die niedergeschriebenen Prozess mit den Prozesse im System zu vergleich und dann zu bewerten, ob eine Anpassung überhaupt erforderlich ist.

System und Partner auswählen

Als nächstes gilt es, das passende System für die Abbildung Ihrer Prozesse zu finden. Dabei empfehlen wir, den Bergleich auf die Top 10 ERP Systeme zu beschränken. Die Tech-Industrie konsolidiert sich und Sie wollen sicherstellen, das Ihr Systemanbieter auch zukünftig in das gewählte System investiert.

Weiterhin ist wichtig, dass das System Ihre Branche und Region unterstützt. Dies gilt sowohl für Funktionalitäten wie auch regulatorische Vorschriften. Gibt es Unternehmen in Ihrer Branche, die mit dem System zufrieden sind? Müssen Ihre Daten in einem bestimmten Land/Gebiet gespeichert werden? Müssen Sie länder- oder branchenspezifische Datenschutzvorschriften wie HIPAA oder DSGVO einhalten?

Auch werden Ihnen diese Anbieter Cloud-Hosting bieten. Wir halten dies aus Sicherheits- und Verfügbarkeitsgründen für wichtig. Cyber-Bedrohungen stellen ein zunehmendes Risiko dar, insbesondere bei geschäftskritischen und vertraulichen ERP-Daten. Professionelle Cloud-Unternehmen verfügen über die spezialisierte Ressourcen für Anwendungssicherheit, Datenbanksicherheit und physische Sicherheit. Anwendungen solcher Anbeiter können selbst im Falle von Bränden, Überschwemmungen oder Diebstahl ohne Datenverlust weiter betrieben werden. Vorsicht jedoch: Manchmal wird die Software eines Anbieters auf den Servern von Implementierungspartnern betrieben und als Cloud-Lösung verkauft. Eine solche Implementierung verfügt nicht über dieselben Vorteile. Fragen Sie Ihren Partner nach den Details seiner Implementierung.

Verlassen Sie sich bei der Einschätzung der Systemfähigkeiten nicht zu sehr auf Funktionslisten. Diese sind in der Regel zu vage, um die Tauglichkeit des Systems für Ihre spezifischen Anforderungen zu bewerten. Lassen Sie sich stattdessen von einem Partner vorzustellen, wie das jeweilige System die von Ihnen gewählten Prozesse handhabt. Betrachten Sie beim Vergleich mehrere Anbieter dieselben Prozesse und stellen Sie die gleichen Schlüsselfragen. Diese Einführung sollte online, z.B. über Teams, erfolgen, um die Kosten für beide Seiten zu begrenzen. Es gibt auch die Möglich, sich diese Meetings aufzunehmen zu lassen und später einzelne Stellen mit relevanten Teammitgliedern zu besprechen.

Bei der Klärung der verfügbaren Systemfähigkeiten sollten Sie prüfen, welche Funktionen direkt verfügbar sind und welche von Drittanbietern oder dem Partner kommen. Der Einsatz von Drittanbieter-Tools ist oft gerechtfertigt, gleichzeitig müssen Sie wissen, auf welche Software Sie angewiesen sind. Wir empfehlen, wenn möglich die Standardfunktionalität des Systems zu verwenden, um weitere Abhängigkeiten zu vermeiden.

Für kleine und mittlere Unternehmen wird der ERP Softwareanbieter die Implementierung meist nicht selbst übernehmen. SAP, Microsoft, Oracle und vergleichbare Unternehmen haben hierzu ein Netzwerk aus Implementierungspartnern. Neben der Software müssen sie also auch einen Implementierungspartner auswählen. Hierbei ist natürlich wichtig, dass der Partner Erfahrung mit sich bringt, und auf Ihre individuellen Bedürfnisse eingeht. Ihr direkter Ansprechpartner spielt hierbei eine große Rolle. Stellen Sie sicher, dass Ihr Kontakt während der Vertriebsphase Sie auch während der Implementierung begleitet. Lassen Sich sich an Beispielen zeigen, wie der Partner Ihre Prozesse abbilden würde, und ob er Ihre Anforderungen versteht.

Je nach Branchenanforderungen kann auch Erfahrung mit Ihrer Branche relevant sein. Dies hängt davon aus, wie spezifisch die Prozesse sind. Entgegen der anfänglichen Erwartung der meisten Geschäftsführer sind die Standardprozesse in den meisten Unternehmen erstaunlich ähnlich. Dies gilt nicht nur für Unternehmen derselben Branche, sondern auch für sehr unterschiedliche Branchen. Lassen Sie sich zeigen, wie Ihre Kernprozesse im Zielsystem aussehen.

Prozesse und Systemfunktionalitäten abgleichen

Idealerweise hat Ihr Implementierungspartner Ihnen bereits beispielhaft gezeigt, wie das System Ihre Prozesse handhabt. Jetzt ist es an der Zeit zu entscheiden, welche Prozesse ohne Anpassungen im System gehandhabt werden können und welche nicht. Dies geschieht im Rahmen einer sogenannten Fit-Gap-Analyse: Sie bewertet, inwieweit die Standardfunktionen des ERP-Systems mit Ihren dokumentierten Prozessen übereinstimmen (Fit) und identifiziert Bereiche, in denen Anpassungen erforderlich sind (Gap). Die Ergebnisse der Fit-Gap-Analyse bilden die Grundlage für den weiteren Implementierungsprozess.

