Archiv für den Monat September 2013

Lebenslanges Lernen

Gerade in der IT-Branche ist es elementar sein Wissen kontinuierlich weiterzuentwickeln. Nicht umsonst findet sich in vielen Fachbüchern und Fachzeitschriften inzwischen die Aussage, dass die größte Herausforderung für den Vorgesetzten der Zukunft die Entwicklung hin zum Coach ist. Das heißt fungiert nicht länger selbst als fachlicher Entscheider, sondern er verhilft dem Mitarbeiter zu dieser Kompetenz. So wie der Fussball-Coach nicht selbst Fussball spielt, sondern den Spielern zeigt, worauf es ankommt und wie sie sich verbessern, damit sie im konkreten Spiel ihr Leistungspotential  eigenverantwortlich ausschöpfen. Hierzu mehr in einem späteren Blogbeitrag.

Der lernaffinste Mitarbeiter nützt nichts, wenn er nicht entsprechende Werkzeuge und Materialien an die Hand bekommt. Dazu benötigt es ein aufgeschlossenes Unternehmen, das den langfristigen Nutzen der dazu nötigen finanziellen Mitteln sieht und einen Vorgesetzten, der passende Angebote kennt. An dieser Stelle möchte ich einige Beispiele nennen, die in der IT der Firma heco zum Einsatz kommen:

eLearning: Ein hervorragendes eLearning Portal mit qualitativ sehr hochwertigen Video Trainings ist Pluralsight. Wir haben erst kürzlich dazu einjährige Subscriptions mit Offline Nutzung erworben, sodass die Kollegen die Inhalte offline unterwegs auf Handy, Tablet oder Laptop konsumieren können. Damit kann selbst die 20-minütige Zugfahrt produktiv genutzt werden.

eBook Reader: Inzwischen besitzt jeder IT-ler einen Kindle. Es kann oftmals sein, dass zunächst der Vorgesetzte aktiv und auf sinnvolle Bücher hinweisen muss. Bei uns stelle ich beim wöchentlichen Mittagessen typischerweise die Frage: “Liest gerade jeder an etwas?”. Die Kosten werden dabei vollständig übernommen, der Mitarbeiter liest im Gegenzug natürlich überwiegend in seiner Freizeit.

Zeitschriften Abos: Mit der Web and Mobile Developer, der Tec Channel kompakt und der dotnet Pro haben wir für alle 3 IT Bereiche jeweils ein Abo im Programm.

Unkonferenzen: Persönlich bin ich kein Freund von großen, handelsüblichen Konferenzen. Diese haben zwar z.B. für einen allgemeinen Überblick ihre Daseinsberechtigung, aber wir konzentrieren uns mehr auf sogenannte Unkonferenzen wie den Developer Open Space. Das Gespräch unter “Gleichen” die selbst die Inhalte festlegen und gleichzeitig dann auch erarbeiten ist enorm hilfreich.

Gruppen: Sei es die .NET User Group, die SQLPass, der Agile Scrumtisch oder die Social Media Night Stuttgart. Bei vielen Treffen sind wir vertreten. Die Treffen sind gänzlich kostenfrei (lediglich SMCST kostet 5€ pro Person). Unterstützt werden unsere Mitarbeiter durch Poolfahrzeuge und mit kürzerer Arbeitszeit, um ggf. auch bei längeren Strecken pünktlich kommen zu können.

Webinare: Viele Produkthersteller bieten Webinare an, welche wir oftmals im Kollektiv im Besprechungsraum auf der Leinwand konsumieren. Besonders Mindjet ist hier sehr aktiv.

Coding Dojos: Die Software-Entwickler bei uns halten regelmäßige Coding Dojos, d.h. interne Entwickler Trainings. Damit geht der Betrieb zunächst einmal in Vorleistung, denn die Zeit wird ja nicht für Produktivcode genutzt. Meiner persönlichen Erfahrung nach kann ich nur sagen, dass sich die Zeit definitiv lohnt.

