Hapimag und die Datenkraken

Hapimag IT und die Datenkrake #1

Google übernimmt die Hapimag Bürokommunikation

Der Tagesanzeiger berichtete am 8. April über die Hapimag im Rahmen einer Recherche zur Rolle von Google und seiner Produktpalette in der Schweiz.

Titel „Google platziert eigene Kader bei Schweizer Firmen“

„Der US-Technologieriese drängt in Verwaltungsräte – und kommt so an Aufträge“ zeigt die bekannten Schweizer Tageszeitung an vier Beispielen auf, wie kurz nach dem Einzug von Google Managern in die Verwaltungsräte neue IT Konzepte greifen. Mit Konsequenzen wie etwa einer Speicherung der Firmendaten in der Google Cloud. Im Falle der Hapimag wird eine Umstellung von Microsoftprodukten zu Google Suite beschrieben. Aus dem Tagesanzeiger: „Dort sitzt seit zwei Jahren mit Philipp Ries ein Manager von Google im Verwaltungsrat. Im vergangenen Jahr begann der Feriendienstleister, der zuvor während Jahren mit der Bürosoftware Office von Microsoft gearbeitet hatte, mit der Umstellung auf das Konkurrenzprodukt Google Suite.“

Ob es tatsächlich ein Gewinn für die Hapimag Aktionäre ist, wenn einer der großen internationalen Datensammler Einzug in das Hapimag System hält, bleibt dabei offen. Nach zahlreichen Datenskandalen der letzten Monate bei den US amerikanischen Internetkonzernen ist es kein gutes Gefühl, die eigenen persönlichen Daten in deren Hand vermuten zu müssen, und sich damit ausgeliefert zu sehen dem „Überwachungskapitalismus“ wie ihn die Professorin Shoshana Zuboff (Harvard) beschreibt.

Link zu dem Artikel    (Seite vom Tagesanzeiger)

Hapimag IT und die Datenkrake #2

Disqus blockiert den Diskurs

Der neue Blog des Hapimag CEO war ein sehr willkommenes Werkzeug, geplant als Verbesserung der Kommunikation zwischen operativem Geschäft und Eigentümern. Leider hat nach einem kurzen Frühling der Öffnung, die neue IT Strategie nun schon wieder viel Sand ins Getriebe gestreut.

Konnte man zunächst nach Identifizierung als Hapimag Aktionär bzw. Mitglied die Beiträge des CEO im Blog kommentieren, so ist hier nun mit dem Einsatz der Kommunikationsplattform Disqus eine neue Sperre errichtet worden. Dabei handelt es sich um einen US amerikanischen Anbieter, der einerseits die Beiträge zum Hapimag Blog auf beliebigen anderen Plattformen veröffentlicht, wie etwa Facebook. Eine Beteiligung an einer Hapimag relevanten Diskussion erfordert nun andererseits zunächst, dass die „Terms of Service“ und die (auf amerikanische Verhältnisse zugeschnittenen) Datenschutzbestimmungen von Disqus akzeptiert werden. Diese liegen ausschließlich auf Englisch vor, was das Verständnis für die deutschsprachigen Nutzer erschwert. Die Bedingungen enthalten unter anderem den Hinweis, dass Nutzerdaten an diverse Partner wie Google oder Facebook weiter gegeben werden. Welche Daten genau dies umfasst und wer genau wofür darauf Zugriff erhält ist jedoch nicht so offensichtlich und enie Einhaltung der EU Datenschutzvorgaben findet keinerlei Erwähnung.

Und nein, in der derzeitigen Variante gibt es keine Möglichkeit, die Services und Bedingungen von Disqus abzulehnen und trotzdem den CEO Blog zu kommentieren. Schade dass eine so gute Idee so schnell blockiert wird, als hätte es die europaweiten Diskussionen um persönliche Daten und ihren Schutz nicht gegeben.

In den Datenschutzbstimmungen bei Hapimag steht dazu:
Disqus beachtet die Datenschutzbestimmungen des „US-Privacy Shield“-Abkommens und ist beim „Privacy Shield“-Programm des US-Handelsministeriums registriert. Für weitere Informationen zur Erhebung, Verarbeitung und Nutzung der Daten durch Disqus verweisen wir auf die Nutzungsbedingungen und Datenschutzrichlinien von Disqus, abrufbar unter https://help.disqus.com/terms-and-policies/terms-of-service und https://help.disqus.com/terms-and-policies/disqus-privacy-policy.
Nur für die, die Englisch verstehen!



Nun mag es durchaus notwendig uns sinnvoll gewesen sein, das alte, nicht besonders kundenfreundliche IT- System umzustellen, allerdings muss dabei die strikte Einhaltung der Europäischen Datenschutzbestimmungen in allen Bereichen gewährleistet sein.  Wir trauen Herrn VR Ries auch zu, eine saubere und sichere Lösung umzusetzen, aber muss diese im Einzelfall gegenüber den Aktionären auch klar und verständlich kommuniziert werden. Das im Kadbi-Blog plötzliche unkommentierte Auftauchen  einer (zunächst nur Eglischen) Zustimmungserklärung zu Disqus führt logischerweise zu Mißtrauen.

Die von vielen Aktionären in diesem Zusammenhang geäußerten Bedenken wegen Datensicherheit (englische Texte, US Regeln) haben uns veranlasst, einen offenen Brief an Herrn Präsident Fontana mit folgenden Fragen zu senden:

Brief Fontana wegen Datenschutz

Antwort- E-Mail von Hapimag

Wir haben auf Grund der in diesem Zusammenhang geäußerten Bedenken wegen Datensicherheit (englische Texte, US Regeln) einen offenen Brief an Herrn Präsident Fontana geschickt.

Hier seine E-Mail Antwort mit der Erlaubnis der Veröffentlichung auf unserer Homepage.

  1. Liegen die Daten auf einen Server innerhalb der Europäischen Gemeinschaft (mit den entsprechenden Datenschutzbestimmungen der Europäischen Gemeinschaft)?
    Ja, die Daten liegen in der Daten Region Europa von Google und werden nicht ausserhalb der Europäischen Union gespeichert. Der TüV überprüft unsere Datensicherheit und ist unser Datenschutzbeauftragter in Deutschland.
  2. Wie ist sichergestellt, dass das Urlaubsverhalten der Aktionäre verbunden mit Konsumdaten nicht an andere Unternehmen weitergegeben und somit auch nicht für andere Zwecke ausgewertet werden kann?
    Wir nutzen Google als Kollaborations-Tool und nicht zur Speicherung von Reservations- bzw. Konsumdaten. Diese Daten sind in unserem Reservationssystem und unserem ERP System gespeichert. Diese Daten befinden sich auf unseren eigenen Servern in den Rechenzentren in der Schweiz. Des Weiteren setzen wir die „Google Suite for Business“ ein. Die Daten, die auf dieser Plattform gespeichert werden, gehören alleine Hapimag. Google hat darauf keinen Zugriff und kann diese auch nicht auswerten.
  3. Gibt es Vorkehrungen, die die Datensicherheit gewährleisten?
    Google erfüllt sämtliche Informationssicherheitsstandards wie ISO27001, ISO27002, SOC3 etc., die Daten werden auf den Servern verschlüsselt gespeichert und werden über gesicherte Verbindungen abgerufen.
  4. Gab es vor der Umstellung eine Kosten-Nutzenanalyse für die Umstellung?
    Ja, diese hat gezeigt, dass die Gesamtbetriebskosten sich mit der gewählten Lösung von Google deutlich reduzieren. Zudem konnten wir neue Funktionen implementieren, um die Kollaborationsmöglichkeiten zu erweitern.
  5. Gab es eine Ausschreibung und Vergleichsangebote?
    Die Hapimag Geschäftsleitung hat die Offerten von den beiden Marktführern Google und Microsoft eingeholt. Die Kosten für Google Suite for Business liegen bei EUR 8 pro Nutzer pro Monat und die von Mircrosoft 365 bei EUR 19.26 pro Nutzer pro Monat.Während der Übergangsphase hat Google uns die Lizenzkosten zudem erlassen.
  6. Welche jährlichen Kosten im Vergleich zu der vorherigen Lösung entstehen nun?
    Die Gesamtbetriebskosten von Google liegen mit EUR 86’500 pro Jahr deutlich unter der bisher eingesetzten Lösung von Microsoft (EUR 129’000 pro Jahr). 
  7. Gibt es eine Vertragslaufzeit?
    Ja, die Vertragslaufzeit beträgt 2 Jahre. Danach können einzelne Nutzer monatlich gekündigt werden.
  8. Sind die Kosten während dieser Vertragslaufzeit gedeckelt?
    Die Kosten werden pro Nutzer (Mitarbeiter) und Monat berechnet. Die Kosten pro Lizenz sind über die zwei Jahre der Vertragslaufzeit gedeckelt.

Gerne hoffen wir, Ihre Fragen ausreichend beantwortet zu haben.

Im HFA haben wir keinen Datenschutz-Spezialisten, wir nehmen diese Anwort daher auch so zur Kennnis.



Zu den Fragen wegen Disqus erhielten wir folgende Antwort:

Bezüglich Ihrer Anmerkung zu den seitenlangen englischen Bedingungen habe ich von der IT folgende Stellungnahme erhalten:

Für die Kommentarfunktion im CEO Blog nutzen wir temporär einen Online-Dienst namens Disqus. So war es uns möglich, die Entwicklungsarbeiten für die Webseite zu beschleunigen und den Aktionären und Mitgliedern gleichzeitig eine verbesserte Funktionalität zu bieten. Leider werden die Bedingungen nur auf Englisch angeboten. Wir arbeiten momentan an einer neuen Lösung und werden das Problem beheben.

Auch hier geben wir die Stellungnahme unkommentiert weiter. Vielleicht gibt es unter unseren Mitgliedern Spezialisten, die den Inhalt dieser englischen Bedingungen besser verstehen.