Überspringen

Künstliche Intelligenz (KI) ist derzeit in aller Munde und die finanziellen Investitionen scheinen genauso groß zu sein wie die mediale Aufmerksamkeit. Ist es nur ein Tech-Trend oder ändert KI — jetzt und in Zukunft — von Grund auf die Art, wie wir etwas entwickeln oder wie wir arbeiten? Wer ist für die Eingabedaten und Ergebnisse verantwortlich?

Die Entwicklung von KI soll sich auf die Säulen von Algorithmen, Hardware und Daten stützen. Dabei sind die Herausforderungen in Bezug auf „Daten“ die größten, und die Nutzereinwilligung ist hier ein wichtiger Teil davon.

Die raschen Entwicklungen hinsichtlich des Trainings und der Nutzung von KI hat Bedenken aufkommen lassen, in Bezug auf die Einwilligung der Nutzer und die ethische Nutzung personenbezogener Daten. Wenn Nutzerdaten für das Trainieren von KI verwendet werden, haben Nutzer dann Rechte am Ergebnis? Müssen Unternehmen, die Daten zum Trainieren von KI benötigen, die Einwilligung für bereits online veröffentlichte Daten einholen? Für wie viele granulare Zwecke sollten KI-Tools oder -Services die explizite Einwilligung der Nutzer einholen?

Was ist künstliche Intelligenz (KI)?

KI bezieht sich auf die Entwicklung von Maschinen, die Aufgaben ausführen können, für die normalerweise menschliche Intelligenz erforderlich ist. Dazu gehören Bereiche wie Text- oder Spracherkennung, Problemlösung und Entscheidungsfindung. Die Entwicklung von KI erfordert oftmals die Eingabe großer Datenmengen, damit die Systeme besser „lernen“ können.

Was ist maschinelles Lernen bzw. Machine Learning (ML)?

Maschinelles Lernen ist ein Teilbereich der KI und konzentriert sich auf die Entwicklung von Algorithmen und Modellen, die es Computern ermöglichen, aus Daten zu lernen und Prognosen oder Entscheidungen zu treffen, ohne explizit dafür programmiert werden zu müssen. So können Computer aus Beispielen „lernen“ und ihre Leistung im Laufe der Zeit verbessern.

Was sind Large Language Models (LLM)?

Large Language Models (große Sprachmodelle) sind ein brandneuer Durchbruch in der KI-Forschung. Sie sind darauf ausgelegt, menschliche Sprache zu verstehen und zu generieren. ChatGPT von OpenAI und Bard von Google sind Beispiele für öffentlich zugängliche LLMs. Einige Tools, die mit ihnen entwickelt wurden, können für SEO, Marketing und andere geschäftliche Zwecke verwendet werden.

Der Zweck des Trainings eines LLM besteht darin, es ihm zu ermöglichen, die Struktur, Bedeutung und den Kontext der menschlichen Sprache zu verstehen. So kann bei einem einmaligen Gebrauch eine genauere Antwort gegeben werden, wenn Personen eine Anfrage haben.

LLMs werden anhand großer Textmengen aus Büchern, Artikeln, Websites und anderen Quellen trainiert. Bisher gab es Datenschutzprobleme bei Inhalten, die ohne die Einwilligung der Ersteller oder Eigentümer genutzt und analysiert wurden. Möglicherweise wurde auf vertrauliche Daten zugegriffen oder sie wurden ohne Einwilligung verwendet.

Was ist KI-Training?

KI-Training bzw. Machine Learning Training ist ein Prozess, bei dem ein KI-System anhand der bereitgestellten Daten lernt, Muster zu erkennen und Prognosen zu erstellen oder Entscheidungen zu treffen. Das Trainieren ist entscheidend für die Entwicklung von KI-Systemen, die bestimmte Aufgaben ausführen, Muster erkennen, genaue Informationen liefern oder fundierte Beurteilungen vornehmen können.

Der Trainingsprozess besteht aus einer Reihe von Schritten. Zu Anfang steht die Beschaffung relevanter Daten und deren Bereitstellung. Danach wird ausgewählt, was das Modell mit den KI-Trainingsdatensätzen tun soll, dann folgen Dateneingabe und Analyse. Schließlich wird daran gearbeitet, die Ergebnisse oder Prognosen mit den tatsächlichen Ergebnissen zu vergleichen oder die Genauigkeit zu verbessern. Und es wird sichergestellt, dass das KI-Modell gut mit allen Datensätzen funktioniert, darunter auch mit den realen Daten, und nicht nur mit den KI-Trainingsdaten. KI-Modelle müssen alle Schritte durchlaufen, bevor sie für eine breitere Verwendung eingesetzt werden können.

Mehrdeutigkeiten bei der Verwendung von KI-Trainingsdatensätzen

Unternehmen könnten Fragen dazu stellen, was die Definition von „Verwendung“ personenbezogener Daten ist. Ab wann handelt es sich nicht mehr um personenbezogene Daten? Um die Daten beispielsweise in ein Format zu bringen, das das Trainingsmodell verwenden kann, muss möglicherweise das ursprüngliche Format geändert werden. Sollte ein Unternehmen außerdem die Einwilligung zur Verwendung von Daten einholen, um KI-Modelle zu trainieren, auch wenn diese nur für Forschungszwecke und nicht für kommerzielle Zwecke bestimmt sind? Womöglich würde außer den Forschern niemand jemals Zugriff darauf haben.

Mit welchen Daten wird KI trainiert?

KI kann mit vielen Arten von Daten trainiert werden. Was die Trainer benötigen, hängt davon ab, was das System tun soll – ob es beispielsweise Fragen beantworten, Entscheidungen treffen, Grafiken oder Texte erstellen soll usw.

Zu den häufigsten Arten von Trainingsdaten für KI gehören:

Bedenken bezüglich der Einwilligung für verschiedene Arten von KI-Trainingsdaten

Auf viele dieser Arten von KI-Trainingsdaten wird in den Datenschutzverordnungen ausdrücklich Bezug genommen. Bei vielen handelt es sich um persönliche Informationen, bei einigen um personenbezogene Daten. Einige dieser Datentypen werden gemäß den Datenschutzgesetzen als sensibel eingestuft, was bedeutet, dass größerer Schaden entstehen könnte, wenn sie ohne Genehmigung abgerufen oder verwendet werden.

Besonders wichtige Beispiele für sensible personenbezogene Daten sind Gesundheitsinformationen, genomische Daten und Finanzdaten. Sensible Daten erfordern gemäß geltenden Datenschutzgesetzen in der Regel eine Einwilligung des Nutzers, um sie verwenden oder verarbeiten zu können. Dagegen erfordern personenbezogene, aber nicht sensible Daten häufig nur dann eine Einwilligung, wenn sie verkauft oder für gezielte Werbung, Profiling usw. verwendet werden.

Es ist auch wichtig zu beachten, dass nicht alle Batches der Trainingsdaten gleich sind. Qualität, Quantität, Vielfalt und Nutzungsberechtigung können sehr unterschiedlich sein. Dies kann erhebliche Auswirkungen auf das „Lernen“ und die Leistung der Systeme haben. Es könnte auch bedeuten, dass eine Einwilligung für die Verwendung bestimmter Datenarten im Trainingsdaten-Batch erforderlich ist, für andere jedoch nicht. Schlecht ausgewogene oder zu wenig vielfältige Daten können auch verzerrte Ergebnisse liefern, manchmal mit anstößigen oder rechtlich prekären Ergebnissen, wenn Systeme etwa diskriminierende Empfehlungen oder eine ungenaue Identifizierung abgeben.

Gemäß vieler Datenschutzgesetze haben betroffene Personen das Recht, ihre Daten von der Organisation korrigieren zu lassen, die sie erfasst hat, wenn sie unvollständig oder unrichtig sind. Doch wie sieht es aus, wenn die Daten korrekt sind, aber dazu verwendet werden, unrichtige Ergebnisse zu liefern? Welche Rechte haben diese Personen dann? Der Einsatz dieser Technologien stellt viele komplexe Fragen an die Gesetzgebung, zu denen auch die Ethik der Automatisierung gehört.

Einwilligung, KI und personenbezogene Daten

Das Forschungsunternehmen Gartner hat vorausgesagt, dass bis Ende 2023 die personenbezogenen Daten von 65 % der Weltbevölkerung durch Datenschutzgesetze geschützt sein werden. Gartner prognostiziert, dass diese Zahl bis 2024 auf 75 % ansteigen wird. Doch die Technologie selbst und die Nachfrage nach den Daten entwickeln sich noch rascher als die Datenschutzgesetze. So können wissenschaftliche Durchbrüche, Marketingkampagnen usw. vorangetrieben werden.

Viele der vorhandenen Daten, auf die Unternehmen zugreifen möchten, werden von Menschen generiert. Deshalb haben sie Rechte in Bezug auf den Datenschutz und den Zugriff auf ihre Daten. Verbraucher haben heutzutage ein zunehmend stärkeres Bewusstsein für den Datenschutz und ihre Rechte im Hinblick auf ihre personenbezogenen Daten. Auch wenn sie nicht unbedingt verstehen, wie KI-Systeme und andere Funktionen im Detail arbeiten.

Da weltweit immer mehr Datenschutzgesetze verabschiedet werden, müssen Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen immer vorsichtiger vorgehen. Potenziell hohe Geldstrafen, wie beispielsweise einige der Strafen, die gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union erhoben werden, zeigen auch, wie wichtig es ist, Datenschutzvorschriften und Verbraucherrechte ernst zu nehmen.

Spielt es eine Rolle, woher KI-Trainingsdaten stammen?

Es gibt immer mehr potenzielle Quellen für Nutzerdaten, insbesondere online, z. B. über soziale Plattformen und Apps. Es kann für Unternehmen auch schwierig sein, ihre Verantwortlichkeiten für den Datenschutz festzulegen, wenn das Unternehmen seinen Hauptsitz zwar an einem bestimmten Ort, aber möglicherweise auf der ganzen Welt Nutzer hat. Dies kann dazu führen, dass ein Unternehmen für die Einhaltung verschiedener Datenschutzgesetze verantwortlich ist. Viele dieser Gesetze sind also extraterritorialer Natur. In diesem Fall ist es in Bezug auf die Rechte von Nutzern und den Schutz ihrer Daten nur wichtig, wo sich die Nutzer befinden, nicht die Unternehmen.

Viele Verbraucher konzentrieren sich nicht allzu sehr darauf, wie viele Daten sie täglich erstellen, wer Zugriff darauf hat und wie sie verwendet werden können. Kinder achten möglicherweise überhaupt nicht darauf oder verstehen die Erstellung oder Verarbeitung von Nutzerdaten nicht, obwohl die meisten Datenschutzgesetze einen zusätzlichen Schutz und eine zusätzliche Einwilligung für den Zugriff auf ihre Daten erfordern. Diese Einwilligung muss in der Regel von einem Elternteil oder Erziehungsberechtigten eingeholt werden, wenn das Kind unter einer bestimmten, gesetzlich festgelegten Altersgrenze liegt.

Einige Datenschutzgesetze beziehen sich nicht auf personenbezogene Daten, die Personen öffentlich verfügbar machen, darunter auch Daten, die auf sozialen Plattformen generiert werden. Möglicherweise stellen Beiträge, Kommentare und Fotos für manche keine große Sorge um den Datenschutz dar. Aber wie sieht es mit privaten Nachrichten oder Chats aus? Diese könnten weit sensiblere Daten enthalten.

Sobald die Daten erfasst worden sind, idealerweise mit Nutzereinwilligung, sollten die betroffenen Personen darüber Bescheid wissen, was mit ihnen geschieht. Es ist bei den meisten Datenschutzgesetzen eine Bedingung, dass der Datenverantwortliche – also, der für die Erfassung und Nutzung der Daten Verantwortliche – die Nutzer darüber informiert, welche Daten zu welchen Zwecken erfasst werden. Ändern sich diese Zwecke, muss der Datenverantwortliche bei vielen Datenschutzgesetzen die Nutzer benachrichtigen und eine neue Einwilligung einholen. Bei KI-Trainings können hierbei genaue Details erforderlich sein und häufige Änderungen vorkommen.

Herausforderungen bei der Einholung von KI-Einwilligungen

Da es sich bei KI-Systemen oft noch um Experimente handelt und die Ergebnisse unvorhersehbar sind, können einige Datenschutzanforderungen sich schwierig gestalten. Unternehmen können Nutzer darüber informieren, wofür sie Daten verwenden möchten. Doch unter Umständen unterscheidet sich dies dann davon, wofür die Daten tatsächlich verwendet werden oder wie sie geändert werden, oder wie die Ergebnisse, die sich aus der Verwendung ergeben, ausfallen.

