Big Data und Datenschutz in Kommunikation, Marketing und Werbung
Alles spricht über die «Datenkrake» Facebook im fernen Silicon Valley.
Im Schatten von Facebook segeln aber auch Schweizer Unternehmen, deren
Datenhunger gerade so gross ist. «Swiss Big Data» ist nicht per se illegal. Für
Marketing- und Kommunikationsleuten ist es aber entscheidend, die rechtlichen
roten Linien zu kennen, um nicht in einen juristischen Hammer zu laufen und
Reputationsschäden zu vermeiden.
Bisher haben Swisscom und Migros vor allem unsere Daten in Bezug auf
Dienstleistungen und Käufe gesammelt. In neuster Zeit gehen sie dazu über, uns zu
fotografieren. Swisscom tut dies im Shop, um wartende Kunden für die Berater zu
identifizieren. Migros plant Migrolino-Shops ohne Personal und will darum die
Gesichter ihrer Kunden ebenfalls scannen. Auch wenn die Betroffenen,
abgestumpft durch den Datenhunger ihrer Lieblingstools Facebook, WhatsApp und
Instagram, bei ihren persönlichen Daten recht freigiebig geworden sind, stutzen
sie nun doch bei den Berichten über Praxis und Absichten von Swisscom und Migrolino,
ihre Gesichter zu scannen.
Rote juristische Linie im Datenmarketing
Datensammeln zu Marketing-Zwecken ist nicht verboten. Vielfach dient das Datenmarketing auch den Betroffenen selbst. Die rote juristische Linie findet sich in Artikel 4 des Datenschutzgesetzes (DSG), den Grundsätzen des schweizerischen Datenschutzes. Für Marketing und Kommunikation sind dabei vor allem der Grundsatz der Verhältnismässigkeit und der Zweckgebundenheit von besonderer Relevanz. Nach dem Grundsatz der Verhältnismässigkeit dürfen Daten von Usern und von Kunden nur dann gesammelt werden, wenn sie für den dem Betroffenen vom Sammler kommunizierten Zweck notwendig und geeignet sind. Nimmt jemand z.B. an einem Wettbewerb teil, ist es lediglich notwendig, dass der Teilnehmer eine Offline- oder Online-Adresse angibt, damit man ihn über einen allfälligen Gewinn informieren kann. Weitere Informationen, wie z.B. Geburtstag, Geschlecht oder Zivilstand sind für diesen Zweck weder notwendig noch geeignet und damit deren Erfragung unverhältnismässig. Bei der weiteren Verwendung dieser Wettbewerbs-Daten muss der Grundsatz der Zweckgebundenheit eingehalten werden. D.h., dass Daten nur für den dem Betroffenen bei der Erhebung kommunizierten Zweck verwendet werden dürfen. In Bezug auf die Wettbewerbs-Daten bedeutet dies, dass diese Daten z.B. nicht für künftige Werbung verwendet werden dürfen. Dies wäre ein klarer Verstoss gegen das Datenschutzgesetz. Will man dies trotzdem tun, muss beim Wettbewerb eine separate Box gesetzt werden, die von den Teilnehmenden angekreuzt werden kann, wenn sie über den Wettbewerb hinaus Werbung wünschen.
Gesichts-Scanning legal?
Unser Gesicht ist Teil unserer Persönlichkeit gemäss Zivilgesetzbuch (ZGB) und damit gemäss Artikel 28 ff. ZGB geschützt. Erfolgt eine Aufnahme bzw. ein Scanning ohne Einverständnis des Betroffenen verletzt bereits die Aufnahme bzw. das Scanning an sich die Persönlichkeit; d.h. also nicht erst deren Verwendung. Erhebung und Bearbeitung dieser personenbezogenen Daten fallen aber auch unter die genannten datenschutzrechtlichen Grundsätze der Verhältnismässigkeit und der Zweckgebundenheit. Wenn nun Swisscom und Migrolino ihre Kunden zur Identifizierung in ihren Shops fotografieren, verlangt dies vorab deren explizites Einverständnis. Ein Gesichts-Scanning darf zudem nur gemacht werden, wenn dies für den entsprechenden Zweck notwendig und geeignet ist. Dabei verlangt der Grundsatz der Verhältnismässigkeit auch, dass für die Erreichung des Zwecks immer das Mittel angewendet wird, das am wenigsten in die Persönlichkeit der Betroffenen eingreift. Bis anhin hat Swisscom offenbar für ihre Berater jeweils besondere Kennzeichen ihrer Kunden notiert («Mann, grüne Jacke, Brille» o.ä.). Offenbar hat dies funktioniert. Die Post sowie die Apotheken-Gruppe BENU setzen auf das System «Take a Number». Auch dies scheint praktikabel zu sein. Die Valora-Gruppe hat soeben einen Test mit einem Shop ohne Personal durchgeführt. Dort haben sich die User bei Eintritt ins Geschäft mit einer App identifiziert. Auch dies schein funktioniert zu haben. Das bedeutet, dass es offensichtlich Identifikations-Methoden im stationären Handel gibt, die bedeutend weniger in die Persönlichkeit der betroffenen eingreifen. Damit muss davon ausgegangen werden, dass das Fotografieren bzw. Scannen der Gesichter der Kunden als schwerer Eingriff in deren Persönlichkeit unverhältnismässig sind. Fragt sich noch, ob das Einverständnis der Kunden die Sache legal macht. Nein. Art. 27 Abs. 2 ZGB als Teil des Persönlichkeitsrechts schützt die Personen vor der «Entäusserung ihrer Freiheit». Dieser Artikel, der schon seit Jahrzehnten Teil des Schweizer Persönlichkeitsrechts ist, erlebt im Zeitalter der Digitalisierung, in dem die User bereit sind, ihr letztes «Daten-Hemd» für eine unwiderstehliche App hinzugeben, eine eigentliche Renaissance. Mit dieser gesetzlichen Bestimmung schützt der Staat die Leute vor sich selbst.
Risiken des Datenhungers
Das schweizerische Datenschutzgesetz ist nach wie vor ein «Tiger ohne Zähne». Die Verletzung der Datenschutzgrundsätze hat praktisch keine juristischen Konsequenzen. Biss haben lediglich Verfügungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragt (EDÖB). Dieser kann von sich aus oder auf Anzeige hin auf den Plan treten. Hingegen sind die Reputationsrisiken nicht zu unterschätzen. Die Medien messen Unternehmen an den Datenschutz-Grundsätzen. Datenschutz ist ein Key Issue des E-Commerce. Die Fälle von Facebook haben gezeigt, dass die Thematik geeignet ist, sogar einen «Big Player» ins Wanken zu bringen.
High Risk beim Daten-Fischen in der EU
Seit Mai letzten Jahres gilt in der EU die neue Datenschutz-Grundverordnung (EU DSGVO). Grundsätzlich gelten in der EU nach wie vor die ähnlichen Datenschutzgrundsätze, wie in der Schweiz. Die EU DSGVO ist aber ein eigentlicher «Game Changer». Denn neben Schadenersatzforderungen der Betroffenen drohen Unternehmen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.
Hilfreiche Online-Quellen des Datenschutzes
Übersicht über den Datenschutz der Schweiz und der EU: www.digilaw.ch («Data Protection»)
Detaillierte Informationen des EDÖB: www.edoeb.admin.ch («Datenschutz»)
Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, www.digilaw.ch, www.twitter.com/juristenfutter, www.linkedin.com/in/ueli-grueter
Aktualisiert am 14. Juli 2020