Einführung
In dieser Episode wieder einmal ein Interview mit einem absoluten Fachmann. Dieses Mal Christian Müller, mit dem ich mich über die Datenschutzaspekte bei der Einführung von Microsoft 365 unterhalte, mit einem besonderen Schwerpunkt auf Volks- und Reifeisenbanken und DATEV-Steuerberatung. Aber selbst wenn Sie ein in Anführungsstrichen normales Unternehmen sind, lohnt sich diese Episode auf alle Fälle, denn Sie sollten immer darauf achten, dass Datenschutz nicht zum Taten schutz wird auf der anderen Seite, aber sie auch die richtigen Leitplanken links und rechts haben, damit sie sicher und schnell auf der digitalen Autobahn unterwegs sind. Ich wünsche Ihnen bei diesem Interview viele gute Ideen und viel Spaß. Hier wieder eine weitere Folge von Erst Hirn einschalten, dann Technik. Und Zuerst Hirn einschalten, dann Technik, gehört natürlich auch das Thema Datenschutz. Und die fleißigen Hörerinnen und Hörer meiner Formate wissen, ich bezeichne Datenschutzbeauftragte ja oft als Datenschutzbeauftragte in Deutschland, weil ich dann doch oft wahrnehme, dass die Leitplanke nicht links und rechts von der Straße hin gepackt wird, wo sie hingehört, sondern quer auf die Straße. Und ich habe aber eine gute Nachricht. Und zwar, ich bin ja derjenige mit den drei Streifen auf der Schulter.
Einer heißt ja, kann lesen, zwei Streifen kann lesen und schreiben, drei Streifen heißt, der kennt einen, der lesen und schreiben kann. Und ich kenne jemanden, der definitiv keinen Tee vor dem Thema Datenschutz beauftragt hat, sondern ein D, dem lieben Christian Müller, der ein absoluter Profi einmal zum Thema Datenschutz ist, dazu aber noch den riesigen Vorteil hat, dass er sich auch EDV-mäßig extrem gut auskennt sind, also nicht nur jemand ist, der den Rechtsteil, sondern auch den EDV-Teil kennt und eine ganze Menge an Erfahrung im Bankenfeld hat, hat als Berater, als Consultant dort mit jahrelange – ich muss schon sagen, bei uns beiden schon jahrzehntelange Erfahrung – Wir beide sind ja schon ein bisschen länger jung. In diesem Sinne herzlich willkommen und vielen Dank, dass du dir jetzt Zeit nimmst, lieber Christian.
Christian Müller
Ja, danke sehr, lieber Thorsten. Danke für die gute Anmoderierung. Na, dann wollen wir mal hoffen, dass wir jetzt einen interessanten Part auch für alle Beteiligten finden und nicht nur nach dem Thema „Security killt Usability“-Verfahren, was häufiger der Fall ist, sondern auch sagen, verraten, wie es denn wirklich auch gehen kann und was auch Sinn ergibt.
Thorsten Jekel
Absolut. Das ist genau nämlich das Thema. Wir haben Wir haben im Vorfeld kurz drüber gesprochen, ich begleite ja unter anderem auch Fox und Raiffeisenbanken bei dem Thema Einführung von Microsoft 365. Und in diesem Zuge gibt es ja immer ein großes Thema, was dort wichtig ist: DSFA. Sag du doch mal dazu, was dieses Thema DSFA ist, wozu das Ganze da ist und wie da die richtige Vorgehensweise ist.
Christian Müller
Also ich kann erst mal beruhigen: DSFA ist kein polnisches Fremdwort mit vier Buchstaben. Sondern es ist im Prinzip eine Risikoabschätzung. Und es geht darum, wenn neue Technologien eingeführt werden, welche Risiken kann ein Unternehmen haben aus der Datenschutzbrille heraus? Weil Datenschutz bedeutet ja, es ist alles verboten, außer es wird erlaubt. Und deswegen muss man natürlich auch prüfen an der Stelle, wenn ich neue Technik einsetze, welche Risiken habe ich denn eben halt aus der Brille des Kunden? Weil man darf eins nichts vergessen: Es ist eigentlich eben halt auch ein Grundrecht, über was wir dort reden, dass die Daten von Kunden oder auch von Mitarbeitenden oder auch von Lieferanten, dass sie besonders schützenswert sind, weil es kann sich, glaube ich, jeder ausmahnen, was passiert, wenn die persönlichen Daten im Dark Web verschwinden, dann kriegt man plötzlich neue Abonnements oder das Bankkonto ist leer. Und das sind, glaube ich, die Anwendungsfälle, weshalb Datenschutz durchaus einen Sinn ergibt und ein Teil ist immer die Technik. Und dafür fängt man an mit einer Risikoanalyse mit dieser Datenschutzfolgeabschätzung.
Thorsten Jekel
Und jetzt habe ich mal wieder eine dofe Frage. Und zwar, es gibt ja die Atruvia als Rechenzentrale der Volks- und Raiffeisenbanken und es gibt ja die Volks- und Raiffeisenbanken. Wie ist dann da die Und es gibt ja noch Microsoft, wenn man es jetzt noch mal dazunehmen, wo ich ja noch mal drei Partner habe und sage: Wer hat denn da letztendlich die Verantwortung? Kann ich denn als Bank sagen: Ja, das ist die Rechenzentrale. Damit habe ich nichts zu tun, vereinfacht gesagt. Ist die Bank in der finalen Verantwortung? Wie ist denn da dieses Thema Verantwortung vor allen Dingen für die Volks- und Reifeisenbank zu sehen?
Christian Müller
Also grundsätzlich gilt, egal, welche Sorten von Vertrag ich habe oder egal, mit wem ich die Verträge mache und egal, in welchem Land, die Verantwortung für die Daten hat die verantwortliche Stelle und das sind in dem Fall die Volks-und Reifeisenbank.
Thorsten Jekel
Das heißt, die müssen sich mit dem Thema beschäftigen. Die können nicht sagen nach dem Motto: Ist die Rechenzentrale die Atruvia? Nein. Das heißt, als Volks- und Reifeisenbank muss ich mich definitiv mit dem Thema beschäftigen. Das heißt, aus der DSGVO heraus, nicht nur aus dem Thema Verbandsprüfung und BAFiN, also 44er-Prüfung, sondern auch aus dem Thema DSGVO heraus.
Christian Müller
Ja, und dann BAET hat er noch etwas, jetzt noch mal darzustellen. Die BAFiN hat auch zum Thema Thema Cloud-Ausgliederung, ein entsprechendes Merkblatt. Jetzt kommt noch dazu das Thema Dora, was das gesamte Thema Cybersicherheit noch mal verschärft, also zur DSGVO noch eben mal Dora als weiteres Regulatorium. Ein Thema, was viele auch gerne übersehen, ist das Thema NIS2 für kritische Infrastrukturen. Und da wir noch nicht genug Regulatorik haben, kommt Cyber Risk Act am Jahresende dazu. Natürlich muss das alles fertig sein zum 1. Januar und wird am 2. Januar dann wunderbar geprüft. So der Plan.
Thorsten Jekel
Ja, wunderbar. Also das heißt, ich dachte, wir unterhalten uns mal über ein Thema DSFA. Dora habe ich ja schon mal im Hintergrund gehört, aber du hast ja gleich noch ein paar weitere Themen mit reingeworfen. Macht es Sinn, dass wir erst mal einen Überblick machen oder dass wir mit dem Thema DSFA anfangen? Was macht aus deiner Sicht am meisten Sinn?
