Wir und die DSGVO (Teil 1)
Keiner kommt an ihr vorbei, auch wir nicht: Ende Mai tritt die neue Datenschutz-Grundverordnung in Kraft. Wie wir uns als Software-Unternehmen bisher darauf vorbereiten, zeigen wir in diesem Artikel!
29.01.2018
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in allen Mitgliedstaaten. Sie wirkt unmittelbar in den Mitgliedsländern und enthält einige Öffnungsklauseln. Diese erlauben nationale Regelungen, wie bei uns das Datenschutz-Anpassungsgesetz 2018 (eine Novelle des österreichischen Datenschutzgesetzes).
Ziel der DSGVO ist es, für mehr Bewusstsein und Sicherheit im Umgang mit personenbezogenen Daten sorgen. Personenbezogene Daten sind Daten, anhand derer eine (natürliche) Person identifiziert werden kann. Dafür werden die Anforderungen an die Dokumentation, den Umgang und den Nachweis genauso erhöht wie der Bußgeldrahmen.
Die neuen Regelungen betreffen natürlich auch uns, da wir als Unternehmen mit unterschiedlichen personenbezogenen Daten zu tun haben. Daher haben wir Mitte 2017 angefangen uns mit der DSGVO zu beschäftigen.
Eines gleich vorneweg: Im Gegensatz zur weitverbreitenden Meinung (oder Hoffnung), dass die DSGVO ein reines IT-Thema ist, mussten wir schnell feststellen, dass sie weit darüber hinaus geht. Die IT (bzw. ihre Anpassung) ist nur ein Teil, der dabei helfen kann, sich DSGVO-konform zu verhalten. Hauptsächlich geht es darum, sich mit den verschiedenen personenbezogenen Daten im eigenen Unternehmen intensiv auseinanderzusetzen, sich einen Überblick zu verschaffen, Prozesse zu definieren und eine umfangreiche Dokumentation zu erstellen.
Daher ist das Thema auch so umfangreich, dass es nicht möglich ist, im Detail alles in diesem Artikel zu erklären. Im Text finden sich laufend Links zu vertiefenden Infos sowie eine Link-Liste am Ende des Artikels!
Ein erster Überblick
Im ersten Schritt haben wir ein 3er-Team gebildet, das für das Thema intern zuständig ist. Die "drei DSGVO-Musketiere" kamen aus unterschiedlichen Bereichen (Geschäftsführung, Projektleitung und Corporate Communications). Dieses Team hat sich zusammengesetzt und sich einen groben Überblick über die personenbezogenen Daten verschafft, die bei uns im Unternehmen verarbeitet werden.
Fragen über Fragen
Am Ende dieses ersten Treffens hatten wir eine grobe Aufstellung – und eine Menge Fragen. Um diese Fragen zu beantworten, haben wir uns rechtliche Unterstützung in unserer Anwaltskanzlei geholt und uns selbst noch genauer mit der DSGVO auseinandergesetzt. Sehr hilfreich waren dabei Interpretationen und Auslegungen bekannter Rechtsexperten und die detaillierte Übersicht der WKO. Ebenso informativ war die Zusammenarbeit mit Kunden, die ihre Datenverarbeitung schon unter die Lupe genommen haben.
Uns wurde aber auch schnell klar, dass nicht alle Fragen einfach beantwortet werden können. Da die DSGVO brandneu und allgemein gehalten ist, werden wohl manche (Streit)Themen erst vor den Gerichten endgültig geklärt werden.
Unsere Rollen laut DGSVO
In der Zwischenzeit haben wir für unser Unternehmen ein Verständnis über unsere Rollen im Sinne der DSGVO und die daraus entstehenden Rechte und Pflichten entwickelt – ein Verständnis, das in den kommenden Monaten mit konkreter Dokumentation und (gegebenenfalls) Maßnahmen schrittweise weiter vertieft wird.
Nachfolgend nun die Rollen und wie wir sie im speziellen erfüllen!
Rolle Verantwortlicher
Als Verantwortliche gelten "natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden." (siehe WKO-Infos)
Diese Definition trifft uns bei den folgenden Daten:
- Daten unserer eigenen Kunden
- Daten unserer Lieferanten
- Daten unserer Mitarbeiter*innen
Für diese Daten tragen wir die Verantwortung und haben daher im Rahmen der DSGVO weitreichende Pflichten (siehe WKO-Info).
Übrigens: Die DSGVO betrifft nicht nur automatisch verarbeitete Daten! Sobald personenbezogene Daten in einem "Dateisystem" aufbewahrt werden, fallen sie unter die DSGVO – und dieses "Dateisystem" kann auch eine organisierte Ablage in einem Ordner sein.
Verantwortung für technische Umsetzung
Als Verantwortlicher müssen wir uns auch um die Datensicherheitsmaßnahmen sowie den Datenschutz durch Technikgestaltung ("privacy by design") und durch datenschutzfreundliche Voreinstellungen ("privacy by default") kümmern. Es liegt also in unserer eigenen Verantwortung, dafür zu sorgen, dass die Daten in den (von uns verwendeten) IT-Systemen, DSGVO-konform verarbeitet und geschützt werden.
Dasselbe gilt auch für unsere Kunden: Viele von ihnen haben ihre Anforderungen in Bezug auf die DSGVO schon erhoben und sind an uns herangetreten, um sie in ihren Systemen umzusetzen – sei es für die Datensammlung auf der Website zu Marketing-Zwecken oder die Datenverarbeitung für den Verkauf im Vertriebsportal. Hierzu der Hinweis: Wer Änderungen in seinen IT-Systemen für notwendig hält, sollte diese in Kürze beauftragen, denn auch die Umsetzung braucht Zeit!
Verzeichnis der Verarbeitungstätigkeit
Wir arbeiten auch an einem Verzeichnis der Verarbeitungstätigkeit (siehe WKO-Info), in dem wir unter anderem auflisten, welche Daten zu welchem Zweck verarbeitet werden.
An sich entfällt die Pflicht ein solches Verzeichnis zu erstellen, wenn ein Unternehmen weniger als 250 Mitarbeitern*innen hat, jedoch nur wenn
- die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
- die Verarbeitung nur gelegentlich erfolgt und
- die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.
Da wir laufend mit den oben genannten Daten arbeiten und sich vor allem in den Informationen zu unseren Mitarbeitern*innen sensible Daten finden (z.B. Sozialversicherungsnummer), ist ein Verarbeitungsverzeichnis für uns Pflicht.
Rolle Auftragsverarbeiter
Die zweite, in der DSGVO genannte Rolle ist der Auftragsverarbeiter: "Dieser wird definiert als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet." (siehe WKO-Info). Der Verantwortliche wählt den Auftragsverarbeiter aus und hat die Pflicht darauf zu achten, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen bietet, um die Daten-Verarbeitung im Einklang mit der DSGVO zu gewährleisten. Die Verarbeitung der Daten durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags.
Wir schlüpfen zum Beispiel in die Rolle des Auftragsverarbeiters mit all ihren Pflichten (siehe WKO-Info), wenn wir bei einem Kunden die Wartung übernehmen. In diesem Fall haben wir Zugriff auf die Daten des Kunden (z.B. die Kontaktdaten seiner Kunden in der Datenbank) und müssen diese schützen, sowie im Verarbeitungsverzeichnis anführen.
Rolle Sub-Auftragsverarbeiter
In der DSGVO gibt es auch die Rolle des Sub-Auftragsverarbeiters, der vom Auftragsverarbeiter beauftragt wird. Um ein konkretes Beispiel zu nennen: Wir arbeiten mit Hostern zusammen, die zum Beispiel Server für Websites unserer Kunden zur Verfügung stellen. Einen solchen Sub-Auftragsverarbeiter dürfen wir nur bei vorhergehender, schriftlicher Genehmigung des Kunden (aka Verantwortlichen) beauftragen – etwas, das bei uns aber immer schon gelebte Praxis war.
Die Rolle, die es in der DSGVO nicht gibt: Software-Hersteller
Nun kommen wir zu einer Rolle, die unser Kern-Geschäft ist – und in der DSGVO nur indirekt vorkommt: Der Software-Hersteller. In dieser Rolle stellen wir individuelle Software her oder passen vorhandene Software-Lösungen an, wobei wir im Idealfall mit den Daten, die der Kunde dann damit verarbeitet, nicht in Kontakt kommen.
Indirekt sind wir in unserer Rolle als Softwarehersteller natürlich schon, quasi "über ein Dreieck", in die DSGVO einbezogen: Die Pflichten der Verantwortlichen (also unserer Kunden) sorgen dafür, dass sie Softwareanpassungen und DSGVO-konforme Features nachfragen. Als Softwarehersteller bieten wir daher auch entsprechende Lösungen an und unterstützen unsere Kunden selbstverständlich sehr gerne.
Wenn wir nach der Umsetzung einer Software-Lösung im Rahmen von Wartung Zugriff auf die Produktivsysteme unserer Kunden haben, in denen sich personenbezogene Daten befinden, gilt für uns die Auftragsverarbeiter-Rolle mit all ihren Pflichten!
Mühsam? Ja, aber wichtig!
Auch wenn die DSGVO für viele eine Herausforderung ist und die nötigen Maßnahmen Zeit, Nerven und (in unserem Fall) viel Kaffee und Schokolade kosten – man sollte nicht vergessen, dass der Schutz eines Menschen bei der Verarbeitung seiner persönlichen Daten ein Grundrecht ist und dieses Recht und seine Einhaltung jedem Einzelnen zugutekommt. Die DSGVO ist eine Chance sich mit den Daten im eigenen Unternehmen auseinanderzusetzen, "auf- und auszuräumen" und Prozesse zu definieren, die einem in Zukunft die Verarbeitung erleichtern und vor peinlichen oder sogar existenzbedrohenden Daten-Lecks schützen.
Genau diese Chance werden wir in den kommenden Monaten nutzen und uns noch detaillierter mit unseren Pflichten, den notwendigen Dokumentationen und den möglichen Änderungen (auch in unserer Entwicklungsstruktur) auseinanderzusetzen.