Datenschutz bei Vertec
Datenschutz ist in den Ländern, in denen Vertec tätig ist, ein wichtiges Thema. Die entsprechenden Regeln sind in der DSGVO in der EU und im DSG in der Schweiz definiert. Auch sind wir als Software-Hersteller und Cloud Betreiber natürlich sehr unmittelbar betroffen, weil wir zum Teil Daten verarbeiten, welche im Eigentum der Kunden sind. Das Thema ist darum auch für uns sehr wichtig.
Unsere konkrete Haltung
Wir möchten auf dieser Seite Interessenten, Kunden und Partner von Vertec darlegen, was unsere konkrete Haltung bei der Vertec in Bezug auf Datenschutz ist. Einer der ersten Grundsätze, die wir befolgen, ist, dass wir Datenschutz nicht nur «formal» handhaben, wie wir es bei vielen anderen sehen, sondern eben auch ganz «konkret». Natürlich schreiben die Normen gewisse Formalismen vor, nach denen wir uns richten müssen. Aber oft wird durch solche das Datenschutzniveau gar nicht erhöht (sondern allenfalls nur das eigene juristische Risiko reduziert). Das ist nicht unser Ansatz.
«Datenschutz konkret» heisst für uns, dass wir zuallererst das Thema «Informationssicherheit» sehr ernst nehmen - so ernst, dass wir seit 2013 unser Informationssicherheits-Managementsystem (ISMS) erfolgreich nach ISO 27001 zertifizieren lassen. Wir garantieren unseren Kunden (via «Regelung zur Auftragsdatenverarbeitung»), dass wir dieses Zertifikat aufrechterhalten werden.
«Informationssicherheit» geht dabei über «Datenschutz» heraus. «Datenschutz» betrifft ja nur Daten von und über natürliche Personen (sogenannte «Personendaten»), also Menschen. Wir selber und unsere Kunden besitzen aber noch viel mehr sehr schützenswerte Daten, welche nicht unter den «Datenschutz» fallen, z. B. Kundenlisten oder Umsätze mit den grössten Kunden. Bei der «Informationssicherheit» geht es um alle schützenswerten Daten, nicht nur diejenigen, die durch den «Datenschutz» geschützt sind.
ISO 27001 Zertifizierung und Assets
Die Zertifizierung nach ISO 27001 bringt es mit sich, dass wir Risiken für alle bedeutenden Informations-«Assets» bewerten, nach den drei Dimensionen «Vertraulichkeit», «Verfügbarkeit» und «Integrität». Ob unser Cloud Abo läuft und unsere Kunden dies nutzen können, fällt nicht unter Datenschutz, aber natürlich in die Informationssicherheit im Bereich «Verfügbarkeit». Mit klar zugewiesenen Asset-Verantwortlichkeiten wird sichergestellt, dass jedes Asset betreut wird. Die Verantwortlichen sind auch für das Management der Risiken und, falls das Risikoniveau als nicht akzeptabel beurteilt wird, die Umsetzung von Massnahmen zur Reduktion der Risiken zuständig. Man kann dies mit «TOMs» gemäss DSGVO vergleichen. Es geht aber darüber hinaus, weil es (eben) nicht nur den Datenschutz betrifft, und man gemäss der ISO Norm auch verpflichtet ist, die Informationssicherheit laufend zu erhöhen.
Einige Beispiele, was wir im Rahmen der ISO 27001 Zertifizierung machen:
- regelmässiges Pentesting der Vertec Applikation, aber auch der Cloud Services, auf jeden Fall für jeden neuen Service oder App und jede neue Schnittstelle vor dem Release
- «Business Continuity» Massnahmen implementieren und testen
- Trennung der Netze, so sind z. B. sämtliche kundenrelevanten Netzwerke (Cloud Abo, Webaccess, etc.) vollständig abgetrennt von internen Netzwerken
- Schutz der eigenen Infrastruktur, weil auch hier der Mensch das schwächste Glied ist, regelmässige ISMS Schulungen z. B. zu den Themen Malware und Phishing
- Konsequente Nutzung von 2FA Methoden bei sämtlichen eingesetzten Services
Minimierte Datenerhebung
ISMS und das klare Denken in Assets hilft uns auch, beim Datenschutz den Überblick zu behalten. Wo immer möglich, versuchen wir, Daten gar nicht erst zu erheben - denn Daten, die man nicht hat, müssen auch nicht geschützt werden. Ein gutes Beispiel dazu ist unsere eigene Webseite, wo wir auf sämtliches einwilligungspflichtiges Tracking verzichten.
Aber natürlich können wir nicht überall vermeiden, in Kontakt mit Daten zu gelangen, die dem Datenschutz unterstellt sind. Das prominenteste Beispiel ist sicher das Vertec Cloud Abo, wo wir Vertec in der Cloud für unsere Kunden betreiben. In diesem Fall gilt zusätzlich zu den AGB noch die «Regelung zur Auftragsdatenverarbeitung», in welcher ausgeführt wird, in welchem Fall wir überhaupt zum Auftragsdatenverarbeiter werden und wie wir damit umgehen. Für den Cloud Abo Betrieb setzen wir auch Sublieferanten ein. Diese Unternehmen listen wir zusammen mit ihrem Einsatzzweck auf der Seite Sublieferanten auf.
Daneben fallen bei uns natürlich Daten an, die zur Auftragsverarbeitung nötig sind (z. B. Bestellungen von Kunden) oder zur Sicherstellung der Dienstleistungsqualität. So dokumentieren wir z. B. sämtliche Supportanfragen schriftlich. In keinem Fall beinhalten solche Daten aber besonders schützenswerte Personendaten im Sinne des Datenschutzes.