Alle Artikel vonMarco Peters

Die nextwork academy ist online

Mit eigenen Publikationen und Workshops zu Datenschutz und Informationssicherheit hat nextwork bereits eigene Formate zum Wissensaustausch etabliert. 2019 setzt das Unternehmen einen neuen Meilenstein – und teilt sein Experten-Kowhow ab sofort auf academy.nextwork.de: einer eigenen Schulungsplattform rund um DSGVO, ISO 27001 und TISAX. Für alle, die sich selbst informieren oder ihre Mitarbeitenden unkompliziert schulen wollen.

Datenschutz und Informationssicherheit gehören jetzt zum Alltag – und funktionieren nur, wenn sie in die Unternehmenskultur integriert werden.

 

„Datenschutz und Informationssicherheit sind keine Projekte, die ein Unternehmen irgendwann abschließen kann“, sagt Marco Peters, Gründer und Geschäftsführer von nextwork. „Diese Themen gehören ab jetzt zum Alltag jedes Unternehmens und werden auch nicht mehr verschwinden. Erfolgreich meistern kann man Datenschutz und Informationssicherheit nur, wenn sie langfristig in die Unternehmenskultur implementiert und von allen Mitarbeitenden gelebt werden.“ Nach mehreren Jahren als externe Informationssicherheitsbeauftragte für mittelständische Unternehmen und Konzerne in ganz Deutschland wissen die Experten von nextwork genau, wovon sie sprechen. Deshalb wissen sie auch: hat ein Unternehmen Maßnahmen zur DSGVO umgesetzt oder eine TISAX-Zertifizierung erhalten, ist ein wichtiges Etappenziel erreicht. Damit ist die Arbeit aber nicht getan, denn nun geht es darum, die Richtlinien im Alltag umzusetzen und dauerhaft einzuhalten. Dafür müssen alle Mitarbeitenden ins Boot geholt werden – und zwar nicht nur moralisch, sondern auch inhaltlich. Und genau hier kommen die Schulungen ins Spiel.

Ob fünf oder 50 000 Mitarbeitende: Mit Online-Schulungen erreicht man alle. Auch an unterschiedlichen Standorten gleichzeitig.

 

In der Praxis stehen Geschäftsführung sowie Datenschutz- und Informationsbeauftragte früher oder später vor der Herausforderung, alle ihre Mitarbeitenden schulen zu müssen. „Bei einem Unternehmen mit zwanzig Mitarbeitern mag die Organisation noch recht einfach sein – in einem Unternehmen mit einhundert Menschen wird es schon schwierig”, so Philipp Brändl, Berater für Informationssicherheit bei nextwork. „Auch die Fluktuation spielt eine Rolle: Jedes Mal, wenn neue Mitarbeitende ins Unternehmen eintreten, müssen auch diese
von Grund auf informiert werden. Weder wir noch unsere Kunden können diesen großen Bedarf durch Präsenzschulungen abdecken.“ Als lösungsorientiertes Unternehmen mit Wurzeln in der IT war dem Team von nextwork schnell klar, dass eine Online-Schulungsplattform der richtige Weg ist. Genauso schnell fanden die Experten aber auch heraus: Eine fertige Lösung, die ihrer eigenen Arbeitsweise entspricht, gab es dafür nicht. Also baute sich nextwork kurzerhand selbst eine Academy.

Die nextwork academy: nutzerfreundlich aufgebaut, erklärt und visualisiert

 

„Viele Schulungsmöglichkeiten, die man derzeit auf dem Markt findet, sind sehr komplex, kostenintensiv und visuell nicht so aufbereitet, wie wir und unsere Kunden uns das vorstellen“, so Marco Peters. „Was die nextwork academy auszeichnet, ist, dass sie komplett aus der Nutzerperspektive gedacht ist.“ Entsprechend ist jede Schulung so aufgebaut, dass sowohl Einsteiger als auch Verantwortliche die Themen verstehen – und dann vor allem auch in der Praxis umsetzen können. Zu der Leichtfüßigkeit, mit der die Videos daherkommen, tragen nicht nur viele intern entwickelte Grafiken bei, sondern auch eine authentische Tonspur, bei der auch mal ein Schmunzeln erlaubt ist. Datenschutz und Informationssicherheit sind auf den ersten Blick keine extrem attraktiven Themen. Mit der nextwork academy machen sie aber trotzdem Spaß – ein bisschen zumindest.

