#27 ITC — Regulatorische Anforderungen & Standards

[Michael]

Ja, hal­lo und her­zlich willkom­men zu unserem neuen Pod­cast von unser­er users lounge wieder gemein­sam mit René Gep­pert. Moin René, grüße dich.

[René]

Moin Michael.

[Michael]

Hi, The­ma heute, ich glaube heute wird es trock­en, wir ver­suchen es auch ziem­lich lustig rüberzubrin­gen und ein biss­chen Dynamik da reinzubrin­gen. Wir wollen über reg­u­la­torische Anforderun­gen reden, das was der ITler nicht so gerne mag und was der QMler und der Daten­schützer, wo er sich wohl unheim­lich fühlt. Ja, lass uns ein biss­chen über reg­u­la­torische Anforderun­gen sprechen im IT-Umfeld, Infor­ma­tion­ssicher­heit, DSGVO, ein­mal quer rüber.

Und auch jet­zt schon gle­ich der Spoil­er, wenn ihr Fra­gen habt im Nach­gang, wenn irgend­was unklar ist, schickt uns eine Nachricht, sagt uns kurz Bescheid, wir kön­nen euch da gerne auch nochmal auf dem direk­ten Weg unter­stützen, nochmal Fra­gen beant­worten etc. pp. Weil ich glaube wir wer­den heute ziem­lich grob über viele Nor­men hin und her fliegen, es kön­nte passieren, dass wir hier und da sprin­gen und von daher gle­ich, kein­er bleibt zurück, wenn irgend­was ist, irgend­was unklar ist, meldet euch gerne bei uns und wir bemühen uns das im Nach­gang auch aufzuk­lären.

[René]

Genau, die reg­u­la­torischen Anforderun­gen und Stan­dards, das ist ja auch auf die IT-Com­pli­ance bezo­gen. Also jet­zt nicht im großen Ganzen, son­dern wirk­lich jet­zt speziell auf unsere Serie, die wir ja ges­tartet haben. Michael, ist dir eigentlich aufge­fall­en, dass wir über ein ganz kleines Jubiläum vor zwei Fol­gen jet­zt hin­wegge­gan­gen sind?

Ein­fach so? Wir waren bei Folge 25.

[Michael]

Ja, wir haben echt schon 25 Fol­gen gemacht.

[René]

Ja.

[Michael]

Ja, die Zeit knallt im Moment durch. Über­leg mal, wir sind jet­zt auf­nah­men­mäßig so Som­merende, so im Sep­tem­ber drin und im Moment fliegt das ein­fach so.

Du musst dir jet­zt mal über­legen, es dauert jet­zt noch, ich mache jet­zt nochmal kurz Urlaub, ich gönne mir jet­zt nochmal zwei Wochen Urlaub und dann ist Okto­ber. Da gehen die End­spurte schon los mit Kun­den, Gespräche etc., pp und wie schnell sitzen wir mit dem Rotwein unter dem Wei­h­nachts­baum. Also das knallt jet­zt richtig und so wie es geflo­gen ist, ist wahrschein­lich auch die Folge 25 an uns vor­beige­flo­gen.

[René]

Qua­si. Aber wir haben sie ja gefeiert, indem wir dann in die IT-Com­pli­ance ges­tartet sind.

Für Episode 50 lassen wir uns aber dann was ein­fall­en. Für 50 lassen wir uns was ein­fall­en, ja. Genau.

[Michael]

Ja, die Com­pli­ance. Ja, genau. Jed­er liebt sie, jed­er darf sich damit herumärg­ern, jed­er muss sie mehr oder weniger.

Die einen müssen, die anderen dür­fen, die näch­sten wollen, die näch­sten sollen. Mit wem kann man glaube ich Tage ver­brin­gen, um sich mit dem The­ma auseinan­derzuset­zen? Mit welch­er Sache möcht­est du, wenn du das IT-Umfeld denkst und gehst hier an die IT-Com­pli­ance, mit was wirst du am meis­ten kon­fron­tiert, wenn du so im Kun­de­num­feld unter­wegs bist?

Wo hängt so bei dir der größte Fokus, wo drückt am meis­ten der Schuh, wo ist der Ein­stieg bei dir oder bei euch im Unternehmen?

[René]

Defin­i­tiv Secu­ri­ty. Das ist immer der Punkt. Ich meine, Com­pli­ance kannst du ja auch in viele Rich­tun­gen strick­en.

Also du kannst natür­lich sagen, okay, ich gucke jet­zt wirk­lich, wie ist meine Sicher­heit. Ich kann aber auch Prozesse dort fes­tle­gen, also Anwen­dun­gen und Son­stiges. Also eine Com­pli­ance lässt sich ja in alle Rich­tun­gen qua­si erstellen.

Aber was ich auf jeden Fall fest­gestellt habe, das Große aller Dinge, wo man dann eben über solche rechtlichen und auch dann eben inter­nen Regelun­gen stolpert, ist immer Secu­ri­ty.

[René]

Also ob wir aus dem Audit-Bere­ich kom­men, wo man dann darauf stößt, logis­cher­weise, weil bes­timmte Dinge vielle­icht noch nicht umge­set­zt sind, oder eben auf der anderen Seite, wo man sagt, okay, wir möcht­en was an unseren Prozessen ändern. Dafür möcht­en wir aber entsprechende Richtlin­ien erstellen.

Man stolpert immer wieder über die gle­ichen The­men. Und wie gesagt, haupt­säch­lich ist es Secu­ri­ty. Da sind wir am meis­ten unter­wegs.

[Michael]

Ja, ich merke das ja auch. Ich mache ja nur Com­pli­ance, in Anführungsstrichen. Ich küm­mere mich ja nur um Qual­itäts­man­age­mentsys­teme und um Daten­schutz.

Das ist halt mein täglich­es Brot. Da gehen Unternehmen rein, die haben Prob­leme, sich zu organ­isieren, haben Prob­leme oder haben ein The­ma, sie brauchen ein Zer­ti­fikat, sie wollen ein Man­age­mentsys­tem im Unternehmen auf­bauen. Sie wollen Com­pli­ance haben, um eben Regeln und Spiel­regeln im Unternehmen festzule­gen, um sachen zu kön­nen.

Und das machen sie aus unter­schiedlichen Din­gen. Entwed­er haben sie einen Anspruch, dass von draußen jemand reinkommt und sagt, also Klas­sik­er ist, dass irgen­dein Zulief­er­er kommt oder irgen­dein Dien­stleis­ter kommt oder ein Großkunde kommt und sagt, hier pass auf, ihr macht zwar einen ganz guten Job, das ist ziem­lich cool, was ihr macht, aber jet­zt müssen wir das Lev­el ein biss­chen hochziehen. Wir sagen jet­zt ab sofort, wir nehmen nur noch Liefer­an­ten, die meinetwe­gen nach ein­er ISO 9001 zer­ti­fiziert sind oder 27001 Zer­ti­fikate nach­weisen kön­nen im Bere­ich Infor­ma­tion­ssicher­heit.

Und so kom­men halt Anforderun­gen von außen rein. Oder was halt auch ist, dass die Geschäft­sleitung und das Unternehmen selb­st sich trig­gert und sagt, wir müssen uns in irgen­dein­er Art und Weise eine vernün­ftige Struk­tur geben und müssen die Dinge tun, die man tun muss, um eben gewisse IT-Secu­ri­ty-Com­pli­ance, wie es von der IT-Sicht jet­zt kommt, einzuhal­ten und zu stellen und ein­fach aus eigen­er Inten­tion her­aus sagen, wir brauchen irgend­was, wo wir uns dran hangeln kön­nen.

Und dann ist der Stan­dard, wom­it man immer loslegt und sagt, guck dir doch mal die ISO 9001, die Brot- und But­ter­norm im Qual­itäts­man­age­ment, wo so die ersten Regeln mal drin sind und wo man ein paar Sachen geregelt kriegt. Und das ist so das eigentlich, wom­it man dann mal einen Guck reinkriegt, wenn man ein­fach nur von Ord­nung und Struk­turen im Unternehmen redet.

[René]

Ja, also all das, was du ger­ade gesagt hast oder ange­sprochen hast, das ist das, worüber wir uns heute unter­hal­ten. Grund­sät­zlich wollen wir aber natür­lich auch dann, also wir steuern ger­ade so auf das Ziel hin, dass wir wirk­lich besprechen, wie man eine Com­pli­ance wirk­lich auf­set­zt von vorne bis hin­ten. Aber wir sprechen jet­zt erst­mal darüber, wie die einzel­nen Schritte sind.

Nicht, dass hier jet­zt irgend­je­mand dabei sitzt und erwartet, dass wir jet­zt eben was aus der Tasche holen. Wir wollen jet­zt erst­mal den Weg dahin gehen, dass man das Ver­ständ­nis für die unter­schiedlichen Bere­iche hat. Und dann wer­den wir zum Schluss und darin gipfelt das Ganze, dann darauf einge­hen, wie man wirk­lich eine bes­timmte Com­pli­ance erstellt, wie der genaue Vor­gang da ist.

Und dann würde ich sagen, da kön­nen wir ja eigentlich direkt wirk­lich in diese reg­u­la­torischen Anforderun­gen reinge­hen. Und du hast ja ger­ade schon ein paar Sachen gesagt. Michael, ger­ade weil du den ganzen Tag ja dich mit genau sowas beschäftigst, warum sind Reg­ulierun­gen über­haupt notwendig?

Also was ist so, warum sagst du für dich, ja, das macht Sinn, abge­se­hen vom Geset­zge­ber?

[Michael]

Also ich bin ein­er, der sehr strin­gent und nach klaren Regeln vorge­ht. Also du hast, wenn du Com­pli­ance, wenn du dir sel­ber Spiel­regeln gib­st, schaffst du eine Trans­parenz im Unternehmen und ein­fach Dinge trans­par­ent darzustellen. Und jed­er weiß, was er zu tun hat oder jed­er weiß, was er zu lassen hat.

Das sind ganz, ganz banale Dinge, wom­it wir dann immer schon mal losle­gen. Das hat großar­tig mit Com­pli­ance noch nichts zu tun. Es geht schon los beim Organ­i­gramm, dass du ein­fach klare Regeln hast, damit du weißt, welche Per­son in welch­er Posi­tion im Unternehmen tätig ist, was sind deren Auf­gaben und was sind eben nicht deren Auf­gaben.

Das sind so Dinge, wo ich sage, das ist super wichtig. Und dann geht es natür­lich weit­er mit Prozessen. Wie vergeben wir Pass­wörter, wie stellen wir IT-Serv­er an, welche Back­up-Sys­teme haben wir, diesen ganzen Kram.

Es macht immer Sinn, das aufzuschreiben und das so trans­par­ent dazuhaben, dass, wenn auch mal ein Drit­ter kommt oder der IT-Admin oder Per­son X auch immer, die das son­st immer tut, wenn die mal im Urlaub ist oder wenn die mal krank zu Hause liegt oder was auch immer mal passieren darf. Oder es gibt ja auch noch den Fall, dass auch mal Mitar­beit­er in ein Unternehmen wech­seln, dass halt eben die Möhre nicht ste­ht, son­dern dass die Prozesse so trans­par­ent sind und so doku­men­tiert sind, dass das ein ander­er übernehmen kann. Das ist für mich eine super essen­tiell wichtige Sache.

Ich meine, René, da haben wir noch nicht drüber gesprochen, dass externe Fir­men kom­men, audi­tieren dich und machen dir son­st irgend­was. Son­dern da geht es nur ein­fach darum, dass du als Unternehmen ein ure­igenes Inter­esse damit haben soll­test, eben kein Königswis­sen zu haben, wie man das früher immer gesagt hat oder wie man es wahrschein­lich heute auch noch sagt. Das Wis­sen bei ein­er Per­son, wenn die geht, ist Hopfen und Walz ver­loren, son­dern du musst Wis­sen trans­par­ent in einem Unternehmen doku­men­tieren, egal welch­er Größe.

[René]

Ja, also dieses Insel­wis­sen, so nenne ich es meist, Insel- oder Silowis­sen, das sollte man nicht haben. Bestes Beispiel dafür finde ich immer, wenn jemand Neues zum Unternehmen dazu stößt. Ich habe eine neue Mitar­bei­t­erin, einen neuen Mitar­beit­er, die müssen ja ein­fach wis­sen, was Phase ist.

Und da kann ich nicht jedes Mal für jede Kleinigkeit sagen, okay, da sitze ich jet­zt der daneben, der daneben, der daneben, son­dern das muss da ein­fach ste­hen. Und diese Per­son muss sich dann auch on the fly, also ich sage mal im Betrieb, im täglichen Betrieb muss sie sich auch darüber informieren kön­nen, weil ich kann zu Anfang immer ganz viele tolle Sachen erzählen, aber das wird die Per­son nicht alles behal­ten kön­nen. Und dafür ist es halt ide­al, das dann auch aufzuschreiben.

Und ich bin da ganz bei dir, ich bin auch jemand, der sehr struk­turi­ert ver­sucht, ver­sucht sage ich ganz bewusst, weil das Tagew­erk schmeißt ja dann doch hin und wieder über den Haufen. Aber ich bin auch jemand, der ver­sucht, sehr stan­dar­d­isiert und struk­turi­ert zu arbeit­en.

[Michael]

Ja, und du hast halt auch, wenn du dir sel­ber Struk­turen gib­st oder wenn du Struk­turen im Unternehmen drin hast, dann darf­st du auch mal, wenn es im Tages­geschäft bum­melt und brummt, auch mal kurz von der Struk­tur ein Stück abwe­ichen, sage ich jet­zt mal vor­sichtig oder ein wenig Kreativ­ität. Du weißt das aber dann bewusst, du weißt dann bewusst, was du tust und das ist nur in einem eingeschränk­ten Bere­ich und du kannst entwed­er arbeitest es nach oder du guckst dann, dass du es doch wieder irgend­wie zusam­menkriegst, aber das ist eine ganz andere Haus­num­mer, als wenn du struk­tur­los und irgendwelche Regeln und Vor­gaben in deinem Unternehmen in den Tag rein­leb­st. Du hast eben das Beispiel mit dem Mitar­beit­er gebracht.

Ich glaube, das ist ein super Beispiel, woran man das auch trans­par­ent machen kann. Wenn du keine Regeln hast, was du einem Mitar­beit­er schulen musst und was er wis­sen soll und ihm das auch nicht irgend­wo servierst, in einem Wiki, in einem Doku­ment, in einem Papi­er, in einem what­ev­er geart­eten doku­men­tierten Infor­ma­tion, wie auch in einem Video, in einem Erk­lärvideo. Wie willst du ihm denn das Wis­sen ver­mit­teln?

Wie willst du sich­er sein, dass ihr alle auf einem Stand seid? Und vor allen Din­gen, wie willst du sich­er sein, dass du daran denkst, dass du ihm auch alles ver­mit­telst? Ich meine, das sind jet­zt so viele Fak­toren rein, die das sin­nvoll machen, doku­men­tierte Infor­ma­tio­nen zu haben, Prozesse aufzuschreiben, Vorge­hen zu definieren und das ist so super wichtig.

Ja, genau.

[René]

Und du müsstest auch mitleben. Das finde ich immer wichtig. Da gibt es ja diesen Spruch, tue, was ich sage und nicht, was ich mache.

Den sollte man nicht bewahrheit­en lassen. Also wirk­lich immer mit gutem Beispiel vor­ange­hen, vor­leben, was man wirk­lich auch erwartet.

[Michael]

Ja, auch das. Und das ist der Grund, warum ich alten Fre­und von Richtlin­ien und Spiel­regeln im Unternehmen bin. Klare, trans­par­ente Kom­mu­nika­tion, klare Regeln.

Das heißt jet­zt nicht, dass die in Stein gemeißelt sind, die in den näch­sten 1000 Jahren so sind. Wenn ich sie ein­mal fest­gelegt habe, die dür­fen dynamisch sein, die entwick­eln sich, ganz klas­sisch PDCA-Zyk­lus, wir verbessern uns, es ändern sich Prozesse und Regeln, aber ich muss sie doku­men­tiert und sauber haben, damit ich weiß, das ist meine Basis. Das sind meine Änderun­gen und jed­er kann die sich durch­le­sen oder jed­er kann die sich anschauen und jed­er ist auf dem gle­ichen Lev­el, weil er die gle­ichen Infor­ma­tio­nen kriegt und dieses ganze stille Post­ge­habe und ein­er weiß es und ver­sucht es irgen­deinem anderen zu erk­lären, das hört alles auf.

[René]

Ja, da sind auch die geil­sten Sachen so. Das haben wir immer so gemacht. Ja, die Per­son war nicht im Unternehmen vorher, woher soll die das wis­sen, wenn es jet­zt wirk­lich eine neue Mitar­bei­t­erin oder so ist.

Wobei ich den Spruch sowieso has­se wie die Pest. Davon sollte man sich mit­tler­weile wirk­lich ver­ab­schiedet haben. Aber ja, also das dann ein­fach sagen, es muss alles niedergeschrieben sein.

Und wie du schon sagst, das Organ­i­gramm ist halt immer so ein per­fek­tes Beispiel dafür. Also alle Fir­men wer­ben ja damit auch flache Hier­ar­chien und machen wir auch.

Also jed­er bei uns ist ansprech­bar, wobei wir wer­ben damit nicht.

Wir leben das halt. Es ist aber ein­fach so, umso flach­er die Hier­ar­chien sind, umso weniger ist dann erken­ntlich, wer wirk­lich an welch­er Stelle ste­ht. Und dafür ist halt das Organ­i­gramm als Beispiel jet­zt das Organ­i­gramm auf jeden Fall schon mal viel wert.

Und das hat man halt in ganz, ganz vie­len Bere­ichen. Also das Organ­i­gramm ist natür­lich jet­zt nur ein Aufhänger.

[Michael]

Also du ver­stehst, was ich meine. Es gibt ja, ich habe schon so viele Fir­men gese­hen, wo die Mitar­beit­er eine gewisse Eigen­dy­namik entwick­eln und plöt­zlich nicht mehr das machen, was sie eigentlich tun soll­ten, weil sie keine klaren Gren­zen und Schnittstellen definiert haben. Ich übertreibe jet­zt mal, wenn der Haus­meis­ter anfängt, den Kuchen zu back­en und den Kaf­fee zu kochen und sich darum zu küm­mern, dass die Gäste bewirtet wer­den, anstatt die Straße zu kehren, dann läuft irgend­was verkehrt.

Also du ver­stehst, du weißt, wo ich hin will. Und das habe ich bei so vie­len Leuten und dann kracht es dann halt auch. Dann schreibt halt auf ein­mal irgen­dein­er Liefer­schein oder Rech­n­er, was halt nicht seine Auf­gabe ist.

Egal, ob er es böse will oder gut will oder was auch immer, aber dann sind da halt Bugs drin. Dann rennst du da wieder hin und her und dann sagst du, ja, ich habe es doch nur gut gemeint und hin und her etc. Und hat mir kein­er gesagt, dass ich das nicht darf und all so Spiel­erei.

Und das sind so Dinge, wo ich sage, klare Regeln, macht klare Prozesse, macht klare Regeln und regelt, wer für welchen Prozess ver­ant­wortlich ist und für welchen Prozess den Hut auf hat und sich darum küm­mert, dass er das eben so macht. Und alle anderen lassen da bitte die Fin­ger weg.

[René]

Ja, sehe ich ganz genau­so. Also auch das, um wirk­lich Abgren­zun­gen zu schaf­fen, ist das Gold wert.

[René]

Aber da sind wir jet­zt noch nicht so ganz in der Com­pli­ance, aber das ist natür­lich die gle­iche Rich­tung.

Auch da in der Com­pli­ance lässt sich das ja auch fes­tle­gen, welch­es Team ist wofür da, ohne jet­zt jeman­den namentlich zu nen­nen. Das macht natür­lich wenig Sinn. Aber wenn man jet­zt sagt, okay, ich habe so gewisse Abteilun­gen, die Abteilung arbeit­et mit dem Sys­tem so, die Abteilung arbeit­et mit dem Sys­tem so und auch, wo ist genau dieser Über­gabepunkt zu der anderen Grup­pierung und welche Anwen­dung wird genutzt, wo ist die Schnittstelle, wie kön­nen wir darauf zugreifen?

Also da gibt es ja ganz, ganz viele Dinge und da macht es genau­so Sinn wie in Organ­i­gramm, Auf­gaben­verteilung und so weit­er und so fort. Und deswe­gen finde ich das auch immer span­nen­der, wir gehen ja immer weit­er in diese Rich­tung. Und wir haben schon so oft darüber gesprochen und man ja immer, na, es ist immer irgend­wie ein Muss, eine Pflicht, wir müssen das tun, wir tun das.

Aber man merkt halt, das ist eigentlich, wenn man sich das so, also ganz viele Dinge sind ein­fach so, dass, wenn man sie auf andere Bere­iche überträgt, dass man da ja erken­nen kann, ich muss das in dem anderen Bere­ich nicht machen, aber ich merke, dass es dadurch, dass ich es mache, ja ein­fach flüs­siger und effek­tiv­er läuft. Und das ist halt bei der Com­pli­ance genau das gle­iche The­ma. Also da geht es ja nicht darum, irgend­wie um etwas zu erfüllen, ein­fach es gemacht zu haben, weil dann würde man ja ein­fach nur Zeit ver­schenken, es sei denn, die rechtliche Schiene kommt.

Aber wenn man dann wirk­lich etwas macht, was nach­her zur Effek­tiv­ität oder zur Pro­duk­tiv­ität beiträgt, dann hat man ja auch richtig was davon.

[Michael]

Ja, also es wird auf jeden Fall zur Pro­duk­tiv­ität, Effek­tiv­ität und wenn wir rüberge­hen in die IT-Sicher­heit, auf jeden Fall die Sicher­heit erhöhen. Trans­parenz, Trans­parenz schafft Sicher­heit, zumin­d­est im zweit­en Schritt. Und da ist halt auch den Bogen rüberzuschieben.

Wir haben eben von, jet­zt ger­ade vom Organ­i­gramm rechte Rollen gesprun­gen, alles klar, cool. Aber geht den Bogen weit­er. Geh mal in, mach mal eine Über­sicht in einem Unternehmen, welche Soft­ware über­haupt vorhan­den ist und welche Com­put­er über­haupt da sind.

Reg­u­la­torisch sprechen wir vom Asset-Inven­tar und Auf­stel­lung von Assets im Unternehmen, aber mach das mal. Geh mal, für mich, wenn ich so als Reg­u­la­torisch­er da reinge­he und sage, pass mal auf, gib mir mal deine Asset-Liste, lass mal guck­en, was ihr da habt und die guck­en mich an wie ein Auto und die sagen, okay, was ist jet­zt das? Sag ich, welche Soft­ware habt ihr denn im Betrieb drin?

Ja, oh, puh, ja, puh. Und das sind halt so Momente, wo ich denke, das sollte doch der ure­igen­ste Anspruch sein im Unternehmen, zu wis­sen, was ich für Com­put­er habe, wer bei mir im Netz drin hängt, welche Soft­ware im Ein­satz sind und was wirk­lich bei mir im Unternehmen abge­ht. Und das ist nicht mehr triv­ial, das ist das Prob­lem.

Früher war das ein­fach. Früher hast du einen Serv­er in den Server­raum reingestellt, dann kam die Microsoft-CD oder die CD von what­ev­er her, die hast du genom­men, hast du auf den Serv­er einge­spielt und das war deine Soft­ware.

Dann hast du die CD genom­men, die hast du in den Regal gestellt und wenn irgend­je­mand gefragt hat, was habt ihr denn für Sys­teme im Recht, auf dem Serv­er hast du gesagt, da ist ein CD-Regal, schreib dir die Namen von der Hülle ab, dann weißt du genau, welche Soft­ware instal­liert wurde.

Und mit den PCs, die waren mit einem Ladenk­a­bel dran, das waren sta­tionäre Desk­tops, die hat kein­er euch die Gegend getra­gen. Heute in Zeit­en von Tablets, Lap­tops, Handys und Soft­ware-as-a-Ser­vice-Dien­stleis­tun­gen ist das dur­chaus eine Her­aus­forderung, welche Soft­ware über­haupt im Unternehmen im Ein­satz ist.

[René]

Defin­i­tiv. Auch die Sys­teme an sich. Du sagst ja ger­ade das Asset-Man­age­ment.

Wenn man da ein­fach mal guckt, damals hast du halt diesen einen Serv­er gehabt, der war bei dir im Haus, da war alles drauf. Lass es meinetwe­gen zwei, drei gewe­sen sein, je nach­dem, was man hat­te. Aber heute, die kön­nen bei unter­schiedlichen Hostern sein, das kann ja Infra­struc­ture-as-a-Ser­vice sein, das kann Soft­ware-as-a-Ser­vice sein.

Es sind so viele Dien­ste, die man da ein­fach miteinan­der verbinden kann, dass es schon schw­er ist, wenn man da nicht wirk­lich von Anfang an vernün­ftig doku­men­tiert, damit man dann den Überblick behält. Also doku­men­tieren, um zu behal­ten. Und wenn man das eben nicht tut, dann ste­ht man da nach ein­er gewis­sen Zeit wirk­lich schlecht da.

[Michael]

Du ver­lierst die Über­sicht. Du ver­lierst die Über­sicht. Und dann hast du das Prob­lem, wenn wir IT-Sicher­heit und Com­pli­ance rüberge­hen und wir reden ein­fach über Daten­ver­ar­beitung, ganz pauschal, woher willst du denn wis­sen, um konkret zu wer­den, welche Dat­en du back­u­pen musst von welchen Sys­te­men, wenn du über­haupt gar keine Ahnung mehr hast, welche Sys­teme du über­haupt aktiv im Ein­satz hast?

Klas­sik­er Soft­ware-as-a-Ser­vice. Und bogen rüber zu Com­pli­ance. Da musst du halt eben Regelun­gen tre­f­fen.

Darf ein Mitar­beit­er einen Soft­ware-as-a-Ser­vice-Dienst sich ein­fach anmelden und auf den buchen? Oder über welche Prozesse läuft das rüber? Und nur darüber kriegst du die Kon­trolle.

Ein Klas­sik­er, den ich immer mehr sehe, ist, wenn HR-Prozesse, also HR-Soft­ware aus­ge­lagert wird. Stich­wort Per­so­n­i­um. Per­so­n­i­um ist eine Soft­ware, da kriege ich das ganze Per­sonal­man­age­ment mit rein.

Da kann ich Schu­lun­gen wegen mir noch doku­men­tieren. Ich kann die Arbeitsverträge mit hochlehnen. Also es geht grob und ganz um Per­son­al.

Wenn ich da nicht die Kon­trolle drüber habe und nicht weiß, als IT-ler, dass die Per­son­al­abteilung sich jet­zt auch mal was tolles über­legt hat und jet­zt auf ein­mal in das Ding rein­schießt und da eine Soft­ware auf­baut und plöt­zlich liegen gar keine Per­son­alak­ten mehr auf dem Serv­er, son­dern die sind alle in der Cloud-Infra­struk­tur drin­nen von Per­so­nio oder von dem Anbi­eter drin­nen, ja für was brauche ich das? Also dann kriege ich auch die Dat­en nicht mehr geback­upt als IT-ler und kann halt die Ver­füg­barkeit der Dat­en nicht mehr sich­er­stellen, weil die über­haupt nicht mehr auf meinem Sys­tem liegen, weil die in irgen­dein­er Infra­struk­tur jet­zt drin sind, bei irgen­deinem Soft­ware-as-a-Ser­vice-Dien­stleis­ter. Und dann muss ich da guck­en, wie ich mit Ser­vice-Lev­el-Agree­ments, Back­up, Restore etc. pp. eben die Ver­füg­barkeit sich­er­stellen kann. Da klare Regeln zu schaf­fen und da eine klare Trans­parenz und ein Mind­set im Unternehmen für solche The­men zu haben, finde ich essen­tiell wichtig.

[René]

Ja, ganz ein­fach­es Beispiel aus der IT-Sicht, Berech­ti­gungs­man­age­ment. Und das kenne ich wirk­lich aus so vie­len Unternehmen. Die haben da mit IT ange­fan­gen vor 20 Jahren, zwis­chen­durch hat der­jenige, der die IT betreut, fünf­mal gewech­selt oder meinetwe­gen auch nur zweimal, egal.

Und dann haben die ange­fan­gen vorher auf User-Ebene Berech­ti­gung zu vergeben, dann irgend­wann sind sie dazu überge­gan­gen in Grup­pen­berech­ti­gung zu vergeben. Das Prob­lem dabei ist ja, dass die eine Berech­ti­gung die andere über­schreibt, also die hat die Hoheit darüber. Also ver­weigern über­schreibt ein Erlauben.

So, und wenn ich jet­zt auf User-Ebene ver­weigert habe, dann in Grup­penebene zuge­lassen habe, ist nach­her das Prob­lem, wenn der­jenige keine Ahnung hat, woher das kommt, dass er sich da auch mal einen Wolf suchen kann. So, das ist ja etwas, also da, das ist genau das Gle­iche. Also da, genau dafür ist so eine Doku­men­ta­tion ein­fach Gold wert, weil wenn jemand da wirk­lich mal klar beschrieben hätte, okay, wir haben es vorher auf User-Ebene gemacht oder vielle­icht sog­ar noch Sub­grup­pen oder was weiß ich wie.

Also da eine vernün­ftige Doku­men­ta­tion hätte da klar weit­erge­holfen. Und das habe ich wirk­lich sehr oft gese­hen. Ich weiß, dass wir haben bei uns, in eini­gen Kom­mentaren habe ich es jet­zt schon gele­sen, da sind einige wirk­lich sehr, sehr gut aufgestellt, andere wiederum eben nicht.

So, und da ist es halt, da merkt man halt, okay, die einen, die, auf was dann auch so ein Unternehmen dann Wert legt. Und da ist es halt, also ich finde, genau dafür sind diese, also Papi­er, also das zu Papi­er zu brin­gen, kostet nichts. So, das kann kein­er als Ausrede nehmen.

[Michael]

Und jet­zt, pass auf, es kommt wieder zu meinem Organ­i­gramm. Wenn du dein Organ­i­gramm rol­len­basierend machst, ein­mal Ver­trieb, Per­son­al­abteilung, Pro­duk­tion, sage ich jet­zt ein­fach mal als Beispiel. Die Mitar­beit­er auf die Rolle set­zt und du dann noch dir in deinem Active Direc­to­ry, in deinem recht­en Rol­lenkonzept auf dein­er Server­struk­tur die Rollen und die Funk­tio­nen da genau­so benennst wie im Organ­i­gramm, dass du genau weißt, jet­zt fängt der Gün­der, fängt jet­zt in der Per­son­al­abteilung an.

Also set­ze ich in dem Organ­i­gramm auf die Rolle Per­son­al­abteilung und die IT set­zt ihn auf die Per­son­al­abteilung und dahin­ter, hin­ter diesem Rol­len­basieren­den Rechtekonzept kriegt der automa­tisch genau das, was er braucht an Zugrif­f­en auf Net­zlaufw­erken, der hat und es gibt eine har­monis­che Suppe, es ist alles namentlich gle­ich und es passt har­monisch beieinan­der. Das wäre ja total une­in­fach, das ist ja crazy, da müsstest du ja gar nichts mehr Per­son­al­abteilung machen, auch bei Onboard­ing und Off­board­ing, jet­zt du ja als ITler, hättest du ja einen super leicht­en Job, du set­zt den da drauf und nimmst den runter und das heißt nicht, ja nehm mal den Mitar­beit­er, kopi­er den mal rüber, aber anstatt die Rolle soll er bitte das Laufw­erk noch kriegen und anstatt den Soft­ware hat er jet­zt noch Zugriff auf die andere und dafür ist aber jet­zt son­st noch irgend­was. Wenn du es har­mon­isierst und machst, ich weiß das ist Arbeit und das tut vielle­icht ein­mal weh vom Umstellen, aber dann kriegst du eine Trans­parenz rein, die dir das Leben auf jeden Fall leichter macht.

Defin­i­tiv, das ist so. Ja und auf Benutzerebene ist ja absolute Hölle. Es fängt an in der Abteilung, aber gib ihm mal die Rechte von der anderen Abteilung, weil so lange ist er noch nicht dabei und außer­dem soll er ja auch noch par­al­lel auf dem Serv­er mal aufräu­men kön­nen und da soll er, dass das funk­tion­iert, es funk­tion­iert nur der Umaufwand und das geht immer nach Hause.

[René]

Wir haben damals einen Kun­den über­nom­men, der hat­te mal eben 200 User und dann alle Berech­ti­gun­gen auf Userebene und dann kon­nte nicht mal mehr jemand beant­worten, welche Dat­en er wirk­lich, also die User wirk­lich bear­beit­en und so weit­er. Das heißt, wir mussten uns einen Auszug aus dem Active Direc­to­ry holen von jedem einzel­nen Benutzer, worauf er Zugriff hat und worauf nicht, um dann nach­her entsprechend Grup­pen anle­gen zu kön­nen, damit es über­sichtlich wird. Du kannst dir ja vorstellen, was das für eine Arbeit war.

Das hat natür­lich wehge­tan. Also da so früh wie möglich starten und wenn man nur fünf User ist, dann ist der Aufwand auch entsprechend ger­ing, aber man hat es halt auf jeden Fall schon mal da und kann damit immer weit­er­ar­beit­en.

[Michael]

Du kannst es skalieren. Also wenn du es klein schon machst, kannst du halt ziem­lich gut hoch skalieren und auch für den kleinen sind die Com­pli­ance wichtig, auch in kleinen Unternehmen fünf bis zehn Mitar­beit­ern. Sobald du mehr wie alleine bist und du nicht mehr die Kon­trolle über alles hast und sobald du irgen­deinen hast, der dich in irgen­dein­er Art und Weise unter­stützt, bist du als Chef oder als Fir­ma gezwun­gen, irgend­was so niederzuschreiben, dass der, der die Arbeit machen soll, das eben genau­so machen soll, wie du dir das vorstellst, wie du es gerne hättest.

Nein, das merken wir ja auch, selb­st bei uns.

[René]

Ja, defin­i­tiv. Also ich glaube, da natür­lich hat auch die DSGVO da ein biss­chen zu beige­tra­gen, dass man da in diese Rich­tung schon mal geht, aber ist natür­lich nicht alles. Und wie ich auch schon oft, und du hast es ja bestätigt, wie ich oft gesagt habe, der Mei­n­ung bin ich auch tat­säch­lich, das ist mein Anspruch an mich selb­st, an uns als Unternehmen, das ein­fach niederzuschreiben.

Also wie ich vorhin schon gesagt habe, mir geht es ja gar nicht immer darum, nur nach außen hin trans­par­ent zu sein, son­dern ich will diese, diese, diese Infor­ma­tio­nen nach intern bere­it­stellen, sodass da auch ein­fach klar ist, wenn jet­zt zum Beispiel jemand Neues ins Unternehmen kommt, dass man dann sagen kann, okay, du brauchst jet­zt dies oder das, das kannst du jet­zt da erken­nen. So, wenn du Fra­gen hast, darf­st du fra­gen, anson­sten, aber du kannst das eigentlich auch alles nach­le­sen. So, das ist so der Opti­mal­fall, da bin ich immer gerne unter­wegs, so in diesem Bere­ich.

[Michael]

Hier ist unser Intranet, hier ist unser Wiki, hier ist unser what­ev­er, guck dir das bitte an, wenn du Fra­gen hast, melde dich bei uns, lese dir das in aller Ruhe durch, du bekommst die Zeit dafür, wir gehen nach­her nochmal gemein­sam kurz drüber, aber lese dich bitte ein­fach mal ein, dass du grob weißt, was bei uns im Unternehmen tickt und was wir erwarten.

[René]

Vor allem ist es ja auch noch schön­er, wenn du eine Per­son hast, die von außen dazukommt, die kann sich das ja mal genau durch­le­sen und dann kön­nte sie vielle­icht sog­ar noch Tipps geben oder Anre­gun­gen her­vor­brin­gen, was die Per­son in vorigen Unternehmen gemacht hat oder keine Ahnung was.

