Own Your Compliance: Mein Business nach meinen Regeln

Own Your Compliance: Mein Business nach meinen Regeln

Own your Compliance! Drei Unternehmertypen des Digitalzeitalters

Own your Compliance! Drei Unternehmertypen des Digitalzeitalters

Aus meiner Erfahrung heraus würde ich sagen, es gibt, was den Umgang mit diesen vertraglichen und gesetzlichen Anforderungen angeht, drei Typen von Unternehmern und Unternehmen: Typ 1: Die »Kesselflicker«, Typ 2: Die »Pflichtbewussten« und Typ 3: Die »Kreativunternehmer«.

Own your Compliance! Was ist Compliance?

Regelmäßig schlägt mir die Frustration von Firmenchefs am Telefon entgegen, ich kann die »Bad Vibes« schier durchs Telefon spüren. »Ich weiß gar nicht mehr, wo ich zuerst hinschauen soll«, erzählt mir gestern jemand, »wir machen derzeit drei verschiedene Zertifizierungen gleichzeitig, ISO 27001, ISO 9001 und ISO 14001!«. Ein anderer berichtet, jede Fachabteilung kommt mit anderen Bestimmungen daher, und jedes Mal sei es eine Insellösung: »HR teilt mit, ab 1. Oktober einen neuen Personalfragebogen einzuführen, aus irgendwelchen neuen vertraglichen oder gesetzlichen Bestimmungen heraus; Facility Management bildet auf einmal Brandschutzhelfer aus – ich blick bald nicht mehr durch«. Und eine Dritte vertraut mir an, sie habe das Gefühl, alles laufe kreuz und quer: »Der Informationssicherheitsbeauftragte will laut vertraglicher Verpflichtung mit dem Auftraggeber möglichst viel dokumentieren; der Datenschutzbeauftragte schießt quer mit dem Argument: ‘Moment, da gibt’s eine gesetzliche Anforderung im Datenschutzgesetz!’ – ich krieg die Krise!«

»Ich kann die Verwirrung, die Panik und den Frust verstehen, denn ich bin selbst Unternehmer. Aber ich habe ein Mantra dagegen, das mich und andere bestärkt – auch gegen die Regularienflut. Und das lautet: Mein Business nach meinen Regeln. Own your Compliance.«

Aufgaben von Informationssicherheits- (ISB) und Datenschutzbeauftragten (DSB)

Zentraler Baustein des ISMS sind Informationssicherheitsbeauftragte. Sie sind zuständig für die Steuerung des ISMS. Diese Anforderung ist im VDA ISA Katalog im Control 1.2.2 zu finden. Informationssicherheitsbeauftragte müssen neben fachlichem Know-how insbesondere Soft Skills vorweisen können.

Mit der Datenschutz-Grundverordnung (DSGVO) kann für Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen. Unternehmen stehen zwei Möglichkeiten offen ihrer Bestellpflicht nachzukommen: Entweder sie ernennen einen Mitarbeiter zum internen Datenschutzbeauftragten oder es wird eine externe Datenschutzbeauftragte bestellt. Bei der Wahl des internen Datenschutzbeauftragten ist darauf zu achten, dass dieser keinem Interessenskonflikt unterliegt; etwa weil er als Mitarbeiter der IT-Abteilung, Personalabteilung oder der Geschäftsführung sich selbst kontrollieren müsste. Außerdem darf der betriebliche Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

Egal für welche Option man sich entscheidet, ein Datenschutzbeauftragter muss eine gewisse Fachkunde im Bereich des Datenschutzrechts und der IT-Sicherheit mitbringen, die sich an der Komplexität der Datenverarbeitung und Größe des Unternehmens orientiert.

Der Unterschied zwischen TISAX und ISO 27001

Ja, es gibt Gründe, warum TISAX für viele besser ist als ISO 27001. Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Deutsche Bank, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden. Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Partnern vorhanden sind.

Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht...

Tipps für mehr Privacy und gegen das »Social Dilemma«

Letzte Woche habe ich die neue Netflix-Doku »The Social Dilemma« geschaut.
Ich würde nicht sagen, dass sie mich wachgerüttelt hat – ich war schon vorher wach. Immerhin bin ich nicht nur beruflich, sondern auch im privaten Umfeld Ansprechpartner für alle Fragen rund um Informationstechnologie, Informationssicherheit und Datenschutz.

Aber »The Social Dilemma« hat mir gezeigt, dass ich mich, meine Familie und mein Umfeld immer und immer wieder aufs Neue disziplinieren muss. Das ist wie mit Ernährung und Sport und all den anderen, unbequemen Wahrheiten des Digitalzeitalters: man hat sie nicht einmal angepackt und für immer im Griff. Man muss sich kontinuierlich kümmern. Auch und vor allem im Medienkonsum reißen schlechte Gewohnheiten ein, die man längst besiegt zu haben glaubte, es schleicht sich der »Schlendrian« ein bei Themen, für die man schonmal Regeln formuliert hatte, es tun sich Lücken auf in Systemen, von denen man schon mal dachte, sie seien eine Bastion.

