Datenklassifizierung: Eigene Daten vs. Kundendaten
Wir unterscheiden zwischen Daten, die wir erheben und speichern, und Daten, welche Kunden auf den von uns für den Kunden betriebenen Systemen ablegen.
Wir unterscheiden zwischen Daten, die wir selbst im Rahmen unserer täglichen Arbeit erheben und speichern (eigene Daten), und den Daten, die im Rahmen einer Dienstleistungserbringung (Betrieb von Atlassian-Anwendungen) auf dedizierten Kunden-Systemen gehalten werden, mit denen wir aber ansonsten nicht arbeiten (Kundendaten). Alle eigenen Informationen, die über Kunden bei uns in CRM-, ERP-, Buchungs- und Abrechnungssystemen oder in E-Mails, Chats, Wikis oder Aufgabensoftware gespeichert werden, sind zwar im weiteren Sinne auch Daten, die Kundeninformationen enthalten. Trotzdem werden sie mit rein internen Daten gemeinsam verarbeitet und deshalb unter „eigene Daten“ eingeordnet.
Da wir Kundendaten mit einem höheren Schutzbedarf einstufen, ist auch das Sicherheitsniveau höher, wenn Kunden Informationen mit uns in den dedizierten Kunden-Systemen teilen als wenn sie in unseren Systemen (z. B. E-Mails, Extranet, Jira-Aufgabenverwaltung) verarbeitet werden. Wir machen dabei den Unterschied für Kunden so deutlich und transparent wie möglich und respektieren, wenn Kunden uns bitten, auf den Kunden-Systemen zu arbeiten, auch wenn das für uns Einschränkungen mit sich bringt. Je nach Situation, Team und Zusammensetzung kann es sein, dass bestimmte Informationen für einen reibungslosen Ablauf auf unseren Systemen gespeichert werden müssen. Diese Situationen kündigen wir vorab an und erklären die Hintergründe.
Usability vs. Sicherheit
Eine zentrale Leitlinie unseres Handelns ist der bewusste Ausgleich zwischen praktisch und einfach (Usability) und hoher Sicherheit. Wir versuchen, Technologie zu nutzen, um Sicherheit und Usability gleichzeitig zu steigern.
Wir verstehen, dass Usability (Einfachheit für Anwender*innen) und IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten) oft in einem Gegensatz zueinander stehen. Gerade bei der Arbeit in Kundenumgebungen stellen wir häufig fest, dass hohe Sicherheitsanforderungen dazu führen, dass wir mehr damit beschäftigt sind, den Zugriff auf Informationen zu bekommen, als daran, an der Wertschöpfung für den Kunden zu arbeiten. Deshalb streben wir an, stets auch die Usability zu betrachten und im Zweifel abzuwägen, was im Anwendungsfall (Um welche Daten handelt es sich? Wie ist deren Sicherheitseinstufung?) adäquate Lösungen sind. Eine sinnvolle Lösung finden wir im Team im Gespräch und Diskurs und mittels einer für alle Mitarbeitenden transparenten Dokumentation in unseren zentralen Systemen. Bei dem Umgang mit eigenen Daten tendieren wir dabei Richtung Usability. Diese Tendenz gründen wir auf unseren Unternehmenswerten und das Vertrauen in unsere Mitarbeiter*innen
Kundendaten genießen einen außerordentlichen Schutz
Die IT-Sicherheit der Daten unserer Kunden hat für uns höchste Priorität.
Die Sicherheit von Kundendaten ist die Grundlage unserer Integrität und des Vertrauens in der dauerhaften Zusammenarbeit. Wir schließen sämtliche Formen der Nutzung oder Verwertung, die nicht ausdrücklich mit unseren Kunden vereinbart wurde, aus und sorgen in anderen Fällen für eindeutige und dokumentierte Entscheidungen.
Im Zweifel werden Daten unserer Kunden immer sicherer und nicht einfacher gehalten. Dort geht Sicherheit vor Usability.
Digital vor analog
Dokumente sollten primär nicht ausgedruckt, sondern digitalisiert werden und bleiben.
Wir sind davon überzeugt, dass wir alle Daten digital speichern möchten, da wir nur dann sinnvoll in der Lage sind, die IT-Sicherheit dieser Informationen zu gewährleisten. Wenn wir die Möglichkeit haben, versuchen wir vornehmlich digitale Daten und Informationen im Unternehmen vorzuhalten. Wenn wir Papier nutzen, dann um unsere Arbeitsabläufe zu beschleunigen. Papier dient dann als vorübergehendes Werkzeug, um die Sichtbarkeit, Präsenz oder Interaktion zu erhöhen. Wir arbeiten aktiv daran, auf Papier erfasste Informationen zu digitalisieren, und heben Papier nach Möglichkeit nicht auf, es sei denn gesetzliche Anforderungen erfordern das. Papier wird entsprechend der Schutzklasse der Informationen auf diesem fachgerecht entsorgt.