users lounge

Der Podcast für mehr IT-Sicherheit

#32 IT-Compliance Abschluss

Maßnahmen umsetzen, Prozesse leben, Sicherheit nachhaltig verankern

06.12.2024 65 min

Zusammenfassung & Show Notes

Compliance muss gelebt werden – nicht nur dokumentiert. Wir zeigen, wie klare Richtlinien, Verantwortlichkeiten und Technologie zusammenwirken, um Sicherheit und Transparenz zu schaffen. Externe Partner, regelmäßige Schulungen und integrierte Systeme spielen dabei eine zentrale Rolle. Ein Blick auf Praxis und Zukunft.

Warum klare Dokumentation in der Compliance über Erfolg oder Misserfolg entscheidet
Die sorgfältige Dokumentation von Compliance-Richtlinien ist keine bloße Formalität, sondern der Grundstein für eine erfolgreiche Unternehmenskultur. In dieser aufschlussreichen Episode diskutieren wir die essentiellen Bausteine effektiver Compliance-Dokumentation
  • Zweck und Zielsetzung
  • Geltungsbereich
  • Grundsätze der Compliance
  • Verantwortlichkeiten
  • Regeln und Vorgaben
  • Schulung und Sensibilisierung
  • Überwachung und Kontrolle
  • Umgang mit Verstößen
  • Dokumentation und Archivierung
  • Überprüfung und Aktualisierung
  • Genehmigung und Kommunikation

Wichtig, aus unserer Sicht, ist ein pragmatische Ansatz zum Umgang mit Schwachstellen: Statt Fehler anzuprangern, plädieren wir für eine konstruktive Fehlerkultur und kontinuierliche Verbesserung.

🎧 Tauche in die Welt professioneller Compliance-Dokumentation ein und erfahren, wie Du Deine Unternehmensrichtlinien zukunftssicher gestalten kannst. Jetzt reinhören!

Transkript

Michael
00:00:30
So, da müssen wir jetzt noch aufpassen, was wir sagen, die Kamera läuft, die Aufnahme auch.
René
00:00:36
Seit wann müssen wir deswegen aufpassen? Ich wollte gerade sagen... Was würden wir sonst irgendwann aufpassen?
Michael
00:00:41
In diesem Sinne, hallo und herzlich willkommen zum aktuellen users lounge Podcast. Mit diesem Podcast schließen wir unsere Serie zu Compliance ab. Auf der einen Seite geschafft, auf der anderen Seite werden wir wahrscheinlich noch viel mehr reden können. Mit bei mir heute ist wieder René, guter René. Moin Michael. Grüß dich.
René
00:01:02
Moin in die Runde natürlich.
Michael
00:01:05
So, wir haben heute oder du hast für heute auf der Agenda stehen, wir reden das letzte Mal über das Thema Compliance und ohne, dass ich das Skript jetzt intensiv gelesen habe und ohne, dass ich tiefer im System drinnen bin, ich bin mir sehr sicher, ein Thema haben wir noch nicht besprochen und zwar der leidige Punkt der Dokumentation und von Richtlinien und Aufbauen und wie ich das Ganze formal dann auch ins Unternehmen reinbringe. Ich meine, das wäre da genau das Thema gewesen, was du für heute auf dem Plan hast.
René
00:01:33
Genau, endlich schließen wir es ab, nicht, weil das Thema uninteressant ist, sondern weil wir jetzt heute wirklich mal einmal auf den Bereich wirklich eingehen, wie sieht so eine Compliance wirklich im Detail aus. Wir haben jetzt das letzte Mal immer darüber gesprochen, was kann man in so eine Compliance schreiben, also welche Bereiche der Compliance gibt es da auch und diesmal geht es halt wirklich darum, wie sieht der Aufbau einer Compliance aus und damit beschließen wir es dann heute auch.
Michael
00:02:02
Ja, sehr gut. Wie gesagt, wir hätten wahrscheinlich noch oder können noch Monate füllen mit dem Thema, mit dem Inhalt, aber ich glaube für heute ist es ganz wichtig, wenn wir uns mal strukturiert das Thema Compliance und wir reden mal über so einen Aufbau, wie sowas aussieht. Ich meine, wenn ich auf Normativen komme, rede ich von Prozessen und von Richtlinien und von Vorgabedokumenten, Compliance in dem Moment, ja.
René
00:02:26
Ja, genau. Ja, und ich glaube, es ist auch mal Zeit für was Neues. Es gibt auch so viele Dinge, über die wir reden können, deswegen müssen wir es auch mal beenden irgendwann. Ja. Jetzt haben wir ja letztes Mal schon ein anderes Thema zwischengeschoben, aber um da einfach auch mal auf den Punkt zu kommen, damit wir da auch wirklich einen Punkt machen können. Genau. Ja, zumal, man soll ja mit diesen Infos danach auch was anfangen können, wenn wir jetzt die ganze Zeit drüber reden, wofür man es machen kann, aber nie wie man es macht. Ja. Ja. Da hat man viel gehört, aber ja.
Michael
00:03:05
Wir haben ja auch die ganzen letzten Folgen, oder wenn wir über das ganze Thema reden, reden grundsätzlich über eigentlich alle Themen, auch wenn wir Datenschutz und Managementsysteme nehmen. Das eine ist das gesprochene Wort und wie ich mir das vorgenommen habe und yippie und so wollen wir es in unserem Unternehmen umsetzen, aber am Ende musst du es, zumindestens das Wichtige und die Basics, an irgendeiner Stelle strukturiert so gespeichert haben, als Dokument, als Information, in einem Konfluenz, in irgendeiner Software oder ganz primitiv in einem Word-Dokument, dass du einfach das, was du tust, auch aufschreibst, damit jeder weiß, was gemeint ist und dass eine gewisse Klarheit herrscht und dass du dich auf diese Information zurückwerfen kannst und dass es nicht irgendwann in einem halben Jahr heißt, ja, da war mal was, wir haben mal irgendwas besprochen, ich kann mich aber nicht mehr ganz genau erinnern, woran es war und wie wir es wirklich hatten und du dann irgendwelche Sachen machst, die halt einfach so nicht gewollt waren und einfach so nie besprochen waren. Das heißt, so gut Deutsch, schreib es auf, dann weißt du es in der Zukunft auch und hast es sicher aufgehoben. Genau. Da kommt es halt schon. Ich meine, dann hast du halt schon das Thema, der Cliffhanger zum Anfang und wenn du es eben nicht sauber aufschreibst, dann ist halt schneller mal was passiert, weil Unklarheit im Unternehmen herrscht, wie es gemeint war.
René
00:04:23
Definitiv. Deswegen, also wahrscheinlich macht es auch Sinn, dass wir jetzt, du hast es ja gerade schon so angeschnitten, dass wir genau in diesen Bereich reingehen, dass wir mal einfach jetzt schauen, wie der Aufbau ist. Also grundsätzlich in so einem Dokument sollte natürlich, und das ist das, was ich gerade gemeinte, dass du es ja schon angeschnitten hast, grundsätzlich sollte dem ganzen Ding vorweg gehen immer erst mal, was ist die Aufgabenstellung beziehungsweise die Zielsetzung? Wir haben ja ein paar Mal drüber gesprochen, es gibt ja unterschiedliche Bereiche dabei, eben diese drei Säulen, von denen wir immer gesprochen haben, der unternehmensinterne Rahmen, Unternehmensexterner Rahmen und eben der rechtliche Rahmen und das muss man auf jeden Fall dann definieren. Warum machen wir das Ganze und wo wollen wir mit dem Ganzen hin?
Michael
00:05:17
Genau, das ist, wenn wir über so eine Compliance-Richtlinie reden, ist das das Wichtigste, womit du anfängst. Warum erstelle ich jetzt das Dokument? Was will ich mit diesem Dokument bezwecken? Also was ist der Zweck und was ist das Ziel von diesem Dokument? Genau. Mit diesem Dokument möchten wir eine eindeutige Regelung zur Verwendung von Passwörtern treffen, klar definierter Zweck und klar definiertes Ziel, um es in einem Satz ganz kompakt reinzupressen.
René
00:05:48
Ja, da gibt es auch Beispiele für, jetzt mal abgesehen davon, wie wir gerade gesagt haben, schon gesetzliche Vorschriften natürlich, also Datenschutzbestimmungen, Arbeitsgesetze und so weiter. Es gibt darüber hinaus dann auch Punkte, zum Beispiel Förderung ethischem Verhaltens, also Compliance lässt sich halt wirklich in viele Bereiche stricken und da gibt es ganz, ganz viele Punkte. Schutz des Unternehmens vor Haftungsrisiken und so weiter und so fort. Also das ist das, was eben genau in diesen ersten Schritt sofort mit rein muss, damit da am Anfang klar definiert ist, wozu machen wir das Ganze. Ja, das ist wichtig. Der nächste Schritt, Geltungsbereich. Ja. Wofür ist das Ganze eigentlich da? Also das ist nicht das Ziel, sondern für wen gilt diese Compliance? So das, was wir erstellt haben. Es gibt ja bestimmte Gruppen im Unternehmen, für die das überhaupt zutreffend ist. Das sind ja nicht alle. Sag mal, wenn ich jetzt eine IT Compliance erstelle, dann sind damit sicherlich nicht mein Hausmeister, meine Reinigungskraft gemeint, sondern wirklich die, die halt mit den entsprechenden Systemen arbeiten. Und das wird niedergeschrieben.
Michael
00:07:03
Genau, aber das setzt voraus, ich bin immer wieder... Das setzt aber voraus, dass du für den Geltungsbereich sauber definiert hast, welche Rollen du im Unternehmen hast. Ja, natürlich.
René
00:07:15
Sonst kannst du es nicht niederschreiben.
