Neues Datenschutzgesetz vs. B2B-Verkauf: Wer profitiert?

CRM&SALES AG | September 2023
Neues Datenschutzgesetz vs. B2B-Verkauf: Wer profitiert?

Das revidierte Schweizer Datenschutzgesetz ist seit dem 1. September 2023 in Kraft. Durch die Digitalisierung und das Voranschreiten des Internets entstand ein hohes Potenzial für Datennutzung und -auswertung für kommerzielle Zwecke. Dies geschieht jedoch oft auf Kosten der Persönlichkeit und der Grundrechte. Dem will das Parlament mit dieser Revision entgegenwirken. Jedoch bringt dies vor allem für den Verkauf und das Marketing neue Herausforderungen mit sich. 

In diesem Blog-Eintrag befassen wir uns mit den wichtigsten Veränderungen und ihren Auswirkungen auf den B2B-Verkauf. Unter anderem mit der Unterstützung von Rechtsanwalt und Notar der Kanzlei SchochMaierPartner, Jörg Schoch.

Herausforderung

Die Revision des Datenschutzrechts resultiert grundlegend in einer höheren Informationspflicht der Verantwortlichen (hier juristische und natürliche Personen, seien es eine AG oder ein Einzelunternehmen) und mehr Auskunftsrecht für Betroffene (hier natürliche Personen). 

Somit führt dies konkret zu folgenden Veränderungen:

  • bessere Transparenz für betroffene Personen
  • Verschärfung von Strafbestimmungen
  • Berücksichtigung des Datenschutzes bereits bei der Planung der Datenbearbeitung („privacy by design“) und durch datenschutzfreundliche Voreinstellungen („privacy by default“)
  •  Pflicht zur Durchführung von Datenschutz-Folgeabschätzungen
  • Recht auf Datenherausgabe und -übertragung
  • Förderung der Datensicherheit und Meldung von Verletzungen der Datensicherheit

In diesem Blog-Beitrag gehen wir vor allem auf die erhöhte Transparenz und auf die Datenherausgabe ein, sowie welche Daten im Zusammenhang mit den Datenschutz-Folgeabschätzungen relevant sind.

Tipp

Artikel 5 aus dem DSG definiert die wichtigsten Begriffe, die für dieses Thema relevant sind.

Jede betroffene Person kann von der verantwortlichen Organisation unter bestimmten Voraussetzungen die Herausgabe  der eigenen Personendaten in bestimmter elektronischer Form verlangen, die sie der Organisation bekanntgegeben hat. Hierbei handelt es sich um eine Datenherausgabe.

Auswirkungen auf den B2B-Verkauf

Es ist an dieser Stelle anzumerken, dass es sich bei betroffenen Personen (wie oben erwähnt) um natürliche Personen handelt. Dementsprechend werden im B2B-Geschäft weniger Daten von natürlichen Personen bearbeitet, da die Kundschaft hauptsächlich aus anderen Unternehmen besteht. Trotzdem können je nach Einsatz von Onlinetools, wie Google Analytics für die eigene Website, persönliche Daten wie zur Verhaltensweise von den jeweiligen Anbietenden der Tools gesammelt werden. Befinden sich die Anbietenden im Ausland, werden diese Daten ebenfalls im Ausland bearbeitet. 

Vor allem im B2B-Verkauf ist der Einsatz von CRM-Systemen üblich. Es muss daher nicht nur dem eigenen Unternehmen bewusst sein, wo welche Daten abgespeichert werden, sondern neuerdings haben auch betroffene Personen Anspruch auf solche Informationen. Darüber hinaus muss die Kundschaft darüber informiert werden, dass ihre Daten im CRM-System gespeichert werden und dass auf diese vom Team zugegriffen werden kann. Hierbei reicht es, dies mündlich mitzuteilen.

 

Die Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung besteht für jene Verantwortliche, die eine Datenbearbeitung mit einem hohen Risiko für die Persönlichkeit und Grundrechte der betroffenen Personen planen. Dies ist bei besonders schützenswerten Personendaten wie Gesundheitsdaten der Fall.

Bei dieser Folgeabschätzung müssen folgende Kriterien erfüllt werden:

  • Beschreibung der Bearbeitung
  • Bewertung der Risiken für die Persönlichkeit oder Grundrechte der betroffenen Personen
  • Definition von Massnahmen zum Schutz der Persönlichkeit und Grundrechte

 

Auswirkungen auf den B2B-Verkauf

Im B2B-Verkauf bearbeiten aber nur die wenigsten Unternehmen besonders schützenswerte Personendaten. Dazu gehören unter anderem…

  • Parteizugehörigkeit und politische Gesinnung
  • Religion
  • Weltanschauung
  • Gesundheitsdaten, genetische Daten
  • sonstige sensible Daten, z.B. über behördliche Verfahren

Es ist jedoch nicht immer direkt ersichtlich, wann es sich um besonders schützenswerte Personendaten handelt. Handelt es sich beispielsweise um vom blossen Auge ersichtliche Merkmale, wie dass ein potenzieller Kunde beim Kundenbesuch einen Gips trug, darf dies so im CRM notiert werden. Handelt es sich aber um eine lebensbedrohliche Diagnose oder offenbart der Kunde private Probleme, dürfen diese nicht ohne Weiteres im CRM erfasst werden. 

Eine gute Faustregel ist, dass man sparsam mit Datenerfassungen umgehen soll (Stichwort Datensparsamkeit) und nur jene erfassen soll, bei welchen man sich selbst wohl fühlen würde, wenn sie eine andere Unternehmung über einen selbst erfassen würde. Das Grand Hotel liefert ein etwas amüsantes Beispiel dazu mit ihrem Fichensystem (siehe Artikel).

Zu guter Letzt gilt es nicht nur darauf zu achten, dass man nur jene Informationen erfasst, welche einem direkt von der betroffenen Person mitgeteilt wurden, sondern auch dass diese korrekt sind. Denn die Erfassung von falschen Informationen bzw. Daten ist nicht erlaubt. 

Spezielles

FAQ zum Datenschutzgesetz

 

Dürfen Kontakte aufgrund persönlich abgegebener Visitenkarte im CRM gespeichert werden? 

Ja, denn dies gilt als still schweigendes Einverständnis. 

 

Was ist bei E-Mail-Newslettern zu beachten? 
Sie sind generell mit Zustimmung des Empfängers erlaubt, jedoch muss ein Text mit dabei sein mit: 

  • Warum der Empfänger die E-Mail bekommt 
  • Und eine Möglichkeit, den Newsletter abzubestellen

 

Wie muss vorgegangen werden, wenn der Kunde, das Löschen seiner Daten verlangt? 

  • Der Name muss nicht gelöscht werden (Grund: Rechnungsbeziehung). 
  • Persönliche Daten wie Geburtsdatum, Hobby, Email-Adresse werden dann gelöscht. 
  • Bereits empfangene E-Mails der Kundschaft müssen nicht gelöscht werden, da sie immerhin auch von der Kundschaft versandt wurden. 

 

Die Arbeitswelt entwickelt sich in Richtung "Bring your own Device", wo Arbeitgebende ihren Arbeitnehmenden immer Arbeitsgeräte wie PCs und Laptops nicht mehr selbst zur Verfügung stellen. Welche Auswirkungen hat dies auf den Datenschutz?

Grundsätzlich ist es besser, den Mitarbeitenden die Devices durch die Firma zur Verfügung zu stellen. Somit können die Mitarbeitenden die privaten Daten und Geschäftsdaten trennen. Zudem ist die Geolokalisierung dann auch nur auf dem Geschäfts-Mobilephone aufgeschaltet. 


 

Was nun?

Um mehr über die gesetzlichen Aspekte der Revision zu erfahren, klicken Sie auf diesen Link.

Viele Versicherungen bieten zudem Selfchecks an, mit welchen Sie überprüfen können, wie gut Ihr Unternehmen bzw. Team für die Änderungen im Datenschutzgesetz gewappnet ist.

Wir sind ebenfalls gerne für Ihr Verkaufsteam da und beraten Sie, wie Sie diese Veränderung am besten meistern!

Rechtsanwalt und Notar Jörg Schoch ist unsere Ansprechperson für rechtliche Fragestellungen und war uns auch in diesem Thema eine grosse Hilfe. Um mehr über Jörg Schoch und seine Kanzlei zu erfahren, klicken Sie auf diesen Link.

P.S. Das war nur der Anfang, gerne zeigen wir weitere Möglichkeiten auf.
Jetzt Kontakt aufnehmen!

Ralph Nater
Senior CRM Consultant

Für weitere Fragen stehe ich Ihnen gerne zur Verfügung!