was successfully added to your cart.
Category

Allgemein

CORONA – Unterstützung

By | Allgemein

Die Situation wird für alle Unternehmen in den nächsten Monaten sehr schwierig.

Unsere großen Kunden haben Task-Forces eingerichtet, die sich um die Bewältigung von COVID-19 kümmern. Hier sind wir als „Ideen-Geber“ und teilweise als „Projekleiter“ eingesetzt.

Wichtig ist, bei den Sofortmaßnahmen die interne und externe Kommuniktion sicherzustellen. „Wer“ kommuniziert „wann“ „was“ „an wen“ „womit“.

Die Sicherung des Unternehmens steht operativ hier im Vordergrund (Liquidität, Struktur, Leistungsfähigkeit). Heimarbeitsplätze, Schutz der Mitarbeiter, Lieferfähigkeit, …

Bei unseren kleineren Kunden regelt das meiste die Geschäftsleitung. Die Themen sind genauso vielfältig. Hier stehen aber Software-Lösungen wie Skype, der Fernzugriff auf die Software und „Aushänge“ im Vordergrund.

Wir haben uns in der Zwischenzeit dahingehend aufgestellt, dass wir sowohl die Beratung als auch die Auditierung über Videokonferenzen ermöglichen können.

Fragen Sie uns danach.

CORONA – Erwarteter Verlauf

By | Allgemein

IST-Situation (15.03.2020)

Die Anzahl der Infizierten nimmt sehr stark zu. Schulen, Kitas, Freizeitaktivitäten sind geschlossen. Firmen stellen auf Homeoffice um.

Die Länder Europas schotten sich ab.

Phasen

Chaos / Neuausrichtung (bis Anfang April)

Menschen und Firmen versuchen sich einzurichten (positiv/negativ)

Notfall-Modus (April – Oktober)

Für die Dauer der Krise agieren alle in dieser Sondersituation

Aufräumen (Oktober – )

Die Sondermaßnahmen werden zurückgenommen bzw. „aufgeräumt“

 

Chaos / Neuausrichtung

Die Unternehmen richten sich für die nächsten Monate ein.

MitarbeiterInnen bleiben zuhause zur Kinderbetreuung / Personen in Quarantäe

Kurzfristiger Ausfall, Lohnfortzahlung, Kurzarbeit, Urlaub, …

Heimarbeitsplätze werden eingerichtet

Hardware, Zugriffsrechte, Geheimhaltungserklärung, Verantwortlichkeiten, Anpassung der Prozesse, DSGVO, …

Kommunikation wird umgestellt (interne/externe Videokonferenzen, Fernzugriffe, …)

Welche Software (Kosten, Funktionalität, Sicherheit, …)

Informationen Belegschaft

Organisation, Verhalten, News, …

Information Kunden / Lieferanten / Dienstleister / Partner

Kommunikation, Weites Vorgehen, …

Umsatzeinbruch / Umsatzsprung

Stornierungen, Verschiebungen, Engpässe in Beschaffung, Service, Anpassung der Produkte …

Starke Nachfrage (Gesundheitswesen, Lebensmittel, …)

 

Notfall-Modus

Die Unternehmen haben sich im operativen auf die Situation eingestellt.

Heimarbeitsplätze sind eingerichtet / Mitarbeiter sind in Kurzarbeit.

Die Grenzen sind wieder geöffnet.

Leistungen /Organisation sind angepasst

auf Änderungen wird reagiert

Angriffe laufen (Kriminelle, Wettbewerber, …)

Kosten müssen „controlled“ werden

 

Aufräumen

Teile der geänderten Organisation werden in den Regelbetrieb übernommen.

Zugriffe werden wieder eingeschränkt.

Geschäftsmodelle haben sich verändert und müssen integriert werden.

Mitarbeiter sind einzuarbeiten.

Erfolg im EnM ist ein MUSS

By | Allgemein, Startseite

Die DAkkS hat den Zertifizierern klar vorgegeben, dass ohne positive Entwicklung der Kennzahlen eine erfolgreiche Zertifizierung nach ISO 50001:2018 nicht mehr möglich ist.

Dass es in der Zertifizierung nach ISO 50001 zu Veränderungen kommt war absehbar. Deutschland hat große Probleme die CO2-Einsparungsziele zu erreichen. Das BAFA, als Kontrollstelle für das Energie-Dienstleistungsgesetz (EDL-G) hat die Anforderungen an die Energieberichte nach 16247-1 deutlich erhöht. EMAS ist bei vielen öffentlichen Ausschreibungen Voraussetzung für die Teilnahme.

Hinzu kommt, dass von den Energie-Managementsystemen zum einen die Erstattung von EEG-Umlage und Stromsteuer abhängen, zum anderen sind für Nicht-KMU auch Strafzahlungen nach dem EDL-G fällig.

So ist es nur sinnvoll, wenn die DAkkS als mit der Überwachung der Durchführung von Zertifizierungen betraute Stelle jetzt auch ihren Teil beiträgt.

Begründen lässt die Forderung nach der tatsächlichen Verbesserung der Energetischen Leistung aus „Anhang A.10 Verbesserung“, „5.1 Führung und Verpflichtung“ und „6.4 Energieleistungskennzahlen“ in der ISO 50001.

Die Zertifizierer müssen diese Punkte jetzt verstärkt prüfen, schon aus Gründen der eigenen Haftung.

Für die betroffenen Firmen bedeutet dies:

Legen sie entsprechende Zahlen vor dem Audit fest, sonst ist eine Abweichung zu erteilen.

Sollten Sie eine entsprechende Abweichung erhalten, muss diese vor der Zertifikatsentscheidung abgeschlossen sein. Problematisch wird diese Terminschiene vor allem Ende des Jahres, wenn der Antrag auf Stromsteuerrückerstattung ansteht.

Sollte es hier zu Problemen kommen unterstützen wir Sie gerne bei der „Zahlensuche“.

Rechtskonforme Homepage

By | Allgemein

Die Homepage ist im Erstkontakt mit einem Unternehmen heute die wichtigste Informationsquelle. Link zum Film

Wir alle gehen meist zuerst auf die Seite des potenziellen Lieferanten oder Kunden.

Im Zusammenhang mit der DSGVO und den damit verbundenen Betroffenenrechten ist die rechtskonforme Gestaltung der Homepage nochmal deutlich relevanter geworden.

Es sind folgende Punkte zu beachten:

SSL-Zertifikat: Oben in der Eingabezeile erscheint ein „Schloss„, wenn die Homepage sicher ist. Sollte dies nicht der Fall sein wird ein „durchgestrichenes Schloss“ angezeigt. Ein SSL-Zertifikat bestätigt, dass die Authentizität und Integrität der Homepage durch kryptografische Verfahren geprüft worden ist. Für den Nutzer stellt dies einen gewissen Schutz dar.

Wichtig ist es für den Verantwortlichen der Homepage. „Kontaktformulare“ oder „Online-Shops“ sollten nur über zertifizierte Internetseiten betrieben werden.

Cookies-Banner: Cookies übertragen Informationen vom Benutzer zu der besuchten Homepage. Zum einen gibt es technisch notwendige Cookies. Ohne diese kann die aufgerufene Homepage nicht genutzt werden. Das zweite sind Marketing-Cookies. Diese dienen entweder zur Auswertung von Nutzerverhalten oder für spätere Marketing-Maßnahmen. Das Grundprinzip für die Verwendung ist immer die Selbstbestimmung des Nutzer. Er muss bestimmen können, wo welche seiner Daten wie verwendet werden. Häuig weiss der Verantwortliche nicht welche Funktion die eingesetzten Cookies haben und stellen dies dann auch nicht korrekt dar.

Wichtig ist, dass die Information des Nutzers der Homepage transparent und umfassend erfolgt. Ansonsten drohen Bussgelder.

