Daten sind das neue Gold, heisst es. Unternehmen jeglicher Branchen sind mittlerweile in ihren Geschäftsmodellen mehr und mehr datengetrieben. Wer mehr über seine Kunden weiss, kann sie massgeschneiderter bedienen. Damit dies nicht mit Datensicherheit und Datenschutz kollidiert, werden in Europa und der Schweiz derzeit die gesetzlichen Regelungen angepasst. Der Blogbeitrag erläutert wesentliche daraus für die Kommunikation folgende Punkte, aufgenommen und diskutiert am «Datenschutztag» der Anwaltskanzlei de la Cruz Beranek.

Die auf Technologie- und Wirtschaftsrecht spezialisierte Anwaltskanzlei de la Cruz Beranek lud zu ihrem «Datenschutztag». In knapp einem Jahr ist es nämlich so weit: Ab dem 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (EU DSGVO) rechtlich durchsetzbar. Daher auch das Thema der Tagung: Welche Auswirkungen wird die neue Gesetzgebung für Schweizer Unternehmen haben? Zumal auch das Schweizer Datenschutzgesetz in der Vernehmlassung ist und wie die EU e-Privacy Verordnung im 2018 ebenfalls in Kraft treten soll. Anpassungsbedarf ist aufgrund der rasant fortschreitenden Digitalisierung da.

Vor einem knapp 50-köpfigen Auditorium von Rechtsanwälten und Rechtsberatern hatte auch ich als Senior-Beraterin von Farner Consulting AG einen Auftritt. Denn die neuen gesetzlichen Bestimmungen haben über den rechtlichen «Tellerrand» hinaus einen Einfluss auf die Kommunikation.

Personalisierte Online-Werbung mit Einschränkungen

Zunächst liegt der Impact in der Sache selbst: In den neuen Verordnungen und Richtlinien wird die Vertraulichkeit elektronischer Kommunikation ausdrücklich auf sämtliche elektronische Kommunikation, einschliesslich Metadaten, ausgeweitet. Laut Erwägungsgrund 18 des Entwurfs der e-Privacy-VO läge bereits eine Vertraulichkeitsverletzung vor, wenn Dritte das Surfverhalten der Endnutzer ohne explizite Einwilligung überwachen, um Nutzer- resp. Nutzungsprofile anzulegen.

Betroffen von dieser Richtlinie wären somit weitestgehend alle Formen der personalisierten Online-Werbung. Für Direktmarketing mittels E-Mail ist wie bis anhin die vorherige Einwilligung – mit Ausnahme bestehender Geschäftsbeziehungen – erforderlich. Neu muss allerdings bei jeder Werbeaktion erneut auf eine Widerspruchsmöglichkeit hingewiesen werden resp. Nutzer müssen ihre erteilte Einwilligung jederzeit zurücknehmen können.

Kompetente Rechtsexperten kommentieren Auslegungsfragen

Am de la Cruz-Beranek-Datenschutztag erfolgte eine ausführliche Einschätzung und Erläuterung der verschiedenen Gesetzgebungsvorhaben. Es traten unter anderem der renommierte Rechtsprofessor und Publizist Nico Härting sowie Prof. Dr. Rolf Weber, bis 2016 Ordentlicher Professor für schweizerisches und internationales Wirtschaftsrecht an der Universität Zürich, auf. Die praktische Sicht vermittelte Rechtsanwalt Michal Cichocki in seiner Funktion als Internal Data Protection Officer Switzerland bei der UBS in Zürich.

Dass uns hier in der Schweiz das Thema überhaupt angeht, ist dem Fakt geschuldet, dass die neue EU-Verordnung in ihrer Anwendung extraterritorial sein wird. Beispielsweise wird es unerheblich, wo die Bearbeitung der jeweiligen Daten stattfindet. Entscheidend wird sein, ob der EU-Endbenutzer durch die angebotenen Dienste in seiner Persönlichkeit verletzt werden könnte.

Einig waren sich die Experten, dass auf die Unternehmen einiger Anpassungsdruck zukommen wird. Zwar kann die Einwilligung für die elektronische Kommunikation mittels Browsereinstellung erfolgen. Dennoch ist zu beachten, dass es mit den neuen Richtlinien die ausdrückliche Zustimmung für viele neue Sachverhalte braucht. AGB’s und Bestellprozesse sind zu überarbeiten und die meisten Anbieter von Webseiten, Browsern oder sonstigen Online-Diensten müssen ihre Prozesse überarbeiten.

Neue Vorschriften zur Notifikation von Datenpannen

Mein Vortrag fokussierte auf einen weiteren wesentlichen Aspekt der bevorstehenden neuen Gesetzgebung: die Verschärfung der Informations- und Kommunikationspflichten bei so genannten «Data Breaches». Zwar sind schon bisher die Unternehmen verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstössen in Form von Datenpannen zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft: Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Bei der obligatorischen Meldung an die Betroffenen ist zumindest eine Risikoabwägung möglich, ob durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.

Neues Anwendungsfeld für Reputationsmanagement

Wer sich die Schlagzeilen über die wiederholten Datenpannen bei Yahoo in den letzten beiden Jahren in Erinnerung ruft, weiss, dass die Reputation eines Unternehmens enormen Schaden nehmen kann. Neben finanzielle und operative Einbussen treten der Verlust an Vertrauen und Glaubwürdigkeit. Ganz nach Warren Buffets geflügeltem Wort «Es braucht zwanzig Jahre einen guten Ruf aufzubauen – und fünf Minuten ihn zu ruinieren.» wird die kommunikative Vorbereitung auf und im Fall des Falles Begleitung der «Data Breach Notification» zu einem zwingenden Bestandteil im Reputations- und Krisenmanagement eines Unternehmens.

Denn gemäss der neuen Gesetzgebung bleiben dem Unternehmen genau 72 Stunden, um seiner Informationspflicht nachzukommen. Wer über die allfällige Kommunikation erst nachdenkt, wenn diese Frist anläuft, hat erstens in dem Moment noch ganz andere – technische, rechtliche etc. – Sorgen. Und zweitens sollte über die entsprechenden Grundlagen und Prozesse lieber mit klarem Kopf, konzeptionell und unter Einbezug aller relevanten Zielgruppen und kommunikativen Aspekte nachgedacht werden. Denn: An issue ignored is a crisis invited.

Siehe auch: http://www.delacruzberanek.com/aktuelles/events/

Verwandte Beiträge: