Die europäische Datenschutzgrundverordnung (DSGVO) ist seit 2018 in Kraft. Und auch 2020 bestehen Unsicherheiten – nicht nur bei Marketeers, sondern generell in der Branche. 

Die DSGVO ist für viele ein juristisches Labyrinth, in dem man sich verlieren kann. In so einem Fall helfen Juristen, die einem mögliche Auswege aufzeigen können. So wie am ersten Digital Performance Marketing Breakfast dieses Jahres, durchgeführt vom Branchenverband swissICT.

Mit dem Event hatten die Gastgeber einen Nerv getroffen, der Raum im Verbandssitz in Altstetten war bis auf den letzten Platz besetzt. Rund 20 Marketeers, IT-ler und Unternehmerinnen brachten Fragen mit in die Runde.

Gleich drei Fachleute aus der Rechtskommission von swissICT stellten sich den Fragen und ordneten verschiedene Aspekte des Datenschutzes ein: Alexander Hofmann von Laux Lawyers, Alesch Staehelin von Times Attorneys Zürich und David Vasella von Walder Wyss Rechtsanwälte.

Die Experten stellten klar, dass sich juristische Fragen selten mit ja oder nein beantworten lassen. Es gehe vielmehr darum, Risiken abzuwägen, aufzuzeigen und einzugrenzen.

In ihrem Input-Referat und in der Diskussion wurde zudem rasch deutlich, dass der Datenschutz nicht mit der DSGVO oder dem Bundesgesetz für den Datenschutz (DSG) endet. Der Umgang mit Werbe-Mails beispielsweise, sogenannte elektronische Direktwerbung, ist im Gesetz gegen den unlauteren Wettbewerb (UWG) geregelt. Allerdings auch nur in der Schweiz. Im EU-Raum gelten wiederum länderspezifische Regeln.

Gemäss dem DSG ist die Verarbeitung von Personendaten erlaubt. Es braucht derzeit nicht unbedingt eine Begründung. Das könnte sich mit der für dieses Jahr erwarteten Revision des DSGs ändern.

Die DSGVO hingegen verlangt eine Einwilligung der betroffenen Personen für die Datenverarbeitung. Auch muss man diese begründen können. Umfassendes Datensammeln und Profiling sind sogar verboten. Daher empfiehlt es sich Daten zurückhaltend zu sammeln und zu verarbeiten, insbesondere wenn man mit EU-Kunden zu tun hat.

Die Juristen verwiesen auf das Beispiel eines Spitals in Portugal. Dort konnten zahlreiche Mitarbeitende, auch jene ohne direkten Patientenkontakt, die Patientendaten einsehen. Dies hatte eine saftige Busse für den Spitalbetreiber zur Folge.

Bei der Einschränkung von Risiken gilt es überdies, wirtschaftliche und technische Entwicklung zu berücksichtigen. Wer technisch aufwändig Personendaten anonymisiert, muss wahrscheinlich bald erneut aufrüsten, da auch Datendiebe mit neuen Techniken versuchen werden, an persönliche Informationen von Kunden zu gelangen.

So ist eine Pseudonymisierung, bei der die Namen durch Zahlen und Buchstaben ersetzt und durch einen Code-Schlüssel identifizierbar sind, in manchen Fällen sinnvoller, als eine komplette Anonymisierung durchzuführen.

Nach dem Referat, das immer wieder zu ersten Diskussionen führte, besprach das Plenum konkrete Fälle aus der Praxis der Gäste.

Etwa das Beispiel eines Softwareherstellers, der seine Personalplanungslösung aus der Schweiz heraus auch deutschen Kunden anbietet. In der Software sind die Namen der Mitarbeitenden pseudonymisiert.

Doch was, wenn diese sich untereinander austauschen und Peter Müller seinem Kollegen sagt, dass er im System James Bond heisst? Hierfür ist der Software-Anbieter nicht haftbar, lautete die einhellige Antwort der Rechtsexperten. Das Tool sei mit seiner Pseudonymisierung sogar weiter als manch vergleichbares System, lobten die Juristen.

Und was ist im Fall eines Austritts von Angestellten? Dann dürften die Mitarbeiterdaten nicht einfach gelöscht werden. Denn diese sind wichtig und müssen dokumentiert werden, etwa für das Arbeitszeugnis, die Steuerbehörden oder die Sozialversicherung.

In einem anderen Fall ging es um den Versand eines Newsletters. Der Absender gehört zur Hälfte einer Organisation von Partnerunternehmen und bindet deshalb auch Inhalte der Partner mit ein. So stellt sich die Frage nach dem Urheberrecht, was wohl kein Problem sein dürfte, da die Inhalte von den Partnern zur Verfügung gestellt werden.

Kniffliger ist es mit den Empfängern, wenn diesen Content von Dritten zugesandt wird. Denn der Versand von Inhalten von Dritten bedürfte eigentlich der Einwilligung der Empfängerinnen und Empfänger.

Allerdings kann man in dem Fall argumentieren, dass, sofern die Inhalte themenspezifisch sind, der Absender Teil einer Unternehmensgruppe ist. Insgesamt hielten die Juristen das Rechtsrisiko in diesem Fallbeispiel für sehr gering, betonten aber, dass man die Inhalte kennzeichnen müsse. Datenschutz und UWG verlangten die Kennzeichnung des Absenders.

Interessant war auch die Frage eines Teilnehmers nach Cookie-Bannern. In seinem Fall richtet sich das Angebot zwar an eine Schweizer Kundschaft, es werden aber mitunter Kunden aus dem EU-Raum bedient.

Hier sei die Ausrichtung des Angebots ausschlaggebend, sagten die Experten. Handelt es sich beispielsweise um eine .ch-Domain und werden grundsätzlich heimische Kunden angesprochen, gilt das Schweizer Recht. Folglich brauche es auch keinen Cookie-Banner.

Doch Achtung: Es gibt Fälle, in denen Schweizer IT-Unternehmen (z. B. Hoster) heimische Kunden (Webshops) betreuen, die ihrerseits EU-Kunden bedienen. In so einer Konstruktion könnte man greifbar werden, wie die Juristen anmerkten. Auch Sprachen können zum Bumerang mutieren: Websites, die neben den heimischen Landessprachen ihre Angebote etwa auf Spanisch oder Polnisch anbieten, könnten ebenfalls unter die DSGVO fallen.

Und so fiel denn auch das Fazit der morgendlichen Runde aus: Die DSGVO ist komplex, teilweise unklar formuliert und breit interpretierbar. Manches erscheint zudem unnötig.

Insofern setzt man am besten auf den gesunden Menschenverstand und bleibt tiefenentspannt. Für alles weitere helfen Anwälte.

Am nächsten Digital Performance Marketing Breakfast von swissICT wird über das Marktpotenzial barrierefreier Websites diskutiert. Der genaue Termin wird noch bekannt gegeben.