Datenschutzcheck für Software-Plattformen

Praktikerbox
(Aktualisiert am )
Dargestellt durch Computer und Datenfluss-Verbindungen wird die grossflächige Vernetzung bei Software-Plattformen aufgezeigt.
Verbundene Dienste. Grafik von Alex Shuper bei Unsplash+

Warum ich die Datenschutzangaben und Datenflüsse von Onlineplattformen (Cloud, SaaS, XaaS) abchecke und eingehend prüfe.

Nutzung von Cloudplattformen und Software-as-a Service

Abstrakte Grafik cloud-computing-konzepthintergrund-auf-der-leiterplatte-leuchtender-lichtschwung-datencode-in-der-cloud-c_dSqY9yxs0 von Getty Images bei Unsplash+
Grafik von Getty Images bei Unsplash+

Seit 2023 gilt in der Schweiz für Firmen und Private das revidierte Datenschutzgesetz nDSG. Als KMU ist schnell irgendeine Software im Netz gebucht und zu verwenden. Doch wie steht es im die Daten der Kund*innen?

Weltweit bieten unzählige Firmen Softwaremöglichkeiten, Funktionen, Speicherplatz, Plattformen und Software-Tools an, die in der Cloud oder via eine Weboberfläche einen gezielten Nutzen bieten.
Viele diese Tools sind echt gut, einfach zu bedienen und oft auch zahlbar. Was spricht  dagegen? Buchen, nutzen und gut ist?
Oft lässt sich damit eine Eigenentwicklung oder eine Server-Installation ersparen, und keine weitere Pflege der Software fällt an. Ein Tool zur Verwaltung von Kundendaten sein, eine Analyse für die Website oder ein Tool für die Buchung eines Workshops mit Festhalten der Kundendaten in einer Webdatenbank (und und und). 

Spielt es denn eine überhaupt eine Rolle, wohin die Daten meiner Kund*innen fliessen?

Im Hintergrund geht die Post ab - am Beispiel Newsletter

Was passiert denn da mit all den Daten, aufgezeigt am Beispiel einer Anmeldung für einen Newsletter:

  1. Die Kund*in trägt sich auf Website in einem Formular ein (Vornamen, Name, E-Mail-Adresse etc.)
  2. Ein webbasiertes Automatisierungstool (webhook/make/zapier) erhält vom Formular die Daten (IP-Adresse, Vornamen, Name, E-Mail-Adresse etc.).
  3. Das Automatisierungstool schiebt die eingegebenen Daten kreuz und quer durch die Welt, um diese einem Newsletter-Tool wie beispielsweise Mailchimp oder Mailerlite einzutragen.
  4. Im Newsletterversandtool werden diese Daten abgelegt und verwertet.
  5. Als Reaktion versendet das Newslettertool via einen Dritt-Mailserver (bekommt  Mailauftrag und E-Mailadresse) eine E-Mail an Kund*in mit der Bitte diese zu bestätigen .
  6. Kund*in bestätigt und da fliesst ein OK zurück an Newslettertool (Double Opt Out).
  7. Parallel fliesst der bestätigte Eintrag zurück ins Automatisierungstool und legt die Daten in einem Online Tabelle bei einen Drittanbieter an, wo die Liste aller bestätigten Kund*innen aufgelistet sind.
  8. Newsletter wird regelmässig ausgeliefert.

Die Eingabe der Kund*in wird im Laufe dieser Interaktionen mehrfach verteilt und verarbeitet. Dabei stellt sich die Frage:

Wo liegen diese Daten nun überall, unter welchem Recht unterstehen diese gewonnenen Daten nun mehr und bei wem an welchem Standort?

Daten sind für Firmen nutzbares Gut

Daten bringen wirtschaftlich einen nutzbaren Wert für Firmen und für Private, die damit was anfangen können. Die Schweizer Gesetzgebung hat daher den Umgang mit Daten zeitgemäss geregelt und nicht nur für die Onlinewelt, sondern generell den Umgang mit Daten. Als Einzelpersonen können wir uns in gewisser Weise glücklich schätzen, dass persönliche Daten, die mehr über uns aussagen können (persönliche Daten), von Rechtes wegen diese bewusste Regelung erfahren haben. Das Ziel ist nun mehr die Daten der Einzelperson sinnvoll zu schützen. Als Einzelperson sehe ich das neue Datenschutzgesetz als ein gutes Rechtsregelwerk an.

