Softwarelösung: Was gilt es bei der Implementierung rechtlich beachten?
Cornelia Mattig
Cornelia Mattig, RAin, MLaw, LL.M., bei Roesle Frick & Partner. Ihre Tätigkeitsschwerpunkte liegen im Datenschutz- und IT-Recht sowie in den Bereichen ESG, Technologie und Gesellschaftsrecht.
Passende Arbeitshilfen
Einleitung
Der vorliegende Beitrag setzt sich daher mit dem Thema der datenschutzkonformen Auswahl und Implementierung von Softwarelösungen auseinander und nimmt noch konkret zu Schwierigkeiten bei cloudbasierter Kundenmanagementlösung («CRM») Stellung. Dies auch vor dem Hintergrund, dass das Inkrafttreten des revidierten Schweizer Datenschutzgesetzes am 1. September 2023 («DSG») die Notwendigkeit einer rechtmässigen Einbindung solcher Lösungen verschärft hat, denn es drohen saftige Sanktionen bei der Verletzung des Datenschutzgesetzes.
Was muss ich generell bei der Auswahl einer Softwarelösung beachten?
Die meisten Unternehmen verwenden regelmässig für das Tagesgeschäft technische Lösungen zur Bearbeitung von Personendaten. Dementsprechend ist das DSG in diesem Kontext einzuhalten. Damit ein wirksamer Datenschutz gewährleistet wird, muss dieser bereits bei Systemdesign bzw. -auswahl berücksichtigt werden.
Bei der Auswahl und Implementierung der Software sollten sich Unternehmen daher mindestens mit den folgenden datenschutzrechtlichen Fragen auseinandersetzen:
Welche Personendaten werden durch die Software bearbeitet und welche Kategorien von Personen sind davon betroffen?
Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Das heisst, bei fast jeder Softwarelösung werden auch Personendaten bearbeitet.
Ist die Software datenschutzfreundlich programmiert?
Bei der Auswahl ist zu berücksichtigen, dass die Softwarelösung die Datenschutzvorschriften einhält und insbesondere die Datenschutzgrundsätze (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung und Datenrichtigkeit) berücksichtigt. Das bedeutet insbesondere, dass Daten rechtmässig erfasst und stetig aktualisiert werden müssen. Dies kann zum Beispiel mit einem korrekten Consent-Management erreicht werden.
Wurden die Voreinstellungen datenschutzfreundlich ausgestaltet?
Als Verantwortlicher ist das Unternehmen verpflichtet, die Softwarelösung so auszuwählen und zu gestalten, dass mittels geeigneter Voreinstellungen sichergestellt ist, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Wird eine Auftragsbearbeitungsvertrag vereinbart?
Gemäss DSG kann die Bearbeitung von Personendaten vertraglich oder durch Gesetz einem Auftragsbearbeiter übertragen werden. Das bedeutet, wenn durch die Implementierung einer neuen Software Personendaten bearbeitet werden, muss mit den jeweiligen Personen ein Vertrag geschlossen werden. Dabei handelt es sich primär um den Softwareanbieter sowie die Anbieter von Wartungs- und Pflegedienstleistungen des Systems.
Wurden angemessene technische und organisatorische Massnahmen («TOM») definiert?
Die TOMs müssen eine dem Risiko angemessene Datensicherheit gewährleisten, soweit möglich Datensicherheitsverletzungen vermeiden sowie die Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit der Bearbeitung sicherstellen. Dabei ist der Stand der Technik, die Art und der Umfang der Datenbearbeitung zu berücksichtigen. Für Softwarelösungen sinnvolle TOMs sind insbesondere: Regelmässige Datensicherung durch Updates, Backups oder Virenscanner; Festlegen eines Berechtigungskonzepts; Durchsetzung einer Weitergabekontrolle, um zu verhindern, dass Unbefugte Einsicht haben (z.B. mittels Verschlüsselung); Regelmässige Änderung der Passwörter; Wiederherstellbarkeit versehentlich gelöschter Daten.
Werden durch die Software auch Personendaten im Ausland bearbeitet und bedarf es dadurch weiterer Absicherungen?
Personendaten dürfen nur im Ausland bearbeitet werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates einen angemessenen Datenschutz gewährleistet. Sofern dies nicht der Fall ist, muss anderweitig ein angemessenes Datenschutzniveau sichergestellt werden und es bedarf weiterer Absicherungen. Dies kann zum Beispiel durch die Vereinbarung von Standardvertragsklauseln oder verbindlichen unternehmensinternen Datenschutzvorschriften erfolgen. Viele CRM-Lösungen sind cloudbasiert und arbeiten daher regelmässig mit Datentransfers ins Ausland. Sofern möglich ist es daher empfehlenswert, ein CRM mit Servern in Staaten mit angemessenem Datenschutz auszuwählen.
Passende Produkt-Empfehlungen
Informiere ich als verantwortliche Person die betroffenen Personen über die Datenbearbeitungen (z.B. in einer Datenschutzerklärung an die Mitarbeiter oder auf der Webseite)?
Jene Personen, von denen Daten durch die Software bearbeitet werden, müssen darüber informiert werden. Konkret sind diese Personen über die Identität und die Kontaktdaten des Verantwortlichen (in der Regel das implementierende Unternehmen), den Bearbeitungszweck sowie gegebenenfalls die Empfänger oder Kategorien von Empfängern zu informieren. Diese Information erfolgt in der Regel im Rahmen einer Datenschutzerklärung.
Kann ich Anfragen betreffend die Softwarelösung anhand der vorhandenen Informationen zeitnah beantworten?
Das bedeutet unter anderem, dass der Verantwortliche Auskunft über die Datenbearbeitung geben kann und in der Software ein Korrektur- und Löschkonzept integriert hat. Idealerweise sieht die Softwarelösung zudem eine einfache Datenübertragung vor, um dem Recht auf Datenportabilität nachkommen zu können.
Die Berücksichtigung der vorgenannten Fragen bei der Einführung einer neuen Softwarelösung können sich oft als schwierig erweisen. Ungeachtet dessen müssen diese Punkte berücksichtigt werden. Im Zweifel lohnt es sich mit einem Experten Rücksprache zu nehmen.
Was muss ich konkret bei einer cloudbasierten CRM-Lösung beachten?
«Cloud-Computing» bezeichnet die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen. Das DSG ist diesbezüglich insoweit zu berücksichtigen wie Personendaten in eine Cloud übertragen werden.
Bei cloudbasierten CRM-Lösungen sind einige besondere datenschutzrechtliche Aspekte zu beachten. Diese sind insbesondere der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, die Sicherheit der Datenbearbeitung und die Übermittlung von Personendaten in Drittstaaten sowie die vertragliche Regelung dieser Punkte.
In der Regel handelt das Unternehmen, welches die Cloud-Dienstleistungen anbietet als Auftragsdatenbearbeiterin. Das Unternehmen auf der Gegenseite kann sowohl Verantwortlicher als auch Auftragsbearbeiter sein. Das bedeutet, dass das Unternehmen einerseits als Verantwortlicher mit dem Cloud-Anbieter einen Vertrag zur datenschutzkonformen Datenbearbeitung schliessen oder als Auftragsbearbeiter die ihm vom Verantwortlichen auferlegten Voraussetzungen erfüllen muss. Meistens muss das Unternehmen daher auch in diesem Fall einen Vertrag mit dem Anbieter schliessen. Daneben hat das Unternehmen die betroffenen Personen mittels einer Datenschutzerklärung über die Datenbearbeitung zu informieren.
Das Problem von Cloud-Diensten liegt darin, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung für Unternehmen sein, die Vorgaben des Datenschutzes einzuhalten. Als Verantwortlicher muss das Unternehmen die Datenbearbeitungen rechtmässig vornehmen. Wenn der standardisierte Dienst dies nicht bietet, müssen Unternehmen daher prüfen, ob die Möglichkeit besteht, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel können Daten vor einer Übertragung in die Cloud vollständig verschlüsselt oder anonymisiert werden oder es kann nach alternativen Massnahmen oder Diensten gesucht werden. Viele solcher Lösungen können unter Berücksichtigung angemessener TOMs heute in den meisten Unternehmen genutzt werden.
Es ist zu beachten, dass sich diese Problematik grundsätzlich in Zusammenhang mit allen standardisierten Softwarelösungen stellt. Daher ist es Unternehmen zu empfehlen, Softwarelösungen unter Berücksichtigung datenschutzrechtlicher Punkte auszuwählen und zu implementieren. Ferner sollte diese Abwägung intern dokumentiert werden. Sofern Zweifel bei der Auswahl oder Implementierung einer Softwarelösung bestehen, sollte in jedem Fall der Rat von einem Experten eingeholt werden.
