Das wichtigste Werkzeug für Datenschutz und Informationssicherheit ist ein Team, das mit vollem Einsatz alles für die Einhaltung der Richtlinien tut. Der Zertifizierungsprozess für die VdS-Gütesiegel bedeutet für die Mitarbeiter aber auch Einschnitte.

Die e.Consult AG hat sich 2018 einem langwierigen Zertifizierungsprozess nach den VdS-Richtlinien zum Datenschutz und zur Informationssicherheit unterzogen. CEO Dominik Bach-Michaelis sieht die Gründe nicht nur in der DS-GVO. “Wir arbeiten vor allem mit Berufsgeheimnisträgern zusammen. Die Verantwortung, die wir für die Daten unserer Kunden tragen, ist dem Team mehr als bewusst,” sagt er. “Datensicherheit und Datenschutz ist seit jeher unser Markenkern. Deswegen hatte unser Projektteam im Zertifizierungsprozess auch vollen Rückhalt von allen Mitarbeitern.”

Cyber-Security und Datenschutz erfordern auch Opfer

Die Veränderungen, die auf das Team der e.Consult AG zukommen sollten, waren dabei nicht unerheblich. Die beiden Zertifikate stützen sich auf viele Seiten Richtlinien und werden nicht leichtfertig durch den VdS vergeben. Dominik Bach-Michaelis stellte im Haus ein kompetentes Datenschutz- und Informationssicherheitsteam zusammen, das sich mit festen Verantwortlichkeiten und strengen Vorgaben daran machte, zunächst sämtliche datenschutzrelevanten und die Informationssicherheit betreffenden Prozesse akribisch zu dokumentieren und notwendige Anpassungen einzuleiten.

Dabei kam wirklich alles auf den Tisch. “Alles wird dokumentiert, ausgewertet und an den notwendigen Stellen neu definiert. Kein Prozess, kein Vorgang darf mehr dem Zufall überlassen sein,” berichtet Angela Breyer, die als Koordinatorin den Zertifizierungsprozess begleitet. Und obwohl die e.Consult bereits vorher sehr viel in Sachen Datensicherheit gemacht hat, wurden auch Details wie Smartphone-Nutzung für geschäftliche Telefonate, Homeoffice und andere Fragen des Geschäftsalltags noch mal komplett neu geprüft.

Ist Homeoffice eigentlich noch erlaubt?

Die e.Consult AG ist als modernes und familienfreundliches Unternehmen sehr darauf bedacht, dass Familie und Beruf vereinbar sind und bietet deswegen unter anderem flexible Arbeitszeit- und Homeoffice-Modelle an. Mit der VdS-Zertifizierung kam dann zu Recht die Frage auf: Ist Homeoffice nun überhaupt noch erlaubt?

Die Antwort lautet: Ja, aber! Was früher auf dem kurzen Dienstweg beschlossen wurde, erfordert nun ein paar Formalitäten. Erst wenn alles klar dokumentiert und vom Chef abgezeichnet ist, darf der Mitarbeiter das VdS-konforme Homeoffice nutzen.

Die private Nutzung von Dienstrechnern ist nach den Richtlinien übrigens komplett untersagt – eine Einschränkung, an der auch mit viel gutem Willen von Seiten der Geschäftsführung nichts zu rütteln ist.

Smartphones mit Einschränkungen

Der wahrscheinlich schmerzhafteste Einschnitt ist die klare Trennung von Privat und Geschäftlich auf mobilen Endgeräten. Da mittlerweile fast jeder Mitarbeiter ein Smartphone oder Tablet nutzt, ist die Sicherheit der Daten bei der geschäftlichen Nutzung des Mobilgeräts essentiell. Gerade Außendienstmitarbeiter, aber auch andere im Team nutzten das private Smartphone unter anderem für dienstliche Gespräche. Um nicht komplett auf geschäftliche Smartphones umstellen zu müssen, griff die e.Consult auf Mobile-Device-Management-Software (MDM) zurück, die die dienstliche Nutzung zentral verwaltet.

Dominik Bach-Michaelis ist allerdings sehr wichtig, dass das Team sich dadurch nicht eingeschränkt fühlt und keine Überwachung von Seiten der Firma befürchten muss. “Wir pflegen einen offenen, vertrauensvollen Umgang und ich will nicht, dass unsere Mitarbeiter Angst vor Kontrolle haben müssen. Wir gehen deswegen intern sehr sensibel mit dem Thema um,” erklärt er.

Sicherheit durch klare Rollen und Verantwortlichkeiten

Neben Smartphonenutzung und Homeoffice-Regelungen standen ganz banale Dinge in Frage, die bisher über vertrauensvolle Absprachen geregelt werden konnten. Wie sieht es aus mit Abwesenheitsregelungen und Weiterleitungen von Nachrichten im Krankheits- oder Urlaubsfall, wann darf auf wessen Datenbestand bei Abwesenheit zugegriffen werden? Alles aus Datenschutz- und Informationssicherheitssicht kritische Fragen, für die es klare Regelungen bedarf. “Auf die Vertrauenswürdigkeit aller Mitarbeiter und die Sicherheit der Daten war natürlich auch bisher immer Verlass,” erklärt Angela Breyer. “Nach den strengen VdS-Richtlinien reicht das aber nicht aus. Das bedeutet auch, dass nicht jeder alle Informationen einsehen kann, sondern diese bei wenigen, festgelegten Kollegen erfragen muss.”

Seither arbeitet e.Consult mithilfe von eindeutigen Rollendefinitionen und Passwortmanagementsystemen, so dass nur diejenigen Zugriff auf sensible Daten haben, die das auch wirklich müssen. Das bedeutet insgesamt etwas mehr Bürokratie – für das hohe Ziel der Informationssicherheit und des Datenschutzes jedoch ein kleines Opfer.
Hier lesen Sie Teil 1 unserer Serie “Das tun wir für Ihre Sicherheit”: VdS-Zertifizierung für Cyber-Security. Demnächst erfahren Sie außerdem in einem weiteren Beitrag, was der Zertifizierungsprozess auf der technischen Ebene bedeutet.