KMU-Datenschutzcheck für Software-Plattformen

Entrepreneur
(Aktualisiert am )
Dargestellt durch Computer und Datenfluss-Verbindungen wird die grossflächige Vernetzung bei Software-Plattformen aufgezeigt.
Verbundene Dienste. Grafik von Alex Shuper bei Unsplash+

Warum ich die Datenschutzangaben und Datenflüsse von Onlineplattformen (Cloud, SaaS, XaaS) für mein KMU abchecke und eingehend prüfe.

Nutzung von Cloudplattformen und Software-as-a Service

Abstrakte Grafik cloud-computing-konzepthintergrund-auf-der-leiterplatte-leuchtender-lichtschwung-datencode-in-der-cloud-c_dSqY9yxs0 von Getty Images bei Unsplash+
Grafik von Getty Images bei Unsplash+

Seit 2023 gilt in der Schweiz für Firmen und Private das revidierte Datenschutzgesetz nDSG. Als KMU irgendeine Software im Netz verwenden, die ist schnell gebucht und genutzt. Doch wie steht es im die Daten der Kund*innen?

Es gibt so viele Angebote. Weltweit bieten Firmen Softwaremöglichkeiten, Funktionen, Speicher, Plattformen und Software-Tools an, die in der Cloud oder via eine Weboberfläche genutzt werden und mir als KMU einen gezielten Nutzen bieten.
Viele diese Tools sind echt gut, einfach zu bedienen und oft auch zahlbar. Was spricht dann noch dagegen? Buchen, nutzen und gut ist?
Denn damit kann ich beispielsweise eine Eigenentwicklung oder eine Server-Installation ersparen und keine weitere Pflege der Software ist nötig. Das kann ein Tool zur Verwaltung von Kundendaten sein, eine Analyse für die Website oder die Buchung eines Workshops mit Festhalten der Kundendaten in einer Webdatenbank (und und und). 

Spielt es denn eine überhaupt eine Rolle, wohin die Daten meiner Kund*innen fliessen?

Im Hintergrund geht die Post ab - am Beispiel Newsletter

3D Rendering ein-blauer-hintergrund-mit-sprechblasen-und-einer-lupe-aJTNQz1oxHA von Philip Oroni bei Unsplash+
3D Rendering von Philip Oroni bei Unsplash+

Was passiert denn da mit all den Daten, am Beispiel einer Anmeldung für einen Newsletter:

  1. Kund*in trägt sich auf Website in einem Formular ein (Vornamen, Name, E-Mail-Adresse etc.)
  2. Ein webbasiertes Automatisierungstool (webhook/make/zapier) erhält vom Formular die Daten (IP-Adresse, Vornamen, Name, E-Mail-Adresse etc.).
  3. Das Automatisierungstools schiebt die eingegebenen Daten kreuz und quer durch die Welt, um diese einem Newsletter-Tool wie beispielsweise Mailchimp oder Mailerlite einzutragen.
  4. Im Newsletterversandtool werden diese Daten abgelegt und verwertet.
  5. Als Reaktion versendet das Newslettertool via einen Dritt-Mailserver (bekommt  Mailauftrag und E-Mailadresse) eine E-Mail an Kund*in mit der Bitte diese zu bestätigen .
  6. Kund*in bestätigt und da fliesst ein OK zurück an Newslettertool (Double Opt Out).
  7. Parallel fliesst der bestätigte Eintrag zurück ins Automatisierungstool und legt die Daten in einem Online Tabelle bei einen Drittanbieter an, wo die Liste aller bestätigten Kund*innen aufgelistet sind.
  8. Newsletter wird regelmässig ausgeliefert.

Wo liegen diese Daten nun überall, unter welchem Recht unterstehen diese gewonnenen Daten bei wem an welchem Standort?