Michael
00:07:16
Ja, deswegen sage ich es. Im Geltungsbereich steht halt nicht drinnen für Hans Müller und Lieschen Meier, sondern im Geltungsbereich steht drinnen für die Personalabteilung, für die IT-Abteilung, für die Entwicklungsabteilung, für die Geschäftsleitung, für whatever, sondern da stehen halt wirklich Abteilungen drinnen, Rollen im Unternehmen. Und so pauschal, wie es sich einige Unternehmen machen, weißt du, wie viele Compliance oder wie viele Richtlinien du so im Monat unter die Nase kriegst von Unternehmen, aber wenn ich da schon immer lese, Geltungsbereich Gesamtes Unternehmen. Das ist schon schwierig. Ja, ein bisschen kreativer. Also ich sage mal, so eine Onboarding-Richtlinie oder eine Bewerberrichtlinie ist jetzt gewiss nicht für die Entwicklungsabteilung gedacht, selbst wenn da oben Gesamtes Unternehmen drinsteht, sondern da ist wirklich, wie gesagt, wichtig, wenn man sich so eine Richtlinie aufsetzt, dass man sich ganz klar Gedanken macht, wer ist für so eine Richtlinie der Empfängerkreis und wer muss damit wirklich arbeiten und wer nicht. Das, finde ich, ist eine ganz essentielle Sache und das triggert das Unternehmen, sich einfach Gedanken zu machen für das Recht und Rollen im Unternehmen. Immer wieder Running Gag.
René
00:08:33
Genau. Ja, und das sind ja auch nur die Personengruppen. Das Ganze geht ja eigentlich noch weiter. Also wenn du jetzt zum Beispiel im Konzern bist, dann sagst du auch noch, für welche Niederlassungen. Warum ist es nur in Deutschland? Ist es europaweit? Ist es weltweit? Also da würde man wirklich den Kreis immer enger ziehen. Also erstmal von global gesehen dann immer enger schnüren, bis man da ankommt, wo man eigentlich hin will. Genau.
Michael
00:08:58
Du bist vollkommen auf der richtigen Seite. Wenn du unterschiedliche Standorte hast, gibst du da auf jeden Fall, fängst von global nach immer feiner an, dann gibst du auf jeden Fall den Standort ein. Standort und dann die Abteilung. Du wirst dann an der Stelle granularer, dass du es einfach immer mehr einschränkst. Es gibt Richtlinien für die Compliance, die gelten an allen Standorten. Es gibt Richtlinien, die gehen nur für einen Standort. Es gibt welche, die passen auch wirklich für alle. Es gibt wieder welche, die sind nur für die IT oder nur für die Personalabteilung. Die Mühe sollte man sich schon machen, wenn man den Zweck festgelegt hat, warum man das tut, dass man auch sagt, für wen man das tut an dieser Stelle.
René
00:09:39
Gehört sich so. Muss man tun. DSGVO ist ja ein gutes Beispiel. Wenn man jetzt wirklich global unterwegs ist, international, dann hat man natürlich eine Compliance, die eben nur für Europa da ist, damit eben da diese Dinge abgeliefert werden. Also einen Teil davon sollte man dann so machen. Ich sage mal eine E-Mail-Eiche, warum brauchst du in anderen Ländern nicht zwingend? Ja. Es sei denn, du schreibst dir das als Unternehmen auf die Fahne.
Michael
00:10:08
Ja, Vorsicht. Es gilt schon das Marktort-Prinzip bei der DSGVO. Das heißt, die Unternehmen, die dort in Europa EWR-Waren und Dienstleistungen anbieten, wo personenbezogene Daten verarbeitet werden, müssen sich der DSGVO fügen, auch wenn sie nicht aus der EU sind. Also der Geltungsbereich, da gilt schon, das biete ich an und nicht, wo komme ich her. Das ist ja der Grund, warum es so ein bisschen tricky in der ganzen Nummer drin ist, auch mit USA und Hashtag nicht gesehen. Ja, okay. Aber das nur so am Rande für all die, die sehr tief in der Materie drin sind und jetzt aufschreien und sagen, oh, der René hat gesagt, wenn ich nicht in Europa bin, brauche ich die DSGVO ohne zu berücksichtigen. Aber vollkommen bei dir. Wenn ich eine Compliance aufstelle für solche Dinge und eine Compliance aufstelle für Archivierung oder sonstige Dinge, muss ich mal einfach überlegen, für wen gilt es. Und wenn ich einen Standort in den USA habe, einen in Frankfurt, einen in den USA und wegen mir noch einen in China, dann muss ich mir schon überlegen, welche Gesetze gelten denn an welchem Ort und welche Richtlinien muss ich denn da wirklich einhalten, um Compliance zu den national gültigen Gesetzen zu sein und gegebenenfalls zu den Gesetzen in den Ländern, wo ich aktiv bin. Genau.
René
00:11:21
Ja, und ich habe das jetzt gerade, du hast natürlich recht, ich habe das gerade so ein bisschen aus einer anderen Brille gesehen.
Michael
00:11:25
Natürlich.
René
00:11:26
Es gibt, ja nee, aber es ist ja immer die Frage, welches Unternehmen man vielleicht auch gerade so ein bisschen im Hinterkopf hat. Wenn du einen Konzern hast, der überall kleine Einzelunternehmen sitzen hat, dann sind die Richtlinien da natürlich ein bisschen anders aufzufassen, weil die Einzelunternehmen dann natürlich nur das nationale Recht berücksichtigen müssen, solange die Daten nicht zusammengeführt werden. Genau. Das war so ein bisschen mein Hintergedanke, ja unglücklich ausgedrückt, aber du hast es ja auf dem Punkt gemacht. Das ist gar kein Problem.
Michael
00:11:56
Dafür sind wir beide sehr nerdig unterwegs, wenn ich das so sagen darf, als dass wir auf solche Feinheiten achten und uns dann auch gerne mal greifen an dieser Stelle.
René
00:12:07
Genau. Und jetzt mal abgesehen von Standorten von Personen gilt das Ganze genauso für spezielle Systeme, genauso für Prozesse, auch für Datensätze. Dafür lassen sich natürlich auch Compliance definieren, die eben nur für einen bestimmten Teil da sind. Bestes Beispiel, ich denke, sowas wie Bewerbermanagement. Da ist die Richtlinie eine etwas andere wie mit anderen Daten, die ich im Unternehmen selbst erstellt habe oder sonst was, weil da zum Beispiel der gesetzliche Faktor wieder mit rein spielt.
Michael
00:12:49
Gerade Personalprozesse sind, glaube ich, so Klassiker, die du nehmen kannst. Das ist für den dedizierten Kreis und für die Personalabteilung oder die, die das Bewerbermanagement dann machen in größeren Prozessen und Unternehmen. Die haben garantiert andere rechtliche Voraussetzungen, andere rechtliche Grundlagen und die sind detaillierter zu betrachten und fokussierter zu betrachten wie jetzt in irgendwelchen anderen Bereichen, irgendwelche anderen Dinge. Also gerade das, da hast du das Gleichstellungsgesetz noch mit dabei, da sind die DSG4O auf jeden Fall drin, dann hast du deine Unternehmensrichtlinien drin, da reden wir über Aufbewahrungsrichtlinien, abgelehnte Bewerber, Bewerberpool etc. Da spielt halt schon eine gewisse Musik drin, aber halt für einen eingeschränkten Bereich im Unternehmen.
René
00:13:39
Weiter geht es mit den Grundsätzen der Compliance. Das heißt, darin werden die grundlegenden Prinzipien des Unternehmens aufgelistet. Beziehungsweise dargestellt, die halt wirklich in allen Prozessen dann berücksichtigt werden müssen. Das hatten wir, glaube ich, schon ein paar Mal gesagt. Man sollte halt immer irgendwie gucken, dass man nicht nur die rechtliche Schiene bedient, sondern sich wirklich auch selbst vertritt in diesen ganzen Sachen. Die eigenen Werte da halt auch und die eigenen, ja, ich meine, die Ziele hat man vorher definiert, aber man muss halt immer im Hinterkopf haben, dass es mit dem eigenen auch vereinbar ist. Und darauf setzen dann eben so Punkte auf. Integrität ist da ein Punkt. Das heißt, wirklich alle Tätigkeiten sollen ehrlich sein, also sollen ehrlich erfolgen. Es macht gar keinen Sinn, sich anzulügen. Ich weiß aber, einige Unternehmen neigen dann dazu, es kommt ja auch immer darauf an, wer schreibt diese Compliance und wird dann gefragt und sagt dann zur Sicherheit so, ja, haben wir, machen wir. Auch wenn dem nicht so ist, das kommt immer mal wieder vor, aber es macht halt keinen Sinn. Weil am Ende des Tages soll die Compliance ja genau dazu führen, dass wir es dann in Zukunft anders umsetzen. Um es genauso zu machen wie bisher, braucht man sie sicherlich nicht. Nein.
Michael
00:15:05
Es sei denn, du machst vorher schon alles richtig, dann hast du es ja zur Dokumentation. Okay. Ja, sorry.
René
00:15:11
Selten.
Michael
00:15:12
Selten, selten, selten der Fall. Nein, du solltest das schon betrachten. Wir haben ja grundsätzlich, wenn wir in Informationssicherheit unterwegs sind und sind hier in dem Thema unterwegs, immer so die drei Schutzziele, Vertraulichkeit, Verfügbarkeit und Integrität. Und das leitest du dir schon irgendwo ab und du bestimmst dann halt auch, warum du diese Compliance jetzt einmachst. Mit dieser Compliance erhöhen wir die Vertraulichkeit, mit dieser Compliance erhöhen wir die Verfügbarkeit im Unternehmen oder diese Compliance berücksichtigt etc. pp. Und da gehört dann halt auch dazu, dass du logischerweise, wenn du gefragt wirst oder wenn du in irgendeine Sache reingehst, natürlich kannst du nur von den Compliance sprechen, die ihr auch wirklich im Unternehmen habt und nur von den Daten oder von den Informationen von ausgehend, die entsprechend als dokumentierte Informationen, sprich als Compliance zur Verfügung stehen und nicht irgendwas, was du dir jetzt gerade ausgedacht hast.
