Ein Gastbeitrag von Dr. iur. Reto Fanger, Spezialist für ICT- und Datenschutzrecht
Sind Sie erst aware oder schon compliant? Die Personalisierung – im Online-Marketing das A und O – stellt sowohl Agenturen wie auch deren Unternehmenskunden neuerdings vor mannigfache Herausforderungen im Bereich Datenschutz.
Datenschutzrevisionen in der EU und in der Schweiz
Die im Rahmen der Datenschutzrevision der EU entstandene und ab dem 25. Mai 2018 anwendbare Datenschutzgrundverordnung (DSGVO) mischt die Karten sowohl für Agenturen und deren Unternehmenskunden wie auch den im Fokus der Aufmerksamkeit sich befindenden Nutzer neu. So haben Unternehmen generell höhere administrative Anforderungen zu bewältigen und sehen sich bei Verstössen allfälligen Schadenersatzansprüchen und massiven Sanktionen ausgesetzt. Die DSGVO ist auch auf Schweizer Unternehmen ohne Niederlassung in der EU anwendbar, sofern sie Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten solcher Personen beobachten. Selbst Schweizer Unternehmen, die nicht in den Anwendbarkeitsbereich der DSGVO fallen, sind nicht fein raus:
Zwar ist die Revision des Schweizer Datenschutzgesetzes von der zuständigen Kommission des Nationalrats am 11. Januar 2018 aufgesplittet und damit die Überarbeitung der für die Unternehmen relevanten Bestimmungen zeitlich zurückgestellt worden. Die revidierten Bestimmungen des Schweizer Datenschutzgesetzes werden aber inhaltlich voraussichtlich in die gleiche Richtung wie die DSGVO gehen, will die Schweiz den unbeschränkten grenzüberschreitenden und für die Schweizer Wirtschaft essentiellen Datenaustausch mit der EU nicht gefährden wollen.
Unabhängig davon, ob die Personalisierung mittels Cookies und Nutzerprofil, Behavioral Targeting, kollaborativem Filtern oder einer Kombination verschiedener Formen und Tools erfolgt, steht nicht mehr nur der Nutzen für Unternehmen und Kunden im Fokus, sondern auch deren Gefahren.
Reputationsrisiken
Neben den rechtlichen Risiken schlagen bei Datenschutzverstössen immer auch Reputationsrisiken zu Buche, die sich nicht nur akut nachteilig auf die Kundenbeziehung auswirken, sondern auch latent vorhandene Ängste vor der missbräuchlichen Verwendung von Personendaten weiter verstärken.
Rechtliche Risiken
Bereits unter dem aktuellen Schweizer Datenschutzgesetz sind mit der Personalisierung des Online-Marketings aus datenschutzrechtlicher Sicht diverse Regeln zu beachten und flankierende Massnahmen zu ergreifen. Angesichts der zur Zeit wenig griffigen Sanktionen, war das rechtliche Risiko bis jetzt marginal.
Dies ändert sich bald mit der DSGVO und zeitlich etwas verzögert auch mit dem revidierten Schweizer Datenschutzgesetz. Schadenersatzforderungen (auch für immateriellen Schaden) sowie Sanktionen in der (maximalen) Höhe von € 20 Mio. oder 4% des globalen Jahresumsatzes nach der DSGVO oder eine Busse von CHF 240'000 gemäss dem Entwurf des Schweizerischen Datenschutzgesetzes zuzüglich weiterer verwaltungsrechtlicher Sanktionen der Aufsichtsbehörden in der EU und der Schweiz lassen sich nicht mehr auf die leichte Schulter nehmen.
Erfahre an unserem Insight #16 Datenschutzgesetz und Marketing mit Dr. iur. Reto Fanger alles Wissenswerte rund um die neue DSGVO.
Von der Awareness zur Compliance
Um die datenschutzrechtlichen Risiken und die damit verbundenen Reputationsrisiken möglichst zu vermeiden oder zumindest zu minimieren, haben Unternehmen im Rahmen einer Bestandesaufnahme ein klares Bild der eigenen Prozesse, Systeme und Datenbearbeitungen zu machen. Die dabei festgestellten Personendaten sind zu klassifizieren und die Verantwortlichkeiten zu definieren. Anschliessend sind risikobasierte Massnahmen und Prozesse zu implementieren, um den neuen datenschutzrechtlichen Rechenschafts-, Auskunfts- und Löschpflichten innert der vorgegebenen Fristen nachkommen zu können.
All dies ist nicht alleine mittels Checklisten oder anderen Tools zu erreichen, sondern soll entsprechend den Verhältnissen eines jeden Unternehmens erfolgen, angepasst an die jeweiligen Geschäftsprozesse, Datenbearbeitungen und weitere relevante Eigenheiten, im Rahmen eines mit genügend Budget und Personal ausgestatteten eigenen Projekts. Nur so ist es möglich, von der (allenfalls) bereits vorhandenen Awareness innert nützlicher Frist und verhältnismässigem Mitteleinsatz zur Compliance zu gelangen.
Über den Autor:
Dr. iur. Reto Fanger, ADVOKATUR FANGER. Reto Fanger ist Rechtsanwalt in Luzern und auf ICT- und Datenschutzrecht spezialisiert. Er nimmt am Insight #16 vom 15.02.2018 zum Thema ‚Datenschutzgesetz und Marketing‘ teil.