11. Juli 2023
Das neue Schweizer Datenschutzgesetz wirft Fragen auf. Es lohnt sich, diese frühzeitig zu klären und sein Unternehmen mit wenigen Schritten auf die kommenden gesetzlichen Vorgaben vorzubereiten.
Die häufigsten Fragen haben wir nachfolgend zusammengefasst – so sind Sie in wenigen Sekunden up to date. Das ausführliche Interview mit Riccardo Gosteli finden Sie im Anschluss daran:
1. Müssen wir etwas tun?
Ja – falls einer der folgenden Punkte auf Ihr Unternehmen zutrifft: Sie beschäftigen mehr als 250 Mitarbeitende. Oder Sie bearbeiten regelmässig personenbezogene Daten – zum Beispiel durch ein Formular auf Ihrer Website oder durch Analyse-Tools wie Google Analytics.
2. Was genau?
Sie müssen als erstes ein sogenanntes Bearbeitungsverzeichnis erstellen. Darin halten Sie fest, welche Daten Sie erfassen, wer darauf Zugriff hat und was längerfristig mit den Daten geschieht.
3. Wie informieren wir unsere Kund:innen?
Für Unternehmen, die primär in der Schweiz tätig sind, gilt: Ihre Websitebesucher:innen und Kund:innen müssen Sie mit einer Datenschutzerklärung über Ihre Datensammlungsaktivitäten informieren. Diese Erklärung ist rein informativ und gibt Ihren Kund:innen die Möglichkeit, sich von dem Dienst, der die Daten sammelt, abzumelden.
Wir haben uns mit jemandem unterhalten, der sich im Detail mit dem neuen Gesetz befasst hat: Riccardo Gosteli. Als Head of Analytics & Compliance bei Advance Metrics liefert er alle Antworten auf KMU-relevante Fragen rund ums neue Datenschutzgesetz.
Was sind die wichtigsten Massnahmen, die Unternehmen bis zum 1. September umsetzen müssen?
Erst einmal ist es wichtig zu wissen, dass im Falle von Datenschutzverstössen in der Schweiz Bussen gegenüber natürlichen Personen ausgesprochen werden und zwar stehen die Unternehmensverantwortlichen dabei im Fokus. Somit liegt es in ihrem Interesse, die notwendigen Vorkehrungen zu treffen.
Der erste Schritt sollte immer sein, sich eine Übersicht über die verschiedenen Datenverarbeitungsaktivitäten zu verschaffen. Hierzu dient das vom neuen Datenschutzgesetz geforderte Bearbeitungsverzeichnis für Datenverarbeitungsaktivitäten. Dieses Datenkonzept stellt eine Dokumentation aller involvierten Tools und Drittparteien dar, die personenbezogene Daten sammeln, verarbeiten oder speichern. Es geht aber nicht nur um die einfache Auflistung dieser Daten-Touchpoints, sondern um die Beantwortung datenschutzrelevanter Fragen wie beispielsweise, welche Personendaten genau erfasst werden, wer Zugriff auf diese Daten hat, wie die Verarbeitungsprozesse aufgesetzt sind, ob Löschprozesse bestehen, usw. Aber auch Punkte wie der Speicherort der Daten oder die Speicherdauer sind datenschutzrechtlich relevant. All dies gilt es zu eruieren und im Datenkonzept zu dokumentieren.
Aufgrund des Datenkonzepts können datenschutzrelevante Lücken rasch erkannt und entsprechende Massnahmen definiert werden, um die Mängel zu beheben.
Brauchen alle Unternehmen ein solches Bearbeitungsverzeichnis für persönliche Daten?
Das Gesetz schreibt vor, dass Unternehmen mit mehr als 250 Mitarbeitenden ein solches Verzeichnis brauchen. Zudem brauchen Unternehmen ein solches Bearbeitungsverzeichnis, die regelmässig personenbezogene Daten verarbeiten, unabhängig von ihrer Grösse. Konkret heisst das, dass die meisten Unternehmen ein solches Bearbeitungsverzeichnis führen müssen.
Müssen wir in der Schweiz die Zustimmung der Kund:innen oder Nutzer:innen einholen, bevor wir ihre Daten erfassen dürfen?
Gemäss Gesetz gilt eine Informations- und Benachrichtigungspflicht. Somit müssen Webseitenbesucher:innen und Kund:innen über die Erfassung und Verarbeitung von persönlichen Daten informiert werden. Eine aktive Nutzerzustimmung wird im neuen Datenschutzgesetz nicht explizit verlangt. Es wird jedoch aktuell diskutiert, ob aufgrund der Prinzipien «Privacy by Design» und «Privacy by Default», die dem neuen Datenschutzgesetz zugrunde liegen, trotzdem eine aktive Zustimmung für beispielsweise Webseiten-Cookies notwendig ist. Diese Frage wird sich erst klären, wenn eine genaue Definition durch den EDÖB (Eidgenössicher Datenschutz- und Öffentlichkeitsbeauftragter) oder ein Gerichtsurteil vorliegen.
Vergessen Sie jedoch nicht, dass die Europäische Datenschutzgrundverordnung zur Anwendung kommt, sobald Sie Kund:innen aus der EU ansprechen. In diesem Fall ist die aktive Zustimmung ihrer Nutzer:innen zwingend notwendig.
Was ist mit dem Facebook Pixel und Analytics Tools, können diese weiterhin genutzt werden?
Tools, um Verhaltensdaten zu erfassen und auch um Remarketing-Kampagnen durchführen zu können, sind weiterhin erlaubt. Wichtig ist jedoch auch hier die Informationspflicht. Wir empfehlen eine Consent Management Lösung zu nutzen, die es erlaubt, via Geo-Targeting einen unterschiedlichen Cookie Banner für Schweizer Webseitenbesucher:innen und solchen aus der EU zu verwenden. Der Cookie Banner für die Schweiz ist rein informativ, während Besucher:innen aus der EU einen Cookie Banner gemäss DSGVO zu sehen bekommen. In jedem Fall sollten aber auch die Schweizer Besucher:innen die Möglichkeit zum Opt-Out bekommen, also die Zustimmung für die Datenerfassung aktiv abzulehnen.
Es ist durchaus denkbar, dass auch in der Schweiz eine Zustimmungspflicht kommen wird. Für diesen Fall wären die Unternehmen mit einer Consent Management Lösung sehr flexibel und könnten das Consent Modell gemäss den neuen Richtlinien anpassen.
Wie sieht es mit Google Analytics 4 aus, ist das weiterhin einsetzbar?
Stand heute kann Google Analytics 4 weiterhin in der Schweiz wie auch in der EU verwendet werden. Wichtig für die EU ist ein DSGVO-konformes Setup. Um hier auf Nummer sicher zu gehen, empfehlen wir Server-Side Tracking, also ein server-seitiges Analytics Setup. Dieses Setup wurde von den französischen Datenschutzbehörden auch explizit als datenschutzkonform erklärt. Server-Side Tracking ist etwas komplexer und kostenintensiver als ein übliches Setup. Es gibt hier aber mittlerweile Lösungen als Software-as-a-Service wie beispielsweise JENTIS (Link: jentis.com), die das Aufsetzen vereinfachen.
In der Schweiz ist Google Analytics 4 aktuell ebenfalls nutzbar. Auch hier stellt sich die Frage, ob es sich um den Zielmarkt Schweiz handelt oder ob Sie als Unternehmen einen internationalen Markt bedienen. Grundsätzlich sollte individuell geprüft werden, welche Analytics-Lösung und welches Setup am besten zu den vorhandenen Bedürfnissen, Zielen und auch dem Budget passen.
Wie geht es in den nächsten ein bis zwei Jahren weiter mit dem Datenschutz weiter – sowohl in der Schweiz als auch international?
Datenschutz ist ein wichtiges Thema weltweit und wird nun dank AI-Lösungen wie ChatGPT noch einmal befeuert. Es kann davon ausgegangen werden, dass weitere Regulierungen hinzukommen und sich der Datenschutz in dieser Zeit nochmals einige Schritte weiterentwickelt. Was das genau bedeuten wird, ist nicht vorherzusehen. Aber mit neuen Regulierungen in diesem Bereich ist sicherlich zu rechnen.
Haben Sie einen letzten Tipp für Schweizer Unternehmen?
Die Aussage des EDÖB ist deutlich: Unternehmen sollten nicht abwarten bis zum 1. September oder noch länger, bis sie handeln und datenschutzkonforme Prozesse etablieren. Es ist wichtig, diese jetzt umzusetzen und am 1. September bereit zu sein. Zudem kann es sehr hilfreich sein, sich mit einem externen Experten über die eigene Ist-Situation auszutauschen. So erhält man eine konkrete Vorstellung davon, was noch fehlt. Von aussen sehen wir als Experten das ganze Bild und können Mängel sofort erkennen. Bei einem internen Audit spielt oft die Historie mit und durch die Innensicht wird einiges übersehen.
Riccardo Gosteli arbeitet als Head of Analytics & Compliance bei Advance Metrics . Das Unternehmen berät Kund:innen wie Avolut, Implenia, ETH Zürich, Sonova, 20 Minuten und Barry Callebaut in den Bereichen Online Marketing, Data Analytics und Digital Marketing Compliance. Advance Metrics hat sich auf die datenbasierte Optimierung der Digital Performance spezialisiert und bietet seit über fünf Jahren Datenschutzberatungen und Datenschutzumsetzungen an.
Erhalten Sie vier Mal im Jahr inspirierende Markengeschichten und Neuigkeiten aus dem allink-Alltag per E-Mail.