Daten sind für Firmen nutzbares Gut

Foto zufrieden-mit-den-ergebnissen-der-bartige-mann-im-weissen-hemd-arbeitet-mit-einem-smartphone-im-buro-mit-mehreren-computerbildschirmen-in-indexdiagrammen-pQPh8Cr4MoU von Getty Images bei Unsplash+
Foto von Getty Images bei Unsplash+

Dass Daten für Firmen wirtschaftlich einen nutzbaren Wert widerspiegeln, erscheint heutzutage offensichtlich. Denn man kann damit etwas anfangen. Daher hat die Schweizer Gesetzgebung den Umgang mit Daten zeitgemäss geregelt und das gilt nicht nur für die Onlinewelt, sondern generell für Datenumgang. Als Einzelpersonen können wir uns in gewisser Weise glücklich schätzen, dass persönliche Daten, die mehr über uns aussagen können, von Rechtes wegen diese bewusste Regelung erfahren habe. Mit dem Ziel die Daten der Einzelperson sinnvoll zu schützen. Als Einzelperson sehe ich das das neue Datenschutzgesetz als ein gutes Rechtsregelwerk an.

Diese Datenschutzrevision hat einen grossen Einfluss auf eigene Onlineangebote von Firmen und Privaten, somit auch für Mikrounternehmen (Bsp. GmbH mit 1 Person) und Solopreneurship. Eine Mikro-GmbH hat die gleichen rechtlichen Datenschutz-Pflichten zu erfüllen wie ein 500-Personen-Unternehmen. 

Mein Produktelaunch wegen Datenschutz gecancelt 😥

Herbst 2023: Kurz vor dem Launch meines eigenen Webangebotes einer Ausbildungsberatung für Ü40 wurde mir klarer, was und wo in Sachen Datenschutz ich alles zu berücksichtigen sein könnte und zu verantworten hätte.
Ich erkannte dann auch die für die KMU-Welt markanten Unterschiede und Erfüllungen zur europäischen DSVGO. Zumindest für mich als Laien. Denn ich bin weder Rechtsanwalt noch Datenschutz 

Ich erkannte rasch, dass ich als Solopreneur mit CH-GmbH technisch als auch rechtlich mit meiner im Ausland gewählten All-in-One-SaaS-Plattform den Datenschutz in keinster Weise fassen konnte und so auf diese Weise wohl auch nicht korrekt umsetzen könnte. Nicht ausschliesslich., Der Datenschutz hat meinen Produkte Launch auf den Kopf gestellt, weil ich mit der Plattform rechtlich nicht weiterkam. 

Selber-hosten als Alternative zur Plattform

Eine Alternative zu der ausländischen All-in-One-Plattform fand ich beim Selbsthosting bei einem Schweizer Webhoster. So bleiben Inhalt (Content) und Funktionen sowie die Datenflüsse in der Schweiz und in einem für mich rechtlich fassbaren Feld. Das bedeutete auch, dass ich von Website bis hin zu Funktionen und Schnittstellen alle selber baue, zusammenstelle und technisch alles selbst betreibe. Selber-hosten lässt heute vieles ermöglichen und wer etwas technisch versiert ist, bekommt noch einiges hin. Nur - ich stehe alleine da, auch dann, wenn nichts tut oder nicht so wie es sollte. Dann stehe ich auch alleine an.

Nach ausgiebigen Test- und Tech-Momenten konzentriere ich mich daher auf das Hosten der Website mit klarem Impressum, einer aktuellen Datenschutzerklärung und fairen AGB. Die Präsenz oder die Funktionen meiner eigenen Kurs- und Coaching- Angebote sowie mehrere Newsletter etc. kann ich heute über gezielt ausgewählte Plattformen von Drittfirmen im In- und Ausland lösen.

Das nDSG lässt dies meines Erachtens zu, auch wenn etwaige Datenflüsse und Datenweitergaben an Dritte gut verifiziert, durchdacht, rechtlich korrekt und transparent sein müssen.

Dieser Beitrag zielt als Gedankentransport von KMU zu KMU genau darauf ab.

Neuer Fokus: Wie fliessen Daten und wohin?

Grafik binarcode-der-durch-einen-grunen-abstrakten-hintergrund-fliesst-xQAQpX6UF0Evon Aakash Dhage bei Unsplash+
Grafik von Aakash Dhage bei Unsplash+

Vor dem nDSG war es für viele KMU normal im Netz irgendeine Cloud-basierte Plattform für einen Zweck zu wählen und zwar grad so wie der Markt spielt.
Oft fokussierte sich die Auswahl einer Plattform auf Kosten und auf Features und Funktionen. Ich unterstelle als gedankliche Hypothese, dass bei der Auswahl dabei Datenflüsse und/oder Daten-Weitergabe im Sinne des Datenschutzes kaum beachtet wurden. So bauten viele KMU ihre Angebote oder ihren Nutzen gerade in und nach der weltweiten Pandemie auf Cloudplattformen Dritter auf. Das birgt die erste Frage: Sind diese Lösungen heute noch nach nDSG stimmig? Als KMU empfiehlt es sich, auch seinen Datenschutz zu reflektieren.

Um diesen Prozess im Onlineumfeld sinnvoll zu gestalten, stehen meines Erachtens für KMU bei der Auswahl von digitalen Plattformen und Software immer nachfolgende Fragen zentral im Fokus:

Wo fliessen die Daten meiner Kund*innen hin?
Von einem weg oder zu einem hin?
Und wozu, wie, bei wem und wodurch werden Sie verarbeitet oder was passiert damit?
Was geschieht danach?

Notwendiges Umdenken hin zu Datenflüssen

Wenn auch die eigene Website in einem Schweizer Hosting stehen vermag, der Wunsch nach einer Verbesserung oder dem Ausschöpfen neuer Möglichkeiten für Kund*innen steht schnell im Raume. Gerne will das fortschrittliche KMU mal dort oder da eine neue Funktion (Beispiel automatisierte Zahlungsabwicklung), eine Erweiterung (Beispiel Blog und Podcast) oder eine Ersatz-Lösung (Beispiel AI Kurserstellung oder Mini-CRM) suchen und womöglich hinzufügen. Beim Evaluieren von Cloudplattformen und SaaS-Angeboten im In- und Ausland passiert es sehr schnell, dass unterschiedliche Angebote verglichen werden - das ist sehr spannend und es gibt auch vieles zu entdecken (nicht nur KI).


Es lohnt sich in Bezug auf ob genannte Fragen, bereits bei der Auswahl möglicher Plattform-Angebote nicht nur betriebswirtschaftliche Vorteile oder die begehrtesten technischen Features, sondern auch rechtliche Aspekte und Anforderungen mit-einzubeziehen und zu verifizieren.

Der Datenschutz wird somit zu einem zusätzlichen Bewertungskriterium der Software- oder Plattform-Evaluation nicht nur im Ausland, sondern auch mit Firmen innerhalb der Schweiz, die Software-Dienste anbieten, oder solche im Ausland betreiben/nutzen.

Weil ich für mein eigenes Verstehen einige Plattformen für den Einsatz für meine GmbH überprüfen wollte, ist daraus ein einfacher Check von Plattformen in wenigen Schritten entstanden. Der Plattform-Check soll dabei Fragen abklären und Antworten erfassen. Der Check soll kein Abspulen sein, sondern nachhaltige Antworten liefern. Ohne Gewähr zeigen meine 2x6 Schritte meinen Weg auf, wie ich Plattformen abchecke.

Dieser Check kann gerne als Gedankenfundament und Anspassungen für KMUs dienen, ersetzt aber in keinster Weise eine rechtliche Unterstützung durch Datenschutzprofis!

In 6 Schritten zum Datenschutz-Eindruck

Als ersten Schritt prüfe ich die Plattform auf angebotene Features für meinen möglichen Einsatzzweck (also Newsletter, oder Analytics oder so). Das gilt für Websites von Plattformen im In- wie Ausland. Anschliessend gehe ich mit einer anderen Perspektive vor und besuche die Website nochmals, dabei stelle ich mir nachfolgende Fragen und gehe diese Schritte einzeln durch:

  1. Wer, welche Firma, mit welcher Rechtsform steht dahinter? Wo ist der Firmensitz, welches Land? 
    Tipp: die DSG Länder-Anerkennungsliste des Bundesamtes für Justiz konsultieren.
  2. Was zeigt die Privacy Policy der anbietenden Firma, ist da was mit Substanz drin?
    Tipp: Bei US-Firmen ermöglicht der Zusatzcheck in der Liste beim Data Privacy Framework program in the United States Hinweise auf einfacheren Datenaustausch.
  3. Was sagen AGB oder Terms (T&C) der anbietenden Firma aus?
  4. Gibt es einen Hinweis auf im Background Daten-verarbeitende Dritt-Firmen? Ist ein Hinweis auf Datenstandorte zu finden?
  5. a. Wie sähe der Datenfluss aus, findet ein solcher überhaupt statt? Import/Export, oder via Webhook oder API. Oder gar nicht?
    b. Wie fliessen meine Kund*innen-Daten und wo werden die Daten gelagert respektive abgelegt/gestored? Sind Hinweise auf der Website der Plattform darauf zu finden?
  6. Ist die Plattform in Europa, reicht das schon? Nein, tut es meines Erachtens nicht, siehe wiederum Anerkennungsliste des Bundes und Punkte 2-5. 

Die Schritte 1-6 erscheinen mir auch wichtig, um grundlegend ein Gefühl über das Angebot zu erhalten. Denn sollten Kunden*innen-Daten fliessen, dann müssen diese Infos auch für meine Kund*innen ersichtlich und nachvollziehbar verständlich sein. 

Bieten mir die ersten sechs Fragen konkrete Antworten, dann erweitere ich die Überprüfung für mehr Klarheit und einen tieferen Einblick. Dies lässt sich auch sehr gut für Firmen mit Sitz in der Schweiz nutzen, nicht nur ausländische Unternehmen:

  1. Ist auf der Website oder in der Privacy Policy ein Hinweis auf ein data processing agreement (DPA) respektive zu deutsch ein Daten-AuftragsVerarbeitungs-Vertrag (AVV) aufgezeigt oder erwähnt? Ist dieser verfügbar und zu lesen?
  2. Interessiert mich eine Plattform oder ein Angebot, dann schreibe ich in jedem Falle an deren Support und erwähne, dass ich aus der Schweiz komme und mir Privacy wichtig ist, und frage, wie sie das sehen. Das hilft herauszufinden wie der Support wirkt.
  3. Zudem frage ich, ob sie einen DPA, sofern ich das nicht schon entdeckt habe. Wenn ja, was steht drin, steht mehr oder nur (gültige) Standardklauseln drin?
  4. Ferner frage ich nach dem Vorgehen, wenn ein Kunde Auskunft haben will, seine Daten löschen will oder was ist bei einem Security-Breach das Vorgehen ist etc.
  5. Auch wenn dieses Vorgehen Aufwand bedeutet, damit erkenne ich, wie die Anderen drauf sind und wie die Reaktionszeiten sind. Daher stelle ich weitere für mich weitere relevante Fragen rund um das mich interessierende Produkt, immer.
  6. Sind alle Schritte erfolgreich, dann teste ich die Lösung umfangreich, wenn möglich mit einem Free-Account und sehe, ob es wirklich mir passt und ob ich mit denen arbeiten will. 

Selbstverständlich empfehle ich bei Unklarheiten rechtliche Fachpersonen beizuziehen. Als regelmässige Verifikationsrunde nehme ich mir einen Moment und peile dann meine Plattform-Lieferanten an. Dabei schaue ich nach, wie und ob sich was bei denen verändert hat. 

KMU zwingend AVV/DPA vereinbaren 

Habe ich mich für eine Plattform entschieden und ist eine Datenweitergabe von Kund*innen erforderlich (E-Mailadresse, IP oder so), dann strebe ich für mein Mikrounternehmen auf alle Fälle eine umgehende Unterzeichnung eines DPA/AVV an. Und dies vor dem ersten Datenfluss! Es kann sein, dass diese DPA/AVV auch Bestandteil von AGBs sind, beides wäre möglich. Damit erarbeite ich mir Klarheit und Transparenz.

Foto https://unsplash.com/de/fotos/geschaftsmann-unterschreibt-einen-vertrag-nahaufnahme-zweier-geschaftspartner-die-ein-vertragsdokument-unterzeichnen-geschaftsetikette-gluckwunsch-fusions-und-ubernahmekonzept-3Ud29QcTfT0 von Getty Images bei Unsplash+
Foto von Getty Images bei Unsplash+

Anschliessend ich ergänze die neue Plattform bewusst in meiner eigenen Datenschutzerklärung online. Das DPA/AVV lege ich im Office in einem Folder sauber ab oder trage es in eine Liste, wo AVVs in AGBs notiert sind. Das geht um die Nachvollziehbarkeit, ähnlich wie bei der Buchhaltung.

Beste Software-Features bringen kein Datenschutz

Mit meinen 2x6 Punkten erlebe ich auch Einschränkungen in Bezug auf die gewählte Lösung. Denn ich kann meine Ideen und Möglichkeiten nicht einfach mit einer x-beliebigen oder oft nicht mit der besten, töllsten oder supercoolen Online Super-Lösung realisieren. Das ist zwar schade, aber so zeigt sich schnell wer und wo in Bezug auf Datenschutz den Spreu vom Weizen trennt. Das ist für meine KMU-Verantwortung der gewichtige Aspekt. 

Plattform Check bringt eindeutigen Nutzen

Selbstverständlich resultiert sich aus diesen Punkten ein Mehraufwand, der jedoch nicht täglich oder wöchentlich anfällt, da hoffentlich nicht alle Wochen eine Plattform evaluiert werden will.
Es braucht bewusst mehr Zeiteinsatz für die Auswahl und Überprüfung an Partnerfirmen oder an Online-Platfformen. Es ist wie im echten Leben, man prüfe mit wem man sich einlässt, diese auch beleuchtet und bei Datenflüssen auch ein DPA/AVV unterzeichnet. 

Für mich ist dadurch für jegliche Datenflüsse ein Bewusst-werden und Bewusst-sein entstanden und damit eine neue Mit-Perspektive des Datenschutzes/Privatspäre, die in der digitalen Welt sicherlich nicht falsch ist. Nachteile, ausser etwas mehr Zeitaufwand, haben sich bislang nicht gezeigt.

Der Nutzen zeigt sich allerdings als verlässliche Partner. Ich habe mit einer kleinen Handvoll Plattformen und Softwarefirmen AVV/DPAs vereinbart. Gefunden habe ich für mein Unternehmen Plattformen und Partner aus der Schweiz, die Meisten aus dem EU-Raum, dem UK und vereinzelt nur wenige US-Firmen, die den nDSG als Teil ihrer Plattformen sehen. Mit der Zusammenarbeit mit gerade diesen Plattformen zeigt sich  bislang auch eine gute Service- und Supportqualität. 

Meine Empfehlungen an KMUs für Plattformcheck Datenschutz 

  • Zieht Datenschutzexperten bei, sobald ihr unsicher seid. Es lohnt sich strategisch auf richtige und datenschutzfreundliche Plattformen zu setzen. Auch ich habe mich beraten lassen, wie was wo und das hat mich in meinem Tun bestärkt.
  • Erkennt und haltet die Datenflüsse Deines Unternehmens einfach und nachvollziehbar fest. Damit schafft ihr für Euch in diesem Bereich eine sinnvolle Transparenz, ohne zu übertreiben.
  • Verbindet und checkt die Datenflüsse auch in der Schweiz und nicht nur im Ausland ab. Es kann sein, dass CH-Firmen für ihre Dienste Server/Plattformen im Ausland nutzen.
  • Sichert Euch für die Datenflüsse und Datenverarbeitungen Eurer genutzten Software, Cloudlösungen, Plattformen jeweils mit einem AVV/DPAs ab, sobald jegwelche Daten Eurer Kunden oder generell Daten Dritter im Spiel sind. Checkt auch Eure Web Analytics und Cookiedatenströme.
    Auch wenn AVV/DPA meines Erachtens wohl auch nicht einen 100% Schutz bieten, doch bringen sie eine Verpflichtung, Klarheit, Transparenz und zumindest die Möglichkeit von einforderbaren rechtlichen Schritten gegenüber einem Partner ein.
  • Setzt die Datenflüsse und deren Beteiligte umgehend in Eure Online-Datenschutzerklärungen, damit sie erwähnt und für die Kund*innen transparent sind. So funktioniert das nDSG meines Erachtens.

Eine zielführende und überprüfte Plattform-Partner-Auswahl für KMUs jeder Grösse ist wichtig, auch für Mikrounternehmen.

Fokusfalter © 2026 by Oliver Marugg is licensed under Creative Commons Attribution-ShareAlike 4.0 International