Christian Müller
Du, lass uns mit der DSFA anfangen, weil alles, worüber ich rede, hat was mit risikobasiertem Ansatz zu tun. Und hier reden wir erst mal über das überschaubarste Risiko und das überschaubarste Instrument.
Thorsten Jekel
Ja, wunderbar. Vielen Dank. Und zwar hier mal ganz konkret: Und zwar von der Atruvia gibt es ja im Rahmen der sehr professionellen Projektunterstützungen, die die Volks-und Raiffeisenbanken dort erhalten, gibt es dort ein Dokument und da steht drin, neben unterschiedlichen Risiken, würde ich eins gerne mal explizit mit dir durchgehen. Ich zitiere, hier steht eben Risiko ist Datenverarbeitung in den USA und weiteren Drittländern (Telemetriedaten / Cloud Act / keine angemessene Möglichkeit zur Geltenmachung von betroffenen Rechten). Und dann dort ist die Schwere des möglichen Schadens als überschaubar gekennzeichnet. Also es geht von geringfügig, überschaubar, substanziell groß. Und hier wurde überschaubar als Schwere des möglichen Schadens genommen. Bei der Eintrittswahrscheinlichkeit wurde eine große, also das ist die größte Eintrittswahrscheinlichkeit in diesem Raster, und als Ergebnis ein mittleres Risiko dort in der Bewertung angegeben. Wie ist da deine Einschätzung zu dieser Einschätzung, die praktisch so ein Vorgabewert der Rechenzentrale ist? Weil da werde ich doch von einigen Banken mal angesprochen, wo die sagen: Mensch, Herr Jekel, wie sehen Sie das? Und deswegen habe ich gesagt, ich frage da mal jemanden, der sich den ganzen Tag mit dem Thema beschäftigt, nämlich du, lieber Christian.
Christian Müller
Also das hätte ich eins zu so unterstützt gehabt, wenn wir jetzt vor einem Dreivierteljahr diskutiert hätten.
Thorsten Jekel
Ja, oho, jetzt wird es spannend.
Christian Müller
Aber das ändert sich ja was, weil die USA, die ja per Definition von der Juristerei als Böse angesehen wird, als Böse im Sinne von, das hat nicht das gleiche Datenschutzniveau wie Deutschland, ja, oder die Europäische Union. Und das basiert einerseits auf dem FISA 701 Act. Das heißt also, die Geheimdienste Dienste dürfen, die Firmen wie Microsoft dazu nötigen, Daten herauszugeben, ja, im Fall der Fälle. Das ist also der eine Grund, weshalb man schwerwiegenderweise dazu kam, dass die USA nicht das gleiche Datenschutzniveau haben.
Thorsten Jekel
Ist das der PADLET Act oder ist das was anderes?
Christian Müller
Das ist was anderes. Ist was anderes. Also der FISA 701, wie der Name sagt, ist FISA. Das heißt, das FBI und das NSA dürfen mit einem Gerichtsbeschluss bei Microsoft einrücken und sagen: Ich hätte jetzt ganz gerne alle von dem Thorsten Jekel. Weil wir sind behörd…
Thorsten Jekel
Inkludiert es auch die Tochtergesellschaften in Europa? Weil das war ja meines Wissens immer die Diskussion zu sagen, beinhaltet das Tochtergesellschaften oder beinhaltet das Tochtergesellschaften nicht?
Christian Müller
Und jetzt kommen wir genau in die Feinheiten an der Stelle, weshalb ich sage, vor einem Dreivierteljahr. So, natürlich hat man dann auch festgestellt, dass das natürlich kein Zustand ist. Also auch die Firma Microsoft, das muss man wirklich sagen und auch Apple, die weigern sich hartnäckig, also solche Themen erst einmal aufzuliefern und sie argumentieren in der Tat darüber, dass sie sagen: Okay, die Daten, die liegen in einer Geozone in Deutschland, meineswegen in Irland, in Amsterdam oder in Frankfurt, Westeuropa zu sein und deswegen habt ihr da keinen Durchgriff drauf. Theoretisch argumentieren die amerikanischen Behörden und sagen: Na ja, du bist ja die Muttergesellschaft und du kannst auch die Tochtergesellschaft Druck ausüben. Du merkst, sehr, sehr viele Konjunktive. Aber machen wir uns auch nichts vor, wenn eine FBI bei der Microsoft anbrückt, ich weiß dann nicht, wie dann das Verhalten ist. Das ist meine Glaskugel … Nichtsdestotrotz hat man dann auch irgendwie identifiziert, da gibt es also noch den Cloud Act und da gibt es noch den Private Act, der angeblich auf einem Blattel Papier die Daten schützen soll vor solchen Übergriffen. Machen wir uns jetzt vor, das ist Paperwork und Paperwork ist geduldig. Insofern hat man eine andere Lösung gesucht und die hat man auch gefunden.
Christian Müller
Die andere Lösung hat man jetzt gefunden, dass man wirklich auch sagt, Amerika und auch mit der EU bilateral sich darauf geeinigt hat, dass man tatsächlich die Regularien der DSGVO innerhalb von Deutschland auch respektiert, auch international. Und zack, ist dann die USA plötzlich als gut anzusehen. Die gehören jetzt eben halt wie alle anderen auf dem Level, die sind gut und auf dem gleichen Datenschutzniveau anzusiedeln. Das heißt, sie sind jetzt kurz in Richtung USA, zumindest aus der Juristensicht, die ist momentan nicht existent. So. Jetzt gehen wir mal die technische Sicht durch. Da wird viel diskutiert: Was sind denn eigentlich telemetrische Daten? Wenn der Christian Müller sich bei seinem Office 365 von der RWM Group einloggt, dann loggt er sich im Regelfall mit seiner E-Mail-Adresse, mit einem Passwort und dann dem Authenticator ein, weil ich bin ja vollwendig mit zwei Faktor-Authentifizierung. Meine Telemetriedaten sind schlicht und einfach okay, die IP-Adresse, von der ich mich einwähle, in Deutschland 192, sonst was. Das zweite telemetrische Daten ist eben meine E-Mail-Adresse. Das zweite telemetrische Daten ist: Oh, wir haben dich gefunden im Active Directory. Du bist einer von den Guten. Du darfst da drauf auf den Account von RWM-Group und das sind die telemetrischen Daten.
Christian Müller
Andere telemetrische Daten sind einfach nur: Oh, ich habe jetzt eine Verbindung. Ich habe jetzt eine E-Mail versendet und die telemetrischen Daten heißen: Okay, aus dem Tenant-RWM-Group, der in Amsterdam liegt, da ist eine E-Mail versendet worden, irgendwo hin. So. Das sind die telemetrischen Daten. Also das Risiko, was sein kann, wenn ich jetzt ein ganz, ganz aktiver Hacker bin und das Ganze böse meine, ich würde meine E-Mail-Adresse erwischen. Und das ist das Risiko, was wir gerade inhaltlich diskutieren. Mehr ist es eigentlich nicht. Dann habe ich vielleicht auch noch Telemetriedaten, wenn ich in Teams agiere, also so wie wir jetzt in unserem Interview, da sehen wir ihr Bild, wir können uns auch ein bisschen Text zukommen lassen, wir reden miteinander. Telemetrische Daten sind eben die Metadaten, die übermittelt werden, so nach dem Motto: Da findet eine Videokonferenz statt, sicherzustellen, dass die Verbindung dort ist. Das sind die Risiken, die mit den telemetrischen Daten da sind und ohne telemetrische Daten habe ich auch kein Internet. Das funktioniert nicht. Da muss ich mich grundsätzlich entscheiden, will ich Internet haben, ja oder nein? Wenn diese Entscheidung getroffen ist, dann kann ich sagen: Okay, welches Risiko kann ich nehmen? Und wenn ich sage, dieses Risiko, dass möglicherweise die E-Mail abgefangen wird, dann ist das ein Risiko, was ich nehmen kann Es gibt nichtsdestotrotz dann auch noch weitere technische Maßnahmen wie Zero Trust, Zwei-Faktor-Authentifikation, ein ganzer Kessel an Technologien, wo ich sagen kann, ich kann das Risiko wirklich auf null minimieren.
