DAEQM: Sicher und Konform in der Cloud

INTERVIEW

Wir freuen uns heute unser erstes Interview auf dem 21unity Blog zu präsentieren und mit Holger Brand und Holger Gemassmer von DAEQM zu sprechen. Holger und Holger sind Experten im Bereich Arbeits- und Datenschutz, Engineering und Qualitätsmanagement. Gerade Sicherheitsthemen und Prozesse sind in Zeiten von Remotearbeit und Home-Office wichtiger denn je und wir möchten im Interview auf einige dieser Themen eingehen und euch zeigen, wie ihr das ganze am besten umsetzt und wie DAEQM und 21unity euch dabei helfen können.


FRAGE 1
Hallo Holger und Holger. Wer seid ihr, was macht ihr und warum gibt es ein Interview auf diesem Blog mit euch?

 HG: Hallo Christopher. Irgendeiner muss ja mal den Anfang machen (lacht). Die 21unity kenne ich seit etwas über drei Jahren, mein Geschäftspartner Holger Brand schon deutlich länger. Mit Yogi Schneider bin ich in den letzten Jahren öfter mal in einem Tech-Talk während eines vermeintlich kurz angedachten Telefonats hängengeblieben. Gerade die datenschutzgetriebenen Themen stehen oft mit den verfügbaren Technologien im Konflikt, vor allem wenn es um moderne Ansätze wie das Arbeiten in und mit der Cloud geht. Beim Thema Phishing liefert 21unity Lösungen im Bereich Authentifizierung. Da wir selbst als Datenschützer keine Technologie bei unseren Kunden implementieren, ist es ganz gut Kompetenzen im eigenen Beziehungsnetzwerk zu haben. Darüber hinaus beschäftigen wir uns gerade mit dem Thema Migration in die 21unity Collaboration Cloud.

HB: Yogi Schneider und Anja Gondolf (Gründerin von 21unity) habe ich auf einer Veranstaltung in Süddeutschland vor rund 10 Jahren kennengelernt. Dort haben wir uns auf Anhieb “blind” verstanden und sind eine Kooperation im Thema Datenschutz eingegangen. Mein Anliegen ist es, dieses doch recht abstrakte und surreale Thema praxisgerecht und anwenderfreundlich in den Betrieben, die wir betreuen, umzusetzen. Es ist keine leichte Kost, doch, glaube mir, Datenschutz macht auch Spaß.

CB: Danke, dass ihr den Anfang macht. Datenschutz der Spaß macht – Das Konzept finde ich super! Ich habe neulich in einem Interview, zu dem ich eingeladen war auch als wichtigen Punkt erwähnt, dass IT Spaß machen kann und finde, das gerade mit diesem Ansatz neuer Fokus auf wichtige Themen entsteht, die dann erfolgreich in Projekte münden, weil sie auch gelebt werden.


FRAGE 2
Die DAEQM GmbH berät Unternehmen bei der Einführung von Managementsystemen im Bereich Datenschutz, Arbeitssicherheit und Qualitätswesen. Das ist ein super spannender aber ziemlich großer Bereich. Könnt ihr uns kurz erklären was DAEQM macht und warum das wichtig ist?

HG: Erst mal ist es wichtig festzustellen, dass ein Managementsystem keine neue Software ist. Vielmehr geht es um die strukturierte Umsetzung eines Standards (und davon gibt es ziemlich viele) und dessen Dokumentation. Das ist an sich nichts neues, aber wir sind bei uns den konsequenten Schritt gegangen dies auch komplett digital zu machen. Der Standard, beispielsweise die ISO 9001, liefert die Anforderungen. Damit kennen wir uns aus. Neben dem rein fachlichen Anteil geht es aber auch um die Frage, welchen Status oder Bearbeitungsstand diese Anforderungen im Unternehmen haben. Dies ist insofern wichtig, wenn eine Organisation vorhat, sich zu zertifizieren. Die technische Umsetzung des Standards in eine Verwaltungsoberfläche ist meine Aufgabe. Wir nutzen dazu ein cloudbasiertes Workflow-Execution-System. Aus diesem System heraus referenzieren wir auf andere cloudbasierte Systeme, die zur Dateiablage und Kollaboration (Zusammenarbeit) fähig sind. Bis dato können wir hierzu zum Teil nur auf Systeme zugreifen, die im europäischen Ausland liegen und durch ihre, sagen wir mal, teilweise etwas andere Interpretation von datenschutzrechtlichen Anforderungen, problematisch sind wenn personenbezogene Daten dort abgelegt sind. Das ist für uns Datenschutzprofis ein echter Knackpunkt, aber mangels echter Alternative bleibt uns wie allen anderen Organisationen die auf Cloud setzen, nichts übrig, als diese Systeme oder Anwendungen (wenn auch inhaltlich sehr restriktiv) zu nutzen. Ein echtes Dilemma.

CB: Ich konnte es ja kaum glauben, als ich Yogi damals kennen gelernt habe und er mir von dem Plan erzählte eine eigene Cloud ohne Anbindung an die „großen 3“ zu bauen. Aber wir haben es durchgezogen und genau aus diesen Gründen ein eigenes Datacenter gebaut. Gerade als Marketingleiter ist es mir wichtig, nicht wie viele andere Konzerne mit wohlwollenden Begriffen um mich zu schmeißen, sondern das was wir versprechen auch wirklich zu liefern. – Cloud made in Germany – (grinst).

HG: Sagte ich fehlende Alternative? Nun, diese Behauptung kann ich ja mit Blick auf 21pro so nicht mehr aufrechterhalten.

CB: Sorry, da kommt gerade der Marketingmensch in mir durch, aber genau so ist es. Wir haben uns im Team erstmal viele Fragen aus End-Usersicht gestellt und uns ist dann aufgefallen, dass eine Kollaborationsplattform wichtig und gut ist, aber nicht viel bringt, wenn da nur viele Knöpfe sind die blinken, die Mitarbeiter aber keine eigentlichen Produktivitätstools haben, mit denen sie ihre täglichen Aufgaben abwickeln können. Oder noch viel schlimmer, wenn die Mitarbeiter erstmal 10 Plattformen mit 10 Logins und 10 Passwortverfahren bedienen müssen um ihrer Arbeit nachzugehen. Daher haben wir 21pro in die Cloud eingebunden und es in unsere angebotenen Pakete inkludiert.

HB: Datenschutz und Arbeitssicherheit sind gesetzlich vorgeschrieben. Wenn man sich nicht daran hält, dann gibt es nun mal gerne ein Bußgeld, welches auch schon ganz beträchtlich sein kann.

Dabei ist es erst mal wichtig, überhaupt zu verstehen, worum  es beim Datenschutz geht. Der Begriff „Datenschutz“ ist normalerweise in der IT-Sicherheit verankert, aber durch den Gesetzgeber wird dieser Begriff in seinem Anwendungsbereich deutlich erweitert ausgelegt.

CB: Ach so! Also geht’s da nicht wirklich darum, ob ein böser Hacker die Excel-Tabellen und andere Geschäftsgeheimnisse von meinem Unternehmen klaut?

HB: Datenschutz ist im Grunde anders zu verstehen, denn die DSGVO bezieht sich auf die Daten von Personen, also Menschen, wie du und ich. Somit geht es dabei um den Schutz von Individuen, die in der Digitalisierung und in der analogen Welt einen Schutz ihrer eigenen Informationen erhalten. Diese Informationen sind sehr weit auszulegen und beschränken sich nicht nur auf den Namen, die Adresse und die Telefonnummer, sondern auf alle Bereiche, die einen Menschen ausmachen und kennzeichnen. Das sind zum Beispiel Hobbys, Webseiten, sexuelle Ausprägung, Gesundheit. Auch Verurteilungen, Krankheitsverläufe oder banale Dinge wie Lieblingsschokolade zählen dazu. Und natürlich auch das Arbeitsverhalten. Also sehr umfangreich. Und um den großen und kleinen Datenverarbeitern nicht Tor und Tür zu öffnen, gibt es Regeln. Eine Regel dabei ist die Beweislastumkehr. Das heißt nichts anderes, als dass jeder „Betroffene“ (Mensch) nun nahezu anlasslos den „Verantwortlichen“ (Chef, Inhaber, GF, etc.) gegenüber treten kann, um die Einhaltung dieser Regeln abzufragen. Dabei muss dieser „Verantwortliche“ nun beweisen, dass er sich an die Vorgaben der DSGVO hält. Unter dem BDSG-Alt war das so ohne weiteres nicht möglich.

Wir helfen den Unternehmen bei der Umsetzung der Vorgaben der DSGVO, und diese sind vieles, jedoch nicht trivial.

CB: Okay, das verstehe ich. Es geht dabei also um den Schutz von uns Menschen in der digitalen Welt. Das ist ja dann auch ein Thema, welches von jedem von uns ernst genommen werden sollte.


FRAGE 3
Managementsysteme gibt es wie Sand am Meer und ich habe schon viele Unternehmen gesehen, die sich durch Prozesse quasi bis zur Bewegungsunfähigkeit verprozessieren. Worin seht ihr die Vor- und Nachteile eines integrierten Managementsystems und warum ist es wichtig bei der Einführung mit einem Beratungsunternehmen wie DAEQM zusammen zu arbeiten?

HG: Jetzt drückst Du aber viele Knöpfe gleichzeitig bei mir. Für viele Menschen ist “Prozess” immer noch ein spannender Tag vor Gericht (lacht). Prozessmanagement ist erst mal eine eigene Disziplin. Unternehmen, die im Rahmen ihrer Branchenzertifizierung damit begonnen haben eine Prozesslandschaft aufzubauen, profitieren bei der Umsetzung von zusätzlichen Standards ungemein. Allerdings setzt dies eine offene Unternehmenskultur voraus, die auch die Belange ausserhalb des eigenen Bereiches kennt und berücksichtigt. Ein weiterer Treiber von Prozessen ist die Einführung eines neuen ERP-Systems. Es gibt meiner Ansicht nach kein anderes Vorhaben in einer Organisation, welches die Mitarbeiter so maximal be- und auslastet wie dieses. Häufig werden im Rahmen eines solchen Vorhabens die Kernprozesse der Organisation erstmalig aufgenommen, aber nicht mit dem Fokus diese an die Software anzupassen, sondern um die Software an die Prozesse anzupassen. Das kann man machen, ist aber zeitaufwändig und somit teuer (reden wir mal nicht von den Programmierarbeiten sowie den darauf folgenden Tests). Mein genereller Ratschlag ist hier, sich erst mit den Prozessen auseinanderzusetzen, bevor man das Werkzeug anfasst. Gleiches gilt ebenso für die Umsetzung von Standards, die in der Regel Prozesse um eine zusätzliche Perspektive anreichern.

CB: Wir sehen das bei 21unity ganz ähnlich und liefern erstmal jedem Kunden die vollen Funktionen und wenn sich dann raus stellt, dass etwas nicht benötigt wird, können wir die Plattform ganz einfach anpassen.

HB: Managementsysteme helfen, komplizierte Prozesse strukturiert anzugehen und sicher umzusetzen und anzuwenden. Dabei werden die oft komplexen  Regeln nachhaltig in den internen Firmenablauf eingefügt und prägen sich dann als “normaler” Ablauf ein. Das muss man üben. Wir helfen bei diesen Übungen und geben gerne auch Tipps und Hinweise für diese Übungen.

Wie sagte mein alter Mathelehrer immer: KÖNNEN kommt von ÜBEN!


FRAGE 4
Können unsere Lösungen 21unity Collaboration Cloud und 21pro bei der Standardisierung und stetigen Weiterentwicklung aus eurer Sicht helfen? Wie wichtig sind transparente und logisch aufgearbeitete Daten beim Erreichen und Behalten einer oder mehrerer Zertifizierungen?

HG: Die 21unity Collaboration Cloud ermöglicht es uns die benötigten Funktionen datenschutzkonform im Inland abzubilden. Man lasse sich das einfach mal auf der Zunge zergehen – eine deutsche Cloud ohne Abhängigkeiten zu einem Mutterkonzern im Ausland. Die Fokussierung auf den Geschäftskundenbereich begrüße ich sehr. Die Kooperation mit Nextcloud bereitet den Boden für eine eigenständige und überlebensfähige Lösung. Das man auf dieser Plattform noch mehr machen kann, beweist das 21unity Team aktuell mit der sehr gut skalierbaren ERP-Lösung (ich weiss, eigentlich EWS (Eierlegende Wollmilchsau)) die für verschiedenste Funktionen auf die 21unity Cloud zugreift. Spannend wird es hier bei dem Ansatz der ganzheitlichen Betrachtung der Kunden und/oder Lieferanten im System. Alle Informationen lassen sich über eine einfache Oberfläche im Browser abrufen und bearbeiten, so dass der von der Organisation bereits gelebte Prozess abgebildet werden kann. Anpassungen in der Software sind selten nötig. Mit Blick auf geplante Zertifizierungen im Qualitätsmanagement (ISO 9001) hilft dies, Prozesse so abzubilden, wie sie tatsächlich geschehen. Darüber hinaus kann ich aus dem ERP (21pro) die sogenannten “dokumentierten Informationen” ziehen, ohne eine zweite Dokumentationsebene nur zum Zwecke der Zertifizierung aufbauen zu müssen

CB: Da drückst du jetzt aber bei mir alle Knöpfe zurück (zwinkert).

HB: Da bin ich genau Holgers Meinung und brauche hier nichts hinzu zufügen.


FRAGE 5
Sind Cloudsysteme die Rettung oder der Untergang von Sicherheit und Datenschutz in Unternehmen? Gibt es Möglichkeiten, moderne Prozesse auch ohne Knebelverträge bei den „großen 3“ einzugehen?

HG: Mit Hinblick auf typische Unternehmen wie ich sie in Deutschland vorfinde, sind die aktuell verfügbaren Cloudlösungen total überdehnt, was den Funktionsumfang und die Anforderungen an die Verwaltung der Systeme angeht. Der Preishammer kommt immer dann, wenn es um Konformität zum Datenschutz und der Dateisicherheit geht. Aus Sicht der Konzerne sind dies Premiumfunktionen die nicht jeder braucht, und damit rufen die Unternehmen erst dann nach „Sicherheit“ wenn es zu einem Vorfall gekommen ist. Das ist aus meiner Sicht aber zu spät. Security und Privacy by Design finde ich dort nicht, zumal viele Altlasten bei der Migration auf Cloudsysteme mit übernommen werden. Gerade die Erweiterung von geschlossenen Umgebungen in Hybrid-Cloud Umgebungen zur Bewahrung der Legacy-Systeme ist ein wahrer Horror und darauf aufbauend Multi-Cloud zu nutzen ist von der Komplexität fast nicht mehr beherrschbar. In einer (fast) perfekten Welt benötige ich nur noch ein Endgerät mit einem Browser und das Business mit seinen Prozessen läuft sicher im gemanagten Rechenzentrum in der Cloud.

CB: Ich habe 15 Jahre im Vertrieb für IT und Software gearbeitet und erinnere mich noch an diese Momente, wenn gerade die Vertriebler der CRM und ERP Software ganz unschuldig geschaut haben und sich unterm Tisch die Hände gerieben haben: „Wie? Sie wollen die Daten aus unserem System auch wieder exportieren und weiter verwenden? Na, das kostet aber extra, wegen der Integration und dem Modul und so…“ Und das war ja erst der Anfang. In den meisten Cloud- und Subscriptionmodellen (egal ob privat oder beruflich) gehört uns seltenst mehr das was wir kaufen. Es ist immer nur gemietet auf Zeit (facepalm). Daher haben wir uns dazu entschieden primär auf openSource Lösungen zu setzen und dem Kunden alle Freiheiten zu geben und damit die Souveränität über die eigenen digitalen Inhalte zu erhalten.

HB:  …..und das am besten DSGVO konform.


CB: Liebe Holgers, vielen Dank für dieses spannende und aufschlussreiche Interview! Ich freue mich schon auf viele tolle Projekte und gemeinsame Kunden, mit denen wir auf jeden Fall auch Spaß an den eher komplexen Themen im Geschäftsbetrieb haben werden. Ich wünsche euch weiterhin viel Erfolg und vielleicht kommen wir ja auch zukünftig nochmal zu weiteren spannenden Themen auf unserem Blog zusammen.


Liebe Leser und Abonnenten des Blogs, wenn euch diese Themen interessieren, oder ihr direkt mit uns sprechen wollt, um unsere Lösungen einzusetzen und/oder das Thema Datenschutz und Zertifizierungen anzugehen, hinterlasst einfach einen Kommentar unter diesem Artikel oder schreibt uns eine Mail unter cloud (at) 21untiy.de oder kontakt (at) daeqm.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.