Das sind die datenschutzrechtlichen Aspekte von Business Software

Verwendet ein Unternehmen Customer-Relationship-Management- (CRM) oder Enterprise-Resource-Planning-Software (ERP), sammelt es eine grosse Menge an (personenbezogenen) Daten über (potenzielle) Kunden, Lieferanten, Mitarbeitende und Internetnutzer. Auch bei der Nutzung dieser Applikationen ist der Datenschutz zu beachten.

Das revidierte schweizerische Datenschutzgesetz ­(revDSG) wird per 1. September 2023 in Kraft treten und an die europäische Datenschutz-Grundverordnung ­(DSGVO) angeglichen. Dies betrifft Nutzer von CRM und ERP wie auch die Hersteller solcher Applikationen. Unter den Begriff der Personendaten fallen Angaben, die eine natürliche Person identifizieren oder zu identifizieren vermögen, wie etwa AHV-Nummer, IP-Adresse oder Mac-Adresse sowie auch pseudonymisierte personenbezogene Daten. Ausschliesslich korrekt anonymisierte Daten sind keine personenbezogenen Daten mehr.

Nicole Beranek Zanon, Rechtsanwältin, Notarin, Partnerin Härting Rechtsanwälte, Dozentin an der FHNW und der Universität St. Gallen. (Source: zVg)

Bei der Verwendung von Business-Software ist insbesondere zu beachten, dass sich die datenschutzrechtlichen Grundsätze wie die rechtmässige Bearbeitung, die nach Treu und Glauben zu erfolgen hat und verhältnismässig und zweckmässig sein muss, auf richtige Daten erstreckt. Wenn sich eine Bearbeitung auf eine Einwilligung abstützt, ist diese nur gültig nach erfolgter transparenter Information.

Kunde prüft, ob CRM- und ERP-Hersteller Vorgaben erfüllen

Neu ist aber auch zu beachten, dass Programme mit datenschutzfreundlichen Voreinstellungen verwendet werden müssen. Gemäss Art. 7 revDSG ist der für die Datenbearbeitung Verantwortliche angehalten, technische und organisatorische Vorkehrungen zu treffen, dass der Datenschutz bei der Datenbearbeitung eingehalten wird und dass im Rahmen des Verwendungszwecks möglichst wenig Daten bearbeitet werden (Verhältnismässigkeit der Datenbearbeitung). Damit ist der Kunde gehalten, zu prüfen, ob die CRM- und ERP-Hersteller die notwendigen Vorgaben erfüllen. Der CRM-/ERP-Kunde tut gut daran, die Datensicherheit des gewählten Produkts zu prüfen oder mindestens zu hinterfragen und sich Berichte zu möglichen Zertifikaten zeigen zu lassen (ISO 27001/2, SOC II).

Bei der Wahl einer Business-Software ist auch zu beachten, ob es sich um eine Software-as-a-Service-Lösung handelt oder um eine On-prem-Lösung. Bei einer SaaS-Lösung ist zu prüfen, ob eine Datenübermittlung an Drittländer stattfindet (Art. 16 f. revDSG). Dies ist dann problematisch, wenn das Drittland nicht über ein angemessenes Datenschutzniveau verfügt (z.B. die USA). Ob für andere Staaten ein angemessenes, das heisst vergleichbares Datenschutzniveau wie in der Schweiz besteht, kann anhand der aktuellen Staatenliste des EDÖB beurteilt werden. Grundsätzlich gilt, je sensibler die personenbezogenen Daten sind, umso eher ist eine On-prem-Lösung zu bevorzugen – trotz des Cloud-Trends.

Die Datenbekanntgabe in Drittstaaten kann etwa durch einen Serverstandort der verwendeten Software im Ausland erfolgen oder indem die Business-Software aus dem Ausland gewartet oder unterhalten wird.

Der Datentransfer muss schriftlich vereinbart werden in einem sogenannten Auftragsverarbeitungsvertrag oder bei Drittstaaten mit nicht angemessenen Datenschutzniveau durch den Abschluss von EU-Standard-Vertragsklauseln mit Schweizer Anpassung. Daneben ist eine Datenschutzfolgenabschätzung inklusive einer Transferfolgenabschätzung vorzunehmen. In Letzterem ist zu bewerten, wie der Grundrechtseingriff im konkret vorliegenden Fall zu gewichten ist aufgrund der entsprechenden Daten und der konkreten Möglichkeiten, im betreffenden Land die Menschenrechte nach Schweizer Verständnis zu schützen.

CRM und ERP müssen Daten herausgeben können

Weiter müssen Nutzer von CRM/ERP Software müssen sicherstellen, dass der Hersteller sie bei ihren Pflichten betreffend Auskunftsrechte unterstützen können. Dazu gehört i.d.R. dass die Quelle der Datenbeschaffung bekannt ist. Das ERP/CRM muss auch in der Lage sein, Betroffenen auf Verlangen ihre Daten in einem gängigen elektronischen Format herausgeben bzw. übertragen (Art. 28 revDSG). Bei der Wahl einer geeigneten Business-Software ist daher aus datenschutzrechtlicher Sicht darauf zu achten, dass diese Pflichten ohne grossen Aufwand wahrgenommen werden können.

Auch ist darauf zu achten, dass Daten auch tatsächlich archiviert und sodann gelöscht werden können (und nicht nur geflaggt werden).

Bei Verstössen können bei gewissen Straftaten Bussen von bis zu 250'000 Franken gegen den Verantwortlichen, d.h. den Kunden bzw. dessen C-Level ausgesprochen werden (Art. 60 ff. revDSG).