Seit das revidierte Datenschutzgesetz im September 2023 in Kraft getreten ist, hat sich die rechtliche Lage rund um Cloud-Buchhaltung verschärft. Viele KMU nutzen seit Jahren Bexio, Banana Plus, Run my Accounts oder ähnliche Dienste und haben dabei nie wirklich geprüft, was die Software mit den Daten macht. Das war früher kalkulierbar nachlässig. Heute ist es ein konkretes Risiko, mit Bussen bis zu 250'000 Franken und persönlicher Haftung der Geschäftsleitung.
Die folgende Checkliste hilft, das eigene Setup nüchtern zu prüfen. Sie ist nicht juristisch erschöpfend, deckt aber die Punkte ab, an denen in der Praxis am häufigsten Lücken entstehen.
Welche Daten in der Cloud-Buchhaltung Personendaten sind
Vor der Checkliste ein Grundsatz, der oft missverstanden wird: praktisch jede Cloud-Buchhaltung verarbeitet Personendaten. Lohndaten von Mitarbeitenden, Kontaktangaben in Kunden- und Lieferantenstammdaten, Namen auf Belegen und Rechnungen, persönliche Notizen im CRM-Modul: das alles fällt unter das DSG.
Bei Lohndaten und Vorsorgeangaben kommen zudem besonders schützenswerte Personendaten dazu, für die strengere Anforderungen gelten. Auch hier sind viele Setups historisch gewachsen und nicht systematisch geprüft.
Die acht Prüfpunkte
Datenstandort. Wo werden die Daten verarbeitet und gespeichert. Schweiz und EU sind unproblematisch. Verarbeitung in den USA ist seit September 2024 über das Swiss-US Data Privacy Framework möglich, aber nur wenn der Anbieter unter dem DPF zertifiziert ist. Die Liste der zertifizierten Unternehmen ist öffentlich beim US Department of Commerce einsehbar.
Auftragsbearbeitungsvertrag. Mit jedem Anbieter, der Personendaten verarbeitet, braucht es einen Auftragsbearbeitungsvertrag nach Art. 9 DSG. Die meisten seriösen Anbieter haben einen Standard-Vertrag, der online akzeptiert werden kann. Wer keinen findet, sollte aktiv nachfragen.
Subprozessoren. Welche weiteren Dienstleister hat der Anbieter zugezogen, also etwa Hosting-Provider, Wartungsfirmen, Support-Dienstleister im Ausland. Diese Liste muss verfügbar und Änderungen ankündigungspflichtig sein.
Zugriffsrechte. Wer auf Seiten des Anbieters kann auf die Daten zugreifen, und unter welchen Bedingungen. Support-Mitarbeitende, die jederzeit in Mandate hineinschauen können, sind ein Warnsignal.
Verschlüsselung. Sind die Daten sowohl bei der Übertragung (TLS) als auch bei der Speicherung (at rest) verschlüsselt. Bei sensiblen Daten wie Lohn ist Verschlüsselung at rest faktisch Pflicht.
Aufbewahrung und Löschung. Wie lange werden Daten gespeichert, was passiert beim Vertragsende. Die Pflicht zur Aufbewahrung von Geschäftsunterlagen nach OR (zehn Jahre) muss sauber von der Aufbewahrung beim Anbieter getrennt werden.
Meldepflicht bei Datenschutzverletzung. Der Anbieter muss unverzüglich informieren, wenn es zu einem Datenleck oder unberechtigtem Zugriff kommt. Die Frist und der Meldekanal sollten im Vertrag stehen.
Backups. Wo werden Backups gespeichert, wie lange, wie geschützt. Ein Backup in einer anderen Jurisdiktion ist ein Datentransfer, der den gleichen Regeln unterliegt wie die Primärspeicherung.
Was bei einem Wechsel zu prüfen ist
Wer den Anbieter wechselt, sollte ein Augenmerk darauf legen, was mit den bisherigen Daten passiert. Drei Fragen sind dabei besonders wichtig: Bekommt man die eigenen Daten in einem brauchbaren Export-Format zurück. Wie lange dauert die endgültige Löschung beim alten Anbieter. Gibt es eine schriftliche Löschbestätigung.
Die Aufbewahrungspflichten aus dem Schweizer Obligationenrecht bleiben dabei unberührt: zehn Jahre für Geschäftsbücher und Buchungsbelege. Diese Pflicht trifft den Mandanten, nicht den Anbieter, und muss organisatorisch unabhängig vom genutzten Tool sichergestellt sein.
Eine pragmatische Notiz zum Schluss
Niemand erwartet von einem KMU eine juristisch perfekte Datenschutz-Architektur. Erwartet wird aber, dass die wichtigsten Fragen einmal gestellt und dokumentiert wurden. Wer die acht Punkte oben einmal pro Anbieter durchgegangen ist, hat einen Grossteil des Risikos abgedeckt. Wer es nie gemacht hat, sollte sich nicht von der Komplexität abhalten lassen: die meisten dieser Fragen lassen sich an einem Nachmittag klären, oft direkt aus den Datenschutz-Dokumenten des Anbieters.