Seite wählen

Recht im digitalen Marketing – alles was du wissen musst.

von | Okt 19, 2021 | Digital Marketing, Digital Marketing, E-Mail-Marketing, Social Media, Webseitenerstellung | 1 Kommentar

Big Data, goldene Daten, Data based Content – alles dreht sich um Daten, die unser Marketing effizienter machen und mehr Geld in die Kasse spülen sollen. Nebst den vielen Vorteilen, die uns die Digitalisierung bringt, hat sie einen grossen Nachteil. In der digitalen Welt kennen wir unsere Kunden kaum bis gar nicht. Die Datenerhebung beschafft uns einen Grossteil der benötigten Informationen, um das Nutzerverhalten zu verstehen und unsere Marketing-Massnahmen zu optimieren. Warst du auch schon unsicher und hast dich gefragt, ob das alles rechtskonform und zulässig ist? Mein Blog vermittelt dir die notwendigen rechtlichen Grundlagen, um dein Marketing und den Datenschutz ins Gleichgewicht zu bringen. 

Quelle Bild DSGVO (www.envato.com)

Inhaltsverzeichnis

  • Der Datenschutz
  • Die Datenschutzgesetze DSG und EU-DSGVO
  • Das Wichtigste zur Datenbearbeitung
  • So gestaltest du rechtskonforme Websites
  • Tipps zur Nutzung von Bildern, Musik, Videos und Karten
  • Der richtige Einsatz von Cookies (inkl. Gestaltung)
  • Social Media Buttons sind nicht datenschutzkonform
  • Newsletter Marketing: Einsatz, Gestaltung und Umsetzung
  • Mein Fazit
  • tl;dr (Zusammenfassung)

Darum geht es in diesem Blog:

  • Nützliche Praxis-Tipps und Links von der Rechtsanwältin Nicola Neth
  • Wie du in Kürze sicher stellst, ob DSG oder EU-DSGVO anwendbar ist
  • Die Revision des Schweizer Datenschutzgesetz im 2023 – es wird strenger!
  • Was auf deiner Website an rechtlichen Grundlagen nicht fehlen darf
  • So gestaltest du Cookies rechtskonform
  • Checkliste für die rechtskonforme Verwendung von Bildern, Musik, Social Media Plugins und Karten

Der Datenschutz

Das Datenschutzgesetz definiert innerhalb der Schweiz die Datenbearbeitung von privaten und juristischen Personen (Firmen). Der Datenschutz soll gewährleisten, dass in jedem Fall die Verhältnismässigkeit beachtet wird, dass also immer nur so viele persönliche Daten wie nötig und so wenige wie möglich gesammelt und bearbeitet werden. Zudem soll man als betroffene Person auch die Möglichkeit haben, die Bearbeitung der Daten zu kontrollieren und zu verhindern.

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO)

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, welche die Regeln zur Verarbeitung personenbezogener Daten EU-weit einheitlich vorgibt. Beide Gesetze, DSG und EU-DSGVO, bewirken zwar das Gleiche, wobei die EU-DSGVO bedeutend strengere Gesetze als das Schweizerische Datenschutzgesetz aufweist.

Das Datenschutzgesetz der Schweiz (DSG)

Das Datenschutzgesetz definiert innerhalb der Schweiz die Datenbearbeitung von privaten und juristischen Personen (Firmen). Der Datenschutz soll gewährleisten, dass in jedem Fall die Verhältnismässigkeit beachtet wird, dass also immer nur so viele persönliche Daten wie nötig und so wenige wie möglich gesammelt und bearbeitet werden. Zudem soll man als betroffene Person auch die Möglichkeit haben, die Bearbeitung der Daten zu kontrollieren und zu verhindern.

Revision des Schweizer Datenschutzgesetzes – es wird strenger

Um dem technologischen Fortschritt Folge zu leisten, steht eine Totalrevision des Datenschutzgesetzes an. Das nDSG (Neues Datenschutzgesetz) wird Anfang 2023 in Kraft treten. Das nDSG orientiert sich am EU-DSGVO und wird daher bedeutend strenger als bis anhin. 

DSG (Schweiz) ab 2023EU-DSVGO
Informationspflicht ist geregelt, aber nicht abschliessendInformationspflicht ist detailliert geregelt
Recht auf Datenportabilität (Einsicht)Recht auf Datenportabilität (Einsicht)
Pflicht zur Datenschutzfolgeabschätzung bei hohem Risiko einer Persönlichkeitsverletzung oder schützenswerten PersonendatenPflicht zur Datenschutzfolgeabschätzung bei hohem Risiko einer Persönlichkeitsverletzung
Meldepflicht bei VerletzungenMeldepflicht bei Verletzungen
Privacy by Design und Privacy by DefaultPrivacy by Design und Privacy by Default
Pflicht zur Führung eines Verzeichnisses aller Datenbearbeitungen (ab 250 Mitarbeitenden)Pflicht zur Führung eines Verzeichnisses aller Datenbearbeitungen
EDÖB als AufsichtsbehördeAufsichtsbehörde
Bussen bis CHF 250’000.–Bussen bis zu 4% des Jahresumsatzes (max. 20 Mio)

Tipp: Das EDÖB (Eidg. Datenschutz- und Öffentlichkeitsbeauftragter) stellt wichtige Merkblätter, Informationen und Vorlagen zum Datenschutz zur Verfügung: https://eur-lex.europa.eu/homepage.html

Welches Recht ist awendbar – DSG oder EU-DSGVO?

Bevor ich dir im Detail erkläre, was es auf deiner Website benötigt, musst du herausfinden, ob für deine Website die Vorgaben des DSG (Schweiz) oder des EU-DSGVO (Europa) umgesetzt werden müssen. Dies erfolgt anhand einem einfachen Prüfschema mit drei Fragen:

Quelle Bild Prüfschema: Eigene Produktion L. Pilla

Die Datenbearbeitung

Die Definition Datenbearbeitung gemäss DSG bedeutet:

● Einsicht gewähren
● Erheben (tracken)
● Bekanntgeben, weitergeben, veröffentlichen
● Aufbewahren
● Speichern
● Bearbeiten

Mögliche Datenarten:

● IP-Adresse
● Anrede
● Name
● Soziodemografische Angaben
● Geburtsdatum
● Interessen

 Tipp: Finde heraus, ob eine Website Daten trackt: https://webbkoll.dataskydd.net/de/

Du bearbeitest Daten? Dann musst du folgendes sicherstellen:

Die Grundsätze der Datenbearbeitung nach Art. 4 bis 7 DSG solltest du kennen und umsetzen:

  • Rechtmässige Bearbeitung
  • Verhältnismässige Bearbeitung
  • Durch angemessene technische und organisatorische Massnahmen gegen unbefugten Zugriff schützen
  • Nur zu dem Zweck und in dem Umfang, der bei der Erhebung angegeben wurde
  • Bekanntgabe an Dritte unter spezifischen Voraussetzungen
  • Bekanntgabe ins Ausland unter spezifischen Voraussetzungen

Weitergabe von Daten in der Schweiz

Ist dir auch schon mal aufgefallen, dass viele Unternehmen angeben, Daten nicht an Dritte weiterzugeben? Die Datenweitergabe ist schneller passiert als man denkt, wenn man deren Definition genauer betrachtet: Eine Weitergabe erfolgt, wenn man jemandem Dritten Einsicht in die Daten gewährt. Beispiele der Datenweitergabe aus der Praxis: 

  • IT Host
  • Agentur
  • CRM
  • Andere Organisationen innerhalb einer Firma (z.B. Buchhaltung)

Die Weitergabe von Daten ist an sich kein Gesetzesverstoss, jedoch musst du dir bewusst sein, dass du als Datenerheberin für die Datensicherheit verantwortlich bist, wenn ein Dritter deine Daten nicht rechtmässig bearbeitet.

Berücksichtige dabei weitere Pflichten:

  • Wähle deine beigezogenen Dritten sorgfältig aus.
  • Mache dem beigezogenen Dritten klare Vorgaben für Sicherheitsmassnahmen. Am besten schriftlich in einem Vertrag.
  • Prüfe die Einhaltung dieser Vorgaben (Sicherheitsberichte, Meldungen bei Ungewöhnlichem)

Achtung: Eine Ausnahmeregelung gilt für besonders schützenswerte Personendaten (Religion, politische Haltung, Gesundheit, Finanzen oder Persönlichkeitsprofile). 

Weitergabe von Daten ins Ausland

Viele Unternehmen Wie bereits oben erwähnt, passiert die Datenweitergabe sehr schnell. Ein paar Beispiele für die Datenweitergabe ins Ausland:

  • Du nutzt Mailchimp für den Newsletterversand
  • Du trackst das Benutzerverhalten auf der Website mit Analytics
  • Google Maps Einbindung auf der Website

Folgendes ist dabei zu beachten:

Ein angemessener Datenschutz ist zu gewährleisten: Das Zielland muss ein angemessenes Datenschutzniveau aufweisen, was für EU-Staaten der Fall ist. Handelt es sich um Drittländer ohne ausreichendem Datenschutzniveau (beispielsweise USA), kannst du dich mit einem Vertrag absichern oder andere Garantien geltend machen. Einen Mustervertrag findest du unter www.edoeb.admin.ch

Sollte keine Garantie und auch kein angemessenes Niveau vorhanden sein, musst du Folgendes gewährleisten:

  • Einwilligung vor Datenerhebung einholen anhand eines Cookie-Banners (Opt In)
  • Vor der Einwilligung muss der Benutzer informiert sein, dass seine Daten an Drittländer ohne ausreichenden Datenschutz  weitergegeben werden (oder Hinweis auf Datenschutzerklärung).

