Alles im Griff mit der EU-DSGVO?
Seit Ende Mai ist sie in Kraft, die europäische Datenschutz-Grundverordnung (EU-DSGVO). Auch wenn es sich hier um EU-Recht handelt, betrifft diese Regelung Schweizer Unternehmen durchaus. Wie haben sich KMU diesbezüglich gerüstet?
Die EU-DSGVO hat vor allem ein Ziel: Die personenbezogenen Daten von Kunden besser vor Missbrauch zu schützen und den Nutzern mehr Rechte zuzugestehen. Im Visier haben die EU-Gesetzgeber vor allem die ganz grossen «Datensammler» wie Google, Amazon, Facebook etc. Betroffen sind aber – und da sind Gesetze nun mal unerbittlich – alle Unternehmen, die in irgendeiner Form personenbezogene Daten bearbeiten und speichern.
Viel Aufwand
Wen man auch fragt: Überall, auch in der Schweiz, heisst es, dass die EU-DSGVO in erster Linie einen Wust an zusätzlichem Aufwand bescherte. Denn auch Firmen aus der «kleinen» Schweiz mussten sich mit dem «Moloch» EU-DSGVO auseinandersetzen, was sich in den letzten Wochen in unzähligen Mails, in denen man zur Bestätigung oder Erneuerung von persönlichen Angaben gebeten wurde, ausgedrückt hat. Denn die neue Verordnung schreibt fest, dass personenbezogene Daten nur mit expliziter Einwilligung gespeichert werden dürfen. Grösseren Aufwand hatten vor allem Unternehmen, die über umfangreiche Datensätze verfügen, darunter auch solche, die jahrelang gespeichert, aber kaum mehr genutzt worden sind. Deshalb mussten sie bei allen Adressaten ihre Einwilligung nochmals neu einholen. Viele Nutzer nahmen dies zum Anlass, sich definitiv aus der Datenbank des Absenders zu verabschieden. Gerade für E-Mail-Marketer war dieses Re-Opt-In also ein zweischneidiges Schwert: Auf der einen Seite liefen sie Gefahr, viele Adressaten mehr oder weniger endgültig zu verlieren, auf der anderen Seite erhöhte sich aber die Qualität der Datenbank: Wer das Re-Opt-In positiv beantwortet, macht deutlich, dass er nach wie vor Informationen empfangen und somit zur Zielgruppe gehören will. Gemäss Experten wäre dieses Re-Opt-In aber gar nicht zwingend notwendig gewesen: Wer zuvor schon Daten per Opt-Ins eingeholt hat, ist gemäss DSGVO bereits auf der sicheren Seite.
EU-Bürger global schützen
Für die Anwendbarkeit der EU-DSGVO auf Schweizer Unternehmen sind zwei Kriterien entscheidend: Einerseits der Ort der Niederlassung, anderseits der Zielmarkt. Wenn also ein in der Schweiz ansässiger Webshop Waren an Personen mit Wohnsitz in einem EU-Land anbietet oder verkauft, dann fällt dieser unter den Anwendungsbereich der DSGVO. Darunter fallen auch etliche Werbemassnahmen. Im Fokus hat der Gesetzgeber dabei vor allem die sog. verhaltensbasierte Werbung. Wenn etwa ein Schweizer Hotelbetreiber von seinen Kunden aus der EU Profile erstellt, um ihnen «massgeschneiderte» neue Angebote unterbreiten zu können, fällt dies ebenfalls unter die DSGVO, «soweit das Profil auf der Grundlage eines Verhaltens in der EU erstellt wird», wie es in einem Informationspapier des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB heisst. Ebenfalls anwendbar dürfte die DSGVO auf den Fall sein, wenn der Betreiber einer Website Webtracking einsetzt, um aufgrund des Surfverhaltens von Nutzern Rückschlüsse auf Produktvorlieben oder Ähnliches zu erhalten. Das heisst: Websites müssen Besucher erst fragen, ob es okay sei, sogenannte Cookies zu verwenden. Denn diese ermöglichen erst das Tracking.