Christian Müller
Ich fasse zusammen. Für mich ist das eine Stellvertretendiskussion. Wer das glaubt, der kann mal schauen. Es gibt eine ausführliche DSFA des Landes Niederlande. Das ist frei zugänglich, 150 Seiten, wo so MS Teams und Office 365 bis aufs Detail auseinandergenommen haben. Und wer sich das mal durchliest und dann eben halt solche Aussagen da nebeneinander legt, der kann sich sein eigenes Urteil ganz fundiert erlauben.
Thorsten Jekel
Ja, das ist spannend. Hier muss ich gleich Ich kann noch mal notieren. So, Niederlande. Jetzt haben wir im Moment ja im ersten Schritt mal gesprochen, das war auch bewusst ja geteilt, über das Thema eben der Telemetriedaten. Da drunter geht es dann ja weiter, zu sagen, Daten verarbeitet in den USA, in weiteren Drittländern. Da geht es dann wirklich nicht mehr die Telemetriedaten, sondern eben die Daten. Cloud Act, also da steht in Klammern dazu, Cloud Act, damit verbundene Daten, Weitergabe an US-Behörden und keine angemesste Möglichkeit zur Geldmachung von betroffenen Rechten. Da steht: Substanzieller Schwere des möglichen Schadens, eine überschaubare Eintrittswahrscheinlichkeit und auch ein mittleres Risiko. Weckt sich das auch mit deiner Einschätzung oder wie siehst du das?
Christian Müller
Es ist eine Sache, wie ich es parametriere. Also grundsätzlich, wenn man nicht zu den guten Ländern gehört, wie die EU und jetzt die USA, ist man ein Drittland. So, ein Drittland ist dadurch charakterisiert, dass es eben nicht das gleiche Datenschutzniveau hat wie quasi die geschützten Länder. Das heißt, das ist irgendwie etwas am Rechtsrahmen nicht kompatibel, im Sinne von Behörden dürfen auf Daten zugreifen. Oder es ist auch technisch etwas nicht in Ordnung. Das heißt also, in China hat man eine andere Auffassung zum Thema Datenschutz. Da ist es eher das Maximierungsprinzip statt das Minimierungsprinzip.
Thorsten Jekel
Können Sie uns mal aufpassen, dass die Daten nicht verloren gehen? Das ist wahrscheinlich deren Datenschutzverständnis.
Christian Müller
Da kannst du sie dann mit Sicherheit wiederfinden. Das ist sicher. Und dann gibt es eben den Artikel 40, 41 und folgende in der DSGVO. Da geht es darum, Prüfschritte festzustellen. Das heißt, wenn ich als verantwortliche Stelle, also ich bin jetzt eine Bank und der Thorsten Jekel hat ein Konto bei mir, damit ich jetzt die verantwortliche Stelle, die erst mal den Thorsten Jekel Erlaubnis haben muss, ob er seine Daten speichern darf, die gibt er mir im Regelfall im Rahmen einer Kontoeröffnung und dann kann der Thorsten Jekel eben halt überweisungen machen und Kontoauszüge holen und Ähnliches. Und ich als Bank bin jetzt eben dafür auch für die Sicherheit dieser Daten verantwortlich, also nicht nur der Kontoauszugsdaten, sondern auch deine persönlichen Datenname, Vorname, Adresse, Geburtsdatum. Jetzt ist es durchaus möglich, dass ich sage, in einem weltweiten IT-Verbund: Ich lasse die, ja ich sage mal, die Berechnung der Zahlungen in Indien durchführen oder eben in Bulgarien oder gerade dort, wo es großpreiswerter ist, damit ich dann eben Abrechnung und Jahresabschluss machen kann. Dann bin ich nämlich in der Bredouille drin, dass ich in einem Drittland verarbeite. Bevor ich in einem Drittland verarbeite, muss ich eben eine Prüfung nach 40, 41 DSGVO durchlaufen und das ist eine schrittweise Prüfung.
Und eine Prüfung ist natürlich formeller Rahmen: Gibt es entsprechende vertragliche Absicherungen zwischen dem, der die Daten im Ausland verarbeitet und dem, der die Daten als Auftraggeber das dingt? Und dann gibt es also mehrere Prüfpunkte. Das heißt, man hat das Vertrag nicht abgesichert. Gibt es technische organisatorische Maßnahmen, also gescheckt? Gibt es Patronatserklärungen oder gibt es eben auch Risikoübernahmeerklärungen. Das ist eine ganze Bündel von Kriterien, was gecheckt wird, dann hinterher zu einer Aussage zu kommen, jawohl, kann man verarbeiten die Daten, und ich habe es auch vertraglich abgesichert. Da gibt es Standardvertragsklauseln, die darf man auch nicht ändern, die muss man benutzen. Und wenn man diese dann zusätzlich benutzt, dann ist man zumindest aus der Datenschutzbrille formal juristisch erstmals sauber. Das ist also die juristische Seite. Die technische Seite ist … Natürlich kann ich eben auch Daten verschlüsselen. Also eines der stärksten Mechanismen Ich würde eher abraten davon, aber es gibt es, dass ich sage: Okay, ich bin jetzt eine Bank, ich habe jetzt Daten, die dort quasi auch im Ausland liegen. Ich möchte nicht nur den E-Mail-Verkehr verschlüsseln, sondern ich will nicht nur eine eine Board-Verschlüsselung haben, sondern ich will auch eine Verschlüsselung der Daten haben, die dezentral vor Ort in dem Rechenzentrum sind.
So. Die kann ich verschlüsseln und habe dann auch einen Schlüssel, damit ich sie wieder entschlüsseln kann. Und ich habe durchaus die Möglichkeit, diesen Schlüssel selbst zu verwalten. Das heißt, momentan bei den starken Schlüsselmechanismen braucht der Leistungsstärke-Rechner ungefähr 4.000 Jahre, bis er diesen Schlüsselmechanismus entschlüsselt hat.
Thorsten Jekel
Da muss man schon ein bisschen länger drauf warten dann.
Christian Müller
Ja, das braucht man ein bisschen länger. Also das ist der Stand der Dinge. Ich weiß nicht, wie es mit Quantencomputing ist. Das ist wahrscheinlich in zehn Jahren der Fall. Dann wird das ein bisschen kürzer sein. Aber Stand Dinge 2024 wäre eine Schlüsselverwaltung eine absolut sichere Sache. Und auch ein FBI oder ein MSA würden sich daran die Zähne ausbeißen, weil die Technik gilt also auch für die Herrschaften, auch wenn sie mehr Pickel auf den Schultern haben.
Thorsten Jekel
Und wenn ich jetzt noch mal gucke, eben DSFA für den konkreten Fall, so wie es die Atruvia dort vorschlägt, ist aus deiner Sicht substanziell auch so nachvollziehbar? Würdest du auch so mitgehen und sagst du, okay, ist auch ein Punkt, wo die Volks-und Reifeisenbank auch ohne Bedenken Microsoft 365 dort einführen kann, weil die Frage ist ja immer: Ist das jetzt datenschutzmäßig ein Thema, was uns vor die Füße fliegt, wenn ich jetzt eine 44er-Prüfung habe, wenn ich eine Verbandsprüfung habe, wenn das Thema Datenschutzbehörden eben dann auf uns losgehen? Da gibt es natürlich immer berechtigte Ängste, wo ich immer angesprochen werde.
Christian Müller
Ich komme noch mal von der Regulatorik heraus und stelle mal den Datenschutz an Position zwei und gehe an Position eins: Wesentliche Auslagerung. In der Regulatorik bei Banken, BAIT und VAIT, bei Versicherungen habe ich das Thema Auslagerung von wesentlichen Dienstleistungen. Oder wesentlich IT-Leistung. Das ist im KWG, wie man es im VAG definiert. Da findet man, was wesentlich ist. Dora kommt jetzt noch dazu und sagt: Oh, wichtig und kritisch musst du auch noch definieren. Wenn ich weiß, was wesentlich und wichtig und was kritisch ist, dann weiß ich, dass ich erst mit einem Geschäftsprozess oder Geschäftsvorfall zu tun habe, der besonders schützenswert ist und dementsprechend muss ich natürlich, bevor ich diesen auslage und Office 365 ist nichts weiter als eine Auslagung, die dann noch zusätzlich als wesentlich und kritisch charakterisiert wird, also das kommt jetzt so richtig ins Licht, sodass ich dann natürlich auch die regulatorischen Vorgaben zu erfüllen habe. Das heißt, ich muss mich immer die Datenschutzfolgeabschätzung kümmern, ich muss mich schon mich schon darum kümmern, dass ich ein Sicherheitskonzept habe, ich muss mich schon darum kümmern, dass ich ein Betriebsführungskonzept habe, dass ich auch ein Backup-Konzept habe, Business Continuity Management, alles Dinge, die Banken und Versicherungen bestens bekannt sind.
Christian Müller
Aber ich muss sicherstellen, dass ich es auch im Vertrag habe. Jetzt ist immer die Frage: Mit wem habe ich den Vertrag? Habe ich den Vertrag direkt mit Microsoft oder habe ich den Vertrag mit einem Rechenzentrumsdienstleister, der dann wieder von uns Vertragspartner ist von Microsoft?
Thorsten Jekel
So ist es im Regelfall im Volks- und Raiffeisenbank der Fall. Das heißt, die Leistung Microsoft 365, die wird von der Atruvia bezogen, der Rechenzentral der Volks- und Raiffeisenbanken. So ist im Regelfall die Konzernation. Genau.
Christian Müller
Jetzt kann man überlegen, so nach dem Motto: Dann kaufe ich doch direkt bei Microsoft ein. Im Regelfall haben die Atruvia und auch andere Rechenzentren, die auch für Banken oder auch für Landesbanken diese Dienstleistungen mit erbringen, noch deutlicher, dezidiertere bankenspezifische Sicherheitsmechanismen in ihren Rechenzentren. Man würde sich dieses Sicherheitspaket einfach berauben, wenn man tatsächlich zu Microsoft gehen würde. Das ist eine Sache des technischen Architekten und da gibt es dann wirklich eine Risikoabschätzung aus technischer Sicht heraus Sinn im Sinne von: Wo beziehe ich denn diese Themen? Die meisten Landesbanken, die ich kenne und die ich auch schon beraten habe an der Stelle, die sind auch in einem Rechenzentrumsverbund drinnen und genau aufgrund dieser Spezifika. Bei Versichernissen, die handt direkt meistens mit Microsoft-Verträge, aber ist das eben eine Sache, wie risikoerwerfen bin ich.
Thorsten Jekel
Genau. Also hier geht es ja wirklich darum, dass die Fokussenreifenbank das direkt mit der Atruvia machen. Also ich sage mal, es gibt immer noch mal ein paar Spezialinstitute in der genossenschaftlichen Finanzgruppe. Aber vom Grundsatz her, hier waren noch mal ein paar Themen, die hier noch mal genannt wurden. Wenn ich hier noch mal auf die Projektskizze der Atruvia noch mal schaut, dann steht hier noch mal dieses Thema eben Compliance und Datenschutz Mitigation oder Mitigation, indem du es aussprechst, des Risikos eines DSGVO-Verstoßes. Hier steht eben mit vertraglichen organisatorischen technischen Vorkehrungen reduzieren wir das Minimum eines DSGO-Verstoßes auf ein Minimum. Hier ist die Aussage der Atruvia, der Gerichtshof der Europäischen Union, also der EUGH, hat am 16. Juli 2020 eine Urteilsebermittlung von Daten aus der EU gefällt, wonach ein DSGVO-gerechter Einsatz auf Grundlage zugrunde liegender Standardinstallation, zum Beispiel, Speichungen in den USA, nicht gegeben ist. Darauf ist als Maßnahme hier eben aufgeführt worden: Anpassung Standardinstallation an DSGVO, zum Beispiel mit Customer Key, lokaler Datenspeicherung, Erweiterung der vertraglichen Grundlagen, Umsetzung von organisatorischen und technischen Maßnahmen seitens Microsoft Natruvia. Und hier noch mal Verprobung und Absichtung der Maßnahmenprüfung des vor Ort Piloten,Projektes durch Avado. Das sind die Kollegen vom Genossenschaftsverband, Testierung der Seenmigration, Abstimmung mit ARCA Datenschutz und ZAM-EG.
Thorsten Jekel
Also Das waren hier noch mal die Hinweise. Aus deiner Sicht auch so schlüssig, dass eine Volks-und Reifeisenbank da sagen kann: Okay, das ist safe für mich, weil das ist ja die Frage, die der Vorstandsvorsetzung an mich stellt, zu sagen: Sagen Sie mal, wie schaut’s aus?
Christian Müller
Also hundertprozentige Sicherheit gibt es nicht, weil ich sage mal, das Thema kriminelle Energie im Bereich IT, das ist ein Raffenrennen. Du kannst vielleicht vorher sein, aber dann kommt der Verfolger hinterher. Das ist also eine permanente, fortlaufende Optimierung. Jetzt muss man dazu sagen, es kommt jetzt durch das Thema Dora noch eine Richtung mit dazu, nämlich dass ich dann auch tatsächlich auditieren muss, quasi bei den Microsofts dieser Welt. Das heißt, ich habe da schon eine Verpflichtung im Sinne von der Drittlieferantenüberprüfung, mir auch ein eigenes Bild zu verschaffen: Wie sieht es denn aus, ob ich jetzt im Rechenzentrum bei Microsoft einbrücke oder im Verbandsrechenzentrum? Irgendwann wird sich diese Frage dann auch stellen, ob ich das mal tue, mir vor Ort ein Bild zu verschaffen oder indem ich mich in einen Pool anschließe, wo mehrere Firmen da sind und einer besucht die Microsoft und berichtet dann an alle: Achtung, der ist alles safe, oder indem ich sage: Es reicht mir, wenn ich die Zertifikate von den Firmen bekomme, aber ich kriege eine höhere Verantwortung zum Thema Drittparteienrisiko. Das ist also neu. Nun gibt es im Bankensektor bis dato noch nicht, im Versicherungssektor auch noch nicht. Das ist eines der aufwandstreibendsten Themen aktuell, das zu integrieren.
