Kunden werden immer sensibler, wenn es um den Umgang mit ihren Personendaten geht. Heute müssen sich deshalb nicht mehr nur globale Grossunternehmen, sondern auch kleine und mittlere Unternehmen in der Schweiz mit dem Schutz von Personendaten (und damit auch Kundendaten) befassen. Doch wie schützt man Kundendaten richtig? Wir zeigen auf, wie der Datenschutz in der Schweiz heute gesetzlich geregelt ist.
Viele Unternehmen nutzen bereits Kundendaten, um zielgerichtetes Marketing betreiben zu können. Das hat den Vorteil, dass sie Kunden erreichen, die auch wirklich an einem Produkt oder einer Dienstleistung interessiert sind. Kunden erhalten dafür weniger für sie nicht relevante Angebote. Umso wichtiger ist es, die Personendaten richtig zu schützen.
Personenbezogene Daten sind grundsätzlich alle Informationen, anhand derer sich eine Person bestimmen lässt. Darunter fallen beispielsweise der Name, die E-Mail-Adresse, die Ausweisnummer, aber auch andere Daten wie die IP-Adresse. Zu den Personendaten zählen auch Daten, die pseudonymisiert oder verschlüsselt wurden, aber zur erneuten Bestimmung einer Person genutzt werden können. Kundendaten können beispielsweise online oder in sozialen Netzwerken mittels Cookies (Daten, die von einer Website, die Sie besuchen, auf Ihrem Rechner gespeichert werden) bearbeitet werden, um individuelle und an den Nutzer angepasste Informationen anzeigen zu können.
Die Nutzung und Bearbeitung von personenbezogenen Daten sind in der Schweiz rechtlich geregelt. Die Bundesverfassung legt grundsätzlich fest, dass jede natürliche Person Anspruch auf den Schutz vor Missbrauch ihrer persönlichen Daten hat. Um diesen Schutz zu gewährleisten, verabschiedete der Bund das Der Link öffnet sich in einem neuen Fenster Datenschutzgesetz (DSG), welches seit dem 1. Juli 1993 in Kraft ist. Grundsätzlich gilt, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Gemäss Datenschutzgesetz müssen Personendaten stets nach Treu und Glauben bearbeitet werden. Das heisst, dass die Bearbeitung für die betroffene Person erkennbar ist. Wenn der Zweck der Bearbeitung sich ändert, muss die Zustimmung der betroffenen Person eingeholt werden (etwa durch das Akzeptieren einer Datenschutzerklärung). Das DSG befindet sich zurzeit in Revision.
Gemäss Auskunftsrecht sind Inhaber einer Datensammlung dazu verpflichtet, Personen jederzeit Auskunft über personenbezogene Daten und deren Verwendung zu geben. Dies auch dann, wenn eine Person kein Kunde ist. Also auch eine Negativmeldung gehört zum Auskunftsrecht. Die Verordnung zum Der Link öffnet sich in einem neuen Fenster Schweizer Datenschutzgesetz regelt weitere Einzelheiten, etwa dass ein Unternehmen innerhalb von 30 Tagen Auskunft über alle vorhandenen personenbezogenen Daten sowie deren Verarbeitung und Nutzung geben muss.
Seit dem 25. Mai 2018 ist die neue Der Link öffnet sich in einem neuen Fenster Datenschutzverordnung der EU (DSGVO) in Kraft. Der Anwendungsbereich für nicht in der EU tätige Unternehmen ergibt sich u.a. aus dem sogenannten «Marktortprinzip»: Demnach unterfällt ein Schweizer Unternehmen dann unter die DSGVO, wenn es in der EU Waren oder Dienstleistungen anbietet oder das Verhalten von Personen mit Wohnsitz in der EU überwachen will. Mit der europäischen Richtlinie müssen Unternehmen und Organisationen die Nutzer von Anfang an darüber informieren, zu welchem Zweck Daten erhoben und allenfalls an Dritte weitergegeben werden. Die Nutzer müssen dazu ihre ausdrückliche Einwilligung geben und jederzeit zurückziehen können. Mit dem Auskunftsrecht können Nutzer jederzeit eine Kopie der über sie erhobenen Daten verlangen. In der DSGVO werden weitere Rechte geregelt, wie beispielsweise das Recht auf Vergessenwerden: Grundsätzlich können Nutzer die Löschung ihrer ohne rechtliche Grundlage im Internet veröffentlichten personenbezogenen Daten beantragen.
Der Schutz von Kundendaten ist ein komplexes Thema. Nicht nur den Kunden wird der Schutz ihrer sensiblen Daten immer wichtiger, auch befindet sich die rechtliche Regelung stark in Umwandlung. Unternehmen müssen sich deshalb proaktiv mit dem Thema Datenschutz auseinandersetzen. Um auf dem neusten Stand zu bleiben und keine wichtigen Informationen zu Gesetzesänderungen zu verpassen, kann es sich lohnen, dem Der Link öffnet sich in einem neuen Fenster KMU-Portal des Bundes von Zeit zu Zeit einen Besuch abzustatten. Kleinunternehmer finden ausserdem im Artikel «IT-Sicherheit und Datenschutz: Diese Fehler sollten Kleinunternehmen vermeiden» weitere hilfreiche Informationen dazu, welche Fehler sie im Umgang mit personenbezogenen Daten vermeiden können.
