Empfehlung

persönlich 09 September 2019

KS/CS Kommunikation Schweiz: Datenschutz – ein vielschichtiges Pflichtprogramm

Der Einsatz von Daten ist aus der kommerziellen Kommunikation nicht mehr wegzudenken. Wir wollen (potenzielle) Kunden individuell ansprechen, ihnen zum richtigen Zeitpunkt ein Angebot unterbreiten, das exakt auf ihre Bedürfnisse zugeschnitten ist, oder einfach in einer passenden Art und Weise mit ihnen kommunizieren. Dazu brauchen wir Daten, typischerweise mit Personenbezug. Spätestens dann müssen wir uns aktiv ums Thema Datenschutz kümmern.

Text und Grafik: Roger Muffler

 

Der Datenschutz ist ein äusserst vielschichtiges Thema – spätestens seit im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) beziehungsweise General Data Protection Regulation (GDPR) der EU in Kraft getreten ist. Für uns in der Schweiz stellt sich neben den inhaltlichen Herausforderungen die Frage, ob und wie die europäischen Normen angewendet werden müssen. Doch welche Regeln sind für die Schweiz grundsätzlich relevant? Da ist zuerst einmal das Bundesgesetz über den Datenschutz (DSG) aus dem Jahr 1992, dessen Neuauflage zurzeit vom Schweizer Parlament beraten wird. Als wichtige Grundsätze postuliert das bestehende Gesetz Transparenz und Zweckbindung. In der Praxis bedeutet dies zum Beispiel, dass eine werbetreibende Firma ihre Kunden im Bestellformular darauf aufmerksam macht, dass es ihre Daten für Werbezwecke verwendet, und die Kunden die Möglichkeit haben, dies zu untersagen. In diesem Fall spricht man vom Opt-out-Prinzip. Im Gegensatz zu Opt-in ist es dabei in der Regel nicht notwendig, dass der Kunde aktiv in die Nutzung der Daten einwilligt. Allerdings gibt es Ausnahmen; besonders schützenswerte Personendaten wie Gesundheitsdaten oder Angaben zur politischen Gesinnung dürfen zum Beispiel nur weitergegeben werden, wenn es der Kunde ausdrücklich gestattet. Zudem verlangt das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) in der Regel ein Opt-in für elektronische Massenversände wie E-Mail-Newsletters.

Hohe Bussen
Wenn ein Schweizer Unternehmen zum Beispiel in der EU Waren oder Dienstleistungen anbietet oder das Surfverhalten von Personen beobachtet (Tracking), muss es die DSGVO zwingend beachten. Im Bereich Datenschutz zählt übrigens auch das Fürstentum Liechtenstein zum EU Territorium; die DSGVO-Richtlinien sind im «Ländle» gleichermassen gültig wie in unseren anderen Nachbarländern. Das macht die Sache nicht einfacher – umso mehr als die EU bei Verstössen gegen die Grundverordnung hohe Bussen vorsieht: bis zu 20 Millionen Euro oder maximal 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens. Dass es die europäischen Datenschutzbehörden ernst meinen, zeigen die Bussen, die sie zwischenzeitlich ausgesprochen haben; so wurde unter anderen Google mit 50 Millionen Euro gebüsst, weil die Suchmaschine gegen das Transparenzgebot verstiess und ungültige Einwilligungen verwendete. Gerade für Unternehmen, für die nicht eindeutig ist, ob sie unter die DSGVO fallen oder nicht, ist es deshalb existenziell, ihre Risiken fundiert zu analysieren.

Berechtigtes Interesse
Anders als die Schweiz verlangt die EU in der Regel, dass die betroffene Person einwilligen muss, damit ihre Daten bearbeitet werden dürfen. Die formalen Anforderungen an diese Einwilligung sind hoch und gelten auch für «Altdaten», die erhoben worden sind, bevor die DSGVO in Kraft getreten ist. Die Datenschutz-Grundverordnung kennt daneben weitere Erlaubnistatbestände, allen voran das «berechtigte Interesse». Ein Unternehmen kann zum Beispiel zum Schluss kommen, dass seine Interessen (zielgerichtete Werbung, effizienter Absatz) höher zu bewerten seien als die Interessen der betroffenen Personen (Persönlichkeitsschutz, Privatheit) und es deshalb legitim sei, die Daten zu bearbeiten, ohne dass der Kunde in die Nutzung einwilligen muss. Wie weit Marketing- und Kommunikationsaktivitäten tatsächlich berechtigte Interessen im Sinn der DSGVO sind, ist in Fachkreisen umstritten. Der SDV beurteilt diesen Erlaubnistatbestand eher zurückhaltend und empfiehlt, im Zweifelsfall einen spezialisierten Anwalt beizuziehen.

 

«Falls Sie sich entscheiden, die DSGVO einzuhalten, sind Sie auf alle Fälle für das neue Schweizer Datenschutzgesetz gut aufgestellt.»

 

Heisses Eisen, heisse Diskussion
Ein weiteres «heisses Eisen» ist ePrivacy. Die Diskussion um dieses Thema wird heiss und begrifflich nicht immer ganz sauber geführt. Eine Auslegeordnung: Die ePrivacy-Richtlinie der EU stammt aus dem Jahr 2002 und wurde 2009 um die Cookie-Richtlinie ergänzt. Beide Richtlinien beinhalten Regeln zur elektronischen Kommunikation und zu damit verbundenen Tracking- und Analyseaktivitäten. Auch hier stehen Transparenz und Zweckbindung im Vordergrund. Eigentlich hätten beide Richtlinien parallel zur Einführung der DSGVO 2018 durch die ePrivacy Verordnung ersetzt werden sollen. Der europäische Gesetzgeber hat dieses Ziel jedoch weit verfehlt; wir rechnen nicht damit, dass sie vor 2021 in Kraft tritt. Aufgrund dieser Verspätung gibt es immer wieder Überschneidungen und Unverträglichkeiten zwischen der Datenschutz-Verordnung und den ePrivacy-Richtlinien. Ein prominentes Beispiel sind die Cookies. Während die DSGVO wie oben erwähnt mehrere Erlaubnistatbestände kennt, lässt die ePrivacy-Richtlinie ein Cookie nur zu, wenn der Nutzer dazu ja gesagt hat. Was gilt? Die Frage ist noch nicht abschliessend beantwortet. Es zeichnet sich jedoch ab, dass die künftige ePrivacy-Verordnung Cookies und Co. ebenfalls nur zulassen wird, wenn der Nutzer seine Einwilligung erteilt. Für Unternehmen, die ihre Datenbearbeitungen bis dahin ausschliesslich mit einem berechtigten Interesse begründeten, kann das zu einer Herausforderung werden.

Und die Schweiz?
Für die Schweiz ist der nächste Meilenstein die Einführung des neuen Bundesgesetzes über den Datenschutz (DSG). Damit der grenzüberschreitende Datenverkehr weiterhin möglich ist, fordert die EU von der Schweiz, dass sie sich der DSGVO weitgehend annähert und unter anderem härtere Sanktionen einführt. Es zeichnet sich allerdings ab, dass in der Schweiz auch künftig keine grundsätzliche Einwilligung erforderlich sein wird. Doch selbst ohne Opt-in- Erfordernis wird das Datenschutzmanagement wegen den erweiterten Informationspflichten aufwändiger und komplexer werden. Das neue DSG ist im Parlament (wieder) traktandiert für die anstehende Herbstsession. Falls das Gesetz im September verabschiedet wird, wird es nach Ablauf der Referendumsfrist frühestens im Frühling 2020 in Kraft treten; danach ist eine Übergangsfrist von zwei Jahren vorgesehen. Sollte es zu einem Referendum kommen, würde sich die Einführung noch weiter hinauszögern. Zusammenfassend lässt sich Folgendes sagen: Der Aufwand, die DSGVO einzuhalten, ist beträchtlich. Andererseits drohen sehr schmerzhafte Bussen. Prüfen Sie deshalb seriös, ob Sie unter die EU-Datenschutz- Grundverordnung fallen oder nicht; machen Sie eine Risikoanalyse und ziehen Sie im Zweifelsfall einen spezialisierten Anwalt bei. Falls Sie sich entscheiden, die DSGVO einzuhalten, sind Sie auf alle Fälle für das neue Schweizer Datenschutzgesetz gut aufgestellt.

 

persönlich 0919 1

Roger, Muffler, Head of Group Data & Marketing,
KünzlerBachmann Directmarketing AG

 

Ich danke meinem SDV-Vorstandskollegen Lukas Bühlmann für seinen Input zu diesem Artikel und den immer wieder spannenden Austausch zum Thema Datenschutz.

 

 

 Wieso KS/CS?
«Werbung ist die wichtigste Nebensache der Wirtschaft: Sie schafft Mehrwerte. Entsprechend von grossem Wert – kommerziell und emotional – ist das Engagement von Kommunikation Schweiz für liberale Rahmenbedingungen. Dieser Einsatz ist nicht nur fundamental für Auftraggeber, Agenturen und Medien, sondern auch für unsere gesamte freiheitliche Gesellschaft und Kultur.»

 

 

 

© Copyright: KS/CS Kommunikation Schweiz | Design & Technics by idfx.

KS/CS nutzt Cookies, um die Benutzerfreundlichkeit der Website zu optimieren. Durch die Nutzung unserer Website stimmen Sie der Verwendung von Cookies zu.