Thorsten Jekel
Kann ich dann als Bank sagen, ich habe praktisch vereinfacht gesagt, in meinem Verständnis habe ich ja eine ADV mit meiner Rechenzentrale, kann ich dann regeln zu sagen, ihr seid dafür verantwortlich, also dieses zu delegieren oder wie ist da die aktuelle Rechtslage?
Christian Müller
Das ist jetzt das Spannende. Jetzt muss ich unterscheiden, welcher Rechtsraum. Reden wir über Deutschland und den Rest der Welt und zweitens die Unterscheidung zwischen Verbraucher und Unternehmer. Ich gehe jetzt mal von dem stärksten Recht aus, was ich haben kann. Ich Nehmen wir deutsches Recht an, beziehe mich auf die DSGVO und bin Endverbraucher. So, Thorsten, du bist jetzt meine Bank, meine Verwaltung Reiffeisenbank, die die Dienstleistungen in einem Rechenzentrum einkauft. So, jetzt entgeht mir ein großer Schaden. Daten sind gehackt worden und ich sage: So, ich hätte jetzt ganz gerne einen Schadensersatz. Artikel 82 DSGVO. Da sagst du: Natürlich Moment, ich habe einen Vertrag mit meinem Rechenzentrum. Da sage ich: Weißt du was, lieber Thorsten? Das ist mir vollkommen egal. Ich darf mir nach dem 32er aussuchen, wer der wirtschaftlich Stärkere ist, weil ihr eigentlich im Prinzip nicht eine Auftragsverarbeitung habt, sondern ihr habt einen Joint Controlership. Das heißt, ich darf mir dann aussuchen, ist wie bei der GBR. Bei der GBR, da habe ich mir auch aussuchen, wenn ich eine Krawatte packe und in dem Moment bin ich die wirtschaftlich Stärkere oder denjenigen, den ich besser an der Krawatte packen kann. Microsoft zu verklagen in Redmond, amerikanisches Recht, keine gute Idee, sehr teuer, aber eine Volks-und Raiffeisenbank, also in Deutschland zu verklagen, das ist schon überschaubar.
Also sich rein über das Vertragliche zu exkulpieren, wird nicht funktionieren, weil der Mechanismus zum Thema Schadensersatz in der DSGVO eine andere ist. In Deutschland gilt normalerweise im europäischen Recht, dass ich nur dann Anspruch auf einen Schadensersatz habe, wenn mir materiell rechtlich ein Schaden entstanden ist. Im anglosexischen Bereich reicht es vollkommen aus, indem ich das behaupten will, es könnte mir ein Schaden entstanden sein. Das ist nicht das berühmte Mikrowellen-Katzen-Beispiel aus den USA von McDonald’s. Das geht in die gleiche Richtung. Die DSGVO führt anglosexische Rechtsrahmen mit rein und sagt, es reicht auch die Behauptung an der Stelle. Das heißt, ich muss nicht materiell meinen Schaden nachweisen. Zum Glück gibt es nur ganz, ganz wenige Rechtsprechungen dazu. Aber alleine der Schaden, wenn du eine Meldung machst, nehmen wir mal an, ich habe jetzt einen Kredit bei dir gehabt, den habe ich abbezahlt und du hast es verbummelt, ungefähr sechs Wochen lang die Meldung an die Schufa zu machen, dass der Kredit erledigt ist und ich komme dahinter. Und sage ich: Lieber Thorsten, mir ist also dermaßen Schaden entstanden. Ich bin dermaßen frustriert und, und, und. Es gibt ein erstes Urteil darüber, wo dann tatsächlich Schadensersatz in Höhe von 4.000 € zugesprochen wurde.
Und das ist nur eine Schufa-Meldung. Jetzt möchte ich nicht wissen, wie viele Nullen die dranhängen können, aber sehr, sehr wenige Rechtsprechungen diesbezüglich und ich gehe mal davon aus, dass das auch geschlossen wird, weil das kann es nicht sein, eine Money Machine, einfach nur zu behaupten. Das geht am Ziel vorbei.
Thorsten Jekel
Aber das Risiko besteht und ansonsten gilt auch generell, dass ich Haftung nicht vertraglich zur Lasten des Endverbrauchers abmoderieren kann.
Christian Müller
Zwischenunternehmern Dann kann ich das machen, aber nicht bei Endverbrauchern.
Thorsten Jekel
Das heißt, ich kann letztendlich sagen, ich bin derjenige, der entsprechend in Regress genommen wird, kann mir aber dann wieder, ich sage mal, meinen Unterauftragauftragnehmer wieder greifen und sagen: Okay, der Schaden, der mir gegenüber der über geltend gemacht wurde, den hole ich mir von dir wieder zurück. Das wäre dann die Zweistufigkeit, die wahrscheinlich geht.
Christian Müller
Absolut. Und das kann ich nur jedem Unternehmen empfehlen. Bitte zu prüfen, welche Verträge habe ich mit den Endverbrauchern und in welchem Haftungsszenario – ja, auch noch mehr – bin ich dort, sowohl Verbraucher als auch Unternehmer. Und was für eine Verpflichtung bin ich beim Einkauf von Dienstleistungen ausgegangen. Alleine die Frage: Haftpflichtversicherungssumme. Das habe ich erlebt in einer Bank, die Dienstleistung eingekauft hat im Rechenzentrum. Der Stand … würde sagen: Wir haften bis maximal 50.000 Euro. Oh ja.
Thorsten Jekel
Das sehe ich nicht.
Christian Müller
Egal, die Gefälle. Dann ist dem CFO ein bisschen … Doch, da sagt er: Da fehlen noch ein paar Nullen. Ich sage: Nein, das habt ihr eingekauft. Das habt ihr weltweit ausgeschrieben, habt ihr eingekauft. Der Preis ist heiß und wenn jetzt der Fall … Wir hatten dann den Fall, Zahlungsverzug, und der ist ein Schaden von zwei Millionen angefallen. Die sind da auf den zwei Millionen sitzen geblieben, weil sie das nicht weitergeben konnten. Einfach nur, weil das, was ich eingekauft habe und das, was ich weitergegeben habe, nur weil die Haftlichtsum einfach nicht identisch war. Das sind Punkte, die kann man …
Thorsten Jekel
Also auch ein Thema, den Versicherungsschutz auch noch mal zu überprüfen. Auch noch mal ein ganz wichtiges Thema. Weiteres Thema, was ich hier auf der Folie in der Roadmap der Atruvia gefunden habe: Microsoft führt seit dem 01.01.2023 die EU-Data-Boundary-Schrittweise ein. Die DSK hat diese Microsoft Roadmap noch nicht bewährt betritt. Kannst du da noch mal drei Sätze dazu sagen, was das heißt?
Christian Müller
Ja, also bis jetzt kann ich ja schon als Kunde auswählen, wo meine Daten verarbeitet werden. Ich kann sagen, der Herr Möller lässt seine Daten in Amsterdam und Frankfurt verarbeiten und bestenfalls in der EU hat aber Microsoft keine Freigabe gegeben für Indien oder USA. So, das habe ich getan. Nichtsdestotrotz passiert es, dass meine Daten, wenn meine Daten nachts im Backup werden, die durchaus in einem amerikanischen Rechenzentrum landen können. Nur zum Backup-Zweck: So, mit dieser Regelung, die du da gerade angesprochen hast, unterbinde ich auch das. Das heißt also, ich habe eben halt eine geographische Zuständigkeit, wo ich mir sicher sein kann, aus diesem Kreis kommt nichts heraus, es mal platt zu sagen. Und das ist auch der Kreis, in dem entsprechend die Gesetzregularien auch gelten. Also das ist ein zweiteiliger Schutz, ein technischer Schutz und auch ein vertraglicher Schutz. Also insofern kommt man dem sehr entgegen, dass man sagt: Diese permanente Diskutiererei USA von den Daten her ist böse und das ist auch eine leichte Reaktion der Hyperscaler gewesen auf das, was der amerikanische Staat sich da vorstellt. Lange Rede, kurzer Sinn: Einfach eine Besserstellung, eine Klarstellung. Und dann bin ich mal gespannt, was das DSK dazu sagt, weil das DSK ist ja auch noch auf dem Trip drauf, dass IP-personenbezogene Daten sind.
Christian Müller
Es gibt zwar entsprechende ULG-Urteile in Österreich, das eben nicht der Fall ist, aber das würde ja bedeuten, dass- Für was steht DSK?
Thorsten Jekel
Für diejenigen, die nicht so tief in den Abkürzungen drin sind?
Christian Müller
Datenschutzkonferenz nennt sich das. Das ist der oberste Entscheidungsgremien zum Thema Datenschutz in Deutschland und alle Landesdatenschutzbehör. Also Behörden oder Behördenstellenleiter sitzen also regelmäßig in Stuhlkreisen zusammen und befinden da auch noch, welche Technologie jetzt sinnvoll ist. Ist es Microsoft Böse oder ist es Microsoft Gut oder darf Videoaufnahmen, Mitarbeiter Videoaufnahmen machen, ja oder nein Und das ist also die oberste Behörde, die Datenschutzkommission.
Thorsten Jekel
Und ist das, also der Stand, den ich hier habe, vom 16.12.2022 von Microsoft? Ist der noch aktuell, dass das noch nicht endgültig bewertet ist oder auch nur schrittweise eingeführt ist? Oder ist das mittlerweile schon eingeführt und endgültig bewertet? Oder wie ist da der Stand?
Christian Müller
Das ist der Punkt, da berät man sich noch, weil machen wir kurz. Ich gebe noch mal ein kleines Beispiel, wie komplex Microsoft Office eigentlich ist. Microsoft Office sieht aus 600 unterschiedlichen Programmen. Das wissen auch die wenigsten. Ich nehme jetzt einfach nur mal MS Teams, funktioniert hier wie Zoom oder andere, wo ich Bilder habe, wann reden wir mit miteinander, dann kann ich noch einen Chat schreiben und dann kann ich noch Dokumente austauschen, ja? Ja. Um mal die Basisfunktion zu haben. So, wenn ich dich jetzt frage: Wo werden denn die Daten gespeichert? Dann sagst du: Ja, Moment mal in In Amsterdam, so habe ich es reingeschrieben. Da sage ich: Ja, ist richtig. Aber wo in diesem Microsoft-Universum werden denn die Daten gespeichert? Weil wenn wir chatten miteinander, dann werden die Daten im Exchange-Server unter E-Mail gespeichert. Wenn ich dort jetzt Dateien austausche, dann werden die unter Umständen in einem Blobspeicher gespeichert. Das ist eine separate Datenbank, auch wenn ich nachher Zugriff habe. An der Stelle, die Metriedaten werden wieder an einer anderen Stelle gespeichert und das Was man wissen muss, dass eben Teams nichts weiter ist als ein großer Browser, der auf verschiedenste Dienste zugreift. Teams ist kein eigenes Programm, sondern Teams bedient sich Exchange, Teams bedient sich OneDrive und ähnliche Sachen oder SharePoint.
Christian Müller
Eigentlich ist es des Teams im SharePoint. Und dementsprechend habe ich die Daten an allen möglichen Ecken und Enden liegen. Das heißt, ich habe jetzt alleine aus unserer kurzen Videokonferenz heraus, wenn wir die Stunde voll haben, haben wir ein Gigabit an Daten generiert. Die größtenteil sind Bilddaten, dann haben wir eben auch Tonspurdaten. Ich habe das alleine an sechs oder sieben unterschiedlichen Stellen liegen und die können auch durchaus im Ausland liegen. Dann habe ich doch den ganzen Salat und dadurch, dass ich das eben alles sauber durchprüfen muss mit Test oder Ähnliches, das erklärt ein Stück weit, warum man doch ein bisschen länger braucht, das durchzuprüfen. Das ist jetzt nicht nein, man will nicht arbeiten oder faulheit begründet, sondern da gibt es was mit der technischen Komplexität zu tun. Wie gesagt, ich kann dir nur auf die DSFA von den Niederlanden verweisen. Wer da mal einen Blick reinwirft, nur in das Inhaltsverzeichnis. Man muss nicht weiterlesen. Der weiß schon, wo die Reise hingeht.
Thorsten Jekel
Ja, das wird sicherlich noch spannend sein. Und wir haben jetzt schon ein paar Mal das Thema Dora auch erwähnt. Was ist im Rahmen von Dora noch zusätzlich zu beachten, wenn es das Thema Microsoft 365 geht?
Christian Müller
Das, was bei Dora neu ist, ist das Thema Dora. Dora besteht eigentlich aus acht Themenbereichen, wo ich sagen muss, okay, es sind eigentlich im Prinzip zwei Themenbereiche, die für Office 365 relevant sind. Das eine hat was mit den technischen Maßnahmen zu tun, weil ich muss mich im Rahmen von Dora auch mit dem Thema Verschlüsselung beschäftigen. Verschlüsselung ist nicht nur E-Mail-Verschlüsselung, sondern vielleicht auch Daten verschlüsseln, dass ich sage, okay, die E-Mails, die liegen im Exchange-Server in Amsterdam, dass die verschlüsselt werden, oder auch Daten, die im Cold Storage, meinetwegen auch im OneDrive sind, dass ich die auch verschlüsseln muss. Ich muss mich damit beschäftigen mit der Thematik. Also Verschlüsselung und Office 365 ist ein hochkomplexes Thema und ich glaube, die jetzt eben aus der Regulatorik heraus dazu ein Stück weit die ja halbzwingend hin motiviert, damit man dieses Thema auch in die Organisation einmassieren kann. Das beschäftigt natürlich Herschagen an technischen Architekten und Security-Personen auf der technischen Ebene. Die zweite Sache ist auf der vertraglichen Ebene. Das heißt, ich schließe ja mit Microsoft oder eben einem Rechenzentrum einen Vertrag ab und ein Cloud-Vertrag ist ungefähr vergleichbar mit einem Mietvertrag. Die meisten verwechselen das und sagen: Cloud ist ja ein Werkdienstvertrag, oder das ist ein Dienstvertrag.