Impressum: Der Verantwortliche für die Homepage muss leicht und klar erkennbar sein.

Datenschutzerklärung: Die Datenschutzerklärung auf der Homepage muss beschreiben, wie die Daten, die über die Homepage erlangt werden, verarbeitet werden. (Cookie-Nutzung, Speicherung, Löschung, …). Ausserdem ist zu beschreiben, wo und wie der Betroffene seine Rechte geltend machen kann.

Kontaktformular: Es spricht nichts gegen die Verwendung eines Kontaktformular. Es muss nur korrekt angelegt und die Verwendung sauber beschrieben sein. Wenn es nur um eine einfache Kontaktaufnahme geht ist die Angabe einer E-Mail-Adresse häufig vorzuziehen.

Bilder: Bei der Verwendung von Bildern muss man immer vorsichtig sein. Entweder die Bilder sind zur Nutzung überlassen (von Dritten kostenfrei zur Verfügung gestellt), gekauft (über Bilder-Börsen oder direkt) oder werden mit Einwilligung verwendet. Wichtig bei Einwilligungen ist, diese können jederzeit wieder zurückgenommen werden.

Online-Shops / Portale: Immer mehr Produkte und Dienstleistungen werden online angeboten. Da hier Daten in beide Richtungen ausgetauscht werden, ist besonders auf die Sicherheit der Systeme zu achten. Zu den o.a. Themen kommt die besonder Verantwortung für die Sicherung der übergebenen Daten hinzu.

Fazit: Es ist wichtig auf die rechtlichen Aspekte eine Homepage zu achten. Wichtiger ist aber, vorher das Ziel der Homepage zu dokumentieren.

 

Elektronische Patientenakte (ePA)

By | Allgemein

Die elektronische Patientenakte ist in der Einführung (geplant bis Jan. 2021) und wird sich sehr schnell im gesamten Gesundheitswesen verbreiten. Link Erklärvideo

Die Begründung, dass man effiienter aufgrund der gesammelten Daten Medikamente entwickeln kann, muss jeder für sich selbst hinterfragen. Dass in der gesamten Abwicklung weniger Fehler auftreten halte ich für durchaus möglich. Schwierig wird es, wenn Falscheingaben im System wieder korrigieren sind.

Derzeit ist die Telematik-Infrastruktur im Aufbau. Link zur Übersicht

Derzeit gibt es noch zahlreiche Schwierigkeiten bei der Umsetzung. Link ZDF-Beitrag

Für uns stellen sich 2 Fragen:

Wie passe ich mein QM- und mein DSGVO-System entsprechend an?

Wie verhindere ich die EINFACHEN Fehler?

Im Zuge der ganzen Diskussionen werden die Betroffenen-Anfragen und die Aktivitäten der Aufsichtsbehörden stark zunehmen. Da die auftretenden Fragen überall die gleichen sind, hat es sich angeboten unsere Systeme hierauf anzupassen. Ebenso wichtig sind die Schulungen für die Mitarbeiter in ihren jeweiligen Funktionen.

Einfache Verstöße, wie die „Mitgabe“ von Informationen und Arzneimitteln an Dritte müssen unbedingt verboten werden.

Rechtskonforme KAMERA-Nutzung

By | Allgemein

Um Unternehmen und Ladengeschäfte zu schützen, wurden in den letzten Jahren sehr viele Kameras angebracht.

Beim Betrieb von Kameras sind verschiedene Gesetze einzuhalten.

Hierbei ist der Einsatz meist nicht verboten, man muss sich aber darauf einstellen, dass sowohl die Aufsichtsbehörden als auch die „Betroffenen“ (Kunden, Mitarbeiter, …) in Zukunft sehr viel stärker hierauf achten werden.

Die Lösung für die Unternehmen hängt stark vom jeweiligen Einsatz und dem damit verbundenen Zweck für die Überwachung zusammen. Auf jeden Fall muss eine gesetzeskonforme Beschilderung, der sichere Umgang mit den gespeicherten Daten und eine Dokumentation vorhanden sein.

Erläuterungen können Sie dem folgenden Link entnehmen. Film KAMERA

DSGVO – Bussgelder

By | Allgemein

Bisher waren die Bußgelder noch überschaubar. Es sind zwar zahlreiche Verfahren anhängig, aber viele noch nicht entschieden.

Jetzt schreitet die „einheitliche“ Bussgeld-Festsetzung voran. Mit dem Stichwort „DSGVO“ finden Sie im Link „Normen/Infos“ eine Modellrechnung die die wahrscheinliche Richtung zeigt.

Anfang November soll es hier die nächsten Konkretisierungen geben. (Diese ist inzwischen erfolgt, die Richtung wurde durch die letzten Bussgeldbescheide bestätigt)

Der Grundgedanke ist, auf der letzten Konferenz in Berlin nochmal herausgestellt, dass die offensichtlichen Mängel im Datenschutz abgestellt sein müssen.

Alle technischen und organisatorischen Maßnahmen, die realisierbar sind, müssen umgesetzt sein. Die Mitarbeiter müssen im Sinne der DSGVO handeln. Die Unternehmen müssen ihre Bemühungen im Datenschutz „sauber“ dokumentieren.

UnternehmerTAG 2019

By | Allgemein

Vielen Dank,

die Vorträge am 3. UnternehmerTAG Reutlingen waren wieder inhaltlich sehr interessant und auch unterhaltend.

Prof. Buchmann erläuterte anhand von Beispielen die aktuellen Fallstricke in den Verträgen im Umfeld der DSGVO. Für mich war neu, dass man dringend darauf achten muss, dass man Datenschutz nicht in die AGB integriert. Dies führt dazu, dass aus einer „Information“ an die Betroffenen ein Vertrag wird. Die Konsequenz ist, dass Änderungen nur noch in Abstimmung mit den Vertragspartnern erfolgend dürfen.

Herr Murschel demonstrierte, dass der Einstatz von DSGVO-Software in komplexeren Organisationen viele Effizienz-Vorteile und ein größere Sicherheit in der Abwicklung bietet. Ein Überblick über alle notwendigen Aktivitäten ist sonst schwierig.

Herr Mück stellte vor, wie die Adolf Würth GmbH & Co. KG den Datenschutz in ihre Compliance Organisation integriert hat. Der für mich interessanteste Ansatz war, alle Aktivitäten aus dem Blickwinkel des potenziellen Risikos heraus zu betrachten.

Ich möchte mich sehr herzlich bei allen Referenten und Teilnehmern bedanken.

Der nächste UnternehmerTAG Reutlingen ist für den 14.07.2019 wieder in der Stadthalle geplant. Wir würden uns freuen, wenn Sie wiederkommen.

Harald Keil

Agile Organisation

By | Allgemein

Ich habe am 26.06.2019 an einem Workshop des VDA (Verband der Automobilindustrie) zum Thema „Agile Organisation“ teilgenommen. Das für mich erschreckende war, dass sich meine Erwartungen erfüllt haben.

Zunächst aber eine kurze historische Einordnung und eine Beschreibung der Grundmethodik. Alles natürlich nur aus meiner Sicht.

Die „Agile Organisation“ hat sich aus einer Methode zur Organisation von einzelnen Projekten entwickelt und kommt aus der Software-Entwicklung.

Das Ganze basiert auf der Scrum-Methode. Der Begriff kommt aus dem Rugby und ist die Bezeichnung für „dichtes Gedränge“.

 Es wird ein Team gebildet, das folgende Rollen hat (eine Person kann mehrere Rollen übernehmen).

  • Product Owner – Person, die den „Auftrag“ an das Team gibt und das Ergebnis abnimmt
  • Scrum Master – Person, die die Abarbeitung steuert
  • Team – Personen, die im Team arbeiten

 Der Ablauf ist wie folgt:

Product Backlog – Anforderungen an das Produkt sind beschrieben

  1. Sprint Backlog – Ziele für das Projekt sind beschrieben
  2. Sprint – Projekt, in dem das Projektzíel erreicht werden soll
  3. Sprint Iteration – Projektschritt zur Erreichung eines Projekt-Zwischenziels (i.d.R. 1 Woche)
  4. Daily Scrum – Tagesbesprechung des Teams

Product – das Ergebnis ist abgenommen

 Je nach Anforderung und Organisation können weitere Rollen, Reviews und eine Vielzahl von Arbeitsmitteln hinzugefügt werden.

 

Die Ursache für die zunehmende Verbreitung in der Automobilindustrie ist, dass große Unternehmen häufig Probleme haben neue Themen und Entwicklungen schnell und effizient umzusetzen.

Es gibt zwei für mich erkennbare Fraktionen.

 

„Agile Organisation“ als Philosophie von Unternehmen.

Als Antwort auf die starren Entscheidungsstrukturen in großen (Automobil)-Konzernen beschreibt die „Agile Organisation“ die Verlagerung von Entscheidungskompetenz in Teams. Notwendig ist hier eine klare Zieldefinition und ein permanenter Abgleich von Ziel zu Ergebnis. Dabei ist klar, dass sich die Ziele laufend ändern können. Diese Anpassungsfähigkeit ist, im Zeitalter sich ständig ändernder Marktanforderungen, sehr dringend notwendig.

 

„Agile Organisation“ als verfeinerte Methode zur Projektsteuerung.

Durch die enge zeitliche Taktung werden Leerlaufzeiten reduziert. Mehrere Teams können parallel arbeiten, da kurze Planungszeiträume die Abstimmung vereinfachen.

 

Zu beachten

Bei der Einführung von „Agiler Organisation“ auf Grundlage von Scrum muss man darauf achten, dass

  • es klare Zieldefinitionen gibt, da sonst schnell in falsche Richtungen entwickelt wird,
  • es Freiräume für die Team-Mitglieder gibt, da sonst zugesagte Termine nicht gehalten werden können,
  • die Dokumentation und notwendigen Prüfungen mitgeführt werden, da diese im Nachgang sehr schwer nachzuvollziehen sind.

 

Ich komme aus der ISO-Welt mit „Plan-Do-Check-Act“ und sehe hier eine Weiterentwicklung dieses bereits weit verbreiteten Vorgehens.

DSGVO – Grundinformationen

By | Allgemein

Datenschutz

Ab dem 25. Mai 2018 müssen die EU-Staaten die Datenschutzgrundverordnung (DSGVO) anwenden. Dies hat zur Folge, dass bis dahin alle Unternehmen, die mehr als neun Mitarbeiter beschäftigen, welche personenbezogene Daten verarbeiten, einen Datenschutzbeauftragen benennen müssen. Unabhängig davon sind ausnahmslos alle Unternehmen dazu verpflichtet, das neue Bundesdatenschutzgesetz (BDSG), welches die Umsetzung der DSGVO spezifiziert, einhalten.

Nahezu jedes Unternehmen geht mit Informationen um, die sich auf identifizierte oder identifizierbare Personen beziehen. Dies betrifft demnach nicht nur den vollständigen Namen, z.B. von Kunden oder Mitarbeitern, sondern auch Daten aus denen sich Rückschlüsse auf die jeweilige Person ziehen lassen. Beispiele dafür sind Standortdaten oder IP-Adressen.

Das Risiko beim Umgang mit personenbezogenen Daten Datenschutzverletzungen zu begehen ist erheblich, insofern die Regelungen zum Datenschutz ein hohes Schutzniveau vorsehen. Beispielsweise dürfen nur erforderliche Daten verarbeitet werden, benötigte Daten dürfen nur direkt erhoben werden oder es müssen Einwilligungen für die Verarbeitung vorliegen. Außerdem bestehen recht umfassende Dokumentationspflichten. So sind z.B. Verarbeitungsverzeichnisse zu führen.

