Schlagwort: datenschutz

Zwei Welten: Coworking und Datenschutz

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.

 

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association