So gestaltest du rechtskonforme Websites

Die Datenschutzerklärung

Die Datenschutzerklärung erzielt, dass die Betroffenen über sämtliche Bearbeitungen ihrer personenbezogenen Daten informiert werden müssen. Da bereits die IP-Adresse zu den personenbezogene Daten gehört, findet eine Datenbearbeitung meistens bereits dann statt, wenn du eine eine eigene Webseite betreibst.

Folgendes gehört in eine Datenschutzerklärung:

  • Welche Daten werden erhoben?
  • Zu welchem Zweck werden die Daten erhoben?
  • Werden die Daten an Dritte und/oder ins Ausland weitergegeben?
  • Welche Wahlmöglichkeiten betreffend Datenverarbeitung stehen dem Nutzer zu?
  • Wie lange werden die Daten gespeichert?
  • Welche Sicherheitsmassnahmen werden zum Schutz der Daten angewendet.
  • Wie kann Auskunft über die gespeicherten Daten oder deren Löschung beantrag werden?
  • Welche Stelle kann bei Fragen kontaktiert werden?

Die 5 wichtigsten Punkte für den Einsatz

  1. Datenschutzerklärung muss vor der Datenerhebung ersichtlich sein
  2. Platziere diese im Footer, so dass sie schnell ersichtlich ist
  3. Man muss die ausdrucken können
  4. In einer verständlicher Sprache verfasst
  5. Es braucht es kein Opt In, die Kenntnisnahme reicht

Tipp: Unter www.datenschutzpartner.ch  kann online eine preiswerte  und rechtskonforme Datenschutzerklärung von Schweizer Anwälten erstellt werden lassen (Empfehlung von Dozentin und Rechtsanwältin N. Neth)

Impressumspflicht

Jetzt wird’s ernst. Damit du den Status verändern kannst und aus einem «Unknown» im besten Fall ein «Promoter» wird, ede Website in der Schweiz muss seine Kontaktdaten zugänglich machen. Dies kann anhand einer Kontaktseite oder idealerweise eine Impressum-Seite erfolgen. Diese Seite muss leicht zugänglich sein und wird daher sinnvollerweise und sehr häufig im Footer platziert. 

Pflichtinformationen

  • Vorname / Name bei natürlichen Personen
  • Vollständiger Firmenname bei juristischen Personen
  • Vollständige Postadresse
  • E Mail Adresse

Verwendung von Bildern, Musik, Karten

Das Urheberrechtsgesetz sagt: Gemäss dem Urheberrechtsgesetz hat der Urheber oder die Urheberin das ausschliessliche Recht zu bestimmen ob, wann und wie das Werk verwendet wird.

Ohne ausdrückliche Zustimmung des Urhebers (Fotograf, Grafiker, Musiker) oder der Rechteinhaber (Agentur, Bilddatenbanken) kannst du die Bilder, Musik oder Karten nicht nutzen.

Checkliste:

  • Urheber ausfindig machen oder auf Plattformen nach Bild suchen
  • Lizenz anfordern / kaufen (auch bei Fotograf)
  • Lizenzdauer und Bedingungen prüfen (Kleingedrucktes lesen!)
  • Lizenzende vermerken und Bilder danach entfernen

Cookies – Hinweis & Datenschutz

Wenn deine Website personenbezogene Daten von Benutzern verarbeitet, unterliegst du einem oder mehreren Datenschutzgesetzen, die eine Zustimmung der Benutzer erfordern. Es ist also wichtig, eine konforme Cookie-Einwilligung auf der Website einzubauen, um das Recht auf Privatsphäre zu respektieren und Sanktionen zu vermeiden.

Cookies in der Schweiz

Über den Einsatz von Cookies muss transparent informiert werden:

  • Welche Daten werden beschafft?
  • Zu welchem Zweck?
  • Wie kann widersprochen werden?

Diese Information erfolgt über einen sogenannten Cookie-Banner (oder auch Layer genannt) welcher aufpoppt, sobald wir eine neue Website besuchen. Weil vor Datenerhebung muss der User informiert werden und die Möglichkeit eines Opt Out haben (Verweigerung).

Was auf einen DSG (Schweiz) rechtskonformen Cookie-Banner gehört:

  • Information über Verwendung von Cookies
  • Hinweis auf Datenschutzerklärung mit weiteren Informationen (Verlinkung)
  • Möglichkeiten des Opt Out (Verweigerung)  – Hierbei ist ein Hinweis in der Datenschutzerklärung ausreichend, wie man die Browsereinstellungen anpassen und Tracking verhindern kann.  

So sieht ein Cookie Banner auf Basis des DSG (Schweiz) aus:

Quelle Bild Banner: https://thouvenin.com/

Was auf einen EU DSGVO rechtskonformen Cookie-Banner gehört:

  • Information über Verwendung von Cookies und deren Zweck 
  • Hinweis auf Datenschutzerklärung mit weiteren Informationen (Verlinkung)
  • Auswahl zwischen Opt In (akzeptieren) und Opt Out (verweigern)
  • Cookie Banner muss so platziert werden, dass man ohne Anklicken von Opt In / Opt Out nicht weitersurfen kann

Macht euren potentiellen Kundschaft das Leben einfach und verwendet ein benutzerfreundliches Cookie-Banner. Mit dem Risiko weniger Daten zu erhalten, dafür seid ihr Datenschutz-Helden und Heldinnen! 😉 

So sieht ein DSGVO konformer aber nicht benutzerfreundlicher Banner aus, weil man mühevoll über die Cookie-Einstellungen die einzelnen Tracking-Optionen abwählen muss.

Quelle Bild Banner: electrolux.ch

Hier die benutzerfreundliche Variante des EU-Cookies mit direkter Möglichkeit zum Ablehnen der Cookies.

Quelle: www.beyonder.ch

Zu guter Letzt: Der grosse Unterschied zwischen den beiden Cookie-Bestimmungen liegt also darin, dass in der Schweiz nur eine Information zum Opt Out in der Datenschutzerklärung reicht und in der EU benötigt es ein Opt in sowie ein Opt Out auf dem Cookie-Banner.

Social Media

Einsatz von Buttons auf Website

Social Media Buttons auf der Website weisen ein Datenschutzproblem auf: ohne das der User überhaupt auf einen Button geklickt hat, wird seine IP-Adresse & URL an die Social Media Plattform übermittelt. Eine Datenerhebung hat also stattgefunden und der User hatte keine Möglichkeit dies zu akzeptieren oder zu widerrufen. 

Tipp: Eine datenschutzfrendliche Lösung bietet www.shariff.com – stellt sicher, dass die Datenerhebung erst dann passiert, wenn User effektiv auf ein Button klickt. 

Newsletter Marketing

Um einen Newsletter an eine Adresse versenden zu können, benötigt es ausnahmslos die Einwilligung einer Person. Halte dich an folgendes:

  • Eine Newsletter Anmeldung muss eine Checkbox (Opt In) mit Hinweis auf die Datenschutzerklärung enthalten.
  • Ein Opt Out ist unzulässig – Checkbox ist standardmäßig ausgewählt und muss von User manuell abgewählt werden um die Anmeldung zu verhindern.
  • Empfohlen wird ein Double-Optin – ist in Europa Pflicht (gemäss DSGVO), in der Schweiz wird es empfohlen.
  • Erhebe so wenig Daten wie möglich

Newsletter Versand

  • Im Newsletter muss ein Absender enthalten sein (Name / Firma, Adresse, E-Mail)
  • Der Hinweis für die Abbestellung (Unsubscribe) muss gut sichtbar, einfach und kostenlos sein.
  • Die Daten dürfen ausschliesslich für den angegebenen Verwendungszweck (Newsletter) verwendet werden.

Fazit

Auch wenn wir heutzutage beinahe alles tracken können, ist es umso wichtiger sich vor jeder Datenerhebung bewusst zu werden, welche Daten effektiv benötigt werden. Jeder Website-Betreiber sollte wissen, welchem Datenschutzgesetz er unterstellt ist und bei Unsicherheiten die Vorgaben des EU-DSGVO befolgen. Daten sind schnell bewusst oder unbewusst an Dritte im In- und Ausland weitergegeben. Daher ist es ratsam, die Datenbearbeitung der Dritten regelmässig zu prüfen und gegebenenfalls mit einem Vertrag festzulegen. Ein regelmässiger Datenschutz-Check auf der Website und Abgleich der aktuellsten Gesetze ist schnell gemacht und bietet euren Website Besuchern eine datenschutzfreundliche Umgebung.

td:lr – Die Kurzfassung

1 Kommentar

  1. Ruin99
    Ruin99 am November 29, 2021 um 6:11 pm

    Super, informativer Artikel! Wie von einer Agentur für digitales Marketing. Vielen Dank!

    Antworten

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert