Das neue Schweizer Datenschutzgesetz – und seine Auswirkungen auf CRM
Die DSGVO betrifft jedes Unternehmen, jeden Verein und jede Behörde, die personenbezogene Daten verarbeitet – zumindest in Deutschland. Doch wie sieht es mit dem Schweizer Datenschutzgesetz aus? Sobald dieses Thema bei CRM-Projekten in der Schweiz auf den Tisch kam, war die Reaktion meistens ähnlich:
„In unserem CRM-Projekt lassen wir den Themenbereich der DSGVO komplett weg. Es ist vielleicht für Unternehmen in Deutschland und der EU wichtig. Wir sind aber in der Schweiz. Zum Glück betrifft uns das nicht.“
Dies wird sich jedoch ab dem 1. September 2023 ändern. Denn an diesem Tag tritt das neue Schweizer Datenschutzgesetz (DSG) in Kraft. Von nun an müssen nicht nur Unternehmen, sondern insbesondere auch verschiedene Verantwortliche innerhalb der Unternehmen verschärfte Regeln beachten. Unabhängig von der Branche und der Funktion, in der sie arbeiten, ist deren Unternehmen definitiv vom neuen Schweizer Datenschutzgesetz betroffen.
Die Einführung des DSG markiert einen wichtigen Schritt für den Datenschutz in der Schweiz und stellt sicher, dass der Schutz personenbezogener Daten eine hohe Priorität erhält. Unternehmen müssen sich nun intensiver mit den Datenschutzbestimmungen auseinandersetzen – und möglicherweise ihre bestehenden Prozesse, Richtlinien und Systeme anpassen, um den neuen gesetzlichen Anforderungen gerecht zu werden.
Insbesondere CRM-Systeme und das Customer Experience Management werden stark betroffen sein. In diesem Artikel beleuchten wir nicht nur die zu berücksichtigenden Aspekte, sondern präsentieren auch konkrete Handlungsempfehlungen und Umsetzungsansätze.
Wichtige Bestandteile des neuen Schweizer Datenschutzgesetzes
Das aktuelle Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992 und entspricht nicht mehr den Anforderungen der modernen digitalen Gesellschaft. In den letzten Jahren haben sich das Internet, die Nutzung von Smartphones sowie soziale Netzwerke, Cloud-Dienste, Künstliche Intelligenz und das Internet der Dinge fest im Alltag der Schweizer Bevölkerung etabliert. Angesichts dieser rasanten Entwicklungen war es dringend erforderlich, das Schweizer Datenschutzgesetz grundlegend zu überarbeiten, um den Bürger:innen auf diese Weise einen angemessenen Schutz ihrer persönlichen Daten zu gewährleisten.
Die nachfolgende Grafik veranschaulicht übersichtlich die wichtigsten Bestandteile des neuen Schweizer Datenschutzrechts.
Quelle: Vision11
Die Einhaltung der Bestimmungen des neuen Schweizer Datenschutzgesetzes (DSG) ist essenziell, da Nichtbeachtung hohe Bußgelder und Reputationsverluste für Unternehmen mit sich bringen können. Zugleich fördern Unternehmen damit das Vertrauen ihrer Kunden, zeigen Engagement für Datenschutz, gewährleisten verantwortungsvollen und sicheren Umgang mit personenbezogenen Daten und ermöglichen den freien Datenverkehr mit der EU – um so ihre Wettbewerbsfähigkeit zu erhalten.
Wesentliche Unterschiede zum EU-DSGVO
Die europäische Datenschutz-Grundverordnung (EU-DSGVO) und das neue Schweizer Datenschutzgesetz (CH-DSG) haben zahlreiche Ähnlichkeiten, weisen jedoch auch einige Unterschiede auf. Im Folgenden zeigen wir die wichtigsten davon in einer Gegenüberstellung.
Quelle: Vision11
An einer Stelle geht das neue Schweizer Datenschutzgesetz über die Anforderungen der EU-DSGVO hinaus. Dabei sind Unternehmen in der Schweiz verpflichtet, sämtliche Empfängerstaaten und die möglicherweise genutzten Garantien anzugeben, wenn personenbezogene Daten ins Ausland übermittelt werden sollen.
Unternehmen in der Schweiz, die die DSGVO schon vollständig umgesetzt haben, profitieren nun davon, da sie in puncto Datenschutz bereits gut aufgestellt sind.
Herausforderungen und Handlungsempfehlungen für Unternehmen in der Schweiz
Das neue Schweizer Datenschutzgesetz weist in vielen Bereichen Ähnlichkeiten mit den europäischen Datenschutzgesetzen auf. Dabei verfolgt es auch ähnliche Ziele: etwa die Transparenz zu verbessern und die Rechte der betroffenen Personen in der Schweiz zu stärken. So sollen Unternehmen und Organisationen in der Schweiz dazu verpflichtet werden, den Schutz personenbezogener Daten noch besser zu gewährleisten und den Datenschutzstandards der EU näher zu kommen.
Dennoch birgt das neue Datenschutzgesetz potenzielle Risiken, die es zu identifizieren und zu minimieren gilt. Die folgenden Empfehlungen unterstützen die betroffenen Unternehmen dabei, diese Herausforderungen erfolgreich zu bewältigen:
Erhöhen Sie die Priorität des Datenschutzes in Ihrem Unternehmen.
Erstellen Sie eine Roadmap zur Umsetzung von Maßnahmen gemäß dem neuen Datenschutzgesetz, um Risiken zu minimieren.
Erfassen und analysieren Sie die Datenverarbeitungsprozesse im Unternehmen. Ziehen Sie einen externen Datenschutzberater hinzu, um potenzielle Risiken und Handlungsbedarfe zu erkennen. Dokumentieren Sie die Verarbeitungstätigkeiten gemäß den Ergebnissen der Analyse.
Überprüfen Sie sorgfältig Ihre Datenschutzhinweise, um Informationspflichten zu erfüllen. Stellen Sie sicher, dass betroffenen Personen alle relevanten Informationen transparent und verständlich bereitgestellt werden.
Überprüfen Sie Ihre Meldeprozesse für Datenschutzverstöße. Ein effizientes Verfahren ist entscheidend, um angemessen auf Datenschutzvorfälle reagieren zu können. Aktualisieren Sie diese Prozesse regelmäßig.
Überprüfen Sie, ob in Ihrem Unternehmen ein Vertreter in der Schweiz gemäß dem Schweizer Datenschutzgesetz notwendig ist. Dieser dient als Ansprechpartner für die schweizerischen Datenschutzbehörden.
Ernennen Sie einen Data Protection Officer (DPO), der die Einhaltung des Schweizer DSG und anderer Datenschutzgesetze überwacht. Der DPO bietet Beratung und Orientierung zum Datenschutz im Unternehmen.
Legen Sie interne Verfahren fest, die das Speichern, Nutzen, Übermitteln und Löschen von Daten gemäß den gesetzlichen Anforderungen sicherstellen.
Legen Sie klare Prozesse für das Auskunftsrecht, den Umgang mit Datenschutzverletzungen und die Datenschutz-Folgenabschätzung fest.
Führen Sie eine umfassende Schulung für alle Mitarbeiter:innen zum neuen DSG und zu Datenschutzthemen durch. Sensibilisieren Sie sie für relevante Datenschutzbestimmungen.
Die Umsetzung dieser Maßnahmen ermöglicht den beteiligten Unternehmen das proaktive Erkennen potenzieller Datenschutzrisiken sowie die Umsetzung angemessener Schritte zur Gewährleistung der Einhaltung neuer und verschärfter Datenschutzvorschriften. Dadurch wird nicht nur das Vertrauen der betroffenen Personen gestärkt, sondern auch das Risiko rechtlicher Konflikte und möglicher finanzieller Sanktionen minimiert.
Die Implementierung geeigneter Datenschutzvorkehrungen und entsprechender Richtlinien ist ein wichtiger strategischer Baustein, um den Schutz personenbezogener Daten zu gewährleisten – und den Anforderungen der Datenschutzbehörden gerecht zu werden.
Anpassungsbedarf bestehender CRM-Prozesse und -Systeme
Betrachten wir die in den vergangenen fünf bis sechs Jahren in der Schweiz durchgeführten CRM-Einführungen, lässt sich nicht mit absoluter Sicherheit behaupten, dass die Prozesse und die Systeme den Anforderungen des neuen Schweizer Datenschutzgesetzes im Ernstfall standhalten würden.
Wie eingangs schon erwähnt, kann dies mit der geringen Sensibilisierung für Datenschutzthemen in der Schweiz zusammenhängen. In den meisten CRM-Projekten wurden Datenschutzaspekte oft vernachlässigt, da sie von Anfang an eine niedrige Priorität hatten – und letztlich den Einschränkungen des Projektbudgets und -zeitplans zum Opfer fielen.
Von grundlegender Bedeutung ist das klare Verständnis, dass es sich hier ausschließlich um personenbezogene Daten handelt. Dies umfasst Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Dazu gehören klassische Informationen wie Name, Adresse, Telefonnummer, E-Mail, Religion, Hautfarbe, Nationalität, aber auch IP-Adresse, Mac-Adresse, AHV-Nummer und pseudonymisierte personenbezogene Daten. Vollständig anonymisierte Daten sind jedoch nicht mehr als personenbezogene Daten anzusehen.
Die Verantwortung zur Einhaltung der notwendigen Vorgaben im Zusammenhang mit einer CRM-Lösung liegt beim Kunden, nicht bei den CRM-Hersteller:innen. Dazu gehört auch die Berücksichtigung der Verhältnismäßigkeit der Datenbearbeitung, indem möglichst wenige Daten im CRM verarbeitet werden.
Insbesondere bei CRM-Software als Service (SaaS) sollte geprüft werden, ob eine Datenübermittlung in Drittländer (einschließlich in Länder wie die USA) stattfindet. Dies kann problematisch sein, wenn das Drittland kein angemessenes Datenschutzniveau bietet. Die Offenlegung von Daten in Drittstaaten kann durch einen Server-Standort im Ausland oder durch Wartung und Betreuung der Business-Software aus dem Ausland erfolgen. Diese Aspekte sollten sorgfältig berücksichtigt werden, um datenschutzrechtliche Risiken zu minimieren.
Datenschutzkonformität im CRM: Schritt-für-Schritt Anpassungen für Unternehmen nach dem neuen Schweizer Datenschutzgesetz
Gehen wir nun die wichtigsten Anpassungen bestehender CRM-Prozesse und -Systeme Schritt für Schritt durch.
Stellen Sie sicher, dass in Ihrer CRM-Lösung keine Daten ohne ausdrückliche Einwilligung der betroffenen Person erhoben und gespeichert werden.
Führen Sie eine gründliche Überprüfung Ihrer CRM-Prozesse im Outbound-Marketing durch. Stellen Sie sicher, dass Sie vor dem Versand von Werbung oder Newslettern gültige Einwilligungen der betroffenen Personen eingeholt haben.
Nehmen Sie eine sorgfältige Überprüfung Ihrer Inbound-Marketing-Prozesse im CRM vor. Stellen Sie sicher, dass für Performance Cookies sowie Werbe- und Tracking-Cookies eine entsprechende Einwilligung der betroffenen Personen eingeholt wird.
Beachten Sie, dass betroffene Personen jederzeit Auskunft über gespeicherte Daten verlangen können. Ihr CRM-System sollte daher in der Lage sein, alle personenbezogenen Daten vollständig und übersichtlich in einem lesbaren Format auszugeben.
Beachten Sie, dass betroffene Personen ihre Daten bei Bedarf berichtigen lassen können. Überprüfen Sie die CRM-Berechtigungen, um ausgewählten Personen oder Personengruppen die Möglichkeit zu geben, die Datenkorrektur vorzunehmen
Gewährleisten Sie, dass betroffene Personen jederzeit die Löschung ihrer Daten verlangen können. Überprüfen Sie die Funktionalität des CRM-Systems, um das Löschen der Daten zu ermöglichen. Achten Sie dabei jedoch darauf, die Regelungen zur Aufbewahrungspflicht angemessen zu berücksichtigen.
Achten Sie darauf, dass im CRM die Möglichkeit besteht, Daten tatsächlich zu löschen und nicht nur zum Löschen oder Archivieren vorzumerken bzw. zu kennzeichnen. Denn Letzteres reicht nicht aus.
Stellen Sie sicher, dass Ihr CRM-System die Anforderung erfüllt, Betroffenen auf Verlangen ihre Daten in einem gängigen elektronischen Format herauszugeben bzw. zu übertragen.
Stellen Sie sicher, dass eine vollständige Dokumentation der Rechtsgrundlage für die Verarbeitung von Daten in Ihrem CRM-System vorhanden ist.
Gewährleisten Sie eine vollständige Dokumentation der Rechtsgrundlage für die Datenverarbeitung in Ihrem CRM-System.
Sorgen Sie technisch dafür, dass im CRM die Aufbewahrung personenbezogener Daten nur so lange erfolgt, wie sie die zugrunde liegende Rechtsgrundlage erfüllen. Regelmäßige Prüfungen und Löschungen der nicht mehr benötigten Daten im CRM sind empfehlenswert.
Achten Sie kontinuierlich auf korrekte und aktuelle Daten im CRM. Führen Sie regelmäßige Überprüfungen und Aktualisierungen durch, um die Datenqualität in Ihrem System zu gewährleisten.
Stellen Sie sicher, dass die ursprüngliche Quelle der Datenbeschaffung jederzeit bekannt ist. Dokumentieren Sie die Herkunft der Daten in Ihrem CRM-System, um die Transparenz und Rückverfolgbarkeit zu gewährleisten.
Trennen Sie sensible Daten von den allgemeinen Daten ab, um den Zugriff ausschließlich befugtem Personal zu gewähren. Dadurch werden die Sicherheit und die Vertraulichkeit der Daten in Ihrem CRM-System gewährleistet und Datenschutzrisiken minimiert.
Überprüfen Sie das bestehende Rollenkonzept und passen Sie es bei Bedarf an. Dadurch stellen Sie sicher, dass die Zugriffsrechte im CRM-System angemessen und nur für autorisiertes Personal gewährt werden.
Dokumentieren Sie alle CRM-Prozessschritte, in denen Personendaten bearbeitet werden. Dadurch gewährleisten Sie die Transparenz und Nachvollziehbarkeit der Datenverarbeitung.
Benennen Sie intern eine verantwortliche Person für die Sicherheit der Daten im CRM und anderen Systemen mit personenbezogenen Daten. Stellen Sie sicher, dass diese Person in Bezug auf das neue Schweizer Datenschutzgesetz ausreichend geschult ist.
Diese Liste soll Unternehmen als nützliche Orientierungshilfe dienen. Es ist jedoch zu beachten, dass sie aus juristischer Sicht nicht vollständig ist. Dennoch deckt sie alle wesentlichen Punkte ab, die überprüft und gegebenenfalls umgesetzt werden müssen, um die Datenschutzkonformität einer bestehenden CRM-Lösung auch nach dem 1. September 2023 sicherzustellen.
Schweizer Datenschutzgesetz: Fazit und Ausblick
Jedes Unternehmen in der Schweiz sollte im Hinblick auf das neue Gesetz eine Bestandsaufnahme der Verarbeitung von Personendaten und eine Risikobewertung durchführen. Unternehmen, die Personendaten in großen Mengen oder besonders schützenswerte Personendaten verarbeiten, müssen die Prozesse intern klar organisieren, um den Zugriff auf die Daten zu kontrollieren und auf das Notwendigste zu beschränken. Darüber hinaus sollten bestehende Datenschutzerklärungen und Verträge mit Auftragsverarbeitern geprüft und angepasst werden. Zudem ist es wichtig, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Insgesamt tragen diese Maßnahmen zur Datenschutzkonformität bei und ermöglichen eine effektive Umsetzung des neuen Gesetzes.
Eine professionelle Unterstützung durch erfahrene CRM-Consultants mit Fachkenntnissen im Datenschutz kann hier äußerst wertvoll sein. Insbesondere CRM-Dienstleister aus Deutschland haben seit der Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) umfangreiche Erfahrungen mit Datenschutzthemen in deutschen und europäischen Unternehmen gesammelt. Dabei wurden zahlreiche Best-Practice-Ansätze erarbeitet, die sich auch auf Schweizer Unternehmen übertragen lassen.
Dies ermöglicht nicht nur Kosteneinsparungen, sondern beschleunigt auch die Umsetzung der ab dem 1. September 2023 verschärften Datenschutzvorschriften. Eine solche Zusammenarbeit eröffnet den Schweizer Unternehmen die Möglichkeit, datenschutzrechtliche Herausforderungen im CRM effizient zu bewältigen und die Compliance zu gewährleisten.
In der Praxis zeigen zahlreiche Beispiele aus Deutschland: Zögern und Abwarten in Bezug auf die Umsetzung neuer Datenschutzrichtlinien sind keine empfehlenswerten Alternativen. Unternehmen, die sich den Anpassungen hinsichtlich des Datenschutzes frühzeitig und proaktiv gewidmet haben, konnten nicht nur potenzielle rechtliche Risiken vermeiden, sondern auch das Vertrauen ihrer Kunden stärken. Es ist daher jedem Unternehmen in der Schweiz zu empfehlen, die notwendigen Schritte zur Anpassung der Datenschutzpraktiken einzuleiten, um den neuen gesetzlichen Anforderungen gerecht zu werden.
Haben Sie Interesse an unserem Vorgehen, an Projektreferenzen oder an Best Practice Use Cases?
Gerne rufe ich Sie für ein weiterführendes Gespräch zurück.
Sergej Plovs
+4915146124767
Weitere Posts
Die DSGVO betrifft jedes Unternehmen, jeden Verein und jede Behörde, die personenbezogene Daten verarbeitet – zumindest in Deutschland. Doch wie sieht es mit dem Schweizer Datenschutzgesetz aus?