Wie Schweizer KMU am besten auf die neue EU-Datenschutzverordnung reagieren

Höchstwahrscheinlich ja. Die DSGVO gilt nicht nur für Unternehmen mit Sitz in der EU, sondern für alle, die Daten von EU-Bürgern verwenden. Verwalten Sie ausländische Adressen in der Newsletter-Datenbank oder verfolgen Sie das Verhalten Ihrer Website-Besucher mit Google Analytics? Dann gilt die neue Verordnung auch für Ihren Betrieb. Und auch wenn nicht – ein neues Schweizer Datenschutzgesetz ist bereits in Arbeit. Dieses wird sich an den EU-Normen orientieren.

Die DSGVO regelt den Umgang mit Daten, die eine Person identifizierbar machen. Ob diese dadurch tatsächlich identifiziert wird, ist sekundär. Es zählt, dass eine Identifizierung möglich ist. Für Schweizer KMU relevant sind insbesondere Vor- und Nachname, E-Mail-Adresse, Adresse, Telefonnummer und Geburtsdatum, aber auch IP-Adressen oder Zugangsdaten zu allfälligen Online-Diensten, die erhoben, gespeichert oder verwendet werden.

Entscheidend ist, ob Sie eine freiwillige Einwilligung der betroffenen Personen erhalten haben. Wenn diese für einen oder mehrere ausdrücklich bestimmte Zwecke (also z. B. für den Versand von Newslettern und Kundenbriefen) vorliegt, dürfen Sie die Daten zu diesen Zwecken verwenden. Dass Sie eine Zusage erhalten haben, müssen Sie belegen können. Wenn Sie die erfassten Daten für andere Zwecke einsetzen möchten, müssen Sie die betroffenen Personen vorher informieren. Bei Kindern unter 16 Jahren ist die Zustimmung der Eltern erforderlich.

• Wenn Sie Daten verwenden, müssen Sie die einzelnen Bearbeitungsschritte in einem Register festhalten. In Unternehmen mit weniger als 250 Mitarbeitenden gilt dies nur für dauerhafte Prozesse und nicht für einzelne Massnahmen oder Kampagnen. Eine Vorlage (Formular B.1) finden Sie auf www.dsat.ch/download.
• Rechtswidrige Datenverarbeitungen oder -verluste, die zu einem Risiko für die Rechte und Freiheiten betroffener Personen führen können, müssen bei der zuständigen Behörde gemeldet werden.
• Wenn Personen Auskunft über die bei Ihnen gespeicherten Daten verlangen oder deren Löschung beantragen, sollten Sie diesen Forderungen zeitnah nachkommen.
• Die DSGVO nimmt ebenfalls Bezug auf die Sicherheit der verwendeten IT-Systeme. Inwiefern Ihre Systeme und Prozesse diesen Anforderungen genügen, besprechen Sie am besten mit den zuständigen Experten.
• Grundsätzlich benötigen Schweizer Unternehmen, die von der DSGVO betroffen sind, einen Datenschutz-Vertreter in der EU. Ein entsprechendes Angebot wurde auf www.datenschutzpartner.ch bereits lanciert. Inwiefern es für Schweizer KMU zum Alltag wird, einen Datenschutz-Vertreter zu engagieren, dürfte sich in den kommenden Monaten zeigen.

Im Zusammenhang mit Newsletter-Tools gibt es verschiedene Szenarien. Sind Sie sich sicher, dass alle Kunden dem Erhalt des Newsletters per Double-Opt-In (Bestätigung per E-Mail) ausdrücklich zugestimmt haben? Dann müssen Sie nichts unternehmen. In allen anderen Fällen nehmen Sie am besten Kontakt mit uns auf. Wir empfehlen, die Einwilligung auf DSGVO-konforme Art einzuholen (z. B. mit einem eigens dafür entworfenen Newsletter).

Von der Datenschutzverordnung sind insbesondere Cookies (z. B. zum Aufzeichnen von Nutzerdaten via Google Analytics) und die Datenschutzerklärung Ihrer Website betroffen. Auf Wunsch bringen wir Ihre Analytics-Settings und Ihre Datenschutzerklärung auf den neusten, DSGVO-konformen Stand. Zudem binden wir den notwendigen Hinweis zur Verwendung von Cookies ein. Wir empfehlen, auch Kontaktformulare mit einem Hinweis auf die Datenschutzerklärung zu ergänzen.

Die DSGVO bezieht sich auch auf Online-Werbung wie Facebook Advertising oder Google AdWords. In den meisten Fällen wird hierfür aber die Nutzerdatenbank des jeweiligen Anbieters (also Google oder Facebook) verwendet. Dieser ist deshalb auch für die Einhaltung der Datenschutzverordnung verantwortlich. Wenn wir Ihre Online-Werbung betreuen, sind Sie auf der sicheren Seite.

Im Falle von Verstössen gegen die DSGVO drohen happige Geldbussen: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Es ist nicht davon auszugehen, dass so hohe Strafen in den ersten Wochen oder Monaten gegen Schweizer KMU ausgesprochen werden. Ausschliessen lässt sich dieses Risiko aber nicht.

Die DSGVO sorgt zwar für bürokratischen Zusatzaufwand, ist aber im Grunde genommen eine sinnvolle Massnahme. Dass Daten nur mit Einwilligung der betroffenen Personen und für die dafür vorgesehenen Zwecke verwendet werden dürfen, macht Sinn. Als Werbeagentur möchten wir beispielsweise gar nicht möglichst viele, sondern die richtigen Menschen ansprechen – die damit auch einverstanden sind.

Als nächste Schritte empfehlen wir Ihnen, die Prozesse im Umgang mit personenbezogenen Daten in Ihrem Betrieb kritisch zu hinterfragen. Achten Sie darauf, Personendaten nur mit explizitem Einverständnis und für den ursprünglich vorgesehenen Zweck einzusetzen. Um die notwendigen Sofortmassnahmen wie Ihre Analytics-Settings, einen Cookie-Hinweis, die Datenschutzerklärung Ihrer Website und Ihre Newsletter-Datenbank kümmern wir uns gerne für Sie – damit Ihre Kommunikation im Web der DSGVO entspricht.