[Michael]

Das wäre ja ver­rückt, du meinst, man kön­nte da noch bess­er wer­den, das wäre ja ver­rückt. Ja, opti­mieren wäre top, ne? Das wäre ja total ver­rückt, ja, ja, ja.

[René]

Deswe­gen, es lässt sich vieles damit machen und ich glaube, das sollte jed­er für sich auch so im Hin­terkopf haben und das auch so behan­deln, das The­ma.

[René]

[Michael]

Genau, das sind so die frei­willi­gen Sachen, das ist so das innere Mind­set, was du hast und dann hast du natür­lich die Ein­flussfak­toren von draußen, wir müssen das The­ma DSGVO kurz rein­klan­gen, dann kom­men natür­lich solche Dinge rein, wo du halt ein­fach getrig­gert wirst, von außen gewisse Dinge zu tun und gewisse Dinge zu doku­men­tieren, dass du ein­fach auf der sicheren Seite bist. Ein­fach raus und sag, was macht ihr denn, ihr ver­ar­beit­et per­so­n­en­be­zo­gene Dat­en, auf welch­er Basis macht ihr das denn, was für eine Rechts­grund­lage habt ihr, warum macht ihr das, welchen Zweck erfüllt ihr den ganzen Kram, welche Dat­en ver­ar­beit­et ihr, wofür, wer macht’s, welche Sys­teme, welche Dien­stleis­ter sind mit im Ein­satz, also Externe, Dritte, Auf­tragsver­ar­beit­er etc. Da wirst du schon durch die DSGVO, wenn du es wirk­lich umset­zen willst und ern­sthaft dich mit dem The­ma auseinan­der­set­zt, wirst du schon gezwun­gen, eine Trans­parenz reinzubrin­gen, die dir gut tut, aber auch der Erfül­lung der rechtlichen Anforderun­gen.

[René]

Ja, das ist noch schön­er, wenn man dann noch den Schritt weit­er geht, um dann, wie gesagt, nicht nur die rechtliche Schiene zu bedi­enen.

[Michael]

Ja, schön ist, wenn du halt eben sagst, boah, jet­zt Daten­schutz, wir müssen uns mal um die DSGVO küm­mern, halt nicht mit einem weißen Blatt Papi­er anfängst, son­dern ein­fach sagst, ey, klar, was wollen die jet­zt haben, komm her, mach mal eine Check­liste, lass mal guck­en, was wollen die denn jet­zt wirk­lich von mir, ja gut, hab ich, hab ich, passt, ja, da müssen wir ein biss­chen feilen und dann geht’s schon los. Ja, DSGVO 2018, dann jet­zt 2024, ich möchte nicht wis­sen, wie viele Unternehmen sich mit dem The­ma bis jet­zt über­haupt nicht auseinan­derge­set­zt haben.

[René]

Genug, das kann ich dir sagen.

[Michael]

Über­haupt nicht auseinan­derge­set­zt haben und ja, okay, alles gut gegan­gen, seid jet­zt sechs Jahre unter dem Radar geflo­gen, bis jet­zt nichts passiert, das ist mein Glück­wun­sch, aber das ist nicht der Freifahrtschein für die näch­sten sechs Jahre. Auch da wieder weg, wir wollen ja eigentlich hin zu dem eige­nen Anspruch und wollen ja das Mind­set dafür wer­ben, das von innen rauszu­machen, weil es eben sin­nvoll ist für ein Unternehmen, auch da, selb­st wenn du jet­zt sagst, juhu, ich bin jet­zt sechs Jahre ohne den Kram durchgekom­men, hast du aber garantiert die Trans­parenz, die du brauchst und hast dann nicht die Effek­tiv­ität, die du im Unternehmen wieder haben müsstest und es ste­ht garantiert, deine IT-Sicher­heit ste­ht garantiert auf wack­e­ligeren Beinen, als wenn du dich mit dem The­ma mal ern­sthaft auseinan­derge­set­zt hättest.

[René]

Ja, also ger­ade nach intern, also ich, nach extern ist natür­lich so ein Ver­trauens­be­weis, also so ein Ver­trauens­d­ing, was man nach außen schießt, aber nach intern, es ist halt super wichtig. Also da finde ich es auch, ich finde es auch fast nach intern wichtiger, als nach extern, nee, ist nicht mal richtig, ich finde es tat­säch­lich wichtiger nach intern, extern ist halt noch on top, weil ich dann auch noch mal nach da pushen kann, hier das und das und unsere Maß­nah­men, aber ich finde halt intern, um ein­fach, ich habe es das let­zte Mal schon mal gesagt, ich habe einen Mitar­beit­er, der das Unternehmen ver­lässt, der kön­nte jet­zt the­o­retisch alle Ken­nwörter mit­nehmen, so und ich sorge aber dafür, dass das eben nicht passiert, weil ich alle Ken­nwörter ändere, so das sind halt so Sachen, die kann ich in mein­er Com­pli­ance ja ein­fach hin­ter­legen und die habe ich dann auch, so und das kann ich nach intern nutzen, weil das mein Anspruch an mich selb­st ist und an mein Team natür­lich und auf der anderen Seite kann ich es nach außen tra­gen, weil die, meine Kun­den wis­sen dann auch ganz klar, okay, ich gehe mit den Dat­en auch wirk­lich so kri­tisch um, wie es ein­fach nötig ist.

Von daher, also da, es sind viele, viele Rich­tun­gen gut nutzbar.

[Michael]

Genau und um das nach extern nachzuweisen, kannst du dich halt ein­fach ein­er Norm unter­w­er­fen bzw. kannst dich nach ein­er Norm zer­ti­fizieren lassen. Grund­sät­zlich, wenn du sagst, ich will ein­fach nur mal so einen Grund drin haben, mit so ein­er 9001 kannst du gut bedi­enen, dann hast du eine vernün­ftige Struk­tur im Unternehmen, die es nach­weist.

Wenn du IT-Ver­ar­beitung hast, arbeitest viel mit Dat­en, per­so­n­en­be­zo­gen, nicht per­so­n­en­be­zo­gen etc., PPS oder IT-Dien­stleis­tun­gen, ist inzwis­chen Infor­ma­tion­ssicher­heit, also sprich ISO 27001, das ist so das, was man immer so bei Rechen­zen­tren und bei solchen Fir­men, das ist so der Gold­stan­dard. Damit weißt du halt nach außen auch wirk­lich mit einem Zer­ti­fikat nach, dass du intern deine Com­pli­ance und deine Prozesse so unter Kon­trolle hast, dass das Leben in Ord­nung ist, weil die deck­en schon ganz schön viele Sachen ab. Ger­ade die 27001, die will schon ziem­lich viel, die bohrt an vie­len Stellen rel­a­tiv tief und du musst da schon sehr trans­par­ent nach­weisen, dass du deine Hausauf­gaben gemacht hast.

[René]

Ja, genau. Dann hast du zu dem Bere­ich noch was, weil son­st würde ich dazu überge­hen, wie wir es beim let­zten Mal auch gemacht haben, Imple­men­tierung und Her­aus­forderung, das haben wir ja beim let­zten Mal für den Bere­ich gemacht. Ich glaube, das ist an dieser Stelle, also wir wer­den es jet­zt nicht auf die Com­pli­ance an sich, son­dern wirk­lich speziell auf die Richtlin­ien und also reg­u­la­torischen Dinge und eben auch auf die Stan­dards bezo­gen.

Wie sollte da eine Imple­men­tierung aus dein­er Sicht am besten ablaufen? Ich meine klar mit den Mitar­beit­ern zusam­men, aber wie ist da so dein Empfehlen?

[Michael]

Also ich arbeite mich immer gerne bei Kun­den von groß nach klein durch, sozusagen der Klas­sik­er. Und ich ver­suche auch immer Mod­ule erst­mal zu imple­men­tieren, die ich dann am Ende zusam­men­führe. Also hier Klas­sik­er, schreibt mal auf, welche Com­put­er ihr habt, schreibt mal auf, welche Soft­ware-Sys­teme ihr habt, gebt mir mal eine Mitar­beit­erüber­sicht, sagt mir mal, welche Abteilun­gen im Unternehmen da sind, habt ihr ein Organ­i­gramm, wie sind rechte Rollen organ­isiert.

Also dass du ein­fach erst­mal in einem Unternehmen dir Sachen raus­pickst und Sachen raus­suchst, wo du erst­mal dir ein Bild der ganzen Lage machen kannst. Und du kannst dann nach­her in diesen Com­pli­ance-Richtlin­ien die Sachen zusam­men­führen und kannst die ganze Sache ver­net­zen.

[Michael]

Also das erste, was ich immer mache und was ich immer brauche, ist die Trans­parenz, der Ist-Auf­nahme im Unternehmen, dass ich gucke, worum geht es denn hier jet­zt im Detail eigentlich.

Was machen sie? Wom­it machen sie es? Wer macht was?

Wom­it? Dieser Klas­sik­er. Welche Sys­teme sind am Ein­satz?

Haben sie irgendwelche Serv­er, die irgend­wo freaky auf der Welt ver­streut liegen? Sind sie nur in Frank­furt unter­wegs oder im Rechen­zen­trum Europa? Also diese ganze Sache, dass du ein­mal das Unternehmen durch­leucht­est und guckst, was machen die genau wo?

Wom­it? An wer hängt extern mit dran? Das ist so die erste Her­aus­forderung.

Und die ist richtig freaky. Das geht schon los bei, wenn man in der QM-Welt drin ist, immer wieder die gle­iche Laie. Ein Organ­i­gramm und eine Stel­lenbeschrei­bung, wo eigentlich Mitar­beit­er seit 10 Jahren im Unternehmen arbeit­en, wo ich ein­fach sage, das muss doch da sein.

Gib mir ein Organ­i­gramm, gib mir mal eine Stel­lenbeschrei­bung von dir. Du kannst dir nicht vorstellen, was das bei manchen Leuten oder bei manchen Fir­men für The­men und Diskus­sio­nen gibt. Ein­fach nur mal die Trans­parenz reinzu­machen.

Da an der Stelle stehst du im Organ­i­gramm und das sind deine Auf­gaben. Weil logis­cher­weise bei solchen Sachen durch die Trans­parenz schaffst du halt auch Klarheit. Und dann hast du manch­mal Leute, die sich auf den Schlips getreten fühlen, weil sie gedacht haben, sie wären vielle­icht im Organ­i­gramm drei Stufen weit­er oben, weil sie der Mei­n­ung sind, das wären sie jet­zt.

Aber laut Arbeitsver­trag und laut Geschäft­sleitung sind sie es eben nicht. Und das lief immer so unter dem Radar durch, das ist mir schon ein paar Mal passiert. Und jet­zt schaffst du halt ein­fach ein Organ­i­gramm und dann set­zt du den halt ein­fach dahin, wo er hinge­hört.

Und dann ist die Trans­parenz da. Und das kann schon mal eine große Her­aus­forderung sein. Kann aber auch genau ander­srum sein.

[René]

Es gibt auch genug Leute, die sich ihrer Auf­gaben nicht bewusst sind. Und dann sehen die eine radiel­len­lange Liste mit Auf­gaben, die die eigentlich gar nicht betr­e­f­fen soll­ten. Ja, genau.

[Michael]

Immer wieder Trans­parenz das The­ma. Und ich glaube, wenn du das alles schon mal hast und hast den ganzen Kram schon mal auf einem großen Haufen zusam­men, dann ist es die Auf­gabe von Beratern und von mir oder von Fach­leuten, wie es bei euch halt auch ist mit dem The­ma IT, aus dem ganzen Berg eine Struk­tur zu machen, um mit dem Kun­den das auszuar­beit­en. Und dann, wenn man das alles hat, dann kann man hinge­hen und kann sagen, alles klar, was habt ihr für Prozesse?

Wo wollt ihr hin? Was braucht ihr noch? Und dann gemein­sam Prozesse auszuar­beit­en.

Wie groß soll denn euer Pass­wort sein? Wie lang soll es denn wer­den? Wie gedenkt ihr denn, Back­ups zu machen?

Wie archiviert ihr denn? Und diese Bew­er­tung, passt das alles, passt das alles nicht? Das ist dann das Fein­tun­ing an der Stelle.

[René]

Ja, ich glaube, es macht ja auch Sinn, mit den großen Sachen anz­u­fan­gen, weil da kann man erst mal so auch als Unternehmen Gefühl für kriegen. Also ger­ade zum Beispiel in der Zusam­me­nar­beit mit dir, um erst mal zu sehen, wohin geht die Reise, um auch schnell Erfolge zu haben, schnell auch mal was erledi­gen zu kön­nen. Die großen und die ein­fach­sten Sachen, dann sieht man auch, okay, man kommt voran.

Nach­her wer­den die Auf­gaben natür­lich immer gran­u­lar­er und klein­er und dann wird es auch mal sich ein biss­chen hinziehen. Aber an sich, dass man erst mal schon mal so eine Rich­tung hat und schnell Erfolge feiern kann. Also das sehe ich schon.

[Michael]

Die ein­fachen großen Brock­en erst mal weg. Also das erst mal bei, dass man das schon mal irgend­wo doku­men­tiert hat, hat es in der Ecke ste­hen und kann es sich ein­fach nach­her ziehen. Wenn man ins Gran­u­lare reinge­ht und sagt, hey, da war doch was, da haben wir doch was.

Komm her, wir ziehen mal und guck­en mal, was wir als Wis­sen da schon liegen haben und nutzen das Ganze. Das ist das, was sich bei mir am besten bewährt hat.

[René]

Ja, glaube ich sofort.

[Michael]

Riesen­große Hürde ist auch immer, wo schreiben wir es denn hin? Also auch das. Post-its?

Ja, genau. Jedes Unternehmen ist da auch anders. Da muss man halt auf das Unternehmen auch gehen.

Man muss hören, was das Unternehmen gerne hat, wie das Unternehmen funk­tion­iert, wom­it sie arbeit­en kön­nen. Der eine sagt, machen wir alles ins OneNote rein. Der Näch­ste sagt, Post-it jet­zt nicht unbe­d­ingt.

Der Näch­ste sagt, wir schreiben alles in Word und in Excel-Tabellen rein. Der Näch­ste sagt, eine coole Soft­ware wäre da was Tolles. Und wenn man mit sowas anfängt und dann zu sagen, wo wollen wir es denn rein­hab­en?

[Michael]

Also was bildet das Zen­trum mein­er Infor­ma­tio­nen ab? Weil auch das ist eine Riese­nauf­gabe. Darüber sich Gedanken zu machen, wo liegt denn meine Com­pli­ance-Vor­gaben?

Wo sind denn meine Infor­ma­tio­nen, dass sie von allen Mitar­beit­ern ver­füg­bar sind? Dass jede Mitar­beit­er ein­se­hen kann und dass jed­er Mitar­beit­er auch darauf zugreifen kann. Ohne kom­plex sich auf irgendwelchen Sub­sys­te­men einzu­billen und in irgendwelche 25 Unterord­ner nach irgendwelchen PDFs zu suchen, die einges­can­nt wor­den sind.

Son­dern, wie kriege ich welche Infor­ma­tio­nen an welch­er Stelle schnell zu der richti­gen Zeit, wenn es ein Mitar­beit­er braucht, ver­füg­bar? Auch das ist zu klären und auch das ist immer wieder her­aus­fordernd.

[René]

Ja, das stimmt auf jeden Fall. Vor allem auch da wirk­lich das richtige Sys­tem zu find­en. Das ist wirk­lich ein Punkt.

[Michael]

Und da ist auch, wenn der Kunde bzw. wenn du dann noch mitkriegst, dass irgendwelche Dock­files durch die Gegend geschickt wer­den. Genau, geht es halt auch da schon mal los.

Also Dock­files ist meis­tens, wenn über­haupt noch Spam-Fil­ter, Word-Dateien durch­ja­gen, dann bitte stell doch mal auf DocX um und lass doch mal jet­zt Docs so langsam aus­laufen. Also da spie­len viele Sachen mit. Das sind viele Her­aus­forderun­gen, die man so hat als Berater oder in sein­er Ein­führung von so ein­er Com­pli­ance-Richtlin­ie, wo man am Anfang ein­fach denkt, das wäre ja eigentlich selb­stver­ständlich.

Vom Mind­set her.

[René]

Genau. Die Mitar­beit­er­schu­lung haben wir let­ztes Mal schon darüber gesprochen. Ich glaube, dass das auch an dieser Stelle extrem wichtig ist.

Also ger­ade die reg­u­la­torischen Geschicht­en, da muss man sie noch mehr mit rein­nehmen, als dass man es tech­nisch nach­her beschreibt. Weil tech­nisch ist meis­tens, da kann man ganz offen mit Logik range­hen, wenn man aber mit dem reg­u­la­torischen Part gar nicht so viel zu tun hat, ist es manch­mal nicht ganz so leicht nachzu­vol­lziehen. Ich glaube, dass da, also ich weiß nicht, ich schätze das so ein, es ist ja dann nicht ganz so mein Part, eher dein­er, aber ich schätze so ein, dass du da an der Stelle schon einiges tun musst.

Ich sag mal Sen­si­bil­isierung auf Secu­ri­ty oder so, das kann ich dir natür­lich erzählen, aber was jet­zt die rein rechtliche Schiene, ohne dass ich jet­zt wirk­lich so spezielle IT-The­men ver­wende, das ist ja nicht ohne. Also ich glaube schon, dass du da bei Leuten, die ganz weit weg von diesem The­ma sind, dass du da schon einen gewis­sen Part hast.

[Michael]

Ja, im Ide­al­fall hast du halt deine Prozesse und deine Vor­gaben, deine Richtlin­ien, was du in deinem Unternehmen doku­men­tierst, schon so aus­gerichtet, dass du eben kon­form bist mit DSGVO 27 etc. pp. So, dass du den eigentlichen End-User, also der, der wirk­lich da am Ende final damit arbeit­et und der da final geschult wird, eben nicht mehr mit Para­grafen­re­it­ereien lang­weilen mussten, so tief mit­nehmen, son­dern ein­fach sagst, pass auf, das sind unsere Vor­gaben und Doku­mente.

So möcht­en wir, dass es im Unternehmen gemacht wird. Es gibt reg­u­la­torische Vor­gaben von ext. her, dass wir das so tun müssen und aus Grund dessen haben wir uns das so über­legt.

Hast du eine Idee, wie es ein­fach­er gin­ge, wie du es bess­er machen kannst, hier melde ich. Wir wer­den als Profis und als Fach­leute da immer einen Guck drauf haben, dass, wenn du eine Idee hast, wir immer noch kon­form sind zu dem, was wir machen müssen. Das heißt, wir wer­den guck­en, ob die Idee, die du hast, noch inner­halb des gesteck­ten Rah­mens ist, ja oder nein.

Wir wer­den das besprechen, das ist alles cool. Aber in solchen Schu­lun­gen ver­mei­de ich wirk­lich, bis ins let­zte Detail zu gehen. Die Rechts­grund­la­gen aus der DSGVO, ich schmeiße es mal an die Wand, mal ganz kurz, dass die grob wis­sen, es gibt sowas, aber auch so eine ISO 27 Infor­ma­tion­ssicher­heitss­chu­lung, da ist mir eigentlich viel wichtiger, dass die den Umgang und das eigentliche Han­dling im Unternehmen ken­nen, als dass die jet­zt dir sagen kön­nen, aus welchem Annex von der Norm bzw. aus welchem Artikel aus der DSGVO, welche Anforderun­gen rauskommt.

[René]

Ja, nein, also darauf wollte ich auch nicht hin­aus.

[Michael]

Jet­zt sind wir mal ganz ernst, da hat auch kein­er Bock zu. Wenn ich da Bock zu gehabt hätte, wären wir Daten­schutzbeauf­tragter oder QMB gewor­den. Also du musst echt da abholen, wo sie arbeit­en.

[René]

Ja, mir ging es jet­zt nur darum, es ist wahrschein­lich auch an der einen oder anderen Stelle so, dass man mal erk­lären muss, warum es über­haupt solche reg­u­la­torischen Anforderun­gen gibt. Das meinte ich eher, da kön­nte ich mir vorstellen, dass das ja schon häu­figer kommt. Michael, wenn du jet­zt an der Stelle durch wärst, ich glaube, dass wir mit dem Part, also mit dieser Episode eigentlich so ziem­lich schon am Ende angekom­men sind, zumin­d­est das, was wir uns vorgenom­men hat­ten zu besprechen, wür­den ja beim näch­sten Mal wieder anset­zen, wür­den mit dem näch­sten Part starten.

[Michael]

Ja, ich würde sagen, ich wär’ für heute durch.

[René]

Dann sind wir uns da schon mal einig.

[Michael]

Dann wür­den wir uns das näch­ste The­ma schaf­fen. Ich glaube, Risiko oder was hat­ten wir? Ja, Gov­er­nance und Risiko­man­age­ment.

Irgend­was mit Risiko hat­ten wir, ja. Per­fekt.

[René]

Ja, Michael, vie­len Dank. Und dann würde ich sagen, wie immer, gerne an allen Stellen rein­hören, liken, teilen, Fol­low­er da lassen und wenn Fra­gen sein soll­ten, natür­lich immer bei uns melden. Entwed­er per LinkedIn oder per Mail.

Keine Ahnung. Immer so, wie es ger­ade passt. Gar kein Prob­lem.

Wir melden uns auch und kön­nen da kurz Rück­mel­dun­gen geben, wie wir das beant­worten. Entwed­er direkt oder eben in der Episode oder per was weiß ich. Da lassen wir uns dann was ein­fall­en und dann schauen wir, dass wir das auch beant­worten kön­nen.

[Michael]

Machen wir die höhere Brust.

[René]

Genau. Alles klar. Vie­len lieben Dank an alle, die zuge­hört haben.

Macht’s gut. Bis zum näch­sten Mal. Tschüss.