Obwohl die Nutzer benachrichtigt werden müssen, bevor ein neuer Zweck eingeleitet wird, erfahren die Personen, die die Arbeit durchführen, möglicherweise erst dann von der Änderung, wenn sie umgesetzt ist. Wenn Daten in großen Mengen in Echtzeit analysiert werden, sind herkömmliche Mechanismen zur Einholung der Einwilligung von Nutzern, wie z. B. Cookie-Banner, möglicherweise nicht schnell oder detailliert genug oder anderweitig nicht ausreichend.

Benutzerorientierte KI-Systeme können potenziell manipulativ sein, was dazu führt, dass Nutzer Informationen zur Verfügung stellen, die sie nicht im Voraus bedacht haben. Systeme können auch komplizierte und undurchsichtige Verbindungen zwischen Datenpunkten aufweisen, was die Identifizierung und das Profiling auf einem Niveau ermöglicht, das es bisher noch nicht gegeben hat. So könnten fast alle Daten zu personenbezogenen oder sensiblen Daten werden. Dies wird von aktuellen Einwilligungsanforderungen möglicherweise nicht entsprechend behandelt.

Während manipulative Funktionen im Zusammenhang mit User Interfaces und Nutzererlebnissen – allgemein als Dark Patterns bekannt – zunehmend missbilligt werden und in einigen Fällen Gesetze dagegen geschaffen wurden, konzentrieren sich diese vornehmlich auf Taktiken, die bereits bekannt sind. Ein ansprechendes Design könnte die Entwicklung neuer und raffinierterer Methoden zur Nutzermanipulation ermöglichen.

Zoom-Kontroverse und Nutzereinwilligungen

Die beliebte Videokonferenz-Plattform Zoom hat im März 2023 die Nutzungsbedingungen aktualisiert, was für ein Unternehmen völlig normal ist. Zwei Abschnitte schienen jedoch weitreichende Auswirkungen auf die Berechtigungen von Zoom in Bezug auf Nutzerdaten zu haben, die als „von Diensten generierte Daten“ bezeichnet werden. Dazu gehören Telemetrie, Produktnutzung, Diagnose und ähnliche Daten oder Inhalte, die durch die Verwendung von Zoom generiert werden und die das Unternehmen im Laufe der Nutzung der Plattform erfasst.

Die aktualisierten Nutzungsbedingungen gewährten Zoom alle Rechte an von Diensten generierten Daten, einschließlich der Rechte zum Ändern, Teilen, Verarbeiten, Freigeben, Verwalten und Speichern von Daten, „für jeden Zweck, soweit und in der nach geltendem Recht zulässigen Weise“. Das Recht von Zoom, Nutzerdaten für maschinelles Lernen und künstliche Intelligenz zu verwenden, einschließlich Training, Tuning-Modellen und Algorithmen, wurde ausdrücklich erwähnt.

Zoom könnte also eine Vielzahl von Nutzerdaten aus der Nutzung seiner Plattform erfassen und auf verschiedene Arten verwenden, einschließlich KI-Training, ohne die ausdrückliche Einwilligung der Nutzer einholen oder ihnen die Möglichkeit geben zu müssen, diese zu widerrufen.

Dies kann nach den aktuellen Datenschutzgesetzen in den USA, wo Zoom seinen Hauptsitz hat, gesetzlich zulässig sein – das Land verfügt nicht über ein einheitliches Bundesrecht, sondern nur über eine Reihe von Gesetzen auf Bundesstaatsebene. Dies ist jedoch unter anderem gemäß der DSGVO der EU, die ein „Informieren“ erfordert, nicht gesetzmäßig (Erwägungsgrund 32 DSGVO).

Gemäß der DSGVO muss die Einwilligung zur Gültigkeit auch vor Beginn der Datenerfassung eingeholt werden und erfordert eine klare und verständliche Benachrichtigung der Nutzer. Die Nutzungsbedingungen von Zoom sind etwas kryptisch, ebenso wie die von vielen anderen Unternehmen.

Reaktion von Zoom auf die Kontroverse der Bedingungsänderungen

Die Reaktion auf die Aufdeckung und die öffentliche Berichterstattung dieser Änderung der Nutzungsbedingungen war beträchtlich. Die Unternehmen waren besorgt, dass firmeneigene Informationen aus vertraulichen Sitzungen ohne Einwilligung verwendet werden könnten. Oder dass Zoom ihre kreativen Inhalte besitzt, wie z. B. Interviews für Videos oder Podcasts.

Einige US-Unternehmen, die Zoom für gesundheitsbezogene Zwecke verwenden, waren aufgrund von Bedenken hinsichtlich Datenschutzverletzungen des Health Insurance Portability and Accountability Act (HIPAA) in Panik geraten. Es gab Befürchtungen, dass das Unternehmen beispielsweise die Inhalte der Therapiesitzungen der Menschen besitzen und nutzen könnte. Diese Art von Verwendung der Daten war nicht unbedingt die Absicht des Unternehmens, aber die öffentliche Wahrnehmung ist kraftvoll.

Zoom reagierte auf die Reaktion mit einer weiteren Aktualisierung der Nutzungsbedingungen, um die Datennutzung zu verdeutlichen, und gab an, dass es seine KI-Modelle nicht mit Audio-, Video- oder Chat-Inhalten des Kunden trainieren würde, ohne zuvor die Einwilligung einzuholen.

Außerdem wurde in Absatz 10.2 eine Zeile mit folgendem Inhalt hinzugefügt: „Zoom verwendet keine Ihrer Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhänge oder anderen kommunikationsähnlichen Kundeninhalte (wie Umfrageergebnisse, Whiteboard und Reaktionen), um KI-Modelle von Zoom oder Drittanbietern zu trainieren.“

Einige Nutzer äußerten sich jedoch weiterhin über die anscheinend weitreichenden Berechtigungen, die Zoom durch eine Einwilligung gewährt wurden, und viele sind immer noch nicht genau darüber informiert, was „von Diensten generierte Inhalte“ beinhaltet.

Andere Herausforderungen mit Tech-Unternehmen, Bedingungen und Einwilligung

Nun sollte man jedoch Zoom nicht als einziges Unternehmen herausstellen. Auch andere Unternehmen verwenden KI für Funktionen auf ihren Plattformen. Google verwendet KI, um Transkripte von Google Meet-Anrufen zu erstellen (mit Ergebnissen unterschiedlicher Qualität). Bei der Facebook-Muttergesellschaft Meta stellte sich heraus, dass die Einwilligung für die Nutzung von Nutzerdaten für personalisierte Werbung in ihren Nutzungsbedingungen von 2022 „versteckt“ wurde. Im Januar 2023 wurde es dem Unternehmen untersagt, personenbezogene Daten mit dieser Art von „Einwilligung“ für Werbung zu verwenden, was den meisten Nutzern völlig unbekannt war. Meta hat seither erklärt, dass sie ihr Modell ändern und die Einwilligung zur Werbung in der EU anfragen würden.

Andere Unternehmen haben ähnliche undurchsichtige Taktiken versucht. Bei einigen Unternehmen kam ans Licht, dass sie die „Einwilligung“ oder fragwürdige Berechtigungen in ihren Nutzungsbedingungen versteckten, wohlwissend, dass nur wenige Nutzer diese im Detail lesen. Dies ist bestenfalls eine armselige Methode und im schlimmsten Fall gesetzeswidrig, da viele Gesetze eine Einwilligung erfordern.

Der Bedarf an mehr Klarheit in Bezug auf KI-Training, benutzergenerierte Inhalte auf Plattformen und Einwilligung ist an dieser Stelle offensichtlich und wird mit der Zeit zu einem immer dringlicheren Problem werden.

Wie können Unternehmen Daten mit gültiger Nutzereinwilligung ethisch verwenden?

Unternehmen, die Daten für KI-Training oder andere Verwendungszwecke erwerben, können und sollten sicherstellen, dass die Einwilligung von den Quellen oder Nutzern eingeholt wurde. In einigen Fällen kann es erforderlich sein, Geschäfte mit Partnern oder Lieferanten zu tätigen.

Die Einwilligung wird auch für die Monetarisierungsstrategie immer wichtiger. Zum Beispiel bestehen Premium-Advertiser zunehmend darauf, dass die Einwilligung zur Erfassung von Nutzerdaten nachgewiesen wird, bevor sie mit App-Entwicklern zusammenarbeiten.

Unternehmen, die Nutzerdaten von ihren eigenen Plattformen und Nutzern für KI-Training oder andere Anwendungen erfassen, sind direkt dafür verantwortlich, eine gültige Einwilligung einzuholen und die Datenschutzgesetze einzuhalten. Es gibt eine Reihe von Möglichkeiten, wie Unternehmen Datenschutzkonformität und eine gültige Einwilligung erreichen können.

Transparenz – Datenschutzgesetze verlangen klare, zugängliche Benachrichtigungen, und Unternehmen müssen Nutzern verständliche Informationen darüber zur Verfügung stellen, wie die Nutzerdaten verwendet und verarbeitet werden, einschließlich KI-Training. Wenn sich die Nutzung personenbezogener Daten ändert, müssen Unternehmen ihre Datenschutzhinweise aktualisieren, die Nutzer informieren und unter vielen Datenschutzgesetzen eine neue Einwilligung für die neue Nutzung personenbezogener Daten einholen.

Granulare Einwilligung – Nutzer müssen die Möglichkeit haben, die Erfassung und Verarbeitung ihrer personenbezogenen Daten zu akzeptieren oder abzulehnen. Dies sollten sie jedoch auf detaillierter Ebene tun können: etwa bestimmte Arten von Verarbeitung wie gezielte Werbung oder KI-Training akzeptieren, aber andere, wie den Verkauf von Daten, ablehnen. Dies trägt auch dazu bei, dass Personen informiert werden, was bei den meisten Datenschutzgesetzen eine Voraussetzung dafür ist, dass die Einwilligung gültig ist.

Benutzerfreundliche Mechanismen – Ebenso wie Benachrichtigungen klar und zugänglich sein müssen, muss die Art und Weise, wie Nutzer ihre Einwilligung erteilen oder widerrufen, leicht verständlich und zugänglich sein. Es müssen Informationen verfügbar sein, um die Nutzer über die Datenverarbeitung zu informieren, ebenso wie die Möglichkeit der Einwilligung oder Ablehnung auf detaillierter Ebene. Die Einwilligung abzulehnen, muss genau so einfach sein, wie sie zu akzeptieren ist, und bei vielen Datenschutzgesetzen müssen Nutzer auch die Möglichkeit erhalten, ihre Präferenzen für die Einwilligung einfach zu ändern.

Vertrautheit mit gesetzlichen Vorschriften – In verschiedenen Rechtsordnungen gibt es unterschiedliche Datenschutzgesetze mit unterschiedlichen Anforderungen und Einwilligungsmodellen. Es ist wichtig, dass Unternehmen wissen, welche Gesetze sie einhalten müssen und wie sie dies tun. Es kann wichtig sein, sich mit einem qualifizierten Rechtsberater oder einem Datenschutzexperten, z. B. einem Datenschutzbeauftragten (DSB), zu beraten oder diesen zu beauftragen, was auch von einigen Datenschutzgesetzen vorgeschrieben ist. Eine solche Rolle hilft beim Festlegen von Richtlinien und Prozessen, beim Aktualisieren von Vorgängen und beim Verwalten der Sicherheit für Daten und deren Verarbeitung.

Welche Rechte haben Nutzer von Online-Plattformen in Bezug auf ihre Daten?

Die Rechte der Verbraucher in Bezug auf ihre personenbezogenen Daten hängen von einer Reihe von Faktoren ab. Dazu gehört, wo der Nutzer lebt und welche Datenschutzgesetze gelten, wofür die Plattform dient und welche Daten der Nutzer darauf bereitstellt oder generiert und welchen Nutzungsbedingungen die Plattform unterliegt.

In der Europäischen Union müssen Unternehmen, die personenbezogene Daten erheben und verarbeiten, zuvor die Einwilligung des Nutzers einholen. Dies gilt gleichermaßen für Social-Media-Plattformen, einen Blog, eine behördliche Website oder einen E-Commerce-Shop. Nutzerdaten können erfasst werden, um zu erfahren, wie Nutzer eine Website verwenden, sowie zum Verbessern der Funktionsweise. Oder damit die Dienste erfüllt werden können, wenn Nutzer etwas online kaufen, um Werbung anzuzeigen oder KI-Modelle zu trainieren.

Weltweit haben Plattformen, die für finanzielle Aktivitäten oder das Gesundheitswesen verwendet werden, aufgrund der Art der von ihnen verarbeiteten Informationen, im Rahmen mehrerer Gesetze höhere Anforderungen an den Datenschutz und die Sicherheit.

