Beim Business Project Management (BPM) geht es im hier verstandenen Sinne darum, einen Geschäftsprozess über die Mittel der Informatik abzuwickeln. Dagegen ist das Ziel der serviceorientierten Architektur (SOA), die Strukturierung und vor allem Nutzung verteilter Funktionalität, die von verschiedenen Besitzern verantwortet wird. Beim BPM stellen sich somit sämtliche juristischen Fragen des entsprechenden Geschäftsbereichs, während bei der SOA der Datenschutz im Vordergrund steht, da durch das Ziel der SOA oft Inhaber und Nutzer der Datensammlungen nicht die gleichen sind.
Da es beim BPM im hier verstandenen Sinne darum geht, einen realen Geschäftsprozess mit Informatikmitteln durchzuführen, muss die ganze Bandbreite des einschlägigen Rechts schon im Projekt beziehungsweise bei dessen Planung berücksichtigt werden. Rechtlich relevant ist bereits die Publikation des entsprechenden Angebots unter dem Gesichtspunkt der relevanten lauterkeitsrechtlichen und allenfalls branchenspezifischen Vorschriften. Beim effektiven Start des Business spielt das Vertragsrecht und der Datenschutz bezüglich Abschluss und Erfassung der Kundendaten eine wichtige Rolle. Die Grundsätze des Datenschutzes sind in der Folge auch bei der Bearbeitung und Lagerung der Daten und bei einem allfälligen Zugriff durch Dritte einzuhalten. Im Rahmen der Rechnungsstellung, allenfalls sogar der elektronischen, kommen Vorschriften der Buchführung und der Archivierung zum Tragen. Am Schluss jedes Business-Prozesses steht die Löschung der damit verbundenen Daten, wobei dies oftmals vergessen geht oder so durchgeführt wird, dass die Daten wiederhergestellt werden können und dann irgendwo auf der Strasse wieder auftauchen. Beides Verstösse gegen die Regeln des Datenschutzgesetzes.
Bei der SOA ist rechtlich vor allem von Interesse, dass diese unter anderem ermöglichen soll, dass Dritte auf Daten zugreifen können, die von anderen generiert wurden. Rechtlich relevant sind dabei nur Daten, die in Bezug zu einer natürlichen oder juristischen Person gebracht werden können, was jedoch gemäss schweizerischer Rechtsprechung zum Beispiel schon auf E-Mail-Adressen zutrifft. Das bedeutet, dass bei einer SOA regelmässig Daten an Dritte weitergegeben werden, und es fragt sich aus datenschutzrechtlicher Sicht, ob dies den Betroffenen so kommuniziert wurde und ob diese mit der Weitergabe und der spezifischen Verwendung der Daten durch Dritte einverstanden sind. Dabei kommen vor allem die datenschutzrechtlichen Grundsätze der Transparenz und der Zweckbindung zur Anwendung. Der datenschutzrechtliche Grundsatz der Zweckbindung bedeutet, dass Daten nur für Zwecke verwendet werden dürfen, die den Betroffenen bei der Erhebung der Daten kommuniziert wurden oder von denen sie aufgrund der Umstände ausgehen mussten. Wenn etwa Daten eines Kundenbindungsprogramms im Rahmen einer SOA zur Prüfung der Bonität verwendet werden, stellt sich die Frage, ob der Kunde bei der Erfassung seiner Daten davon ausgehen musste, dass diese dafür verwendet werden. Klar ist die Sache, wenn er bei der Datenerhebung explizit informiert wurde.
Werden Juristen, ob intern oder extern, erst am Ende eines BPM oder SOA konsultiert, kann es sein, dass man im Projekt «zurück auf Feld eins» muss, da die rechtlichen Risiken zu gross sind und das Projekt somit zur Nullrunde wird. Um dies zu verhindern, ist den Schnittstellen zwischen Informatik und Recht frühzeitig die notwendige Aufmerksamkeit zu schenken. Das heisst, Juristen müssen von Anfang an ins Projekt miteinbezogen werden. Jeder wesentliche Projektschritt sollte auf die Vereinbarkeit mit den einschlägigen Normen geprüft werden.
Am Beispiel der Möglichkeit, eine Reise bestehend aus Flug und Hotel über ein Online-Tool eines Reisebüros zu buchen, können einige rechtliche Hotspots von BPM und SOA aufge-zeigt werden. Bei der Publikation eines solchen Angebots ist das Pauschalreisegesetz zu berücksichtigen. Dieses enthält vor allem auch Vorschriften betreffend der Information der Konsumenten. Diese Informationen müssen den Kunden in geeigneter Form zugänglich sein. Dazu gehört auch, dass die Informationen auf leichte Art ausgedruckt werden können. Richten sich solche Angebote auch an ausländische Kunden, sind die einschlägigen Vorschriften des entsprechenden Marktes mitzuberücksichtigen. Um nicht die Gesetze aller 27 EU-Mitgliedsländer konsultieren zu müssen, sind dafür die Minimalstandards der entsprechenden EU-Richtlinien sehr dienlich.
Beim Abschluss des Geschäftes ist es wichtig, dass die allgemeinen Geschäftsbedingungen (AGB) im Prozess so eingebaut werden, dass bei einer rechtlichen Auseinandersetzung dem Kunden bewiesen werden kann, dass er sie zur Kenntnis nehmen konnte, was die Voraussetzung für deren gültige Übernahme ist. Am besten geschieht dies so, dass das Geschäft nicht abgeschlossen werden kann, wenn nicht ein Button angeklickt wird, mit dem die Kenntnisnahme bestätigt wird. Bei der Erfassung von Kundendaten ist zu beachten, dass, entsprechend dem datenschutz-rechtlichen Grundsatz der Verhältnismässigkeit, nur Daten erhoben werden, die für den Geschäftsabschluss und die Durchführung des Vertrages notwendig und geeignet sind. Werden die Daten durch Mitarbeiter erfasst, sollten die entsprechenden Formulare eine geschlossene Struktur aufweisen, das heisst, Formularfelder wie «Bemerkungen», in denen irgendwelche Informationen erfasst werden können, sollten ausgeschlossen werden. Ebenfalls müssen die Kunden bei der Erfassung ihrer Daten über deren künftige Verwendung informiert werden. Wird, wie im konkreten Fall, ein Flug mit Hotel gebucht, darf diese personenbezogene Information allen mit der Durchführung betrauten Partnern übermittelt werden, jedoch nicht an ein Tochterunternehmen des Reisebüros, das Autos vermietet, da diese Dienstleistung nicht in Anspruch genommen wird. Im Rahmen einer SOA dürfte denn auch ein solches Drittunternehmen keinen Zugriff auf diese Daten nehmen können.
Bei der Rechnungsstellung sind insbesondere die Vorschriften der Buchführung und der Mehrwertsteuer zu berücksichtigen, wobei letztere nun auch eine elektronische Abrechnung ermöglichen. Für die Informatik wichtig sind die Vorschriften über die Form der Rechnung und deren Archivierung.
Geschäftsdaten, wie die des Beispiels der Buchung einer Reise, müssen aus obligationen- und steuerrechtlichen Gründen eine gewisse Zeit archiviert werden. Aus datenschutzrechtlicher Sicht müssen sie in dieser Zeit inaktiv geschaltet und getrennt von den aktiven Geschäftsdaten gehalten werden. Zugriff dürfen nur noch Personen haben, die mit der Archivierung betraut sind. Die Grundsätze des Datenschutzes gebieten es aber auch, dass die Daten nach dieser Zeit so gelöscht werden, dass sie nicht mehr wiederhergestellt werden können.
Fälle der eigenen Praxis und in letzter Zeit publik gewordene Fälle haben gezeigt, dass die Risiken der Unternehmen bei Nichtbeachtung der rechtlichen Rahmenbedingungen in BPM und SOA weniger bei rechtlichen Nachteilen in Geschäften oder bei drohenden Strafen liegen. Die Unternehmen und ihre Manager werden bei rechtlicher Nachlässigkeit viel mehr durch unerbittliche Medien gebeutelt, die entsprechende Mängel schonungslos aufdecken und an den Pranger stellen. Dies gilt insbesondere für den Datenschutz.
