Datenschutz im Marketing: Wo stehen wir?

Seit dem 1. September 2023 gilt das neue Datenschutzgesetz der Schweiz. Wie kommen die Werbetreibenden mit der Umsetzung zurecht? Wo liegen die Stolpersteine? Und ist es bereits zu Verstössen gegen das Gesetz gekommen? Rechtsanwältin Caroline Danner zieht eine erste Bilanz und gibt Tipps für die Praxis.

Was zeigen die ersten Erfahrungen mit dem neuen Datenschutzgesetz: Wie sehr erschwert es die Arbeit der Werbetreibenden?

Caroline Danner: Das neue Datenschutzgesetz erschwert die Arbeit der Werbetreibenden nicht grundlegend – sofern sie sich bereits vorher an die Vorgaben des Datenschutzes gehalten haben. Neu gelten die erweiterten Informationspflichten. Sie sind gerade im Bereich von Marketing und Werbung ein zentrales Thema: Im Sinne der Transparenz sind die Unternehmen verpflichtet, natürliche Personen über die Beschaffung und die Bearbeitung von Personendaten präzise, verständlich und leicht zugänglich zu informieren. Dieses Transparenzgebot beeinträchtigt die Arbeit der Werbetreibenden aber nicht grundlegend – vieles ist weiterhin möglich.

Wie gut erfüllen die Unternehmen heute diese Informationspflicht?

Viele Unternehmen haben ihre Datenschutzerklärungen überarbeitet und ihre Kundschaft über die Änderungen im Datenschutz informiert. Allerdings ist es schwierig, eine allgemeine Aussage darüber zu machen, ob die erweiterten Informationspflichten erfüllt werden.

Mit welchen praktischen Herausforderungen sehen sich Werbetreibende bei der Umsetzung konfrontiert?

Sie müssen sich eine Übersicht darüber verschaffen, wo sie überall Daten sammeln und bearbeiten. Zudem müssen sie abklären, ob sie – bisher vielleicht unwissentlich – Daten ins Ausland weitergeben, indem sie zum Beispiel einen ausländischen Clouddienst nutzen. In diesem Zusammenhang ist auch diese Frage zentral: Werden die Daten von Dritten bearbeitet und gibt es dadurch eine Auftragsbearbeitung, die bis anhin nicht als solche erkannt wurde? Eine weitere Herausforderung, die bereits vor dem 1. September 2023 bestanden hat: Viele Schweizer Unternehmen sind auch mit ausländischen Regelungen konfrontiert, in erster Linie natürlich mit der Datenschutz-Grundverordnung (DSGVO) der EU. Neben dem neuen Datenschutzgesetz spielt im Bereich Marketing und Werbung auch das schweizerische Bundesgesetz gegen den unlauteren Wettbewerb (UWG) eine wichtige Rolle.

Welche gesetzlichen Anforderungen stellt das UWG?

Das UWG regelt zum Beispiel das Telefonmarketing: Es verbietet Unternehmen, Personen anzurufen, die laut Eintrag im Telefonbuch keine Telefonwerbung wünschen. Und zum E-Mail-Marketing sagt das UWG: Wer einen Newsletter verschickt, braucht grundsätzlich die Einwilligung der Empfängerinnen und Empfänger (Opt-in-Verfahren). Ist die Anmeldung mit einem Kauf oder der Erbringung einer Dienstleistung verbunden, müssen die Empfängerinnen und Empfänger über den Versand eines Newsletters informiert werden und die Möglichkeit haben, sich abzumelden (Opt-out-Verfahren). Die Unternehmen müssen also von Fall zu Fall prüfen, für welche Werbezwecke sie die Einwilligung der Nutzerinnen und Nutzer benötigen – und für welche nicht.

Bei manchen Vorgängen im Marketing wie etwa beim Einbinden von Social Plug-ins ist nicht auf den ersten Blick klar, dass sie datenschutzrechtlich relevant sind. Wo zeigen sich in der Praxis Risiken und Stolpersteine?

In der Praxis liegen die grössten Stolpersteine oft dort, wo eine Zusammenarbeit zwischen Marketingfachleuten und Datenschutzverantwortlichen nicht reibungslos funktioniert. Das lässt sich am Beispiel der Social Plug-ins veranschaulichen: Viele Werbetreibende setzen diese Tools ein, ohne sich der datenschutzrechtlichen Implikationen vollständig bewusst zu sein. Dies ist häufig auf mangelnde technische Kenntnisse und ein geringes Interesse an Datenschutzfragen zurückzuführen. Auf der anderen Seite stehen die Personen, die für die Erstellung von Datenschutzerklärungen verantwortlich sind. Sie haben die Herausforderung, detaillierte und genaue Informationen darüber zusammenzutragen, wie Daten von diesen Plug-ins gesammelt und verwendet werden. Der fehlende Austausch oder die ungenügende Verständigung zwischen diesen Stellen kann zu unvollständigen oder falschen Informationen in der Datenschutzerklärung führen und damit zu einer Verletzung der Informationspflichten. Um dieses Risiko zu minimieren, kommen auch Marketingfachleute nicht mehr umhin, sich mit dem Datenschutz zu befassen.

Werbetreibende benötigen die Einwilligung ihrer Zielpersonen, um mit ihnen zu kommerziellen Zwecken zu kommunizieren. Wie setzen sie diese Vorschrift am besten um?

Es braucht gar nicht überall eine Einwilligung. Denn unser Datenschutzgesetz hat einen liberalen Charakter – ganz im Gegensatz zur DSGVO, die das Verbotsprinzip mit Erlaubnisvorbehalt kennt. Das heisst: Im EU/EWR-Raum ist jede Datenbearbeitung grundsätzlich verboten. Wer dennoch Daten bearbeiten möchte, muss eine Rechtsgrundlage dafür haben. Im Bereich der Werbung ist dies häufig die Einwilligung. In der Schweiz läuft das anders: Wir dürfen grundsätzlich weiterhin Daten bearbeiten. Wenn wir dies tun, müssen wir uns aber an verschiedene Datenbearbeitungsgrundsätze halten, zum Beispiel an den Grundsatz der Transparenz oder der Verhältnismässigkeit. Es braucht immer eine Beurteilung der Situation und die Werbetreibenden müssen sich fragen: Benötigen wir überhaupt eine Einwilligung? Denn diese ist nur in bestimmten Fällen notwendig.

In welchen Situationen braucht es eine Einwilligung?

Wer zum Beispiel besonders schützenswerte Personendaten an Dritte weitergeben will – etwa Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Ethnie –, benötigt dafür die Einwilligung der betroffenen Personen, wenn die Datenweitergabe nicht durch ein Gesetz oder ein überwiegendes Interesse gerechtfertigt ist. Eine Einwilligung braucht es aber oft auch dann, wenn nicht nur das Schweizer Datenschutzgesetz, sondern auch die DSGVO der EU zur Anwendung kommt. Also immer, wenn Unternehmen ihr Angebot auf den europäischen Wirtschaftsraum ausrichten – etwa mit einem Onlineshop, der auch nach Deutschland liefert. Auf Websites können Einwilligungen mit einem Consent-Management-Tool über einen Cookie-Banner eingeholt werden.

Wie sieht die Situation beim Tracking innerhalb der Schweiz aus – braucht es da eine Einwilligung?

Nein, beim Tracking braucht es meines Erachtens nicht immer eine Einwilligung. Es muss immer nach der Situation differenziert werden, vor allem wenn es um das Tracking auf Websites geht. Dieser Meinung ist aktuell offenbar auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), wobei er sich dazu noch nicht eindeutig geäussert hat. Im Moment hält er fest: Die betroffenen Personen müssen wissen, dass sie getrackt werden und die Möglichkeit haben, sich dem Tracking zu entziehen.

Was bedeutet das für die Werbetreibenden?

Sie müssen nicht in jedem Fall zwingend eine Einwilligung einholen, sondern ihrer Zielgruppe nur eine Opt-out-Möglichkeit anbieten. Anders beurteile ich die Situation, wenn es um ein Tracking bei einem kostenlosen Newsletter geht. In vielen Fällen dürfte es reichen, wenn über das Verfolgen von Öffnungs- und Klickraten informiert wird. Die Abonnentinnen und Abonnenten können dann aber nicht wählen, ob sie den Newsletter mit oder ohne Tracking möchten.

Sind Ihnen Fälle bekannt, in denen bereits Sanktionen wegen Verstössen gegen das Datenschutzgesetz verhängt wurden?

Nein, mir ist kein Fall bekannt. Wenn wir von Sanktionen sprechen, ist es wichtig zu differenzieren: Für Bussen, die sich auf höchstens 250'000 Franken belaufen können, sind die Strafverfolgungsbehörden zuständig. Damit überhaupt ein Strafverfahren eingeleitet wird, braucht es in den meisten Fällen eine Anzeige einer betroffenen Person. Zudem kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Untersuchungen durchführen und neu Verfügungen erlassen. Es ist aber nicht damit zu rechnen, dass der EDÖB nun flächendeckende Untersuchungen einleitet oder Stichproben durchführt.

Basierend auf den ersten Erfahrungen mit dem neuen Datenschutzgesetz: Welche Empfehlungen geben Sie Werbetreibenden? Worauf sollten sie besonders achten?

Erstens empfehle ich allen, sich sowohl mit dem Datenschutzgesetz als auch mit dem Bundesgesetz gegen den unlauteren Wettbewerb zu befassen. Denn auch juristische Laien können sich mit vertretbarem Aufwand ein Grundwissen aneignen, um die heiklen Punkte zu verstehen. Das gibt Sicherheit. Zweitens sollten Werbetreibende transparent machen, welche Daten sie sammeln, wie sie diese verwenden und wie die Daten zur Personalisierung beitragen. Und drittens dürfen die Werbetreibenden den Spielraum innerhalb der rechtlichen Leitplanken ruhig ausnutzen – so bleibt viel Raum für kreative Werbung.