Verstöße werden mit hohen Bußgeldern geahndet. Da Verstöße die Grundrechte von Personen betreffen, sollen wirksame und abschreckende Sanktionen weitere Zuwiderhandlungen verhindern. Gefahren sind unzufriedene Mitarbeiter, frühere Mitarbeiter, Kunden oder potenzielle Kunden, Konkurrenten und nicht zuletzt auch die Aufsichtsbehörden selbst, die auch ohne Anhaltspunkte Überprüfungen vornehmen können. Somit ist die Gefahr von Abmahnungen und Bußgeldern tatsächlich sehr real. Es ist davon auszugehen, dass die Aufsichtsbehörden immer mehr zum eigenen Handeln angehalten werden, gilt es doch ein Grundrecht zu schützen.

Wir halten es für eher ungünstig einen internen Mitarbeiter als Datenschutzbeauftragten zu benennen. Schnell befindet dieser sich in einem Interessenskonflikt: Einerseits sollte er die Interessen des Unternehmens vertreten, andererseits wird er aber auch persönliche Interessen verfolgen. Letztere liegen darin, dass er persönlich haftbar gemacht werden kann, so er seine Aufgaben als Datenschutzbeauftragter nicht pflichtgemäß erfüllt. Beispielsweise muss er gemäß der Datenschutzverordnung Verstöße der Aufsichtsbehörde melden.

Außerdem besitzt ein betrieblicher Datenschutzbeauftragter eine hervorgehobene Stellung im Unternehmen. Er hat unmittelbar an die oberste Unternehmensleitung zu berichten. Ebenso muss das Unternehmen ihm alle erforderlichen Ressourcen zur Verfügung zu stellen, insbesondere zu allen Verarbeitungsprozessen und personenbezogenen Daten. Hierzu gehören auch Möglichkeiten das entsprechende Fachwissen zu erwerben und zu erhalten.

Hier ergibt sich ein weiterer Punkt, der gegen einen internen Datenschutzbeauftragten sprechen kann. Er sollte nämlich nicht nur organisatorische und betriebswirtschaftliche Kenntnisse haben, um die Verarbeitungsprozesse nachvollziehen zu können, sondern auch über gute IT-Kenntnisse verfügen. Automatisierte Datenverarbeitungsprozesse sind IT-gestützt und hier spielt die IT-Sicherheit eine sehr bedeutende Rolle. Personenbezogene Daten sind vor unberechtigtem Zugriff zu schützen. Darüber hinaus ist es notwendig, dass sich der Beauftragte auch mit der DSGVO und dem BDSG vertraut ist und daraus die richtigen Maßnahmen ableiten kann.

Bei diesen Voraussetzungen wäre es naheliegend ein Mitglied der Geschäftsleitung als Datenschutzbeauftragten einzusetzen. Da hier aber ein erheblicher Interessenskonflikt besteht, lehnen dies die Aufsichtsbehörden ab. Genauso verhält es sich bei Beschäftigten mit Leitungsfunktionen, z.B. im Bereich IT, Recht oder Personal. Auch das spricht dafür eher auf eine externe Lösung zu setzen.

Wichtig ist auch, dass ein interner Datenschutzbeauftragter nach dem BDSG nur außerordentlich gekündigt werden kann. Dies gilt auch noch ein Jahr nach seiner Tätigkeit als Datenschutzbeauftragter. Er hat also dieselben Rechte wie ein Betriebsrat.

All das spricht dafür einen Datenschutzbeauftragten extern zu bestellen und externe Expertise in Anspruch zu nehmen. Datenschutz ist nicht nur ein organisatorisches Thema, sondern in hohem Maße auch ein technisches, geht es doch darum Daten vor Angriffen und unerlaubter Nutzung wirksam zu schützen.