Die Datenschutzrevision (nDSG) hat einen grossen Einfluss auf eigene Onlineangebote von Firmen und Privaten, wie Solopreneurship oder Content Creators/Influencer*innen. Auch eine kleine Firma oder Einzelperson hat die gleichen rechtlichen Datenschutz-Pflichten zu erfüllen wie ein 500-Personen-Unternehmen!

Mein Produktelaunch wegen Datenschutz gecancelt 😥

Herbst 2023: Kurz vor dem Launch meines eigenen Webangebotes einer Ausbildungsberatung für Ü40 wurde mir klarer, was und wo ich in Sachen Datenschutz zu berücksichtigen zu tun und zu verantworten hätte.
Ich erkannte, dass da ein neues Feld auf mich zukam, wollte ich mein Angebot online als CH-GmbH führen. Zudem stellte fest ich, dass aufgrund der Plattform ich je nach Fall ich auch noch europäische DSVGO/GDPR zu erfüllen hatte. Als Einzelmaske sah ich mich vor der Hürde 2 Datenschutzrechtsgrundlagen sicherstellen. 

Ich erkannte schmerzlich, dass ich als Solopreneur mit CH-GmbH technisch wie  rechtlich mit einer im Ausland gewählten All-in-One-SaaS-Plattform in keinster Weise den Datenschutz fassen konnte und auch nicht nur ansatzweise korrekt umsetzen könnte. Die Plattform bot mir das nicht. Weil ich mit der Plattform rechtlich nicht weiterkam, lies sich das Produkte nicht einfach umziehen.

Selber-hosten als Alternative zur Plattform

Eine Alternative zu der ausländischen All-in-One-Plattform fand ich beim Selbsthosting bei einem Schweizer Webhoster. So bleiben Inhalt (Content) und Funktionen sowie die Datenflüsse in der Schweiz und in einem für mich rechtlich fassbaren Feld.

Das bedeutete aber auch, dass ich von Website bis hin zu Funktionen und Schnittstellen selber baue (bauen lasse), zusammenstelle und technisch alles selbst betreibe. Selber-hosten lässt heute vieles ermöglichen und wer etwas technisch versiert ist, bekommt noch einiges hin. Nur - ich stehe alleine da, auch dann, wenn nichts tut oder nicht so wie es sollte. Dann stehe ich auch alleine an.

Nach ausgiebigen Test- und Tech-Momenten konzentriere ich mich daher auf das Hosten der Website mit klarem Impressum, einer aktuellen Datenschutzerklärung und fairen AGB. Die Präsenz oder die Funktionen meiner eigenen Kurs- und Coaching- Angebote sowie mehrere Newsletter etc. kann ich heute nur über gezielt ausgewählte Plattformen von Drittfirmen im Inland und im europäischen Ausland lösen.

Das nDSG lässt dies meines Erachtens zu, auch wenn etwaige Datenflüsse und Datenweitergaben an Dritte gut verifiziert, durchdacht, rechtlich korrekt und transparent sein müssen.

Dieser Beitrag zielt als Gedankentransport genau darauf ab.

Neuer Fokus: Wie fliessen Daten und wohin?

Grafik binarcode-der-durch-einen-grunen-abstrakten-hintergrund-fliesst-xQAQpX6UF0Evon Aakash Dhage bei Unsplash+
Grafik von Aakash Dhage bei Unsplash+

Vor dem nDSG und noch heute wählt man für einen Zweck im Netz irgendeine Cloud-basierte Plattform. Oft fokussiert sich die Auswahl einer Plattform auf Kosten und auf Features und Funktionen.

Hypothese: Bei der Plattform-und Software Auswahl Datenflüsse und/oder Daten-Weitergabe im Sinne des Datenschutzes kaum beachtet wurden.

So bauen viele Firmen und Private ihre Angebote in und nach der Pandemie auf Cloudplattformen auf. Das birgt die erste Frage: Sind diese Lösungen heute noch nach nDSG stimmig? Es empfiehlt es sich daher, seinen eigenen Datenschutz zu reflektieren.

Um diesen Prozess im Onlineumfeld sinnvoll zu gestalten, stehen meines Erachtens bei der Auswahl von digitalen Plattformen und Software für Firmen und Private nachfolgende Fragen zentral im Fokus:

Wo fliessen die Daten meiner Kund*innen hin?
Von einem weg oder zu einem hin?
Und wozu, wie, bei wem und wodurch werden Sie verarbeitet oder was passiert damit?
Was geschieht danach?

Notwendiges Umdenken hin zu Datenflüssen

Wenn auch die eigene Website in einem Schweizer Hosting stehen vermag, der Wunsch nach einer Verbesserung oder dem Ausschöpfen neuer Möglichkeiten für die angepeilten Zielgruppen steht schnell im Raume. Gerne will mal dort oder da eine neue Funktion (Beispiel automatisierte Zahlungsabwicklung), eine Erweiterung (Beispiel Blog und Podcast) oder eine Ersatz-Lösung (Beispiel AI Kurserstellung oder Mini-CRM) hinzufügen. Dagegen spricht nichts. Beim Evaluieren von Cloudplattformen und SaaS-Angeboten im In- und Ausland passiert  werden oft unterschiedliche Angebote verglichen.

Es lohnt sich in Bezug auf ob genannte Fragen, bereits bei der Auswahl möglicher Plattform-Angebote nicht nur betriebswirtschaftliche Vorteile oder die begehrtesten technischen Features, sondern auch rechtliche Aspekte und Anforderungen mit-einzubeziehen und zu verifizieren.

Der Datenschutz wird somit zu einem zusätzlichen Bewertungskriterium der Software- oder Plattform-Evaluation nicht nur im Ausland, sondern auch mit Firmen innerhalb der Schweiz, die Software-Dienste anbieten oder solche via im Ausland betreiben/nutzen (Cloudplattformen).

Weil ich einige Plattformen für den Einsatz überprüfen wollte, ist daraus ein einfacher Check von Plattformen in wenigen Schritten entstanden. Der Plattform-Check soll dabei Fragen abklären und Antworten erfassen. Der Check soll kein Abspulen sein, sondern für Firmen wie Private Antworten für Plattform/Software liefern. Ohne Gewähr zeigen meine 2x6 Schritte meinen eigenen Weg auf, wie ich Plattformen abchecke.

Dieser Check kann gerne als Gedankenfundament und Anspassungen für KMUs, Formen und Private dienen, ersetzt aber in keinster Weise eine rechtliche Unterstützung und Prüfung durch Datenschutzprofis!!!

6 Schritte zum Datenschutz-Eindruck

Als ersten Schritt prüfe ich, wie alle, die angebotenen Features der Plattform für den möglichen Einsatzzweck (also Newsletter, oder Analytics oder so). Das gilt für  Plattformen im In- wie Ausland. Anschliessend gehe ich mit einer anderen Perspektive vor und besuche die Plattform nochmals, stelle dabe nachfolgende Fragen und gehe diese Schritte einzeln durch:

  1. Wer, welche Firma, mit welcher Rechtsform steht dahinter? Wo ist der Firmensitz, welches Land? 
    Tipp: die DSG Länder-Anerkennungsliste des Bundesamtes für Justiz konsultieren.
  2. Was zeigt die Privacy Policy der anbietenden Firma, ist da was mit Substanz drin?
    Tipp: Bei US-Firmen ermöglicht der Zusatzcheck in der Liste beim Data Privacy Framework program in the United States Hinweise auf einfacheren Datenaustausch.
  3. Was sagen AGB oder Terms (T&C) der anbietenden Firma aus?
  4. Gibt es einen Hinweis auf im Background Daten-verarbeitende Dritt-Firmen? Ist ein Hinweis auf Datenstandorte zu finden?
  5. a. Wie sähe der Datenfluss aus, findet ein solcher überhaupt statt? Import/Export, oder via Webhook oder API. Oder gar nicht?
    b. Wie fliessen meine Kund*innen-Daten und wo werden die Daten gelagert respektive abgelegt/gestored? Sind Hinweise auf der Website der Plattform darauf zu finden?
  6. Ist die Plattform in Europa, reicht das schon? Nein, tut es meines Erachtens nicht, siehe wiederum Anerkennungsliste des Bundes und Punkte 2-5. 

Die Schritte 1-6 erscheinen mir auch wichtig, um ein Grundgefühl über das Angebot zu erhalten. Denn sollten darin Kunden*innen-Daten fliessen, dann müssen diese Infos auch für meine Kund*innen ersichtlich und nachvollziehbar verständlich sein. Blindflüge und da löst sich dann schon, reicht nicht als Haltung, wenns darauf ankommt.

Bieten mir die ersten sechs Fragen konkrete Antworten, dann erweitere ich für mehr Klarheit und einen tieferen Einblick den Check . Dies lässt sich auch sehr gut für Firmen mit Sitz in der Schweiz nutzen, nicht nur ausländische Unternehmen:

  1. Ist auf der Website oder in der Privacy Policy ein Hinweis auf ein data processing agreement (DPA) respektive zu deutsch ein Daten-AuftragsVerarbeitungs-Vertrag (AVV) aufgezeigt oder erwähnt? Ist dieser verfügbar und zu lesen?
  2. Interessiert mich eine Plattform oder ein Angebot, dann schreibe ich in jedem Falle an deren Support und erwähne, dass ich aus der Schweiz komme und mir Privacy wichtig ist, und frage, wie sie das sehen. Das hilft herauszufinden wie der Support wirkt. Eine Antwort sie arebiten nach GDPR reicht m.E. an Detailkraft nicht aus.
  3. Zudem frage ich, ob sie einen DPA, sofern ich das nicht schon entdeckt habe. Wenn ja, was steht drin, steht mehr oder nur (gültige) Standardklauseln drin?
  4. Ferner frage ich nach dem Vorgehen, wenn ein Kunde Auskunft haben will, seine Daten löschen will oder was ist bei einem Security-Breach das Vorgehen ist etc.
  5. Auch wenn dieses Vorgehen Aufwand bedeutet, damit erkenne ich, wie die Anderen drauf sind und wie die Reaktionszeiten sind. Daher stelle ich weitere für mich weitere relevante Fragen rund um das mich interessierende Produkt, immer.
  6. Sind alle Schritte erfolgreich, dann teste ich die Lösung umfangreich, wenn möglich mit einem Free-Account und sehe, ob es wirklich mir passt und ob ich mit denen arbeiten will. 

Bei Unklarheiten empfehle ich rechtliche Fachpersonen beizuziehen.
Als regelmässige Verifikationsrunde nehme ich mir einen Moment und peile dann meine Plattform-Lieferanten an. Dabei schaue ich nach, wie und ob sich was bei denen verändert hat. 

Zwingend AVV/DPA vereinbaren 

Ist eine Datenweitergabe von Kund*innen erforderlich (E-Mailadresse, IP oder so), dann strebe ich mit der gewählten Plattform eine umgehende Unterzeichnung eines DPA/AVV an. Und dies vor dem ersten Datenfluss! Es kann sein, dass diese DPA/AVV auch Bestandteil von AGBs sind, beides wäre möglich. Damit erarbeite ich mir Klarheit und Transparenz.

Foto https://unsplash.com/de/fotos/geschaftsmann-unterschreibt-einen-vertrag-nahaufnahme-zweier-geschaftspartner-die-ein-vertragsdokument-unterzeichnen-geschaftsetikette-gluckwunsch-fusions-und-ubernahmekonzept-3Ud29QcTfT0 von Getty Images bei Unsplash+
Foto von Getty Images bei Unsplash+

Anschliessend ich ergänze die neue Plattform bewusst in meiner eigenen Datenschutzerklärung online. Das DPA/AVV lege ich im Office in einem Folder sauber ab oder trage es in eine Liste, wo AVVs in AGBs notiert sind. Das geht um die Nachvollziehbarkeit, ähnlich wie bei der Buchhaltung.

Beste Software-Features bringen kein Datenschutz

Mit meinen 2x6 Punkten erlebe ich Einschränkungen in Bezug bei der Wahl einer Lösung. Denn ich kann meine Ideen und Möglichkeiten nicht einfach mit einer x-beliebigen oder oft nicht mit der besten, töllsten oder supercoolen Online Super-Lösung realisieren. So zeigt sich schnell wer und wo in Bezug auf Datenschutz den Spreu vom Weizen trennt. Das ist für meine Verantwortung der gewichtige Aspekt. 

Plattform Check bringt eindeutigen Nutzen

Selbstverständlich resultiert sich aus diesen Punkten ein Mehraufwand, der jedoch nicht täglich oder wöchentlich anfällt, da hoffentlich nicht alle Wochen eine Plattform evaluiert werden will.
Es braucht bewusst mehr Zeiteinsatz für die Auswahl und Überprüfung an Partnerfirmen oder an Online-Platfformen. Es ist wie im echten Leben, man prüfe mit wem man sich einlässt, diese auch beleuchtet und bei Datenflüssen auch ein DPA/AVV unterzeichnet. 

Das Bild der Datenflüsse zeigt ein Bewusst-werden und Bewusst-sein für die Belange der Kundendaten und bringt eine neue Mit-Perspektive des Datenschutzes/Privatspäre, die in der digitalen Welt sicherlich nicht falsch ist. Nachteile, ausser etwas mehr Zeitaufwand, haben sich bislang nicht gezeigt.

Es zeigen sich durch den Datenschutz auch verlässliche Partner, eben die die Plattformen sauber und korrekt anbieten. Ich habe heute mit einer kleinen Handvoll Plattformen und Softwarefirmen AVV/DPAs vereinbart. Gefunden habe ich für mein Unternehmen Plattformen und Partner aus der Schweiz, aus dem EU-Raum, dem UK und wenige US-Firmen, die den nDSG als Teil ihrer Plattformen sehen. In der Zusammenarbeit mit den gewählten Plattformen zeigt sich bislang auch eine gute Service- und Supportqualität. 

Meine Empfehlungen an KMUs für Plattformcheck Datenschutz 

  • Zieht Datenschutzexperten bei, sobald ihr unsicher seid. Es lohnt sich, auf richtige und datenschutzfreundliche Plattformen zu setzen. Auch ich habe mich beraten lassen, wie was wo und das hat mich in meinem Tun bestärkt.
  • Erkennt und haltet die Datenflüsse Deines Unternehmens einfach und nachvollziehbar fest. Damit schafft ihr für Euch in diesem Bereich eine sinnvolle Transparenz, ohne zu übertreiben.
  • Verbindet und checkt die Datenflüsse auch in der Schweiz und nicht nur im Ausland ab. Es kann sein, dass CH-Firmen für ihre Dienste Server/Plattformen im Ausland nutzen.
  • Sichert Euch für die Datenflüsse und Datenverarbeitungen Eurer genutzten Software, Cloudlösungen, Plattformen jeweils mit einem AVV/DPAs ab, sobald jegwelche Daten Eurer Kunden oder generell Daten Dritter im Spiel sind. Checkt auch Eure Web Analytics und Cookiedatenströme.
    Auch wenn AVV/DPA meines Erachtens wohl auch nicht einen 100% Schutz bieten, doch bringen sie eine Verpflichtung, Klarheit, Transparenz und zumindest die Möglichkeit von einforderbaren rechtlichen Schritten gegenüber einem Partner ein.
  • Setzt die Datenflüsse und deren Beteiligte umgehend in Eure Online-Datenschutzerklärungen, damit sie erwähnt und für die Kund*innen transparent sind. So funktioniert das nDSG meines Erachtens.

Eine zielführende und überprüfte Plattform-Partner-Auswahl für KMUs jeder Grösse ist wichtig, auch für KMUs und Private.

Fokusfalter © 2026 by Oliver Marugg is licensed under Creative Commons Attribution-ShareAlike 4.0 International