Das revidierte Schweizer Datenschutzgesetz
Was Sie jetzt beachten müssen
Nach fast zehn Jahren Diskussionen und Beratungen im Bundesrat, im Parlament und mit vielen Betroffenen und Beteiligten tritt per 1. September 2023 das totalrevidierte Schweizer Datenschutzgesetz (revDSG) in Kraft. Mit dem neuen Gesetz will man die Transparenz erhöhen, die Selbstbestimmung von Betroffenen stärken sowie die Informationspflichten von Unternehmen und Organisationen ausweiten.
Weitere Auslöser zur Anpassung waren die heutigen technologischen Mittel sowie die Datenschutzaequivalenz mit der EU.
Was ist zu tun?
Wer es noch nicht getan hat, sollte sich nun sofort daran machen, «angemessene technische und organisatorische Massnahmen» zu treffen. Dazu zählen die interne Information, die Einführung von geeigneten Massnahmen und Prozessen für die Betroffenenrechte sowie das Sicherstellen von Information und Dokumentation.
Betrachtet man die Diskussionen rund um die Einführung, so erhält man den Eindruck, dass es beim Datenschutz vor allem um Datenschutzerklärungen, Cookie-Banner usw. geht. Dem ist aber nicht so! Zu einem angemessenen Datenschutz zählen gerade Themen wie die physische Zugangskontrolle, die digitale Zugriffsregelung, Verschlüsselungen bei Speicher und Übertragung, die Sicherstellung und Nachvollziehbarkeit von Datensicherungen, Wiederherstellung, Löschungen usw. Marketeers tun also gut daran, zusammen mit den Verantwortlichen der IT und der (Cyber-) Security zusammenzusitzen und sich Gedanken über die idealen Massnahmen zu machen.
Was bedeutet dies für das Marketing?
Der Datenschutz ist in der Schweiz für das Marketing kein neues Thema. Bereits das bestehende Gesetz wie auch das Gesetz gegen den unlauteren Wettbewerb UWG setzen klare Schranken und Regeln mit dem Umgang von Personendaten.
Ebenfalls nicht neu ist, dass alle die Datenschutzgrundverordnung DSGVO der EU im Griff haben müssen, die Produkte und Dienstleistungen in der EU anbieten, sich an in der EU befindende Personen wenden oder das Verhalten von Individuen in der EU beoachten (z.B. mittels Tracking).
Geht’s etwas konkreter?
Ja, gern. Wer es noch nicht getan hat, sollte sich im Marketing und in der Kommunikation zügig an die Datenschutzerklärung, möglicherweise an die Überarbeitung der Allgemeinen Geschäftsbestimmungen sowie die Umsetzung der oben erwähnten organisatorischen Massnahmen machen.
Zur Datenschutzerklärung
Die Datenschutzerklärung ist auf der Website, – unter Umständen auch bei persönlichen Kundengesprächen und Vertragsabschlüssen – zu kommunizieren:
Und im Alltag?
Profiling: «Cookieless Future» im Anmarsch
Als Konsequenz vor allem der europäischen Gesetzessprechung geht der Trend heute klar Richtung «first-party-data». Darunter versteht man Daten, zu deren Verwendung Ihnen Ihre User bzw. Ihre Kund:innen direkt die Zustimmung geben. Die Marketingwelt beschäftigt heute, dass künftig auch für Cookie-ID, E-Tags und Fingerprints von Daten Dritter «(«third-party-datas») die ausdrückliche Zustimmung der User nötig sein wird.
Das Profiling von Kund:innen wird also klar anspruchsvoller. Apple und Mozilla (mit Firefox) haben das längst erkannt, und auch die Sandbox-Initiative von Google nimmt nach jahrelangem Herumdümpeln nun Fahrt auf.
Künstliche Intelligenz und Datenschutz
Zurzeit spriessen nützliche und weniger hilfreiche Anwendungen von künstlicher Intelligenz wie Pilze aus dem Boden. Es ist nur allzu verlockend, diese mit eigenen Daten, Ideen und Konzepten zu füttern, um damit zu arbeiten. Doch Vorsicht! Machen Sie sich Gedanken über die Risiken in Ihrem Unternehmen. Regeln Sie auch unabhängig vom revDSG den Umgang mit künstlicher Intelligenz und schützenswerten Daten, zu denen in jedem Fall auch die personenidentifizierenden Daten gehören.