Data Privacy: So vereinbart man die Marketingstrategie mit den gesetzlichen Vorschriften

Ab September gibt es mit dem revDSG ein neues Gesetz für den Datenschutz in der Schweiz. Zu diesem Anlass gibt Zbynek Zapletal in seinem Gastbeitrag einen nutzwertigen Überblick über die Datenschutzbestimmungen, die Änderungen und ihre Auswirkungen auf Marketingaktivitäten.

Die Verbraucher sind sich heute mehr denn je bewusst, welchen Wert ihre Daten für die Unternehmen darstellen und wie Unternehmen diese nutzen können. In diesem Zusammenhang wurden weltweit eine Reihe von Datenschutzvorschriften erlassen. Ihr Ziel? Es soll sichergestellt werden, dass jeder Nutzer das Recht hat, seine persönlichen Daten zu schützen und auf sie zuzugreifen. Dies kann ein heikles Thema für Vermarkter sein, und noch mehr für diejenigen, die in verschiedenen Ländern mit unterschiedlichen Arten von Daten umgehen.

Was versteht man unter Data Privacy?

Der Begriff Datenschutz bezieht sich auf die Regeln, die für die Verwendung der personenbezogenen Daten der Nutzer im Rahmen einer beruflichen Tätigkeit gelten. Jedes Land hat seine eigenen Vorschriften, für Unternehmen kann es daher schwierig sein, sie einzuhalten. Alle diese Vorschriften haben jedoch die gleiche Grundlage, nämlich:

– Zustimmung: Die Nutzer müssen in klarer Form darüber informiert werden, wie ihre Daten erhoben, gespeichert und verwendet werden können. Sie müssen ihre ausdrückliche Zustimmung zur Erhebung, Speicherung und Verwendung dieser Daten geben.

– Rechtliche Bedingungen: Die Vorschriften definieren die Konsequenzen und rechtlichen Verpflichtungen für Unternehmen, die diese Art von Daten sammeln und verwenden.

– Rechte der Nutzer: Die Nutzer haben jederzeit Zugang zu ihren personenbezogenen Daten und können deren Änderung, Berichtigung, Löschung oder Wiederherstellung verlangen.

– Datensicherheit: Jedes Unternehmen muss die Behörden so schnell wie möglich informieren, wenn bei ihm eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde.

Um welche Art von Daten handelt es sich?

Jede Art von personenbezogenen Daten unterliegt den Vorschriften über den Datenschutz. Somit fallen alle Daten, die es ermöglichen, eine Person direkt oder indirekt zu identifizieren, in diesen Rechtsrahmen. Diese persönlichen Daten sind:

– Name, Vorname, E-Mail-Adresse und Telefonnummer
– Jede Art von soziodemografischen Daten (Beruf, Geschlecht, Alter…)
– Jegliche Art von Geolokalisierung
– Daten, die sich auf die Art und Weise beziehen, wie ein Benutzer das Internet nutzt (IP-Adresse, Verhaltensdaten…)

Zu beachten ist, dass auch Daten betroffen sind, die auf Initiative des Nutzers weitergegeben wurden. Das Gleiche gilt für unternehmensinterne Daten (alle Daten, die sich auf die Mitarbeiter des Unternehmens beziehen).

Wer ist vom Datenschutz betroffen?

Jedes Unternehmen, das personenbezogene Daten über seine Nutzer sammelt, speichert oder verwendet, ist vom Datenschutz betroffen. Die meisten Vorschriften sind aus der Sicht der Nutzer konzipiert. Das bedeutet, dass sie für Unternehmen gelten, die personenbezogene Daten von Nutzern verwenden, die in der Region ansässig sind, für die diese Vorschriften gelten. Mit anderen Worten: Selbst wenn ein Unternehmen nicht in einer Region ansässig ist, in welcher eine bestimmte Verordnung gilt, oder seine Daten in einem anderen Land gespeichert sind, ist
das Unternehmen trotzdem betroffen, sollten sich seine Nutzer in dieser Region befinden. Deshalb ist es wichtig, die verschiedenen Vorschriften zu kennen und sie einzuhalten.

Welche Vorschriften gibt es zur Überwachung des Datenschutzes?

Nachstehend werden die verschiedenen Vorschriften zum Schutz personenbezogener Daten erläutert, die man kennen sollte, um Marketingaktivitäten optimal an die Vorschriften anpassen zu können.

In Europa gilt die DSGVO/ GDPR (Datenschutz Generalverordnung/General Data Protection Regulation). Dabei handelt es sich um eine Verordnung der Europäischen Union, die 2018 in Kraft getreten ist und von den jeweiligen, zuständigen nationalen Instanzen durchgesetzt wird.
Sie schreibt vor, dass Unternehmen unter anderem…
– die Nutzer um ihre ausdrückliche Zustimmung bitten müssen, wenn sie ihre personenbezogenen Daten erfassen
– über ein Register verfügen, in dem sie erklären, wie diese Daten erhoben, gespeichert und jederzeit geschützt werden
– den Nutzern die Möglichkeit geben, ihre personenbezogenen Daten zu ändern, zu berichtigen, zu löschen oder abzurufen.

In Kalifornien ist es das CCPA (California Consumer Privacy Act), das eingehalten werden muss. Diese Verordnung, die im Jahr 2020 in Kraft getreten ist, ist der DSGVO sehr ähnlich, regelt aber speziell, wie Unternehmen die Daten von in Kalifornien ansässigen Personen speichern und weitergeben. Diese Nutzer müssen darüber informiert werden, wie ihre Daten gesammelt werden, und sie müssen jederzeit Zugang zu diesen Daten haben, um deren Löschung zu verlangen.

In Brasilien regelt das LGPD (Lei Geral de Proteção de Dados), das im August 2020 in Kraft getreten ist, das Konzept des Datenschutzes. Dieses Gesetz, das sich ebenfalls direkt an der DSGVO orientiert, legt fest, wie Unternehmen die personenbezogenen Daten von Nutzern mit Wohnsitz in Brasilien sammeln, verarbeiten und weitergeben.

Die Vorschriften zur Datenübermittlung ausserhalb der EU

Wenn ein Unternehmen Daten in Länder ausserhalb der EU übermitteln muss, ist es notwendig, die in den Ländern gültigen Vorschriften einzuhalten. In Frankreich muss zum Beispiel die CNIL (Commission Nationale de l’Informatique et des Libertés), in Deutschland die BFDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) und im Vereinigten Königreich die ICO (Information Commissioner’s Office) seit Inkrafttreten der GDPR keine Genehmigung mehr für Datenübermittlungen ausserhalb der EU erteilen, wenn diese auf …
– Standardvertragsklauseln („SCC“), die von der Europäischen Kommission festgelegt wurden,
– einem von der EU genehmigtem Verhaltenskodex,
– einer von der EU genehmigten internen Vorschrift für ein bestimmtes Unternehmen oder
– einer von der EU genehmigten Zertifizierung basieren.

Es gilt jedoch zu beachten, dass sowohl das Unternehmen, das personenbezogene Daten exportiert, als auch das Unternehmen, das sie  importiert, prüfen muss, wie die spezifischen Vorschriften des jeweiligen Landes genau aussehen.

Welche Veränderungen stehen an? Und wie wirken sie sich auf den Markt aus?

Da das Konzept des Datenschutzes immer wieder Gegenstand neuer Gesetze und Verordnungen ist, ist es von entscheidender Bedeutung, die anstehenden Änderungen in diesem Bereich zu antizipieren.

revDSG: ein neues Gesetz für den Datenschutz in der Schweiz

In der Schweiz müssen die Unternehmen ab dem 1. September 2023 das neue Datenschutzgesetz revDSG einhalten. Dieses Gesetz ist ebenfalls an die DSGVO angeglichen, um den freien Datenfluss zwischen der Schweiz und der EU aufrechtzuerhalten und den Schutz der Rechte der Nutzer zu gewährleisten.

– Es enthält die wichtigsten Grundsätze der GDPR
– Die Nutzer müssen über die Erhebung ihrer personenbezogenen Daten informiert werden (nicht nur über sensible Daten, wie im Gesetz bereits erwähnt)
– Unternehmen müssen ein Datenregister erstellen
– Außerdem müssen sie den Datenschutzbeauftragten unverzüglich informieren, wenn eine Sicherheitsverletzung festgestellt wird
– Die Grundsätze des „Privacy by Design“ und des „Privacy by Default“ werden durch das Gesetz eingeführt.

Datenübermittlung zwischen den USA und der EU

Anfang Oktober 2022 kündigte der US-Präsident an, dass eine neue Verordnung für den Datentransfer zwischen den Vereinigten Staaten und der Europäischen Union eingeführt wird, damit diese Daten genauso gut geschützt sind wie im Rahmen der GDPR. Diese neue Verordnung ersetzt die beiden früheren Rahmenentwürfe „Safe Harbor“ und „Privacy Shield“, die von der europäischen Justiz für ungültig erklärt wurden.

Diese Verordnung…
– führt einen neuen Gerichtshof für die Überprüfung des Datenschutzes unter der Verantwortung des US-Justizministeriums ein
– sieht vor, dass die Vereinigten Staaten den Zugriff ihrer zuständigen Instanzen auf die Daten der Europäer auf das „notwendige“ und „verhältnismässige“ Mass beschränken.

Das Navigieren durch die zahlreichen, weltweit geltenden Datenschutzbestimmungen kann für Vermarkter eine Herausforderung darstellen, da sie die Einhaltung der Vorschriften sicherstellen, gleichzeitig ein gutes Nutzererlebnis bieten und die Kampagnenleistung optimieren müssen.
Um dieses Gleichgewicht zu erreichen, sind eine leistungsfähige Plattform für das Einwilligungsmanagement (CMP – Consent Management Platform) sowie eine fortschrittliche Nachverfolgung auf allen Plattformen und die Überwachung der Ergebnisse durch Analysen unerlässlich.


* Zbynek Zapletal ist Director of Programmatic & Tech Development DACH & CZ bei Gamned Suisse SA.

Weitere Artikel zum Thema