René
00:16:03
Ja, deswegen, das meine ich. Manchmal sieht man solche Dokumente, bei Kunden sieht man das auch immer mal wieder. Vorher stellt man Fragen und dann, naja, das haben wir und so machen wir das und dann guckst du dir dieses Thema an und dann, nee, das macht ihr nicht so. Das hättet ihr vielleicht gern so, aber so ist es nicht. Deswegen, ich sage es nur, ja.
Michael
00:16:25
Das sind aber Klassiker. Wenn wir beim Auditieren reingehen oder gehen ins Überwachen und ins Kontrollieren rein, das sind aber so Klassiker, wo du dann einfach sagst, wie macht ihr es denn? Ja, ja, machen, haben wir schon immer so gemacht und dann sage ich, seit wann ist denn immer, seit letzter Woche Donnerstag. Das liegt in der Natur des Menschen und da liegt aber dann auch, liegt aber dann auch bei mir der Fokus drauf, dass ich das nicht verurteile bzw. da keinen Sprick draus drehe oder sonst irgendwas schon immer sage. Ihr habt erkannt, dass ihr Handlungsbedarf habt. Ihr habt was geändert, ihr habt schon was angepasst. Ja, es ist zwar erst seit letzter Woche so, blöd genug, nicht, dass es schon seit den letzten fünf Jahren so war, aber immerhin, ihr habt jetzt angefangen und ihr bewegt euch in die richtige Richtung. Ihr habt euch ja selbst erkannt und verbessert euch selber. Und das sind immer so Sachen, die man mit rücksichtigen muss, an solchen Stellen. Aber an der Nase rumführen, bei dir im IT-Unternehmen, bei mir in der Auditor-Funktion, lasse ich mich dann halt auch nicht. Wenn ich da merke, dass da irgendwie irgendein Voodoo erzählt wird und dass da irgendein Kauderwelsch rauskommt, dann kann ich da auch schon bohren und dem Gegenüber deutlich aufzeigen, dass ich verstehe, dass er mich jetzt versuchen will zu neppen. Das muss man freundlich ausdrücken.
René
00:17:37
Ja, ich meine, am Ende des Tages bringt es sowieso nichts, irgendwie zu sagen, hier, du hast... Das ist ja totaler Quatsch. Ich meine, in dem Augenblick, wo du da reinkommst oder ich da reinkomme, ist es ja so, dass sie ja wirklich einen Bedarf haben, das selber für sich erkannt haben, und dann sind wir ja an der Stelle. Also von daher soll jetzt hier nichts Schlechtes heißen. Ich kann das ja nachvollziehen. Es ist ja ganz oft so, dass man ja beim eigenen Unternehmen dann dazu neigt, dann vielleicht mal zu sagen, ja. Weil man selber auch für sich erkannt hat, gerade peinlich, ja tapf, warum auch immer. Das kann ja passieren. Also ich will das gar nicht schlechtreden. Nein, nein, nein.
Michael
00:18:16
Und viel öfters habe ich aber auch die Situation, dass, ich sage jetzt einfach mal, ein IT-Leiter oder einer aus der IT-Abteilung oder ein anderer QMler oder whatever mir gegenüber sitzt und seinen Prozess mit voller Inbrunst verteidigt, weil der so auf dem Papier steht und er, so habe ich ihn ins Unternehmen eingebracht. Und dann kommt der an irgendeine Stelle dran und dann wird es komplett anders da gelebt, komplett anders da gemacht oder sonst irgendwas. Der sagt einfach, oh, gut, dass mal ein Externer geguckt hat, gut, dass mal ein anderer, also ein Dritter geguckt hat, gut, dass mal einer gebohrt hat. Da haben wir ja wirklich ein Delta, beziehungsweise haben wir ja was, wo wir besser werden können. Das ist jetzt eher was Positives. Also das ist, willst ja wachsen.
René
00:18:59
Michael, wir kennen die Situation auch, wenn du zu mir kommst. Ich brauche ja jetzt nicht drumherum reden. Es ist ja nicht so, dass wir nichts gemacht haben, um Gottes Willen. Wir haben einiges auf dem Zettel stehen. Aber Michael fragt dann natürlich auch mich immer mal wieder. Habt ihr das eigentlich zu Papier gebracht? Nee, gerade noch nicht. Also das sind dann immer Kleinigkeiten. Aber dennoch, auch uns passiert das. Aber dafür haben wir ja eben Michael, der uns da mit der Nase noch mal reindrückt, damit wir das eben erledigen. Das ist ja völlig normal. Und es ist gerade umso größer das Unternehmen wird, gibt es ja auch immer mehr Compliance, die man quasi oder Richtlinien hat. Und entsprechend kann ich dann noch umso mehr verstehen, wenn da mal der eine oder andere Punkt nicht auf Andi klar ist. Aber daran arbeitet man halt. Aber wichtig ist, dass man halt wirklich da auch, wenn man in diesen Prozess reingeht mit dir, dass man da auch ehrlich ist.
Michael
00:19:56
Ja, du hast jetzt bei mir das Thema genannt, aber das ist ja bei euch im Prinzip das Gleiche. Wenn du bei irgendwo einen IT-Audit machst und fragst nach unterschiedlichen Servern ab und Kram und die haben irgendwo in der Ecke noch einen Windows 98 Server oder Windows 95 Server im Netz hängen, weil da noch irgendeine Software von Arno Tupac draufläuft und die dir das nicht erzählen, wie willst du dann das Unternehmen dicht machen und wie willst du dann entsprechend die IT-Sicherheit gewährleisten. Also es macht überhaupt keinen Sinn. Genau. Okay, so.
René
00:20:29
Vertraulichkeit, Michael, Vertraulichkeit. Schutz sensibler Daten und Informationen. Ganz sicher auch ein Punkt dabei. Also gehört mit in die Grundsätze. Das sollte man halt wirklich immer mit berücksichtigen. Dann Rechtskonformität. Also Einhaltung Gesetze. Ich meine, klar, wenn man jetzt sowieso vorhat, für den gesetzlichen Rahmen da was zu schreiben und zu Papier zu bringen, klar, dann ist das ein Punkt. Aber selbst wenn das eigentlich nicht der ausschlaggebende Faktor ist, dass ich eine Compliance erstelle, sollte man es mit berücksichtigen. Und Nachhaltigkeit. Man sollte halt immer gucken, das ist wirtschaftlich, sozial, ökologisch, dass immer so diese Punkte, die man da halt selber für sich berücksichtigen möchte, dass sie auch niedergeschrieben werden. Es gibt ja durchaus auch, nehmen wir mal an, man würde jetzt sehr, sehr auf Nachhaltigkeit setzen. Also sprich, dass wir wirklich Green IT in den Vordergrund stellen. Dann ist es ja durch oder wir würden jetzt, was weiß ich, Digitalisierung ganz, ganz nach vorne hängen, weil wir sagen, okay, wir möchten jetzt die Natur nicht belasten, kein Papier, kein Solaraufsdach und wie auch immer. Es muss halt irgendwann mal niedergeschrieben werden, weil das hat ja nachher auch, man muss ja einfach sagen, initiale Kosten bringt das ja eher mit sich, als die herkömmlichen Prozesse. Ich meine, da kann man nicht immer sagen, das ist auch keine pauschale Aussage, aber es kann halt dazu führen, dass die Kosten höher liegen, wenn man jetzt eine Technologie einführt. Und wenn dem so ist, ist es aber durch die Compliance dann auch gerechtfertigt. Man hat ja vorher sich das auf die Fahne geschrieben.
Michael
00:22:01
Genau, aber auch nur, und auch das jetzt wieder, da könnte man sich die Frage stellen, was hat der Hinweis zu der Nachhaltigkeit in dieser Compliance-Richtlinie zu tun? Ist im Prinzip ganz einfach. Wenn ich die Richtlinie erstelle, die ausgelegt ist auf geringen CO2-Fußabdruck etc. pp., auf irgendwas, was ich mir gegeben habe, dann sollte ich das da schon reinschreiben, weil da sicherlich Dinge drinstehen, die anders oder auf einem anderen Weg günstiger zu realisieren wären oder einfacher wären, und bevor die Nachfragen kommen, warum genau so und nicht anders da, und das Ganze wieder in Frage gestellt wird, nee, nee, das machen wir aus einem bestimmten Grund so, nämlich weil. Und dann geht halt das da oben rein, weil wir eben auch Nachhaltigkeit betrachten an dieser Stelle. Und dann argumentierst du ganz sauber dadurch, und dann macht es wesentlich mehr Sinn.
René
00:22:51
Ja genau, also das ist ja, also die drei Punkte zum Beispiel, die ich gerade genannt hatte, also wenn du jetzt alleine schon wirtschaftlich und ökologisch zum Beispiel nimmst, stehen ja manchmal schon konträr. Und dafür ist es ja genau richtig, wenn man es vorher festlegt und sagt, okay, mein Fokus liegt aber da, deswegen bin ich auch bereit, mehr zu investieren. Dafür habe ich aber das erreicht, was wir uns wirklich auf die Fahne geschrieben. Genau. Ja, Verantwortlichkeiten ist der nächste große Punkt. Verantwortlichkeiten, ich glaube, da brauchen wir gar nicht so viel zu sagen. Das ist ja eigentlich völlig klar. Also da ist wirklich, damit ist dieser Bereich gemeint, wer ist zur Umsetzung derjenige, also wer ist verantwortlich für die Umsetzung und nachher auch zur Überwachung. Also es reicht nicht, einfach zu sagen, okay, wir haben es jetzt einmal gemacht. Irgendjemand muss auch dafür sorgen, am besten nicht nur einer, muss auch dafür sorgen, dass das auch eingehalten wird. Weil sonst kann ich mir aufs Papier schreiben, was ich will, bringt gar nichts.
Michael
00:23:51
Ja, ich musste gerade schmunzeln, wie du gesagt hast, das haben wir leicht gemacht. Ich versuche das gleich, gerade mal leicht und schnell abzuklären. Also was wichtig ist, du musst auf jeden Fall für so einen Prozess oder für so eine Compliance, brauchst du einen, der den Hut auf hat. Du brauchst einen Verantwortlichen für die ganze Kiste. Dann musst du aber auch einen haben, der es überwacht. Und wir sind ganz klassisch, wenn wir in der ISO unterwegs sind oder sind im Management-System drin und du brauchst ganz klassisch einen, der das Ding, also irgendeiner erstellt es und dann prüft es einer und dann gibt es einer frei. Und üblicherweise muss das durch differenzierte Abteilungen laufen und von getrennten Personen überwacht und bei der Erstellung schon kontrolliert werden, dass halt nicht einfach irgendeiner irgendeine Kritze da reinschreibt, wovon er von Tunden und Blasen keine Ahnung hat oder irgendwas übersieht oder irgendwas falsch macht. Von daher muss das schon mal mindestens durch vier Augen drüber gehen. Und am Ende hast du, wenn wir ganz klassisch in so ein Organigramm gucken oder gucken wir ganz klassisch in so ein Unternehmen rein, hast du sehr wahrscheinlich eine Geschäftsführung, eine Geschäftsleitung, die oben drüber liegt, die das tragen darf, was da drin steht und logischerweise die Kosten auch nimmt und das als letzte Verantwortungsperson im Unternehmen die Freigabe für das Ganze geben muss. Das ist eine super wichtige Sache und das muss halt auch in so einer Compliance-Richtlinie klar beschrieben sein. Wer ist verantwortlich für den Prozess? Wer darf den Prozess freigeben? Und dann nachher auch, kommen wir gleich zu, wer es halt eben lesen darf und bearbeiten darf oder zur Kenntnis nehmen muss, wenn sich da was getan hat. Und das ist, glaube ich, gar nicht so einfach, weil du, wenn ich nochmal tief rüberkomme und auf so Compliance-Sachen rüber, wer kann denn so eine Compliance-Richtlinie erstellen? Bleibt bei dem Personalkram. Wer darf es denn erstellen? Beziehungsweise wer prüft denn, ob das, was da drin steht, das Richtige ist und wer gibt es denn nachher frei? Das wird wahrscheinlich nicht alleine Lieschen Müller sein, die im Unternehmen Personal macht. Das wird sehr wahrscheinlich auch nicht der IT-Administrator sein, der weiß, wie die Software-Systeme laufen, sondern da muss halt einer dran, der die irgend genannten Punkte, was du gerade schon gesagt hast, mit Einhaltung von rechtlichen Vorschriften, Vertraulichkeit, Integrität, Verfügbarkeit, den ganzen Zermorn, den wir eben gerade gesprochen haben, der sicherstellt, dass das eben eingehalten wird. Und da brauchst du schon kompetentes Personal und musst, je nachdem, wenn du vor dir hast und wenn was crasht, nativ gewühlt wird, die Kompetenz auch entsprechend nachweisen können an der Stelle. Und das ist tricky, finde ich.
René
00:26:40
Ja, das ist so. Aber das ist halt ein Zusammenspiel aus diesen Gruppen, um dann nachher auch das beste Ergebnis zu kriegen. Genauso ist es auch, da können ja noch externe Partner dazukommen, die man eben vertraglich da auch mit einbindet. Ja, dann wird es ganz wild. Ja, aber ist ja nicht unüblich.
Michael
00:27:04
Nein, aber in dem Moment, wo du in der Richtlinie externe Partner mit drin hast, musst du ja auch wieder schreiben, ist der Partner überhaupt geeignet, diese Aufgabe zu erfüllen, die ich ihm zuweise in der Compliance? Und wer überwacht den Dienstleister, der das tut? Also wer ist kompetent zu beurteilen, wenn ich dich beauftrage, meine IT zu administrieren? Ja, wie stelle ich sicher, dass du kompetent bist, dass du meine IT überhaupt administrieren kannst? Und wie kann ich das geeignet überwachen, dass du keinen Schindluder treibst in dem Moment, wo du es machst? Also einfach, wie kann ich gucken, dass du es richtig machst? Und das sind halt einfach so Sachen, die müssen halt im Unternehmen auch klar definiert werden. Und da gehören halt dann auch vernünftige Service Level Agreements, Verträge, je nachdem, welchen Dienstleister du hast. Wenn wir uns im Datenschutz bewegen, hast du auch V-Verträge etc., PP, das ist Lieferantenmanagement und Dienstleistermanagement. Das muss aber irgendeine Überwachung und eine Kontrolle haben und das muss entsprechend auch geregelt sein.
René
00:28:08
Ja, dafür Compliance, ne?
Michael
00:28:10
Genau, genau dafür Compliance und halt eben runter schreiben. Wir arbeiten mit einem externen Dienstleister zusammen, der externe Dienstleister hat die Verantwortung über das Backup. Die Auslagerung der Verantwortung ist geregelt über Service Level Agreement 4738 vom 3. Herbst 96. Dass das genau klar ist, wo es steht, wie es gemacht ist und dass der Vertrag, auf den ich referenziere, auch unterschrieben und rechtsgültig ist. Wie oft sehe ich es in Audits, dann sagen die, ja wir haben mal mit denen einen Vertrag geschlossen, da fehlt jede Unterschrift. Weil irgendwann mal PDFs hin und her gegangen sind, aber kein Mensch sich mal beide Kopien abgelegt hat oder mal eine Kopie, also das Ergebnis in beiden Unterschriften hingelegt hat. Wenn es da Crasht und wenn es da in die Diskussion geht und ich habe einen nicht unterschriebenen Vertrag vorliegen, je BIA Schweinebacke, dann kann ich anfangen und dann komme ich ins Schwimmen. Das sind so Dinge, wo ich einfach...
René
00:29:03
Ja, man weiß ja auch nicht, also das Schwierige dabei ist, nehmen wir mal an, also ich kenne ja unser Vertragswerk, so bei uns ist ja jetzt klar, wir haben Verträge mit den Kunden, aber nehmen wir mal an, da würde jetzt was nicht unterschrieben werden. Dann wird der Vertrag ja trotzdem gültig, wenn man mehrmals hintereinander bezahlt als Kunde, dann ist der Vertrag ja trotzdem wirksam. Das Problem ist aber, dass du ja gar nicht weißt, wie sieht denn der Leistungsumfang oder wie sah er zum Zeitpunkt der Vertragsschließung denn aus, weil diese Daten liegen ja nicht vor. Das ist halt echt schwierig.
Michael
00:29:44
Ja, und ich würde mich halt auch ungern auf diesen Rechtsstreit einlassen wollen. Wenn ich mit dir einen Vertrag abschließe, dann will ich den unterschriebenen in der Schublade liegen haben und nicht irgendeinen Vertrag haben, dass wenn es Crasht und ich gehe an dich ran und ich sage dir, pass auf, wir hatten doch vereinbart, du wolltest dich doch ins Backup kümmern, du sagst, hey, wo haben wir denn den unterschriebenen Vertrag? Und dann sage ich, naja, aber ich habe dir fünfmal Geld gegeben, also wird es wohl irgendeinen Vertrag, Rechtsgültigkeit haben und wir wissen dann überhaupt nicht mehr, worüber wir reden. In die Diskussion will ich ja gar nicht rein. Ich würde da einfach nicht rein, abgesehen davon, dass das jetzt echt ein fiktives Beispiel ist. Bei dir weiß ich es, die Bude rennt und es funktioniert und ich müsste mir keine Gedanken machen. Aber nichtsdestotrotz haben wir auch schriftliche unterschriebene Verträge gegeneinander vorliegen, weil das regelt man im Guten, dann weiß man, wenn es Crasht, kann man vernünftig miteinander umgehen.
René
00:30:34
Und wenn man gute Services hat, dann legt man die Verträge auch gerne vor, ist kein Problem.
Michael
00:30:39
Aber wie gesagt, kleiner Ausflug in Vertragswerk und Lieferantenmanagement, das muss man sich halt angucken. Hat man wirklich dritte externe Parteien, die sich um den Prozess, um diese Richtlinie kümmern oder mitspielen oder ganz Sachen ausgelagert haben, wie Backups oder Support, dann muss das Vertragswerk einfach passen. Es geht nicht anders da.
René
00:31:01
Nächster Punkt, Regeln und Vorgaben. Ich glaube, da kommen wir dann jetzt so langsam ins Eingemachte. Ich meine, klar, vorher schon ein paar Sachen definieren, ist klar. Aber da ist es halt jetzt wirklich so, diese Regeln, die können natürlich, oder meine Vorgaben, die ich in dieser Compliance quasi erstelle, die können natürlich je nachdem, was ich vorhabe, variieren. Aber was halt wichtig ist, die müssen immer konkret sein und umsetzbar sein. Das ist halt sehr entscheidend. Also es macht keinen Sinn, da abstrakte Sachen reinzuschreiben, die man nicht erreichen kann. Also es müssen immer Dinge sein, die man wirklich dann, nachdem diese Compliance erstellt wurde, auch wirklich erreichbar hat, dass man da auch hinkommt. Weil eine Compliance zu erstellen, die wir niemals wirklich nutzen, weil wir es gar nicht umsetzen können, macht keinen Sinn.
