«Wir schützen nicht Daten, sondern Menschen»

Sprachnavigation

Zurück

«Wir schützen nicht Daten, sondern Menschen» Tipps zum neuen Datenschutzgesetz vom Datenschutz-Coach Roger Muffler

Die Schweiz erhält ein neues Datenschutzgesetz – und das treibt manchem Marketingprofi den Schweiss auf die Stirn. Welche Knackpunkte gibt es zu meistern? Sind datengestützte crossmediale Kampagnen noch möglich? Und was ist bei physischen Mailings zu beachten? Datenschutz-Coach Roger Muffler erklärt, wie Werbetreibende den Datenschutz korrekt umsetzen.

Portrait Roger Muffler
Die Schweiz nähert sich mit ihrem neuen Datenschutzgesetz der DSGVO der EU an. Die Informationen und Tipps des Datenschutz-Experten Roger Muffler helfen Unternehmen aus der Schweiz sowie Personen mit Marketingaufgaben, die Inhalte des neuen Gesetzes richtig umzusetzen.

Was war Ihr spontaner Eindruck, als Sie sich das erste Mal mit dem revidierten Datenschutzgesetz befassten?

Roger Muffler: Das war im Jahr 2016, als ich mich mit dem Vorentwurf befasste. Bei der Lektüre hatte ich den Eindruck, dass das Gesetz deutliche Verschärfungen gegenüber der DSGVO bringt, der man sich eigentlich annähern wollte. Ich ahnte also nichts Gutes – und es ging nicht nur mir so. Das zeigte die deutliche Kritik in der Vernehmlassung: Viele lehnten das Gesetz als Ganzes entschieden ab. Es war in dieser Form schlicht nicht praxistauglich.

Nach der Vernehmlassung wurde das Gesetz aber nochmals grundsätzlich überarbeitet.

Genau, und das Resultat überzeugt mich deutlich mehr als der Vorentwurf: Das Gesetz ist nun weitgehend vernünftig, nicht unnötig bürokratisch und vor allem umsetzbar. Einen Punkt kritisiere ich aber nach wie vor: das Bussensystem. Anders als in der EU werden in der Schweiz nicht die Unternehmen für Datenschutzverletzungen gebüsst, sondern die Mitarbeitenden – und zwar mit bis zu 250’000 Franken. Es ist davon auszugehen, dass dies in erster Linie die Entscheidungsträger eines Unternehmens treffen wird. So genau kann das aber noch niemand sagen. Das führt zu grosser Verunsicherung und ist meines Erachtens eine unnötige Schweizer Eigenheit im Datenschutz.

Wann werden Personen gebüsst?

Das neue DSG zählt eine Handvoll bussenbewehrter Tatbestände auf, die immer einen Vorsatz voraussetzen. Dabei ist zu beachten: Auch ein bewusstes Inkaufnehmen kann als Vorsatz gewertet werden. Zuwiderhandlungen aufgrund von Fehlern oder einer Fahrlässigkeit werden im Normalfall nicht mit Bussen bestraft.

Könnte nicht einfach das Unternehmen die Busse übernehmen?

Nein, das ist nicht möglich. Weil die Bussen über das Strafgesetz abgewickelt werden, können sie nicht abgewälzt oder übernommen werden. Es gibt auch keine Versicherung dafür. Unternehmen können sich respektive ihre Mitarbeitenden nur gegen die Bussen absichern, indem sie sich an das Datenschutzgesetz halten. Die Grundlage dafür sind ein funktionierendes Datenschutz-Framework und die Schulung und Sensibilisierung der Mitarbeitenden.

Zentrale Begriffe im Datenschutzgesetz
Datenbeschaffung

Das Gesetz unterscheidet zwischen direkter und indirekter Datenbeschaffung. Von direkter Beschaffung spricht man, wenn die Personendaten bei der betroffenen Person selbst erhoben werden, zum Beispiel über Formulare, Onlineregistrierungen oder das Tracking von Onlineaktivitäten. Werden die Daten über Dritte beschafft – zum Beispiel durch Adressmiete –, spricht man von indirekter Beschaffung.

Datenbearbeitung

Als Bearbeitung gilt jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Personendaten.

Bearbeitungsverzeichnis

Im Bearbeitungsverzeichnis beschreibt das Unternehmen unter anderem, welche Personendaten es bearbeitet, wieso es das tut und mit wem es die Daten teilt. Betriebe mit weniger als 250 Mitarbeitenden und geringen Risiken in der Datenbearbeitung müssen kein Bearbeitungsverzeichnis führen.

Auftragsbearbeitung

Hier geht es um das Outsourcing einer Datenbearbeitung. Wenn Personendaten also nicht vom verantwortlichen Unternehmen selbst, sondern gemäss seinen Anweisungen von einem Dritten bearbeitet werden, handelt es sich um eine Auftragsbearbeitung.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist eine Analyse der datenschutzrechtlichen Risiken bei der Datenbearbeitung. Sie enthält eine Beschreibung der geplanten Bearbeitung von Personendaten, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zu deren Schutz.

In welchen Punkten bringt das Gesetz für die Werbetreibenden beim Datenschutz Klarheit?

Das Gesetz bringt nicht mehr Klarheit, sondern neue Regeln. Man kann es aber als Einladung betrachten, um sich selbst mehr Klarheit zu verschaffen – vor allem mit dem neuen Bearbeitungsverzeichnis. Auch wenn viele Firmen aufgrund ihrer Grösse nicht verpflichtet sind, ein solches Verzeichnis zu führen, empfehle ich es doch allen. Denn es ist ein einfaches Instrument, um Ordnung zu schaffen und eine Übersicht über seine Datenbearbeitungen zu gewinnen.

Wo sehen Sie die Knackpunkte des neuen Gesetzes bezogen auf die Werbung?

Ein Knackpunkt sind die neuen Informationspflichten, insbesondere bei der indirekten Datenbeschaffung: Werbetreibende müssen die Konsumierenden zum Beispiel bei einer Adressmiete unter anderem darüber informieren, zu welchem Zweck sie die Daten bearbeiten. Am einfachsten ist dies wohl beim ersten Kontakt nach der Datenbeschaffung – etwa durch einen Hinweis auf die Datenschutzerklärung direkt auf dem Mailing. Eine weitere Herausforderung besteht darin, eine Übersicht über die eigenen Datenbearbeitungen zu gewinnen und sie auf Konformität zu überprüfen. Denn da gibt es viele Fragen zu klären, zum Beispiel: Wo bearbeiten wir überhaupt Daten? Geben wir Daten unwissentlich ins Ausland weiter, weil wir einen ausländischen Clouddienst nutzen? Werden unsere Daten von Dritten bearbeitet und gibt es dadurch eine Auftragsbearbeitung, die wir bisher nicht als solche erkannt haben? Das Ganze ist tricky. Wer ein Bearbeitungsverzeichnis führt, folgt einem klaren Prozess und stolpert automatisch über die kritischen Punkte beim Datenschutz. Über eine integrierte Schwellenwertanalyse hilft das Verzeichnis den Unternehmen auch abzuschätzen, für welche Bearbeitungen sie eine Datenschutz-Folgenabschätzung machen müssen.

So führen Sie Ihre Adressdaten systematisch zusammen

Ihre Adressdaten sind Gold wert. Wenn sie aber auf mehrere Teams und Systeme verteilt sind, nützen sie zu wenig – und veralten rasch. Zentralisieren Sie die Daten deshalb in einer CRM-Datenbank. Unser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie am besten vorgehen.

Jetzt Leitfaden kostenlos anfordern

Crossmediale Kampagnen funktionieren heute stark datengestützt. Was ist künftig noch möglich?

Es ist nach wie vor fast alles möglich. Ich erkenne keine nennenswerten Einschränkungen durch das neue DSG. Die Werbetreibenden müssen sich allerdings vermehrt Gedanken machen, wie sie Transparenz herstellen, wie sie ihre Informationspflichten erfüllen und wie sie Ordnung in ihre Datenbearbeitungen bringen. So halten sie sich an die neuen Spielregeln.

Welche Folgen hat das Gesetz für das Dialogmarketing und speziell für den Einsatz physischer Mailings?

Gerade bei Mailings mit Fremdadressen ist die Informationspflicht wichtig. Im Gesetz wird dies unter dem Schlagwort «indirekte Beschaffung» adressiert. Sobald ich also ein Mailing an Adressen verschicke, die nicht aus meinem eigenen Bestand sind, muss ich über ihre Beschaffung informieren. Deshalb empfehle ich allen Werbetreibenden, bereits jetzt zu testen, was eine solche Information bei den Konsumierenden auslöst und wie sie am besten gestaltet und formuliert wird.

Wie gehen die Werbetreibenden dabei am besten vor?

Mein Tipp an die Werbetreibenden: Sprechen Sie die Empfängerinnen und Empfänger im Mailing direkt an. Erklären Sie ihnen, dass Sie sie gerne als Kundinnen und Kunden gewinnen möchten und zu diesem Zweck ihre Daten beim Dienstleister XY beschafft haben. Dann platzieren Sie den Link auf Ihre Datenschutzerklärung und gegebenenfalls auch auf diejenige des Dienstleisters. Damit ist die Informationspflicht erfüllt. Was in diesem Zusammenhang wichtig ist: Die Unternehmen haben ab der Adressbeschaffung eine Frist von nur 30 Tagen, um die Empfängerinnen und Empfänger über die Beschaffung zu informieren. Das ist sehr sportlich und es wird sich zeigen, ob diese Frist eingehalten werden kann.

Datenschutz ist immer auch eine Risikoabwägung. Was empfehlen Sie den Werbetreibenden, um die Risiken zu managen?

Zuerst muss man sich bewusst werden, wer von den Risiken betroffen ist: So gibt es Risiken für die betroffenen Personen, für die Unternehmen und mit dem neuen Bussensystem auch für die Mitarbeitenden. Danach müssen sich Werbetreibende mit den Risiken selbst auseinanderzusetzen. Gerade aus Sicht der Mitarbeitenden ist es sinnvoll, sich auch mit den Tatbeständen zu befassen, die zu Bussen führen können.

Welche Tatbestände sind das?

Die drei wichtigsten sind: vorsätzlich falsche oder unvollständige Informationen, unsauber geregelte Auftragsbearbeitungen und die Bekanntgabe von Daten ins Ausland ohne rechtliche Grundlage. In Datenschutzfragen gibt es allerdings selten klare Ja- oder Nein-Antworten. Deshalb sind viele Entscheidungen risikobehaftet. Wer solche Entscheidungen treffen muss, kann bei Bedarf eine Expertin oder einen Experten beiziehen. Doch oft können Werbetreibende das Risiko auch managen, indem sie sich an den im Gesetz festgehaltenen Grundsätzen orientieren und sich in die betroffene Person hineinversetzen. Sie sollten sich fragen: Ist die Datenbearbeitung wirklich im Sinne der betroffenen Person? Denn auch wenn wir immer von Datenschutz sprechen, muss man sich eines bewusst sein: Es geht im Grunde nicht darum, Daten zu schützen, sondern Menschen. Deswegen helfen bei der Risikoabwägung auch Einfühlungsvermögen und gesunder Menschenverstand.

Fünf Erfolgsfaktoren für die Umsetzung des Datenschutzes

Wie gelingt es einem Unternehmen, den Datenschutz korrekt umzusetzen? Roger Muffler nennt fünf Erfolgsfaktoren für ein erfolgreiches Datenschutz-Framework:

  1. Die Geschäftsleitung muss das Thema Datenschutz verstehen und zu 100 Prozent hinter dem eigenen Datenschutz-Management stehen. Ob dieses erfolgreich ist, hängt nämlich vom Commitment der Unternehmensführung und den Ressourcen ab, die sie dafür zur Verfügung stellt. Die Mitarbeitenden müssen spüren, dass der Geschäftsleitung der Datenschutz wichtig ist und dass sie zu diesem Thema Unterstützung erhalten.
  2. Alle Mitarbeitenden müssen für den Datenschutz sensibilisiert werden. Das ist wirkungsvoller, als ausufernde Reglemente zu erstellen, die niemand liest. Gleichzeitig sind aufgeklärte Mitarbeitende die beste «Versicherung» gegen Datenschutzverstösse, weil sie das Rüstzeug haben, diese frühzeitig zu erkennen.
  3. Es braucht einen internen Datenschutzverantwortlichen, der die Fäden in der Hand hält. Organisationstalent ist hierfür mindestens ebenso wichtig wie ein grundlegendes Datenschutzverständnis und das Interesse am Thema. Diese Person ist der Ansprechpartner bei Datenschutzfragen und organisiert das Datenschutz-Framework inklusive Dokumentation.
  4. Alle relevanten Dokumente sollten in einem zentralen Datenschutz-Cockpit abgelegt werden. Dazu gehören zumindest das Bearbeitungsverzeichnis, die Auftragsbearbeitungsverträge, die Datenschutz-Folgenabschätzungen und das Sicherheitskonzept.
  5. Bei Bedarf sollten Firmen auf die Unterstützung und das Know-how externer Fachpersonen setzen: Ein Datenschutz-Jurist eignet sich für detailliertere juristische Beratungen und Einschätzungen. Ein Datenschutz-Coach unterstützt beim Aufbau des Frameworks und bei den einzelnen Prozessen und Dokumenten wie zum Beispiel dem Bearbeitungsverzeichnis.

Onlinekurs «Adressmanagement»

Adressdaten sind der Schlüssel zur persönlichen Kundenansprache. Im Onlinekurs «Adressmanagement» erfahren Sie in vier Kursteilen, wie Sie mehr aus Ihrem Adressstamm herausholen. Sie erhalten zahlreiche Planungshilfen sowie nützliche Tipps um Adressen, Kundendaten und Zielgruppen erfolgreich zu managen.

Jetzt gratis anmelden

Teilen

Das könnte Sie auch interessieren

Das Wichtigste zum neuen Datenschutzgesetz

Das neue Schweizer Datenschutzgesetz ist da. Auch Sie müssen die Änderungen kennen, wenn Sie Personendaten zu Werbezwecken nutzen. Alles Wichtige im Überblick.

Das muss ich wissen
Datenschutz-Symbol schwebt über einem Tablet

Bei Kundendaten die Adressqualität steigern

Wer als Retailer die Adressqualität seiner Kundendaten steigert, ebnet den Weg zum Erfolg. Lernen Sie fünf Lösungen kennen, mit denen das ganz einfach gelingt.

Das interessiert mich
Jemand nimmt einen Brief aus seinem Briefkasten

Gute Daten für besseres Targeting

Damit Ihre Werbung die Zielgruppe erreicht, brauchen Sie gute Daten. Profitieren Sie von Expertentipps, wie Sie Adressen zusammenführen, anreichern und pflegen.

Ich will Expertentipps
Rene Schaad sitzt am Besprechungstisch mit einem Notebook und hält eine Präsentation

Footer