Excel-Schattenprozess-Erkennung

Das echte Ausmaß des Problems

Frag die IT-Verantwortlichen eines mittelständischen Unternehmens, wie viele relevante Excel-Prozesse sie kennen — und notiere die Zahl. Führe dann einen strukturierten Scan durch. Du wirst fast immer das Doppelte finden.

BetterCloud stellte 2021 fest, dass Unternehmen im Durchschnitt dreimal so viele SaaS-Applikationen betreiben, wie der IT-Abteilung bekannt sind. Bei Excel-Prozessen — die keine Applikations-Installation erfordern, von keiner IT-Asset-Liste erfasst werden und keine Lizenzkosten erzeugen — ist die Dunkelziffer noch höher.

Laut einer Capterra-Studie aus dem Jahr 2023 berichteten 57 % der kleinen und mittleren Unternehmen von hochgradig prozessrelevanter Schatten-IT, die vollständig außerhalb der IT-Abteilung operiert. Eine Studie von SEEBURGER ergänzt: Rund 55 % der entdeckten Schatten-IT-Systeme sind prozessrelevant — das bedeutet: Der eigentliche Geschäftsprozess hängt an diesem System, nicht nur ein Nice-to-have-Workaround.

Warum entstehen diese Prozesse überhaupt?

• Das offizielle System kann etwas nicht, was die Abteilung täglich braucht
• Der Weg zur IT-Anforderung dauert Monate, der Excel-Workaround ist in zwei Stunden gebaut
• Eine Person mit Spezialwissen löst ein wiederkehrendes Problem — und andere beginnen, die Lösung zu nutzen
• Niemand dokumentiert es, weil es nie als offizieller Prozess geplant war

Das Resultat: Unternehmen, die ERP-Systeme einführen, Abteilungen fusionieren, Mitarbeitende ersetzen oder DSGVO-Audits bestehen müssen, stehen vor einer Landkarte mit weißen Flecken. Der Unterschied zu früher: Mit KI lassen sich diese Flecken heute in Tagen sichtbar machen — nicht in Monaten manueller Inventur.

Mit vs. ohne KI — ein ehrlicher Vergleich

Die Zahlen zur Entdeckungsquote sind Erfahrungswerte aus Discovery-Projekten — keine repräsentative Studie. Das manuelle Ergebnis hängt stark davon ab, wer befragt wird und wie offen Abteilungen kommunizieren. Der strukturierte Scan ist in jedem Fall vollständiger als eine Befragungsrunde.

Einschätzung auf einen Blick

Zeitersparnis — mittel (3/5)
Statt wochenlanger manueller Inventur komprimiert der Scan die Erhebungsphase auf Tage. Das ist echter Zeitgewinn — aber er entsteht einmalig, nicht täglich. Eine Stunde täglich sparst du hier nicht; du sparst einen langen, unangenehmen Projektabschnitt. Deshalb liegt die Zeitersparnis im Mittelfeld, nicht an der Spitze.

Kosteneinsparung — mittel (3/5)
Die direkten Kosten, die du durch die Erkennung sparst, sind indirekt: verhinderter DSGVO-Bußgeldbescheid, vermiedene ERP-Projektergänzung, früher erkannter Migrationsaufwand. All das ist real — aber du buchst den Gewinn nicht unmittelbar. Im besten Fall verhinderst du ein teures Scheitern. Im schlechtesten Fall gibst du Geld für den Scan aus und nutzt das Ergebnis nicht.

Schnelle Umsetzung — mittel (3/5)
Den Scan aufzusetzen geht schnell — einen Tag Konfiguration, dann läuft er. Was Zeit kostet, ist die Interpretation: Welche der gefundenen Dateien sind echte Prozesse? Wer ist verantwortlich? Was passiert als nächstes? Diese Phase dauert Wochen, nicht Tage. Technisch einfach, organisatorisch nicht.

ROI-Sicherheit — niedrig (2/5)
Das ist der ehrlichste Wert auf dieser Seite: Die Discovery selbst erzeugt keinen Return. Du findest Schattenprozesse. Was du danach damit machst — ob du sie migrierst, dokumentierst, oder ignorierst — bestimmt den Wert. Wer einen Scan durchführt, ohne Kapazität für die Nacharbeit einzuplanen, hat am Ende eine interessante Liste und kein besseres System. Deshalb: ROI-Sicherheit ist niedrig. Nicht weil das Vorgehen falsch ist, sondern weil der Return in einem anderen Projekt entsteht.

Skalierbarkeit — hoch (4/5)
Einmal aufgesetzt, läuft der Scan auf 1.000 Dateien genauso wie auf 100.000. Mehr Standorte, mehr Speicherorte, mehr Abteilungen — der Aufwand steigt kaum. Für Unternehmen mit mehreren Niederlassungen oder nach Fusionen ist das ein echter Vorteil: eine Inventur über alle Einheiten gleichzeitig.

Richtwerte — stark abhängig von Unternehmensgröße, vorhandener Infrastruktur und Entschlossenheit zur Nacharbeit.

Was das System konkret macht

Der Grundansatz lässt sich in zwei Stufen beschreiben.

Stufe 1: Metadaten-Analyse
Das System durchsucht alle zugänglichen Speicherorte — SharePoint-Bibliotheken, OneDrive, Netzlaufwerke, optional auch Outlook-Anhänge — und sammelt für jede Excel-Datei strukturierte Informationen: Dateigröße, Anzahl Tabellenblätter, Zahl der beteiligten Nutzenden in den letzten 90 Tagen, Änderungsfrequenz, Vorhandensein von VBA-Makros, Formeln mit externer Verknüpfung, verbundenen Formularfeldern. Aus diesen Parametern berechnet das System einen “Workflow-Score” — eine Punktzahl, die anzeigt, wie wahrscheinlich es ist, dass diese Datei kein Dokument ist, sondern ein Prozess.

Stufe 2: Inhaltliche KI-Analyse
Dateien mit hohem Workflow-Score werden weiter untersucht. Ein LLM analysiert den Zellinhalt, Spaltenbeschriftungen und Tabellenstruktur und beantwortet strukturierte Fragen: Enthält diese Datei Zustände (offen / in Bearbeitung / abgeschlossen)? Gibt es Verantwortlichkeitsspalten? Sind Datumsfelder vorhanden, die auf Fristen oder Prozessschritte hinweisen? Handelt es sich um eine Aufgabenliste, ein Tracking-System oder eine Entscheidungsmatrix? Das Ergebnis ist keine Schwarz-Weiß-Klassifikation, sondern eine begründete Einschätzung mit Konfidenzwert — für Menschen nachvollziehbar, nicht für eine Maschine zu verstehen allein.

Was das System nicht kann: Es entscheidet nicht, ob ein Prozess migriert werden soll. Es bewertet nicht, ob die Excel-Lösung gut oder schlecht ist. Und es kann keine Prozesse erkennen, die ausschließlich auf lokalen Endgeräten ohne Netzwerkverbindung liegen — da ist Discovery blind.

Warum Metadaten wichtiger sind als Inhalt

Für die erste Triagierung reichen oft schon drei Signale: Mehr als fünf Tabellenblätter. Aktive Bearbeitung durch mehr als drei Personen in den letzten zwei Monaten. Dateigröße über 300 KB. Diese Kombination trifft auf weniger als 3 % aller Excel-Dateien in einem typischen Unternehmen zu — aber auf mehr als 70 % der tatsächlichen Schattenprozesse. Die Inhaltsanalyse bestätigt und präzisiert, was die Metadaten anzeigen.

Die Frau-Schmidt-Falle: Warum die Person, die die Excel führt, nicht freiwillig kooperiert

Das ist der Teil, der in keiner Produktbroschüre steht.

Wenn du Frau Schmidt sagst: “Wir haben eure Excel gefunden und wollen den Prozess in SAP überführen” — was hörst du dann? Im besten Fall: zögerliche Kooperation mit vielen Nachfragen. Im realistischen Fall: sanfter Widerstand, der nie offen als Widerstand formuliert wird.

Warum? Frau Schmidt hat seit 2019 eine Lösung gebaut, die funktioniert. Ihr Team verlässt sich darauf. Sie kennt jeden Sonderfall, jede Ausnahme, jede Besonderheit, die in der Excel steckt — Wissen, das nirgendwo dokumentiert ist. Ihre Fachkompetenz besteht zum erheblichen Teil aus genau diesem Wissen. Wenn der Prozess in SAP überführt wird, mit Standard-Logik und ohne ihre Spezialregeln, wird er wahrscheinlich zunächst schlechter funktionieren als vorher. Und das wird nicht als SAP-Problem gesehen, sondern als Beweis, dass die Umstellung falsch war.

Frau Schmidt hat also sehr rationale Gründe, nicht zu kooperieren — auch wenn sie das nie so formuliert.

Was hilft:

Frühzeitige Einbindung vor der Entscheidung: Nicht “wir haben eure Excel gefunden und migrieren sie” — sondern “wir haben eine Excel gefunden, die scheinbar eine kritische Funktion erfüllt, und wir würden gerne verstehen, was da drinsteckt.” Das ist kein Trick, das ist echter Respekt vor Prozesswissen.

Frau Schmidt wird Prozessexpertin, nicht Anpassungsopfer: Wenn die Excel wirklich migriert wird, sollte die Person, die sie gebaut hat, die fachliche Anforderungsgeberin für das neue System sein — nicht die Endnutzerin, die erklärt bekommt, wie das neue System funktioniert.

Nicht entscheiden, ohne zu verstehen: Viele Schattenprozesse erfüllen eine Funktion, die das offizielle System schlicht nicht abdeckt. Manchmal ist die richtige Antwort nicht Migration, sondern Systemerweiterung — oder bewusstes Akzeptieren des Workarounds, bis die Systemgrundlage besser ist. Das ist keine Niederlage, das ist ehrliches Prozessmanagement.

Shadow-IT als Symptom: Was die Prozesslandschaft dir zu sagen versucht

Schattenprozesse entstehen nicht, weil Mitarbeitende schwierig sind. Sie entstehen, weil etwas fehlt.

Eine Excel, die seit Jahren eine Kernfunktion übernimmt, ist kein Zeichen schlechter Disziplin — sie ist ein unübersehbarer Hinweis darauf, dass das offizielle System an dieser Stelle zu langsam, zu unflexibel oder zu umständlich ist. Wer das nach der Discovery ignoriert und einfach die Datei abklemmt oder das System “übernimmt”, verliert das Symptom ohne die Ursache zu behandeln.

Der Wert einer guten Schattenprozess-Inventur liegt deshalb nicht nur in der Liste der gefundenen Dateien. Er liegt in den Antworten auf diese Fragen:

• Wo deckt die Schatten-Excel eine Lücke ab, die das ERP-System nicht füllt?
• In welchen Abteilungen gibt es besonders viele Schattenprozesse — und warum?
• Welche Prozesse laufen ganz offensichtlich reibungsloser als die offiziell gesteuerten?

Eine ehrliche Antwort auf diese Fragen ist unbequemer als eine Liste. Aber sie ist der eigentliche Wert dieser Analyse.

Konkrete Werkzeuge — was wann passt

Für die Discovery selbst gibt es je nach Infrastruktur unterschiedliche Ausgangspunkte.

Microsoft Purview — Für Unternehmen, die vollständig in Microsoft 365 arbeiten, ist Purview der naheliegendste Einstieg. Das Tool ist im M365 E3-Plan enthalten und scannt SharePoint und OneDrive automatisch nach Dateien, klassifiziert sie nach Sensitivität und zeigt Nutzungsaktivität im Aktivitäts-Explorer. Kein separates Tool-Deployment. Einschränkung: Funktioniert nur in M365 — keine On-Premise-Dateiserver. Für die eigentliche Prozess-Identifikation musst du eigene Klassifizierungsregeln definieren (Dateigröße, Tabellenblattanzahl, Nutzerzahl). Kosten: im M365 E3-Plan enthalten (ca. 33 €/Person/Monat).

Microsoft Power BI — Nicht für das Scanning selbst, aber unverzichtbar für die Aufbereitung der Ergebnisse. Wenn Purview oder ein anderes Tool Datei-Metadaten exportiert, kann Power BI daraus eine strukturierte Übersicht machen: Heatmap nach Abteilung, Zeitverlauf der Bearbeitung, Ranking nach Workflow-Score. Ohne eine solche Übersicht bleibt der Scan ein Haufen Daten. Kosten: kostenlos für grundlegende Nutzung, Power BI Pro ab ca. 10 €/Person/Monat für geteilte Berichte.

Microsoft Power Automate — Für die regelmäßige Überwachung nach dem ersten Scan. Sobald du weißt, wie ein Schattenprozess aussieht (Metadaten-Profil), kannst du Power Automate so konfigurieren, dass es neue Dateien, die dieses Profil erfüllen, automatisch meldet — eine Art kontinuierliches Shadow-IT-Radar. Kosten: ab ca. 6 €/Person/Monat oder in M365 enthalten.

Varonis — Für Unternehmen mit On-Premise-Dateiservern oder gemischten Umgebungen, die sowohl SharePoint als auch klassische Windows-Fileserver betreiben. Varonis analysiert Dateizugriffsmuster, erkennt exponierte Daten und kann VBA-Makro-Dateien mit überdurchschnittlicher Nutzeraktivität hervorheben. Preis: quote-basiert, realistisch 40.000–80.000 €/Jahr — nur für Unternehmen ab ca. 200 Mitarbeitenden mit eigenem IT-Security-Team rentabel.

Eigenes Skript (Python + OpenAI API) — Für technisch versierte Teams ist eine eigene Lösung oft die flexibelste Wahl. Python liest Excel-Metadaten aus einem Netzlaufwerk, berechnet einen Workflow-Score und übergibt Kandidaten-Dateien an die OpenAI API zur inhaltlichen Bewertung. Die laufenden Kosten sind gering (API-Kosten für Inhaltsanalyse), der Einrichtungsaufwand ist real. Vorteil: vollständige Kontrolle über die Klassifizierungslogik, keine Abhängigkeit von externen Plattformen. Nachteil: Wartung und Weiterentwicklung liegen im Unternehmen.

Zusammenfassung — wann was:

• M365-Umgebung, Budget begrenzt → Microsoft Purview + Power BI
• Hybride Umgebung (Cloud + On-Premise), Sicherheitsfokus → Varonis
• Eigene Infrastruktur, Entwickler-Know-how vorhanden → Python-Skript + OpenAI API
• Regelmäßiges Monitoring nach erstem Scan → Power Automate

Datenschutz und Datenhaltung

Das ist der Teil, der vor dem Start mit dem Betriebsrat und dem Datenschutzbeauftragten geklärt sein muss — nicht danach.

Wenn ein System Netzlaufwerke und SharePoint-Verzeichnisse durchsucht, analysiert es auch die Aktivität von Mitarbeitenden: Wer hat welche Datei wann geöffnet? Wer hat sie regelmäßig bearbeitet? Diese Nutzungsdaten sind in Deutschland betriebsverfassungsrechtlich relevant. Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei technischen Einrichtungen, die zur Überwachung von Mitarbeitenden geeignet sind. Ein Datei-Scan, der Zugriffsprotokolle auswertet, fällt in diesen Bereich.

Das bedeutet nicht, dass Discovery nicht möglich ist. Es bedeutet, dass du eine Betriebsvereinbarung brauchst, die Umfang, Zweck und Nutzung der Daten regelt — bevor der erste Scan startet. Typische Regelungsinhalte: Welche Speicherorte werden gescannt? Welche Daten werden gespeichert? Wer sieht die Ergebnisse? Wann werden die Rohdaten gelöscht?

Für die DSGVO gilt: Sobald Dateien personenbezogene Daten enthalten — und das tun Excel-Prozesse in Vertrieb, HR und Finanzen fast immer — musst du die Verarbeitung dokumentieren. Das gilt sowohl für die gescannten Dateien selbst als auch für die Aktivitätsdaten (wer hat was bearbeitet). Ein Auftragsverarbeitungsvertrag (AVV) ist bei allen externen Tools Pflicht.

Für Tools mit EU-Datenresidenz:

• Microsoft Purview: EU Data Boundary verfügbar (muss explizit aktiviert werden)
• Power Automate / Power BI: EU-Rechenzentren verfügbar
• Varonis: EU-Hosting verfügbar, bei On-Premise auch lokale Verarbeitung möglich
• Python + OpenAI API: Datenverarbeitung in den USA — sensible Dateiinhalte sollten nicht unverschlüsselt an die API übermittelt werden

Was es kostet — realistisch gerechnet

Einmalige Projektkosten
Der Scan selbst ist nicht das Teuerste. Das Teuerste ist die Interpretation und die Nacharbeit.

• Scan-Setup (M365 Purview + Power BI): 2–5 Tage Aufwand intern oder extern; externe Beratungskosten: ca. 1.500–5.000 €
• Scan-Setup (Varonis, On-Premise): 4–8 Wochen; Lizenz ca. 40.000–80.000 €/Jahr
• Interpretation der Ergebnisse: für 100–300 relevante Kandidaten-Dateien realistisch 3–6 Wochen Aufwand (mit den Fachabteilungen gemeinsam, nicht allein in der IT)
• Stakeholder-Gespräche und Betriebsratsabstimmung: 2–4 Wochen, je nach Unternehmen

Laufende Kosten
Wenn du ein kontinuierliches Monitoring aufbaust (Power Automate-Alerts für neue Kandidaten-Dateien): praktisch kostenlos im Rahmen einer M365-Lizenz. Wenn du Varonis nutzt: die Jahreslizenz läuft weiter.

Was du dem gegenüberstellst
Die Frage ist nicht “was kostet der Scan”, sondern “was kostet es, wenn wir das nicht wissen”:

• Ein ERP-Einführungsprojekt, das nachträglich um 20 bisher unbekannte Excel-Prozesse ergänzt werden muss: realistisch 30.000–100.000 € Mehrkosten je nach Projektgröße
• Ein DSGVO-Prüffall, bei dem personenbezogene Daten in einer unbekannten Excel auf einem ungesicherten Share gefunden werden: Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes
• Wissensrisiko bei Personalwechsel: eine Mitarbeiterin verlässt das Unternehmen und die Excel stirbt mit ihr — kein Backup, kein Nachfolger, kein dokumentierter Prozess

Diese Risiken lassen sich nicht exakt beziffern. Aber wer sie ignoriert, zahlt sie irgendwann.

Wie du den ROI tatsächlich misst
Ehrlich gesagt: schwer. Der Nachweis, dass die Entdeckung eines Schattenprozesses einen Verlust verhindert hat, ist per definitionem ein kontrafaktisches Argument. Was du messen kannst: Anzahl identifizierter Schattenprozesse, davon migrierte Prozesse, davon Prozesse mit dokumentierten DSGVO-Risiken. Was du nicht messen kannst: Was wäre passiert, wenn du es nicht gewusst hättest.

Drei typische Einstiegsfehler

1. Den Scan als Endpunkt verstehen, nicht als Startpunkt.
Die Liste der gefundenen Excel-Prozesse ist wertlos, wenn kein Folge-Projekt definiert ist. Wer scannt, ohne vorher zu klären, wer die Ergebnisse auswertet, wer die Fachabteilungen kontaktiert und wer über Migration oder Akzeptanz entscheidet, hat am Ende einen interessanten Bericht und nichts sonst. Schattenprozesse verschwinden nicht dadurch, dass man sie sieht. Vor dem ersten Scan muss die Frage beantwortet sein: Was passiert mit dem, was wir finden?

2. Ohne Betriebsrat starten.
Viele IT-Abteilungen unterschätzen, wie schnell ein Datei-Scan betriebsrechtlich relevant wird. Wenn die ersten Ergebnisse vorliegen und jemand fragt “Habt ihr den Betriebsrat eingebunden?” — und die Antwort Nein ist — steht das gesamte Vorhaben auf wackeligen Beinen, egal wie gut die Ergebnisse sind. Den Betriebsrat nachträglich einzubeziehen ist aufwändiger als ihn von Anfang an zu informieren. Das gilt auch für den Datenschutzbeauftragten.

3. Komplexitäts-Score mit Prozess-Score verwechseln.
Nicht jede große, komplexe Excel ist ein Schattenprozess. Manche sind einfach schlecht strukturierte Dokumentenablagen. Nicht jede einfache Excel ist harmlos — manchmal steckt ein kritischer Prozess in einer schlichten Liste. Der Scan liefert Kandidaten, keine Fakten. Die Interpretation braucht Gespräche mit den Fachabteilungen — und die kosten Zeit und Bereitschaft zuzuhören.

Was mit der Einführung wirklich passiert — und was nicht

In der Theorie: Du scannst, findest die Schattenprozesse, migrierst sie in das offizielle System, alles wird besser.

In der Praxis passiert Folgendes:

Die IT findet mehr als erwartet. Nicht doppelt so viele — manchmal dreifach. Das ist kein Zeichen für Chaos, sondern dafür, dass der Scan funktioniert. Trotzdem erzeugt es Druck: Wer entscheidet, wie priorisiert wird? Das muss ein Entscheidungsrahmen vorher definieren.

Fachabteilungen reagieren unterschiedlich. Manche sind erleichtert: Endlich sieht jemand, was sie wirklich tun und was das offizielle System nicht kann. Andere sind defensiv: Sie haben jahrelang eine Lösung aufgebaut und befürchten, dass diese jetzt abgeklemmt wird, ohne Ersatz. Beide Reaktionen sind rational. Keine der beiden lässt sich mit einer E-Mail lösen.

Nicht alles wird migriert — und das ist richtig. Einige Schattenprozesse decken Nischenfälle ab, die den Migrationsaufwand nicht rechtfertigen. Andere haben Prozesslogik, für die das offizielle System im aktuellen Zustand schlicht nicht ausgelegt ist. Die Entscheidung “Akzeptieren und dokumentieren” ist ein legitimes Ergebnis — sofern sie bewusst und mit den Beteiligten getroffen wird.

Was konkret hilft:

• Ergebnisse zuerst mit den Abteilungsleitenden besprechen, bevor Einzelpersonen angesprochen werden
• Formulierung von Anfang an: “Was habt ihr gebaut, das funktioniert?” — nicht “Was umgeht ihr hier?”
• Einen Zeitraum von 90 Tagen für die Interpretations- und Priorisierungsphase kommunizieren — nicht zwei Wochen
• Schattenprozesse, die bewusst akzeptiert werden, dokumentieren — mit Begründung und Verantwortlichen

Realistischer Zeitplan mit Risikohinweisen

Wichtig: Discovery und Migration sind zwei separate Projekte. Die Discovery identifiziert und priorisiert. Migration ist eine eigenständige Folgeleistung — mit eigenem Budget, eigenem Zeitplan und eigener Verantwortung.

Häufige Einwände — und was dahintersteckt

„Wir wissen schon, was wir nicht wissen.”
Das sagen IT-Verantwortliche vor fast jedem Discovery-Projekt — und fast immer finden strukturierte Scans mehr als die Hälfte wieder, die vorher nicht bekannt war. BetterCloud dokumentierte 2021, dass Unternehmen im Schnitt dreimal so viele SaaS-Applikationen betreiben, wie die IT kennt. Bei Excel-Prozessen, die keine Installation erfordern, ist die Dunkelziffer noch höher. “Wir wissen, was wir nicht wissen” ist eine psychologisch verständliche Reaktion — aber selten eine akkurate Einschätzung.

„Die Mitarbeitenden werden uns nichts sagen.”
Das stimmt oft. Deshalb basiert diese Methode nicht primär auf Befragungen, sondern auf Datei-Metadaten. Du brauchst keine Aussagen der Mitarbeitenden, um herauszufinden, welche Excel-Datei täglich von sechs Personen geöffnet wird. Das steckt schon im Aktivitätslog. Die Befragung kommt danach — als Gesprächsgrundlage, nicht als Erhebungsmethode.

„Das ist doch letztlich Change Management, kein KI-Projekt.”
Stimmt — und das ist keine Schwäche dieser Einschätzung, sondern eine Stärke. Die KI beschleunigt die Erhebungsphase und macht sie vollständiger. Aber die eigentliche Arbeit ist organisatorisch: Wer spricht mit Frau Schmitt? Wer entscheidet über Prioritäten? Wer trägt die Verantwortung für nicht-migrierte Prozesse? Das sind Fragen für Menschen, nicht für Algorithmen. Wenn du diese Antworten nicht hast, hilft auch der beste Scan nicht.

Woran du merkst, dass das zu dir passt

• Ihr steht kurz vor einer ERP-Einführung oder habt gerade eine abgeschlossen und habt das Gefühl, dass die Anforderungsaufnahme nicht alle realen Prozesse erfasst hat
• Ihr habt einen Personalwechsel in einer Schlüsselposition und fragt euch, welches Wissen gerade mit der Person gegangen ist — oder noch gehen könnte
• Ein DSGVO-Audit steht an und ihr wisst nicht mit Sicherheit, wo überall personenbezogene Kundendaten in Dateien gespeichert sind
• Ihr habt gerade Abteilungen fusioniert oder Standorte zusammengelegt und wollt einen Überblick über die tatsächliche Prozesslandschaft beider Einheiten
• Das IT-System “sollte eigentlich” eine Funktion haben, die trotzdem nirgendwo genutzt wird — weil die Abteilung längst einen Workaround gebaut hat

Wann es sich (noch) nicht lohnt — drei harte Ausschlusskriterien:

1. Unter ca. 30 Mitarbeitenden oder ohne zentralen Dateispeicher. Wenn die Dateien hauptsächlich auf lokalen Geräten ohne Netzwerkanbindung liegen oder über persönliche E-Mail-Konten ausgetauscht werden, ist ein automatisierter Scan schlicht nicht erreichbar. Der Scan braucht einen zugänglichen, strukturierten Speicherort — kein SharePoint, kein erreichbares Netzlaufwerk, kein Scan. Außerdem rechtfertigt sich der Interpretationsaufwand bei weniger als 30 Personen selten — da ist eine gezielte Befragungsrunde effizienter.

2. Kein Mandat für Discovery und kein Betriebsrat-Buy-in. Wenn der Betriebsrat die Zustimmung verweigert oder die Geschäftsleitung das Vorhaben nicht aktiv unterstützt, ist kein Ergebnis verwertbar — auch wenn die Technik läuft. Ein Discovery-Projekt, das ohne offizielle Freigabe gestartet wird, endet mit einem Ergebnis, das niemand nutzen kann, und mit Vertrauensschäden in der Belegschaft. Die rechtliche Grundlage muss vor dem ersten Klick stehen.

3. Keine Kapazität für die Nacharbeit. Das klingt banal — ist aber der häufigste Grund, warum Discovery-Projekte folgenlos bleiben. Wenn in den nächsten drei bis sechs Monaten niemand Zeit hat, die gefundenen Prozesse zu bewerten, Fachabteilungen zu besuchen und Entscheidungen zu treffen, liefert der Scan eine Liste ohne Wirkung. Und eine Liste ohne Wirkung ist kein ROI, sondern Beschäftigung.

Das kannst du heute noch tun

Starte mit einer manuellen Vorab-Inventur — das kostet nichts und zeigt dir sofort, wie viel da sein könnte.

Öffne den Datei-Explorer oder den SharePoint-Content-Explorer in deinem M365-Account. Filtere alle Excel-Dateien nach Größe (über 200 KB) und letztem Änderungsdatum (in den letzten 60 Tagen). Schau dir die zehn größten an. Öffne zwei davon. Wie viele Tabellenblätter? Gibt es Statusampeln, Verantwortlichkeitsspalten, Makros? Wenn ja: Das ist vermutlich kein Dokument.

Wenn du das für mehr als zwei oder drei Dateien skalieren willst, brauchst du ein Sprachmodell, das dir hilft, die Funde zu bewerten. Hier ist ein Prompt, den du direkt für die inhaltliche Einschätzung einzelner Excel-Dateien verwenden kannst:

Quellen & Methodik

• BetterCloud, “State of SaaSOps” (2021): Unternehmen betreiben im Schnitt dreimal so viele SaaS-Applikationen, wie der IT-Abteilung bekannt sind. Primärquelle: bettercloud.com (Studiendaten 2021, via Auvik Shadow IT Statistics 2024).
• Capterra, Shadow IT and Project Management Survey (2023): 57 % der kleinen und mittleren Unternehmen berichten von hochgradig prozessrelevanter Schatten-IT außerhalb der IT-Kontrolle. 76 % sehen Shadow IT als moderate bis schwerwiegende Cybersicherheitsbedrohung. Primärquelle: capterra.com (2023 Survey Report).
• SEEBURGER Blog, “Shadow IT: Wie Integration ein Risiko zur Chance macht”: Ca. 55 % der entdeckten Schatten-IT-Systeme sind prozessrelevant — der eigentliche Prozessablauf hängt an ihnen. Quelle: blog.seeburger.com.
• i3solutions, “Excel to Power Platform Migration in 90 Days”: Mid-size enterprise avoided $150K annual risk exposure by replacing business-critical Excel macros with governed Power Platform solutions before key employee retirement. Quelle: i3solutions.com/power-platform-software-development/excel-to-power-platform/ (abgerufen April 2026).
• Varonis Vendr Marketplace Pricing (2025): Varonis-Vertragsvolumen im Schnitt ca. $57.589 (ca. 52.000 €). Quelle: vendr.com/marketplace/varonis.
• Microsoft Purview Pricing: Im M365 E3-Plan (ca. 33 €/Person/Monat) enthalten. Quelle: microsoft.com/de-de/security/business/microsoft-purview (Stand April 2026).
• § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmungsrecht des Betriebsrats bei technischen Einrichtungen zur Verhaltens- und Leistungsüberwachung — Standardrechtslage Deutschland, gültig für alle Discovery-Projekte mit Aktivitätslog-Auswertung.

Du willst wissen, welche Schattenprozesse in eurem Unternehmen gerade kritisch sind — bevor die nächste ERP-Einführung startet oder der nächste Schlüsselmensch das Haus verlässt? Meld dich — das klären wir gemeinsam in einem kurzen Gespräch.