Wie umgehen mit der DSGVO?

Die europäische Datenschutzgrundverordnung (DSGVO) ist seit 2018 in Kraft. Und auch 2020 bestehen Unsicherheiten – nicht nur bei Marketeers, sondern generell in der Branche. 

Die DSGVO ist für viele ein juristisches Labyrinth, in dem man sich verlieren kann. In so einem Fall helfen Juristen, die einem mögliche Auswege aufzeigen können. So wie am ersten Digital Performance Marketing Breakfast dieses Jahres, durchgeführt vom Branchenverband swissICT.

Mit dem Event hatten die Gastgeber einen Nerv getroffen, der Raum im Verbandssitz in Altstetten war bis auf den letzten Platz besetzt. Rund 20 Marketeers, IT-ler und Unternehmerinnen brachten Fragen mit in die Runde.

Gleich drei Fachleute aus der Rechtskommission von swissICT stellten sich den Fragen und ordneten verschiedene Aspekte des Datenschutzes ein: Alexander Hofmann von Laux Lawyers, Alesch Staehelin von Times Attorneys Zürich und David Vasella von Walder Wyss Rechtsanwälte.

Die Experten stellten klar, dass sich juristische Fragen selten mit ja oder nein beantworten lassen. Es gehe vielmehr darum, Risiken abzuwägen, aufzuzeigen und einzugrenzen.

In ihrem Input-Referat und in der Diskussion wurde zudem rasch deutlich, dass der Datenschutz nicht mit der DSGVO oder dem Bundesgesetz für den Datenschutz (DSG) endet. Der Umgang mit Werbe-Mails beispielsweise, sogenannte elektronische Direktwerbung, ist im Gesetz gegen den unlauteren Wettbewerb (UWG) geregelt. Allerdings auch nur in der Schweiz. Im EU-Raum gelten wiederum länderspezifische Regeln.

Gemäss dem DSG ist die Verarbeitung von Personendaten erlaubt. Es braucht derzeit nicht unbedingt eine Begründung. Das könnte sich mit der für dieses Jahr erwarteten Revision des DSGs ändern.

Die DSGVO hingegen verlangt eine Einwilligung der betroffenen Personen für die Datenverarbeitung. Auch muss man diese begründen können. Umfassendes Datensammeln und Profiling sind sogar verboten. Daher empfiehlt es sich Daten zurückhaltend zu sammeln und zu verarbeiten, insbesondere wenn man mit EU-Kunden zu tun hat.

Die Juristen verwiesen auf das Beispiel eines Spitals in Portugal. Dort konnten zahlreiche Mitarbeitende, auch jene ohne direkten Patientenkontakt, die Patientendaten einsehen. Dies hatte eine saftige Busse für den Spitalbetreiber zur Folge.

Bei der Einschränkung von Risiken gilt es überdies, wirtschaftliche und technische Entwicklung zu berücksichtigen. Wer technisch aufwändig Personendaten anonymisiert, muss wahrscheinlich bald erneut aufrüsten, da auch Datendiebe mit neuen Techniken versuchen werden, an persönliche Informationen von Kunden zu gelangen.

So ist eine Pseudonymisierung, bei der die Namen durch Zahlen und Buchstaben ersetzt und durch einen Code-Schlüssel identifizierbar sind, in manchen Fällen sinnvoller, als eine komplette Anonymisierung durchzuführen.