Facebook, Swisscom, Migrolino & Co.

Big Data und Datenschutz in Kommunikation, Marketing und Werbung

Alles spricht über die «Datenkrake» Facebook im fernen Silicon Valley. Im Schatten von Facebook segeln aber auch Schweizer Unternehmen, deren Datenhunger gerade so gross ist. «Swiss Big Data» ist nicht per se illegal. Für Marketing- und Kommunikationsleuten ist es aber entscheidend, die rechtlichen roten Linien zu kennen, um nicht in einen juristischen Hammer zu laufen und Reputationsschäden zu vermeiden.

Bisher haben Swisscom und Migros vor allem unsere Daten in Bezug auf Dienstleistungen und Käufe gesammelt. In neuster Zeit gehen sie dazu über, uns zu fotografieren. Swisscom tut dies im Shop, um wartende Kunden für die Berater zu identifizieren. Migros plant Migrolino-Shops ohne Personal und will darum die Gesichter ihrer Kunden ebenfalls scannen. Auch wenn die Betroffenen, abgestumpft durch den Datenhunger ihrer Lieblingstools Facebook, WhatsApp und Instagram, bei ihren persönlichen Daten recht freigiebig geworden sind, stutzen sie nun doch bei den Berichten über Praxis und Absichten von Swisscom und Migrolino, ihre Gesichter zu scannen.

Rote juristische Linie im Datenmarketing

Datensammeln zu Marketing-Zwecken ist nicht verboten. Vielfach dient das Datenmarketing auch den Betroffenen selbst. Die rote juristische Linie findet sich in Artikel 4 des Datenschutzgesetzes (DSG), den Grundsätzen des schweizerischen Datenschutzes. Für Marketing und Kommunikation sind dabei vor allem der Grundsatz der Verhältnismässigkeit und der Zweckgebundenheit von besonderer Relevanz. Nach dem Grundsatz der Verhältnismässigkeit dürfen Daten von Usern und von Kunden nur dann gesammelt werden, wenn sie für den dem Betroffenen vom Sammler kommunizierten Zweck notwendig und geeignet sind. Nimmt jemand z.B. an einem Wettbewerb teil, ist es lediglich notwendig, dass der Teilnehmer eine Offline- oder Online-Adresse angibt, damit man ihn über einen allfälligen Gewinn informieren kann. Weitere Informationen, wie z.B. Geburtstag, Geschlecht oder Zivilstand sind für diesen Zweck weder notwendig noch geeignet und damit deren Erfragung unverhältnismässig. Bei der weiteren Verwendung dieser Wettbewerbs-Daten muss der Grundsatz der Zweckgebundenheit eingehalten werden. D.h., dass Daten nur für den dem Betroffenen bei der Erhebung kommunizierten Zweck verwendet werden dürfen. In Bezug auf die Wettbewerbs-Daten bedeutet dies, dass diese Daten z.B. nicht für künftige Werbung verwendet werden dürfen. Dies wäre ein klarer Verstoss gegen das Datenschutzgesetz. Will man dies trotzdem tun, muss beim Wettbewerb eine separate Box gesetzt werden, die von den Teilnehmenden angekreuzt werden kann, wenn sie über den Wettbewerb hinaus Werbung wünschen.

Gesichts-Scanning legal?

Unser Gesicht ist Teil unserer Persönlichkeit gemäss Zivilgesetzbuch (ZGB) und damit gemäss Artikel 28 ff. ZGB geschützt. Erfolgt eine Aufnahme bzw. ein Scanning ohne Einverständnis des Betroffenen verletzt bereits die Aufnahme bzw. das Scanning an sich die Persönlichkeit; d.h. also nicht erst deren Verwendung. Erhebung und Bearbeitung dieser personenbezogenen Daten fallen aber auch unter die genannten datenschutzrechtlichen Grundsätze der Verhältnismässigkeit und der Zweckgebundenheit. Wenn nun Swisscom und Migrolino ihre Kunden zur Identifizierung in ihren Shops fotografieren, verlangt dies vorab deren explizites Einverständnis. Ein Gesichts-Scanning darf zudem nur gemacht werden, wenn dies für den entsprechenden Zweck notwendig und geeignet ist. Dabei verlangt der Grundsatz der Verhältnismässigkeit auch, dass für die Erreichung des Zwecks immer das Mittel angewendet wird, das am wenigsten in die Persönlichkeit der Betroffenen eingreift. Bis anhin hat Swisscom offenbar für ihre Berater jeweils besondere Kennzeichen ihrer Kunden notiert («Mann, grüne Jacke, Brille» o.ä.). Offenbar hat dies funktioniert. Die Post sowie die Apotheken-Gruppe BENU setzen auf das System «Take a Number». Auch dies scheint praktikabel zu sein. Die Valora-Gruppe hat soeben einen Test mit einem Shop ohne Personal durchgeführt. Dort haben sich die User bei Eintritt ins Geschäft mit einer App identifiziert. Auch dies schein funktioniert zu haben. Das bedeutet, dass es offensichtlich Identifikations-Methoden im stationären Handel gibt, die bedeutend weniger in die Persönlichkeit der betroffenen eingreifen. Damit muss davon ausgegangen werden, dass das Fotografieren bzw. Scannen der Gesichter der Kunden als schwerer Eingriff in deren Persönlichkeit unverhältnismässig sind. Fragt sich noch, ob das Einverständnis der Kunden die Sache legal macht. Nein. Art. 27 Abs. 2 ZGB als Teil des Persönlichkeitsrechts schützt die Personen vor der «Entäusserung ihrer Freiheit». Dieser Artikel, der schon seit Jahrzehnten Teil des Schweizer Persönlichkeitsrechts ist, erlebt im Zeitalter der Digitalisierung, in dem die User bereit sind, ihr letztes «Daten-Hemd» für eine unwiderstehliche App hinzugeben, eine eigentliche Renaissance. Mit dieser gesetzlichen Bestimmung schützt der Staat die Leute vor sich selbst.

Risiken des Datenhungers

Das schweizerische Datenschutzgesetz ist nach wie vor ein «Tiger ohne Zähne». Die Verletzung der Datenschutzgrundsätze hat praktisch keine juristischen Konsequenzen. Biss haben lediglich Verfügungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragt (EDÖB). Dieser kann von sich aus oder auf Anzeige hin auf den Plan treten. Hingegen sind die Reputationsrisiken nicht zu unterschätzen. Die Medien messen Unternehmen an den Datenschutz-Grundsätzen. Datenschutz ist ein Key Issue des E-Commerce. Die Fälle von Facebook haben gezeigt, dass die Thematik geeignet ist, sogar einen «Big Player» ins Wanken zu bringen.

High Risk beim Daten-Fischen in der EU

Seit Mai letzten Jahres gilt in der EU die neue Datenschutz-Grundverordnung (EU DSGVO). Grundsätzlich gelten in der EU nach wie vor die ähnlichen Datenschutzgrundsätze, wie in der Schweiz. Die EU DSGVO ist aber ein eigentlicher «Game Changer». Denn neben Schadenersatzforderungen der Betroffenen drohen Unternehmen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Hilfreiche Online-Quellen des Datenschutzes

Übersicht über den Datenschutz der Schweiz und der EU: www.digilaw.ch («Data Protection»)

Detaillierte Informationen des EDÖB: www.edoeb.admin.ch («Datenschutz»)

Workshop «Werberecht live»

Die Hochschule Luzern ist Partnerin des von WEKA durchgeführten Workshops «Werberecht live». In diesem Praxisseminar beleuchtet Ueli Grüter* aktuelle Fragen des Kommunikations- und Werberechts. Zudem steht er den Teilnehmenden ausführlich für deren eigenen Fragen und Fälle zur Verfügung. Info und Anmeldung: www.praxisseminare.ch/seminare/marketing/event/1216-werberecht-live

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, www.digilaw.ch, www.twitter.com/juristenfutter, www.linkedin.com/in/ueli-grueter

myCloud von Swisscom ist beste Lösung

Vermehrt müssen wir in der Anwaltskanzlei mit unseren Klienten grössere Datenmengen, d.h. Datenmengen, die man nicht mehr per E-Mail übermitteln kann, austauschen. Dafür haben wir zwischenzeitlich verschiedene Services ausprobiert, inklusive auch derjenigen der Big Player Microsoft, Google & Co. Dabei kommen wir zum Schluss, dass der Service «myCloud» des Schweizer Telekom-Anbieters Swisscom im Moment das beste Handling-/Sicherheits-/Datenschutz-Verhältnis aufweist. Es gibt sicherere Lösungen, die jedoch unsere Klienten nicht anwenden können. Der Service myCloud steht auch für User frei zur Verfügung, die nicht Kunde von Swisscom sind; jedoch für diese mit einem beschränkten, jedoch relativ grossen Datenspeicher. Der Service lässt es sogar zu, auch einem nicht registrierten User von myCloud Daten zu übermitteln, als sich auch von einem nicht registrierten User von myCloud Daten übermitteln zu lassen. Beides erfolgt äusserst einfach per Zusendung eines Links. Ein Login ist in diesem Fall für den nicht registrierten User nicht notwendig. myCloud

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Datenhunger von Swisscom abstellen

Mit über 6 Millionen Mobilfunkkunden ist Swisscom aus schweizerischer Sicht zu einer „Datenkrake“, wie die Big-Players aus den Silicon Valley geworden. Kommt dazu, dass Swisscom ihre Kundendaten sogar ohne explizites Einverständnis der Betroffenen an Dritte weitergibt (sic!). Dies wurde vor kurzem auch durch die Stiftung für Konsumentenschutz (SKS) gerügt.

Als Kunde kann man unter folgendem direkten Link den Datenhunger von Swisscom abstellen. Man muss einfach alle Buttons ausschalten. Einen Nachteil hat man dadurch nicht. Im Gegenteil.

https://login.sso.bluewin.ch/login?SNA=sam&keepLogin=true&RURL=https%3A%2F%2Fwww.swisscom.ch%2Fcustomer%2Fonline%2Fapp%2FPrivacySettings%3Flogin%26mode%3Doverview%26tab%3DthirdParty%26bundle%3D2084605043%26nevistokenconsume&L=de&pps=desktop#/advanced-settings

Detaillierte Infos zum Datenschutz auf digilaw.ch: https://digilaw.ch/06-data-protection-2/

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Auskunft über gespeicherte Personendaten

Soeben hat mir der Schweizer Telekom-Anbieter Swisscom auf entsprechendes Begehren hin eine vorbildliche Auskunft über bei Swisscom zu meiner Person gespeicherten Daten erteilt. Sämtliche Daten sind im PDF-Format auf einem Memory-Stick abgespeichert und so auch für Laien der Informationstechnik leicht lesbar und verständlich. Gemäss meiner Beobachtung speichert Swisscom im Wesentlichen Daten der letzten fünf Jahre. Darunter befinden sich z.B. auch Protokolle von Gesprächen, die ich mit dem Swisscom-Kundendienst geführt habe.

Gemäss Art. 8 des Schweizer Datenschutzgesetzes (DSG) kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie erfasst und bearbeitet werden. Gemäss Art. 1 der Datenschutzverordnung (VDSG) muss diese Auskunft spätestens nach 30 Tagen erteilt werden. Gemäss Art. 34 DSG ist das nicht oder nicht rechtzeitige Erteilen einer Auskunft eine der wenigen, strafrechtlich geahndeten Tatbestände. Für die Praxis ist darum dringend zu empfehlen, in einem Unternehmen eine Anlaufstelle für ensprechende Anfragen zu definieren und zu publizieren sowie die Systeme so vorzubereiten, dass die nämlichen Daten innert Kürze abgerufen werden können. Details dazu finden sich in Art. 8 DSG.

Eine Information, wie man selbst ein Auskunftsbegehren nach Art. 8 DSG stellen kann, findet man auf der Seite des Eidg. Datenschutz-Beauftragten (EDÖB) unter folgendem Link: https://bit.ly/2wlQ6PO.

Weitere Informationen zur Thematik auf digilaw.ch: Kapitel 06 Data Protection.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch