Datenschutz und Marketing Automation müssen gemeinsame Wege gehen

Datenschutz im Marketing Automation

Wer schon heute datenbasiertes Marketing betreibt, weiss genau wovon ich rede: Kundendaten horten und nutzen, um dort Absatz zu generieren, wo der Kunde oder die Kundin willens ist zu investieren. Doch die Gesetzgebung ist immer strenger geworden und neuste Marketing Technologien (MarTech) ermöglichen eine Art «Data Crawling» das teilweise an gesetzliche Grauzonen stösst. Wie kann man sich also sicher sein, was man darf und was nicht?

Mittels des Einsatzes von Marketing Automation wollen sich Unternehmen, und vielleicht auch dein Unternehmen, einen klaren Wettbewerbsvorteil für sich schaffen, wessen Effekt definitiv nicht zu unterschätzen ist. Denn Marketing Automation kann auf Dauer deinem Unternehmen einen grossen Vorsprung in den Aktivitäten der Kundengewinnung und Kundenbeziehungspflege, Transparenzgewinnung, Vertriebsverbesserung, der Steigerung von Konversions – und Abschlussraten und weiteren marketingbezogenen Aktivitäten bringen. Die Ziele und Strategien, die mittels des Einsatzes von Marketing Automation und künstlicher Intelligenz verfolgt werden, sind meist gut durchdacht und nachvollziehbar.

Was bei der Etablierung eines entsprechenden Systems jedoch zu oft vergessen geht, ist die Berücksichtigung des Datenschutzgesetztes zu den im System verarbeiteten, gespeicherten, und veränderbaren personenbezogenen Daten, die gemäss dem Schweizer Datenschutzgesetzt einer besonderen Behandlung unterliegen. Dieser Artikel soll dir das grundlegende Verständnis zum Schweizer Datenschutzgesetz (DSG) vermitteln sowie dich dabei unterstützen, alle grundlegenden Aspekte der Verarbeitung der personenbezogenen Daten berücksichtigen zu können.

Eine Einführung in die Datenschutz «Basics»

Die eigentliche Grundlage zum Schweizerischen Datenschutzgesetzt bildet das Schweizerische Zivilgesetzbuch. Dabei ist interessant den Artikel 13 «Schutz der Privatsphäre» genauer zu betrachten:

  • «Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs. Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten» (Bundesverfassung der Schweizerischen Eidgenossenschaft, 1999, S. 3).

Dieser Artikel wird durch das Bundesgesetz über den Datenschutz vom 1. Juli 1993 gestützt. Die entsprechende Verordnung (DSG) regelt die Einzelheiten. Zusätzlich beinhaltet das Schweizerische Zivilgesetzbuch Artikel 28-28l, die festlegen, wie eine Persönlichkeitsverletzung durch das Gesetz behandelt wird:

  • «Wer in seiner Persönlichkeit widerrechtlich verletzt wird, kann zu seinem Schutz gegen jeden, der an der Verletzung mitwirkt, das Gericht anrufen» (Bundesversammlung der Schweizerischen Eidgenossenschaft, 1907, S. 7).

Der Gesetzestext mag zwar etwas streng klingen, jedoch ist es wichtig zu verstehen, dass die Verletzung oder der Missbrauch von persönlichen Daten als eine Straftat in der Schweiz angesehen wird und man dadurch illegale Handlungen vollzieht. Dieses Nichteinhalten des Gesetztes kann im schlimmsten Fall zu negativen finanziellen Folgen und Reputationseinbussen eines Unternehmens führen. Gemäss dem Bundesgesetz über den Datenschutz und Art. 2 Geltungsbereich gilt DSG, wenn die Datenverarbeitung der natürlichen und juristischen Personen durch private Personen oder Bundesorgane erfolgt (Bundesversammlung der Schweizerischen Eidgenossenschaft, 1992, S. 1). Mit den Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen» gemeint (DSG, Art. 3, 1992, S. 1). Unter Datenbearbeitung gemäss dem Artikel 3e ist folgendes zu verstehen: «Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten» (DSG, Art. 3e, 1992, S. 1).

Was bei Kundendaten aus dem Ausland zu berücksichtigen ist

Wichtig ist zu beachten, dass Unternehmen, die Kundendaten aus dem nahen Ausland wie zum Beispiel EU verarbeiten, dem europäischen Gesetzt DSGVO unterliegen. Dies bedeutet, dass die schweizerischen Unternehmen von der DSGVO ebenfalls betroffen sind, insofern sie die personenbezogenen Daten von natürlichen Personen, die im EU-Raum wohnhaft sind, verarbeiten. Gemäss Artikel 3 Absatz 2a und b der DSGVO gilt folgendes: 

«Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht:

  • a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; 
  • b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt» (DSGVO, 2018). 

Falls Schweizer Unternehmen von diesen Kriterien betroffen sind, entstehen folgende Pflichten in Bezug auf die DSGVO: 

  • Garantie der «Privacy by Design»
    Eingreifen der organisatorischen Massnahmen zur Sicherstellung der Einhaltung der EU-DSGVO sowie zum Schutz der Daten der betroffenen Person; 
  • Garantie der «Privacy by default»
    Sicherstellung durch Voreinstellungen, dass standardmässig lediglich diejenigen Daten erhoben werden, die für den jeweiligen Verwendungszweck auch tatsächlich nötig sind. 

Zudem muss berücksichtigt werden, dass die Anwendung der DSGVO nur auf die Verarbeitung der personenbezogenen Daten geltend ist. Auf die Verarbeitung der weiteren Datenarten ist die DSGVO nicht massgebend.

Was bedeutet das für dich genau?

Die Einhaltung der Gesetzgebung liegt an dem jeweiligen Unternehmen und nicht bei der betroffenen Person. Diese Verantwortung kann nicht delegiert werden. Daher ist essenziell, dass dein Unternehmen die entsprechenden Massnahmen evaluiert und umsetzt, um die negativen Folgen zu vermeiden. Doch welche Massnahmen können durch das Unternehmen eingeführt werden, um den Schutz der personenbezogenen Daten stärken zu können?

  1. In der ersten Linie soll die Unternehmensführung sich diesen kritischen Punkten bewusst werden und die angemessene Datenschutzstrategie im Unternehmen verfolgen. Die Strategie ist der Kern für die weiteren Schritte in Bezug auf den Datenschutz im Unternehmen;
  2. Damit der Datenschutz im Unternehmen nicht nur auf dem Papier bestehen bleibt, soll der Datenschutz auch gelebt werden. Dafür ist die Sensibilisierung der Mitarbeiter/-innen dringend nötig. Denn Wissen ist bekanntlich Macht. Die Wissensverteilung kann in Form einer Schulung, interaktiv oder digital, umgesetzt werden;
  3. Hilfreich ist die Definition einer verantwortlichen Person für den Datenschutz, die aus der psychologischen Sicht die Umsetzung und die Einhaltung der Vorhaben erfolgreich durch die Übergabe der Verantwortung an die Beteiligten koordiniert und begleitet. Somit verfügt das Unternehmen über eine Person, die sich für den Datenschutz engagiert und bestenfalls sich dafür auch begeistert;
  4. «Last but not least» sollte die Berücksichtigung der Sicherheitsmassnahmen bei der verwendeten Software und Infrastruktur auf der Tagesordnung stehen.

Zusammengefasst sind das die besten Voraussetzungen für den korrekten Umgang mit den Daten im Unternehmen.

Und wie weiter in deiner Marketing Automation?

Zugegeben, die erwähnten Gesetztespassagen sind zwar tendenziell sehr trockene Materie und mögen mit den damit verbundenen Regularien für eine ungeschulte Person sehr komplex erscheinen. Keine Sorge, du musst keinesfalls alle Faktoren auswendig lernen. Es ist lediglich wichtig für dich zu verstehen, dass auch wenn Marketing Automation als Technologie eine sehr coole Sache ist, du dabei immer die Rechtslage deiner Kunden in Bezug auf die von ihnen mit dir geteilten Daten beachten musst, um dich nicht unwissentlich strafbar zu machen.

YOUNITY ist spezialisiert darin, dir im Marketing Solution Design die organisatorische und technologische Basis für die Umsetzung von erfolgreicher Marketing Automation zu schaffen und bestmögliche systemische Unterstützung zu bieten, damit die Rechtsgrundlage berücksichtigt wird. YOUNITY verfolgt fortlaufend Technologien, die dich in der regelkonformen Verarbeitung von Kundendaten unterstützen kann. Folgende Tipps solltest du beachten, wenn du mit Marketing Automation Tools starten möchtest:

  • Einwilligungen zum Cookie-Tracking sollten auf Webseiten angezeigt werden können und vom System erfasst werden;
  • Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten soll beim Kontakt im System erfasst werden;
  • E-Mail-Abonnements sollen überprüfen und nachvollziehen können, ob die rechtliche Grundlage vorliegt, die entsprechenden Opt-ins und Opt-outs sollen vom System registriert werden;
  • Das System kann zwischen Abonnement-Typen mit und ohne rechtliche Grundlage unterscheiden;
  • Das System bietet eine DSGVO-konforme Löschung der Kontaktdaten als Funktion an;

Die Partner-Technologien von YOUNITY wie bspw. HubSpot (Leitfaden zur DSGVO-konformen Nutzung) und die BSI Customer Suite (Datenschutz Capability) bieten hierfür die passenden Werkzeuge.

Und nun, viel Spass und Erfolg auf deiner Marketing Automation Journey!

DEFINE

MARKETING SOLUTION DESIGN

Passend auf deine individuelle Situation formen wir konkrete Massnahmenpakete, die Prozesse effizienter machen, fehlende oder unnötige System aufdecken und somit Kosten optimieren.

Mehr erfahren

Foto: ThisIsEngineering, Pexels

Kommentar schreiben
Dieses Feld kann nicht leer sein.
Dieses Feld kann nicht leer sein.
Diese E-Mail-Adresse ist ungültig.
Sie müssen die Datenschutzbestimmungen akzeptieren.