Unabhängige Experten- und Marktplattform für die Schweiz.

Presenting-Partner

Presenting-Partner Logo bluewaysPresenting-Partner Logo blueways
Presenting-Partner Logo Digitale SchweizPresenting-Partner Logo Digitale Schweiz
Presenting-Partner Logo EcoCloudPresenting-Partner Logo EcoCloud
Presenting-Partner Logo HostpointPresenting-Partner Logo Hostpoint
Presenting-Partner Logo Interxion SchweizPresenting-Partner Logo Interxion Schweiz
Presenting-Partner Logo ISE AG Informatik Solutions EinsiedelnPresenting-Partner Logo ISE AG Informatik Solutions Einsiedeln
26.03.2018

Datenschutz aus Marketingsicht

Dr. Christian Laux

Die kommende, neue EU Datenschutz-Grundverordnung (DSGVO) ist auch für Schweizer Unternehmen relevant, insbesondere dann, wenn (potentielle) Kunden aus dem EU-Raum stammen. Der vorliegende Beitrag gibt ein Schlaglicht auf Regelungen aus dem EU-Ausland, die das Datenschutzrecht auch in der Schweiz mittelfristig beeinflussen könnten.

Überblick über das Datenschutzrecht
Die DSGVO kommt insbesondere dann zum Zuge, wenn Schweizer Unternehmen, die Daten von Personen bearbeiten, welche in der EU wohnen, diesen Personen Waren oder Dienstleistungen anbieten oder das Verhalten von diesen Personen analysieren. Es spielt dabei keine Rolle, ob die Daten in der EU oder in der Schweiz bearbeitet werden.

Die DSGVO betrifft ebenso Unternehmen, die keine Tochterfirma oder eine Niederlassung im europäischen Raum haben. Konkret betroffen sind beispielsweise Schweizer Exporteure, Versandhändler und Betreiber von Onlineplattformen für Bestellungen. Auch erfasst sind alle Firmen, die auf einer Website oder mittels Smartphone-App das Verhalten der Besucher analysieren. Gleichzeitig müssen Schweizer Unternehmen in jedem Fall die Schweizer Gesetzgebung zum Datenschutz berücksichtigen. Das Schweizer Datenschutzgesetz befindet sich zurzeit in Revision und wird voraussichtlich in der Frühlingssession 2018 im Parlament behandelt.

Inhaltlich (in Bezug auf die zu treffenden Massnahmen) ist die DSGVO nicht dramatisch neu im Vergleich zur aktuellen Gesetzgebung. Allerdings wurden die Sanktionen deutlich erhöht. Hier ist zu beachten, dass in der EU das Unternehmen haftbar ist. In der Schweiz soll nach dem bis jetzt vom Bundesrat vorgelegten Entwurf der Mitarbeiter strafrechtlich verantwortlich sein. Eine direkte Strafbarkeit von Mitarbeitenden besteht jedoch bereits unter dem heute geltenden Datenschutzgesetz. Die Sanktionen sind im Moment noch relativ milde, mit dem neuen Schweizer Datenschutzgesetz sollen diese aber deutlich erhöht werden. Deshalb ist es für Marketingverantwortliche zukünftig unabdingbar (Eigenschutz), dass sie die Prozesse in Bezug auf das Erheben, Speichern, Verwenden und Löschen von personenbezogenen Daten kennen.

Es ist ausserdem wichtig, dass man unter dem Stichwort "Datenschutz" nicht nur an die Europäische Datenschutzgrundverordnung (DSGVO) und das schweizerische Datenschutzgesetz denkt, sondern auch an die sog. ePrivacy-Regelung. Die ePrivacy-Gesetzgebung der EU ist für Marketingabteilungen ebenso relevant wie die DSGVO.

Kurzübersicht über die DSGVO
DSGVO. Die DSGVO lässt sich wie folgt kurz zusammenfassen:

  • Es geht aus Unternehmenssicht primär darum, Strafsanktionen und Haftung zu vermeiden
  • Wer die Datenflüsse in seinem Unternehmen im Griff und dokumentiert hat, braucht weder Strafsanktionen noch Haftung zu befürchten. Notwendiges Instrument dazu ist ein aussagekräftiges Datenverarbeitungsverzeichnis, auf das jederzeit zugegriffen werden kann und das im entscheidenden Moment die entscheidenden Fragen beantwortet.
  • Teilweise muss das Unternehmen proaktiv Information an die betroffenen Personen richten (wenn es Daten über die betroffene Person sammelt, aber diese nicht bei der betroffenen Person erhebt).
  • In Fällen intensiver Datennutzung muss das Unternehmen ausserdem eine Datenschutzfolgeabschätzung durchführen (Identifikation von Risiken mit Massnahmen zur Minimierung der Risiken) und einen Datenschutzbeauftragten bestellen (diesbezüglich können nationale Umsetzungsgesetze Sonderbestimmungen aufstellen).
  • Jederzeit müssen ausreichende technische, organisatorische sowie vertragliche Mass-nahmen zum Schutz von Personendaten eingerichtet sein.
  • Weitere Aufgabenstellungen lassen sich automatisieren, das ist aber nicht unbedingt erforderlich. Das Unternehmen muss aber selbstverständlich in der Lage sein, auf Anliegen von betroffenen Personen zu reagieren.

Kurzübersicht über die ePrivacy Richtlinie
ePrivacy. Es geht hierbei unter anderem um Massenemails, Cookies, Rufnummernunterdrü-ckung sowie die Aufbewahrung von Daten durch Anbieterinnen von Leistungen im Internet. ePrivacy ist aus Marketing-Sicht sehr relevant. Die jetzige Regelung in der EU findet man unter dem folgenden Link. In der Schweiz sind diese Fragen im Bundesgesetz gegen den unlauteren Wettbewerb, UWG (Email-Marketing), im Fernmeldegesetz, FMG (Cookies) und im Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs, BÜPF (Speicherung/Schutz Vertraulichkeit) geregelt.

Die ePrivacy-Regelungen sind derzeit besonders in der Diskussion, weil hier Anpassungen geplant sind (ursprünglich bereits auf Mai 2018, zu erwarten ist die neue Regelung nun aber wohl erst auf 2019). Der aktuelle Entwurfsstand für die künftige Regelung von ePrivacy in der EU ist einsehbar unter dem folgenden Link. Der Entwurfsstand lässt sich kurz wie folgt zusammenfassen:

  • Die heute gängigen Tracking- und Targetingtechnologien (Cookie-Synchronisation, das Cross-Device-Targeting oder das Online Behavioral Advertising) sollen mit der neuen Regelung konsequent dem Datenschutzrecht unterstellt werden. Namentlich die folgenden Daten, sollen als personenbezogene Daten gelten: Online-Identifier wie z.B. Cookie-IDs, Advertising-IDs, IP-Adressen oder auch Standortdaten.
  • Ausnahmen von der Verpflichtung, die Einwilligung für das Setzen von Cookies oder den Zugriff auf solche einzuholen, bestehen, sind aber beschränkt auf Situationen, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet (namentlich zur Nutzung wie es der Kunde gewünscht hat).
  • Cookie-Walls (mit wenig hilfreichen Cookie-Hinweisen) werden nicht mehr als genügend anerkannt.

Unternehmen sollten ihre Datenschutzerklärungen überprüfen, wenn die ePrivacy Verordnung in Kraft tritt.

Massnahmen aus Marketingsicht
Marketingabteilungen von Unternehmen sollten sich unbedingt auch mit den ePrivacy-Regeln auseinandersetzen. Es geht auch hier massgeblich um die Frage, inwiefern eine Aktivität die Zustimmung der betroffenen Person oder der Empfängerin einer Kommunikation erfordert. Die folgenden Massnahmen dürften auf jeden Fall zum Mindestumfang dessen gehören, was ein Unternehmen mit Blick darauf vorkehren sollte:

  • Landingpage für Informationsanfragen, Löschbegehren, Unsubscribe-Requests und dergleichen aufsetzen, mit Standard-Email-Account als "Briefkasten".
  • Prozess zu raschen Beantwortung (1 Monat) aufsetzen (Standardemails, Zuständigkeiten), wobei sichergestellt sein muss, dass jede Anfrage separat abgefragt wird.
  • Generell sollte die Marketingabteilung (bzw. das Gesamtunternehmen) den Data LifeCycle im eigenen Unternehmen verstehen, insbesondere in Bezug auf: Erhebung (Direkt aus öffentlichen Quellen, Bezug von Daten über einen Dienstleister oder warme Kontakte?), diesbezüglich sollten die vorliegenden Einwilligungserklärung konsequent bestätigt und neue über Kampagnen eingeholt werden (oder sonst Beschaffung über einen Dienstleister); Speicherung (siehe z.B. "Cloud Privacy Check", http://cloudprivacycheck.eu), Verwendung und Löschung.

Was Einwilligung bedeutet und wie mit dem Einholen von Einwilligungserklärungen umgegangen werden kann, zeigen Hilfestellungen der englischen Datenschutzbehörden schön auf. An dieser Stelle kann gut auf diese verwiesen werden:

Experte Dr. Christian Laux auf Cloud-Finder Schweiz
LAUX LAWYERS AG auf Cloud-Finder Schweiz


Dr. Christian Laux - LAUX LAWYERS AG


SOCIAL NETWORKS
  • myCloudService

    Wählen Sie hier Ihre Anforderungen und lassen Sie sich die passenden Angebote / Anbieter anzeigen:

    • Dienstleistungen
    • Cloud Business Software
    • Infrastructure Cloud Services
    • Cloud Governance
    • Cloud-Security-Services
    • Cloud-Technologie /-Service-Art
    • RZ-Infrastruktur
    • Support Services
    • Usability
    • Zertifizierung / Empfehlung

    Cloud-/ DL-/ RZ-Anbieter

    Gartner & Cloud Computing

    Buchempfehlung

    Partner

    Cloud-Finder Schweiz: Newsletter