Im Mai 2018 hat die EU ihr bahnbrechendes Datenschutzgesetz, die Datenschutz-Grundverordnung (DSGVO), verabschiedet. Die DSGVO gibt den EU-Bürgern massiven Schutz und Rechte darüber, wie ihre Daten erfasst und verwendet werden können. Schon vorher begann die Schweiz damit, ihr eigenes Datenschutzgesetz zu aktualisieren, um es mit demjenigen der Europäischen Union in Einklang zu bringen. Dieser Prozess soll nun abgeschlossen werden, so dass das neue Schweizer Datenschutzgesetz bereits 2021 in Kraft treten wird.
Noch wissen wir nicht genau, wie das endgültige Gesetz aussehen wird, da einige Aspekte im Parlament noch aktiv diskutiert werden. Doch auf der Grundlage des bestehenden Gesetzesvorschlags können wir Ihnen eine gute Vorstellung davon vermitteln, wie sich das Gesetz auf Ihre Online-Marketing-Aktivitäten und Datenprogramme auswirken wird.
Lead-Generierung und -Pflege
Für viele Unternehmen besteht das Ziel ihrer Webseite darin, Leads zu generieren. Häufig entstehen diese Leads über ein Formular auf der Webseite, das ein Benutzer ausfüllt, um ein Whitepaper oder einen Leitfaden herunterzuladen. Der Lead gelangt anschliessend in eine Datenbank und einen E-Mail-Marketingprozess.
Nach dem neuen Gesetz muss der Nutzer beim Ausfüllen eines Formulars seine ausdrückliche Zustimmung hierzu geben. Dabei muss es sich um eine aktive Zustimmung handeln. Das bedeutet, dass auf dem Formular ein Kontrollkästchen vorhanden sein muss, das nicht vorausgefüllt sein darf. Der Nutzer muss das Kästchen aktiv ankreuzen, bevor Sie ihn in Marketing-Zwecke einbinden dürfen. Die Einwilligung muss zudem informativ sein. Das heisst, es muss klar angegeben werden, dass Sie zu Marketing- oder Werbezwecken mit dem User kommunizieren wollen, und dieser durch Ankreuzen des Kästchens zustimmt.
Gezielte Werbung
Ebenso kann gezielte Werbung, wie z.B. Remarketing-Kampagnen, nicht ohne ausdrückliche Zustimmung erfolgen. Denn Remarketing-Kampagnen bauen darauf, dass ein Profil einer bestimmten Person zu individuellen Werbezwecken erstellt wird.
In diesem Fall ist es unwahrscheinlich, dass der Benutzer ein Kästchen ankreuzt. Wahrscheinlicher ist es, dass er dem Setzen von Cookies für zielgerichtete Werbung zustimmt. Auch hier muss die Zustimmung aktiv sein und mit der notwendigen Information angeboten werden.
Eine Reihe von Werbetreibenden, wie Facebook, Google und LinkedIn, setzen auf Cookies, die es ihnen ermöglichen, ihre Nutzer über andere Webseiten hinweg zu identifizieren. Dies geschieht über Tracking-Pixel und auch für diese Cookies ist eine ausdrückliche Zustimmung erforderlich. Selbst wenn Sie also kein Remarketing planen, müssen Sie diese Zustimmung einholen, bevor Sie die Google-, LinkedIn- oder Facebook-Tracking-Pixel hinzufügen.
Verwendung von Cookies
Gemäss dem neuen Schweizer Datenschutzgesetz muss davon ausgegangen werden, dass Ihre Webseite über einen Cookie-Banner verfügen muss. Dieser Banner muss dem Benutzer Informationen darüber geben, wofür Cookies verwendet werden. Zusätzlich sollte der Banner einen Link zu einem Cookie-Präferenzzentrum mit der Möglichkeit des Opt-in oder -out verschiedener Kategorien von Cookies enthalten. Je nachdem, welche Daten die Cookies sammeln und welche Funktion sie haben, erfordern diese Kategorien ein gewisses Mass an Zustimmung. Gemäss DSGVO und voraussichtlich auch Schweizer DSG gilt:
- Cookies, die für das Funktionieren der Webseite unerlässlich sind, benötigen gegebenenfalls überhaupt keine Zustimmung des Benutzers.
- Cookies, die keine Nutzerprofile für gezielte Werbung erstellen, jedoch für das Funktionieren der Webseite nicht unerlässlich sind, können gesetzt werden, wenn der Nutzer auf der Webseite ankommt. Allerdings muss der Nutzer die Möglichkeit haben, sich abzumelden.
- Im Fall von Cookies für gezielte Werbung muss der Benutzer seine ausdrückliche Zustimmung geben, bevor das Cookie gesetzt werden kann.
Richtlinien und Bekanntmachungen
Gemäss DSGVO sind alle Webseiten-Betreiber dazu verpflichtet, genaue, vollständige und leicht verständliche Datenschutz- und Cookie-Richtlinien auf ihrer Webseite bereitzustellen. Diese müssen klar angeben, welche Daten gesammelt, wie sie erfasst, wo sie gespeichert, wofür sie verwendet, mit wem sie geteilt werden und wer dafür verantwortlich ist. Es ist wahrscheinlich, dass auch das neue Schweizer Datenschutzgesetz diese Anforderung enthalten wird.
Handhabung und Speicherung von Daten
Mit dem neuen Datenschutzgesetz liegt die Verantwortung für die Sicherung der Benutzerdaten bei allen am Prozess Beteiligten, einschliesslich Ihnen als Eigentümer der Webseite. Wenn die von Ihnen genutzten Speichereinrichtungen kompromittiert werden, selbst wenn dies auf das Verschulden Ihres Dienstleistungsanbieters zurückzuführen ist, werden Sie zur Verantwortung gezogen.
Der Benutzer, dessen Daten gesammelt werden, hat nach dem neuen Gesetz, wie bereits erwähnt, viele Rechte, wie zum Beispiel: Zu wissen, wie seine Daten gesammelt, verwendet und gespeichert werden. Er hat auch das Recht, auf seine Daten zuzugreifen, falsche Daten korrigieren zu lassen, und „vergessen zu werden». Letzteres bedeutet, dass jeder Benutzer darauf bestehen kann, dass all seine persönlichen Daten gelöscht werden.
Strafen bei Verstoss
Der letzte wichtige Punkt sind die Strafen, die gegen Unternehmen verhängt werden, die sich nicht an die Regeln halten: Die Höchststrafe, die laut DSGVO verhängt werden kann, beträgt 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes – je nachdem, welcher Betrag höher ist. Gegenwärtig sieht die vorgeschlagene Gesetzgebung für das Schweizer Datenschutzgesetz wesentlich niedrigere Strafen von maximal 250’000 Schweizer Franken vor. Es gibt jedoch Forderungen im Parlament, die einen höheren Betrag analog zur DSGVO im Schweizer DSG anstreben.
Schlussfolgerung
Obwohl wir noch nicht alle Einzelheiten des neuen Schweizer Datenschutzgesetzes kennen, ist eines der erklärten Ziele, dass der Schweizer Datenschutz der europäischen DSGVO gleich gestellt wird. Es ist daher wahrscheinlich, dass alle oben erwähnten Bestimmungen enthalten sein werden. Wir haben bereits vielen Unternehmen dabei geholfen, ihre Webpräsenz für die DSGVO vorzubereiten und wir wissen, dass dies kein einfacher, schneller Prozess ist. Deshalb raten wir unseren Kunden und Ihnen, sich bereits im Voraus auf das neue Datenschutzgesetz vorzubereiten. Nur so haben Sie rechtzeitig alles aufgesetzt, um die Vorschriften zu erfüllen.