Alle Artikel vonMarco Peters

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 ein TISAX-Zertifikat. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit rund einem Jahr darauf hin, dass das Thema TISAX relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf ein TISAX-Zertifikat vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. Aktuell sind folgende Unternehmen akkreditierten TISAX-Prüfdienstleistern:

DEKRA Certification GmbH, www.dekra-certification.de
Ernst & Young GmbH, de.ey.com
KPMG AG, www.kpmg.com
Operational services GmbH & Co. KG , www.o-s.de
PwC cert GmbH, de.pwc.com
TÜV Rheinland i-sec GmbH, de.tuv.com

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

nextwork baut Geschäftsführung aus

Bei nextwork gibt es Grund zur Freude: Ab dem 1. Juni 2018 vertreten neben Inhaber und Geschäftsführer Marco Peters nun auch André Willich und Finn Nickelsen die nextwork GmbH als Geschäftsführer. Beide sind bereits seit vielen Jahren im Unternehmen.

nextwork setzt damit seine konsequente Entwicklung und das organische Wachstum fort. Der jüngste Geschäftsbereich „Informationssicherheit und Datenschutz“ boomt. Marco Peters hatte seinen dazugehörigen Beratungsansatz bereits seit drei Jahren konsequent entwickelt. „Als im Mai die Datenschutz-Panik durchs Land rollte, waren wir natürlich schon lange in Stellung“, so Peters. „Die Veränderungen, die durch TISAX und DSGVO an die Unternehmen herangetragen werden, sind ein echter Paradigmenwechsel, da sie alle Abteilungen und Abläufe in Kreativunternehmen betreffen.“ Um diese Themen in Zukunft weiter konsequent in der nextwork-Denke zu verzahnen, holt Peters die Leiter der Bereiche, André Willich (IT-Betreuung) und Finn Nickelsen (IT-Infrastruktur), in die Geschäftsführung.

Die Beratungsprojekte im Bereich Datenschutz und Informationssicherheit fußen auf dem langjährigen Know-how von nextwork in der IT-Beratung und dem Aufbau von IT-Infrastrukturen. „Wir entwickeln die IT kontinuierlich im engen Austausch mit unseren Kunden weiter – proaktiv und vorausschauend. Wir sind der Brandschutz, nicht die Feuerwehr“, erklärt André Willich.
IT-Infrastrukturen zukunftsorientiert, datenschutz- und informationssicherheitskonform zu entwickeln und zu betreuen, darin sieht nextwork heute seine Stärke. Finn Nickelsen erklärt die Denkweise: „Heute kann man keine IT-Infrastrukturen mehr entwickeln, ohne Datenschutz und Informationssicherheit mitzudenken, beispielsweise beim Mobile Device Management oder bezüglich der Zwei-Faktor-Authentifizierung. In unseren Projekten lösen wir also nicht mehr nur die individuellen Anforderungen der Kunden, sondern denken Datenschutz und Informationssicherheit automatisch mit.“

Auch von der kulturellen Seite kann nextwork glaubwürdig agieren: Derzeit residiert das Team in einem ehemaligen Club im Münchner Glockenbach-Viertel. Vor allem aber kennen die Berater das Agenturgeschäft seit vielen Jahren und sind seit Anbeginn auf Kreativunternehmen spezialisiert. Sie wissen, dass Kreative oft Schwierigkeiten mit den strengen Auflagen von TISAX und DSGVO haben. Deshalb sehen sie es als ihre Aufgabe an, diese Themen in deren Sprache zu übersetzen, sodass sie auch im Alltag gelebt werden können. Marco Peters fügt hinzu: „Ich bin überzeugt, dass Agenturen diese erstmal nervigen Auflagen als Chance für sich nutzen können, um alle Prozesse im Unternehmen zu durchleuchten – und sicherer und professioneller zu werden.“

Zwei Welten: Coworking und Datenschutz

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.

 

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association

nextwork: Der nächste Schritt in ein neues Zeitalter

Früher war der „ITler“ der Nerd im Serverraum, hat Rechner für Mitarbeiter aufgesetzt, sich um E-Mail und Internet gekümmert und ein Backup eingerichtet. Heute muss jeder Prozess in die Logik der IT übersetzt werden. Dies betrifft zum einen die administrativen Prozesse (z. B. Zeiterfassung, Angebots- und Rechnungswesen, Ressourcenplanung und Projektsteuerung), aber auch die kreativen Prozesse in Kreativagenturen – also Tools, die Designer in der Kreation, in der Teamarbeit und in der Datenablage verwenden.

Gleichzeitig ist es durch die fortschreitende Digitalisierung viel wichtiger geworden, Daten zu schützen. Für Agenturen bedeutet dies, dass ihre Auftraggeber zunehmend hohe Standards bezüglich der Datensicherheit in Form von ISO-Zertifizierungen und Auflagen im Datenschutz einfordern. In diesem Fall müssen alle Agenturprozesse, administrative wie kreative, überprüft und ggf. weiterentwickelt werden.

Was neu ist: nextwork berät Agenturen bei der Digitalisierung und Absicherung ihrer Prozesse

Um Agenturen in diesen neuen Aufgabenbereichen besser beraten zu können, haben wir „nextwork“ gelauncht. Wir beraten Kreativagenturen bei der Digitalisierung ihrer administrativen und kreativen Prozesse, entwickeln zukunftsorientierte IT-Infrastrukturen und sorgen für Datensicherheit. Typische nextwork-Beratungsprojekte sind z. B.:

  • Auswahl und Einführung von Agentursoftware, Recruiting-Tools etc.
  • Konzeption von komplett neuen IT-Infrastrukturen, z. B. für Neugründungen, Umzüge, Rundumerneuerung
  • Beratung bei der Digitalisierung aller kreativen und administrativen Agenturprozesse
  • Projektleitung bei einer ISMS-Auditierung oder Durchführung von internen Audits
  • Laufende Betreuung als Datenschutz- und Informationssicherheitsbeauftragter
  • Workshops und Schulungen für Mitarbeiter

 

Mehr zu Nextwork: www.nextwork.de

Mein Fachartikel über »häufige Datenlöcher in Kreativagenturen – und was man dagegen tun kann« in der PAGE 05.2017

Datensicherheit ist nicht sexy – aber notwendig. Marco Peters von Solutionbar über häufige Datenlöcher in Kreativagenturen – und was man dagegen tun kann.

Kreativität und Datensicherheit – das sind zwei Be­griffe, die nicht besonders oft miteinander assoziiert werden. Kreativität, das ist Ideen-Pingpong ohne Ein­schränkungen, den Gedanken freien Lauf lassen, herumspinnen und Neues erschaffen. Daten­sicherheit hingegen klingt so ziemlich nach dem Ge­genteil. Wenn hier von Kreativagenturen die Rede ist, sind keinesfalls nur die großen Netzwerkagentu­ren gemeint.

Das »Rückgrat der Agenturbranche« ist die Mittelschicht – und gerade diese kann durch hohe Scha­denersatzzahlungen im Falle eines Datenverlusts in erhebliche finanzielle Schieflage geraten…

Hier gibt es den kompletten Artikel
Online: http://page-online.de/tools-technik/sichern-sie-ihre-daten/#
Oder im Heft Ausgabe 05.2017

 

 

Datenschutz ist nervig und macht unproduktiv

Hand aufs Herz: Lesen Sie in Ihrer Freizeit auch gern mal das Bundesdatenschutzgesetz (BDSG)? Und ändern Sie alle 90 Tage Ihr Passwort?

Ich vermute stark, dass Sie auf beide Fragen mit „Nein“ antworten. Das ist auch kein Wunder. Denn nichts ist so nervig und nichts macht so unproduktiv wie die Einhaltung von Datenschutzvorgaben. Das muss allerdings nicht sein.

107 Seiten Juristendeutsch oder: Wie bitte?

Ein Bekannter sprach mich neulich bei einem Feierabendgetränk auf das Thema Datenschutz an. Er hatte gerade den Arbeitsvertrag in einem neuen Unternehmen unterschrieben. Neben dem Vertrag lagen 107 (hundertsieben) DIN A4-Blätter mit Richtlinien parat, die ebenfalls sein Kürzel benötigten. Er zeigte mir den Stapel mit den Worten: „Du kennst dich damit doch aus. Was habe ich da eigentlich unterschrieben?” Ich blätterte die Seiten durch, von denen 90 Prozent englische Schriftsätze enthielten, der Rest war Juristendeutsch. Ganz klar: Hier ging es um den Datenschutz, Verschwiegenheitsrichtlinien, Sicherheitsthemen. Auch klar: Kein Mensch ohne juristische Ausbildung (und ohne juristische Kenntnisse in englischer Sprache) konnte das, was dort geschrieben stand, verstehen.

Die Folge daraus erfordert keine hohe Mathematik: Mitarbeiter, die nicht verstehen bzw. nicht nachvollziehen können, worum es in diesen Schriftstücken geht, werden nicht umsetzen können, was man von ihnen verlangt. Die Vorgaben werden dann nicht eingehalten oder auch bewusst umgangen, es herrscht Unsicherheit – und wenn der hilfesuchende Blick zum Kollegen führt, hat dieser im Zweifel auch keine Ahnung.

Das Ergebnis: Alles das, was gesetzlich vorgeschrieben und wichtig ist – und wofür Sie vielleicht extra einen Datenschutzberater beauftragt haben – wird in Ihrem Unternehmen nicht gelebt. Oder noch schlimmer: Es kostet zusätzlich Effizienz und Produktivität.

Wieso, weshalb, warum – nur wer’s versteht, setzt es um

Auch meine Mitarbeiter müssen bei Vertragsunterzeichnung Datenschutzrichtlinien gegenzeichnen. Der Unterschied: Was andere auf 107 Seiten formulieren, passt bei mir auf eine Doppelseite. Ich habe mich mit einem guten Texter hingesetzt und das wichtigste, was das Gesetz will, auf zwei Seiten verständlich formuliert. Ich bin deshalb sicher, dass alle verstanden haben, warum die Punkte, die dort aufgelistet sind, umgesetzt werden müssen.

Mein Tipp für Sie: Tun Sie es mir nach. Vermeiden Sie dabei zusätzlich Formulierungen, die einschränken. Eröffnen Sie stattdessen Möglichkeiten. Sagen Sie also nicht: „Es dürfen keine E-Mails mit Anhängen über fünf Megabyte versendet werden.“ Die bessere Alternative: „Wenn Sie E-Mails mit Anhängen unter fünf Megabyte versenden möchten, nutzen Sie die E-Mail-Software. Alle größeren Anhänge können Sie mit ownCloud (ein Beispiel) übertragen.“

Was passiert, wenn Sie negativ formulieren und keine Lösungswege anbieten? Ganz einfach: Ihre Mitarbeiter suchen sich Wege, große Datenmengen „irgendwie“ zu übertragen – zum Beispiel über ungesicherte Dateien auf USB-Sticks oder sie installieren sich Software von Anbietern wie Dropbox. In diesem Fall – Sie ahnen es schon – wird wieder gegen das Datenschutzgesetz verstoßen. Denn Dropbox ist ein in den USA ansässiges Unternehmen – und die USA wurden vom Datenschutz als „unsicheres Drittland“ eingestuft. Allein die Angabe der E-Mail-Adresse des Empfängers, die zum Versand benötigt wird, ist verboten. Unbedenkliche Lösungen, die genutzt werden können sind ownCloud und tresorit. Stellen Sie Ihren Mitarbeitern solche Lösungen zur Nutzung zur Verfügung, dann müssen diese sich nicht selbst „Lösungen“ suchen, die am Ende keine sind.

Nach dem Verständnis kommt die Durchführbarkeit

Die Verständlichkeit von Richtlinien ist allerdings auch noch nicht das Ende der Fahnenstange. Wenn Ihre Mitarbeiter Sicherheitsrichtlinien umgehen (müssen), um Ihre Arbeit effizient (oder überhaupt) ausführen zu können, dann haben Sie das Thema noch nicht zu Ende gedacht.

Ein Beispiel: In einem mir bekannten Unternehmen werden die Mitarbeiter alle 90 Tage aufgefordert, Ihre Passwörter zu ändern. Andernfalls können sie nicht weiter auf die Systeme zugreifen. Ein Mitarbeiter hat sich nun eine ganz clevere Lösung ausgedacht, um sich nicht ständig neue Passwörter merken zu müssen: Er umging das System, indem er zwar seine Passwörter brav neu aufsetzte, aber gleich darauf wieder zurückänderte. Das System und auch der Chef denken, alles sei gut – in Wahrheit aber wird gegen das Datenschutzgesetz verstoßen.

Die tollste Richtlinie bringt also überhaupt nichts, wenn Ihre Mitarbeiter sie nicht einhalten. Damit sie das aber tun, brauchen sie neben dem Verständnis für die Inhalte auch eines für die Gründe der einzelnen Maßnahmen – und zusätzlich Möglichkeiten, ihre Arbeit trotz Datenschutzeinschränkungen erledigen zu können. Was die Passwort-Geschichte angeht: Dem Mitarbeiter wäre mit einem Passwort-Manager sehr geholfen. Ich kann die Software 1Password empfehlen. Keiner Ihrer Mitarbeiter muss sich damit je wieder ein betriebliches Passwort merken. Die regelmäßigen Änderungen werden sie also nicht mehr stören.

Wenn Sie jetzt noch einen lockeren Workshop veranstalten mit einer Runde Pizza für alle und zum Nachtisch ein Gespräch darüber, warum Passwortsicherheit so wichtig ist, werden Sie mit diesem Thema keine Probleme mehr haben. Mehr noch: Ihre Mitarbeiter werden es leben.

Nach der Datenschutzrichtlinie ist vor dem Datenschutz

Wenn Sie eine Datenschutzrichtlinie haben, sind Sie vielen Unternehmen einen Schritt voraus. Denn von allen Unternehmen, die an der Studie „Netz- und Informationssicherheit in Unternehmen 2010“ teilgenommen haben, trifft dies auf zwei Drittel schon mal nicht zu.

Die Erstellung von Richtlinien ist trotzdem immer nur der erste Schritt. Mit dem Engagement eines Datenschutzberaters und dem Einsammeln von Unterschriften auf seitenweise verklausulierten Texten ist es nicht getan. Datenschutz muss verstanden werden und umsetzbar sein, nur dann kann er gelebt werden. Laut „Clearswift Insider Threat Index (CITI) – German Edition 2015“ stellen Mitarbeiter eines der größten Sicherheitsrisiken für Unternehmen dar – einfach aus dem Grund, dass zwei Drittel aller internen Sicherheitsvorfälle zufällig oder unbeabsichtigt geschehen (65 %) und ein großer Mangel an Bewusstsein um Datensicherheitsprobleme herrscht (58 %).

Denken Sie also nie vordergründig an Paragraphen und Gesetze, sondern rücken Sie Ihre Mitarbeiter in den Vordergrund aller Maßnahmen. Holen Sie sie ordentlich ab, nicht nur juristisch. Dann erreichen Sie das Datenschutz-Niveau, das Sie erreichen möchten – und das auch von immer mehr Auftraggebern gefordert und überprüft wird.

Zum Schluss muss ich als Experte zugeben: Ja, Sie haben Recht. Das Thema Datenschutz ist nervig und macht unproduktiv. Aber nur, wenn es nicht richtig umgesetzt wird. Gerade kleinere Unternehmen, die ca. 90 Prozent der Unternehmerlandschaft in Deutschland ausmachen, haben es hier schwer. Doch gehen Sie es an und bringen Sie es einmal durchdacht hinter sich. Wenn dann im Sommer 2018 die neue (und in vielen Punkten strengere) EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft treten wird, die eine umfassende Neuordnung des gesamten Datenschutzes in Europa mit sich bringt, sind Sie auf der sicheren Seite.

 

»CODING FOR CREATIVE KIDS«: 60 KINDER PROGRAMMIEREN ROBOTER

Wie kriegt man eine Horde von 3 x 20 Kindern im Durchschnittsalter von 10 Jahren dazu, sich fast 2 Stunden auf eine Sache zu konzentrieren?

Ganz einfach: Man gebe ihnen einen Roboter, ein iPad und eine knifflige Aufgabe. Diese lautet zum Beispiel: »Sag dem Roboter, dass er einen halben Meter geradeausfahren, einen Kegel umschmeißen, dann eine 90°-Drehung ausführen usw soll, bis er ein Spielfeld von sechs Kegeln abgeräumt hat und vor Freude ein Lied pfeift (unter dem begeisterten Applaus aller Kinder und Eltern, die am Schluss zusammen das Ergebnis anschauen).

In einer ehemaligen Fabrikhalle in Obersendling fand dieses Jahr erstmals ein Event statt, das es so bislang noch nicht im MCBW-Programm gegeben hat: ein Roboter-Programmierkurs, initiiert von der »Solutionbar« und durchgeführt vom »Roberta«-Team. Die Kids saßen überall in kleinen Zweierteams verstreut, während sie auf iPads und Laptops ihre Dash- und Mindstorms-Roboter programmierten. Wer nicht gerade auf die kleinen bunten Kästchen starrte, mit denen man dem Roboter auf dem Screen alle Einzelbefehle wie Bauklötze aneinanderreiht, konnte in der großen Halle rumflitzen oder eine Runde kickern. Viele kamen so zum ersten Mal mit dem Programmieren in Berührung, am Ende der Session hatte aber jedes Kind ein echtes Erfolgserlebnis.

»Die Kids steigen heute leider vor allem als Konsumenten in die digitalen Medien ein“, erklärt Marco Peters, Geschäftsführer der Solutionbar und Vater zweier Schulkinder, die Idee hinter dem Event. „Wir wollen den Kids einen kreativen Blick eröffnen. Wie daddeln, whatsappen und minecraften hinter den Kulissen funktioniert. Da gibt’s nur eins: unsere Kids müssen Programmieren lernen!“ Er freut sich sehr, dass die Idee so gut angekommen ist und das Team viel positives Feedback von allen Teilnehmern erhalten hat.

Auf der Suche nach der richtigen Agentursoftware (Teil 5, Finale)

Es ist jetzt fast genau ein Jahr her, da startete ich mit der Blogreihe zum ThemaAuf der Suche nach der richtigen Agentursoftware”. Die Idee für dieses Thema kam mir durch ein Projekt. Eine Kunde von mir eine Agentur mit rund 50 Mitarbeitern suchte nach einer Software, mit der sich die Prozesse in ihrem Hause abbilden, Zeiten erfassen und Projekte managen lassen sollten. Im Zuge meiner Recherchen stellte ich schnell fest: Das Thema ist brandheiß. Denn viele Agenturen sind in der schwierigen Situation, zwar eine breite Auswahl an ERP- und CRM-Systemen vorfinden zu können, die speziellen Agentur-Bedürfnisse kommen bei den klassischen Standardlösungen aber oft zu kurz.

Ursprünglich wollte ich im fünften und letzten Teil 5 der Serie erläutern, wie sich die gefundene Agentursoftware bei unserem Kunden wirklich schlägt und wie die Anwender mit der Lösung zurechtkommen. Doch seit Teil 4 ist viel passiert. Ich habe mehrere Agenturen bei der Suche nach einer passenden Software und deren Einführung begleitet und stellte fest: Bei jeder Agentur fing meine Suche wieder bei null an. Woran das liegt? Vor allem an den Ausgangssituationen, die von Agentur zu Agentur anders sind. Einige Agenturen hatten beispielsweise überhaupt noch nie mit einer Agentursoftware gearbeitet (einer meiner Kunden schrieb seine Rechnung lange Zeit ausschließlich mit InDesign). Bei anderen wiederum gab es bereits eine Software – die Agenturen mussten jedoch feststellen, dass diese den aktuellen Anforderungen nicht mehr gerecht wurde.

Den fünften Teil dieser Blogreihe möcht ich nun dazu nutzen, meine Erfahrungen aus den letzten Monaten zusammenzufassen und ein Fazit aus den gesammelten Erlebnissen mit meinen Agenturkunden zu ziehen. Zugleich möchte ich jedem Agenturinhaber die Angst vor dem Wechsel zu einer neuen Software nehmen. Denn Folgendes konnte ich bei jeder Zusammenarbeit feststellen: Die Umstellung lohnt sich für eine Agentur immer!

Die beliebtesten Agentursoftwares

Eines vorneweg: Es gibt nicht DIE Software, mit der jede Agentur richtig fährt. Schließlich sehen die Prozesse in jedem kreativen Haus anders aus. Auch die Anwender ticken immer unterschiedlich. Dennoch möchte ich Ihnen die Top 3 der Agentursoftwares meiner Kunden nicht vorenthalten. Diese Lösungen sind nicht automatisch die besten, kamen aber bei meinen Kunden besonders gut an.

TEAMBOX, PROAD und QuoJob das sind die drei Software-Lösungen, für die sich die meisten meiner Kunden entschieden haben. Jedes dieser Systeme hat seine Vor- und Nachteile. Das eine ist besonders benutzerfreundlich, das andere hat mehr Funktionen, das nächste glänzt durch eine besondere Individualisierbarkeit. Dennoch: Auch, wenn diese Top 3 besonders gut angekommen ist, kann für Ihre Agentur auch eine andere Software die beste Lösung sein.

Jede Agentur ist anders

Wie anfangs erwähnt, gibt es bei Agenturen verschiedenste Ausgangssituationen. Auf der einen Seite stehen Agenturen, die ihre Prozesse bereits digitalisiert haben. In den letzten Monaten konnte ich feststellen, dass diesen Kandidaten die Umstellung auf eine neue Lösung meist leichtfällt.  

Auf der anderen Seite gibt es die Agenturen, die noch gar keine Software zur Abbildung ihrer Prozesse nutzen. Diese behelfen sich z. B. mit Excel-Listen, handschriftlichen Stundendokumentationen und Rechnungsvorlagen aus InDesign oder Word. Solche Agenturen tun sich mit der Umstellung meist schwerer und doch ist das Fazit jedes Mal das Gleiche. Nach einer gelungenen Software-Implementierung höre ich in zehn von zehn Fällen den Satz: „Warum haben wir das nicht schon früher gemacht?”

Eine vernünftige Software-Recherche und -Umstellung ist mit viel Arbeit verbunden – das steht außer Frage. Doch ich garantiere Ihnen: Die Arbeit lohnt sich! Mit folgendem Beispiel möchte ich diese Behauptung für Sie untermauern:

Bessere Kontrolle und entspannte Nerven durch systematische Zeiterfassung

Besonders mit dem Thema Zeiterfassung haben viele Agenturen zu kämpfen. Die Mitarbeiter empfinden das Nachtragen ihrer abgeleisteten Stunden als lästig. Dabei kann es so einfach sein.

Einer meiner Kunden hat sich für ein Jobmanagement-Tool entschieden. Sobald ein Auftrag reinkommt, wird dieser per Klick an die zuständige Abteilung weitergeleitet und einem Mitarbeiter zur Bearbeitung zugeteilt. Dieser sieht sofort, wie viele Stunden in welchen Kalenderwochen für diesen Auftrag eingeplant sind. Wenn der Mitarbeiter am Ende jedes Arbeitstages seine Stunden auf die zugehörige Projektnummer bucht, sind alle sofort informiert (Projektmanager, Vorgesetzte usw.). Beim nächsten Login weiß der Mitarbeiter sofort, wie viel Zeit er schon für den Job verbraucht hat bzw. wie viel Zeit ihm zur weiteren Bearbeitung zur Verfügung steht.

Der Vorteil des Jobmanagement-Tools liegt auf der Hand: Die Kontrolle über aufgewendete Arbeitszeiten ist viel genauer. Sollte einmal festgestellt werden, dass ein Auftrag viel mehr Zeit verbraucht, als ursprünglich geplant, kann das Projektmanagement noch rechtzeitig einlenken. Damit wird das wohl größte Problem von Agenturen gelöst. Denn wird der Zeitrahmen aufgrund einer schlechten oder gar fehlenden Zeiterfassungslösung gesprengt, lässt sich mit dem Kunden nicht mehr nachverhandeln. Machen dagegen alle Mitarbeiter ihre Zeiterfassung zeitnah, spart man sich eine Menge Nerven – und auch die Mitarbeiter sind viel glücklicher.

 

So gelingt die Suche nach der passenden Agentursoftware

Die Taskforce

„So geht es nicht weiter, wir brauchen eine vernünftige Agentursoftware!” Wenn Sie diesen Entschluss fassen, sollten Sie zuerst eine Taskforce im Unternehmen aufstellen, die sich um das Projekt Neue Agentursoftware kümmert – und zwar komplett: von der Recherche bis zur Umsetzung.

Diese Taskforce sollte sich aus Mitarbeitern verschiedener Abteilungen zusammensetzen. Dazu gehören Personaler, die Finance-Abteilung, das Projektmanagement und der Designchef. Ganz wichtig und allen voran: die Geschäftsführung.

Im Idealfall holen Sie sich einen Digitalisierungsexperten ins Team. Im Idealfall haben Sie sogar schon jemanden, der sich bereits früher um die Einführung verschiedener Tools gekümmert hat (wie Zeiterfassung, Urlaubsplanung, Bewerbermanagement oder Ressourcenplanung). Dieser Digitalisierungsprofi kann als externer Berater fungieren. Haben Sie in Ihrem Unternehmen bereits einen Profi, der die Prozesse kennt und weiß, was das Unternehmen wirklich braucht? Dann nutzen Sie diese Wissensressource.

Ganz wichtig: Vertrauen Sie auf das Konzept der Taskforce. Viele machen den Fehler und setzen ausschließlich einen Projektmanager auf das Thema an. Doch geht es bei einer Agentursoftware um viel mehr als reines Projektmanagement. Jede Abteilung hat ein Mitspracherecht.

Die Anforderungsliste

In Teil 2 dieser Blogreihe habe ich eine Anforderungsliste zum Download bereitgestellt. Dieses Dokument ist recht umfangreich, ist dadurch aber ein toller Leitfaden, um sich bewusst zu werden, was eigentlich benötigt wird. Ihre Taskforce sollte sich diese Liste in Ruhe vornehmen und entscheiden, welche Funktionen wirklich gebraucht werden und welche Tools für Ihre Bedürfnisse irrelevant sind.

Auf Basis der Anforderungsliste kann die Taskforce nun verschiedenste Agentursoftware-Lösungen vergleichen und überprüfen, ob diese den Anforderungen gerecht werden. Ist bei einem Punkt auf der Liste nicht klar, ob die Lösung diese Funktion bereithält, kontaktieren Sie einfach den Anbieter. Dieser hilft mit Sicherheit gerne weiter.

Die Präsentation und Probe aufs Exempel

Ist die Liste einmal ausgefüllt und mit den in Frage kommenden Anbietern abgeglichen, geht es ans Eingemachte: Laden Sie Ihre Favoriten zu einer Software-Präsentation in Ihr Unternehmen ein. So haben Sie die Chance, jede einzelne Software ausführlich kennenzulernen und die Experten mit Fragen zu löchern.

Im Rahmen einer jeden Präsentation werden Sie schnell bemerken, ob die jeweilige Software (und auch das Team dahinter) zu Ihrer Agentur passt. Häufig stellt sich bei solch einer Präsentation auch heraus, dass eine vermeintlich fehlende Funktion doch existiert oder eine elegante Alternativlösung zur Abbildung des Prozesses gefunden werden kann.

Haben Sie nach den Präsentationen bereits Ihren Favoriten gefunden: Herzlichen Glückwunsch! Falls das nicht der Fall ist und Sie noch zwischen zwei oder drei Lösungen schwanken, ist das kein Grund, den Kopf in den Sand zu stecken. Seriöse Software-Hersteller bieten meist eine kostenfreie Testphase an, in der Sie die Software auf Herz und Nieren testen können. Danach wissen Sie ganz sicher, welche Ihr persönlicher Sieger ist.

Keine Angst haben einfach machen!

Ich kann es nicht oft genug betonen: Nehmen Sie das Projekt Agentursoftware ernst und kümmern Sie sich kontinuierlich darum. Das Projekt sollte niemals liegen bleiben.

Ich kenne das von verschiedenen Agenturen nur zu gut: Ein paar Monate lang wird das Thema Agentursoftware vergessen. Wird dann aber immer deutlicher, dass auf eine neue Agentursoftware nicht mehr verzichtet werden kann, ist es ein echter Kraftakt, wieder an vorher gesammelte Erkenntnisse anzuknüpfen. Daher mein Tipp: Vereinbaren Sie innerhalb der Taskforce einen monatlichen Jour fixe. Bei diesem Meeting verteilen Sie alle anfallenden Aufgaben an die einzelnen Teammitglieder. Beim folgenden Jour fixe werden die Lösungen dann besprochen.

Ja, es stimmt: Die Suche nach der richtigen Agentursoftware ist zeit- und arbeitsintensiv. Aber glauben Sie mir: Mit der passenden Lösung werden die Prozesse in Ihrer Agentur so viel besser, dass auch Ihre Mitarbeiter glücklicher werden. Und keine Angst: Sie bekommen das hin. Ich garantiere Ihnen: Wenn Sie ein zuverlässiges Team auf das Projekt ansetzen, sich kontinuierlich um das Thema kümmern und sich nicht blindlings für eine beliebte Lösung (wie aus der obigen Top 3) entscheiden, werden Sie rückblickend sagen, dass es das alles wert war.

 

Falls Sie auf der Suche nach einer passenden Agentursoftware für Ihr Unternehmen sind und nicht weiterkommen, unterstütze ich Sie gerne bei Ihrem Projekt. Das gilt auch für jeden Prozess, den es in Ihrem Hause zu digitalisieren gilt.