Vertec und die DSGVO

Die Datenschutzgrundverordnung, DSGVO oder auf Englisch GDPR, trat schon im 2016 in Kraft. Anwenden muss man sie aber definitiv ab Ende Mai 2018. Was bedeuten diese neuen Datenschutzrichtlinien für Vertec und die Vertec-Anwender, sei es nun im EU-Raum oder in der Schweiz?

Zuerst muss festgehalten werden, dass die DSGVO eine ziemlich natürliche Weiterentwicklung der schon bestehenden Datenschutzgesetze ist, welche vor allem durch die hohen Bussendrohungen überrascht, weniger durch den Inhalt. Mit dem hat sich der Gesetzgeber die Aufmerksamkeit der Unternehmen gesichert, daher wohl auch die aktuellen etwas gar hektischen Diskussionen über die konkreten und korrekten Anwendungen.

Unter alle Datenschutzgesetze fallen immer nur Personendaten, so auch in der DSGVO. Personendaten sind Daten über natürliche (und nur natürliche!) Personen (wörtlich die Norm auf Deutsch, Artikel 1 Absatz 1: "Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten."). Datenschutz darf darum nicht verwechselt werden mit IT- oder Informationssicherheit (ISMS, ISO 27001). Wer aber sich mit solchen Themen auskennt, dem fällt es sicher leichter, sich mit Datenschutz auseinanderzusetzen (siehe auch unseren Blogeintrag zu diesem Thema).

Verbietet nun die DSGVO das Erheben und Speichern solcher Personendaten?

Überhaupt nicht, im Gegenteil: sie formuliert, welche Regeln man befolgen muss, wenn man Personendaten bearbeiten will oder muss. In vielen Fällen fordern ja andere Normen, dass man Personendaten haben muss (z.B. die Aufbewahrungspflicht von Bestellungen und Rechnungen für die Buchhaltung, auch von natürlichen Personen, welche ja häufig Adresse, Telefonnummer oder Geburtsdatum umfassen, oder auch Daten über Mitarbeitende, die man unter Anderem haben muss, damit man Sozialleistungen oder Gehälter korrekt abrechnen kann). Die DSGVO oder allgemein Datenschutzgesetze stehen also überhaupt nicht über anderen Normen; aber sie definieren Regeln, wie solche Daten bearbeitet werden dürfen.

Sehr streng reguliert ist die "Verarbeitung besonderer Kategorien personenbezogener Daten" (Artikel 9, im aktuellen Schweizerischen Datenschutzgesetz "besonders schützenswerten Personendaten"). Es geht dabei um "die Verarbeitung personenbezogener Daten, aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder [...]". Darunter fallen auch Gesundheitsdaten, Daten zum Sexualleben etc. Man sieht, dass es um sehr persönliche Daten geht, die weit über Adresse, Telefonnummer und Anzahl der Kinder hinausgeht. Das Sammeln solcher Daten ist grundsätzlich untersagt, natürlich mit Ausnahmen. Ein Arzt etwa muss solche Daten sammeln, nur schon um seine Diagnose machen zu können. Wir von der Vertec Gruppe benötigen solche Daten nicht und auch die allermeisten Kunden nicht, was dann auch heisst, dass keine solchen Datensammlungen in der Vertec-Software angelegt werden.

Es geht also bei uns und den Vertec-Kunden höchstens um die Bearbeitung von "normalen" Personendaten, hier stellt sich nun die Frage, was für Regeln gelten?

Wann darf ich solche Daten erheben und bearbeiten?

Die Norm ist hier in Artikel 6 sehr klar: die Verarbeitung muss "rechtmässig" sein, das ist sie z.B. gemäss Ziffer a), wenn die betroffene Person ihre Einwilligung gegeben hat und gemäss Ziffer b), wenn "die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung von vorvertraglicher Massnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.".

Besteht also eine Vertragsbeziehung oder hat eine natürliche Person eine Anfrage gestartet an ein Unternehmen, z.B. über ein Kontaktformular über die Homepage, so ist keine weitere explizite Einwilligung nötig. Wenn zu einem Auftrag dazugehört, dass man die Telefonnummern der beteiligten Personen hat (z.B. für Supportfälle), so ist auch das unproblematisch. Allerdings sollte klar sein, dass man in einem CRM wie Vertec nur diejenigen Daten über eine Person speichern sollte, die für die Erfüllung eines Auftrags oder zur Angebotserstellung nötig sind, also keine persönlichen Meinungen, Zugehörigkeit zu Parteien etc. (auch wenn das eigene Vertriebspersonal solche Informationen natürlich liebt).

Die Norm fordert nun, dass man solche Datensammlungen kennt, dokumentiert und sicherstellt, dass die Verarbeitung rechtmässig ist. Hält man sich an gewisse Grundregeln, so ist dies problemlos möglich, insbesondere, weil wir selber und auch die allermeisten der Vertec-Kunden im B2B-Bereich tätig sind und darum naturgemäss wenig Personendaten anfallen. Die DSGVO ist dabei absolut technologie- und implementationsneutral, eine Software kann nicht per se DSGVO kompatibel sein, es kommt darauf an, wie man sie einsetzt – auch auf Papier, in einem Mailprogramm oder etwa in Word kann man Personendaten speichern... Die DSGVO fordert auch nirgends eine lückenlose Aufzeichnung von Personendaten oder deren Veränderung. Für Vertec-Kunden helfen hier sicher die ausgefeilten Rollen- und Berechtigungskonzepte in der Vertec-Software. Hier hilft Ihnen ihr Vertec Betreuer gerne weiter!

Was bedeutet die DSGVO für Vertec als Firma?

Für die Vertec Gruppe bedeutet die DSGVO, dass wir unsere schon bestehenden Prozesse rund um unser Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 noch etwas ausbauen, und unsere Rollen als Auftragsdatenverarbeiter für Cloud Abo Kunden noch präziseren – hier "bearbeiten" wir nicht eigentlich Daten, aber wir stellen den Betrieb der Vertec-Software in der Cloud sicher und sind verantwortlich für das tägliche Backup der Daten. Hier sind wir natürlich verpflichtet, nicht erst seit der DSGVO, ihre Daten angemessen zu schützen, nicht nur bezüglich des eigentlichen Datenschutzes (also Personendaten), sondern auch in Bezug auf ihre Geschäftsgeheimnisse. Im Fall, dass sie die Vertec-Software selber betreiben, sind wir in der Regel keine Auftragsdatenverarbeiter im Sinne der DSGVO.

Gilt die DSGVO auch in der Schweiz?

Noch eine Bemerkung für Kunden in der Schweiz: wer meint, die DSGVO betreffe nur Firmen in der EU, liegt aus 2 Gründen wohl falsch: 1. wird der Anwendungsbereich der Norm sehr weit aufgefasst werden – jede Firma mit irgendeinem Bezug zur EU wird darunter fallen, auch wenn sie nicht direkt in der EU tätig ist und 2. werden die Schweizerischen Datenschutzgesetze in Kürze wohl ebenfalls auf einen ähnlichen Stand gebracht – man tut sich darum in jedem Fall einen Gefallen, sich jetzt mit der DSGVO auseinanderzusetzen!

Fazit

Wer sich noch nie mit Datenschutz auseinandergesetzt hat, wird vermutlich in einem ersten Schritt Mühe haben, die DSGVO in der Gesamtheit zu erfassen – dies ist jedoch auch gar nicht nötig; nötig ist, dass man sich bewusst ist, welche Sammlungen an Personendaten man überhaupt hat und benötigt und ob man diese Daten rechtmässig bearbeiten darf (z.B. weil ein Vertrag vorliegt). Die Pflicht zum Datenschutz sollte darum benutzt werden, die eigenen Prozesse kritisch zu durchleuchten und unnötige Datensammlungen zu eliminieren – nutzt man diese Chance, dann wird die Auseinandersetzung mit der DSGVO von der Pflichtübung zu einer auch betriebswirtschaftlich sinnvollen Tätigkeit!

Disclaimer: wir sind keine Juristen und dieser Blogartikel stellt keine gerichtlich geprüfte Praxis im Umgang mit der DSGVO dar. Dieser Artikel fasst nur unsere Interpretation und Anwendung der DSGVO zusammen. Im Zweifelsfall dürfte es sich für jedes Unternehmen lohnen, Expertenrat einzuholen und die DSGVO im Originaltext zu lesen.