Kurz für diejenigen, die »The Social Dilemma« noch nicht kennen: In der Doku geht es vor allem um die unangenehme Angewohnheit von intelligenten Social Media- und Suchmaschinen-Algorithmen, die mit ausgeklügelten Methoden unsere Aufmerksamkeit hacken; die uns bei allem, was wir tun, tracken; und die im Hintergrund einen vollständigen, digitalen Zwilling unserer selbst erstellen, den sie an ihre Werbekunden vermieten, um uns im harmlosen Fall Dinge zu verkaufen; im weniger harmlosen Fall, um uns zu manipulieren und unsere gesellschaftliche Ordnung zu gefährden.

Die Doku war für mich ein Anlass, mich selbst, meine Familie und auch meine Arbeit wieder einmal zu überprüfen.

Orwell lässt grüßen: Mitarbeiter im Homeoffice ausspionieren

Wir bekommen immer mehr Anfragen von Mitarbeitern in Unternehmen, die wissen wollen, was die neuen Tools eigentlich alles für Auswertungs-Möglichkeiten haben. Und spätestens seit die Arbeit im Homeoffice zur täglichen Routine geworden ist und der Chef einem nicht mehr auf die Finger schaut, stellen sich viele die Frage: “Kann man Leute über Softwaretools im Homeoffice ausspionieren?„

Die Antwort lautet: Ja. Man kann. Und wie.

Wer generell ein komisches Gefühl hat, wie das eigene Unternehmen diese Themen handhabt, sollte ebenfalls beim DSB nachfragen und sich bestätigen lassen, dass keine Überwachung stattfindet. Der DSB ist verpflichtet, Auskunft zu erteilen. Wenn er das nicht kann, ist es seine Aufgabe, es herauszufinden, und ggf. etwas gegen unerlaubtes Tracking zu unternehmen.

Auch kann es für die Geschäftsführung nicht schaden, in der IT-Abteilung nachzufragen, ob die relevanten Einstellungen der Kollaborationstools, des Mobile Device Management oder der Cloud Lösung wirklich korrekt sind.

And you’ll see why 1984 won’t be like “1984”.

Was kostet TISAX? Wie hoch ist der Aufwand?

Maßnahmen zu realisieren, die Gesetzgeber oder auch Kunden fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht. Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.

Dos and Don'ts beim TISAX-Audit

Wer hat Angst vorm Auditor? Niemand! Zumindest wenn du dich gut vorbereitet hast. Was sind die Dos and Don'ts beim Audit?

Boom! Der VDA ISA Version 5.0 (TISAX®) ist da!

Boom! Nun ist es offiziell: Die Version 5.0 des VDA Information Security Assessment (ISA) Katalogs wurde veröffentlicht.

Wir bei Nextwork haben uns in den letzten Monaten intensiv mit der Version 5.0 beschäftigt und dürfen nun endlich über die Neuerungen berichten.

***
Wenn du also eine Frage zu diesen Themen hast, die wir hier unbedingt besprechen sollten, dann schreibe eine E-Mail an "podcast@marcopeters.de".

https://www.marcopeters.de
#OwnYourCompliance (TISAX® ist eine eingetragene Marke der ENX Association)

EuGH erklärt EU/US-Privacy Shield Abkommen als unwirksam

Gestern hat das EuGH das oft kritisierte EU/US-Privacy Shield Abkommen als unwirksam erklärt. Nach heutigem Stand (17.07.2020) behalten die bereits abgeschlossenen Standardvertragsklauseln ihre Gültigkeit bei, bis ein Gericht es anderes entscheidet. Aus der aktuellen Sicht, empfehlen wir folgende Schritte vorzunehmen:

1. Informationspflichten erfüllen: Datenschutzhinweise müssen angepasst werden und Hinweise auf das Privacy-Shield müssen entfernt werden.

2. Evaluierung:
Welche Dienste werden genutzt, bei denen ein Datentransfer personenbezogener Daten in die USA stattfindet. Hier ist oft das Verarbeitungsverzeichnis eine gute Hilfe.

3. Vertragsgrundlage prüfen:
Findet der Transfer basierend auf dem EU/US-Privacy Shield statt, oder wurden Standardvertragsklauseln geschlossen?

4. Verträge anpassen:
Viele Anbieter bieten zusätzlich zum Privacy Shield eine Möglichkeit Standardvertragsklauseln abzuschließen, da diese zum aktuellen Stand noch Ihre Gültigkeit behalten.

5. Möglichkeit prüfen auf EU-Server ausweichen: Bei Einsatz eines US-Dienstanbieters prüfen, ob ein Umzug auf EU-Server möglich ist.