Zur Übersicht
6.6.2023

Das revidierte Schweizer Datenschutzgesetz

Was Sie jetzt beachten müssen

Nach fast zehn Jahren Diskussionen und Beratungen im Bundesrat, im Parlament und mit vielen Betroffenen und Beteiligten tritt per 1. September 2023 das totalrevidierte Schweizer Datenschutzgesetz (revDSG) in Kraft. Mit dem neuen Gesetz will man die Transparenz erhöhen, die Selbstbestimmung von Betroffenen stärken sowie die Informationspflichten von Unternehmen und Organisationen ausweiten.

Weitere Auslöser zur Anpassung waren die heutigen technologischen Mittel sowie die Datenschutzaequivalenz mit der EU.

Was ist zu tun?

Wer es noch nicht getan hat, sollte sich nun sofort daran machen, «angemessene technische und organisatorische Massnahmen» zu treffen. Dazu zählen die interne Information, die Einführung von geeigneten Massnahmen und Prozessen für die Betroffenenrechte sowie das Sicherstellen von Information und Dokumentation.

Betrachtet man die Diskussionen rund um die Einführung, so erhält man den Eindruck, dass es beim Datenschutz vor allem um Datenschutzerklärungen, Cookie-Banner usw. geht. Dem ist aber nicht so! Zu einem angemessenen Datenschutz zählen gerade Themen wie die physische Zugangskontrolle, die digitale Zugriffsregelung, Verschlüsselungen bei Speicher und Übertragung, die Sicherstellung und Nachvollziehbarkeit von Datensicherungen, Wiederherstellung, Löschungen usw. Marketeers tun also gut daran, zusammen mit den Verantwortlichen der IT und der (Cyber-) Security zusammenzusitzen und sich Gedanken über die idealen Massnahmen zu machen.

Was bedeutet dies für das Marketing?

Der Datenschutz ist in der Schweiz für das Marketing kein neues Thema. Bereits das bestehende Gesetz wie auch das Gesetz gegen den unlauteren Wettbewerb UWG setzen klare Schranken und Regeln mit dem Umgang von Personendaten.

Ebenfalls nicht neu ist, dass alle die Datenschutzgrundverordnung DSGVO der EU im Griff haben müssen, die Produkte und Dienstleistungen in der EU anbieten, sich an in der EU befindende Personen wenden oder das Verhalten von Individuen in der EU beoachten (z.B. mittels Tracking).

Geht’s etwas konkreter?

Ja, gern. Wer es noch nicht getan hat, sollte sich im Marketing und in der Kommunikation zügig an die Datenschutzerklärung, möglicherweise an die Überarbeitung der Allgemeinen Geschäftsbestimmungen sowie die Umsetzung der oben erwähnten organisatorischen Massnahmen machen.

Zur Datenschutzerklärung

Die Datenschutzerklärung ist auf der Website, – unter Umständen auch bei persönlichen Kundengesprächen und Vertragsabschlüssen – zu kommunizieren:

Pflicht zur Information: Informieren Sie Kunden auf Ihrer Website, aber auch den Datenschutzbestimmungen und den AGB über die Erhebung von Daten, deren Bearbeitung und Zweck.
Zustimmung: Holen Sie die ausdrückliche Zustimmung für die Erhebung und Bearbeitung von Daten ein. Minimal per einfacher Zustimmung als «Opt-in» (z.B. durch Bestätigungs-Klick auf der Website) oder noch besser durch die Zustellung einer E-Mail mit Link an den Kunden, mit dessen Anklicken der Kunde seine Einwilligung gibt («Double-opt-in»). Der Vorteil: Sie können dies protokollieren und die Zustimmung nachweisen.
Tools aufführen: Führen Sie die eingesetzten Tools vollständig auf. Beachten Sie, was diese Software mit den Daten alles anstellen, mit welchen Partnern sie ihrerseits arbeiten – und wo die Daten gelagert sind. Beachten Sie dazu besonders die Vorgaben für den Umgang mit Daten im Ausland.
Besondere Sorgfaltspflicht: Wer Daten zur Gesundheit, der wirtschaftlichen Leistungsfähigkeit (Bonität), zur politischen Ausrichtung oder biometrische Daten wie Rasse, Herkunft usw. bearbeiten will, untersteht einer besonderen Sorgfaltspflicht. Dazu sind besondere Risikoabschätzungen gefragt.
Ein Tipp: Beschränken Sie sich bei der Datenschutzerklärung nicht auf die Website oder das Digital Marketing. Schliessen Sie weitere Kontakte wie Telefonate, Dialogmassnahmen sowie persönliche Gespräche in Verkauf, an Messen und Events usw. mit ein.

Und im Alltag?

Website: Falls Sie noch keine Datenschutzerklärung haben: Publizieren Sie auf Ihrer Website im Minimum die erwähnten Datenschutzbestimmungen. Wer mag, kann sich auch bei uns bedienen. Wichtig ist, dass Sie diese auf Ihre eigene Situation und Ihre heutigen wie künftigen Bedürfnisse hin überarbeiten.
Newsletter: Sie haben oder planen einen Newsletter? Zu Themen, Produkten und Dienstleistungen, zu denen Ihre Kunden eine Vertragsbeziehung eingegangen sind, ist das soweit kein Problem. Bei allen anderen Themen und Personen ohne Vertragsbeziehung empfiehlt es sich, eine gesetzeskonforme Anmeldung einzuholen. Nicht, dass Sie ab Herbst feststellen, dass Sie Ihre Daten legal nicht mehr verwenden können und von vorne beginnen müssen.

Profiling: «Cookieless Future» im Anmarsch

Als Konsequenz vor allem der europäischen Gesetzessprechung geht der Trend heute klar Richtung «first-party-data». Darunter versteht man Daten, zu deren Verwendung Ihnen Ihre User bzw. Ihre Kund:innen direkt die Zustimmung geben. Die Marketingwelt beschäftigt heute, dass künftig auch für Cookie-ID, E-Tags und Fingerprints von Daten Dritter «(«third-party-datas») die ausdrückliche Zustimmung der User nötig sein wird.

Das Profiling von Kund:innen wird also klar anspruchsvoller. Apple und Mozilla (mit Firefox) haben das längst erkannt, und auch die Sandbox-Initiative von Google nimmt nach jahrelangem Herumdümpeln nun Fahrt auf.

Künstliche Intelligenz und Datenschutz

Zurzeit spriessen nützliche und weniger hilfreiche Anwendungen von künstlicher Intelligenz wie Pilze aus dem Boden. Es ist nur allzu verlockend, diese mit eigenen Daten, Ideen und Konzepten zu füttern, um damit zu arbeiten. Doch Vorsicht! Machen Sie sich Gedanken über die Risiken in Ihrem Unternehmen. Regeln Sie auch unabhängig vom revDSG den Umgang mit künstlicher Intelligenz und schützenswerten Daten, zu denen in jedem Fall auch die personenidentifizierenden Daten gehören.

Haben Sie noch Fragen?
Wir stehen Ihnen auf dem Weg zum revidierten Datenschutzgesetz gerne zur Seite.
E-Mail an Mike
Close