revDSG-Konformität, Schweizer Hosting, Datenlöschung und Aufbewahrungspflichten — warum internationale CRM-Lösungen für Schweizer KMU problematisch sein können.
Kurz gesagt: CRM-Daten gehören zu den sensibelsten Geschäftsinformationen eines Unternehmens. Das revidierte Datenschutzgesetz (revDSG) stellt seit September 2023 klare Anforderungen an deren Verarbeitung. Schweizer Hosting ist nicht gesetzlich vorgeschrieben, bietet aber erhebliche Vorteile: Schweizer Recht, EDÖB als Aufsichtsbehörde, kein Risiko durch US-CLOUD-Act oder EU-Regulierungswechsel. Finito Pro und bexio hosten in der Schweiz, Pipedrive in Irland, HubSpot und Salesforce primär in den USA.
Das revidierte Datenschutzgesetz (revDSG), das am 1. September 2023 in Kraft getreten ist, bringt wesentliche Verschärfungen für die Verarbeitung von Personendaten mit sich. Für CRM-Systeme sind folgende Punkte besonders relevant: Die Informationspflicht (Sie müssen Ihre Kunden darüber informieren, welche Daten Sie speichern und zu welchem Zweck), das Recht auf Auskunft (jeder Kunde kann verlangen, zu erfahren, welche Daten über ihn gespeichert sind), das Recht auf Löschung (Kunden können die Löschung ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht), und die Datensicherheit (angemessene technische und organisatorische Massnahmen zum Schutz der Daten).
Für ein CRM-System bedeutet das konkret: Die Software muss es ermöglichen, Auskunftsbegehren zu beantworten (welche Daten sind zu einem bestimmten Kunden gespeichert?), Daten zu löschen (wenn ein Kunde dies verlangt und keine Aufbewahrungspflicht besteht), den Zugriff auf Kundendaten zu beschränken (nicht jeder Mitarbeiter muss alle Daten sehen), und einen Exportmechanismus zu bieten (Datenportabilität). Finito Pro unterstützt alle diese Anforderungen: Datenexport pro Kontakt, Löschfunktion mit Protokollierung, rollenbasierte Zugriffsrechte und ein revDSG-konformes Aufbewahrungskonzept.
Schweizer Hosting ist nicht gesetzlich vorgeschrieben — das revDSG erlaubt die Übermittlung von Personendaten ins Ausland, sofern ein angemessenes Datenschutzniveau gewährleistet ist. Die EU, Grossbritannien und einige weitere Länder gelten als Staaten mit angemessenem Schutz. Die USA hingegen stehen auf keiner Angemessenheitsliste — der Datentransfer in die USA erfordert zusätzliche Garantien (z. B. Standardvertragsklauseln oder Zertifizierungen).
In der Praxis bietet Schweizer Hosting jedoch erhebliche Vorteile: Erstens, Rechtssicherheit — Ihre Daten unterliegen dem Schweizer Recht, und bei Streitigkeiten gilt Schweizer Gerichtsbarkeit. Zweitens, kein Risiko durch US-CLOUD-Act — US-Behörden können von US-Unternehmen die Herausgabe von Daten verlangen, auch wenn diese im Ausland gespeichert sind. Bei Schweizer Hosting besteht dieses Risiko nicht. Drittens, Vertrauen — Ihre Kunden wissen, dass ihre Daten in der Schweiz bleiben. Gerade für Handwerker und Dienstleister, die lokal arbeiten und lokale Kunden betreuen, ist das ein Vertrauensfaktor.
Die Hosting-Standorte der CRM-Anbieter im Vergleich: Finito Pro hostet ausschliesslich in der Schweiz (Rechenzentrum in Zürich, Tier-4-zertifiziert). bexio hostet ebenfalls in der Schweiz (Rechenzentrum in der Zentralschweiz). Pipedrive hostet in der EU (Irland und Deutschland) — revDSG-konform dank Angemessenheitsbeschluss, aber kein Schweizer Recht. HubSpot hostet primär in den USA, mit Option für EU-Hosting (Frankfurt) gegen Aufpreis. Salesforce hostet in der EU (Frankfurt) mit Option für Hyperforce in weiteren Regionen. Zoho hostet in der EU (Niederlande) und den USA.
Im CRM gespeicherte Daten unterliegen unterschiedlichen Aufbewahrungspflichten: Geschäftsbriefe und Verträge (inkl. Offerten und Auftragsbestätigungen) müssen 10 Jahre aufbewahrt werden. Rechnungen und Buchhaltungsbelege ebenfalls 10 Jahre. Marketingdaten und Notizen zu Telefongesprächen haben keine gesetzliche Aufbewahrungspflicht — sie dürfen nur so lange gespeichert werden, wie ein sachlicher Grund besteht. Für Interessenten-Kontakte, die keinen Auftrag erteilt haben, empfehlen wir eine Löschung nach spätestens 2 Jahren — sofern der Kontakt nicht von sich aus eine weitere Aufbewahrung wünscht.
Ein gutes CRM unterstützt diese Anforderungen mit automatischen Löschvorschlägen: Kontakte ohne Aktivität seit X Monaten werden markiert und zur Überprüfung vorgeschlagen. Finito Pro bietet diese Funktion, bexio implementiert sie als Teil der Buchhaltungs-Aufbewahrungspflicht. Bei Pipedrive, HubSpot und Salesforce müssen Löschfristen manuell konfiguriert und überwacht werden — was in der Praxis oft vergessen wird.
Basierend auf unserer Analyse empfehlen wir Schweizer KMU folgende Vorgehensweise bei der CRM-Wahl in Bezug auf Datenschutz: Erstens, bevorzugen Sie Anbieter mit Schweizer Hosting — auch wenn EU-Hosting technisch revDSG-konform ist, bietet Schweizer Hosting die grösste Rechtssicherheit und das höchste Kundenvertrauen. Zweitens, prüfen Sie den Auftragsbearbeitungsvertrag (Data Processing Agreement) des Anbieters — dieser sollte explizit auf das revDSG Bezug nehmen und die Pflichten des Anbieters als Auftragsbearbeiter klar definieren. Drittens, stellen Sie sicher, dass das CRM Datenexport und Löschung unterstützt — damit Sie Auskunfts- und Löschbegehren Ihrer Kunden effizient beantworten können.
Viertens, implementieren Sie rollenbasierte Zugriffsrechte — nicht jeder Mitarbeiter muss alle Kundendaten sehen. Der Lehrling auf der Baustelle braucht die Adresse und Telefonnummer, aber nicht die Rechnungshistorie oder persönliche Notizen. Fünftens, dokumentieren Sie Ihre Datenverarbeitung — eine einfache Übersicht, welche Daten Sie in welchem System speichern, genügt für die meisten KMU. Bei einer Kontrolle durch den EDÖB (selten bei KMU, aber möglich) zeigt diese Dokumentation, dass Sie sich mit dem Thema auseinandergesetzt haben.