Mehr Infos bei nextwork:
www.nextwork.de/academy

 

»Cool trotz Zertifizierung«: Ein »must see« für alle, die wissen wollen, wie man Zertifizierungen aller Art richtig angeht

Gerade habe ich einen Talk entdeckt, der sich mit einer Sorge beschäftigt, die auch wir gut von unseren Kunden kennen, nämlich: Was macht man als agiles Unternehmen, wenn man sich plötzlich mit Datenschutz, Informationssicherheit, ISO 27001 oder TISAX-Normen auseinandersetzen muss? Droht das Ende der Selbstbestimmung? Ein Leben a la René Goscinny und Albert Uderzo, »Haus, das Verrückte macht«, auf der endlosen Suche nach Passierschein A 38?

Hans Schmill, Mitglied der Geschäftsführung der abat AG, ist der lebende Beweis, dass es so nicht sein muss. In seinem Talk auf dem intrinsify pathfinder festival 2018 erzählt er, wie man Richtlinien leben und in die Unternehmenskultur integrieren kann – ohne eigene Überzeugungen wie »Vertrauen statt Normen« und »Richtlinien statt Regeln« komplett an den Nagel zu hängen. Und er beschreibt, wie man die eigene Souveränität aufrecht erhält, indem man eigene Prozesse erarbeitet und internes Wissen zum Thema aufbaut.

Also nicht warten, sondern direkt hier anschauen:
https://www.youtube.com/watch?v=pjvJaGZWVJo

 

 

BU: Datenschutz kann sogar ganz hübsch sein: Sieht aus wie eine Nachspeise, sind in Wirklichkeit aber gewissenhaft geschredderte Daten

Experteninterview auf Süddeutsche.de: „236 ungelesene E-Mails”

Sie sind überall und es werden täglich mehr: Ob Kundennachricht, Newsletter, Lehrer-E-Mail, oder Kinoreservierung – längst läuft in unserem Berufs- und Privatleben alles über E-Mails. (Per Post kommt heute höchstens noch die Wahlbenachrichtigung; und wann zuletzt jemand ein Fax geschickt hat, weiß wohl kaum noch irgendwer.)

Weglaufen bringt nichts. E-Mails sind schneller.

Umso dringlicher ist die Frage: Wie bleiben wir die Herren unserer überquellenden Postfächer? Wie behalten wir Wichtiges im Auge, lassen uns aber nicht vom endlosen Strom eingehender Nachrichten verrückt machen? Macht es Sinn zu sortieren? (Meine Meinung: niemals!) Oder wie behalten wir sonst den Überblick?

Als Geschäftsführer, Privatmensch und Vater, der täglich dutzende E-Mails bekommt, beschäftige ich mich permanent mit diesem Thema und schreibe auch immer wieder hier im Blog sowie in meinen Büchern darüber.

Mein Experteninterview auf Süddeutsche.de findest du hier:
https://www.sueddeutsche.de/karriere/emails-inbox-posteingang-loeschen-1.4328434

Stop being a Smartphone-Addict! Mein Plädoyer für weniger Bildschirmzeit.

Manch einer wundert sich jetzt vielleicht, dass jemand, der von seinen beruflichen Wurzeln her ITler und im Herzen ein Technik-Freak ist, weniger Bildschirmzeit für eine gute Sache hält. Ich kann dazu nur sagen: als Ehemann, Familienvater und überhaupt als Mensch habe ich mich tatsächlich gefreut, als Apple den Screentime-Manager vorgestellt hat. Endlich mal ein Tool, das hilft, die ganze Daddelei der Kids zu organisieren. Und: wir alle sehen mal schwarz auf weiß, was wir da eigentlich treiben mit unserer Lebenszeit.

 

Jetzt ist sie da, die Bildschirmzeit-Wahrheit. Schwarz auf Weiß.

Bis jetzt konnten wir uns irgendwie noch einreden, dass es doch alles halb so wild ist mit der eigenen Smartphone-Sucht. Oder das wir die meiste Zeit nur “wichtige” Dinge, zum Beispiel Arbeit, damit erledigen. Mit dem iOS 12 hat Apple dieses Jahr etwas auf den Markt gebracht, das aus der Hand eines Smartphone Herstellers überrascht: nämlich “Screentime”: ein Tool, mit dem man die eigene Bildschirmzeit verwalten kann. Es gibt etwa App-Limits, Nicht-stören-Bedienelemente und vor allem wird – schön grafisch – die Dauer angezeigt, die man am Smartphone verbracht hat. Und auch, wie man sie genau verbracht hat: in Prozent kann man sehen, wieviel Zeit man anteilig zum Beispiel in Lesen oder in Social Media investiert hat.

Apple hat also ein Tool erfunden, mit dem wir uns ab sofort jeden Tag selbst erschrecken können. Positiv ist aber zu bemerken, dass die Marke damit die Mitverantwortung für ein Thema übernimmt, das wir alle nur zu gut kennen und das sich seit Beginn der Smartphone Ära immer mehr zum gesellschaftlichen Problem ausgewachsen hat: nämlich der automatische Griff zum Smartphone–  in jeder Lebenslage.

Die Keynote von Apple zu diesem Thema ist übrigens wirklich spannend, man kann sie hier ansehen (Bildschirmzeit ab Minute 47): https://www.apple.com/de/apple-events/june-2018/

 

Wollen wir 33 Tage Lebenszeit an unser Smartphone opfern?

Morgens geht es bei den meisten ja schon los: “Presto” oder irgendeinen anderer Klingelton ertönt neben dem Kopfkissen. In diesem Moment nimmt man das Smartphone zum ersten Mal in die Hand – und legt es ab dann nicht mehr wirklich weg. Mails checken im Bad beim Zähneputzen, Nachrichten lesen in der Küche beim Kaffee, dann freisprech-telefonieren im Auto. Den Tag über bleibt das Smartphone jederzeit griffbereit und wird in jedem Moment gezückt, in dem auch nur der leiseste Anflug von Langeweile droht: beim Warten auf die S-Bahn, im Wartezimmer beim Arzt, im Café, wenn das Gegenüber gerade nicht da – oder sogar, wenn es da ist:

Ich beobachte sogar im Freundeskreis, dass der ein oder andere eine Art “Zucken” entwickelt hat und selbst während einer Unterhaltung ohne besonderen Grund aufs Smartphone schaut – ja zum Teil sogar kurz E-Mails oder Facebook checkt.

Abends, wenn es ins Bett geht, schließt sich der Kreis: das Teil liegt wieder direkt nebendran auf dem Nachttisch. Studien belegen, dass Smartphone-Nutzer inzwischen auf 33 Tage – also mehr als einen Monat! – reine Smartphone-Zeit im Jahr kommen. Erschreckend, oder? Wollen wir so wirklich unsere Lebenszeit verbringen?  

 

Wasser predigen und Wein trinken – die Sache mit den Kids

Dabei fängt das Ganze schon im zarten Alter an: Bei jedem, der heute Kinder hat, ist die Frage, wann, was und wieviel mit dem Smartphone gemacht werden darf, ein never ending Drama. Hier ist das Screentime Tool mal eine echte Hilfe – denn bisher war man als Elternteil komplett auf sich allein gestellt mit dem Thema “Daddeln zeitlich eingrenzen”.

Gleichzeitig muss man sich aber auch mal die Frage stellen: warum nerven die Kids so damit? Von wem haben die das eigentlich? Man würde ja gern sagen, dass die kleinen Smartphone-Zombies sich das schlechte Verhalten nur bei Fremden abgeschaut haben. Wenn man aber mal ehrlich ist: auch hier fällt der Apfel meist nicht weit vom Stamm.

 

Wer ist hier jetzt eigentlich erwachsen? Krisen in der Smartphone-Verbot-Zone

Um die Screentime-Sache also mal gezielt in den Griff zu bekommen, haben wir bei uns zuhause inzwischen Smartphone-Verbot-Zonen eingeführt: den Esstisch und das Bett. Das gilt für alle: uns und unsere Kinder, deren und unsere Freunde. Und wir hatten fest damit gerechnet, dass die Kids als erste auf die Barrikaden gehen. Aber weit gefehlt: die Erwachsenen haben tatsächlich das größere Problem damit.

Üblicherweise verbringen wir die meiste Zeit mit unseren Freunden in einer Smartphone-Verbot-Zone: dem Esstisch. Das ist bei uns zuhause der Mittelpunkt. Pro Besuch gibt es schon mal eine „Ausnahme“ vom Verbot, weil einer „kurz was zeigen” möchte. Vor allem gibt aber jedes Mal viele klare Verstöße: nämlich wenn wir wieder einen dabei erwischen, wie er schnell (am besten noch heimlich unter’m Tisch) WhatsApp checkt. Wenn man mal ganz ehrlich ist: eigentlich schafft keiner unserer „erwachsenen Freunde“ diese einfache Regelung mit der Smartphone-freien Zone einzuhalten.

 

Fazit: Jetzt anfangen mit der Entwöhnung und den Vorsatz in 2019 mitnehmen

Leute, Hand auf’s Herz: wir alle haben irgendwie ein Problem mit der Smartphone-Obsession. Dass sogar Apple als Hersteller selbst einschreitet und ein Tool wie Screentime entwickelt, spricht Bände, was das Ausmaß des Problems angeht. Vielleicht ist jetzt gerade die Weihnachtszeit ein guter Moment, um mal in sich zu gehen und ganz ernsthaft den Vorsatz anzugehen, 2019 ein Leben zu führen, dass nicht nur vom Smartphone abhängt. In diesem Sinne: eine schöne Zeit und einen guten Rutsch ins neue Jahr!

 

Ausbildung zum IT-Helden (oder: Fachinformatiker für Systemintegration)

Mit oder ohne Berufserfahrung, mit Hauptschulabschluss oder Abitur.
Vollzeit, m/w/d,  ab sofort oder zum 01.08.2019

Hallo IT-Held! Wir sind nextwork.

Früher kannte man den “IT-Typ” im Büro als blassen Nerd, der unter den Tisch krabbelt und die Kabel zusammensteckt. Heute ist dieses Schattendasein längst vorbei – und der IT-Kollege einer, von dem man froh ist, wenn er mit seinem Know-how in der Nähe ist.

Wer unsere digitale Welt verstehen, meistern und verändern will, braucht eben IT-Kenntnisse. Und wenn er sie selbst nicht hat, braucht er unsere – und deine – Hilfe!

Wir bei nextwork beraten Unternehmen beim Aufbau ihrer Prozesse, ihrer IT-Infrastruktur und zu den Themen Datenschutz oder Informationssicherheit.

Welche Aufgaben erwarten dich?

Du bist der IT-Held, den unser Kunde rufen kann, wenn er Hilfe braucht. Beispiele aus dem Alltag: Stellt der Kunde einen neuen Mitarbeiter ein, hilfst du dabei, seinen neuen Rechner startklar zu machen. Hat jemand Probleme mit einem Programm oder einem Update, findest du den Fehler und eine Lösung. Was die Datensicherung im Unternehmen angeht, bist du derjenige, der den Server immer im Blick hat.

Welche Fähigkeiten und Eigenschaften musst du mitbringen?

Egal, ob Hauptschulabschluss, Realschulabschluss oder Abitur; egal, ob du schon Berufserfahrung hast oder direkt von der Schule kommst: bei uns bekommt jeder die gleiche Chance. Auch auf die Abschlussnote kommt es uns nicht an. Was uns aber wirklich wichtig ist: Du hast Spaß an digitalen Themen, arbeitest gerne eigenverantwortlich, bist verantwortungsbewusst und zuverlässig.

Außerdem bist du ein Teamplayer und deshalb offen und freundlich im Umgang mit Kollegen und Kunden. Wenn es mal vorkommt, dass dich ein Kunde auf Englisch anspricht, bleibst du cool und kannst dich verständigen.

Was bietet dir nextwork?

Wir sind ein junges Unternehmen – und verhalten uns auch so: bei uns gibt es keine strengen Hierarchien und festgefahrenen Prozesse. Stattdessen bieten wir dir viel Freiheit zur Mitgestaltung im Alltag. Und unterstützen deine Weiterbildung und Aufstiegschancen mit einem Fortbildungsbudget von mind. 1.000 € pro Jahr (z.B. für eine Fortbildung zum MailStore zertifizierten Techniker).

Dass wir mit unserer Firmenkultur etwas richtig machen, sieht man übrigens auch an unserem Team: wir haben eine Übernahmequote von 100 % bei unseren Auszubildenden.

Wir sind eine familiäre Truppe und unternehmen regelmäßig Teamausflüge zusammen, z.B. Canyoning in Tirol oder Motorboot-Fahren am Gardasee.

JETZT ONLINE BEWERBEN

Über Weihnachtskarten, X-Mas E-Mails und die Frage, ob die DSGVO der Grinch ist, der die Weihnachtswünsche stiehlt

Während wir bis Weihnachten immer weniger Tage zu zählen haben, erreicht uns eine Frage jetzt alle paar Tage: “Dürfen wir unseren Kunden eigentlich noch Weihnachtspost schicken?” Verständlich, denn immerhin feiern wir 2018 das erste Fest mit der DSGVO und geschärftem Bewusstsein für das Thema Datenschutz.

Damit Sie wissen, wo Sie Ihren kreativen Ideen freien Lauf lassen dürfen oder wo Sie sich die Mühe gleich sparen können, beantworte ich aus meiner Sicht* die wichtigsten Fragen zum Thema.

 

X-Mas Wünsche per Mail:
Braucht das Christkind ein Double-Opt-In?

Ganz klare Antwort: Ja! Das Christkind, also in diesem Fall Sie, brauchen tatsächlich ein Double-Opt-In. Dem Kunden ungefragt per E-Mail Weihnachtswünsche zu schicken ist unzulässig. Denn eine gut gemeinte E-Mail mit einem blinkenden Tannenbaum wird in der Regel nichts mit dem konkreten Auftrag zu tun haben, den Sie von Ihrem Kunden erhalten haben. Ausnahme von der Regel: der Kunde hat explizit seine Einwilligung dazu gegeben, dass Sie ihm ein frohes Fest wünschen dürfen. Sollten Sie zum vermutlich eher kleinen Kreis derer Gehören, die eine solche Einwilligung haben, mailen Sie los! Für alle anderen gilt: machen Sie sich keine Mühe mit netten Formulierungen und löschen Sie Ihren aktuellen Weihnachts-Verteiler. Weihnachtswünsche auf elektronischem Weg sind ein ganz klares No-Go!

Exkurs zum Grinch:
DSGVO, UWG oder ePrivacy-Richtlinie – Wer verbietet uns denn jetzt eigentlich das leichtsinnige Wünschen?

Im Sinne der Richtigkeit sei an dieser Stelle noch kurz angemerkt:  Alle sprechen gerade nur über die DSGVO. Klar, immerhin ist sie gerade der große Begriff rund um das Thema Datenschutz, den alle auf dem Schirm haben. Beim “unverlangten Versand einer E-Mail” ist die korrekte Rechtsnorm allerdings gar nicht die EU-DSGVO, sondern §7 UWG, mit den Vorgaben der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG – kurz: ePrivacy-Richtlinie. Aber das nur am Rande.

“Hoho”, live und direkt ins Ohr:
Sind Weihnachtsgrüße per Telefon erlaubt?

Um es auch hier kurz zu halten: Nein. Einfach zum Hörer zu greifen und den Kunden zum Thema Weihnachten anzurufen, ist überhaupt keine gute Idee. So eine Aktion fällt bereits in den Bereich Telefonwerbung und ist grundsätzlich unzulässig. Ausnahmen:  Der Angerufene hat bereits vorher explizit eine Einwilligung zu dieser Art von Werbung gegeben. Oder Sie haben ein ausgesprochen freundschaftliches Verhältnis zu diesem speziellen Kunden, dessen Nummer sie da wählen. In letzterem Fall geht ein Weihnachtsanruf sicher auch in Ordnung.  

Und wie sieht es mit echtem Papier und Geschenken auf dem guten alten Postweg aus?

Hier habe ich endlich gute Nachrichten: wer seinen Kunden eine Weihnachtskarte oder auch ein Geschenk per Post schicken will, bewegt sich auf recht stabilem Eis. Ausnahme: Wenn der Empfänger schon mal deutlich gemacht hat, dass er bitte überhaupt keine Weihnachtsgrüße aus dem Briefkasten fischen und auch keinen Kurier mit überdimensional großen Kalendern, Fresskörben und Ähnlichem empfangen möchte, sollten Sie das unbedingt in Ihrem Weihnachts-Verteiler berücksichtigen. Ansonsten könnte es berechtigten Ärger geben.

Fazit:
Die E-Mail-Postfächer müssen leer und die Telefone still bleiben. Aber den klassischen Briefkästen steht vermutlich die aufregendste Zeit des Jahres bevor

Beginnen Sie also ruhig, Karten zu entwerfen, Briefumschläge und Präsente auszusuchen – so lange Sie auf E-Mails und Anrufe verzichten und Ihre Weihnachtsgrüße an niemanden schicken, der einen expliziten Widerspruch gegen den Erhalt von Werbesendungen eingelegt hat, dürfen sie sich austoben. Viel Spaß beim rechtschaffenen Schenken und gesetzestreuen Wünschen!

*Informationen aus diesem Artikel basieren auf meiner persönlichen Recherche und Erfahrung. Sie dienen lediglich Informationszwecken und stellen keine Rechtsberatung dar. Sie können insbesondere keine individuelle rechtliche Beratung ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt.

Quick Guide DSGVO und TISAX: „don’t panic and get certified“

“Seit rund zwei Jahren beschäftige ich mich täglich mit TISAX und der DSGVO. Ich reise quer durch Deutschland, spreche mit großen und kleinen Kunden, leite Schulungen und halte Vorträge zu den Themen Datenschutz und Informationssicherheit. Mein Quick Guide soll jedem, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.”


 

don’t panic and get certified
Quick Guide DSGVO und TISAX.


Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.
Veröffentlicht: 28.11.2018, Verlag: BoD, Norderstedt
ISBN: 9783748181934 (Erhältlich überall wo es Bücher gibt)

 

 


Warum dieser Quick Guide?

Mein Quick Guide soll jedem, der sich mit der DSGVO und / oder TISAX beschäftigt, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.

Für wen ist dieser Quick Guide gedacht?

Kurz gesagt: Für alle, die konkret wissen wollen, wie sie ihr Unternehmen für die DSGVO und / oder TISAX fit machen. Für Unternehmen mit einem bis hin zu 10.000 Mitarbeitenden – denn die DSGVO betrifft alle.

Für die Menschen in diesen Unternehmen. Darunter CEOs, Vorstände, IT- und Personalchefs, Projektleiter sowie Kundenverantwortliche. Sie sind die Entscheider und Vertreter des Themas Datenschutz- und Informationssicherheit.

Für alle, die für die Automobilbranche arbeiten: Zum Beispiel Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Filmproduktionen, Event- und Kreativagenturen, Prototypenbauer und -tester oder Stahlbauunternehmen.

Für alle, die in ihrer Branche einen gemeinsamen Standard definieren wollen. Denn hat man einmal ein TISAX Zertifikat, ist man in puncto Datenschutz und Informationssicherheit ganz grundsätzlich gut aufgestellt.

Wo kann ich den Quick Guide kaufen?

Wer meinen Quick Guide bestellen möchte, findet ihn natürlich bei Amazon & Co. Aber ich würde mich noch mehr freuen, wenn ihr das Buch bei eurem lokalen Buchhandel bestellt. Das könnt ihr via genialokal.de auch online tun.

Wie kann ich mich zu TISAX fortbilden?

Mein Beratungsunternehmen nextwork bietet ab Januar 2019 Seminare und Workshops zu TISAX in mehreren deutschen Städten an. Jeder Workshop-Teilnehmer erhält nach erfolgreicher Prüfung ein Teilnahmezertifikat.
Mehr Informationen zu den TISAX-Workshops gibt es unter:
www.nextwork.de/tisax-workshops

 


Mehr Infos zu TISAX-Beratung finden Sie unter www.nextwork.de/tisax

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 eine TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: Wie läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

nextwork baut Geschäftsführung aus

Bei nextwork gibt es Grund zur Freude: Ab dem 1. Juni 2018 vertreten neben Inhaber und Geschäftsführer Marco Peters nun auch André Willich und Finn Nickelsen die nextwork GmbH als Geschäftsführer. Beide sind bereits seit vielen Jahren im Unternehmen.

nextwork setzt damit seine konsequente Entwicklung und das organische Wachstum fort. Der jüngste Geschäftsbereich „Informationssicherheit und Datenschutz“ boomt. Marco Peters hatte seinen dazugehörigen Beratungsansatz bereits seit drei Jahren konsequent entwickelt. „Als im Mai die Datenschutz-Panik durchs Land rollte, waren wir natürlich schon lange in Stellung“, so Peters. „Die Veränderungen, die durch TISAX und DSGVO an die Unternehmen herangetragen werden, sind ein echter Paradigmenwechsel, da sie alle Abteilungen und Abläufe in Kreativunternehmen betreffen.“ Um diese Themen in Zukunft weiter konsequent in der nextwork-Denke zu verzahnen, holt Peters die Leiter der Bereiche, André Willich (IT-Betreuung) und Finn Nickelsen (IT-Infrastruktur), in die Geschäftsführung.

Die Beratungsprojekte im Bereich Datenschutz und Informationssicherheit fußen auf dem langjährigen Know-how von nextwork in der IT-Beratung und dem Aufbau von IT-Infrastrukturen. „Wir entwickeln die IT kontinuierlich im engen Austausch mit unseren Kunden weiter – proaktiv und vorausschauend. Wir sind der Brandschutz, nicht die Feuerwehr“, erklärt André Willich.
IT-Infrastrukturen zukunftsorientiert, datenschutz- und informationssicherheitskonform zu entwickeln und zu betreuen, darin sieht nextwork heute seine Stärke. Finn Nickelsen erklärt die Denkweise: „Heute kann man keine IT-Infrastrukturen mehr entwickeln, ohne Datenschutz und Informationssicherheit mitzudenken, beispielsweise beim Mobile Device Management oder bezüglich der Zwei-Faktor-Authentifizierung. In unseren Projekten lösen wir also nicht mehr nur die individuellen Anforderungen der Kunden, sondern denken Datenschutz und Informationssicherheit automatisch mit.“

Auch von der kulturellen Seite kann nextwork glaubwürdig agieren: Derzeit residiert das Team in einem ehemaligen Club im Münchner Glockenbach-Viertel. Vor allem aber kennen die Berater das Agenturgeschäft seit vielen Jahren und sind seit Anbeginn auf Kreativunternehmen spezialisiert. Sie wissen, dass Kreative oft Schwierigkeiten mit den strengen Auflagen von TISAX und DSGVO haben. Deshalb sehen sie es als ihre Aufgabe an, diese Themen in deren Sprache zu übersetzen, sodass sie auch im Alltag gelebt werden können. Marco Peters fügt hinzu: „Ich bin überzeugt, dass Agenturen diese erstmal nervigen Auflagen als Chance für sich nutzen können, um alle Prozesse im Unternehmen zu durchleuchten – und sicherer und professioneller zu werden.“