Längst fällige Datenbereinigung
Die von uns befragten Unternehmen scheinen ihre Hausaufgaben gemacht zu haben. Es war ein Aufwand, aber der positive Effekt ist wohl: Jetzt «ist Ordnung im Stall» in Form einer bereinigten internen Datenbank ohne «Kartei-Leichen». Und man kann den Kunden jederzeit Auskunft geben, welche Daten man von ihnen gespeichert hat und ist verpflichtet, diese auf Wunsch auch wieder zu löschen – es sei denn, es spreche übergeordnetes Recht dagegen.
Und was passiert bei Verstössen gegen die EU-DSGVO? Die angedrohten Sanktionen sind durchaus ernst zu nehmen. Wer aber schon immer vertrauensvoll mit personenbezogenen Daten umgegangen ist, dürfte von drohenden Sanktionen wenig zu befürchten haben. Es bleibt ohnehin abzuwarten, wie die tatsächliche Rechtsprechung aussehen wird und ob eine Prozessflut überhaupt eintritt. Sobald erste Gerichtsurteile vorliegen, dürfte es sich zeigen, ob und in welcher Form man die eigenen Datenprozesse nachjustieren muss.
«Meine Daten gehören mir»
Bei aller Kritik an der EU-DSGVO – ein revidiertes Schweizer Datenschutzgesetz ist bekanntlich ebenfalls in der Pipeline und dürfte nochmals für Arbeit sorgen – darf festgehalten werden: Beim Umgang mit Daten als sogenannter «neuer Währung» braucht es allgemeingültige Spielregeln. Es ist schliesslich gut und recht, wenn jeder von uns, der seine Daten täglich über Onlinekanäle quasi «à discrétion» verbreitet, immer auch Einsicht erhalten kann, was mit seinen personenbezogenen Informationen geschieht. Das ist wie die regelmässige Abfrage des Kontostandes. Und wer trägt seinem Geld schon nicht Sorge?
Wie sich Schweizer KMU mit der EU-DSGVO befassten
Schweizer KMU sind die Anforderungen an die EU-DSGVO unterschiedlich angegangen. Wir sprachen darüber mit Gaby Stäheli, Co-CEO von GRYPS Offertenportal AG in Rapperswil mit 17 Mitarbeitenden.
Frau Stäheli, welchen (Mehr)aufwand hat Ihnen die EU-DSGVO bisher ganz allgemein beschert?
Gaby Stäheli: Für Vorbereitung und Implementierung der wichtigsten Tasks bis zur Einführung benötigten wir rund 10 bis 15 Personentage. Für ein Unternehmen mit 17 Mitarbeitern unter Vollauslastung ist dies ein massiver Mehraufwand. Wir rechnen mit zusätzlichem Aufwand, wenn die Schweiz nachzieht.
Wo, z.B. auf Ihren Websites, mussten Sie die grössten Anpassungen vornehmen?
Die Ausformulierung der Datenschutzerklärung, die nun sehr viel umfangreicher ausfällt, und die Ausgestaltung unserer Onlinefragebögen. Auch die Definition der internen Prozesse, die mit künftigen Datenauskünften und Löschungen zusammenhängen, war aufwendig.
Wie stellen Sie sicher, dass z.B. Kunden das «Recht auf Vergessen» ihrer Daten wahrnehmen können?
Ein intern definierter Prozess wird eingeleitet, sobald ein Kunde seine Daten verlangt bzw. löschen lassen will. Das ist aber nur möglich, wenn dies nicht der gesetzlichen Datenaufbewahrungsfrist bei Kundentransaktionen widerspricht.
Wie sorgen Sie ganz allgemein für die Sicherheit der von Ihnen bewirtschafteten personenbezogenen Daten?
Alle Systeme und Server, auf denen sich Kundendaten befinden, sind verschlüsselt. Diese stehen in professionellen Rechenzentren mit garantiert hohen Sicherheitsstandards. Unsere Mitarbeiter werden zudem entsprechend geschult.
Information: Weitere Interviews finden Sie in der Print-Ausgabe ORGANISATOR 6-2018.
