Schlagwort: OwnYourCompliance

Die Neuauflage als Buch und Podcast: Mein Quick-Guide „DON’T PANIC – AND GET CERTIFIED“ geht in die dritte Runde

Warum der Quick-Guide? Und warum eine Neuauflage?

Vieles hat sich seit dem ersten Erscheinen des Quick-Guides geändert. Damals, 2018, kamen die neuartigen Themen DSGVO und TISAX auf Unternehmen zugerollt wie eine Flutwelle. Entsprechend viel Unsicherheit und Halbwissen gab es. Genau das war die Initialzündung für das Schreiben des Quick-Guides: Ich wollte einen ersten Überblick über die Themen geben und schnelle Hilfe anbieten. Ich hatte mit meiner Firma Nextwork bereits viel Erfahrung in Zertifizierungsprojekten mit Unternehmen aus unterschiedlichen Branchen gesammelt – und wollte diese einem breiteren Publikum zur Verfügung stellen. Damit hatte ich einen „guten Riecher“ bewiesen, denn meine Erwartungen wurden weit übertroffen: Die Nachfrage nach dem Quick-Guide war viel größer als gedacht. 

Mittlerweile sind zwei Jahre vergangen, in denen wir noch mehr Erfahrung durch unterschiedlichste TISAX- und DSGVO-Projekte gesammelt haben. Zusätzlich habe ich meinen Horizont noch auf einem anderen Weg erweitert: Durch meine Wissensvermittlung in Schulungen bekam ich noch viel direkteren Kontakt zu den meist gestellten Fragen und Unsicherheiten, welche die Leute umtreiben. Und: Ich fing an, noch genauer zuzuhören – und mehr mitzuschreiben. Dadurch ist noch etwas passiert: Mein Anspruch hat sich immens erhöht. Ich habe gemerkt, dass viel mehr Informationen in den Quick-Guide reinmüssen als bisher. In die neu überarbeitete Ausgabe sind jetzt also nicht mehr nur die Erfahrungen aus dem Projektgeschäft und aus über einhundert erfolgreichen Audits eingeflossen, sondern auch die vielen Fragen und Rückmeldungen aus den Schulungen.

Was ist neu? Konkrete Beispiele

Gap-Analyse: In einem TISAX- oder DSGVO-Prozess spielt die Gap-Analyse eine zentrale Rolle. Nur mithilfe einer sauber durchgeführten Gap-Analyse lassen sich konkrete Bedarfe ermitteln: Wo steht das Unternehmen – und was muss das Management für die Planung wissen? In der neuen Auflage enthält der Quick-Guide einen Leitfaden zur Durchführung einer Gap-Analyse. 

TISAX-Labels: Im Dschungel der TISAX-Labels ist es gar nicht leicht, den Überblick zu behalten. Was viele nicht wissen: Es gibt nicht die eine TISAX-Zertifizierung. Vielmehr unterscheidet man bei TISAX aktuell zwischen zehn verschiedenen Freigabelabels. Der neu aufgelegte Quick-Guide enthält deshalb eine anschauliche Übersicht darüber, welche TISAX-Labels es gibt. Außerdem beschreiben ergänzende Erklärungen, wofür welches Label benötigt wird.

Audit-Ablauf: Auch beim Audit gilt: Keine Panik! Auditoren sind nicht mit Dementoren zu verwechseln, sondern auch nur Menschen. Sie sind viel weniger furchteinflößend, als allgemein angenommen – vor allem, wenn man weiß, was im Umgang mit ihnen wichtig ist. Deshalb enthält der Quick-Guide eine ausführliche Beschreibung, wie Audits ablaufen und was dabei zu beachten ist.

Mein Motto: Own your compliance!

Bei all den neuen Richtlinien und Zertifizierungen könnte man als Unternehmer den Eindruck gewinnen, dass einem ständig Steine in den Weg gelegt werden, die den eigenen Handlungsspielraum immens einschränken. So kann man es sehen – muss man aber nicht. Ich bin der Meinung, dass Unternehmen die Themen Datenschutz und Informationssicherheit als Chance begreifen können. Und zwar als Chance dafür, sich fokussiert mit den Prozessen im eigenen Unternehmen auseinanderzusetzen, sie aufzuräumen, auszumisten, neu und zukunftsfähig aufzusetzen sowie gegebenenfalls zu digitalisieren. Im jetzigen Wissenszeitalter richtet sich der Fokus damit direkt auf das Herz der Wertschöpfung eines Unternehmens. 

Unternehmer können das Thema Compliance auch proaktiv betreiben. Statt sich nur von fremdbestimmten Regeln bevormundet zu sehen, sind sie auf diese Weise einfach schon einen Schritt weiter.

In diesem Sinne: Nutzen Sie die Chance, Ihre eigene Compliance zu schreiben – und formulieren Sie damit gleichzeitig eine Haltung, die zur Marke werden kann. 

Als Podcast
„DON’T PANIC – AND GET CERTIFIED“
Neu ab April 2020 auf Spotify und allen gängigen Podcast-Kanälen. Einfach nach dem Stichwort „tisax“ suchen 😉

Als Buch
„DON’T PANIC – AND GET CERTIFIED“
3. Überarbeitete Auflage, Veröffentlicht: 30.03.2020, Verlag: BoD, Norderstedt
ISBN: 9783751904759 (Support your local bookstore!)

Stay the fuck home – Remote Arbeiten in Zeiten von Corona

Auch wir bei Nextwork sind uns der kritischen Situation bewusst und haben seit dem 11.03.2020 auf Remote Work und Homeoffice umgestellt. Ebenso haben wir alle unsere Dienstreisen abgesagt und unsere Meetings durch Videokonferenzen ersetzt. Die durchweg positiven Reaktionen unserer Kunden und Partner bestärken uns dabei.

Wir haben das Glück, dass uns diese Arbeitsweise bei Nextwork bereits vollkommen vertraut ist. Wir sind schon seit längerem auf dezentrales Arbeit ausgerichtet – die Art unserer Tätigkeit als digitale Wissensarbeiter erlaubt es uns. Für viele Unternehmen ist dies viel schwieriger, wenn die Anwesenheit von Personen dringend erforderlich ist. 

Es gibt jedoch auch immer noch viele Unternehmen, die strukturell und technisch in der Lage wären, Remote zu arbeiten – aber Homeoffice aus welchen Gründen auch immer ablehnen. Spätestens JETZT sollten aber bitte auch diese Unternehmenschefs aufwachen und ihren Mitarbeitern ermöglichen und sie dazu auffordern, im Homeoffice zu arbeiten – und dies auch künftig in ihrer Kultur verankern.

Lest hierzu auch: https://staythefuckhome.com/de/

Alle Unternehmenschefs, die Unsicherheiten in Bezug auf Compliance und Informationssicherheit haben, können sich gerne an mich wenden. Ich versuche alle Anfragen zu beantworten. Selbstverständlich kostenfrei.

#covid2019 #homeoffice#StayTheFuckHome #coronavirus #OwnYourCompliance

Das war erst der Anfang: Jetzt kommen Informationssicherheit für den Film – und ePrivacy in Kalifornien

2018 brachte die Datenschutzgrundverordnung, 2019 den neuen Standard für Informationssicherheit der deutschen Automobilindustrie: TISAX®. Wer glaubt, dass das alles gewesen sei, der irrt. 2020 nämlich, geht es direkt so weiter. Das nächste große Ding ist die Zertifizierung für die US-Film- und Fernsehindustrie – und wie üblich tarnt sich auch diese mit einer harmlosen Abkürzung: TPN (Trusted Partner Network). Wer jetzt noch denkt, nur die sicherheitsversessenen Deutschen würden sich mit Datenschutzthemen herumschlagen, irrt ebenfalls: Zum 01. Januar 2020 ist mit dem California Consumer Privacy Act (CCPA) in Kalifornien eine neue ePrivacy-Verordnung in Kraft getreten. 

Spätestens jetzt wird das große Muster deutlich erkennbar: DSGVO und TISAX waren keine Eintagsfliegen, einmalige Ausrutscher oder nerviger Bürokratiekram, der es Unternehmen schwer macht, den man aber irgendwann von der Liste streichen kann. Vielmehr ist das die Digitalisierung, die langsam ihr wahres Gesicht zeigt: Sie macht Dinge transparenter – aber eben auch überwachbar und überprüfbar. Das betrifft nicht nur Geldströme und Gesichtserkennung, sondern eben auch Strukturen und Prozesse in Unternehmen. Mein Rat lautet also: Wer sich bisher noch irgendwie davor drücken konnte, sollte spätestens jetzt anfangen, Maßnahmen zu Datenschutz und Informationssicherheit zu ergreifen. Denn diese Themen kann man weder „aussitzen“, noch werden sie irgendwann einfach „weggehen“.

Security made in Germany 

Man liest es dieser Tage an jeder Ecke: Deutschlands Wirtschaft geht den Bach runter – und Schuld soll auch die DSGVO sein. Sie mache Prozesse umständlich und lege damit unsere Unternehmen lahm. Gegen Länder wie China, die im Umgang mit Datenschutz und Informationssicherheit nicht als die strengsten gelten, hätten wir keine Chance. Ähnlich sieht das auch Serien-Entrepreneur und jahrelanger „Die Höhle der Löwen“-Investor Frank Thelen. 

Ich empfehle sein Buch „Frank Thelen – Die Autobiografie: Startup-DNA – Hinfallen, aufstehen, die Welt verändern“ gerne, denn Frank Thelen stärkt den Unternehmergeist in diesem Land. Aber in diesem Punkt bin ich nicht seiner Meinung: Ich glaube, dass wir in Deutschland durch die EU-Richtlinie ein Bewusstsein für das Thema Datenschutz entwickelt haben – wir nehmen den Datenschutz ernst und haben bereits viele Erfahrungen in der Umsetzung gesammelt. Dadurch hat Deutschland jetzt die Chance, im Bereich Datenschutz und Informationssicherheit zum Vorreiter zu werden – ein Gütesiegel ähnlich dem Schweizer Bankgeheimnis. Endlich wieder ein neuer, heißer Wachstumsmarkt „made in Germany“.

Innovation durch Business-Frühjahrsputz

In unserer Grundlagen-Schulung „Foundation VDA ISA/TISAX“ vermitteln wir den Teilnehmern die wichtigsten Aspekte der Informationssicherheit. Wir beobachten dabei, dass in der öffentlichen Wahrnehmung vor allem die Vertraulichkeit im Vordergrund steht. Dabei wurde ihr von den TISAX-Machern ein natürlicher Gegenspieler an die Seite gestellt: die Verfügbarkeit. Wer sich nur auf die Vertraulichkeit konzentriert und alle Zugänge mit einer 12-Faktor-Authentifizierung verschlüsselt, vernachlässigt die Verfügbarkeit. Die Folge: Das Team wird Schwierigkeiten haben, überhaupt noch zu arbeiten. Wenn aber Vertraulichkeit und Verfügbarkeit sich die Waage halten, wird das eigene Unternehmen nicht langsamer. Nur sicherer. 

Das ist aber noch nicht alles. Wer erst einmal die eigene Bockigkeit ob des von außen aufoktroyierten Compliance-Audits überwunden hat, kann das Ganze als Chance betrachten, das gesamte Unternehmen mit Fokus auf die Prozesse zu durchleuchten und fit fürs Digitalzeitalter zu machen. Das ist wie mit dem Frühjahrsputz oder bei einem Umzug, wenn man einmal durch alle Schränke durchgeht, Sachen aussortiert, die man nicht mehr braucht, und die Ordnungssysteme auf Vordermann bringt. Dieses tolle Ritual gibt es leider nur in Privathaushalten, nicht in Unternehmen. Dabei setzt es Potenziale frei, fördert Innovation und hilft, sich auf das Wesentliche zu konzentrieren: Man glaubt kaum, wie viel gewachsenes Chaos, Behelfslösungen, Improvisation und Kesselflickerei es in Unternehmen gibt. Genau die sind es, die das Unternehmen langsam und unproduktiv machen – und nicht der Datenschutz.

Wir sind nicht die Einzigen, sondern die Ersten: CCPA und TPN are coming 

Doch unabhängig davon, wie man den Umgang mit DSGVO und TISAX hierzulande bewertet, ist eines klar: Deutschland und die EU sind nicht die Einzigen, die sich mit diesen Themen beschäftigen. Wir waren eine ganze Zeit lang einfach nur die Ersten. 2020 setzte Kalifornien mit dem CCPA, dem „California Consumer Privacy Act“, gerade einen Verbraucherschutz um, der mit der ePrivacy-Verordnung vergleichbar und die in der EU sogar bisher gescheitert ist. (Allerdings nur bisher: Die ePrivacy-Verordnung (ePVO) ist nicht vom Tisch und kommt schätzungsweise 2021.) 

Das, was TISAX für die Automobilindustrie ist, ist TPN ab sofort für die US-Film- und Fernsehindustrie: Die „Trusted Partner Network“-Zertifizierung bestätigt die Sicherheit von Auftragnehmern, die für Auftraggeber wie Netflix arbeiten wollen. TPN ist dabei keine Zukunftsmusik: Wir bei Nextwork haben auf Basis unserer vielen Erfahrungen mit TISAX einen TPN-Anforderungskatalog entwickelt und unterstützen Kunden aktuell schon bei den ersten TPN-Zertifizierungen. 

Don’t panic: Wer anfängt, dem gelingt jedes Datenschutz- und Informationssicherheits-„Upgrade“ 

Wer jetzt denkt, dass ein Tsunami an Zertifizierungen auf uns zurollt, den kann ich beruhigen. Die gute Nachricht ist: Hat man einmal ein Datenschutz- oder Informationsmanagementsystem angelegt, ist es halb so wild, das „Upgrade“ zu einer komplexeren Zertifizierung zu schaffen. Denn die Anforderungen rund um Datenschutz und Informationssicherheit haben immer auch Gemeinsamkeiten. Wer von Null auf den TPN-Standard kommen möchte, wird es schwer haben. Denn TPN fordert noch mehr Maßnahmen als TISAX. Wer aber schon Maßnahmen rund um die DSGVO ergriffen hat, für den ist es schon viel leichter, sich etwa auf ein TISAX-Audit vorzubereiten. Und wer schon TISAX gemeistert hat, wird es nicht so schwer haben, sich beispielsweise auch für TPN zu zertifizieren. 

Daher mein Rat: Unbedingt anfangen. Besonders, wenn man mit dem eigenen Unternehmen auch international unterwegs ist. Denn: Die Bestimmungen werden nicht weniger werden. 

Abschließend aber noch ein echter Lichtblick für alle, die jetzt erst loslegen: In der Pionier- und Anfangsphase mussten die Unternehmen, und auch wir, noch viel lernen und ausprobieren, was die Umsetzungsmöglichkeiten rund um Datenschutz und Informationssicherheit angeht. Jetzt aber gibt es Prozesse und Systeme, die schon erprobt sind – und bei denen aus den Fehlern der Pioniere gelernt wurde.