Neues Datenschutzgesetz

Neues Datenschutzgesetz Was Werbetreibende wissen sollten

In gut einem Jahr tritt das neue Datenschutzgesetz in Kraft. Was bedeutet das für Werbetreibende? DirectPoint hat bei zwei Datenschutzexperten nachgefragt. Ein Überblick und zwölf Antworten, die Sie kennen müssen.

Datenschutz: Das Thema ist vielen Werbetreibenden spätestens seit Mai 2018 vertraut. Damals trat in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie betrifft auch hiesige Unternehmen, die im EU-Raum Handel treiben. Nun gleicht die Schweiz den Datenschutz dem europäischen Standard an. Die Revision betrifft die Branche primär in folgenden Bereichen:

  • Transparenz: Es gelten strengere Informationspflichten gegenüber betroffenen Personen.
  • Verantwortung: Die Unternehmen müssen bei risikogeneigten Aktivitäten mehr Verantwortung für die Folgen ihrer Tätigkeiten übernehmen.
  • Aufsicht: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte erhält mehr Aufsichtskompetenzen.

Was bedeutet das im Detail? Worauf müssen Sie künftig achten, wenn Sie Personendaten zu Werbezwecken nutzen? DirectPoint hat dazu die beiden Juristen und Datenschutzexperten Lukas Bühlmann und Damian George elf Fragen gestellt. Ihre Antworten sollten Sie kennen, wenn Sie punkto Datenschutz auch künftig auf der sicheren Seite sein wollen.

Warum passt die Schweiz ihr Datenschutzgesetz an?

Das aktuelle Datenschutzgesetz (DSG) aus dem Jahr 1992 entspricht nicht mehr internationalen Standards. In der Europäischen Union gelten seit 2018 mit der Datenschutzgrundverordnung (DSGVO) strengere Pflichten in Bezug auf die Datenschutz-Zustimmungspflichten (Compliance). Ohne Anpassung des DSG würde die EU der Schweiz kein angemessenes Datenschutzniveau mehr attestieren, was zu Mehraufwand und Kosten im Handel mit der EU führen würde. Dank der Angleichung können grenzüberschreitend tätige Unternehmen ihre Prozesse vereinheitlichen. Zudem soll das neue Gesetz den Schutz der Persönlichkeit im digitalen Zeitalter verbessern.

Wann tritt das neue Datenschutzgesetz in Kraft?

Die Referendumsfrist läuft bis Mitte Januar 2021. Verstreicht sie ungenutzt, dürfte das neue Datenschutzgesetz Anfang 2022 in Kraft treten. Der Bundesrat wird das genaue Datum bestimmen. Achtung: Das neue Gesetz sieht keine Übergangsfristen vor.

In welchen Bereichen sind Werbetreibende besonders betroffen?

Das Datenschutzgesetz soll ein technologieneutrales Querschnittsgesetz sein. Alle Bereiche und Branchen sind von der verstärkten «Compliance» betroffen – insbesondere dort, wo sie auf starke Personalisierung setzen oder technische Tools aussereuropäischer Anbieter nutzen. Die Einbindung der von Google und Facebook bereitgestellten Tracking- und Webanalysetools bedurfte schon bisher einer datenschutzrechtlichen Prüfung und sollte spätestens jetzt an die rechtlichen Anforderungen angepasst werden. Das «Programmatic Advertising» (automatischer und individualisierter Ein- und Verkauf von Werbeflächen) steht vermehrt im Fokus der europäischen Aufsichtsbehörden und könnte auch hierzulande Gegenstand von Diskussionen werden. Auch für das klassische E-Mail-Marketing oder für die Customer Relationship-Analysen (CMR) gelten verstärkte Transparenzpflichten. Wer bezüglich DSGVO seine Hausaufgaben gemacht hat, kann die Thematik entspannter angehen als wer darauf spekuliert hat, dass sich bei uns nichts ändert.

Welche der neuen Informationspflichten sind für Werbetreibende relevant?

Besonders relevant ist die neu explizite Pflicht, über den Zweck der Datenbearbeitung (Werbung) sowie über die Bekanntgabe an Dritte zu informieren. Werden Daten mit ausländischen Dienstleistern geteilt, muss zudem kommuniziert werden, von welchem Staat auf Personendaten zugegriffen werden kann. Vielen Werbetreibenden ist nicht bewusst, dass oft bereits mit der unveränderten Einbindung eines «Social Plug-In» Personendaten eines jeden Websitebesuchers an soziale Medien in den USA übermittelt werden und dass hierüber informiert werden muss. Eine Ausnahme von den Informationspflichten wurde für die Weitergabe von Personendaten innerhalb eines Konzerns geschaffen, wenn z. B. die Muttergesellschaft das Marketing der Gruppengesellschaften übernimmt. Hier besteht keine grundsätzliche Informationspflicht, allerdings kann im Einzelfall eine Einwilligung notwendig sein, wenn die Datenbearbeitung die Persönlichkeit verletzt.

Was ändert sich im Bereich des Profilings (erstellen von Persönlichkeitsprofilen)?

Bisher war für das Profiling nicht immer eine Einwilligung nötig. Selbst wo es diese brauchte, konnte sie konkludent (aus dem Verhalten der Person) hergeleitet und erteilt werden. Neu sieht das Gesetz vor, dass für Profiling mit hohem Risiko eine ausdrückliche Einwilligung des Beworbenen vorliegen muss. Die Analyse von Charaktereigenschaften sowie die Erstellung von Längsprofilen über einen längeren Zeitraum dürfte nur noch mit ausdrücklicher Einwilligung zulässig sein. Der Hinweis «Mit dem Besuch dieser Website erklären Sie sich mit Profiling zu Werbezwecken einverstanden» reicht nicht mehr. Leider hat der Gesetzgeber die Frage, was ein «hohes Risiko» ist, bei dem eine ausdrückliche Einwilligung nötig ist, nicht ganz geklärt. Werbetreibende sollten sich an der Praxis der EU orientieren, da das neue Datenschutzgesetz ja die Spielregeln vereinheitlichen will. Dort geht der Trend in die Richtung, dass eine Einwilligung für Profiling zu Werbezwecken eingeholt wird. Wer für Profiling zu Werbezwecken schon jetzt eine ausdrückliche Einwilligung des Kunden – z. B. durch Setzen eines Häkchens – dokumentieren kann, ist auf der sicheren Seite. Liegt keine dokumentierte ausdrückliche Einwilligung zum Profiling vor, sollte diese je nach Risiko nachträglich eingeholt werden.

Praktische Hilfsmittel rund ums Adressmanagement

Nutzen Sie unsere Checklisten Zielgruppendefinition und Adressselektion sowie Adressaufbereitung zur Bestimmung von Zielgruppen und für die anschliessende Selektion und Aufbereitung von Adressen. Der Leitfaden Adressen erfassen zeigt zudem Richtlinien auf, um Ihren Kundenstamm einheitlich zu pflegen. Und obendrauf gibt es noch den Musterbrief Adressaktualisierung, der Ihnen hilft, Ihre Kundendaten aktuell zu halten.

Jetzt kostenlos anfordern

Was sind besonders schützenswerte Personendaten?

Gewisse Daten sind aufgrund ihres Aussagegehalts besonders heikel und werden vom Datenschutzgesetz als besonders schützenswert bezeichnet. Dazu zählen z. B. Daten über religiöse oder politische Ansichten, Gesundheitsdaten sowie neu auch genetische Daten. Beim Umgang mit schützenswerten Personendaten ist besondere Vorsicht geboten, denn es gelten spezielle Pflichten (siehe auch nächste Frage). Oft ist eine ausdrückliche Einwilligung der betroffenen Person nötig, wenn die Daten im Zusammenhang mit Werbung genutzt werden.

Wann müssen Werbetreibende eine Datenschutz-Folgenabschätzung vornehmen?

Eine Datenschutz-Folgenabschätzung ist eine systematische und dokumentierte Analyse von datenschutzrechtlichen Risiken einer bestimmten Datenbearbeitung oder eines Datenbearbeitungsprozesses. Sie erfolgt, bevor dieser Prozess implementiert wird. Immer wenn Werbetreibende viele besonders schützenswerte Daten verwenden wollen, systematisch den öffentlichen Raum überwachen oder auf andere Weise ein hohes Risiko für die Persönlichkeit der betroffenen Personen schaffen könnten, müssen sie eine Datenschutz-Folgenabschätzung machen. Der Einsatz neuer Technologien, die z. B. auf künstliche Intelligenz setzen, oder datenintensives Profiling erfordern ebenfalls häufig eine Datenschutz-Folgenabschätzung. In der EU veröffentlichen die Aufsichtsbehörden «Whitelists» (keine Folgenabschätzung nötig) und «Blacklists» (Folgenabschätzung zwingend nötig). Hieran können sich Werbetreibende orientieren, solange noch keine Leitlinien des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorliegen.

Welche Neuerungen gibt es im Bereich der Datenportabilität?

Das neue DSG übernimmt von der DSGVO die Idee eines Rechts auf Datenportabilität. Jedermann kann neu verlangen, dass seine Personendaten von einem Dienstleister zu einem anderen übertragen werden. Dieses Portabilitätsrecht umfasst aber nur Daten, die eine Nutzerin bzw. ein Nutzer selbst hochgeladen oder eingegeben hat. Analysedaten müssen nicht der Konkurrenz übermittelt werden. In der EU spielt das Datenportabilitätsrecht bisher keine praxisrelevante Rolle. Es dürfte auch für Werbetreibende in der Schweiz von geringer Bedeutung sein.

Wann müssen Werbetreibende ein Bearbeitungsverzeichnis führen?

Ein Bearbeitungsverzeichnis stellt die datenschutzrechtliche Landkarte des Unternehmens dar. Darin beschreibt das Unternehmen, welche Daten es erhebt, wieso es das tut, mit wem es die Daten teilt und wie es sie schützt. Grundsätzlich muss gemäss neuem Recht jedes Unternehmen ein Datenbearbeitungsverzeichnis führen. Ausgenommen sind Betriebe mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung geringe Risiken birgt. Letzteres ist in der Werbebranche kaum der Fall. Der Bundesrat kann und wird aber weitere Ausnahmen vorsehen. Werden Werbetreibende nur im Auftrag eines Kunden tätig und bestimmt dieser selbst über die wesentlichen Parameter einer Kampagne, müssen sie hierüber immerhin ein weniger detailliertes Verzeichnis führen.

Was ändert sich für ausländische Werbetreibende, die im Schweizer Markt tätig sind?

Neu sind ausländische Werbetreibende verpflichtet, einen Vertreter in der Schweiz zu bezeichnen, wenn sie z. B. das Verhalten von Schweizer Kunden beobachten oder in grossem Umfang Daten dieser Kunden nutzen. Dieser Vertreter ist die Anlaufstelle für Fragen des Datenschutzes. Eine ähnliche Pflicht besteht umgekehrt für Schweizer Werbetreibende, die in der EU tätig sind. Das neue Datenschutzgesetz stellt zudem klar, dass es auf alle Werbetätigkeiten anwendbar ist, die sich in der Schweiz auswirken. Das entspricht allerdings der bisherigen Rechtsprechung.

«Privacy by Design» und «Privacy by Default»: Was müssen Werbetreibende beachten?

«Privacy by Design» bedeutet, dass Werbetreibende bei Aktivitäten, die zu einer Datenbearbeitung führen, sich von Anfang an Gedanken über den Datenschutz machen und passende Vorkehrungen treffen sollten. Werbetreibende, die z. B. beim Erwerb von Software darauf achteten, dass damit Daten granular – also einzelne Sequenzen anstelle des gesamten Datensatzes – gelöscht werden können, setzen «Privacy by Design» um. Verlangt eine betroffene Person die Datenlöschung, kann man sich mit konsequenter Umsetzung von «Privacy by Design» Ärger und Kosten ersparen. «Privacy by Default» bedeutet, dass der Datenschutz durch Vorkehrungen auf Prozess- und Softwareebene sichergestellt wird. Bei der Gestaltung eines Cookie-Banners muss z. B. zwischen technisch notwendigen Cookies und Webanalyse-Cookies unterschieden werden. Als Voreinstellung sollten die Webanalyse-Cookies deaktiviert sein und erst nach der Einwilligung aktiviert werden.

Welches sind die bedeutendsten Unterschiede zwischen dem Datenschutzgesetz der Schweiz und jenem in der EU?

Unser Datenschutzgesetz ist liberaler, weil es nicht einem Verbotsprinzip folgt. Dabei bleibt es auch nach der Revision. So können sogar besonders schützenswerte Daten im Einzelfall auch ohne Einwilligung bearbeitet werden, während in der DSGVO immer eine Einwilligung oder eine gesetzliche Erlaubnis nötig ist. Ein bedeutender Unterschied ist ebenso, dass unser Datenschutzgesetz bei den Anforderungen an die Gültigkeit einer Einwilligung weniger streng ist. So kann der Besuch einer Website von der Zustimmung zur Einwilligung in Webtracking abhängig gemacht werden. In der EU ist hingegen umstritten, ob eine Cookie-Wall zulässig ist, wobei hier auch die Regeln der «E-Privacy»-Richtlinie eine Rolle spielen. Ein weiterer wesentlicher Unterschied betrifft schliesslich die Sanktionen. In der Schweiz werden primär die mit der Datenbearbeitung betrauten Mitarbeitenden und verantwortlichen Geschäftsführenden mit strafrechtlichen Bussen von bis zu 250'000 Franken sanktioniert. Die Unternehmen selbst sind nur subsidiär strafbar. In der EU sind die Bussgelder zwar höher, aber sie richten sich nur an die Unternehmen. Inwiefern dieser Ansatz für die Unternehmen vorteilhafter ist, wird sich zeigen. Jedenfalls sind alle Unternehmen und die darin verantwortlichen Personen gut beraten, das nächste Jahr zu nutzen, um ihre Prozesse und Datenbearbeitungen kritisch zu überprüfen und wo nötig Anpassungen einzuleiten.

Zu den Personen

Lukas Bühlmann ist Partner der Anwaltskanzlei Meyerlustenberger Lachenal und Experte für Digital- und Internetwirtschaft. Er berät Unternehmen und Regierungen und ist u. a. Vorstandsmitglied des Schweizer Dialogmarketing Verbands, Rechtsberater des Handelsverband.swiss (vormals VSV), Medienexperte bei der Schweizerischen Lauterkeitskommission (SLK) und Jurymitglied des Schweizer E-Commerce Awards.

Damian George ist Rechtsanwalt und Mitarbeiter im Team von Lukas Bühlmann. Seine Beratungsschwerpunkte liegen im Bereich IT und Datenschutz.