Christian Müller
Nein. In der Literatur, Professor Hören, noch mal einen zu zitieren, oder den Professor Beutigam, die eigentlich in Deutschland die Leuchttürme sind zum Thema IT-Recht und Security, die sagen: Wir sind uns als Jurist noch nicht so ganz eindeutig aber die Tendenz ist dazu, dass ein Office 365-Vertrag ein Mietvertrag ist. Und das Mietrecht kennt auch im BGB ein paar Besonderheiten. Und das sollte ich wissen, dass ich diese Besonderheiten bei der Prüfung des Vertrages … Oder meistens ist es ja bei Banken so, dass da noch zusätzliche Side-Lettern, also man nimmt ja nicht den Standardvertrag von Microsoft, sondern hat das noch erweitert und besondere Sicherheitsaspekte oder ähnliche Sachen, sodass man dann eben diese Anhänge, diese Anhänge dementsprechend darauf kontrollieren muss. Und dann kommt die zweite Sache: Wie überprüfe ich denn das, was im Vertrag drinnen ist, dass ich das auch einhalten kann? Stichwort Audit. Audit ist eine Obliegenheit, die vorkommen kann und mache ich das Audit selbst und zahle ein Schweinegeld dafür. Entschuldigung, wenn ich das sage. Oder ich sage, ich schließe mich einen Pool an dem GDV-Verband. Bei den Versicherungen ist es so, der GDV-Verband ist Vertragsnehmer und sagt: Okay, alle Versicherer, wenn ihr jetzt Geld auf dem Tisch legt und wir sammeln zusammen, dann machen wir das Audit mit Microsoft.
Christian Müller
Und das stellt dann die Ergebnisse des Audits den Teilnehmern zur Verfügung. Das heißt also, Microsoft wird nicht von 30 40 oder 40 Versichern mit Audits beglückt, sondern kriegt ein Audit vom GDV. Das ist dann für den Bankenverband gültig. Ich weiß jetzt nicht, inwieweit die Privatbanken dort sind, wie das bei den Genossenschaftsbanken ist. Das kann ich jetzt nicht sagen, ob die ähnlich organisiert sind, weil das ist ein Thema, was aufbringt. Also insofern auch das Thema Audit und Testing wird mit Dora unter dem Fokus Cybersicherheit ein ganz wichtiges Thema sein. Und abschließend für unsere Banker, viele Banker sind ja mit dem Thema BAIT vertraut. Bait und Dora haben prinzipiell das gleiche Ziel, aber sie haben eine unterschiedliche Blickrichtung und eine unterschiedliche Tiefe, also eine unterschiedliche Breite und eine unterschiedliche Tiefe.
Thorsten Jekel
Was ist dann BAIT.
Christian Müller
Das ist eigentlich quasi auch so eine Arbeitsanweisung wie VAIT. Das ist in elf Kapiteln generiert und schreibt vor, wie eine Bank, wie ein Versicherer, seinen Geschäftsbetrieb zu organisieren hat aus der IT-Sicht, ein Ist der erste Kapitel ist IT-Strategie, zweites Dings ist IT-Aufbau, viertes Kapitel ist Testing, achtes Kapitel ist, glaube ich, das Thema Projektmanagement und Anwendungsentwicklung, also im Prinzip die Legaldefinition, wie ein sauberer, regulärer IT-Betrieb abzulaufen hat.
Thorsten Jekel
Wunderbar. Ich sage ja, ich bin ja froh, dass ich Menschen wie dich kenne, die ich dann überfragen kann bei solchen Themen. Jetzt gehe ich mal in eine andere genossenschaftliche Welt, und zwar die der DATEV-Steuerberatungen, die nämlich auch gerade dieses Thema Microsoft 365 einführen. Auch hier gibt es unterschiedliche, natürlich immer die Aussage, zu sagen: Das ist alles Teufelszeug. Hier steht noch mal ein Stichwort drin: Risiken wegen Rechtssicherheit. Schrems II steht hier noch mal als Stichwort drin: Kritik der Aufsichtsbehörden, Berufsrecht 203 StGB Cloud Act. Ich gehe mal davon aus, dass diese Stichworte dir alle was sagen, im Gegensatz zu mir, und Da würde ich mal deine Einschätzung dazu interessieren.
Christian Müller
Also das Thema Schrems II, das haben wir vorhin schon diskutiert gehabt. Du kannst dich erinnern, wo ich gesagt habe, die USA ist böse, FISA 701 und daher kam das Thema Schrems II raus und Schrems II hat ja dann dazu gefehlt: USA ist böse, das darfst du gar nicht mehr machen, weil Visa 701 könnte sein. Und da hat also der Verbraucherschützer der Herr Schrems, ein Rechtsanwalt aus Österreich, das gerichtlich bewirkt. Und das hat ihr dann dazu geführt, dass erst mal der Cloud Act kam. Nein, war auch nicht so richtig. Privacy Act war auch nicht so richtig. Jetzt haben sie den Wurf, dass die USA gut sind und technisch legen sie nach mit dem Thema Daten, also Data Fencing innerhalb von Europa. Das Thema hatten wir auch vorhin. Das ist das Thema zu Thema Schrems II.
So, dann 203 Strafgesetzbuch ist eine Sache, das ist eigentlich Technikagnostik. Das ist vollkommen okay mit Office 365. Ich nutze es auch, wenn auch 203er Strafgesetzbuch, also in insofern unterlegen, auch besonders hohe Standards, was das angeht. Wenn ich meine eigenen technisch-organisatorischen Maßnahmen im Griff habe, also wenn ich sage: Guck mal, mein Passwort findest du auf meiner Facebook-Seite, oder Fri-Factor Authentifizierung ist, was für Feiglinge, also wenn ich da einigermaßen meine eigene Landschaft im Griff habe, dann hat das mit Office 365 relativ wenig zu tun.
Christian Müller
Ich kann Office 365 aus der Packung nehmen und nichts parametrieren und nichts tun. Dann habe ich ein höheres Risiko, wenn ich sage, ich rechne eine Zwei-Faktor-Authentifizierung ein. Ich kaufe mir den Defender eins, den Defender zwei, Pishing-Mails oder Viren abzufangen. Das ist allerdings die Verantwortung, die hat der Berufsgeheimnisträger dann auch selber zu machen Und das gibt der 203er her. Dann hattest du noch einen dritten Punkt genannt, das war der 203er, der Schrems und was war der zweite Punkt?
Thorsten Jekel
Cloud Act war noch das letzte Stichwort, was noch dazu kam.
Christian Müller
Das passt eigentlich zu dem, was ich eingangs gesagt habe, der mit dem Schrems zwei. Insofern, Ja, also ich sage mal, eher haben die Banken und Versicherungen ein höheres Risikooffice 365 aus der Regulatorik.
Thorsten Jekel
Die sind doch stärker reguliert als die Steuerberatung.
Christian Müller
Exakt, so ist es.
Thorsten Jekel
Genau. Nur wo ich gerade natürlich die Chance habe, dich mit am Start zu haben, habe ich gleich mal meine Powerpoint-Präsentation aus dem Hause DATEV noch mal aufgemacht, weil ich da ja auch in vielen Steuerberatungen mittlerweile eben unterstütze zum Thema Microsoft 365-Einführung, da ergänzend zur DATEV. Die ist ja das Rechenzentrum der oder vieler Steuerkanzleien. Das heißt, wenn ich jetzt noch mal zusammenführe, wenn ich es richtig verstehe, ist es so unter der Voraussetzung, dass ich wirklich, ich sage mal, das Thema Datenschutz, das Thema Regulatorik wirklich sauber, strukturiert angehe, dass ich sauber die Prozesse, ich sage mal, zum einen aufsetze, dass ich sie zum zweiten sauber auch dokumentiere, sodass sie im Rahmen von Prüfungen dem auch standhalten, unter der Voraussetzung, dass ich meine vertraglichen Vereinbarungen mit meinen Unterdienstleistern, vor allem in der Rechenzentrale, sauber habe, unter der Voraussetzung, dass ich auch das Thema Versicherungsschutz sauber habe, dass die Summen dort auch, ich sage mal, Äquivalent sind mit den Risiken, die ich dort habe, ist aus deiner Sicht ein Microsoft 365-Einsatz, sowohl in einer Vox-Reif-Eisenbank, als auch in einer Steuerberatung, mit einem vertretbaren Risiko eben machbar, wenn ich das richtig verstehe.
Christian Müller
Da bin ich Wo darf ich unterschreiben? Rechts oder links? Ich setze sogar noch mal einen drauf, weil die Frage ist: Was ist die Alternative? Die Alternative ist, ich betreibe selber ein Rechenzentrum oder ich habe eine Serverlandschaft immer aus. Das, was unter dem Begriff On-Prem. Und ich möchte jetzt das Rechenzentrum sehen, das das gleiche Sicherheitsstandard hat wie ein Microsoft-Rechenzentrum. Da stelle ich hier eine Kiste gutem Getränks deiner Wahl hin, an der Stelle wird es nicht gelingen. Nur mal ein kleines Beispiel. Also Socksenters, das sind solche Dienste, die wirklich Angriffe abwehren. Microsoft wehrt derzeit täglich 500.000 Angriffe ab. Du kannst dir vorstellen, was für eine Organisation und eine Technik dahinter ist, damit da dort nichts passiert. Hast du das gleiche Techniklevel bei dir in deiner Serverlandschaft? Hast du das Das Qualifikationsniveau des Administrators, der das alles überblicken kann? Ich mache da mal ein Fragezeichen hinter.
Thorsten Jekel
Also ich bin da ja mal froh, dass du das auch so sagst, weil ich habe ja öfter mal, wenn es heißt immer Cloud heißt Cloud, weil sie Daten klauen, dann sage ich immer: Ja, was ist die Alternative? Und ich weiß nicht, wie das Thema Zugangs-und Zutrittskontrolle, ich sage mal, bei deinem Server im Keller geregelt ist. Also wenn ich so die eine oder andere Präsentation nachher in Erinnerung habe zu dem Thema, fand ich mal eine sehr gute Start-Präsentation mal von Götz Schadner, den du ja auch kennst, zu sagen: Vertrauen Sie Ihrer Putzfrau? Fand ich auch einen guten Einstieg in diese Diskussion, mal zu sagen: Okay, wer hat denn physischen Zugang auch zu solchen Serversystemen? Und wie sicher bin ich von der Integrität dieser Personen überzeugt und der Nicht-Komprimitierbarkeit dieser Personen? Also vor dem Hintergrund jeder Mensch, der eine Familie hat, ist komprimitierbar. Deswegen Ist das immer so ein Thema, wo ich sage, genau das Thema: Was ist die Alternative, was man immer mit betrachten muss? Deswegen vielen Dank auch noch mal, dass das nicht nur mit meinem soliden Halbwissen eine vernünftige Betrachtung ist, sondern auch mit deiner Expertise. Und wenn ich jetzt noch mal gucke, vielleicht, noch mal zum Abschluss zu kommen, bei diesem ganzen Themenbereich gibt es ja wirklich einen Haufen an Regelungsbedarf, auch auf der anderen Seite an Dingen, wo man, glaube ich, das Rad nicht noch mal neu erfinden muss, sondern wo du aus deiner Erfahrung heraus auch Best Practices und Formulierungen hast, die funktionieren.
Thorsten Jekel
Wie kannst du denn eine Volks-und Reifeisenbank beispielsweise unterstützen zu diesen Themen?
Christian Müller
Ich berichte mal das, was ich aus der Historie gemacht habe und überlasse es der Fantasie desjenigen, der dazuhört. Vielleicht mal ein bisschen zu den Rollen heraus. Ich bin seit knapp 30 Jahren als klassischer Unternehmensberater unterwegs, Handwerkszeug in den Häusern, Accenture, Pricewaterhouse, was Capgemini gelernt, dort auch als Partner tätig gewesen, verantwortlich für die Automotive Practice europaweit. Dann in den Häusern Oracle und Xerox gearbeitet, also auch bei dem Technologieprovider an der Stelle, das Das heißt, dass dort die strategische Lösung auch gerne verkauft in Rechenzentren. Also insofern kann man einen interessanten Einblick bekommen, wie sieht es auf der anderen Seite aus. Und ansonsten eben auch als externer Datenschutzbeauftragter, Datenschutzauditor, auch zugelassener den Grafen Sonderprüfer sehr stark in der Regulatorik verhaftet und habe auch in meiner beruflichen Laufbahn sehr, sehr viele Großprojekte implementiert, Office 365 implementiert und und und SAP auch vom Grunde implementiert, sodass ich sowohl aus der Rolle als Liniemanager heraus, bei dem Kunden, als auch als Consultant, als auch von der Datenschutzrolle her, als auch von der Regulatorik, als auch von der Technikrolle her und ich weiß auch, wie man das Zeug implementiert und betreibt. Da habe ich schon eine recht runde Sichtweise und ich bin immer ein Freund davon, wir brauchen tragfähige Lösungen.
Christian Müller
Also akademisch, brillant, gibt es auch. Hilft nicht immer, dann in Handlungskompetenz reinzugehen.
Thorsten Jekel
Gut diplomatisch formuliert.
Christian Müller
Können wir auch machen, die Disziplin, aber ich glaube nicht, dass man damit glücklich wird. Und ich muss auch sagen, ich bin jetzt in einem Alter, wo ich sage: Nein, diese Disziplin möchte ich nicht mehr bedienen, weil man sieht sich immer zwei bis fünf Mal im Leben.
Thorsten Jekel
Ja, das ist nachvollziehbar. Hatte ich heute erst im anderen Call, wo ich gesagt habe, so nachdem wir alle schon ein bisschen länger jung sind und die fünf schon ein paar Jächen vor dem Kommen haben, also ist das auch so, dass man sagt, so zweimal im Leben ist schon längst vorbei. Also die meisten haben wir schon öfter im Leben gesehen. Ja, korrekt. Und dich kann man also auch in persona oder in digital dann buchen, solche Prozesse aufzusetzen, dort zu beraten. Ich werde auch zu dem Interview deine Links noch mal mit dazu packen, deine Kontaktdaten, dass die noch mal mit dabei sind. Also für die Teilnehmenden, die dabei sind. Ich glaube, ich habe nicht zu viel versprochen, ganz im Gegenteil. Also ich habe dort den einen oder anderen Punkt wirklich noch mal neu und tiefer entdeckt und einige neue Aspekte mitgenommen. Das ist ja die Idee. Auch dieses Format ist in diesem Sinne, sage ich, vielen herzlichen Dank, lieber Christian. Wie immer ein Genuss mit dir, sowohl menschlich als auch fachlich und beides ist ja wichtig. Vielen herzlichen Dank und dir weiterhin viel Erfolg.
Christian Müller
Danke, lieber Thorsten. Danke für die Einladung, für das Vertrauen und ansonsten auch viele Grüße an Rest of the World, die jetzt nicht in diesem Call waren. Ja, würde mich freuen, von Ihnen zu hören oder zu lesen. Danke, wiederhören.
Thorsten Jekel
Viel Erfolg.
Fazit
Ich hoffe, Sie fanden das Interview genauso spannend wie ich. Ich habe eine ganze Menge davon gelernt. Sollten Sie in Ihrem Hause, in Ihrer Bank, in Ihrer Steuerberatung, in Ihrem Unternehmen Unterstützung bei der produktiven Einführung 365 benötigen, dann freue ich mich sehr, wenn Sie mich ansprechen. Ich stehe dort gerne beratend und auch als Trainer zur Verfügung.
Ihr Thorsten Jekel.