Bei der Skizzierung Ihrer neuen Prozesse ist es wichtig, dass Sie die verfügbaren Optionen in Ihrem ERP-System verstehen. Dafür ist eine Schulung der funktionalen Leiter Ihres Projektteams erforderlich. Zwar haben diese an dieser Stelle bereits ein grundlegendes Verständnis des Systems. Doch sie benötigen für eine Umsetzung der Geschäftsprozesse darin detaillierteres Wissen. Diese Schulung sollte jeglicher Softwareentwicklung vorausgehen, da ein besseres Verständnis der Systemprozesse oft das wahrgenommene Bedürfnis nach einer Anpassung ändert. Sie sollte auch der Datenmigration vorausgehen, um sicherzustellen, dass deren Auswirkungen vollständig verstanden sind. Ziel ist, die funktionalen Leiter darauf vorzubereiten, die Implementierung zu überwachen und später ihre Kollegen zu schulen.

Anpassungsanforderungen definieren

Dafür ist eine Konfiguration des Systems erforderlich, bei der Ihr Partner helfen kann. Konfigurieren Sie das System so weit es möglich ist mit Standardfunktionalitäten. Wo dies nicht möglich ist, muss eine Anpassungsprogrammierung geplant werden. Hierbei ist eine Priorisierung wichtig. Einige fehlende Funktionalitäten sind unverzichtbar und müssen vor Inbetriebnahme des Systems umgesetzt werden. Dies gilt vor allem für Prozesse in Einkauf, Verkauf, und Buchhaltung sowie eventuell Produktion und Logistik. Darüber hinausgehender Funktionalitäten und Ideen sollten auf eine Warteliste gesetzt werden, um nach der Inbetriebnahme implementiert zu werden. So können Organisationen das Risiko einer Ausweitung des Projektrahmens reduzieren und die Kosten unter Kontrolle halten. Diese Abwägungen sind Teil der abschließenden Planung.

Vor und sogar nach Umsetzung können solche Prozesse außerhalb des Systems abgewickelt werden. Für manche Funktionen bietet sich dies sogar dauerhaft an. Beispiele von Prozessen die oft besser in spezialisierten Systemen abgewickelt werden, sind: Gehaltsabrechnung, Verkauf und Marketing. Diese werden gewöhnlich in Customer Relationship Management (CRM), Human Capital Management (HCM) und Marketinglösungen bereitgestellt. Diese System können wo nötig mit dem ERP-System integriert werden. Hier empfehlen wir Pragmatismus: Nicht alle Funktionen müssen integriert werden, und Integrationen dauern oft länger und sind teurer als ursprünglich angenommen. Wir empfehlen zu klären, welche Daten in welchem System vorhanden sein müssen und sich auf das Wesentliche zu konzentrieren. Besprechen Sie wahrgenommene Funktionslücken mit Ihrem ERP-Implementierungspartner.

Datenbedarf festlegen

Die Datenmigration ist ein kritischer Aspekt bei der Implementierung eines ERP-Systems. Sie umfasst die Übertragung von Daten aus Ihren bestehenden Systemen in das neue System. Bei schlechter Planung kann dies zu erheblichen Verzögerungen, Fehlern und sogar Datenverlust führen. Daher ist eine angemessene Vorbereitung entscheidend für die reibungslose und erfolgreiche Implementierung des ERP-Systems.

Hier sind einige Schritte, die Sie bei der Vorbereitung auf die Datenmigration befolgen sollten:

1. Analysieren und bereinigen Sie Ihre Daten: Identifizieren Sie doppelte oder irrelevante Daten, korrigieren Sie Fehler, und standardisieren Sie das Format Ihrer Daten vor der Migration. Durch genaue, vollständige und konsistente Daten vermeiden Sie das Risiko von Fehlern während der Migration.
2. Vergleich der Datenfelder in beiden Systemen: Identifizieren Sie, welche Datenfelder in Ihrem aktuellen System welchen Feldern im neuen System entsprechen. Dadurch wird sichergestellt, dass alle relevanten Daten korrekt in das neue System übertragen werden.
3. Entwickeln Sie eine Migrationsstrategie: Ihre Migrationsstrategie sollte den Ansatz skizzieren, den Sie verfolgen werden, um Daten aus Ihren bestehenden Systemen in das neue ERP-System zu übertragen. Dazu gehören die Werkzeuge und Technologien, die Sie verwenden werden, die Reihenfolge der Datenmigration und alle Datenvalidierungsprozesse, die Sie implementieren werden. Eine gut geplante Migrationsstrategie hilft sicherzustellen, dass Ihr Datenmigrationsprozess reibungslos abläuft.

Bei diesen Prozessen ist es besonders wichtig, mit einem erfahrenen Partner zusammenzuarbeiten, der Sie durch den Prozess führt und bewährte Methoden bereitzustellt. Mit der richtigen Vorbereitung und fachkundiger Anleitung stellen Sie einen reibungslosen und erfolgreichen Datenmigrationsprozess sicher.

Projektplan finalisieren

Sobald die Anforderungen an Anpassungsprogrammierung und Datenmigration definiert sind, können Zeitplan, Verantwortlichkeiten und Budget finalisiert und dem leitenden Sponsor vorgelegt werden. Der Sponsor wird diesen Vorschlag dann genehmigen (oder ablehnen) und dazu falls erforderlich weitere Genehmigungen einholen.

Planen Sie die Implementierungsreihenfolge realistisch. Berücksichtigen Sie die Verfügbarkeit Ihres Führungsteams, der Manager und der firmeninternen Experten, die zum Projekt beitragen. Stellen Sie sicher, dass alle über die Ressourcen-Kompromisse im Klaren sind und dass dies vom Management genehmigt wird.

Für die Planung wird oftmals ein agiler Ansatz mit der sogenannten Wasserfallplanung verglichen. Bei der Wasserfallplanung handelt es sich um einen traditionellen, sequenziellen Projektmanagement-Ansatz, bei dem zunächst alle Anforderungen gesammelt werden und das Produkt auf dieser Basis linear geplant und umgesetzt wird. Im Gegensatz dazu ist die agile Planung ein iterativer Ansatz, der sich darauf konzentriert, einzelne Funktionen in kleinen Schritten oder Sprints zu liefern. Unserer Ansicht nach ist der Wasserfallansatz für die erste Inbetriebnahme besser geeignet. Denn diese erfordert eine enge Integration der Geschäftsprozesse und vorausschauende Planung über das gesamte Projekt. Für neue Geschäftsprozesse und Systemfunktionen, die nach der Inbetriebnahme implementiert werden, empfehlen wir dagegen einen agilen Ansatz. Dieser ist flexibler und erlaubt eine Anpassung auf die sich kontinuierlich ändernden Geschäftsbedingungen und -anforderungen.

Systemkonfiguration

Sobald die Spezifikationen vorliegen, richtet Ihr Partner zusammen mit Ihrer IT-Abteilung die Software für Sie ein. Dies beinhaltet die Konfiguration und gegebenenfalls die Anpassung der Software zur Unterstützung der neuen Prozesse. Das kann auch die Integrationen mit anderen bestehenden Geschäftsanwendungen des Unternehmens umfassen, die nicht durch das ERP-System ersetzt werden.

In einem ersten Schritt wird Ihre Software so konfiguriert, dass sie die neu gestalteten Prozesse optimal unterstützt. Oftmals ist dies von Anfang an der Fall. Wie bereits erwähnt, kann es in manchen Fällen jedoch erforderlich sein, Anpassungen zu programmieren, damit das System wirklich zu Ihrem Unternehmen passt.

Es ist auch üblich, während einer ERP-Implementierung neue Bedürfnisse und Möglichkeiten zu entdecken. Diese müssen nach Ihrer Dringlichkeit bewertet werden und sofern möglich auf die Warteliste für Verbesserungen nach der Inbetriebnahme. Es ist wichtig, Änderungsaufträge entsprechend zu verwalten, um Verzögerungen und Kostenüberschreitungen zu vermeiden.

Datenmigration

Parallel zur Softwareentwicklung beginnt das Team mit der Datenmigration. Daten müssen oft aus mehreren Systemen extrahiert, transformiert und geladen werden. Jedes dieser Systeme kann unterschiedliche Formate verwenden und möglicherweise doppelte oder inkonsistente Informationen enthalten.

Das Projektteam muss sorgfältig festlegen, welche Daten in dieser Phase migriert werden sollen. Ein wichtiger Unterschied besteht zwischen Stammdaten und Bewegungsdaten (Bestellungen, Rechnungen usw.). Es ist in der Regel nicht notwendig, historische Bewegungsdaten in das neue System zu migrieren. Kosteneffektiver ist ist, diese von der Migration ausschließen und im alten System bzw. einem Data Warehouse zu speichern.

Mitarbeiterschulung

Die Schulung ist einer der Schlüsselfaktoren für den Erfolg jeder ERP-Implementierung. Sie verwandeln Ihre Mitarbeiter in Software-Experten und sorgen so für die erwarteten Produktivitätssteigerungen. Sie sollten dies also nicht auf die leichte Schulter nehmen. Es gibt im Wesentlichen zwei Schulungsphasen bei der Implementierung. Die erste Schulung ist für das Projektteam, um die richtigen Stammdaten vorzubereiten und zu bewerten, ob die Funktionalität des Systems geeignet ist. Mit einem klaren Verständnis für die Abwicklung des Tagesgeschäfts im neuen System, kann das Team die Einrichtung besser unterstützen und später die Kollegen schulen.

Die erste Schulung sollten noch vor Softwareanpassungen erfolgen, da ein besseres Verständnis dazu führen kann, unnötige Anpassungen zu erkennen und zu vermeiden. Die Schulung sollte auch noch vor der Datenmigration stattfinden, damit jeder weiß, wozu die neuen Daten eingesetzt werden.

Sobald das System einsatzbereit ist, schult das Projektteam den Rest der Mitarbeiter. So wird das ERP-Wissen im Unternehmen fest verankert und Sie sind weniger abhängig von Ihrem ERP-Partner. Durch die Schulung stellen Sie sicher, dass Ihre Mitarbeiter das neue ERP-System schnell und effizient nutzen können, nachdem es eingeführt wurde, und es nahtlos in ihre Arbeitsprozesse integrieren. Erst wenn die Benutzer im Umgang mit dem ERP-System Experten sind, hat die Einführung einen echten Einfluss auf die Leistung Ihres Unternehmens. Benutzerfeedback während der ersten Nutzung ist unbezahlbar; es hilft, das System vor der Inbetriebnahme zu testen.

Darüber hinaus benötigen Sie einen Plan für neue Mitarbeiter, die ins Unternehmen kommen. Wir empfehlen, großen Wert auf Schulungsmaterial zu legen, idealerweise durch Videos für die wesentlichen Prozesse. Die Dokumentation sollte bereits während der Systemeinrichtung umrissen werden. Wir empfehlen die Einrichtung eines geeigneten Systems für das interne Wissensmanagement, falls noch keines vorhanden ist.

Anpassungsprogrammierung

Wenn die Basisfunktionen des ERP-Systems wesentliche Geschäftsanforderungen nicht erfüllen, ist eine Anpassungsprogrammierung notwendig. In diesem Fall ist eine gründliche Dokumentation essentiell. Der Programmcode sollte mit klaren Kommentaren versehen werden, um spätere Fehlerbehebungen und Wartungen zu erleichtern. Dies ist besonders nützlich, wenn das System später von einem neuen Team oder einem anderen Dienstleister betreut wird. Ein zentrales Repository zur Versionsverwaltung, wie etwa Git oder GitHub, ist ebenfalls empfehlenswert.

Je nach ERP-Lösung können spezielle Entwicklungsumgebungen verfügbar sein, die die Programmierung von Anpassungen vereinfachen. Es ist von großer Bedeutung, alle Änderungen gründlich in einer Testumgebung zu prüfen, um die Stabilität und Zuverlässigkeit des Gesamtsystems zu gewährleisten.

Die Anpassungsprogrammierung sollte als fortlaufender Prozess angesehen werden, da sich Geschäftsanforderungen im Laufe der Zeit ändern können. Daher ist es ratsam, regelmäßige Überprüfungen der Anpassungen durchzuführen und notwendige Aktualisierungen vorzunehmen. Dabei sollte eine klare Priorisierung der Aufgaben und die Pflege einer Aufgabenliste (Backlog) nicht vernachlässigt werden. Zusätzlich sollte die Langzeitwartung bei Anpassungen berücksichtigt werden. Jede Änderung könnte potenzielle Auswirkungen auf die Kompatibilität mit künftigen Systemaktualisierungen haben. Daher ist es sinnvoll, Anpassungen so modular wie möglich zu gestalten, um die Wartung zu vereinfachen und das Risiko zukünftiger Kompatibilitätsprobleme zu minimieren.

Abnahmetests

Testen und Entwicklung können teilweise gleichzeitig stattfinden. Beispielsweise kann das Projektteam spezifische Module und Funktionen testen, auf Basis der Ergebnisse Korrekturen oder Anpassungen vornehmen und dann erneut testen. Erste Tests der grundlegenden Funktionen der Software sollten von gründlichen Tests der vollen Systemfähigkeiten gefolgt sein. Dazu gehört auch, dass einige Mitarbeiter das System für ihre täglichen Aktivitäten testen dürfen. Diese Tests sollten erst nach der notwendigen Endbenutzerschulung und der Datenmigration erfolgen.

Ihr Implementierungspartner wird eine Schulungsumgebung einrichten, die es Ihnen ermöglicht, alle Ihre Prozesse im Testbetrieb zu überprüfen. So stellen Sie sicher, dass alles wie erwartet funktioniert, ohne Überraschungen. Nutzen Sie die im Entwicklungsprozess erstellten Schulungsmaterialien hier sinnvoll. Ressourcen, die speziell auf die täglichen Aufgaben Ihrer Endbenutzer zugeschnitten sind, haben einen echten Mehrwert.

Bevor Sie Ihr ERP-System vollständig einführen, ist es entscheidend, es zu testen, um sicherzustellen, dass es Ihren Anforderungen entspricht und ältere Systeme effektiv ersetzen kann. Neben rein technischen Überprüfungen ist es wichtig, eine Liste von Geschäftsaufgaben und -situationen zu haben. Dies ermöglicht es den tatsächlichen Benutzern, das ERP-System auszuprobieren, bevor es vollständig implementiert ist.

Inbetriebnahme

Sobald auch dieser Schritt abgeschlossen ist, ist die ERP-Implementierung abgeschlossen. Das System ist eingerichtet und Ihre Mitarbeiter können es nutzen. Dies ist der Tag, auf den Sie hingearbeitet haben: der Tag, an dem das System live geht. Seien Sie auf mögliche Probleme vorbereitet, da es viele bewegliche Teile und trotz Ihrer besten Vorbereitungen möglicherweise verwirrte Mitarbeiter geben könnte. Das Projektteam sollte jederzeit zur Verfügung stehen, um Fragen zu beantworten, den Benutzern das System zu erklären und eventuelle Probleme zu beheben. Ihr Implementierungspartner sollte bei der Fehlerbehebung helfen können, falls erforderlich. Es kann einige Zeit dauern, bis die Benutzer sich an das System gewöhnt haben und die erwarteten Produktivitätssteigerungen erreichen.

Verschiedene Arten von Daten erfordern unterschiedliche Migrationszeiten während der ERP-Bereitstellung. Während bestimmte Daten vor dem offiziellen Start übertragen werden können, sollte zeitkritische Information, wie aktuelle Transaktionen, erst kurz vor der Inbetriebnahme des Systems migriert werden. Arbeiten Sie eng mit Ihrem Partner, um einen reibungslosen Übergang zu gewährleisten.

Einige Organisationen zielen darauf ab, alle Module des ERP-Systems gleichzeitig einzuführen, während andere sich zunächst auf spezifische, hochpriorisierte Module oder Prozesse konzentrieren und später andere in Phasen hinzufügen. Um das Risiko zu minimieren, führen manche Organisationen ältere Systeme parallel zum neuen ERP für eine gewisse Zeit weiter. Dies kann jedoch die Gesamtkosten des Projekts erhöhen und die Benutzerproduktivität verringern. Unsere Erfahrung zeigt, dass der parallele Betrieb von alter und neuer Software die Mitarbeiter überlasten und das Projekt erheblich verzögern kann. Wir empfehlen dies daher nicht.

Die Pflege Ihrer ERP-Implementierung nach der Bereitstellung hilft, die Benutzer zufrieden zu stellen und sicherzustellen, dass das Unternehmen die gewünschten Vorteile erzielt. Das Projektteam ist möglicherweise auch während dieser Phase noch für das ERP-System verantwortlich, der Fokus wird jedoch auf die Aufnahme von Benutzerfeedback und die entsprechende Anpassung des Systems verschoben. Es könnte erforderlich sein, zusätzliche Entwicklungen und Konfigurationen vorzunehmen, wenn neue Funktionen zum System hinzugefügt werden. Neue Mitarbeiter müssen ebenfalls in dem System geschult werden.

Wenn Sie ein On-Premises-ERP-System haben, müssen Sie periodische Software-Updates installieren und möglicherweise im Laufe der Zeit die Hardware aufrüsten. Wenn Sie ein Cloud-basiertes ERP-System verwenden, aktualisiert Ihr Anbieter die Software möglicherweise automatisch.

Seien Sie auf potenzielle Probleme vorbereitet, da es viele bewegliche Teile gibt und einige Ihrer Mitarbeiter möglicherweise verunsichert sein könnten. Das ist normal und in der Regel unvermeidlich, obwohl Sie Ihr Bestes getan haben, um auf den Wechsel vorbereitet zu sein. Das Projektteam steht immer zur Verfügung, um Fragen zu beantworten. Es hilft auch Ihren Mitarbeitern, das System zu verstehen und Probleme zu beheben. Ihr Implementierungspartner wird Ihnen natürlich bei der Fehlerbehebung helfen. Seien Sie jedoch darauf vorbereitet, dass es einige Zeit dauern kann, bis die Benutzer sich an das System gewöhnt haben und die erwarteten Produktivitätssteigerungen erreichen.

Zusammenfassung

Enterprise Resource Planning (ERP)-Systeme sind leistungsfähige Werkzeuge, die Unternehmen bei der Optimierung ihrer Prozesse und der Verbesserung ihrer Abläufe unterstützen. Die Implementierung eines ERP-Systems ist jedoch ein bedeutendes Unterfangen und erfordert sorgfältige Planung und Ausführung.

Beginnen Sie mit der Festlegung klarer Projektziele, dem Zusammenstellen eines kompetenten Teams, der Definition wichtiger Geschäftsprozesse und der Auswahl eines geeigneten ERP-Systems und Partners. Die Planung umfasst die Abstimmung der Funktionalitäten des Systems mit den betrieblichen Abläufen, die Ermittlung von Anpassungsbedarf, die Vorbereitung auf die Datenmigration und die Finalisierung des Implementierungsplans. Die Ausführungsphase erfordert die Anpassung von Systemfunktionen, die Datenvorbereitung und die Erstellung von Schulungsmaterialien. Bevor Sie auf das neue System umsteigen, ist es entscheidend, alle Benutzer zu schulen, gründliche Tests durchzuführen und eine reibungslose Inbetriebnahme zu gewährleisten.

Ein entscheidender Aspekt auf diesem Weg ist die Priorisierung von Schlüsselprozessen für die erste Implementierung. Es mag verlockend sein, alle Prozesse gleichzeitig zu integrieren, aber das kann die Kosten und die Komplexität erhöhen. Stattdessen sollten sich Unternehmen auf Kernprozesse konzentrieren, die durch ihre primären Ziele informiert sind, während der ersten Inbetriebnahme. Zusätzliche Prozesse können in späteren Phasen reibungslos integriert werden, was eine effiziente Implementierung und Anpassung gewährleistet.

Wenn Ihnen das schwierig erscheint, sind wir hier, um zu helfen. Kontaktieren Sie uns für eine kostenlose erste Einschätzung, und lassen Sie uns Sie durch jeden Schritt führen, um einen nahtlosen Übergang zu gewährleisten und Ihre Investition zu maximieren.

The post Leitfaden zur ERP-Einführung für kleine Unternehmen appeared first on CERTAINCE.

Disruptions to the digital advertising system have been underway for a while. Privacy-concerned consumers have pushed both regulators and businesses into action. Governments across the world have implemented stricter privacy laws, most notably the EU, UK, and China. The perhaps most notable change are new restrictions on using cookies – small amounts of data generated by a website and saved by the browser to store and communicate user information. While cookies remain allowed for basic functionalities of a website (e.g. for logins and shopping carts), their use for analytical and advertising purposes now requires explicit consent. This applies to both first-party cookies (set by the server of the visited website) and third-party cookies (set by third-party servers, e.g. ad servers behind display ads). Some web browsers (Safari, Firebox and soon Chrome) go beyond this restriction and block third-party cookies by default. That is, because third-party cookies allow the building of user behavior profiles across several websites, and thus are most privacy-invasive.

The lack of third party cookies will strongly reduce the targeting accuracy of display ads. Ads will be less personalized, and thus less effective. We will evaluate the alternative options for advertisers in light of these changes.

Focusing on first-party cookies

While first party cookies are less privacy-invasive, they too can be used to personalize ads, based on data collected about the user on the website. Many marketers thus advocate an increased use of first-party cookies. This is a valid option for large platforms and publishers, such as Google, Amazon, Facebook and the New York Times. These have an abundance of users that willingly create accounts, accept the privacy policies, and log in when using the platform. This provides enables the collection of an abundance of first party data, even across user devices (phones, tablets, laptops etc.). Smaller websites, however, will find it more difficult to collect abundant first-party data. Their users are less likely to create accounts and stay logged in, thus accepting the company’s privacy terms. Instead, they must rely on the acceptance of consent banners by users.

The requirement for consent banners, on the other hand, will prevent many first-party cookies whose purpose are analytics and advertising. Seeing little benefit in accepting such cookies, many users reject them. Even when accepted, many browser vendors limit the lifespan of such cookies. Apple, for instance, limits these to 7 days. This makes it very difficult to track users across several visits and attribute the impact of marketing campaigns accurately. Again, big platforms are at an advantage due to their users remaining logged in.

Small advertisers do have some options though. To enable conversation attribution and remarketing without third-party cookies, Google and Facebook have developed first party cookie solutions that may replace the previous third-party cookies. These first-party cookies carry unique identifiers that are limited to users of a advertiser’s site. This helps to more accurately attribute conversions with these major platforms.

In short, first-party cookies have lost their usefulness as well, but they do remain a useful tool for marketers. Let’s look at the other alternatives.

Cookieless Advertising – Digital fingerprinting

Some analytics companies offer digital fingerprinting as a tracking method instead of cookies. Browser fingerprinting identifies individual users based on their IP, browser settings, and device settings. For websites to display correctly, browsers provide information about their device, including screen resolution, operating system, location, and language settings. Trackers assemble this data into a digital “fingerprint” and use this identifier to trace the browser across the web.

While analytics companies often proclaim this technique to be more privacy-compliant than cookies, there are various concerns: In particular, fingerprinting is less visible to the user. Moreover, fingerprints cannot be cleared from the browser like cookies do. This gives users less control about their data. Recent developments allows cross-browser fingerprinting to successfully identify users 99% of the time, even if multiple privacy precautions are taken, such as masking IP addresses through a VPN and deleting or blocking cookies.

The discussion about the GDPR compliance of fingerprinting goes beyond the scope of this article. In short, a digital fingerprinting technique would only be allowed if user data would anonymized in way that is impossible to reverse with reasonable measures. The threshold for this is very high and regulators have not yet agreed to an acceptable technique (even the hashing and salting of user data does not suffice, as a hash function is considered pseudonymization, and thus results in personal data).

Thus, digital fingerprinting would require the same consent as cookies do. Having collected consent, however, we may as well work with first-party cookies.

Cookieless Advertising – FLoC

Ad-dependent companies such as Facebook and Google are scrambling to come up with alternative tracking solutions. Google’s Federated Learning of Cohorts (FLoC) is the most prominent example. It aims to give advertisers a way of targeting ads without exposing details on individual users. It does this by grouping people with similar interests together: football fans, retired travelers, etc. These groups are called cohorts. They are generated through algorithms, which put consumers in a different cohort each week. Cohorts that are too small get grouped together until they have at least several thousand users, to make it harder to identify individual users.

However, a number of privacy advocates have pointed out problems with FLoC. As it groups users in clumps of thousands, ad tech companies may still find ways to identify individual users using additional tracking methods like fingerprinting. Moreover, none of the other browser developers has committed to implementing FLoC. They might never do, unless FLoC get a lot more transparent and secure from privacy perspective. It’s also not clear if FLoC passes GDPR data regulations in the EU.

At this point, it remains to be seen whether FloC will provide a suitable alternative to cookies.

Cookieless Advertising – Contextual Targeting

The aforementioned tracking methods – cookies, logins, fingerprinting – are needed for behavioral targeting, i.e. the serving of ads based on the user’s browsing and purchasing behavior. However, there is another targeting approach that does not require knowledge of the users’ pervious behavior, and thus no tracking: contextual targeting. Instead of the user’s behavior, it displays relevant ads based on the content of the web page the user is on. This is of course similar to non-digital advertising, e.g. on billboards, magazine, radio and TV. An example would be ads for wedding suits on the wedding announcement pages of the New York Times.

Modern contextual targeting, of course, is still digital and allows for automated processes where algorithms select the advertisements based on keywords and other metadata included in the content.

Contextual Targeting for Display & Social Ads

Contextual targeting for display ads is already available, with the largest player being Alphabet and its AdSense platform. AdSense allows a publisher to insert code throughout a site where ads are served by AdSense. The site is crawled for keywords and context and relevant ads are placed. The site owner can customize certain features, such as where and how ads are displayed, and the types of products or services advertised. Advertisers provide the topics of the campaign (e.g. “Autos & Vehicles”, “Trucks & SUVs” etc.) as well as keywords  for more precise targeting within the selected topics. This including negative keywords, which will help the network match ads to website content. Google will then analyze the content in each display network web page to match ads with relevant content. It takes into account text, language, page structure, link structure, while taking your keywords into account, on top of other targeting.

Furthermore, YouTube recently unveiled “advanced contextual targeting”, which allows for quite granular contextual targeting. It understands, for instance the difference between luxury travel and budget travel, and it understands the specific interests within categories such as home and garden or interior design. Its machine learning analyzes YouTube videos frame by frame, looking at images, sound, speech and metadata connected to specific videos. While YouTube already has 300 pre-packaged video lineups matched to specific interests, brands can also work with a YouTube rep to create their own. This capabilities are complementary to Youtube’s behavioral targeting (advanced audience) solutions, which lets advertisers know what YouTube watchers are generally interested in, based on what they watch.

While display and social ads are improving their algorithms for contextual targeting, it highly unlikely that their ads will ever be as personalized and effective without behavioral targeting.

The most effective contextual targeting is likely to remain search advertising, e.g. on Google or Microsoft. As each ad matches a search query, it is based on the explicit need of the users in the moment (while often still using previously collected information about the user). This, naturally, increases the likelihood of clicks and conversion. While expensive on a per click basis, often they still provide the best return on advertising spend.

Conclusion

We do not believe that the alternatives for cookies are strongly enough at this point to replace the cookie. Digital fingerprinting, while bypassing some privacy-focused browser controls, does not evade the restrictions of privacy regulations.

At this point, brands must accept a certain loss and make the best use of consented data. Supporting this trends, Google announced “Consent Mode” as a beta feature to help advertisers remain compliant with regulations in Europe. Consent Mode automatically ensure that Google tags do not read or write cookies for advertising or analytics purposes in cases where the user did not consent to being tracked. The settings can be varied by region to always collect as much data as possible.

Understanding that advertisers have a measurement gap due to the loss of data, Google has further announced that Consent Mode will also allow for conversion modeling to help fill those gaps. Consent Mode will enable conversion modeling to recover the attribution between ad-click events and conversions measured in Google Ads. Google’s data shows that Consent Mode can recover more than 70% of ad-click-to-conversion journeys that were lost due to user consent choices.

Advertisers using Consent Mode will now see their search, shopping, display and video campaign reports within Google Ads updated with modeled conversion data in the conversions, all conversions, and conversion value columns. Modeled conversions will be integrated into Google Ads campaign reports in the same way and at the same level of granularity as regular conversion so that it can be leveraged within Google’s bidding tools in the same way as existing conversion data.

Advertisers already using Consent Mode will start seeing gradual improvements as what-would-have-been-lost-conversions are captured through modeling. Advertisers in the European Economic Area or the United Kingdom that are interested in implementing Consent Mode and are using Google Ads conversion tracking can get started here or can work with one of Google’s many consent management platforms.

The post Digital advertising in a privacy-first world appeared first on CERTAINCE.

To protect personal information and privacy, the Chinese Communist Party issued the Personal Information Protection Law (PIPL) on August 20, 2021. It complements the the Cybersecurity Law (CSL) and the Data Security Law (DSL), which came into effect in 2017 and 2021, respectively. While China has been drafting a series of other related implementation regulations and national standards, these three are considered the cornerstones of the overall data protection and cybersecurity legal regime in China.

The requirements regarding personal data collection are surprisingly similar to the European Data Protection Regulation. Any company serious about the Chinese market should take these regulations serious and consider them part of the investment needed to succeed China along with a physical and legal presence. In this Article, we’ll cover the basic scope, risks, and risk mitigation measures companies need to be aware of.

For sales and marketing, the main principles can be summarized as follows:

1. Personal data must be stored in Mainland China; transfers abroad must obey strict rules
2. Data collection must be limited in scope and lifespan, and requires explicit user consent
3. Data protection measures must be put into place

Affected Companies & Data

Like the European Data Protection Regulation (GDPR), the law defines personal data as any data that enables the identification of a person, either on its own or in combination with other data. Examples include name, identification number, birth date, email address, phone number, or IP address. This affects most digital sales and marketing tools, e.g.:

• Marketing automation tools, e.g. for sending of email and SMS campaigns
• Login and registration areas on your website (e.g. member/client areas)
• Contact forms
• CRM systems, e.g. Salesforce
• Electronic payments
• Ecommerce: order management, shipping and handling
• Reservation Systems for event bookings
• Online customer service tools
• Any online membership database
• Web analytics tools that detect personal data such as IP addresses

Similar to the GDPR, the CSL distinguishes between two kinds of data processors: Critical Information Infrastructure Operators (CIIOs) and Network Operators (NOs). CIIOs are organisations that

• Belong to strategic sectors such as energy, finance, etc.
• Operate an IT infrastructure platform
• Collect and process high data volume (exact values to be defined)
• Incur high monetary damages in case of a data breach (exact values to be defined)
• Process data on behalf of a CIIO (the same requirements apply)

A Network Operator, on the other hand, is any company operating a network of interconnected computers. Most manufacturers and distributors fall under this category. They have to follow less strict requirements regarding data collection, security, and usage.

Without differentiating between the ‘data controller’ and ‘data processor’, the PIPL instead allocates liability and compliance requirements to a ‘personal information handler’, which refers to any organisation or individual that independently determines the purpose and method of processing in their activities of processing of personal information. This definition suggests that the term ‘personal information handler’ under the PIPL resembles the concept of ‘data controller’ under the GDPR.The following article will focus on this type, as it is more relevant to our clients and readers.

Key Risks

Companies that break the new law despite initial warnings may face various penalties:

1. Fines and confiscation of illicit gains.
2. Website and online systems suspension for rectification
3. Revocation of business licence in China
4. Detention

While the fines are lower than specified the GDPR, a website shut down or business license revocation of course pose major risks. As for the risk of detection, highly visible multinationals are of course most likely to be investigated. SMEs should beware of possible future rewards for whistle-blowers.

Risk Mitigation

Let’s look at the specific requirements under the main principles:

Personal data must be stored in Mainland China; transfers abroad must obey strict rules

Under the PIPL, personal information can only be transfered personal information overseas when if the operator meets at least one of the following conditions:

1. having passed the security assessment organised by the national cyberspace authorities;
2. having undertaken personal information protection certification conducted by professional agencies in accordance with the regulations of the national cyberspace authorities;
3. having signed a contract with the overseas receiving parties in accordance with the standard contract formulated by the national cyberspace authorities, to stipulate the rights and obligations of the parties, and supervising their personal information processing activities to ensure that the personal information protection levels under the PIPL are met; or
4. meeting other conditions stipulated by laws, administrative regulations or the national cyberspace authorities.

It must further take any necessary measure to ensure that the processing of the personal information carried out by overseas recipients meet the standards of personal information protection provided in the PIPL. They must also obtain consent of the data subject, providing the information to be processed, the processing purpose and method, the contact information of the overseas recipient, and how they can exercise their rights against the recipient. Furthermore, cross-border transfer of personal information is also subject to a personal information protection impact assessment.

It is therefore recommended to keep personal data on a locally hosted infrastructure in China, for instance on a local CRM system. Many companies still fail to comply with this regulation, as they use popular cloud services with servers outside China, e.g. Salesforce. To get prepared, multinationals like Apple are already moving their hosting to China.

Data collection must be limited in scope and lifespan, and requires explicit user consent

Consent collection requirements of the new law are very similar to the GDPR. It must be:

• A “clear affirmative action” taken by the subject (user, customer, employee etc.)
• Freely given, not forced
• Explicit, specific, informed, and unambiguous
• Documented in detail
• Easily withdrawn

Pre-ticked checkboxes and implicit consent to collect data and to send marketing communications will not be acceptable anymore.

Furthermore, only data that is absolutely needed to realize the business function (e.g. product delivery) may be collected. For complex situations such as personal recommendations, this is tricky to define. In these cases, it’s best to check for any data point if it was needed for service at the time it was requested. Whenever the necessity is not clear, it’s better to drop the data point.

Data protection measures must be put into place

Where possible, use data collection and analytics tools that can be self-hosted in the Chinese cloud

Consider hosting all data collection systems in mainland China: establish local instances of your infrastructure. Liaise with all your third party service providers and make sure all personal data storage and processing is compliant, switch to compliant providers when required. Use a website IP location online tool to identify the hosting location, e,g, Iplocation. Foreign web analytics vendors (Hotjar, Mixpanel, Google Analytics, etc.) for instance, can be replaced with a self-hosted Matomo on your AWS China Cloud.

Aggregate data for headquarter reporting

If your cloud services (e.g. BI or CRM tools) only collect and receive data aggregates or anonymized information from your Chinese activities, you are likely lawful. Compliance risks start whenever the data contains information that can be directly linked to a specific individual, e.g. an IP address. It is generally recommended to reduce outbound transfers of such data to a minimum. Where needed, outsource the self-assessment to a certified service provider and document the need and level of related risks. Processes implemented in Europe for GDPR are a good baseline.

Avoid collecting data you do not need

Avoid collecting personal data that is not needed for your transactions and for improving your services and campaigns. Also, as long as the anonymization process is irreversible, the data transfer is compliant. For web analytics, avoid cookies that can be attached to a specific individual. In particular, avoid collecting IP addresses. Also avoid sending decipherable email address and other personal addresses in links (this is a general best practice that should be followed anyway).

Collect permission for new contacts and gain repermission for existing contacts

Go through all your data collection systems and make sure the user is fully informed on the scope of data collection and usage. Make sure consent is clearly collected, recorded and timestamped, keep screenshots of the consent form. Ask for explicit consent the moment you want to start collecting customer data. Communicate the process clearly and unambiguously, allowing the data subject to opt-in or opt-out its consent, access and control their own data at any time. Inform individuals of the scope of data collection, timeframe, and which parties the data will be shared with.

Neither the law nor the regulations are explicit for any data collected prior to the CSL. But like the GDPR in Europe, we can reasonably assume that the obligations apply retroactively to your existing database. You must then either

• Delete all pre-existing personal information records, or
• Repermit: go back to the individuals whose personal data you have stored, and collect their explicit consent

There is plenty of documentation on repermission techniques for email databases in context of the GDPR.

If you have been binding personally identifiable data to WeChat follower profiles, you can send a broadcast message asking for consent to all of the followers in this situation, just as you would do for email or SMS channels. But with low opening rates on average, we recommend more interactive methods such as automated conversations.

Finally, update your privacy policies to cover all points required by the law.

Make sure data is stored securely

Encrypt all data and use HTTPS for all your web properties and sFTP for file transfers. Set up a backup & system redundancy policy, encrypt backups and “cold store” them (disconnected from any network).

Set up network protection systems (such as firewalls, antiviruses etc.) to protect against the leakage / modification / destruction of data. Keep records of all network accesses (logs) and security incidents. Write down an internal security policy and train the employees accordingly (e.g. password rotation rules). Name in your organization an IT security manager in charge of defining and applying the processes, or outsource security management to a specialized provider.

The best protection is to setup clear, documented processes internally to ensure compliance: risk assessment checklists, training procedures and materials, establishing working groups and so on. These will show good will on your part should a check happen, maximizing your chances to only receive a warning and a rectification order should the authority interpret some of your activities in violation of the regulation.

All data must have a precise shelf life, limited to the shortest time needed to realize the purposes it was collected for. After the period has expired, the information shall be deleted or anonymized. We recommend auditing each tool with your marketing, IT, and legal counsel to understand what data is collected and if it’s processed and stored in a compliant way.

The post The Chinese Cybersecurity Law and digital marketing appeared first on CERTAINCE.