Datenschutz vs. externe Dienste
News

Datenschutz vs. externe Dienste

Ein Unternehmen mit Kundendienst – und sei es nur ein kleines wie wir – verwendet oft und mit Vorteil ein sogenanntes Ticketsystem, um Kundenanfragen zu beantworten. Diese Software sammelt Kundenanfragen und stellt diese möglichst übersichtlich mehreren Mitarbeitern zur Beantwortung zur Verfügung. Dieser Umgang mit eintreffenden E-Mails bringt gegenüber herkömmlichen Mailprogrammen einige Vorteile. So können alle Mitarbeiter sehen, welche Anfragen offen sind und welche noch auf Antwort warten.

Dies ist nur ein Beispiel für eine sogenannete SaaS-Software (Software as a Service), also Software die direkt aus der Cloud bezogen und fertig installiert für den Gebrauch von Dienstleistern bereitgestellt wird. Die Vorteile: Die Systeme sind auch verfügbar, wenn die eigene Infrastruktur ausfällt und sind gleichzeitig Wartungsfrei. Der Nachteil: Es besteht keine Sicherheit im Bereich Kosten und Weiterentwicklung sowie was uns primär störte: Die Datenschutzbestimmungen mancher Anbieter würden gedruckt genug Inhalt für ein sattes Buch liefern! Ein weiteres Problem: In der Schweiz sind kaum Anbieter vorhanden, und wenn, speichern selbst diese die Daten in der EU oder den USA.

EU und CH vs. USA?

Mitte des Jahres 2018 verfolgten wir den Weg der EU zur Datenschutz-Grundverordnung aufmerksam. Die DSGVO gab dem Bürger in der EU erstmals umfassende Datenschutzrechte im Internet. Als Folge der bilateralen Verträge geisterte in den letzten Monaten auch eine Revision des Datenschutzgesetzes in der Schweiz durch das Parlament. Unser aktuell gültiges Datenschutzgesetz kannte bei der Inkraftsetzung noch kein Internet, was einiges über das Alter des Gesetzes aussagt! Höchste Zeit also dass eine neue Version nun in der letzten Session verabschiedet wurde, welche sich stark an die DSGVO in der EU anlehnt.

Eine weitere Sache zum Thema passierte nun im September 2020: Der „EU-US Privacy Shield“ und der „Swiss-US Privacy Shield“ – Vereinbarungen mit den USA zur Handhabung von Daten aus der EU und aus der Schweiz sind – eingeklagt vom Datenschutz-Aktivisten Max Schrems – für ungültig erklärt worden, wie es der oberste Gerichtshof der EU im September bestätigt hat. Die Auswirkungen sind sehr folgenreich: Die USA – grösster Anbieter von SaaS-Software – gelten damit nun „als Land mit sehr begrenztem Datenschutz …“.

Aktion „Privacy“

Bereits an einem grauen Samstag im Dezember 2019 legten wir per Videochat den Grundstein für die Aktion „Privacy“. Wir wollten das Thema des Datenschutzes neu angehen, unsere und die Kundendaten besser zu schützen und noch mehr Open-Source-Software einsetzten.

Es ist nicht so, dass wir in der Vergangenheit den Datenschutz, Verschlüsselung, Sicherheit der Daten und Metadaten nicht beachtet hätten. Unsere Kunden hosten seit dem ersten Tag unser Aktivitäten Ihre Website und E-Mail in der Schweiz. Systeme wir Moodle, WordPress und Joomla – allesamt Open-Source-Software – sind stark verbreitet im Einsatz. Im Hintergrund benötigen wir aber auch weitere Softwaretools, um den Betrieb zu stemmen, und diese stammten leider oftmals – mangels Anbieter in der Schweiz – aus dem Ausland.

Mit der Aktion „Privacy“ wollten wir den Aufbruch starten, den Umstand zu verbessern. So soll in Zukunft möglichst alle Software in unserem kleinen Unternehmen die folgenden Anforderungen erfüllen:

  • Self-Hosted: Wir wollen möglichst viele Dienste auf unserem Server in der Schweiz betreiben.
  • Privacy by Design und Privacy by Default: Die Software soll den Datenschutz stets berücksichtigen und möglichst ohne kommerzielle Drittanbieter auskommen.
  • Open-Source: Die Software soll einen offenem Code besitzen, welcher bei Bedarf angepasst und erweitert werden kann.

Klingt gut! Aber was ist bisher passiert?

Einiges!

Aktion „Privacy“, Stand 10.2020

  • Cloud-Server: Inbetriebnahme eines Cloud-Servers zwecks Unabhängigkeit zum Hostingserver.
  • Ticketsystem: Das neue Ticketsystem ist seit Anfang September auf einem neuen Cloudserver produktiv in Betrieb, alle Anfragen werden seither damit erfolgreich bearbeitet.
  • Help-Center: Unser Help-Center benötigte eine grosse Aktualisierung, da das Controlpanel Plesk, der Website-Builder und weitere Systeme im Sommer 2020 neue Funktionen und Updates erhielten. Wir haben inzwischen auch hier eine neue Software gefunden und den Umzug mit den Aktualisierungen ist abgeschlossen.
  • Workspace: Unser neuer Cloud-Dienst Workspace wurde von Beginn weg mit der Open-Source-Software Nextcloud erstellt und wird nach abgeschlossender Testphase in Betrieb gehen.
  • Slack: Hier werden wir in den nächsten Wochen umsteigen auf Nextcloud-Talk, die Umstellung wird Ende 2020 abgeschlossen sein.
  • Office: Hier verwenden wir schon längere Zeit nur noch Libre-Office anstelle des Microsoft-Office.
  • Mailversand für Newsletter: Eine neue Lösung ist im Aufbau und wird voraussichtlich noch dieses Jahr starten und den Dienst Mailchimp ablösen.
  • Status-Seite: Hier ist die Suche nach einer geeigneten Alternative noch am Anfang.
  • Monitoring: Auch hier besteht noch eine offene Pendenz, jedoch – da keine Kundendaten betroffen sind – mit kleinerer Priorität.

Aktion „Privacy“, Update 12.2020

  • Slack: Der Workspace bei Slack wurde gelöscht und wurde definitiv mit Nextcloud-Talk und Nextcloud Deck ersetzt.
  • Status-Seite: Die Status-Seite der Firma Sorry (Firmensitz in England, bald nicht mehr EU) wurde ersetzt durch einen umfassenden Service von Adminlabs (Sitz in Finnland, in der EU, untersteht der DSGVO).
  • Monitoring: Das Monitoring (zuvor Pingdom) sowie der Versand der Statusnachrichten (zuvor Mailchimp) übernimmt ab sofort ebenfalls Adminlabs, komplett integriert in der Status-Seite.
  • Mailversand für Newsletter: Eine neue Lösung ist im Aufbau und wird voraussichtlich in den ersten Monaten 2021 zum ersten Versand bereit sein!

Aktion „Privacy“, Update 02.2021

  • Mailversand für Newsletter: Die neue Software für den Versand von Kundeninformationen wurde ebenfalls mit Open-Source-Software realisiert und steht bereit.

Am 08.Dezember 2020 wurden einige Dienste aufgelöst und die dazugehörigen Daten gelöscht, so Slack, Pingdom, Mailchimp und Sorry-App. Zusammen mit dem Support-System welches schon seit September 2020 mit der Software Freescout auf unserem Systemen läuft, dürfen wir sagen: Aktion Privacy erfolgreich abgeschlossen!