#26 ITC — Datenschutz & Informationssicherheit

[René]

Moin, moin in die Runde, moin zur neuen Episode, mit mir zusam­men heute wieder hier der Michael.

[Michael]

Guten Tag. Der Daten­schützer. Hi, moin, grüß dich.

Ich bin immer froh, wenn ich ein­ge­laden werde und zu dir kom­men darf.

[René]

Sehr geehrter Herr Korn­mann, so machen wir es jet­zt, nach­dem ich dich let­ztes Mal lei­der ein biss­chen unfre­undlich ange­sprochen habe.

[Michael]

Du hast mich beschimpft als Daten­schützer.

[René]

So unge­fähr.

[Michael]

Ja, so unge­fähr, das gehört zu meinem Job, da ste­he ich drüber inzwis­chen.

[René]

Wun­der­bar. Ja, beim let­zten Mal sind wir ja in den Bere­ich der IT-Com­pli­ance ges­tartet. Damit wollen wir jet­zt weit­er­ma­chen. Wir hat­ten ja gesagt, dass wir beim let­zten Mal ja sehr all­ge­mein über die Com­plaints gesprochen haben, also welche Möglichkeit­en gibt es, wozu ist es da und so weit­er.

Und jet­zt wür­den wir dann in die ersten Bere­iche reinge­hen, spez­i­fis­che Bere­iche dann auch schon. Aber das sind wirk­lich noch so all­ge­mein spez­i­fis­che Bere­iche, also die sind jet­zt nicht auf Branche bezo­gen, son­dern noch im All­ge­meinen gehal­ten. Das heißt, wir wür­den heute über die Bere­iche Daten­schutz und Infor­ma­tion­ssicher­heit sprechen.

[Michael]

Klingt nach span­nen­den, inter­es­san­ten The­men. Glaube ich, kann ich was zu sagen. Ja, knapp.

[René]

Genau, ja, also grund­sät­zlich Daten­schutz, da kannst du wahrschein­lich am besten was zu sagen. Ich meine, ja, wir haben oft drüber gesprochen, aber fass mal bitte den Daten­schutzan­teil in der, ja, ger­ade im Com­pli­ance-Bere­ich ein­mal zusam­men.

[Michael]

Also, wenn wir über den Daten­schutz reden, haben wir das Buzz­word mit der DSGVO seit 2018. Das hat den Kick ein biss­chen nach oben getrieben. Wir hat­ten auch vorher schon Daten­schutzge­set­ze und wir mussten uns auch vorher schon in Daten­schutz hal­ten.

2018 mit der DSGVO sind halt die Bußgelder expo­nen­tiell gestiegen und wie es halt so ist, wenn die Bußgelder höher wer­den, guckt man da auch höher drauf. Das heißt, der Fokus ist in 2018 durch die DSGVO ein biss­chen höher gewor­den. Vorher war es auch nur ein deutsches Recht, jet­zt ist es ein EU-Recht, ja.

Und zusät­zlich haben wir das Bun­des­daten­schutzge­setz, das BDSG-Neu, das ist auch noch da par­al­lel zur DSGVO, das muss man sich auch noch anguck­en. Und zusam­menge­fasst küm­mert sich die DSGVO um die recht­mäßige Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en. Das ist so das, was du machen kannst oder was du sagen kannst und was man auch sagen kann.

Es muss sich jed­er drum küm­mern, der entsprechend unter den Gel­tungs­bere­ich der DSGVO bewegt. Also, wer unter die DSGVO fällt, muss sich um das The­ma küm­mern. Das sind im Prinzip, es gibt ein paar Aus­nah­men im Haushalt­spriv­i­leg, dass du dem Pri­vat­en auf der Geburt­stags­feier, um gle­ich mal ein blödes Bild­beispiel zu brin­gen, du am Geburt­stags­feier Oma Erda und Tante Gretchen fotografierst, ist das nicht DSGVO, aber sobald du dich im öffentlichen Bere­ich bewegst, sobald du gewerblich tätig bist, kannst du dir eigentlich sich­er sein, du fällst unter die DSGVO, auch Vere­ine etc. pp. Und da geht es halt ein­fach um Schutz von per­so­n­en­be­zo­ge­nen Dat­en.

[René]

Und wenn wir jet­zt mal annehmen, ich würde mir eine Com­pli­ance bauen für Home­of­fice, für die Nutzung von Endgeräten, warum ist der Daten­schutz da auch entschei­dend?

[Michael]

Naja gut, also der Daten­schutz, du musst halt, der Daten­schutz sagt, eine ver­ant­wortliche Per­son im Unternehmen ist dafür ver­ant­wortlich, dass per­so­n­en­be­zo­gene Dat­en recht­mäßig ver­ar­beit­et wer­den und es gibt in der DSGVO in Artikel 32, da spricht davon von geeigneten tech­nis­chen und organ­isatorischen Maß­nah­men, um entsprechende Schutzniveaus sicherzustellen und da ist, wenn du in das Home­of­fice richtig gle­ich tief ein­steigen willst, da geht es halt ein­fach darum, dass wenn du Dat­en ver­ar­beitest, musst du ein­fach sich­er­stellen, dass die Dat­en sich­er ver­ar­beit­et wer­den, die dann nur da bleiben, wo sie hinge­hören, nur berechtigte Per­so­n­en darauf Zugriff haben, Ver­füg­barkeit sichergestellt ist, dass der ganze Zer­mon, der die DSGVO bet­rifft, ein­fach, dass das passt, fol­gerichtig hast du Daten­ver­ar­beitung im Home­of­fice, sind Fir­men­dat­en, die halt nicht in der Fir­ma ver­ar­beit­et wer­den, aber sie sind so hand­habend, als wären sie zu behan­deln, also sind zu behan­deln wie Fir­men­dat­en, logis­cher­weise, als Fir­men­dat­en sind, Entschuldigung, ein biss­chen das Wort ver­loren und aus diesem Grund gilt DSGVO für Fir­men­dat­en, natür­lich auch egal, wo sie ver­ar­beit­et wer­den, also auch im Home­of­fice.

[René]

Ja, also ich finde, der Par­al­lel­beispiel dafür ist, geht ja auch darum, dass die Dat­en immer nur für den entsprechen­den Zweck genutzt wer­den, gutes Beispiel, was ich immer wieder sehe, also so, nehmen wir mal an, auf Ins­ta Reels und was weiß ich was, wo dann so Memes geschickt wer­den, wo dann irgend­wie ein­er zu Hause sich irgend­was bastelt, wo dann der Teamssta­tus immer schön auf grün gehal­ten wird, obwohl der­jenige nicht am Arbeit­splatz sitzt, das finde ich ist schon so ein Parade­beispiel dafür, eine Per­son muss nicht zwin­gend an ihrem Rech­n­er sitzen, um wirk­lich auch Dinge zu bear­beit­en, sie kann auch ger­ade in Ack­en wälzen oder was weiß ich was, soll es noch geben in Unternehmen, oder halt wirk­lich deine Anwe­sen­heit generell, was hast du zu welch­er Zeit auf deinem Rech­n­er gemacht und so, sowas zu erfassen ist eben nicht erlaubt und da müssen auch entsprechend die Mitar­beit­er geschützt wer­den, so möchte ich es mal nen­nen, vor einem Arbeit­ge­ber und ja, das kommt immer auf den Bere­ich an, aber im Großen und Ganzen ist das für mich auch immer so ein Teil, den ich damit berück­sichtige.

[Michael]

Du bist mit Home­of­fice und mit solchen Din­gen steigst du richtig derb ins The­ma ein, du hast halt das, die DSGVO sagt halt, du darf­st erst­mal über­haupt keine Dat­en ver­ar­beit­en, außer du hast einen Grund dafür, sprich du hast eine entsprechende Rechts­grund­lage dafür und dann musst du halt eben suchen, welche Rechts­grund­lage habe ich für die Ver­ar­beitung entsprechend per­so­n­en­be­zo­gen­er Dat­en und in dein konkretes Beispiel reinzuge­hen, Mitar­beit­er-Track­ing, da wirst du dir schon was Richtiges aus der Nase ziehen müssen, um dir dafür eine Rechts­grund­lage rauszu­denken, die wasserdicht ist und die Bestand hat, weil so viele Rechts­grund­la­gen gibt es jet­zt nicht wirk­lich, wo man sich aus der Nase ziehen kann, das ist ganz klar geregelt im Artikel 6 von der Daten­schutz-Grund­verord­nung, da gibt es definierte Rechts­grund­la­gen, die in Ord­nung sind und da musst du dir was über­legen und dann sind halt solche Sachen, wie du ger­ade machst, Analyse-Track­ing etc. pp. ist darüber nur ganz schw­er abzu­bilden und wenn es da nicht abzu­bilden ist, also es gibt keine Rechts­grund­lage, kein Zweck, ja, dann wird das ganze Ding halt eben, auf deutsch gesagt, ille­gal und dann darf­st du es nicht tun.

[René]

Ja, also da muss auch, also ich finde, das ist ja auch eben so ein bei­d­seit­iges Ding, als Unternehmen möchte ich Grund­la­gen raus­geben oder Com­pli­ance-Regeln raus­geben, die eben meine Posi­tion oder mein Unternehmen schützen, genau­so muss es aber auch gegen­seit­ig sein, also entsprechend, ja, für mich ist es halt ein absolutes Selb­stver­ständ­nis, dass man da nicht, keine Ahnung, ver­sucht jet­zt irgend­wie auf die let­zten zwei Minuten da irgend­wie noch was rauszu­holen, totaler Blödsinn.

[Michael]

Ja und da geht es halt auch, wir reden über die Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en, wenn du ein klas­sis­ches Unternehmen nimmst, hast du natür­lich a, deine Kun­den­dat­en, aber auch deine Mitar­bei­t­er­dat­en, Liefer­an­ten­dat­en auch, also alles, was du in dem Kos­mos hast und alle Dat­en kannst du dir so vorstellen, die der Chef halt ver­ar­beit­et als ver­ant­wortliche Per­son im Sinne der DSGVO und da gehören Mitar­beit­er, das ist ein Riesen­the­ma, Mitar­bei­t­er­daten­schutz oder Daten­ver­ar­beitung oder Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en im Kon­text eines Beschäf­ti­gungsver­hält­niss­es, da kannst du einen Fass auf­machen, da kön­nen wir Tage drüber reden und kön­nen viele Pod­cast-Fol­gen drüber füllen, erst recht, wenn man das Ganze nochmal sieht aus der Betrieb­sratssicht und geht dann nochmal in das The­ma rein, also natür­lich geht es beim Daten­schutz auch um die Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en, sprich von Mitar­bei­t­er­dat­en und auch da braucht es Rechts­grund­la­gen, ganz klar.

[René]

Genau, dann, ja du hat­test ja ger­ade auch schon gesagt, das ist ja generell so eine Zweck­geschichte, also die Dat­en müssen ja zu einem Zweck dienen, geht ja auch grund­sät­zlich darum, dass man Dat­en min­imiert, hat­test du schon mal in ein­er vorheri­gen Folge gesagt, das heißt, dass man wirk­lich nur so viele Dat­en sam­melt, wie wirk­lich nötig, selb­st wenn man sie nicht auswertet, dann diese Dat­en soll­ten gar nicht erst exis­tent sein, wenn man sie nicht braucht und entsprechend, ja.

[Michael]

Du willst sie eigentlich gar nicht haben vom Mind­set her. Ja, genau. Also die Dat­en brauchen einen Zweck, also du musst einen Zweck haben, was du mit diesen Dat­en anfan­gen willst und dann brauchst du nur die Dat­en, die du brauchst, um den Zweck zu erfüllen.

Das heißt, du hast die Zweck­bindung und die Daten­min­imierung und du willst eigentlich keine anderen Dat­en haben wollen, außer die, die du brauchst, um den Zweck zu erfüllen, weil alle anderen Dat­en, was willst du damit? Dann hast du nur wieder Dat­en im Sys­tem, mit denen du umge­hen musst, wo du die Sicher­heit fest­stellen musst, wo du dir Gedanken über Löschung machen musst, Zugriff etc. pp.

Das heißt, du hast einen Zweck, der ist klar definiert, den musst du dir klar geben und für diesen Zweck erheb­st du die per­so­n­en­be­zo­ge­nen Dat­en, die notwendig sind, um eben den Zweck zu erfüllen. Ende. Das ist rel­a­tiv ein­fach in der The­o­rie, in der Prax­is wesentlich kom­plex­er.

[René]

Ja, abso­lut. Also man sollte auch den Daten­schutz in dem Sinne trans­par­ent machen, ins Team raus, also an die eige­nen Mitar­beit­er, natür­lich aber auch nach außen, welche Maß­nah­men habe ich getrof­fen, um wirk­lich auch da ein Ver­trauen zu schaf­fen ein­fach. Also da sollte man halt klar sagen, welche Dat­en wer­den erhoben, ken­nt man so von Inter­net­seit­en, wo dann irgend­wie gesagt wird, hier gewisse Nutzungs­dat­en wer­den erhoben, Cook­ies, irgend­was.

Also man sollte halt trans­par­ent sein an der Stelle. Du musst. Intern halt genau­so.

Ja, du musst. Ja, aber du weißt, was ich meine, Unternehmen machen nicht immer das, was da drauf ste­ht. Am Ende des Tages ist es aber gut.

Also so sollte ein Unternehmen für sich selb­st funk­tion­ieren, dass es halt sagt, okay, das ist mein eigen­er Anspruch auch und ich bin so trans­par­ent. Ich schreibe es nieder, alle kön­nen das ein­se­hen und gut ist.

[Michael]

Da hat zum Glück der Geset­zge­ber mit der DSGVO Artikel 13 und 14 rel­a­tiv klare Regeln drin, dass die betrof­fene Per­son vor der Erhe­bung oder bei der Erster­he­bung informiert wer­den muss und zwar informiert wer­den muss über das Mit­tel, über die Zwecke und über diese Dinge, die du ger­ade ange­sprochen hast, dass eben genau das ver­mieden wird. Der Klas­sik­er ist die Daten­schutzerk­lärung auf der Web­seite. Ich glaube, da kommt jed­er drüber weg.

Also auch das erfüllt die Infor­ma­tion­spflicht nach DSGVO und da wird halt ein­fach darüber informiert, was machen wir auf unser­er Web­seite, wie gehen wir mit den Dat­en um, wie lange spe­ich­ern wir die Dat­en, was löschen wir, was set­zen wir für Cook­ies ein, was machen die Cook­ies. Also diese ganzen Dinge fol­gen Artikel 13 DSGVO und informieren die betrof­fene Per­son, Mitar­beit­er, Web­seit­enbe­such­er etc. pp., was wir für Dat­en erheben, warum wir sie erheben und wie lange wir sie aufheben. Das Umset­zen, auch da wieder, die The­o­rie ist sehr schnell.

Ich sehe dich ger­ade. Die The­o­rie ist sehr ein­fach und sehr schnell geset­zt.

In der Umset­zung ist es kom­plex­er und da gehört die Com­pli­ance-Richtlin­ie, jet­zt mache ich den Bogen rüber, die Com­pli­ance-Richtlin­ie und der Selb­stanspruch an die ganze Kiste dran, dass ich das in meinem Unternehmen auch wirk­lich so lebe. Das heißt, wenn Bewer­ber kom­men, dass die wis­sen, wir haben jet­zt ein Bewer­bungsver­fahren, welche Rechts­grund­lage für das Bewer­bungsver­fahren haben wir, wir haben jet­zt Web­seit­enbe­such­er, die erk­lären mir mal vernün­ftig, was auf der Web­seite abge­ht. Dazu gehört, dass ich als ver­ant­wortliche Per­son, ich glaube auf der Web­seite kön­nen wir mal ganz kurz ste­hen bleiben, da gehört für mich, wenn ich in die Com­pli­ance reinge­he und gehe in meinen Anspruch rein als Ver­ant­wortlich­er, zu wis­sen, was über­haupt auf mein­er Web­seite los ist, damit ich entsprechend darauf gezielt eine kor­rek­te Daten­schutzhin­weise schreiben kann.

Damit geht es los, wenn ich bei eini­gen Unternehmen reinkomme und sage, was habt ihr denn für Sachen auf der Web­seite, was macht ihr denn auf der Web­seite, welche Analy­se­funk­tio­nen habt ihr drauf, was nutzt ihr denn, erzählt mir mal was und die mir dann sagen, wir haben eine Agen­tur für das, das weiß ich jet­zt auch nicht wirk­lich. Das sind so die ersten Indika­toren für, wo ich sage, werdet euch mal bewusst, was ihr da habt, nen­nt es nicht Com­pli­ance, aber ihr müsst doch wis­sen, was da abge­ht auf der Seite, es ist doch eure Web­seite, ihr seid am Ende dafür ver­ant­wortlich und wie soll euer Daten­schützer oder wie soll ich in dem Fall oder wie soll irgen­dein­er, der dafür unter­stützend tätig ist, euch eine vernün­ftige Daten­schutzerk­lärung an die Hand geben im Entwurf, die ihr euch anguck­en kön­nt, wenn ihr in kein­ster Weise wisst, was auf der Seite los ist und auch diese Unter­la­gen nicht zur Ver­fü­gung stellen kön­nt.

Und dann ruf­st du die Agen­tur an und sagst, pass mal auf, was habt ihr laufen und lässt einen Cook­i­es­can­ner über die Seite laufen oder ein­fach einen Web­seit­en­scan­ner und das geht wie eine Schere auseinan­der. Das heißt, selb­st die Agen­tur, die das vor einem Jahr oder was pro­gram­miert, die haben über­haupt keine Ahnung, was auf der Seite los­ge­ht und da sind die Com­pli­ance und das Mind­set im Unternehmen wieder wichtig, dass ich weiß, was abge­ht an Stellen, um eben dann rechtliche Anforderun­gen zu erfüllen.

[René]

Ja, mir ging es ger­ade auch viel darum, dass man, ich meine, The­o­rie und Prax­is sind immer zwei ver­schiedene Paar Schuhe. Mir ist halt ein­fach wichtig, dass die Unternehmen, also ich hoffe auch, dass es wirk­lich, dass dieser Pod­cast dazu führt, dass einige da vielle­icht umdenken oder was heißt umdenken, dass sie noch mehr in diese Rich­tung reinge­hen. Ich finde halt, das sollte der eigene Anspruch sein.

Selb­st wenn ich nicht kon­trol­liert werde, dass ich es nicht darauf anlege, dass es irgend­wann kommt, son­dern dass ich ein­fach sage, okay, ich finde, das ist jet­zt mein, ich bin es meinen Kun­den, meinen Mitar­beit­ern, bin ich es ein­fach schuldig, das zu machen und das ist mein Anspruch, dass ich das erfülle. So und das ist das, worauf ich ger­ade hin­aus wollte. Du hast natür­lich abso­lut recht, das spielt ja alles mit rein und es ist alles durch die DSGVO schon klar vorge­se­hen, aber es gibt mit Sicher­heit auch genug Unternehmen, die es eben noch nicht so machen und schon gar nicht so in die Tiefe.

So und dafür ist das vielle­icht, hoffe ich, dass dieses ganze For­mat entsprechend auch dazu beiträgt, dass wir da alle an einem Strang ziehen und das alles von vorne bis hin­ten für alle trans­par­ent hal­ten.

[Michael]

Ja, wir hat­ten das ja im ersten Pod­cast zu der The­merei, hat­ten wir die Diskus­sion schon ganz kurz, ganz am Anfang, wie es um das Mind­set geht. Und hier ist das Mind­set ganz klar, ich muss meinen Trig­ger kriegen, mich um die Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en zu küm­mern, weil ich will, dass die Dat­en in meinem Unternehmen sich­er sind. Ich will mich nicht mit Lacks auseinan­der­set­zen.

Ich will nicht, dass meine Dat­en abfließen. Ich will, dass meine Kun­den, meine Mitar­beit­er trans­par­ent wis­sen, was mit meinen Sachen los­ge­ht. In mein­er Ide­alvorstel­lung muss das mein Mind­set sein und dann erfülle ich halt eben die DSGVO mit dem Mind­set.

Kriege ich den Trig­ger oben­drauf, dass mir im Prinzip, ich übertreibe jet­zt ein­fach mal, dass mir das eigentlich vol­lkom­men Lat­te ist, was mit meinen Dat­en passiert. Und jet­zt trig­gert mich von draußen die DSGVO ran, mich mit dem Kram zu beschäfti­gen. Juchu, dann werde ich zwar auch was umset­zen und werde auch die Daten­sicher­heit ein Stückchen bess­er kriegen im Unternehmen, aber ich kriege niemals den Effekt rein, als wenn ich mir von mir aus in das Doing reinge­he und meine Überzeu­gung da mit rein­spiele.

Das ist immer so genau das The­ma, wo ist der Trig­ger, wo ist mein Start­punkt und wo will ich hin.

[René]

Ja, genau. Das ist auf jeden Fall. Ja, dann, ich glaube zum Daten­schutz all­ge­mein haben wir jet­zt alles Mögliche gesagt.

Also, nein, nein, nicht falsch ver­ste­hen.

[Michael]

Natür­lich nicht. Somit haben wir wie Chuck Nor­ris die DSGVO durchge­spielt und wir sind ein­mal fer­tig mit dem The­ma. Jawohl.

So, wir ver­ab­schieden uns dann und dann, kann ich sagen, machen wir einen neuen Pod­cast. Das war DSGVO mit drei Minuten fün­fzig. Wenn ihr es bei euch im Unternehmen voll­ständig umset­zen wollt, ruft mich an.

Ich habe drei Tem­plates, kosten 39,80 Euro, dann seid ihr fer­tig.

[René]

Ja, okay. Unglück­lich aus­ge­drückt, aber so zum Start in diese Com­pli­ance-Geschichte, um all­ge­mein mal zu sagen, warum die DSGVO oder der Daten­schutz da eben so eine große Rolle spielt. Näch­ster Punkt ist da oder die näch­sten Punk­te dabei sind sicher­lich Dat­en- und Infor­ma­tion­ssicher­heit.

Hat­ten wir ja beim let­zten Mal ange­sprochen, dass das auch die größten Punk­te sind, die da eben mit rein spie­len in diese ganzen Com­pli­ance-Richtlin­ien, die man sich da erstellen möge. Und ja, ist eben ähn­lich groß, also da geht es natür­lich in eine andere Rich­tung. Da geht es jet­zt nicht um die per­so­n­en­be­zo­gene Dat­en.

Ja, schon ein Stück weit, aber Infor­ma­tion­ssicher­heit, da gehören ja eigentlich die sys­temis­chen Umset­zun­gen dazu, um meine Dat­en zu schützen, wenn ich es nicht ganz falsch habe. Michael?

[Michael]

Genau. Ganz kurz, wir wer­den auch in den näch­sten Pod­cast-Fol­gen immer wieder auf den Daten­schutz kom­men. Wir sind jet­zt fer­tig mit dem Anteasern, aber nicht fer­tig mit dem Erk­lären.

[Michael]

Wenn wir über die Infor­ma­tion­ssicher­heit reden und reden über die DSGVO, muss man mal ganz kurz auch da mal einen Cut machen und muss mal reden, was ist denn über­haupt der Unter­schied? Warum brauche ich Infor­ma­tion­ssicher­heit? Ich mache doch schon Daten­schutz.

Ich muss guck­en, wie das Mind­set im Unternehmen ist, immer wieder Mind­set im Unternehmen und was ich umset­ze. Wenn ich den Daten­schutz betra­chte, gucke ich mir die Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en an. Klas­sis­ches Beispiel, Bewer­bung­sun­ter­la­gen.

Das heißt, ich küm­mere mich darum, wie Bewer­ber reinkom­men, Per­son­alun­ter­la­gen, Bewer­berun­ter­la­gen, wie das Han­dling ist, wie es damit rumge­ht, wo sie aufge­baut wer­den, wo sie gespe­ichert wer­den, wer Zugriffe darauf hat, all diese The­men. In der Infor­ma­tion­ssicher­heit rede ich über all­ge­meine Dat­en. Würde ich jet­zt ein­fach mal sagen, die Entwick­lungsak­te oder die tech­nis­che Zeich­nung von meinem Pro­dukt, was ich her­stelle, das ist dem Daten­schützer erst mal vol­lkom­men Bumbe.

Solang dem seine Bewer­ber­dat­en sauber liegen, macht dann den Daten­schutz ein Häkchen dran und wie offen der Serv­er ist für Entwick­lungs­dat­en oder auf welchem Laufw­erk Entwick­lung­sun­ter­la­gen liegen oder tech­nis­che Zeich­nung oder was, ist dem vol­lkom­men egal und da guckt er auch gar nicht weit­er darüber nach, weil sie eben nicht per­so­n­en­be­zo­gen wird. Infor­ma­tion­ssicher­heit deckt das gesamte Spek­trum an. Das heißt, für mich ist das immer ein Gesamt­bild, was ich mir anguck­en muss und es macht keinen Sinn, sich immer nur auf die DSGVO und auf den Daten­schutz zu fokussieren, son­dern man muss sich die Ver­ar­beitung generell anguck­en.

Dann ist man immer so ein Stück mit in der Infor­ma­tion­ssicher­heit drin und Infor­ma­tion­ssicher­heit ist auch immer tech­nis­che und organ­isatorische Maß­nah­men. Sind wir wieder drüben in der DSGVO Artikel 32. Das heißt, das schwimmt alles schön ein biss­chen zusam­men.

Wenn man es richtig macht, ist es eine Suppe. Auch wenn es vielle­icht andere anders sehen, aber für mich ist es ein­fach, für mich gehört es zusam­men, ganz klar.

[René]

Also die genauen Unter­schiede, die hat­ten wir ja schon mal besprochen in den vorigen Fol­gen. Das hat­te ich ja in der let­zten Episode auch schon mal gesagt. Also das kann man da noch mal genau nach­hören.

Ich kann jet­zt ger­ade nicht genau sagen, an welch­er Stelle es war, aber…

[Michael]

Minute 42 und 15 Sekun­den weiß ich ganz genau.

[René]

Genau, aber ich weiß nicht mehr, in welch­er Episode. Nein, wir hat­ten es auf jeden Fall the­ma­tisiert. Deswe­gen, also da gerne mal ein­mal rein­hören.

Dann wer­den auf jeden Fall die Unter­schiede noch mal genau dargestellt zwis­chen diesen drei Bere­ichen. Es gibt ja in diesem Bere­ich auch noch unter­schiedliche Rich­tun­gen, in die man gehen kann. Also sprich die Maß­nah­men oder Stan­dards, die man da eben anstrebt.

ISO, NIS, da gibt es ja schon einiges und entsprechend muss man guck­en. Ich meine, bei der Com­pli­ance ste­ht das ja erst­mal nicht im Vorder­grund, eine Zer­ti­fizierung oder einen Stan­dard zu erfüllen. Außer natür­lich den Daten­schutz zu erfüllen, keine Frage.

Aber grund­sät­zlich ist es so, dass wir uns jet­zt nicht an so ein­er ISO-Norm ori­en­tieren, weil die Com­pli­ance kann immer völ­lig frei definiert sein. Sie sollte sich halt nur an den Stan­dards ori­en­tieren, so dass man da nicht danach rechtliche Prob­leme hat.

[Michael]

Ja, also rechtlich müssen wir uns an der DSGVO ori­en­tieren. Und wenn wir Kri­tis-Unternehmen sind, also unter denen es zwei Richtlin­ien fall­en, dann ist das aber ein anderes The­ma. Das fassen wir jet­zt nicht auf.

[Michael]

Dann haben wir auch noch die NIS-2-Richtlin­ie, wo wir gegenge­hen müssen. Aber erst­mal Stan­dard- Unternehmen, sagen wir mal, die sind geset­zlich verpflichtet, die Daten­schutz-Grund­verord­nung einzuhal­ten, DSGVO. Alles darüber hin­aus sind eigene Richtlin­ien und Com­pli­ance.

[René]

Genau. Ja, auch da Her­aus­forderun­gen. Ich meine, klar, ich denke, da wird es eher die tech­nis­che Schiene sein.

Im Daten­schutz-Bere­ich hat­ten wir ja vorhin gesagt, Trans­parenz ist sicher­lich ein ganz großer Fak­tor. Man muss halt klar­ma­chen, okay, es ist Ver­trauen viel vom Mitar­beit­er ins Unternehmen, dass man da jet­zt nicht aus­ge­späht wird. Auf der anderen Seite, als Unternehmen an dem Mitar­beit­er ist es ganz klar, trans­par­ent zu machen.

Wie sehen denn meine Maß­nah­men wirk­lich aus? Wie schütze ich diese Dat­en? Ja, also man muss wirk­lich trans­par­ent in bei­de Seit­en oder in bei­de Rich­tun­gen sein.

Ich habe jet­zt von Mitar­beit­ern und Unternehmen gesprochen. Genau­so ist es ja mit Kun­den und dem Unternehmen. Da muss eine Trans­parenz in bei­de Rich­tun­gen stat­tfind­en, dass ein­fach klar ist, so gehen wir mit deinen Dat­en um.

Das ist der Zweck. Dafür wer­den sie ver­ar­beit­et und alles andere besitzen wir zum Beispiel nicht. Und wenn doch, warum?

Das sind halt Sachen, die muss man dann auf jeden Fall darstellen, die muss man klarstellen, so dass bei­de Seit­en wirk­lich fein damit sind. Und dann denke ich, das ist glaube ich die größte Hürde, das erst mal zu schaf­fen.

[Michael]

Die größte Hürde ist, die Trans­parenz reinzubrin­gen. Es ist immer wieder das gle­iche The­ma, sich bewusst zu wer­den, was mache ich denn über­haupt? Was ver­ar­beite ich denn über­haupt?

Was habe ich denn über­haupt für Dat­en? Was habe ich für Dat­en? Wo kom­men sie her?

Was sind es für Dat­en? Was mache ich damit? Welche Soft­ware-Sys­teme set­ze ich ein?

Wer hat Zugriff auf den ganzen Kram? Und wie lasse ich die Dat­en irgend­wann wieder ster­ben? Also wie kriege ich mich von den Din­gen wieder gelöst?

Wann ist der Zeit­punkt gekom­men, dass ich sie, wenn ich sie nicht mehr brauche, dass ich sie lösche? Das ist immer so der Zyk­lus, den man sich anguckt. Und der muss natür­lich so trans­par­ent sein, dass ich mit einem guten Gewis­sen abends schlafen kann und sagen, ja wohl, so ist es und so kön­nte ich es auch jedem erk­lären.

Egal, ob es jet­zt eine Behörde ist, die kommt oder ein Kunde, der fragt und sagt, was habe ich jet­zt mit meinen Dat­en? Was machst du damit, dass ich sagen kann, pass auf, das ist das Ver­fahrensverze­ich­nis beziehungsweise das ist die Sache, wie wir es machen müssen, die Infor­ma­tion­spflicht­en. So wird es getan und es passt.

Das ist sehr wichtig.

[René]

Und daneben natür­lich die tech­nis­chen Her­aus­forderun­gen, das dann entsprechend auch umzuset­zen. Ich meine, wenn man ein Team hat, die das lösen kön­nen, dann wird das aller­meiste auch schnell getan sein. Ich sage mal so, Löschrichtlin­ien, Dat­en zu schützen, da wird vieles dabei.

Also viele Maß­nah­men lassen sich recht schnell umset­zen. Einige bedür­fen natür­lich auch ein biss­chen mehr Über­ar­beitung. Aber auch das ist ja die Frage, wie ich meine eigene Com­pli­ance dann entsprechend aus­gestalte und entsprechend dann die Maß­nah­men ergreife.

Aber ich glaube, das sind so die größten Hür­den, um in diese Bere­iche reinzukom­men.

[Michael]

Die Hürde ist das Mind­set, das klar wer­den über den ganzen Rah­men, das Ver­schriftlichen und dann die entsprechen­den notwendi­gen Maß­nah­men dafür abzuleit­en. Ganz grob, ja.

[René]

Ja, auch da, Michael hat es das eine Mal gesagt, der Spruch ist ein­fach hän­genge­blieben. Experten kosten Geld, aber die brin­gen halt auch entsprechende Mehrw­ert. Das sehe ich auch so.

Also wenn man an der Stelle wirk­lich Unter­stützung braucht, immer dazu­holen. Wir sprechen auch ger­ade nicht auss­chließlich von uns. Das ist ein­fach ein all­ge­mein­er Tipp, den sollte man wirk­lich in Anspruch nehmen.

Ger­ade im Daten­schutzbere­ich, bevor ich mit Michael zusam­mengear­beit­et habe, also wirk­lich mich mit ihm auch so tief auseinan­derge­set­zt habe, ist es ein­fach so, dass ich immer dachte, okay, du weißt schon so einiges, alles was man so von ver­schiede­nen Daten­schützern mal aufge­fasst hat. Aber man kon­nte auch erken­nen, dass da doch noch sehr große Lück­en waren. Deswe­gen ist es auch gut, dass man sich dann entsprechend die passenden Part­ner an die Seite holt, damit man eben diese Lück­en schließt.

[Michael]

Ja, ich meine, wenn wir in die Man­age­ment-Ebene rüberge­hen, ist es, wenn ich nach der ISO-Norm zer­ti­fiziert bin, in der Regel, je nach­dem was für ein Unternehmen du bist, hast du eine 9001 inzwis­chen an der Backe, die gehört zu einem guten Ton. Das macht man, das macht auch Sinn, dann hat man eine gewisse Struk­tur, die man nach­weisen kann. Da ist es eigentlich selb­stver­ständlich, dass du irgen­deinem Haus hast, der QM macht, der QMB, der QM-Man­ag­er, der für das QM-Sys­tem ver­ant­wortlich ist, in der Regel min­destens eine Halb­tagsstelle, eher eine Voll­t­agsstelle, ist vol­lkom­men klar, dass es da einen für gibt.

Und die Sen­si­bil­isierung muss halt hin, es muss halt auch irgen­deinen dafür geben, der sich um den Daten­schutz küm­mert. Und es muss halt irgen­deinen geben, der sich um das The­ma Infor­ma­tion­ssicher­heit, Hash­tag 27001, NIS‑2, VDS 10.000 etc. pp., sich um den ganzen Kram küm­mert. Oder du musst halt ein­fach den QMB wesentlich fit­ter machen und er muss alles auf einen Schlag machen, nur dann hat er garantiert keine Zeit mehr für andere Tätigkeit­en. Also, wo ich hin will, ganz klar, du brauchst Experten für das The­ma, son­st drehst du dich rund im Unternehmen und kommst nicht wirk­lich weit­er oder läuf­st in die falsche Rich­tung. Das ist halt auch ärg­er­lich.

[René]

Ja, und am Ende des Tages soll man sich auf seine eige­nen Kom­pe­ten­zen konzen­tri­eren und sich nicht in Bere­iche einar­beit­en, mit denen man eigentlich so kaum Berührungspunk­te hat. Also so denke ich, dass du hast es vorhin… Vorhin?

Wenn jemand ein­fach nur mal hin und wieder mit so einem The­ma zusam­men, also irgend­wie in Berührung ist, wird er in der Tiefe nicht das Wis­sen haben. So, und er wird sich immer wieder damit beschäfti­gen. Am Ende des Tages ist er aber für etwas ganz anderes im Unternehmen zuständig, damit das Unternehmen Geld ver­di­ent.

So hart, wie sich das anhören mag, in den aller­meis­ten Fällen ist das Ziel aber, dass das Unternehmen Geld ver­di­ent. Und da gehören Daten­schutz und IT in den meis­ten Fällen nicht dazu. Es sei denn, ich habe entsprechende Per­so­n­en im Unternehmen.

[Michael]

Ja, es stellt aber einen regelmäßi­gen Geld­fluss sich­er, weil wenn mein Unternehmen erst mal von irgendwelchen Vor­fällen betrof­fen ist, lasst den ganzen Cyber­vor­fall und den ganzen Kram weg. Wenn der Serv­er stirbt, um es mal auf den Punkt zu brin­gen, oder wenn die Fest­plat­te crasht, wo die Dat­en drauf sind, kostet das Unternehmen das ein­fach richtig Kohle und richtig Pat­te, wenn kein vernün­ftiges Back­up-Konzept dahin­ter­ste­ht. Abso­lut.

[René]

Der Kunde hat­te halt damals seinen Bauleit­er einge­set­zt, sich mit der IT auseinan­der zu set­zen. Da merkt man halt, das sind zwei Branchen, die ein­fach nicht zusam­menge­hören, die ein­fach nicht zusam­men­passen. Und diese Per­son ist dafür da, um auf dem Bau das Geld zu ver­di­enen.

Der soll sich nicht mit IT auseinan­der­set­zen. Am Ende des Tages ist es ja auch so, meinetwe­gen beschäftigt er sich damit und dann gibt er diese Infor­ma­tion an uns weit­er. Was haben wir denn da gewon­nen?

Gar nichts. Da hät­ten wir es von vorn­here­in machen kön­nen, dann hätte er näm­lich in der gle­ichen Zeit da das Geld ver­di­ent und wir hät­ten das wahrschein­lich genau­so schnell lösen kön­nen. Darauf wollte ich ein­fach hin­aus.

Und deswe­gen ist es halt wichtig, dann sich entsprechende Experten dazu zu holen, die eben diese Bere­iche abdeck­en. Und zwar so, dass ich am besten als Unternehmen Ja und Amen dazu sage. Klar, man muss seine eige­nen Werte natür­lich auch vertreten kön­nen, darin seine eige­nen Vorstel­lun­gen mit vor­brin­gen.

Aber es muss eine Beratung geben, die dazu führt, zu sagen, ja, für euch ist das und das angemessen und so und so kann die Richtlin­ie ausse­hen. Und dann wird das aus­gestal­tet. So sehe ich das.

[Michael]

Und genau. Und was man halt auch immer noch sehen muss, du wirst ja damit nie fer­tig. Wann sind wir denn fer­tig?

Wann sind wir denn fer­tig mit dem Daten­schutz? Wann haben wir denn die ISO mal fer­tig? Das sind immer mal so Sprüche, die ich dann auch Nein, das ist ja ein fort­laufend­er Prozess, den du in einem Unternehmen imple­men­tierst und dann meinst du etwas so ins Unternehmen.

Und das muss fort­laufend betreut wer­den. Das wird irgend­wann mal weniger wer­den, wenn du es näm­lich als laufend­en Prozess drin hast. Und je häu­figer du in so einem laufend­en Prozess das Ding reg­ulierst und steuerst und betreib­st und fahren lässt und guckst, wohin es aus­pan­nt, umso ein­fach­er ist es.

Ja, wenn du ein­mal im Jahr dir irgendwelche Richtlin­ien anguckst oder den ganzen Kram im Schrank ver­stauben lässt, dann ist es halt ein totes Sys­tem. Und das kann halt immer sehr gut passieren, wenn der, der sich darum küm­mert, A nicht die Kom­pe­ten­zen hat, B nicht die Zeit hat und vielle­icht C sog­ar auch gar nicht die Lust dazu hat. Wenn ich keinen Bock auf so eine Num­mer habe, dann bleibt es auch schon mal irgend­wo in der Ecke liegen.

Ja, und jet­zt sind wir aber, jet­zt kom­men wir voll ins Nor­maltiefe rein, glaube ich, ja, Rich­tung ISO 27. Wenn ich von draußen getrig­gert werde, dass ich sage, was weiß ich, ich betreibe ein Rechen­zen­trum oder ich arbeite mit hochsen­si­blen Dat­en, meine Kun­de­nan­forderun­gen sind, weiß man, weiß man ISO Sys­tem nach, dann hast du in der Regel ein ISO 27001, Infor­ma­tion­ssicher­heitssys­tem, was du nach­weisen musst. Und das ist schon ein Brett, was du bohren musst an Com­pli­ance und an inter­nen Richtlin­ien, was du ins Unternehmen einpflanzen musst.

Und das ist ein Brett, was du bohren musst, dass du halt eben am Ende vom Tag ein funk­tion­ieren­des Sys­tem hast, was dir ein extern­er Audi­tor bestätigt, damit du dir ein Zer­ti­fikat an die Wand hän­gen kannst. Das, das kriegst du nicht mal eben schnell neben­her gemacht. Und das kriegst du auch nicht gemacht mit, ich kaufe mir jet­zt mal im Inter­net ein Vor­la­gen­paket und ab dafür, ja, für, für was weiß ich, 99,80 Euro, jet­zt kaufe ich mir noch die Norm für 120 Euro, die lege ich mir in das Kopfkissen und dann set­ze ich das mit den Tem­plates ein­fach um.

Mach suchen, erset­zen, Musterkunde durch meinen Fir­men­na­men und ab dafür. Das funk­tion­iert halt nicht. Das sind halt so, ja, wenn wir über IT Com­pli­ance und wir reden über Doku­men­ta­tion, wer schreibt, der bleibt, dann reden wir darüber, dass wir Exper­tise rein­brin­gen und beschreiben, wie wir es im Unternehmen wirk­lich machen.

Und da komme ich mit irgendwelchen Tem­plate-Dingern und mit 99-Euro-Dingern, damit komme ich nicht weit. Ich muss wis­sen, was ich tue. Ich muss das beschreiben und das geht nur dann richtig, wenn ich das Know-how dahin­ter habe und ich weiß, was ich da tue.

[René]

Ja, du, Tem­plates sind ja auch eigentlich genau das, was wir in der let­zten Episode kurz ange­sprochen hat­ten. Wenn ich anfange, irgend­wie andauernd Doku­mente, oder was heißt andauernd, aber wenn ich Doku­mente nehme, die qua­si schon fer­tig sind und ich soll sie nur noch per Lück­en­text aus­füllen, dann wis­sen wir doch alle, dann macht man das, aber man bringt halt sehr wenig irgend­wie noch mit rein. So kenne ich das zumin­d­est auch von mir, wenn man sowas macht.

Also ich gehe lieber etwas freier an diese Geschicht­en ran und baue dann die Richtlin­ie, also nein, die Richtlin­ie ist jet­zt falsch, aber so die geset­zlichen Dinge, die baue ich in das ein, was meine Ideen sind. Ich hole mir nicht die Ideen von anderen.

[Michael]

Ja, wobei man da aber auch fair­erweise sagen muss, du musst halt auch, zumin­d­est habe ich das als Berater so, ich erfinde auch nicht jedes Mal das Rad neu, aber ich sage meinem Kun­den, pass auf, ich habe ein Tem­plate-Paket, nimm es dir, fülle die, suche ein Erset­zen bei Word und dann wird schon alles gut sein, son­dern ich nehme mir für mich diese Vor­la­gen und diese Tem­plates, die ich habe, mit unter­schiedlichen Textbausteinen, mit unter­schiedlichen Szenar­ien und dann kann ich die mit einem Kun­den in Ruhe besprechen und kann das so indi­vid­u­al­isieren, dass es passt, auf Deutsch gesagt, dass eben nicht nur der Name getauscht wird und ich vielle­icht noch, das habe ich bei anderen Kun­den auch schon gese­hen, dann war mal der Kun­den­name falsch geschrieben aus Verse­hen, da hat er mal Buch­stabe geschluckt oder son­st irgend­was und das find­est du halt bei Suchen und Erset­zen nicht und dann ste­ht halt auf ein­mal mit­ten im Fließ­text ein alter Kun­den­name noch falsch geschrieben drin bei einem neuen Kun­den, weil der eben durch Suchen und Erset­zen eben den Kun­den­na­men nicht raus, was weiß ich, Buch­stabe hat­te gefehlt oder so.

Also das sind so Gaps, wo ich ein­fach nur noch da grin­sen kann und das ist so und dann siehst du, dass die Unter­la­gen nicht richtig gele­sen wor­den sind, dass es nicht richtig gepasst hat und dann kann es am Ende nicht richtig, dann kann es nicht gut wer­den.

[René]

Michael, es geht ja auch gar nicht darum, dass du das Rad neu erfind­est, mir ging es ja jet­zt aus Sicht des Unternehmens. Wir haben ja let­ztes Mal gesagt, das ist ja die Frage, aus welch­er Rich­tung man ger­ade kommt, ob man sagt, ich will jet­zt diese ISO erfüllen, weil es mir ger­ade aufer­legt wird oder ich möchte jet­zt ger­ade den Daten­schutz ein­fach erfüllen. Aber wenn ein Unternehmen mal nicht aus dieser Rich­tung kommt und sel­ber hat es ja irgendwelche Gründe, warum wir jet­zt an dieser Stelle ste­hen, dann kommt dieses Unternehmen ja mit sein­er Idee oder sagt, okay, das und das ist das, was wir jet­zt ger­ade fest regeln möcht­en, wofür wir die Com­pli­ance haben möcht­en und jet­zt brauchen wir dich dazu, um das in den vernün­fti­gen Guss zu brin­gen.

Dann bringt dieser Kunde, dieses Unternehmen ja trotz­dem seine eige­nen Ideen, seinen eige­nen Anspruch da qua­si mit rein. Also nicht, dass wir uns da falsch ver­ste­hen, dass du Tem­plates ver­wen­d­est, das ist völ­lig richtig. Ihr bringt es ja dann nach­her zusam­men, diese Idee und das, was den rechtlichen Bere­ich ange­ht.

Das ist ganz klar.

[Michael]

Was man auch sagen muss, aus einem Tem­plate sind noch nie zwei iden­tis­che Doku­mente erstanden, die ich eins zu eins bei irgendwelchen Kun­den skalieren oder kopieren kann. Das ist immer eine indi­vidu­elle Sache auf den Kun­den angepasst und das sind immer indi­vidu­elle Kisten, die nur dann funk­tion­ieren, wenn der Kunde aktiv das Doku­ment gele­sen hat, daran mitar­beit­et, seine Ideen rein­bringt. Und das ist bei allen Doku­menten so.

Und wenn wir nur über eine Pass­wor­trichtlin­ie reden, über eine Ver­schwiegen­heit­serk­lärung, die an sich ja, okay, machen wir Ver­schwiegen­heit, wird schon irgend­wie passen und Pass­wort sind wir uns auch einig. Setz noch schnell ein, wie viel Zeichen du haben willst über 8 und alles ist gut. Selb­st da gibt es Indi­vid­u­al­isierung drin und Sachen drin, dass der Kunde sagt, ich hätte es gerne anders da.

Und wenn es das Word­ing vom Unternehmen ist, dass das Unternehmen sagt, bei uns, wir nen­nen das anders da. Das heißt bei uns nicht Richtlin­ie, das heißt bei uns Prozess, das gibt bei uns Com­pli­ance. Also alles das sind Dinge, die die Indi­vid­u­al­isierung sind, um es in dem Mind­set von unserem Unternehmen anzu­passen.

[René]

Ja, deswe­gen ist es ganz wichtig, dass man das auch wirk­lich indi­vidu­ell hält. Jedes Unternehmen hat seine eige­nen Prozesse. Also ich bin zum Beispiel so, deswe­gen funk­tion­ieren bei mir Tem­plates oft nicht.

Klar, so als Richtwert, dass man sel­ber sagt, okay, wir haben jet­zt das und das und da kann ich es dann ein­set­zen, okay.

[René]

Aber grund­sät­zlich, also alleine schon, wenn wir vom CI sprechen und so. Also ich bin da sehr klein­lich und möchte, dass dann alles schön ein­heitlich aussieht, also auch von der Wort­wahl und so, dass das alles so eine Sprache spricht.

Deswe­gen kon­nte ich das ger­ade sehr gut nachvol­lziehen, was du da über den einen Kun­den gesagt hast. Ja, da sollte man halt guck­en, dass man sel­ber auch wirk­lich seine eige­nen Sachen damit rein­bringt, dass es wirk­lich eins zu eins dann so passt, wie man es gerne hätte. Dafür hat man dann auch den exter­nen Experten.

Es bringt nichts, wenn man dann sagt, ist ja cool, dass du jet­zt hier bist, dann gib mir mal, was du hast. Das wird schon alles richtig sein. Also man muss da wirk­lich auch dann alles in Anspruch nehmen, was der­jenige dann auch mit sich bringt.

[Michael]

Genau. Die Kun­st liegt darin, die Frei­heit­en nenne ich es jet­zt ein­fach mal und die Kreativ­ität von dem Unternehmen so in diese Richtlin­ien reinzu­pack­en. Wir hat­ten das im let­zten Pod­cast dass ein­fach geschrieben sind, dass das alles passt und die Indi­vid­u­al­isierung so vom Unternehmen mit rein imple­men­tiert wird, dass es trotz­dem noch kon­form ist zu irgendwelchen Richtlin­ien, zu irgendwelchen Geset­zen, dass es halt noch passt, dass die Ideen halt eben am Ende in den Guss reinkom­men, der funk­tion­iert.

Das ist die Kun­st. Und das kann kein Tem­plate und kein GPT. Noch nicht, Gott sei Dank.

[René]

Ja, aber dann hätte man auch am Ende des Tages, wenn sowas von der KI gelöst wird, wis­sen wir auch, auch dahin­ter steckt ja immer so eine recht ein­heitliche Vor­lage, die dann natür­lich ein biss­chen indi­vidu­eller wird, aber an sich der Baukas­ten ist ja immer wieder der gle­iche. Ja, Michael, ich würde fast sagen, Daten­schutz, Infor­ma­tion­ssicher­heit sind wir jet­zt, was die Com­pli­ance ange­ht, wie gesagt, das ist ja noch recht all­ge­mein gehal­ten. Da wären wir jet­zt so am Ende angekom­men, zumin­d­est was so die grund­sät­zlichen Dinge ange­ht.

Und wir wür­den dann im näch­sten Schritt, in der näch­sten Episode dann auf die reg­u­la­torischen Anforderun­gen und Stan­dards einge­hen.

[Michael]

Ja, also wir müssen natür­lich, wir kön­nen jet­zt, wir haben jet­zt eine sehr hohe Flughöhe gehabt hier in dem Pod­cast. Dann haben wir mal so ein paar The­men angestrichen. Wir wer­den natür­lich in den näch­sten The­men auf Dinge einge­hen, wie Pass­wortlev­el, Back­up­konzepte etc. pp. Welche Richtlin­ien oder welche Com­pli­ance sollte ich mir denn geben? Mit welchem Hin­ter­grund?

Für mich, für mein Unternehmen, fürs Rechtliche und fürs Geset­zliche. Ja, genau.

[René]

Da wer­den wir aber, denke ich, also wir wer­den jet­zt nicht auf jeden einzel­nen Punkt dann nochmal einge­hen. Es ist dur­chaus möglich, also wir wer­den schon nen­nen, okay, zum Beispiel so eine Pass­wor­trichtlin­ie soll­ten wir haben. Wir wer­den dann aber nicht nochmal ins Detail einge­hen, wie diese denn auszuse­hen hat.

Das wer­den wir ein­mal exem­plar­isch machen, dass man grund­sät­zlich weiß, was damit gemeint ist, was da in so ein­er Richtlin­ie drin­ste­hen sollte.

[René]

Aber dann wer­den wir uns auch ein biss­chen da rausziehen. Das hat ein­fach den Hin­ter­grund, dass wir ja in vorigen Episo­den schon über viele Dinge, über mögliche Umset­zun­gen gesprochen haben, nur damit wir es nicht dop­peln.

[Michael]

Wir haben die DIN SPEC besprochen, die 27076, glaube ich, sehr detail­liert mit allen möglichen Maß­nah­men. Das ist eine super Möglichkeit, Honig zu saugen und sich schon mal Gedanken zu machen und ein Mind­set dafür zu kriegen, wie Sachen tick­en und wie man Sachen umset­zen kann im Unternehmen, um mit seinen eige­nen Com­pli­ance-Richtlin­ien die Sicher­heit im Unternehmen nach oben zu drück­en. Das war, glaube ich, eine ziem­liche But­ton-Line, Sachen, was die 27076, die DIN SPEC macht.

Dass es nichts abge­dreht ist, und das haben wir alles im Detail besprochen. Das ist ein super Ein­stieg in das ganze The­ma.

[René]

Defin­i­tiv, genau. Da wer­den wir uns jet­zt nach und nach durch­hangeln und schauen, welche Bere­iche es auch branchen­spez­i­fisch gibt, wie diese ausse­hen kön­nen. Wir wer­den das exem­plar­isch machen und dann gehen wir so nach und nach durch, bis wir unser­er Mei­n­ung nach alles erre­icht haben, also immer vom All­ge­meinen.

Wir wer­den nie fer­tig, das ist klar.

[Michael]

Ich habe ger­ade etwas anderes im Kopf gehabt. Ich gucke ger­ade nach draußen. Wir haben ger­ade Mitte August, wir sind ger­ade, glaube ich, bei gefühlt 38 Grad in der Sonne, und ich über­lege ger­ade, ob wir es schaf­fen, zum let­zten Beitrag die Wei­h­nachtsmütze aufzuset­zen oder ob wir noch weit über das Ben­zin hin­auss­chießen.

[René]

Okay, sagen wir mal so, wir ver­suchen es, bis Wei­h­nacht­en zu deck­eln, damit wir jet­zt nicht, was weiß ich, wie lange darüber sprechen, weil da gibt es noch genug andere The­men, ger­ade auch, was dann wieder kommt. Aber wir wer­den es jet­zt natür­lich nicht kom­plett nur ober­fläch­lich ger­ade über­fliegen, weil die Com­pli­ance generell ist schon ein sehr großer Punkt und kann sehr spez­i­fisch sein, kann all­ge­mein sein, aber es gibt viele Möglichkeit­en, eine Com­pli­ance einzuführen. Und dem The­ma möcht­en wir auch gerecht wer­den.

Also dementsprechend wer­den wir auch die Zeit investieren, auch hier entsprechend nutzen. Und auch da, wenn dann irgend­wann mal Anre­gun­gen da sind, wo ihr das Gefühl haben soll­tet, okay, da fehlt mir jet­zt ein The­ma, ich habe da irgend­wie was, das sollte auf jeden Fall noch mal besprochen wer­den, immer gerne in die Kom­mentare oder per Nachricht an uns, auf unsere LinkedIn-Seit­en, per Nachricht an uns direkt, per Mail, per was weiß ich was, immer gerne melden. Und dann schauen wir, dass wir diese Sachen dann eben mit ein­bauen, damit wir eben da auch euren Wün­schen entsprechend gerecht wer­den und ja, den Umfang bieten, den ihr auch benötigt und euch wün­scht.

[Michael]

Sehr schön. Würde ich sagen, Sack zu, Deck­el drauf, ab in den Pool. Besten mit einem kalten Weißwein oder so.

[René]

Kalter Weißwein, okay.

[Michael]

Ja klar, Weißwein trinkt man kalt.

[René]

Ja, ich komme aus dem Nor­den, wir trinken keinen Wein.

[Michael]

Ja, komm mal in mein Alter, dann weißt du auch einen guten kalten Weißwein zu schätzen. Die Kun­st ist, davor gegen den Durst was zu trinken und nicht den Wein als Durstlösch­er zu nehmen.

[René]

Eine küh­le Weizen­schor­le, die tut es auch.

[Michael]

Ja, genau, vorher zwei Weizen gegen den Durst und dann Wein für den Geschmack. In diesem Sinne, einen schö­nen Feier­abend, vie­len Dank fürs Zuhören. Wir hören uns beim näch­sten Mal von mein­er Seite aus.

Tschüss. Die let­zten Worte sind dir, René.

[René]

Besten Dank, Michael. Besten Dank in der Runde. Wir hören uns in 14 Tagen wieder.