Michael
00:31:54
Das ist ja verrückt. Du willst doch wohl in der Richtlinie nichts reinschreiben, was dann auch wirklich den Weg in die Realität findet. Das ist ja total verrückt, die Idee. Ja, genau. Also natürlich, nachdem wir jetzt das Ganze vorgeplängelt haben mit, ich sage mal, mit Kopfdaten, kommen wir jetzt halt in den wirklichen Inhalt rein. Und was will ich wirklich beschreiben und was ist das wirkliche Doing in der Sache? Und da muss es natürlich so sein, dass es im Unternehmen umsetzbar ist. Und vor allen Dingen, auch das finde ich immer tricky, es muss so geschrieben sein, dass es derjenige, der es anwenden soll, auch versteht. Das muss nicht nur der verstehen, der die Richtlinie schreibt oder der, der es prüft, sondern es muss der verstehen, der mit der Richtlinie arbeitet am Ende vom Tag, also der es umsetzt.
René
00:32:43
Genau. Da gehören halt immer so ein paar Dinge dazu. Also wenn man jetzt mal guckt, es gibt da die Beispiele, wie gesagt, es ist immer variabel, es können ja unterschiedliche Dinge da drin stehen, aber man könnte jetzt nehmen, der Arbeitsplatz. Wie gehe ich mit IT-Ressourcen um? Also mit Unternehmensressourcen. Also das kann die IT an sich sein, das können auch Finanzen sein. Also das wäre jetzt ein Punkt, Datenschutz kann man nehmen, IT-Sicherheit, also wie läuft die Verwendung von Passwörtern ab, haben wir schon tausend Mal drüber gesprochen, MFA und so weiter, was dazugehört. Korruptionsprävention, also sprich, dass man, gut, ich meine, das wäre dann schon auf dem Papier sehr, wenn man jetzt sagt, ich verbiete jetzt Bestechungen. Das ist natürlich auf dem Papier Quatsch, aber es ist ja wichtig, dass man das als seinen eigenen Wert auch vertritt.
Michael
00:33:45
Ja und was wichtig ist, das klingt jetzt vielleicht, deswegen haben wir es ja mit aufgenommen, das klingt jetzt vielleicht im ersten Schritt ein bisschen weit weg, aber ich habe viele Unternehmen, die sich genau solche Richtlinien stellen, wo einfach drin steht, du darfst Werbegeschenke bis zu einem Betrag von 5 Euro annehmen oder bis 15 Euro. Du darfst essen gehen mit Dienstleistern nur in Restaurants, wo du üblicherweise auch essen gehen würdest, also die da dem Level entsprechen. Um halt einfach, Korruption und Besprechung ist nicht unbedingt immer nur die Millionen, die aufs Konto hin und her fliegen. Also Nähkästchenplauder, wenn ich drüber nachdenke, wir hatten früher, wie ich noch in Lohn und Brot stand, bei einem Dienstleister oder bei einem Arbeitnehmer war ich verantwortlich für Werkzeuge. Also ich war in der Beschaffung drin, für Werkzeug, in der Fertigung und jedes Weihnachtsgeschenk habe ich nicht angegeben, wenn die goldene Bitbox rüber kam oder mal ein Ratschekasten oder sonstige Dinge. Also logischerweise, also das sind so Dinge, wo man halt einfach im Kleinen im Unternehmen regelt, was darf der Mitarbeiter annehmen, was darf der Mitarbeiter kriegen von einer externen Partei und wo ist die Grenze gezogen und wo ist Ende. Das hilft aber auch, das hilft dem Mitarbeiter ganz stark zu entscheiden, darf ich annehmen, darf ich nicht annehmen, um einfach nicht in eine Situation reinzukommen, wo es möglicherweise Ideen oder Möglichkeiten von Korruption gibt. Schaff klare Regeln, schaff klare Compliance und dann ist gut und dann bist du auf der sicheren Seite. Also das kann auch darüber Compliance Regeln geben, vollkommen legitim.
René
00:35:37
Man muss ja auch einfach sehen, ich glaube, dass dieses, ich habe das gerade natürlich so ein bisschen lächerlich abgetan, weil wenn du es dir aufs Papier schreibst, heißt es ja nicht, dass es auch wirklich so umgesetzt wird, aber grundsätzlich, es gibt ja zwei Dinge, die man dabei betrachten sollte. Einmal ist es halt so, wenn jetzt jemand sich immer größere Werbegeschenke geben lässt, ist man natürlich, man bekommt irgendwann so ein schlechtes Gewissen so ungefähr. Das Geschmäckle ist berühmt, da hast du dann irgendwann, ja. Genau und umso größer deine Verantwortung natürlich ist, umso größer der Konzern und so weiter, umso größer die Geschenke, sowas kann ja durchaus passieren. Aber es sind halt so Sachen, nehmen wir mal an, du hast jetzt wirklich einen leitenden Einkäufer, Einkäuferin und die würden jetzt diese Geschenke annehmen. Also ich sage mal, wenn jetzt jemand neu ins Unternehmen kommt, es ist ja super, dass es da steht, weil die wissen dann ganz klar, okay, dem ist man sich vielleicht so nicht bewusst, aber irgendwann wird das vielleicht mal Thema gewesen sein, also passe ich auch. Das ist schon mal eine ganz andere Herangehensweise dann in dem Fall und dafür ist sowas natürlich gut.
Michael
00:36:50
Und auch das kurz, um es abzuschließen, das gehört aber auch beidseitig dazu. Also auf der anderen Seite musst du als Unternehmen aufpassen, dass deine Mitarbeiter nicht wissen, was sie annehmen dürfen, was sie nicht annehmen dürfen, was okay ist, was nicht okay ist. Aber auf der nächsten Seite ist aber auch das Unternehmen gefragt, was gebe ich denn an Gutschen mit, was mache ich denn, ohne mein Gegenüber in Verlegenheit zu bringen. Ich meine, ihr lauft Weihnachten auch nicht durch die Gegend und verteilt dann eure Top 5 Kunden neue MacBooks eher an den IT-Administrator, weil ihr so gut zusammengearbeitet habt. Also auch ihr macht euch Gedanken, das mache ich ja auch, macht euch Gedanken, was für eine Art Weihnachtspräsent oder Werbegeschenk es werden darf, ohne dass die in irgendwelche Zwiespalte kommen oder in irgendwelche Probleme reinkommen, dass das zu teuer wäre oder dass es unangemessen wäre. Deswegen kann man solche Richtlinien oder solche Sachen, meiner Meinung nach, wirklich sehr gut erstellen und für sich im Unternehmen regeln. Das schafft Klarheit und Klarheit schafft Transparenz. Genau.
René
00:37:56
Meldesysteme ist dann der nächste Punkt. Kann ja damit einhergehen, so ein bisschen, also wie und wo Verstöße quasi gemeldet werden.
Michael
00:38:05
Ja, das ist so ein Satz in der Richtlinie und beziehungsweise entweder mache ich es in der Compliance-Richtlinie selbst oder ich packe es halt einfach mal eine globale Richtlinie, die ich irgendwie nenne, Meldesystem oder Ticket oder sonst irgendwas. Da muss halt drinstehen, dass wenn du feststellst, boah, irgendwas läuft unrund, an wen habe ich mich zu wenden und wo melde ich hin, dass das eben abgestellt wird, das mögliche Pro-Thema. Zumindest, dass es bearbeitet wird.
René
00:38:34
Genau. Und nehmen wir mal das Beispiel auch von gerade eben mit diesen Geschenken. Wenn da jetzt was Unangemessenes kommt, dann kann man halt auf diesem Wege auch eben an die entsprechende Person herantreten im eigenen Unternehmen und diese Person nimmt den Kontakt auf, ohne dass es einem selber dann unangenehm ist, dem Gegenüber. Also dafür macht es ja absolut Sinn, das dann auch niederzuschreiben. Ja, worüber wir schon tausend Mal gesprochen haben, Schulung und Sensibilisierung. Nächster großer Punkt. Ja, das ist halt wirklich dazu da, dass man dann den Mitarbeitenden immer wieder darstellt oder was heißt immer wieder, aber so oft wie nötig darstellt, was wollen wir mit dieser Compliance erreichen, wie erreichen wir das und was ist dafür zu tun. Und damit auch alle wirklich in der Lage sind, das auch einzuhalten. Man kann sich technisch natürlich ganz tolle Dinge immer wieder ausdenken. Die Leute müssen auch alle erstmal in der Lage sein, das auch so zu nutzen. Alle arbeiten irgendwie anders. Ich sage mal, wir erstellen jetzt eine Compliance für, keine Ahnung, wir würden es jetzt nicht so einschränken, wie wir es gerade zu Anfang gesagt haben, dass wir sagen, okay, im Unternehmen, wenn du im Büro sitzt, gibt es die und die Richtlinie und genauso, wenn du im Homeoffice bist. Wenn ich das aber nicht mache, die beiden sind ja völlig unterschiedlich, sondern muss man trotzdem eben alle schulen, damit die halt auch wissen, wie die damit umzugehen haben.
Michael
00:40:04
Ja, das ist wichtig, was halt bei vielen vergessen wird. Also super nützlich ist es, wenn du natürlich Schulungen auf die entsprechende Compliance auslegst. Du kannst einmal, wenn wir über Awareness und Schulung reden, hast du mal eine globale Datenschutzschulung, hast mal eine globale IT-Sicherheitsschulung, hast mal so Dinge, wo du, ich nenne es mal so eine Grundimmunisierung in den Mitarbeiter reinbringst. Nur, wenn du jetzt, ganz konkretes Beispiel, fange ich gerade auf, was du gesagt hast, wenn du jetzt sagst, du ermöglichst mobiles Arbeiten, Arbeiten im Homeoffice etc. und du erstellst dafür eine Richtlinie oder ein Compliance und legst dir Spielregeln fest. Natürlich solltest du die Mitarbeiter, die dann im Homeoffice sind oder mobil arbeiten oder die das nutzen, die das nutzen möchten, die sollten natürlich auf genau diese Richtlinie geschult sein, damit die eben wissen, was sie tun sollen und was sie nicht tun sollen. Und das funktioniert nur mit einem Awareness. Und das kannst du über Online-Schulungen abdecken, das kannst du mit Präsentschulungen abdecken. Du kannst es aber zumindest stellenweise nicht damit abdecken, hier ist eine Richtlinie, unterschreib mal und dann ist gut.
René
00:41:14
Ja, genau.
Michael
00:41:16
Das ist es dann leider oft noch, aber es sollte geschult werden, definitiv. Ja, wobei ich jetzt auch wieder ein Freund davon bin, dann zu schulen. Also, was wichtig ist an dieser Stelle, ist dann zu differenzieren, muss diese Richtlinie, die ich jetzt erstellt werde oder in welchem Ausmaß möchte ich, dass diese Richtlinie geschult wird. Es gibt ja schon einen großen Unterschied, ob ich sage, ich lege dir das Blatt Papier hin, das soll unterschreiben, das war die Schulung. Oder ob ich sage, ich lade jetzt alle Mitarbeiter zentral in einen großen Raum ein und sie müssen jetzt alle, wichtig, präsent 8 Stunden bei mir an der Schulungsmaßnahme teilnehmen. Und irgendwo dazwischen liegt die Wahrheit und genau das gilt es halt zu definieren, weil ich dann in der Richtlinie sagen kann, ich bin der Meinung, um diese Richtlinie adäquat an die Mitarbeiter weiterzugeben, reicht eine Online-Schulung, reicht eine Präsentschulung. Muss vielleicht das über einen Fragebogen abgefrühstückt werden etc. pp. Das definiere ich halt genau an dieser Stelle, damit ich das halt weiß, noch in einem halben Jahr, wenn ich demnächst die Richtlinie in die Hand drücke.
René
00:42:17
Genau. Und selbst die Mitarbeiter, die das jetzt, was weiß ich, die jetzt schon seit 5 Jahren immer wieder mit diesem Thema in Berührung sind, auch den Zyklus legt man hier fest. Dass man sagt, okay, eine Wiederholung findet jedes Jahr statt, jedes halbe Jahr, alle zwei Jahre, wie auch immer. Auch das sollte man dort niederschreiben.
Michael
00:42:37
Genau, wobei, je nachdem, bleiben wir bei der Richtlinie Homeoffice. Ich würde jetzt nicht alle Mitarbeiter pauschal einmal im Jahr auf diese Richtlinie schulen, die im Homeoffice sitzen. Ich sage, irgendwann geht es noch. Ich kann sie auswendig nach dem vierten Jahr.
René
00:42:51
Okay, abhängig von der Compliance natürlich. Genau.
Michael
00:42:54
Aber was man macht, und das ist genau der Punkt an dieser Stelle, ist, du musst bewerten den Tonus, wie du schon ganz genau richtig gesagt hast. Du musst den Tonus bewerten und musst die Notwendigkeit bewerten, wann muss ich denn schulen. Schule ich es einmal jährlich, einmal alle zwei Jahre oder, wovon ich ein großer Freund bin, ist, ich schule es dann, wenn sich die Richtlinie grundlegend ändert.
René
00:43:19
Ja, es ist immer die Frage, wie viel man davon macht. Aber ja, beim Homeoffice zum Beispiel, natürlich, bei einer gravierenden Änderung musst du natürlich auf jeden Fall nachschulen.
Michael
00:43:29
Auch das, danke für den Hinweis, auch das kannst du sagen. Reden wir über Dokumentenlängung, reden wir über Freigabe, reden wir über Richtlinien, reden wir über Versionisierung. Und reden wir über Versionisierung, reden wir auch immer über Haupt- und Nebenänderungen. Also immer vorne, ich mache eine neue Zahl in die Hauptversion rein, also es ist eine 1.0-Version, eine 2.0-Version, eine 3.0-Version etc. pp. Und habe ich so Nebenänderungen, eine 0.1, also eine 1.1, eine 1.2, eine 1.3. Ähnlich wie die Releases von irgendwelchen Betriebssystemen, machst du ja auch vorne Hauptänderungen und hinten Nebenänderungen. Und da kannst du zum Beispiel in so einer Richtlinie ganz super schreiben, dass Hauptänderungen per Präsent geschult werden müssen. Und Nebenänderung reicht über eine Kenntnisnahme bzw. über eine Information der Mitarbeiter, die schriftlich erfolgen kann. Und das kriegst du dann, wenn du das da in der Richtlinie sauber definiert hast und hast irgendwo in deinen Unternehmensgrundsätzen drinstehen, Sag mal ein Klassiker, wenn sich der Prozess ändert und es wird ein anderer Prozess, ist es eine Hauptänderung. Und bei so Nebenänderungen, Kleinigkeiten, Rechtschreibkorriguren, Kommafehler, Dinge, die sich am Dokument ändern, die eben keine Auswirkungen auf den Prozess haben, dann sind es halt eben Punktreleases. Und dann kannst du das da unten richtig schön sauber für jeden Prozess definieren und festlegen. Und das sollte man auch machen.
René
00:44:55
Zumal, wenn du es dann nachher für alle bereitstellst, die Compliance, dann reicht es ja theoretisch auch nochmal in die Mail rauszuschicken. Hier kurze Änderungen in dem Bereich, in dem Dokument. Dann können die Mitarbeiter, wenn es kleine Änderungen sind, diese Änderungen halt eben selber nachlesen.
Michael
00:45:15
Oder du hast eine vernünftige integrierte Management-Software, wo solche Compliance-Richtlinien abgedeckt werden. Und du dann über ein rechter Rollenkonzept den Mitarbeitern bei neuen Freigaben entsprechend eine E-Mail-Zukenntnisnahme rausjagst. Du musst dir über E-Mail keine Gedanken mehr machen, die du selbst schreibst. Aber das ist ein anderes Thema, können wir auch mal drüber reden. Ja, genau. Da gibt es ja viele Möglichkeiten. Du musst es halt definieren. Wichtig ist, lege fest, in welchem Tonus die Dinge geschult werden müssen, ob sie geschult werden müssen und wie sie geschult werden müssen. Das ist wichtig.
René
00:45:52
Genau. Ja, dann Überwachung und Kontrolle hatten wir gerade schon grob angeschnitten. Das ist auch ein Punkt, den muss man auf jeden Fall mit einbringen. Auch da, wir haben gerade vom Zyklus der Schulungen gesprochen. Das sollte natürlich da auch genau so der Fall sein. Nehmen wir mal an, ich hätte jetzt eine IT-Infrastruktur. Dann wird dort auch wieder beschrieben, dass meine Kontrolle zum Beispiel über einen RMM-Funk erfolgt. Wo ich zum Beispiel dann den Status der Systeme ablage. Ich kann genauso, also in jedem System gibt es ja irgendwie eine Möglichkeit ein Reporting zu haben. Und genauso brauche ich aber auch eine Person, die das dann nachher, oder einen Personenkreis, den das auch noch auswertet. Das bringt mir ja gar nichts, wenn die Systeme das ausspucken, aber keiner liest es. Dann ändert sich natürlich auch nichts. Also da muss auf jeden Fall immer wieder kontrolliert werden, was da eigentlich gerade passiert. Wir haben ja irgendwas eingeführt und dann müssen wir ja nachher kontrollieren, ob das auch wirklich so läuft. Sind wir wieder oben, sind wir wieder bei den Kompetenzen.
Michael
00:46:55
Ich kann ja nur das Monitoring und kann auch nur die Kontrolle machen von einem, der die Ahnung hat, der das zu bewerten hat. Gebt mir Logfiles von irgendeinem RMM-Tool, um mir das zu bewerten. Ich kann dir sagen, das sind tolle Zahlen, das räumt dich nun her. Ich könnte mich vielleicht acht Stunden damit beschäftigen, um irgendeine halbgare Aussage zu treffen. Aber irgendeiner muss die Auswertung, die aus solchen Systemen herausfallen, interpretieren können und bewerten können, gut oder schlecht.
René
00:47:23
Genau. Und ich würde jedem empfehlen, diese Auswertung, also die Reportings wirklich auch zu automatisieren. Das ist jetzt nur mein Tipp, weil am Ende des Tages die Daten dann auch viel verlässlicher sind. Also nicht, dass jetzt jemand wirklich Fehler macht, aber man kann sich halt dann viel, viel mehr darauf verlassen, dass die Daten, die da aufgeführt werden, auch wirklich genau mein jetziges Widerspiegeln. Das ist halt nichts, was jemand noch von Hand irgendwie interpretiert hat oder irgendwie da für sich selber irgendwie noch aufbereitet hat oder sonst was. Nein, das kommt aus dem System. Diese Zahlen lügen einfach nicht. Niemals. Also das würde ich auf jeden Fall empfehlen. Das kann man hier auch an der Stelle dann eben auch niederschreiben, dass das eben systemisch erfolgt, dann von Personenkreis oder von Person XY dann ausgewertet wird, um dann eben Maßnahmen zu treffen oder zu sagen, geil, haben wir einen guten Job gemacht. Wäre ja auch eine schöne Sache. Genau, Umgang mit Verstößen. Da ist dann auch die Frage, was passiert. Also den Meldeweg hatten wir gerade schon mal gesagt, aber es ist halt auch, wie geht man mit einem Vorfall vor. Wir melden es auf der einen Seite, aber auch wie ist der Ablauf dann eben, um diese zu untersuchen. Also es reicht halt nicht dann zu sagen, hey, ja, okay, wir hatten einen Verstoß, so viel Spaß, haben wir gemeldet, damit war's das. Nee, man muss halt auch irgendwie sicherstellen, dass man die Ursache findet, um eben dann auch endgültig was dagegen zu tun. Ich meine, am Ende des Tages, wir haben letztes Mal über die NIST 2 gesprochen, wenn man das jetzt mal nimmt, wenn man da reinfallen würde, dann hat man eh keine Wahl einfach zu sagen, okay, wir hatten da mal was. Man muss es ja darstellen können.
Michael
00:49:07
Wobei das Inzidenz- und Vorfallsmanagement ein Klassiker ist, den ich mit einer eigenen Compliance-Richtlinie abdecke. Das würde ich nicht in jeder eigenen Richtlinie beschreiben, sondern ich würde in der Richtlinie einfach nur auf meine Richtlinie für das Ticketsystem, wenn ich sie jetzt einfach mal drauf referenzieren, dass das harmonisiert ist, dass das einheitlich ist.
René
00:49:26
Ist aber ja auch abhängig vom Prozess oder vom System. Das kannst du ja auch nicht immer pauschal machen.
Michael
00:49:33
Ja, aber ich würde das im Ticketsystem greifen, ganz ehrlich. Ich würde das hier verweisen, das gehört mir dazu, dass Verstöße gegen die Richtlinie da zu melden oder Ereignisse, die gegen die Richtlinie verstoßen oder möglicherweise verstoßen, in einem gewissen Ticketsystem gemeldet werden. Das Ticketsystem selbst würde ich in einer separaten Richtlinie beschreiben. Ist einfach Geschmackssache, das ist die Auslegungssache, wie man das macht, kommt darauf an. Was aber auf jeden Fall wichtig ist und das muss man, glaube ich, auch ein Stück weit in solche Richtlinien, oder sollte man oder muss man in die Richtlinien reinschreiben und sollte man auch machen, ohne dass man den Mitarbeiter vor den Kopf stößt, der muss halt auch ganz klar drinstehen. Verhältst du dich nicht angemessen zu diesen Richtlinien, kann es arbeitsrechtliche Folgen für dich haben. Bei solchen Sachen muss man halt auch mal klar machen, pass auf, diese Richtlinien sind dafür geschrieben, dass wir sie einhalten, die dienen der Sicherheit unseres Unternehmens und hältst du dich nicht an diese Richtlinien, kann es arbeitsrechtliche Konsequenzen für dich haben. Das muss man irgendwo stehen und darüber muss man im Unternehmen auch mal klar mit seinen Mitarbeitern reden und kommunizieren. Viele sagen immer, arbeitsrechtliche Verstöße, ich darf hier da nichts mit Richtung Abmahnung oder Kündigung reinschreiben, um Gottes Willen, was soll denn der Mitarbeiter denken? Gar nichts, der soll das verstehen, dass das wichtig ist und dass die Notwendigkeit gegeben ist und wenn er sich nicht dran hält, kriegt er die Löffel angezogen. Das muss da drin stehen.
René
00:51:08
Alles kavanierste Delikte, ist alles in Ordnung. Ja, genau, aber sowas muss halt eben genau da auch mit dargestellt werden. Gerade du hattest ja gesagt, mit dem Ticketsystem, das mag grundsätzlich stimmen, ich glaube aber, hast du ja gerade auch gesagt, es ist halt stark davon abhängig, welches System da gerade oder welcher Prozess da gerade beschrieben wird. Manche Dinge, da kann man halt, das kann man wahrscheinlich deutlich abkürzen, manchmal ist auch das Ticketsystem dann nicht das Richtige. Also ja, wobei die Info muss natürlich rein, aber ich glaube, dass halt der Ablauf dahinter schon noch durch den Prozess oder durch die Compliance, die wir da gerade erstellt haben, auch einfach stark variieren kann. Aber am Ende des Tages, ja, kann man das natürlich auch machen, würde das ausgliedern und würde es da separat befreien. Das geht natürlich auch.
Michael
00:52:05
Ist Geschmackssache. Wichtig ist, wie bei allem, was wir heute erzählen, scharfe Transparenz, scharfe, klare Regeln, dass du halt einfach Unstimmigkeiten und Unklarheiten so weit, wie es geht, beseitigst und das ist halt einfach eindeutig. Wo du es am Ende vom Kap schreibst, links oder rechts, ja, whatever.
René
00:52:23
Im besten Fall hat man ein System, wo man untereinander verlinken kann, wo man da wirklich immer hin und her springen kann, dass man sich nicht zehn Dokumente nebeneinander legen muss. Dann ist es super. Dann kann man es auch alles ausgliedern, irgendwo hinlegen, einzeln nochmal und kann dann wirklich darüber springen und sagen Okay, ich bin jetzt an der Stelle, wo ich hin muss. Das passt alles. Genau.
Michael
00:52:42
Und wenn du es noch richtiger hast, wenn du es noch cooler machst, hast du ein Ticketsystem, was mit vorgefertigten Tickets, Mustertickets oder Entwurfstickets oder Tickets, Eingabemasken arbeitet, dass du, wenn du einen Verstoß oder ein sonstiges Thema hast, du in dem Einstieg von dem Ticketsystem fein clustern kannst, worum geht es denn jetzt? Ich will Pizza bestellen, ich habe einen Datenschutzvorfall, ich habe eine Verstoßlinie, Compliance-Richtlinien und mir hat einer einen neuen Ratschekasten geschenkt, wie gehe ich damit um? Also, dass du das sauber clusterst und danach dedizierte Prozesse hinten dran hängst und Eingabemasken hast und du weißt, welcher Prozess bei welcher Eingabe abzulaufen hat im Unternehmen und was getan werden muss. Dann bist du auf der sicheren Seite.
René
00:53:29
Ich weiß, warum ihr kein Ticketsystem einsetzt. Also, wenn du da Pizza bestellen reinschreiben würdest, ne? Ja. Okay, gut, damit sind wir bei dem Umgang mit Verstößen durch. Dokumentation und Archivierung ist auf jeden Fall ein Thema, hatten wir aber gerade ja schon drüber gesprochen, können wir wahrscheinlich so ziemlich drüber weggehen. Gutes System ist eine wichtige Basis. Überall bereitstellen, revisionssicher natürlich, dass die Versionierung klar dargestellt wird. Im besten Fall sogar ein Änderungs, also nur, dass die Änderungen auch angezeigt werden können, damit man nicht immer, wie bei Microsoft, 500 Seiten durchgeben muss, sondern dass man wirklich die Bereiche markiert hat oder einzeln ausziehen kann, um dann zu sehen, wo sind denn wirklich die Änderungen. Dann ist es perfekt. Dann ist es einfach nachzuvollziehen, welche Änderungen stattgefunden haben und dann haben alle im besten Fall auch wirklich einen guten Zugriff darauf und können das jederzeit wieder finden.
Michael
00:54:28
Genau. Und wichtig ist, alle Versionen aufheben. Nicht nur die letzte freigegebene Version, sondern auch die Version davor und die Version und die Version davor und davor und davor auch, sodass man eben lückenlos nachvollziehen kann, zu welchem Zeitpunkt war welche Richtlinie gültig und wurde auf welcher Basis gearbeitet und gehandelt. Das ist super wichtig, dass man sagen kann, vor fünf Jahren hatten wir eben das Thema Microsoft 365 noch nicht, also haben wir entsprechend anders da gearbeitet. Deswegen war vor fünf Jahren das eben ein anderes Arbeiten, wie wir es aktuell haben. Und mit der aktuellen Richtlinie heute kannst du die Prozesse von vor fünf Jahren nicht bewerten. Das ist wichtig, dass du da einfach durchgängig, lückenlos, sauber bist.
René
00:55:11
Perfekter Übergang, da kommen wir nämlich genau dahin. Überprüfung, Aktualisierung, erklärt sich eigentlich von selbst. Auch da wird einfach mal klar dargestellt, wie oft erfolgt so eine Aktualisierung. Sie sollte mindestens einmal jährlich stattfinden. Und wer ist halt zuständig überhaupt dafür? Es gibt ja auch bestimmte Dinge, wie du vorhin schon gesagt hast, dass wir eine große Release-Änderung haben, also eine neue große Version. Dann müsste es auf jeden Fall eine Änderung, also wir haben jetzt eine große Änderung bei uns, so dann sollte auf jeden Fall die Compliance nochmal wieder aktualisiert werden. Sollten das kleine Änderungen sein, ja, das kann man da alles definieren, quasi ab wann man dann tätig wird außerhalb des Zyklus. Der Zyklus sollte mindestens einmal im Jahr sein und habe ich eine Änderung, dann gucke ich natürlich auch zwischendurch nochmal darauf.
Michael
00:56:07
Du solltest halt, das Dokument sollte leben und es sollte nicht irgendwann in der Ecke verstauben, sondern wenn das Dokument greift, soll es aktuell sein, dass es dein Unternehmen zu dem jetzigen Zeitpunkt widerspiegelt. Deswegen guckst du, wenn du Änderungen in den Prozessen hast oder hast Änderungen im Unternehmen, guckst du dir den passenden Prozess an und passt ihn an, wenn er nicht mehr passt. Also einmal im Jahr solltest du dir mal die Lichtlinien und die Compliance Dinge angucken, passt das noch einfach als Gegenprobe. Du kommst einmal von geänderten Prozessen Richtung, wir prüfen die Richtlinien, musst aber einmal auf die Richtlinie gegen die geänderten Prozesse beziehungsweise gegen die aktuell gelebten Prozesse im Unternehmen fahren. Das würde ich schon so einmal im Jahr machen.
René
00:56:51
Ja, ich meine gerade heutzutage ändert sich ja doch häufig was, gerade in den Prozessen, ob es nur eine kleine Vorgehensänderung ist. Es ist halt selten, also ich glaube wir sind gerade, ich könnte es jetzt wieder sagen, ich lasse es aber die zwei Buchstaben behalte ich für mich, aber dadurch, dass sich technologisch jetzt in der letzten Zeit schnell vieles geändert hat, ja man sollte das definitiv immer wieder kontrollieren. Das wird jetzt die nächste Zeit erstmal auch so bleiben. Von daher, also man sollte sich nie zurücklehnen, was wir euch dann da in dem Sinne mit auf den Weg geben, bitte oft genug kontrollieren und aktualisieren, definitiv.
Michael
00:57:34
Ja, abschließend dann Genehmigungen, Kommunikation. Ja, das haben wir glaube ich eben oben schon besprochen, dass einfach klar ist, wer darf prüfen, wer darf genehmigen, wer gibt frei und wie wird das Ding ins Unternehmen reingestreut. Gibt es ein Wiki, gibt es einen zentralen Ablageserver, jage ich es per Mail rundherum mit Anhang, was mit Sicherheit die unglücklichste Idee ist und wie verfolgt dann einfach die Verteilung im Unternehmen. Das muss halt einfach auch da drin stehen, wenn ich es entsprechend auf einer Word Basis habe. Ich habe es in einem integrierten Management System drin, erklärt sich das von selber, aber arbeite ich Office basierend, muss ich irgendwie reinschreiben, wo die Richtlinie liegt und wie es gefunden wird.
René
00:58:15
Aber das wären so die elf Punkte, wie man wirklich faktisch eine Compliance aufbauen kann.
Michael
00:58:21
Ist ja schlimm, oder? Ich mache das so oft, oder du ja auch. Wir machen das so oft, das sind die Punkte, die raddern wir einfach runter, weil wir die in den Basics mit drin haben. Aber wenn man jetzt mal so drüber spricht, wir haben den einen oder anderen Punkt noch nicht mal in der Tiefe besprochen und sind bestimmt schon fast wieder eine Stunde dran, um mal so Top-11-Punkte zu besprechen, wie so eine Richtlinie auszusehen hat oder wie sie aufgebaut werden kann. Ja, genau.
René
00:58:44
Also wir sind ja selbst die Punkte jetzt allgemein durchgegangen, sehr allgemein, weil jede Compliance ja irgendwie anders aussieht. Aber es steckt eine Menge drin. Und da sieht man halt auch, also das, was wir jetzt gerade besprochen haben und das, was dann nachher daraus gemacht wird, wie viel Informationsgehalt eigentlich in so einer Compliance auch steckt. Also es ist wirklich nicht irgendwie so ein lapidares Dokument, was dann da irgendwo liegt und da steht dann drin, ja, Raumoffice dürft ihr machen, aber schließt mal bitte nicht euren privaten Router an, das Notebook an oder was, sondern da stehen halt wirklich in die Tiefe Dinge drin, die wichtig sind. [Michael] (59:20 - 1:00:14) Ja, was das aber auch wieder zeigt oder die Empfehlung oder Tipp, legt euch eine Vorlage an. Also ihr müsst ja nicht bei so einer Richtlinie, bei so einer neuen Compliance das Rad neu erfinden, sondern legt euch einmal so eine Compliance-Vorlage an, wo die ganzen Punkte einmal sauber drin stehen. Und entweder füllt ihr das schon vorgefüllt aus mit ganz, ganz vielen Informationen, mit Kopfdaten, wo ihr einfach Dinge rauslöscht, die ihr nicht braucht für den Prozess. Oder ihr überlegt euch, dass ihr das reinschreibt, was ihr braucht. Aber haltet euch, guckt euch das alles an. Das ist alles mega wichtig, dass die Kopfdaten und die Format, dass das alles sauber da ist und passt. Aber das muss kein Hexenwerk und kein Voodoo werden, sondern das kann man ziemlich effizient abbilden und dann kann man sich fokussiert auf den Inhalt konzentrieren. Genau. [René] (1:00:17 - 1:00:40) Michael? René? Ich glaube, wir haben die Compliance geschafft. Wir haben sie durchgespielt. Es war nicht so, dass wir es jetzt in den Ordner heften können, aber wir haben es von vorne bis hinten einmal durchgespielt. Ich meine natürlich, da fehlen viele Punkte, wenn man es jetzt auf die einzelnen Branchen sieht, aber wir sind sehr, sehr viele Punkte da jetzt wirklich einmal komplett durchgegangen in den letzten Episoden. [Michael] (1:00:40 - 1:00:46) Weißt du, wer der Einzige ist, der die Compliance wirklich durchgespielt hat? Chuck Norris? Genau der. [René] (1:00:49 - 1:00:51) Da seht ihr schon, unser Humor ist genauso. [Michael] (1:00:52 - 1:00:57) Das sind wir uns auch einig. Der hat auch die DSGVO durchgespielt, zweimal sogar. [René] (1:00:58 - 1:00:59) Spaß beiseite. [Michael] (1:01:00 - 1:01:38) Ich glaube, wir sind durch. Wir haben jetzt echt sieben, acht Podcast-Folgen, die sich nur um das Thema gedreht haben, haben wir jetzt durch. Angebot gilt, wer immer Fragen hat, Sorgen, Ängste, Nöte, melden, wir helfen, wir unterstützen, wir geben auch noch mal nachträglich Support und Unterstützung, weil es echt ein saumäßig komplexes Thema ist, wo man sich drin verlieren kann und wo man sehr viel richtig machen kann und machen muss, aber wo man halt auch sehr viel daneben greifen kann und kann falsch abbiegen und da können wir unterstützen, wenn was wäre. [René] (1:01:39 - 1:02:07) Genau. Michael, da das ja jetzt die vorletzte Folge in diesem Jahr ist, mache ich dir einen Vorschlag. Lass uns auf nächstes Mal kein Thema auf den Punkt anbrechen, das können wir besser im neuen Jahr wieder beginnen, sondern lass uns auf nächstes Mal einfach mal so einen Jahresrückblick machen, ganz locker über ein paar Themen sprechen, einfach was gerade so ein Thema ist und einfach mal eine Stunde plaudern. [Michael] (1:02:07 - 1:02:25) Das sollten wir bei Glühwein oder einem Kirchen plaudern, oder? Das können wir sehr gerne tun. Ich bin immer dabei. Ja, ich glaube auch, wir sind jetzt zeitlich, Zeitpunkt der Aufnahme ist jetzt Ende November, die Podcast-Folge kommt jetzt irgendwann Anfang Dezember raus. [René] (1:02:26 - 1:02:27) Genau, um sechs. [Michael] (1:02:27 - 1:02:58) Ja, es drückt für alle, die auch selbstständig sind oder auch im Unternehmen tätig sind, ich glaube, es drückt uns aktuell alle, der Jahresabschluss und das Jahresende und Termine und Aufgaben und Kunden und Kram, und hast du nicht gesehen, und ich glaube, wir sollten mit der schweren Kost für dieses Jahr hiermit aufhören und sollten den nächsten Podcast nochmal so als Resümee des Jahres, ein paar Do's und Don'ts vom Jahr, was passiert ist, was sicherlich lustig und interessant wird, aber das wird nicht mehr der schwere Tobak sein wie bei den Compliance-Sets. [René] (1:02:59 - 1:03:16) Machen wir. Genau. Den ist angenommen. Sehr gut, aber den Zwei-Wochen-Takt halten wir trotzdem ein, also keine Angst, Anfang nächsten Jahres geht es auch sofort wieder weiter. Aber jetzt in diesem Jahr ist ja nun mal die letzte Folge dann am 20.12. und da machen wir einfach mal ein lockeres Pläuschchen. [Michael] (1:03:17 - 1:03:32) Ja, so werden wir das tun, 20.12. Ja, und dann ist Schluss für das Jahr. Wer zwischen den Jahren arbeitet, der möge sich andere Podcasts, oder fängt bei uns nochmal von vorne an oder was auch immer, der soll mal einen, das setzen wir einmal aus, aber im Januar starten wir sofort wieder mit den 14 Tagen. [René] (1:03:32 - 1:03:53) Wieso, wir setzen ja gar nicht aus. Ist ja dann Anfang Januar sind wir ja direkt wieder da und dann passt das. Ja, super. Kriegen wir alles hin. Im nächsten Jahr auch mal vielleicht noch ein bisschen was Neues, wir schauen mal. Also auch mal ein anderes Format. Ein paar Ideen haben wir ja schon. Müssen wir mal gucken, was wir dann machen. Alles klar. Michael, besten Dank für die Runde. Vielen Dank. [Michael] (1:03:54 - 1:03:57) Bevor du noch mehr teaserst, würde ich dich ab. Vielen Dank. [René] (1:03:57 - 1:04:25) Mache ich auch gar nicht mehr. Von mir nur gerne überall reinhören, gerne teilen, liken, folgen. Teilen wäre wirklich schön, dass noch ein paar Leute mehr zu uns finden. Und wir sind wie immer auf allen Kanälen erreichbar. Und dann hören wir uns beim nächsten Mal. Nochmal vielen Dank, Michael. Bis zum nächsten Mal. Grüße aus Wetzlar. [Michael] (1:04:25 - 1:04:27) Macht's gut. Tschüss und danke. Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts