Autorin: Vera Baldo-Tschan, Bilder: z.V.g.

Das bisherige Schweizer Datenschutzgesetz stammt aus dem Jahre 1992. Seither hat sich im Bereich Daten und Digitalisierung sehr viel verändert. Das Parlament hat deswegen im Herbst 2020 ein neues Datenschutzgesetz verabschiedet. Nun folgte im Sommer 2021 der bundesrätliche Entwurf zur Verordnung.
Der Dachverband der Schweizer Wirtschaft economieuisse hat den Gesetzgebungsprozess intensiv mitbetreut: «Neue Technologien führen zu neuen Möglichkeiten der Erhebung und Nutzung von Personendaten. International und vor allem auf EU-Ebene wurde die Gesetzgebung modernisiert und ausgebaut. Vor diesem Hintergrund galt es, das Schweizer Recht anzupassen, da für die Schweiz im Bereich Datenschutz eine international abgestimmte Regulierung zentral ist», sagt Leonie Ritscher, wissenschaftliche Mitarbeiterin Wettbewerb und Regulatorisches bei economiesuisse.

Die richtige Person finden und ansprechen

Die bundesrätliche Verordnung beinhaltet auch Regulierungen für das Profiling, mit welchem durch Verknüpfen von verschiedenen Daten Verhaltensmuster und Persönlichkeitsprofile erstellt werden können. Ein Beispiel sind Onlineshops, die das Surfverhalten von Nutzerinnen und Nutzern analysieren und diesen dann Kaufempfehlungen unterbreiten. Das Profiling gehört somit in der Werbebranche zum Alltag. Gemäss Silvana Imperiali, Managing Director DACH der Digitalagentur Gamned! und Vizepräsidentin von KS/CS Kommunikation Schweiz bringt es verschiedene Vorteile für Werbeauftraggeber und Zielgruppe: «In der Werbebranche kann man mittels Profiling Nutzerinnen- und Nutzerprofile erstellen, um eine Person basierend auf beobachteten soziodemographischen Merkmalen wie Alter, Bildung, Standort usw. oder Verhaltensweisen im Internet anzusprechen. Durch computergestützte Datenanalyse und den Einsatz von Algorithmen, oder anderen mathematischen Techniken, können Muster oder Korrelationen in grossen Datenmengen entdeckt werden. Auf der einen Seite kann die Benutzererfahrung personalisiert werden, indem beispielsweise Anzeigen geschaltet werden, die für die Interessen einer Person relevanter sind, und auf der anderen Seite können Zielgruppensegmente erstellt und modelliert werden». Man könne so diese Segmente zum Beispiel nach Affinität zu bestimmten Themen oder nach Kaufabsicht gewisser Produkte bilden», erläutert Silvana Imperiali.
Ein weiteres beliebtes Instrument sei die Lookealike-Zielgruppe: «Die Lookalike-Modellierung ermöglicht die Erweiterung von Werbe- und Zielgruppensegmenten, um Werbetreibenden eine grössere Reichweite zu bieten. Wie der Name schon sagt, besteht das Ziel eines Lookalike-Modells darin, eine Zielgruppe zu finden, die einer bestehenden bekannten Gruppe von Benutzerinnen und Benutzern ähnelt. Beispielsweise könnte ein Werbetreibender eine Gruppe von 1’000 bekannten Website-Besucherinnen und -besuchern verwenden, um ein Publikum von 50’000 Lookalikes aufzubauen, die diesen Besucherinnen und Besuchern ähnlich ist.

Silvana Imperiali verfügt über mehr als 20 Jahre Erfahrung in der digitalen Kommunikation und Werbung, davon fast vier Jahre bei Gamned!

Die Einhaltung des Datenschutzes sei bei der Umsetzung Voraussetzung, sagt Silvana Imperiali: «In der Praxis müssen die Daten stets nach dem Schweizer Datenschutzgesetz (DSG) genutzt werden. Je nach Werbeauftraggeber, beispielsweise im Fall eines international tätigen Unternehmens, werden Werbekampagnen von den Digitalmarketing-Expertinnen und -experten nach der europäischen Datenschutzgrundverordnung (DSGVO) umgesetzt». Die Materie sei komplex, aber grundsätzlich müssten in der Praxis keine Personal Identifiable Information (PII) zum Einsatz kommen: «Die Einwilligung der Person ist immer absolut zentral. Für die Online-Werbung sind folgende drei personenbezogene Daten relevant: die IP-Adresse, Informationen, die von Cookies, Web-Beacons und Tracking-Pixeln stammen und die GPS-Daten», weiss Silvana Imperiali.

Transparenz und Schutz der persönlichen Daten

Das Hauptziel des neuen Datenschutzgesetzes sei es, die Transparenz und den Schutz der persönlichen Daten von betroffenen Personen zu stärken, erklärt Leonie Ritscher: «In dieser Hinsicht wird der Einzelne von neuen Rechten profitieren, wie beispielsweise in Bezug auf sein Recht auf Auskunft über die Bearbeitung seiner Personendaten, sein Recht auf Herausgabe oder Übermittlung seiner Daten und das Recht nicht einer automatisierten Einzelentscheidung unterworfen zu werden. Das heisst einer Entscheidung, welche in Bezug auf eine Person mit Hilfe von Algorithmen getroffen und auf ihre persönlichen Daten angewendet werden, ohne dass ein Mensch in den Prozess eingreift».

«Wir empfehlen den Schweizer Unternehmen, sich bereits jetzt mit dem neuen Gesetz und seinen Anforderungen auseinanderzusetzen und die erforderlichen vorzunehmen», sagt Leonie Ritscher.

economiesuisse hat sich an der Vernehmlassung beteiligt und eine kritische Stellungnahme eingereicht. Da auch aus verschiedenen anderen Richtungen Kritik am Entwurf geäussert wurde, hofft economiesuisse nun auf eine Überarbeitung: «Unterstützt wurde diese Forderung im Januar von der staatspolitischen Kommission des Nationalrats, welche dem Bundesrat Empfehlungen unterbreitete, die unter anderem dazu beitragen sollen ‘die Vereinbarkeit mit den Entscheiden des Gesetzgebers zu verbessern. Ebenso soll der bürokratische Aufwand verringert und die Praktikabilität der Vorlage erhöht werden. Das Bundesamt für Justiz hat nun angekündigt, dass das neue Datenschutzgesetz im September 2023 in Kraft treten soll. Man geht davon aus, dass der endgültige Text ein Jahr vorher zur Verfügung stehen wird», sagt Leonie Ritscher.

«Unternehmen können sich bereits jetzt vorbereiten»

Die Unternehmen können sich in der Zwischenzeit bereits vorbereiten: «Eine Bestandsaufnahme der Bearbeitung von Personendaten im Unternehmen und eine Risikobewertung sind erforderlich, um die Anforderungen an die Datenschutz-Compliance zu bestimmen. Ausserdem können mittels Gap-Analyse die erforderlichen Umsetzungsarbeiten identifiziert werden. Höhere Compliance-Anforderungen liegen beispielsweise vor, wenn Unternehmen eine grosse Menge an Personendaten oder besonders schützenswerte Personendaten bearbeiten», erklärt Leonie Ritscher. In diesen Fällen seien die Anforderungen an die rechtmässige Bearbeitung von Personendaten beziehungsweise das Risiko der Verletzung von Persönlichkeitsrechten höher als beispielsweise bei Unternehmen, die Daten einer begrenzten Anzahl Mitarbeiter, Lieferanten, Kunden etc. bearbeiten würden. «Je nach Umfang der Compliance-Anforderungen wird den Unternehmen dringend empfohlen, die Dienste von IT-Expertinnen und Experten, Anwälten und Schulungsangeboten der Handelskammern in Anspruch zu nehmen», betont Leonie Ritscher.

Im Falle eines Verstosses stände für ein Unternehmen einiges auf dem Spiel: «Sanktionen in Form von Bussgeldern bis CHF 250‘000 können ausgesprochen werden. Im Gegensatz zur DSGVO richten sich die Sanktionen unter dem revDSG nicht gegen das fehlbare Unternehmen, sondern gegen die für die Einhaltung des Datenschutzes verantwortliche natürliche Person (beispielsweise Geschäftsführer oder Verwaltungsrat). Es wird ausschliesslich (eventual-)vorsätzliches Verhalten bestraft», erklärt Leonie Ritscher. Das Ignorieren des neuen Datenschutzgesetzes könne nicht nur für die verantwortliche Person in einem Unternehmen, sondern auch für das Unternehmen selbst Folgen haben, insbesondere für seine Reputation.