Neue Datenschutzgesetze Warum sich Publisher, Plattformen und Agenturen jetzt dringend damit befassen müssen

Mittwoch, 24. Januar 2018
Datenschutz-Seminar von Adello und Walder Wyss: Etwa 25 Publisher, Plattformbetreiber und Agenturvertreter liessen sich informieren.
Datenschutz-Seminar von Adello und Walder Wyss: Etwa 25 Publisher, Plattformbetreiber und Agenturvertreter liessen sich informieren.
© zvg.

In der EU tritt am 25. Mai 2018 die neue Datenschutzgrundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt, in Kraft. Sie hat auch Konsequenzen für Firmen in der Schweiz. Publisher, Agenturen und Plattformbetreiber liessen sich letzte Woche an einem Seminar des Mobile-Dienstleisters Adello informieren – rechtlich, technisch und punkto Aufwand.

Die Abkürzungen DSGVO oder GDPR stehen für die Neuordnung des Datenschutzes in der EU. Und dieser ist so umfassend, dass er auch auf die Schweiz abfärbt. Und zwar gleich doppelt. Zum einen muss die Schweiz ihr eigenes Datenschutzgesetz an die DSGVO anpassen, damit es von der EU weiterhin als gleichwertig anerkannt wird. Das geschieht derzeit zwar, doch so viel ist sicher: Bis Mai wird das neue Schweizer Datenschutzgesetz nicht stehen. Der zweite Punkt: Die DSGVO verlangt von allen Firmen, die Daten von Personen in der EU verarbeiten, dass sie GDPR-konform arbeiten, sofern sie aktiv ihre Waren und Dienstleistungen an natürliche Personen in der EU anbieten oder Verhaltensbeobachtungen von natürlichen Personen in der EU vornehmen. Dabei spielt es keine Rolle, wo die Firmen ihren Sitz haben.

Manche Schweizer Firmen beginnen erst jetzt damit, sich mit den neuen rechtlichen Vorgaben zu befassen. Andere hingegen haben die Zeichen der Zeit schon länger erkannt, so etwa Adello, ein internationaler Tech-Anbieter im Bereich Mobile Advertising. Adello lud deshalb zusammen mit dem auf Datenschutz spezialisierten Team der Zürcher Anwaltskanzlei Walder Wyss am 18. Januar Kunden und Partner zu einem Fachevent mit dem Titel „Get Ready for GDPR". Gegen 25 Publisher, Agenturen und Plattformbetreiber fanden sich ein.

Einfach und verständlich informieren wird Pflicht

„Schweizer Firmen, welche im EU-Raum aktives Digital Marketing betreiben, können ab 25. Mai der DSGVO unterstehen“, stellte Jacqueline Sievers, Rechtsanwältin bei Walder Wyss, gleich zu Beginn ihres Referates fest. Klar sei: Gemäss dem neuen Gesetz würden die Rechte von Personen in der EU gestärkt. Neu erhalten sie verstärkt die Möglichkeit zu verhindern, dass Unternehmen ihre Daten nutzen oder Profile über sie erstellen. Zudem müssten Firmen, auch internationale wie Facebook oder Google, künftig verstärkt aktiv und einfach und verständlich darüber informieren, welche Daten sie sammeln, wofür, wo und wie lange sie sie speichern und wem sie sie weitergeben. Auch müssten sie die Nutzer auf deren Widerspruchsrechte zur Verwendung der Daten für das Direktmarketing hinweisen.
Rechtsanwältin Jacqueline Sievers: „Schweizer Firmen, welche im EU-Raum aktives Digital Marketing betreiben, können ab 25. Mai der DSGVO unterstehen.“
Rechtsanwältin Jacqueline Sievers: „Schweizer Firmen, welche im EU-Raum aktives Digital Marketing betreiben, können ab 25. Mai der DSGVO unterstehen.“ (© zvg.)

Deutlich höhere Strafen als bisher

Ähnliche Regelungen sehe dereinst auch der Entwurf des neuen Schweizer Datenschutzgesetzes (DSG) vor, führte Sievers weiter aus. Wer die neuen Regelungen vorsätzlich nicht beachtet, dem drohten heftige Bussen, sagte Sievers. Allerdings gebe es Unterschiede zwischen der Schweiz und der EU: Während man heute in der Schweiz mit maximal 10.000 Franken bestraft wird, sehe der Entwurf des neuen DSG Bussen in der Höhe von bis zu 250.000 Franken vor – nur die strafrechtliche Verantwortung treffe die zuständige Person. Anders in der EU: Gemäss DSGVO wird das verantwortliche Unternehmen mit bis zu 4 Prozent des weltweiten Jahresumsatzes gebüsst – pro Verletzung!

Eine Firma stehe aber erst dann unter dem neuen DS-Gesetz, wenn es möglich sei, mit den von ihr aktiv gesammelten und bearbeiteten Daten einzelne Personen klar oder zumindest indirekt zu identifizieren, erklärte Sievers weiter. Bei Registrierungsdaten wie Name oder E-Mailadresse sei dies klar der Fall, ob aber allein IP-Adressen und Cookies schon per se als Personendaten gälten, hänge davon ab, welche Rechtsprechung dereinst zum Zug komme­ – eine strengere wie dereinst in Deutschland, oder eine liberalere wie in der Schweiz oder tendenziell am Europäischen Gerichtshof.

Wichtig: Verantwortlichkeiten vertraglich klären!

Apropos Verantwortung: Anhand des Zusammenspiels zwischen Auftraggeber, Agentur, Werbevermarkter und Publisher zeigte Sievers auf, dass sich nach Gesetz je nach Situation die Verantwortung verschieben oder aufteilen kann. Erteile beispielsweise ein Werbekunde seiner Mediaagentur den Auftrag, Werbetracking auf xyz.ch zu machen, ohne dass er eigene Kunden-Daten beisteuert oder sonstwie eine Bearbeitung von Personendaten vornimmt, untersteht er nicht dem DS-Gesetz. Dasselbe gelte in diesem Beispiel wohl auch für die Mediaagentur. Anders ist die Situation für Werbevermarkter und Publisher, sofern sie entscheiden, wer die Tracking-Werbung zugespielt erhält, somit ist im Einzelfall zu prüfen, inwiefern sie als Verantwortlicher oder als Auftragsdatenbearbeiter der Datenschutzgesetzgebung unterstehen. „Die Frage ist immer, wer den Zweck und die Mittel der Personendatenbearbeitung definiert“, sagte Sievers. Ist es der Werbevermarkter, der dem Publisher die Voraussetzungen vorgibt, dann sei tendenziell Ersterer der Hauptverantwortliche, während Letzterer nur im Auftrag handle. Verknüpfe der Publisher aber die Vorgaben mit der eigenen Datenbank, um Profile zu erstellen, dann wird auch er zum Verantwortlichen. “Wir können mehrere Verantwortliche haben”, sagte Sievers. Es lohne sich deshalb, mittels Verträgen die Zuständigkeiten zu klären. Dem Verantwortlichen kommt gar die Pflicht zu, die Personendatenbearbeitung mit dem Auftragsdatenbearbeiter vertraglich zu regeln. Sie wies zudem darauf hin, dass künftig eine Dokumentationspflicht zu sämtlichen Datenverarbeitungen bestehe.

Auch Software und Technik auf neue Vorgaben einstellen

Im zweiten Teil des Seminars zeigte Jan Stoess, Leiter der Entwicklungsabteilung von Adello, auf, was es braucht, damit die neuen gesetzlichen Anforderungen auch technisch – etwa auf Software-Ebene – umgesetzt werden können. Beim Kauf von Werbeinventar auf mobilen Geräten erhalte der Werbetreibende von der Auktionsbörse Daten über die aktuell aktiven Geräte und deren Aktivität im Internet, sagte Stoess. Dabei handelt es sich –  vereinfacht gesagt – um einzelne Datenketten, die über den jeweiligen Nutzer mehr oder weniger Auskunft geben: Gerät, Browser, geographischer Aufenthaltsort, aktuell besuchte Website....
Jan Stoess, Leiter der Entwicklungsabteilung von Adello: "Es ist nötig, bei der Speicherung von Datensätzen deren Quelle zu hinterlegen und aggregierte Daten auch wieder trennbar zu machen."
Jan Stoess, Leiter der Entwicklungsabteilung von Adello: "Es ist nötig, bei der Speicherung von Datensätzen deren Quelle zu hinterlegen und aggregierte Daten auch wieder trennbar zu machen." (© knö.)
Hat der Nutzer zudem per Opt-out verfügt, dass er beispielsweise keine personalisierte Werbung wünscht, ist zur Zahlenkette ein sogenannter "Do-not-track"- oder "Limit-Ad-Tracking"-Flag beigefügt, vergleichbar mit einem Sternchen-Eintrag im Telefonbuch. Dasselbe gilt für Kindersicherungen. Dieser Flag nützt aber nur etwas, wenn die Software des Werbeausspielers ihn auch erkennt und zu berücksichtigen weiss. Dafür muss sie aber entsprechend aufgebaut sein. Stoess plädierte deshalb dafür, von Anfang an auf eine flexible Datenarchitektur zu achten, die es ermöglicht, die Daten der Situation, dem Auftrag, dem Kundenwunsch oder auch einer sich verändernden Rechtslage entsprechend zu speichern und einzusetzen. Denkbar wäre etwa, dass die gespeicherten Daten eines Nutzers nicht mehr für Audiences oder Newsletter, jedoch für das Capping genutzt werden darf. Das so einzurichten, sei nicht trivial, gelte es doch, ein riesiges, globalisiertes Datenvolumen zu bearbeiten, sagte Stoess.

Adello behält die gesamte Daten-Kontrolle inhouse

Schliesslich gab auch Mark Forster, CEO von Adello, Einblick in den Aufwand, den seine Firma betrieben hat, um rechtzeitig fit für GDPR und DS-Gesetz zu sein. 2015 habe der Bundesrat den ersten Entwurf des DS-Gesetzes vorgelegt – gleichzeitig sei bei Adello ein Redesign der eigenen Daten-Architektur angestanden. Dank dieser glücklichen Fügung habe sich Adello so systematisch nach den neuen Vorgaben ausrichten können. Der Prozess habe mehr als ein Jahr benötigt, weil die Situation, alle Prozesse und Verträge analysiert werden mussten, um dann eine Systemarchitektur mit Petabytes an Daten im laufenden Betrieb anzupassen. Zudem habe man entschieden, alle Daten ausschliesslich auf eigenen Servern zu speichern und auch das Daten-Cleansing selbst zu besorgen. „Wir wollen die ganze Kette selbst kontrollieren“, sagte der CEO.
Mark Forster, CEO von Adello: "Wir haben  sehr viel getan, um den neuen Anforderungen Folge leisten zu können."
Mark Forster, CEO von Adello: "Wir haben sehr viel getan, um den neuen Anforderungen Folge leisten zu können." (© zvg.)

Über Adello

Adello, 2008 gegründet, expandierte 2013 in die USA, 2015 nach Singapur und Malaysia und im Mai 2017 nach China – nicht zuletzt dank Venture Capital der Swisscom. Das Onlineportal Statista listete Adello im Februar 2017 als eines der wachstumsstärksten Unternehmen der Schweiz. Die Firma belegte in der Studie den neunten Platz. Der Sitz von Adello befindet sich in Zürich.
Forster wies weiter darauf hin, dass es beim Datenschutz um mehr gehe als bloss um technische Neuerungen. So habe Adello auch alle internen und externen Verträge überprüft und wo nötig angepasst. Auch sei die Dokumentationspflicht nicht zu unterschätzen, warnte er.

Besser mehr Konsumentenrechte als Datendiktatur

Trotz allem Aufwand – für Forster sind die neuen gesetzlichen Vorgaben nicht nur lästig. Er sieht sie auch als „grosse Opportunitäten“, wie er sich ausdrückte. Zum einen könnten sie dazu führen, dass nun einige Firmen eingehen, weil ihr bisheriges Geschäftsmodell nicht mehr funktioniert. „Es ist gut für unsere Branche, wenn wir eine gewisse Bereinigung haben“, meinte er.

Positiv beurteilt er auch, dass die Konsumenten nun „mehr Macht erhalten“, um zu sagen, was sie punkto Daten wollen und was nicht. „Auch wenn sich das unbequem anhört: Ich sehe es wie in der Demokratie!“, fügte er hinzu. Wohl sei eine Diktatur einfacher zu managen. „Aber die Demokratie ist das Sinnvollere, weil die Mitsprache des Konsumenten zu höherer Zufriedenheit führt und der Branche mehr Nachhaltigkeit bringt.“ Jedenfalls seien die Konsumenten von der Werbeindustrie zu lange nur als Objekt angesehen worden. knö

HORIZONT Newsletter Swiss Newsline

täglich um 17 Uhr die Top-News über den Schweizer Werbemarkt

 


Meist gelesen
stats