von Edith Hollenstein
Die neuen EU-Datenschutzregeln gelten ab Freitag, 25. Mai 2018. Sie betreffen auch Schweizer Firmen. Bereits wenn Waren oder Dienstleistungen aus der Schweiz für eine Person im Europäischen Wirtschaftsraum (EWR) bestimmt sind, müssen sich auch hiesige Unternehmen an die neuen Regeln halten. Es dürfte sich lohnen, die Prozesse auf die Europäische Datenschutz-Grundverordnung (DSGVO) umzustellen, denn der Bund ist daran, ebenso wie die EU, die Datenschutzregeln zu modernisieren. Was ist hierzu nötig?
Herr Vasella, dürfen Firmen weiterhin Fotos von Mitarbeiterfesten oder Kundenanlässen, auf denen Personen zu sehen sind, über Facebook oder Instagram verbreiten?
Das ist heute schon heikel. Wenn jemand bei freiwilligen Anlässen Fotos macht, müssen die Teilnehmer immer vorher – am besten in der Einladung – informiert werden, und zwar so, wie es die DSGVO und das zukünftige schweizerische Datenschutzgesetz bei jeder Datenbearbeitung vorsehen. Der Veranstalter muss unter anderem darüber informieren, dass er Fotos der Anlässe in sozialen Medien veröffentlichen will. Niemand darf heimlich aufgenommen werden. Bei Mitarbeiteranlässen sollten die Fotos den Mitarbeitern zudem vor der Veröffentlichung gezeigt werden, damit sie die Gelegenheit zum Widerspruch haben. Wenn jemand nicht einverstanden ist, muss der Veranstalter das ernst nehmen.
Wenn nicht, kann der betroffene Mitarbeiter also gegen seine Arbeitgeberin klagen. Inwiefern lohnt sich das?
Das kann der Mitarbeiter tun, aber er wird damit wenig gewinnen. Solche Schwierigkeiten sollten der Arbeitgeber und der Arbeitnehmer durch ein gutes Gespräch lösen. Gerichte eignen sich für so etwas nicht. Beide Seiten sollten Augenmass walten lassen – viele Datenschutzverletzungen sind auch weiterhin Bagatellen. Strafen sehe ich in einem solchen Fall auch eher nicht.
Dürfen Unternehmen weiterhin per E-Mail Medienmitteilungen an Journalisten verschicken, die zuvor nicht aktiv zugestimmt hatten, in den Newsletter-Verteiler aufgenommen zu werden?
Ja, das ist zulässig, jedenfalls wenn die Kontaktangaben der Journalisten aus öffentlichen Quellen stammen, etwa aus einem Impressum. Die Unternehmen sollten darüber aber in einer Datenschutzerklärung informieren, beispielsweise auf ihrer Website. Die Datenschutzerklärung sollte in den entsprechenden E-Mails idealerweise auch verlinkt werden.
Was ist mit Werbung: Bleiben die Nutzer nun von vielen, unaufgefordert zugestellten Werbe-E-Mails verschont?
Rechtlich ändert sich hier vorerst nichts. Werbung, die bisher erlaubt war, bleibt es weiterhin. Allerdings werden seit langem bereits viele Werbe-E-Mails versendet, ohne dass dies rechtlich zulässig ist. Weil das Thema aktuell breit beachtet wird, ist das Risiko für Klagen sicher etwas gestiegen.
Heisst das, diese Firmen werden bestraft?
Realistisch ist derzeit eher, dass ein fehlbares Unternehmen mit Abmahnungen beglückt wird, was Kostenfolgen hat, vor allem aber auch viel Zeit und Energie absorbiert. Bussen wären vorerst wohl nur bei gewerbsmässigen Spammern zu erwarten.
Dürfen Online-Marketing-Firmen weiterhin zielgruppenspezifische Werbung ausspielen, die auf über Cookies gewonnenen Daten basiert?
Datenbearbeitungen sind nach der DSGVO zulässig, wenn sie für einen Vertrag notwendig oder wenn sie durch ein sogenanntes «berechtigtes Interesse» gedeckt sind. Ist das nicht der Fall und ist die Datenbearbeitung auch nicht rechtlich vorgeschrieben, so setzt die Datenbearbeitung eine Einwilligung voraus.
Was heisst das für personalisierte Werbung?
Dass Marketingmassnahmen grundsätzlich einem berechtigten Interesse entsprechen, ist anerkannt. Auch die Anpassung an Zielgruppen kann durchaus im berechtigten Interesse einer Firma liegen. Derzeit ist aber unklar, wie weit dieses Interesse konkret reicht und für welche Werbemassnahmen eine Einwilligung erforderlich ist. Hier wird man die Praxis abwarten müssen.
Es heisst, dass Firmen mit Bussen zu bis zu einem Viertel ihres Jahresumsatzes belegt werden können.
Wer gegen das DSGVO verstösst, kann bekanntlich zu sehr hohen Bussen verurteilt werden. Der Bussenrahmen wird aber nicht ausgeschöpft werden, wenn es nicht um wiederholte massive Verstösse geht. Für Unternehmen ohne Niederlassung im EWR ist das Bussenrisiko zudem wesentlich niedriger als für Unternehmen im EWR. Das Bussenrisiko bei Verletzungen der DSGVO dürfte für Unternehmen in der Schweiz daher überschaubar sein. Relevanter ist wohl das Risiko von Abmahnungen von Anwälten, vor allem aus Deutschland.
Wem drohen denn hier Bussen?
In der Schweiz ist derzeit leider vorgesehen, dass Bussen nicht die Unternehmen treffen, sondern die Privatpersonen, die über die betreffende Datenbearbeitung entscheiden. Es wird aber auch hier einen vorsätzlichen und wohl recht gravierenden Verstoss brauchen, damit eine Busse ausgesprochen wird.
Heisst das, eine Person, die ohne Einwilligung ein Foto einer anderen Person auf Instagram veröffentlicht, kann bestraft werden?
Bussen richten sich an diejenigen Personen, die für die fragliche Bearbeitung verantwortlich sind. Wenn Private den Datenschutz verletzen, wäre das jeweils die betreffende Privatperson. Bei Unternehmen sind es nur Mitarbeiter mit Entscheidbefugnissen.
David Vasella ist Konsulent bei Walder Wyss in Zürich. Er berät und vertritt Unternehmen bei allen Fragen des Informations- und des Technologierechts.