Soziale Netze: Ein vielleicht ungewöhnlicher Punkt, aber soziale Netze sind für den Arbeit im Umfeld des Wissensmanagements ein unverzichtbares Werkzeug. Während in vielen Arbeitsstätten der Zugang gesperrt oder verboten ist, sind bei uns die Mitarbeiter aufgerufen aktiv mitzuwirken, um sich ein entsprechendes Netzwerk aufzubauen. Das schnelle Finden von Consultants, die kurze Info bei einem spezifischen Problem oder einfach Mal flugs die wichtigsten Eckpunkte in einem unbekannten Thema einholen; das alles geht mit Twitter & Co. 1,2,3. Das ist wesentlich effizienter und kostensparender als die Eigenrecherche, die sich schnell zu mehreren Stunden aufsummiert.

Datenschutzprobleme trotz Verschlüsselung?

In einem Gespräch mit unserem Datenschutzbeauftragten gab es kürzlich die Diskussion, inwieweit Dropbox als IT Cloud Speicher für Inhalte mit personenbezogenen Daten genutzt werden darf, wenn die Daten an sich verschlüsselt sind, z.B. in einer TrueCrypt Container Datei. Um eine lange Geschichte abzukürzen: Wir haben Herrn Artur König, angestellt bei der Datev eG und TÜV geprüfter Datenschutzauditor, kontaktiert. Freundlicherweise darf ich seine E-Mail Antwort veröffentlichen. Als wichtiger Hinweis sei gesagt, dass dies seine persönliche Meinung und nicht die der Datev eG wiederspiegelt.

Abschließend sei noch vermerkt, dass er mit der Aussage auch zur weiteren Diskussion aufrufen möchte, damit die Problematik in Zukunft hoffentlich eindeutig geklärt werden kann. Ich hoffe auch auf rege Beteiligung in den Kommentaren durch Datenschützer, Rechtsanwälte und IT Verantwortliche, da ich dem Thema große Bedeutung beimesse.

Ergebnis unserer Evaluierung: Wir haben uns dafür entschieden, dass die Daten in DropBox mit TrueCrypt verschlüsselt abgelegt werden.

 

…wie so oft im Datenschutz gibt es auch hier keine 100%ige Wahrheit. Diese Frage ist noch nicht abschließend geklärt und wurde z.B. beim letzten Treffen der AG Rechtsrahmen des Kompetenzzentrums Trusted Cloud des BMWi diskutiert. Die Unternehmensvertreter in dem Gremium empfahlen, eher von einer Auftragsdatenverarbeitung (ADV) auszugehen, um das Risiko einer anderweitigen Ansicht der Aufsichtsbehörde zu minimieren.

Bei Teamdrive, einer „Cloud-Lösung“ mit verschlüsselter Übertragung und Hinterlegung von Dokumenten gingen die ULD-Gutachter von einem Nicht-Personenbezug aus, wiesen aber darauf hin, dass Teamdrive trotzdem mit den Kunden / Auftraggebern  eine ADV abschließt (siehe hier).

Auch in der sonstigen täglichen Praxis wird die Verschlüsselung oft mit dem Verlust des Personenbezugs gleichgesetzt, da auch die Aufsichtsbehörden der Meinung sind, dass der Verlust eines verschlüsselten Datenträgers keine Datenpanne gemäß §42a darstellt.

Allerdings gibt es auch deutliche Argumente dafür, dass verschlüsselte Daten dennoch personenbezogen sind, so dass ich insgesamt Ihrem DSB (im Zweifel) Recht geben muss:
1.) ein heute als unknackbar geltendes Verfahren, kann in 10 Jahren durchaus knackbar sein – dies darf nicht zu Lasten der Betroffenen gehen, d.h. persönliche Daten sind auch dann zu schützen, wenn sie erst nach Jahren geknackt werden können
2.) es gibt (bis auf das One-Time-Pad, was aber für die Cloud nicht praktikabel wäre) keinen 100%igen mathematischen Beweis für die Sicherheit der heute gängigen Verschlüsselungsverfahren
3.) deshalb würde ich eine Verschlüsselung eher mit einem Safe als mit den Buchstaben-Schnipseln vergleichen, weil es eben einen Weg gibt, das Ganze reversibel zu machen (den Schlüssel)
4.) Auch im BDSG finden sich Hinweise für eine Beibehaltung des Personenbezugs: so spricht das BDSG explizit in der Anlage zu § 9 BDSG bei der Verschlüsselung von einer technischen Maßnahme – und nicht von einem tatbestandsausschließenden Merkmal des BDSG

Dagegen kann man aber auch argumentieren, indem man sich auf §3 Abs. 6 BDSG bezieht, wo von einem „unverhältnismäßig hohen Aufwand“ die Rede ist, den ich bei heute anerkannten Verschlüsselungsverfahren bejahen würde. Wie ich schon sagte, leider ist hier nichts eindeutig, von daher würde ich eine Personenbeziehbarkeit im Zweifel eher bejahen, auch wenn ich mir selbst damit schwer tue, weil man – wenn man diesen Gedanken weiter denkt – theoretisch auch keine E-Mails versenden dürfte…

Dies muss aber nicht bedeuten, dass eine Auslagerung in die Cloud grundsätzlich ausgeschlossen ist! Auch wenn man die Verschlüsselung nur als technische Schutzmaßnahme ansieht, kann damit ein Schutzniveau erreicht werden, bei dem eine Auslagerung zu rechtfertigen wäre. Bei vielen Daten ließe sich die Auslagerung damit vertreten, dass keine schwerwiegenden Beeinträchtigungen drohen, wenn diese geschützten Informationen erst nach 10 Jahren bekannt werden. Es bleibt also bei der Entscheidung im Einzelfall.  Wichtig ist hier aber, dass der Schlüssel nur beim Auftraggeber bleibt und der Dienstleister keinen „Master-Key“ hat.
Für die Auslagerung kaufmännischer Daten wäre noch §146 AO zu erwähnen, wonach die Buchhaltung im Geltungsbereich des deutschen Rechts bzw. EU-Rechts aufzubewahren ist.

Support bei Mindjet

Nachdem wir seit knapp einem Monat MindManager lizenziert haben, ziehe ich ein erstes Zwischenfazit:

Der Support und die Hilfestellung zum Produkt sind so, wie ich es nur von wenigen Software Herstellern kenne. Jeden Monat kommen neue Webinare zu dem ohnehin großen Angebot bereits gehaltener hinzu. Fragen, die nicht gleich beantwortet werden können, adressiert Mindjet in einer anschließenden E-Mail. Mit Twitter und Facebook ist die Firma auf den für mich wichtigen sozialen Kanälen vertreten. Inwieweit dort zeitnah reagiert wird, konnte ich noch nicht testen.

Der eigentliche Erwerb des Produktes war zweischneidig: Der Kontakt war freundlich und kompetent, könnte aber ein wenig flotter sein. Die eigentliche Rechnungsabwicklung lief leider nicht fehlerfrei ab, sodass zunächst die Rechnung vom Angebot abwich. Das konnte aber auf Rückfrage schnell behoben werden. Einen Tag später bekam ich sogar einen persönlichen Anruf, in welchem sich unsere Ansprechpartnerin entschuldigte. Das fiel mir sehr positiv auf!

Ebenfalls hervorzuheben war die kostenfreie, speziell auf unsere Fragen ausgerichtete Remote-Konferenz, bei der wir die Produktkenntnisse in den für uns relevanten Themenfeldern vertiefen konnten. Es wurden wirklich alle Fragen und Bereiche zur vollsten Zufriedenheit abgedeckt. Bemerkenswert war die Terminfindung: Aufgrund von Engpässen unsererseits baten wir mittwochs um einen Termin noch innerhalb derselben Woche. Die Zusage für den nächsten Tag erhielt ich bereits 2 Stunden nach meiner Anfrage. Der Seminarleiter zeigte sich fachlich äußerst versiert und war meinen Kollegen und mir sehr sympathisch.

Alles in allem ziehe ich deshalb ein sehr positives Fazit. In einem späteren Blogeintrag adressiere ich dann technische Fragen.

%d Bloggern gefällt das: