Mit dem revDSG sind in der Schweiz seit September 2023 zentrale Neuerungen im Datenschutzrecht in Kraft getreten, die erhebliche Folgen für das digitale Marketing haben. In unserem Artikel erfahren Sie, welche konkreten Anforderungen seit der Einführung des revDSG gelten und wie Sie Ihre Marketingaktivitäten rechtssicher gestalten können.
Das Wichtigste auf einen Blick
-
Das revidierte Datenschutzgesetz (revDSG) erhöht seit dem 1. September 2023 den Datenschutz im Onlinekontext und betrifft alle in der Schweiz tätigen Unternehmen; es fordert u. a. klar definierte Einwilligungsverfahren und angepasste E-Mail-Marketingpraktiken.
-
Das revDSG führt neue Pflichten für Unternehmen ein, wie erweiterte Informationspflichten und neue Rechte für betroffene Personen, inklusive der Rechte auf Information, Zugang und Löschung ihrer Daten sowie die Prinzipien ‘Privacy by Design’ und ‘Privacy by Default’.
-
Unternehmen müssen ihre Marketingstrategien unter Beachtung der revDSG Vorgaben überprüfen und anpassen und sind zur Schulung ihrer Mitarbeiter hinsichtlich der neuen Datenschutzbestimmungen verpflichtet, um rechtliche Konformität sicherzustellen und das Vertrauen von Kunden zu stärken.
Das revDSG und seine Bedeutung für das Marketing
Das revidierte Datenschutzgesetz der Schweiz (revDSG) wurde eingeführt, um die Kompatibilität mit dem EU-Recht zu gewährleisten und den freien Datenverkehr zwischen der Schweiz und der Europäischen Union zu ermöglichen. Seit dem Inkrafttreten dieses Gesetzes am 1. September 2023 ist der Schutz der Persönlichkeits- und Grundrechte natürlicher Personen, insbesondere im Onlinekontext und bei Geschäftstätigkeiten über das Internet, deutlich gestärkt. Das revDSG erweitert die territoriale Anwendbarkeit des Schweizer Datenschutzregimes erheblich, inspiriert durch die GDPR, um die Rechenschaftspflicht weltweit tätiger Unternehmen für den Schutz persönlicher Daten Schweizer Bürger sicherzustellen. Dies bedeutet, dass auch nicht in der Schweiz ansässige Unternehmen, die in der Schweiz tätig sind oder deren Datenverarbeitung sich auf die Schweiz auswirkt, sich an diese neuen Vorschriften halten müssen.
Vom revDSG betroffen sind alle Unternehmen mit Sitz in der Schweiz sowie ausländische Unternehmen, die in der Schweiz tätig sind oder deren Datenverarbeitung sich auf die Schweiz auswirkt. Besonders kleine und mittlere Unternehmen mit bis zu 250 Mitarbeitenden werden von den Neuerungen im Datenschutzgesetz betroffen sein und müssen sich entsprechend anpassen.
Anpassungen im E-Mail-Marketing
E-Mail-Marketing ist ein wesentlicher Bestandteil der meisten Marketingstrategien. Allerdings erfordert das revDSG einige wesentliche Anpassungen in diesem Bereich. Zum Beispiel ist für das Double-Opt-In-Verfahren im E-Mail-Marketing, auch bekannt als E-Mail-Werbung, eine klare Einwilligung und Bestätigung durch Klick oder Bestätigungslink erforderlich, begleitet von einer sicheren Datenverarbeitung. Darüber hinaus sollten im E-Mail-Marketing nur jene E-Mail-Adressen übermittelt werden, die tatsächlich benötigt werden und deren Verwendung zuvor klar definiert wurde.
Auch beim Einsetzen von Tracking-Pixeln im Rahmen von E-Mail-Kampagnen muss zuvor die Einwilligung der Nutzerinnen und Nutzer eingeholt werden. Ein weiterer wesentlicher Aspekt der E-Mail-Marketing-Anpassungen nach dem revDSG betrifft das Widerspruchsrecht. Es ist unerlässlich, dass Unternehmen ein rechtzeitig eingeholtes, nachweisbares und effektiv umsetzbares Widerspruchsrecht gewährleisten.
Online Marketing unter dem neuen Datenschutzregime
Online-Marketing umfasst eine Vielzahl von Marketing Aktivitäten, von Social-Media-Kampagnen bis hin zu Pay-Per-Click-Werbung. Seit dem Inkrafttreten des revDSG müssen Cookie-Banner in der Schweiz gemäß den neuen gesetzlichen Vorgaben gestaltet werden.
Dies bedeutet, dass Besucher von Websites ohne Zwang und irreführende Texte über die Datenverarbeitung informiert werden müssen.
Auswirkungen auf die Verwendung von Analytics-Tools
Analytics-Tools wie Google Analytics bleiben für viele Unternehmen unverzichtbar, um das Verhalten ihrer Kunden zu verstehen. Seit dem Inkrafttreten des revDSG sind jedoch wichtige Anpassungen erforderlich geworden.
Zum einen gewinnt ein korrekt aufgesetzter Cookie-Banner signifikant an Bedeutung. Dieser muss klare Informationen darüber bereitstellen, wie und welche Daten durch Analyse-Tools verarbeitet werden. Darüber hinaus haben Personen unter dem neuen Gesetz das Recht, über die Datenverarbeitung informiert zu werden und Zugang zu ihren Daten zu erhalten.
Dies bedeutet, dass Unternehmen die Transparenz ihrer Datenverarbeitung erhöhen müssen, um den Rechten der Nutzer gerecht zu werden und die Verwendung von Analytics-Tools mit dem revDSG konform zu gestalten.
Neue Vorgaben für personenbezogene Daten im Marketing
Das revDSG bringt neue Rechte für betroffene Personen und neue Verpflichtungen für Unternehmen im Umgang mit personenbezogenen Daten im Marketing. So gewährt das revDSG betroffenen Personen neue Rechte und stellt Unternehmen vor neue Verpflichtungen, um diesen gerecht zu werden. Erweiterte Informationspflichten und die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten sind Teil der Veränderungen, die durch das revDSG eingeführt werden.
Seit dem Inkrafttreten des revDSG am 1. September 2023 sind wichtige neue Konzepte wie ‘Privacy by Design’ und ‘Privacy by Default’ wirksam, und der Schutz genetischer sowie biometrischer Daten hat besondere Priorität erhalten. Organisationen, die Daten von Personen in der Schweiz verarbeiten, müssen daher das revDSG sorgfältig prüfen und ihre Prozesse entsprechend anpassen, um die Konformität zu gewährleisten.
Einwilligung und Transparenz
Ein zentraler Aspekt des revDSG ist die Betonung der Einwilligung und Transparenz bei der Verarbeitung personenbezogener Daten. Unternehmen sind nun verpflichtet, Individuen präzise, transparent, verständlich und leicht zugänglich über die Sammlung ihrer persönlichen Daten einschliesslich Zweck und Verarbeitung der Daten zu informieren. Dies gilt auch für automatisierte Einzelentscheidungen, bei denen betroffene Personen aktiv über Entscheidungen informiert werden müssen, die von Computerprogrammen oder Algorithmen getroffen werden.
Transparenz in der Kommunikation, sowohl im Bereich der Daten als auch beim Telefon, und eine klare Datenschutzerklärung sind unabdingbar, damit Kunden verstehen können, wie ihre Daten verwendet werden, was wiederum das Vertrauen in das Unternehmen stärkt. Unternehmen sind dazu verpflichtet offen zu legen, wenn Daten mit ausländischen Dienstleistern geteilt werden und welches Land möglicherweise auf die persönlichen Daten zugreifen kann.
Betroffene Personen haben zudem das Recht, Informationen über die Verarbeitung ihrer Daten anzufordern und zu erhalten sowie das Recht, die Löschung ihrer Daten zu verlangen.
Datensicherheit und -schutzmassnahmen
Ein weiterer wichtiger Aspekt des revDSG betrifft die Datensicherheit und die Schutzmaßnahmen, die Unternehmen ergreifen müssen. Die Einhaltung der Grundsätze ‘Privacy by Design’ und ‘Privacy by Default’ ist gesetzlich vorgeschrieben, um Datenschutz ab dem Entwicklungsstadium von Software und Hardware zu gewährleisten und Nutzer durch datenschutzfreundliche Voreinstellungen zu schützen. Des Weiteren müssen Unternehmen durch technische und organisatorische Maßnahmen Schutz gegen Manipulation, Verlust, unautorisierten Zugriff Dritter und andere Bedrohungen ihrer Daten gewährleisten. Große Organisationen stehen vor erheblichen Herausforderungen bei der nachträglichen Erstellung eines Verzeichnisses aller Datenverarbeitungsaktivitäten (ROPA), was aufgrund der Menge und Komplexität der Datenverarbeitungsaktivitäten eine umfassende Datenkartierung und enge Koordination zwischen Rechts-, IT- und Datenschutzteams erfordert.
Im Falle von Datenschutzverletzungen, die ein hohes Risiko für die betroffene Person darstellen könnten, müssen diese dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, wobei das Gesetz nicht definiert, was ein ‘hohes Risiko’ ist. Datenverarbeiter sind verpflichtet, den Dateninhaber über Datenschutzverletzungen so schnell wie möglich zu informieren.
Bei Anfragen von betroffenen Personen oder Behörden müssen Website-Betreiber zeitnah, spätestens jedoch innerhalb von 30 Tagen, reagieren und deren Anliegen sorgfältig prüfen. Im Falle einer Datenschutzverletzung müssen Website-Betreiber schnell und sorgfältig reagieren, den Vorfall überprüfen und gegebenenfalls Meldung an den EDÖB und die betroffenen Personen abhängig vom Risiko vornehmen.
Strategien zur Umsetzung der revDSG-Anforderungen im Marketing
Um den Anforderungen des revDSG gerecht zu bleiben, mussten Unternehmen ihre Marketingstrategien und -prozesse sorgfältig überprüfen und anpassen. Für Unternehmen, die bereits Maßnahmen zur DSGVO-Konformität ergriffen haben, bedeutet das revDSG in den meisten Fällen nur geringfügige Anpassungen. Es gab keine gesetzlich vorgeschriebene Übergangsperiode für das revDSG, was Unternehmen eine informelle Übergangsperiode bis zum 1. September 2023 gab, um die Änderungen und Anforderungen des revDSG anzunehmen. Dies bietet den Unternehmen zusätzliche Zeit, um die notwendigen Anpassungen durchzuführen und sicherzustellen, dass sie den neuen Anforderungen entsprechen.
Durch datenschutzkonforme Marketingmassnahmen und die Berücksichtigung von Datenschutz im Marketing können Unternehmen nicht nur rechtliche Vorgaben einhalten, sondern auch das Vertrauen der Kunden fördern und so die Kundenbindung stärken.
Überprüfung und Anpassung bestehender Prozesse
Ein erster Schritt zur Anpassung an die Anforderungen des revDSG bestand darin, bestehende Prozesse zu überprüfen. Schweizer Unternehmen mussten zur Einhaltung des revDSG, das am 1. September 2023 in Kraft getreten ist, folgende Maßnahmen ergreifen:
-
Eine Bestandsaufnahme der Bearbeitung von Personendaten durchführen
-
Verträge mit Drittanbietern abschliessen
-
Pflicht-Angaben zu verantwortlicher Person und Kontaktdaten bereitstellen
-
Vor der Verarbeitung von Daten mit hohem Risiko Datenschutz-Folgenabschätzungen (DPIAs) durchführen
-
Die DPIAs für mindestens zwei Jahre nach Beendigung der Verarbeitungstätigkeit aufzeichnen.
Unternehmen müssen ihre Datenverarbeitung technisch und organisatorisch so auslegen, dass diese mit den Datenschutzvorschriften übereinstimmt und eine Verwendung der Daten zu fest definierten Zwecken gewährleistet wird. Das revDSG führt die Prinzipien ‘Privacy by Design’ und ‘Privacy by Default’ ein und verpflichtet Unternehmen damit zu einer datenschutzfreundlichen Gestaltung ihrer Dienste, was eine Anpassung der Marketingprozesse erfordert.
Schulung und Bewusstseinsbildung im Team
Neben der Anpassung der Prozesse spielt auch die Schulung und Sensibilisierung der Mitarbeiter eine wichtige Rolle bei der Einhaltung der Datenschutzbestimmungen. Ein Datenschutz-seminar ist unerlässlich, um sicherzustellen, dass Marketingaktivitäten die Datenschutzbestimmungen einhalten. Seminare in der Schweiz zielen darauf ab, ein gründliches Verständnis der Datenschutzbestimmungen zu vermitteln und die erforderlichen Kompetenzen für deren Anwendung zu entwickeln.
Es gibt auch E-Learning-Angebote, die auf die individuellen Bedürfnisse abgestimmt sind und ein flexibles sowie interaktives Lernerlebnis für Teams ermöglichen. Unternehmen können individuelle Inhouse-Schulungen buchen, um ihre Teams im Umgang mit Datenschutzthemen zu schulen. Ein weiteres wichtiges Instrument ist der Datenschutz-Check, der dazu dient, das Datenschutzniveau zu ermitteln.
Die ePrivacy Verordnung und ihr Verhältnis zum revDSG
In der Schweiz werden die rechtlichen Anforderungen für Websites und Marketingaktivitäten sowohl durch das neue Schweizer Datenschutzgesetz (revDSG) als auch durch relevante EU-Gesetze wie die E-Privacyverordnung bestimmt. Das im September 2023 in Kraft tretende revDSG weist sowohl Gemeinsamkeiten als auch Unterschiede mit der EU-Datenschutz-Grundverordnung (DSGVO) auf und bezieht sich auch auf andere Gesetze wie das Gesetz über den unlauteren Wettbewerb und das Fernmeldegesetz.
Obwohl die Schweiz kein Mitglied der EU ist, müssen Schweizer Unternehmen unter bestimmten Umständen wie dem Anbieten von Waren oder Dienstleistungen an EU-Bürger oder bei Websiteverkehr aus der EU die EU-ePrivacy Richtlinie und die DSGVO beachten.
Datenschutz im digitalen Wandel: Trends und Entwicklungen
Das revDSG bringt Änderungen mit sich, die für das Marketing von Bedeutung sind, einschliesslich strengerer Regelungen für die Einwilligung der Nutzer und erhöhte Transparenzanforderungen. Die Änderungen im neuen Datenschutzgesetz werden Marketingspezialisten dazu anregen, ihre Datenschutzerklärungen klarer zu gestalten und sicherzustellen, dass die Einwilligung für Marketingaktivitäten spezifisch und informiert ist.
Der Einsatz von Online-Marketing-Instrumenten wie personalisierte Werbung, Retargeting und Analytics wird durch das neue Datenschutzgesetz erheblich beeinflusst, da diese strengere Datenbearbeitungsregelungen erfordern. Um den Anforderungen des neuen Datenschutzgesetzes zu entsprechen, müssen Unternehmen ihre Marketingansätze und -strategien überdenken und gegebenenfalls anpassen, um datenschutzkonform zu bleiben.
Rechtliche Fragen und Gerichtsurteile im Kontext des revDSG
Neben den operativen Anforderungen und den Auswirkungen auf Marketingaktivitäten, gibt es auch einige rechtliche Fragen und Gerichtsurteile, die im Kontext des revDSG relevant sind. Verstösse gegen das neue Datenschutzgesetz können mit Geldstrafen von bis zu CHF 250.000 bestraft werden.
Es ist daher für Unternehmen von entscheidender Bedeutung, sich über die genauen Anforderungen des revDSG im Klaren zu sein und sicherzustellen, dass ihre Marketingpraktiken diesen Anforderungen entsprechen. Es ist auch wichtig, stets die neuesten Gerichtsurteile und rechtlichen Entwicklungen zu verfolgen, um auf dem Laufenden zu bleiben und mögliche rechtliche Risiken zu minimieren.
Zusammenfassung
In diesem Beitrag haben wir uns mit dem revidierten Datenschutzgesetz der Schweiz (revDSG) und seinen Auswirkungen auf das Marketing beschäftigt. Es ist klar, dass das revDSG bedeutende Änderungen für das Marketing mit sich bringt, insbesondere in Bereichen wie E-Mail-Marketing, Online-Marketing und die Verwendung von Analyse-Tools.
Es bleibt unerlässlich, dass Unternehmen die durch das revDSG eingeführten Änderungen kontinuierlich verstehen und anwenden. Dies umfasst die regelmäßige Überprüfung und Anpassung von Prozessen, fortlaufende Schulungen und die Sensibilisierung der Mitarbeiter sowie die stetige Implementierung von ‘Privacy by Design’ und ‘Privacy by Default’. Dabei sollte nicht vergessen werden, dass Datenschutz keine einmalige Aufgabe ist, sondern ein kontinuierlicher Prozess, der regelmäßige Überprüfungen und Anpassungen erfordert.