Die neuen Datenschutzgesetze der Schweiz und der EU verlangen, den Datenschutz schon während der Planungsphase zu berücksichtigen. Dies wird als «Privacy by Design» betitelt. Dieser Begriff vermittelt aber den falschen Eindruck, dass hier einzig die Softwarehersteller in die Pflicht genommen werden. Alle Unternehmen, welche Software zur Bearbeitung von Personendaten einsetzen (CRM-, ERP-, HR- und MCM-Lösungen), sind davon betroffen. Besonders bei der Evaluation und Einführung einer neuen Software ist dem Datenschutz schon früh Rechnung zu tragen. Nicht jede Software erfüllt per se die neuen Anforderungen.
Für einen besseren Investitionsschutz immer auch EU-DSGVO einbeziehen
Im Folgenden werden die wichtigsten Aspekte erläutert. Dabei unterscheiden wir nicht zwischen der EU-Datenschutz-Grundverordnung (EU-DSGVO) und dem kommenden Schweizer Datenschutzgesetz. Erstens müssen die meisten Schweizer Unternehmen beide Gesetze einhalten und zweitens sollten auch Unternehmen welche von der EU-DSGVO nicht betroffen sind, im Sinne eines Investitionsschutzes schon bei der Evaluation alle Aspekte berücksichtigen. So steht dem Unternehmen einer zukünftigen Markterweiterung in Richtung EU oder der Rekrutierung von Personal aus der EU nichts entgegen.
Betroffene Unternehmenssoftware
Grundsätzlich betroffen sind alle Systeme, mit welchen Daten von natürlichen Personen verarbeitet werden. Dabei ist das Augenmerk nicht nur auf Interessenten und Kunden zu legen, sondern z.B. auch auf Mitarbeiter, Stakeholder oder Ansprechpartner von Firmenkunden. Die wichtigsten Anwendungen dafür sind CRM-, ERP-, HR- und Multi-Channel-Marketing-Lösungen (MCM). Diese vier sind auch im Fokus des vorliegenden Blog-Posts. Aber auch andere Applikationen wie Kundenportale oder Newslettertools sind davon betroffen. Sollten Sie mehrere Lösungen einsetzen, ist es wichtig, dass die Personendaten in allen Systemen aktuell und die Zugriffsberechtigungen sowie Einwilligungen der betroffenen Personen identisch sind. Wer jetzt meint, das betreffe ihn nicht, da sein Unternehmen kein CRM-System im Einsatz hat und alles auf Excel-Listen führt, irrt sich. Auch in diesem Fall gilt das Datenschutzgesetz und mit Excel wird es sehr schwierig, den gesetzlichen Anforderungen zu genügen.
Rechenschaftspflicht
Die Unternehmen müssen Beweisen können, dass die Auswahl seriös und auch unter dem Aspekt des Datenschutzes erfolgt ist. Die aktive Dokumentationspflicht ist eine Folge der Beweisumkehrlast. Es wird somit empfohlen, auch die Evaluation und den Entscheidungsprozess gut zu dokumentieren.
Land der Datenspeicherung und Bearbeitung
Wird die Software nicht im eigenen Rechenzentrum in der Schweiz betrieben, muss sichergestellt werden, dass erstens die Daten in einem Land gespeichert werden, welches die gesetzlichen Anforderungen erfüllt und zweitens, dass der Betreiber (Auftragsbearbeiter) sorgfältig ausgewählt wurde. Dies gilt vor allem bei einer Cloud-Lösung und bei externem Hosting. Wichtig ist in jedem Fall sicherzustellen, dass dies auch für den Back-up oder weitere Kopien der Daten gilt. Die Absicherung, dass der Datenschutz auch von Dritten eingehalten wird, erfolgt am besten mit einem Auftragsbearbeiter-Vertrag und einem durch diesen erstellten Verzeichnis der Bearbeitungstätigkeiten.
System-Zugriff und Berechtigungen
Die Personendaten sollen nur jenen Bearbeitern zur Verfügung stehen, welche diese für ihre Arbeit benötigen. Deshalb muss die Software zulassen, dass rollenbasierte Berechtigungskonzepte hinterlegt werden können. Zudem müssen die Zugriffe eindeutig sein und protokolliert werden (Access logging). Grundsätzlich werden wohl wenige Systeme diese Forderung nicht erfüllen. Wichtig ist aber, dass die unternehmensspezifischen Gegebenheiten in den Berechtigungen abgebildet werden können und dass die weiter unten beschriebenen Einschränkungen zur Bearbeitung, den individuellen Einwilligungen der Betroffenen angepasst werden können. Mit diesen Massnahmen wird ein Grossteil der Forderung nach «Privacy by Default» abgedeckt.
Protokollierung der Datenbearbeitung
Die Bearbeitung der Personendaten muss in einem Logfile protokolliert und nachvollzogen werden können. Eine Protokolldatei sollte insbesondere folgende Angaben enthalten: wer (Authentifizierung), wann (Zeitstempel), welche Aktivität (Dateneingabe und -modifikation), an welchen Daten vorgenommen hat. Dabei gilt es zwischen Aktivitäten von Administratoren, Anwendern und dem System zu unterscheiden. In erster Linie geht es darum, Manipulationen an Personendaten aufzudecken.
Zugriff auf sensitive Daten
Gewisse Personendaten sind besonders gut vor dem Zugriff zu schützen. Nur schon alleine das Anzeigen und Lesen dieser Daten soll eingeschränkt werden können. Dazu gehören einerseits die im Gesetz aufgezählten besonders schützenswerten Daten wie Religion oder Rassenzugehörigkeit und anderseits vom Unternehmen selber zu definierende Daten wie der Lohn oder Zugriffscodes. Die Lösung soll protokollieren, welcher Bearbeiter wann diese Daten angeschaut hat (Read Access Logging). Sensitive Daten müssen darum im System unternehmensindividuell gekennzeichnet und die Bearbeitung im Berechtigungskonzept berücksichtigt werden können.
Schnittstellen und Datenexport
Neben dem Zugriff auf Personendaten durch Bearbeiter tauschen Systeme auch Personendaten über Schnittstellen mit anderen Systemen aus. Hier gilt es sicherzustellen, dass der Datenaustausch überwacht und protokolliert wird. Es ist auch darauf zu achten, dass in den Umsystemen die gleichen Einstellungen für die Einhaltung des Datenschutzes vorgenommen werden. Der Export von Personendaten (z.B. als CSV-File) muss auf die einzelnen Datenfelder und auf den Bearbeiter eingeschränkt sowie protokolliert werden können.
Einwilligung zur Bearbeitung
Das System muss die Möglichkeit bieten, die Einwilligungen der Betroffenen zu unterschiedlichen Bearbeitungsarten zu hinterlegen und allenfalls automatisch einzuschränken. Wichtig ist, dass die Beschränkung auch nur für einzelne Prozesse oder Kontaktformen möglich sein muss. Gerade MCM-Systeme lassen hier schon heute sehr differenzierte Einwilligungen zu (z.B. auf einzelnen E-Mailadressen oder Kommunikationskanäle). Problematisch ist häufig die Synchronisation mit alten CRM-Systemen, welche eine solche differenzierte Einwilligung der Kunden zur Datenbearbeitung nicht zulassen.
Recht auf Vergessen
Personendaten dürfen nur solange gespeichert werden, wie der Zweck es erfordert. Dazu sind entsprechende Fristen zu definieren. Nach Ablauf dieser Fristen sind die Personendaten entweder zu löschen, zu anonymisieren oder aus allfälligen Transaktionen zu entfernen (Depersonalisierung der Transaktion). Das zu evaluierende System muss diese Prozesse automatisiert unterstützen, andernfalls droht hier massiver manueller Aufwand.
Auskunftsrecht
Jede Person kann vom Unternehmen verlangen, Auskunft darüber zu erhalten, ob und wenn ja, welche Daten von ihr bearbeitet werden, woher die Daten stammen und was der Bearbeitungszweck ist. Für Unternehmen wird es in Zukunft wichtig sein, eine solche Auskunft automatisiert und ohne grossen Aufwand erstellen zu können.
Portabilität der Daten
Aktuell ausschliesslich im EU-DSGVO gilt, dass eine Person das Recht hat, die sie betreffenden personenbezogenen Daten, welche sie einem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das System muss somit gewährleisten, einen solchen Datenexport auf einfache Weise zu erstellen.
Implementierungspartner und Support
Im Rahmen der Evaluation ist nicht nur die Datenschutztauglichkeit des Systems zu prüfen, sondern auch diejenige des Implementierungspartners. Dies betrifft sowohl die Phase des Projektes wie auch des darauffolgenden Supports. Relevante Aspekte sind allfällige Subunternehmer, Remoteaccess von Entwicklern aus dem Ausland, der Prozess der Datenmigration sowie die Berechtigungen und die eindeutige Identifikation der auf die Daten zugreifenden Projekt- oder Supportmitarbeiter. Für die Supportphase bietet sich auch hier wiederum ein Auftragsbearbeiter-Vertrag an.
Datenschutzfolgeabschätzung
Vor Projektstart lohnt es sich abzuklären, ob es nötig ist, eine Datenschutzfolgeabschätzung zu machen. Diese ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschliesslich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten (Profiling). Dabei handelt es sich um mehr als eine wichtige Formalität, welche nicht nur wegen der Rechenschaftspflicht ernst zu nehmen ist.
Information der Bearbeiter und Fristen
Natürlich unterstehen auch die Logfiles mit den Aufzeichnungen der Aktivitäten Ihrer Mitarbeiter dem Datenschutz. Nachdem Sie in der Evaluation alles richtig gemacht haben, vergessen Sie also nicht, die Bearbeiter resp. Ihre Mitarbeiter darüber zu informieren, dass Ihre Systemaktivitäten aufgezeichnet werden. Zudem müssen auch bei allen Logfiles Fristen definiert werden, wie lange Sie die Aufzeichnungen aufbewahren und wann und wie diese gelöscht werden.
Unterstützung zur Software-Evaluation
Das Ganze mag jetzt nach sehr viel Formalität klingen. Beachten Sie aber, dass vieles schon bisher berücksichtigt werden musste. ADVANIS hat viel Erfahrung mit der Evaluation von Unternehmenssoftware-Software und fährt einen pragmatischen Ansatz, um das optimale System und den geeigneten Implementierungspartner zu evaluieren. Gerne diskutieren wir Ihr Vorhaben und zeigen Ihnen auf, wie Sie zu Ihrer Wunschsoftware kommen und Ihre Investition am besten schützen können.
Datenschutz-Management-System
Aus den Erfahrungen der letzten Jahre hat ADVANIS ein einfaches auf Excel basiertes Datenschutz-Management-System für Schweizer KMU mit folgendem Inhalt entwickelt:
- Datenschutzrichtlinie mit den Grundsätzen an welchen sich das Unternehmen orientiert
- Liste der relevanten Vorgaben zum Datenschutz inkl. Beurteilung der IST-Situation, der Massnahmen, Verantwortlichkeiten und der Kontrollmechanismen
- Liste der relevanten Tätigkeiten zur Datensicherheit inkl. Abstimmung mit IKS
- Verzeichnis der Bearbeitungstätigkeiten
- Verzeichnis der Auftragsbearbeiter inkl. der vertraglichen Situation
- Vorlage für Datenschutzabschätzung
Sollten Sie sich dafür interessieren, erläutern wir Ihnen gerne unser Vorgehen für die effiziente Erstellung eines solchen Datenschutz-Management-Systems.
Kontakt für die Erstellung Datenschutz-Management-Systems
Photo by Markus Spiske on Unsplash