In einigen Rechtsordnungen ist es immer noch zulässig, ein Cookie-Banner anzuzeigen, in dem darüber informiert wird, dass man in die Erfassung und Verwendung personenbezogener Daten einwilligt, wenn die Website oder der Dienst weiterhin genutzt werden. In der EU und anderen Ländern ist dies jedoch nicht akzeptabel und eine granulare Einwilligung ist erforderlich.

KI und Cookies

Die Verwendung von Cookies im Internet ist zurückgegangen, da es neuere und bessere Technologien gibt, um zu erreichen, was mit Cookies bezweckt wird. Heute und in Zukunft stellt sich die Frage, wie Cookies von der KI verwendet werden und wie KI den Austausch von Cookies beschleunigen kann.

Apple und Mozilla haben Third-Party-Cookies blockiert und Google beabsichtigt, diese vollständig abzulehnen. Neue Tools und Methoden ermöglichen zudem einen besseren Datenschutz und eine bessere Einwilligung und können in hochwertigeren Nutzerdaten resultieren.

Die aktuellen Modelle zur Cookie-Einwilligung reichen möglicherweise nicht aus, um die KI-Nutzung abzudecken, da KI-Systeme große Datenmengen in Echtzeit analysieren können, im Gegensatz zu Tools, die Daten aus aktiven Cookies analysieren. Damit die Einwilligung eingeholt werden kann, bevor Daten erfasst oder verwendet werden, muss der Nutzer schneller und häufiger mit Pop-ups für die Einwilligung überhäuft werden, als dies von Menschen getätigt werden könnte.

KI-Modelle können effektivere Anzeigen oder personalisierte Nutzererlebnisse ermöglichen, ohne sich auf die Erfassung personenbezogener Daten verlassen zu müssen, da sie große Datenmengen sehr schnell analysieren können, um Personen anhand von Verhaltensweisen in Gruppen einzuteilen. Wenn das System keine Nutzerdaten erfassen muss, ist – zumindest für die Datenerfassung – unter Umständen keine Einwilligung erforderlich.

Gesetze und Best Practices würden aber wahrscheinlich weiterhin erfordern, dass Nutzer darüber informiert werden, wie ihr Verhalten getrackt und analysiert werden kann – und mit welcher Art von Analysen –, ob etwa für personalisierte Anzeigen oder die Einkaufserfahrung. Personenbezogene Daten, die nie erfasst worden sind, können aber auch nicht verkauft werden.

Was ist das Gesetz über künstliche Intelligenz bzw. der Artificial Intelligence Act (AIA) der EU?

Das AIA-Gesetz der EU ist ein von der Europäischen Kommission vorgeschlagenes Gesetz über künstliche Intelligenz (KI). Es ist das weltweit erste umfassende Gesetz zur Regulierung von KI. Das Ziel ist es, die positive Nutzung der Technologie zu fördern, um gleichzeitig die negativen Effekte abzumildern und die Rechte festzuschreiben. Ein Ziel besteht auch darin, viele aktuelle und zukünftige Fragen zur KI-Entwicklung zu klären und dieses Gesetz zu einem globalen Standard zu machen, wie es auch bei der DSGVO der Fall ist.

Das Gesetz würde Anwendungen der KI-Technologie einer von mehreren Kategorien zuordnen:

Inakzeptables Risiko – KI mit inakzeptablen Risiken würde vollständig verboten werden, z. B. das Social-Scoring-Tool der chinesischen Regierung.

Hohes Risiko – KI mit potenziellen Risiken, zulässig vorbehaltlich der Einhaltung der KI-Anforderungen und prognostizierter Konformitätsbewertung, z. B. ein Tool, das Bewerber durch das Scannen von Lebensläufen einordnet.

Mittleres Risiko – KI mit spezifischen Transparenzverpflichtungen, zulässig je nach Anforderungen der Informationen, z. B. Bots, die zur Imitation einer Person verwendet werden können.

Minimales oder kein Risiko – KI ohne nennenswerte Risiken, zulässig ohne Einschränkungen.

Einwilligungsbestimmungen im AIA

Der AIA befindet sich derzeit im Entwurfsstadium und kann noch geändert werden, bevor er in Kraft tritt. Derzeit werden die Einwilligung des Nutzers sowie Datenschutz in den Statuten an verschiedenen Ebenen behandelt:

Hohes Risiko – Für die Verwendung von KI-Systemen mit hohem Risiko, z. B. kritische Infrastruktur, Beschäftigung, Gesundheitswesen und Strafverfolgungsbehörden, ist eine ausdrückliche Einwilligung erforderlich.

Transparenz – KI-Anbieter müssen klare Informationen über den beabsichtigten Zweck, die Fähigkeiten und die Einschränkungen der Systeme bereitstellen, um sicherzustellen, dass die Nutzer informiert sind, um Entscheidungen treffen und mögliche Auswirkungen auf ihre Rechte verstehen zu können.

Erklärungsrecht – Nutzer haben das Recht, sinnvolle Erklärungen der Entscheidungen von KI-Systemen zu erhalten.

Recht auf Nutzerkontrolle – Nutzer sollten die Möglichkeit haben, KI-Systeme abzulehnen, zu deaktivieren oder zu deinstallieren, insbesondere wenn grundlegende Rechte oder Interessen involviert sind (bei einigen Datenschutzgesetzen haben Nutzer das „Recht auf Ablehnung von automatisierten Entscheidungen“).

Datenschutz und Privatsphäre – Der AIA betont die Notwendigkeit der Datenminimierung, Zweckbindung und Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bei der Verwendung von KI-Systemen und stimmt mit bestehenden Datenschutzgesetzen wie der DSGVO überein.

Fazit und die Zukunft von KI und Einwilligung

Die KI-Technologie ist die Zukunft und Gegenwart. Ihre Funktionen und potenziellen Anwendungsfälle werden sich weiterhin rasant weiterentwickeln. Dies stellt eine Herausforderung für die Regulierung dar, da die Erstellung und Aktualisierung von Gesetzen in der Regel viel langsamer vor sich geht als die Geschwindigkeit, mit der Technologien sich entwickeln.

Nutzer sollten jedoch nicht mit dem „Ausschluss der Gewährleistung“ konfrontiert werden (vor allem nicht online), wenn es um die neue Nutzung ihrer personenbezogenen Daten und die Herausforderungen in Bezug auf ihre Privatsphäre geht. Regulierungsbehörden müssen Gesetze entwickeln und aktualisieren, die klar und umfassend, aber flexibel genug sind, um heute und in Zukunft interpretierbar und durchsetzbar zu sein.

Unternehmen müssen sich darüber im Klaren sein, welche Datenschutzgesetze sie einhalten müssen, was diese vorschreiben und was das für ihre Geschäftstätigkeit bedeutet. Dies muss regelmäßig überprüft und klar kommuniziert werden, wenn sich die Betriebsabläufe ändern. Wenn versucht wird, Änderungen an den Nutzungsbedingungen vorzunehmen oder die erfassten Daten für neue Zwecke zu verwenden, ohne eine neue Einwilligung der Nutzer einzuholen, kann der Ruf der Marke schlagartig geschädigt werden. In vielen Ländern ist das gesetzeswidrig. Da Verbraucher immer besser über ihre Daten und ihre Privatsphäre Bescheid wissen, müssen Unternehmen auch immer deutlicher darüber informieren, wie sie Daten erfassen und verwenden.

Unternehmen sollten auch Best Practices wie Privacy by Design implementieren, um sicherzustellen, dass sie Menschen – die Quelle ihrer Daten – respektieren und die Gesetze einhalten. Dies trägt auch dazu bei, dass die Einwilligung eingeholt und die Erfassung und Nutzung von Daten auf gesetzliche Zulassungen für alle Vorgänge beschränkt wird, unabhängig davon, ob E-Commerce-Aufträge erfüllt oder neue KI-Modelle trainiert werden.

KI ist schlicht und einfach die jüngste Technologie, die Verbraucher, Unternehmen und Regulierungsbehörden vor neue Herausforderungen stellt. Sie ist nicht die erste und nicht die letzte ihrer Art. Doch die Best Practices für Datenschutzkonformität, für den Aufbau von Vertrauen bei den Nutzern und das erfolgreiche Wachstum von Unternehmen (oder den Erfolg von wissenschaftlicher Arbeit) sind nach wie vor die gleichen und leisten sowohl Unternehmen als auch Verbrauchern gute Dienste.

Mehr erfahren Sie noch heute bei unseren Experten.

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.

MediaShop ist der Marktführer im Direct Response TV (DRTV) Omnichannel-Vertrieb im deutschsprachigen Raum. Das Unternehmen lässt sich von der ganzen Welt inspirieren, um innovative, problemlösende Produkte in den Kategorien Küche und Haushalt, Fitness und Freizeit sowie Beauty und Wellness zu finden, zu entwickeln und zu verkaufen.

MediaShop muss die strengen europäischen Datenschutzgesetze einhalten, und zwar sowohl heute als auch in Zukunft, wenn sich das Unternehmen und die Gesetzeslandschaft weiterentwickeln. MediaShop nutzt die Usercentrics CMP derzeit auf neun Webshop-Domains, weitere sollen folgen.

So wichtig die Einhaltung gesetzlicher Vorschriften auch ist, so wichtig sind heute und auf lange Sicht auch die Kundenbeziehungen und -erfahrungen. Die Wahrung der Datenschutzrechte der Verbraucher, der Nachweis, dass MediaShop die Privatsphäre seiner Kunden respektiert, und der sorgfältige Umgang mit ihren Daten sind ein wichtiger Teil des Aufbaus von Vertrauen in die Marke und die Kundenerfahrung.

Das MediaShop-Team konzentrierte sich bei der Anpassung der CMP auf das Branding und die CI und fand insbesondere die Vorlagen für die Datenverarbeitungsdienste sehr praktisch, da sie so bei der Implementierung Zeit und Ressourcen sparen konnten. Das Team stellte zudem fest, dass die Usercentrics CMP ihre Anforderungen sofort erfüllte und sie fanden, dass die DSGVO-konforme Integration neuer Dienste schnell und einfach war.

Das Unternehmen, das Websites in über 40 Ländern betreibt, schätzt auch die Geolokalisierungsfunktion der CMP, die sicherstellt, dass die Besucher die Informationen zur Datenverarbeitung und zur Einwilligung in ihrer jeweiligen Sprache erhalten und somit gut informiert sind.

Jetzt herunterladen!

ONE ist eine in den USA gegründete Organisation, die heute in 13 Ländern weltweit tätig ist. Ihr Ziel und ihre Kampagne ist das Aufbauen einer sozialen Bewegung, die extreme Armut und vermeidbare Krankheiten innerhalb dieses Jahrzehnts eliminieren soll, damit alle Menschen auf der ganzen Welt ein Leben mit Würde und Chancengleichheit führen können.

Die Organisation ist international tätig und muss daher die Einhaltung einer Vielzahl von Datenschutzgesetzen sicherstellen. Im Juni 2022 entschied sich ONE dafür, die Consent Management Platform (CMP) von Usercentrics zu nutzen, die derzeit auf fast einem Dutzend Websites eingesetzt wird. Die Unterstützung mehrerer Domains und Subdomains war dabei von entscheidender Bedeutung, ebenso wie die Übersetzungen für ihre zahlreichen Märkte. Das Team von ONE weiß außerdem das Cross-Device Consent Sharing-Feature sehr zu schätzen.

Das Onboarding der CMP verlief sehr schnell für ONE, und auch das Branding wurde problemlos angepasst. Dadurch kann das Hinzufügen weiterer Websites in Zukunft besonders effizient gestaltet werden. Die Organisation pflegt ein durchweg positives Arbeitsverhältnis mit dem Customer Success Team von Usercentrics und lobt die schnelle und gründliche Beantwortung von Fragen oder Lösung von Problemen.

Die Organisation hatte zuvor viele Schwierigkeiten und Herausforderungen bei der Wartung von Cookie-Plattformen. Dank der Benutzerfreundlichkeit und Zuverlässigkeit der Usercentrics CMP gehören diese jedoch der Vergangenheit an. ONE konnte die Plattform „einfach einrichten – und schon war alles erledigt“.

Jetzt herunterladen!

Einführung in das DSG

Das Bundesgesetz über den Datenschutz (DSG) wurde in der Schweiz im Herbst 2020 verabschiedet und tritt am 1. September 2023 durch die Datenschutzverordnung (DSV) in Kraft. Ursprünglich sollte es in der zweiten Hälfte des Jahres 2022 in Kraft treten.

Das Bundesgesetz über den Datenschutz (DSG) unterscheidet sich in einigen Punkten von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und anderen europäischen Gesetzen, ist aber weitgehend mit diesen vereinbar. Ein wichtiges Ziel des Gesetzes war es, den Datenfluss mit der EU zu gewährleisten und die wirtschaftlichen Möglichkeiten der Schweizer Unternehmen zu erhalten. Das DSG gibt den Schweizer Bürgern neue Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten und schafft neue Anforderungen für Unternehmen, die Zugang zu diesen Daten haben wollen.

Was ist das DSG?

Geltungsbereich des Schweizer DSG

Die Schweizer Verfassung gewährt den Bürgern ein Recht auf Privatsphäre, und die Schweizer Datenschutzgesetze haben ihre Grundlage in diesem zivilrechtlichen Schutz. Das revidierte DSG ist eine vollständige Überarbeitung des älteren Schweizer Datenschutzgesetzes aus dem Jahr 1992, wobei 2009 und 2019 kleinere Aktualisierungen vorgenommen wurden. Der Geltungsbereich des revidierten Datenschutzgesetzes ist in Art. 2 festgehalten.

Neues DSG Schweiz

Das Schweizer Datenschutzgesetz ist technisch gesehen das neue DSG (rDSG oder revidiertes DSG), da es das vorherige Gesetz von 1992 ersetzt.
Die Technologie hat sich seit den 1990er Jahren stark verändert und ist sowohl allgegenwärtiger als auch anspruchsvoller in Bezug auf Nutzerdaten geworden. Smartphones, Social-Networking-Plattformen, Cloud-basierte Computersysteme und vieles mehr haben sich ausgebreitet, sodass eine Aktualisierung des Gesetzes zum besseren Schutz des Datenschutzes fällig war.

Das revidierte DSG führt das Konzept der Profilerstellung ein, d. h. der automatisierten Verarbeitung personenbezogener Daten (Art. 5 lit. f), was ein gutes Beispiel für ein neues, technologiegetriebenes Anliegen ist, mit dem sich das Gesetz befassen muss.

Extraterritorialität und grenzüberschreitende Übermittlung von Daten gemäß dem Schweizer DSG

Das DSG ist extraterritorial, gilt also für Organisationen außerhalb der Schweiz, wenn sie Daten von Schweizer Bürgern verarbeiten. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat oder seine Website gehostet wird. Zudem gilt das Gesetz sowohl für den öffentlichen als auch für den privaten Sektor.

Das DSG soll den kontinuierlichen und sicheren Datenverkehr zwischen der Schweiz und der EU und dem EWR gewährleisten, obwohl die Schweiz weder Mitglied der EU noch des EWR ist. Es verbietet die Übermittlung personenbezogener Daten aus der Schweiz in Länder, mit denen keine Angemessenheitsvereinbarung besteht, d. h. in Länder, die kein angemessenes Datenschutzniveau gewährleisten (Art. 16). Solche Übermittlungen sind jedoch weiterhin möglich, wenn die betroffenen Personen ihre Einwilligung dazu gegeben haben (Art. 17).

Definitionen und betroffene Parteien gemäß dem Schweizer DSG

Das DSG gilt sowohl für physische als auch für elektronische Daten/Dateien. Es schützt die Rechte der Schweizer Bürger auf Datenschutz und vor einer Datenschutzverletzung durch einen übermäßigen Zugriff auf ihre personenbezogenen Daten oder deren Verwendung.

Gemäß dem DSG (Art. 5) wird „Verarbeitung” definiert als: „jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten”.

Das DSG spricht auch von „Verantwortlichen” und definiert den Begriff als: „private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet”. Der für die Verarbeitung „Verantwortliche” ist derjenige, der die Daten sammelt und verarbeitet, der die Sammlung und Verarbeitung der Daten leitet und der für den korrekten und datenschutzkonformen Umgang mit den Daten verantwortlich ist.

Die Verarbeitung personenbezogener Daten kann durch Dritte (nicht durch den Verantwortlichen) erfolgen, wenn dies entweder gesetzlich erlaubt ist oder vertraglich vereinbart wurde und wenn (Art. 9):

  1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
  2. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Darüber hinaus können Dritte die gleiche Rechtfertigung (Rechtsgrundlage) für die Datenverarbeitung geltend machen wie der Auftraggeber.

Privacy by Design gemäß dem Schweizer DSG

Mit dem DSG werden die Grundsätze „Privacy by Design” und „Privacy by Default” in das Gesetz aufgenommen. Dies verpflichtet die Unternehmen, die Grundsätze der Datenverarbeitung bereits bei der Planung und Gestaltung von Apps zu berücksichtigen und nicht erst im Nachhinein zu versuchen, Daten zu sichern und zu schützen. Sie dürfen auch keine Standardeinstellungen, z. B. von Web-Technologien verwenden, um die Einwilligung der Betroffenen zu mehr Datenverarbeitung als unbedingt erforderlich einzuholen.

Allgemeine Datenschutzbestimmungen im revidierten DSG

Das DSG legt mehrere Grundsätze für die Datenbearbeitung fest (Art. 4):

  1. Personendaten dürfen nur rechtmäßig verarbeitet werden
  2. Die Verarbeitung muss nach Treu und Glauben erfolgen und verhältnismäßig sein
  3. Die Verarbeitung darf nur zu dem bei der Erhebung angegebenen Zweck erfolgen, der sich aus den Umständen ergibt oder gesetzlich vorgesehen ist
  4. Die Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, muss für die betroffene Person erkennbar sein
  5. Die Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden
  6. Ist für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie freiwillig und nach angemessener Unterrichtung erteilt wird
  7. Im Falle der Verarbeitung von sensiblen Personendaten oder von Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erteilt werden

Wie definiert das Schweizer DSG Personendaten?

In Übereinstimmung mit vielen anderen Datenschutzgesetzen definiert das Schweizer DSG personenbezogene Daten oder Informationen („Personendaten”) als „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen”. Dazu können offensichtlich identifizierende Informationen wie ein Name oder eine E-Mail-Adresse gehören, aber auch Informationen wie die IP-Adresse, zumal sie in Kombination mit anderen personenbezogenen Daten identifizierend wirken kann.

Wie definiert das Schweizer DSG sensible Personendaten?

Das DSG definiert sensible Personendaten (Art. 5 lit. c) wie folgt:

  1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  2. Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
  3. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
  4. Daten über Maßnahmen der sozialen Hilfe
  5. Genetische Daten,
  6. Biometrische Daten, die eine natürliche Person eindeutig identifizieren

Die letzten beiden aufgelisteten Arten sensibler personenbezogener Daten wurden in das revidierte DSG aufgenommen; die vorangegangenen vier Arten waren bereits im alten Gesetz enthalten.

Die Nutzer müssen um eine ausdrückliche Bestätigung gebeten werden, dass sie über den Zugang zu ihren sensiblen Personendaten und deren Verwendung informiert wurden und damit einverstanden sind, z. B. durch Anklicken einer Checkbox.

Das Schweizer DSG, Rechtsgrundlagen und Einwilligung

Das DSG ist nicht die DSGVO der Schweiz, und daher gibt es einige Unterschiede hinsichtlich der rechtlichen Anforderungen für die Verarbeitung von Daten, einschließlich der Einwilligung. Wie die meisten Datenschutzgesetze auf der ganzen Welt verlangt das Schweizer Datenschutzgesetz jedoch eine Benachrichtigung der betroffenen Personen.

Rechtsgrundlage oder Rechtfertigung gemäß dem Schweizer DSG

Die DSGVO beruht auf dem Grundsatz der „Rechtmäßigkeit der Verarbeitung”, der für die meisten Verarbeitungen personenbezogener Daten eine Rechtsgrundlage oder Rechtfertigung verlangt. Die Einwilligung ist eine dieser Rechtsgrundlagen.

Das DSG funktioniert insofern etwas anders, als dass Einzelpersonen (natürliche Personen), Organisationen (nicht kommerzielle Einrichtungen) und Unternehmen (kommerzielle Einrichtungen) personenbezogene Daten im Allgemeinen ohne eine spezifische Rechtsgrundlage verarbeiten dürfen, sofern die Verarbeitung nicht bestimmte Kriterien erfüllt. Eine Einwilligung ist erforderlich für:

Auch wenn für die Verarbeitung keine Einwilligung erforderlich ist, müssen die betroffenen Personen nach dem DSG informiert werden. Wenn eine Rechtsgrundlage erforderlich ist, muss der Verantwortliche mitteilen, um welche es sich handelt. In all diesen Szenarien ermöglicht eine Consent Management-Lösung die Einhaltung der Vorschriften, indem sie die erforderliche Benachrichtigung bereitstellt und eine gültige Einwilligung einholt.

Eine Einwilligung kann beispielsweise erforderlich sein, wenn der Verantwortliche eine Rechtfertigung für die Weitergabe sensibler personenbezogener Daten oder von „Persönlichkeitsprofilen” an Dritte (nur an andere für die Verarbeitung Verantwortliche) sucht, oder wenn er die Daten für zusätzliche Zwecke oder für einen längeren Zeitraum als angegeben verarbeiten will (Art. 6).

Privatpersonen können Dritte beauftragen, Daten in ihrem Namen zu verarbeiten, sofern keine Geheimhaltungspflichten verletzt werden. Jede Rechtsgrundlage/Rechtfertigung, die der Verantwortliche geltend macht, kann von diesen Dritten genutzt werden (Art. 9).

Neben der Einwilligung gibt es weitere legitime Rechtfertigungsgründe für Datenübermittlungen in Drittländer:

Das DSG ist ein Gesetz, das ein „Opt-In-Verfahren” nutzt, d. h. wenn eine Rechtsgrundlage erforderlich ist, müssen Organisationen die gültige Einwilligung der Nutzer vor oder zum Zeitpunkt der Datenerhebung einholen. Die betroffenen Personen müssen vor oder zum Zeitpunkt der Datenerhebung benachrichtigt werden, unabhängig davon, ob eine Rechtsgrundlage erforderlich ist.

Bedingungen für eine gültige Einwilligung gemäß dem Schweizer DSG

Wie bei der DSGVO muss auch in der Schweiz die Einwilligung der Nutzer freiwillig und unter vorheriger Bereitstellung von Informationen zur Verarbeitung ihrer Daten (also informiert) eingeholt werden. Dies gilt unter anderem für die Verwendung von Cookies und anderen Tracking-Technologien auf Websites, die Schweizer Bürger besuchen könnten, wenn die Datenerhebung und -verarbeitung die Voraussetzungen für eine Einwilligung nach dem DSG erfüllt (sensible personenbezogene Daten, Profilerstellung durch eine Bundesbehörde usw.)

Organisationen müssen die folgenden Informationen klar kommunizieren, z. B. in der Datenschutzerklärung auf der Website (Art. 8, Art. 18a), ob eine Rechtsgrundlage erforderlich ist oder nicht. Diese Kriterien sind jedoch auch für die Gültigkeit der Einwilligung erforderlich:

DSGVO vs. revidiertes DSG

Die DSGVO und das DSG weisen eine Reihe von Gemeinsamkeiten auf, die für Datenschutzgesetze typisch sind, aber es gibt auch wichtige Unterschiede.

Anforderung DSGVO EU nDSG Schweiz
Strafen Weniger schwere Verstöße: 2% des weltweiten Jahresumsatzes oder 10 Millionen Euro.

Schwerwiegende Verstöße: 4% des weltweiten Jahresumsatzes oder 20 Mio. EUR.

 Bis zu 250.000 CHF gegen verantwortliche Personen oder bis zu 50.000 CHF gegen das jeweilige Unternehmen, wenn es zu schwierig ist, eine verantwortliche Person zu bestimmen.
Informations­pflichten Mindestinhalt der Datenschutz­erklärungen ist in Art. 13 DSGVO angegeben. Weniger geforderte Inhalte in Datenschutz­erklärungen. Alle Länder, in die personenbezogene Daten übermittelt werden, müssen jedoch angegeben werden.
Aufzeichnungen über Verarbeitungs-

tätigkeiten

 Art. 30 DSGVO enthält alle Informationen, die in den Aufzeichnungen angegeben werden müssen. Muss eine Liste der Exportländer enthalten.
Datenschutz-

Folgen­abschätzungen

 Konsultation der Aufsichtsbehörde in Fällen, in denen trotz der getroffenen Maßnahmen ein hohes Risiko besteht. Der DSB kann anstelle des EDÖB konsultiert werden, wenn trotz der getroffenen Maßnahmen ein hohes Risiko besteht.
Datenexport Die Europäische Kommission stellt die Angemessenheit fest.

Standardvertrags­klauseln, verbindliche Unternehmensregeln.

 Der Schweizer Bundesrat stellt die Angemessenheit fest.

Es können EU-Standardvertrags­klauseln oder andere verbindliche Unternehmensregeln angewendet werden.
Meldung von Datenschutz-

verletzungen

 Obligatorisch. Muss innerhalb von 72 Stunden erfolgen. Obligatorisch. Muss so bald wie möglich erfolgen.
Datenschutz-

Beauftragter (DSB)

 Obligatorisch. Empfohlen.

Welche Unternehmen sind vom Schweizer DSG betroffen?

Das DSG gilt für Privatpersonen oder Bundesbehörden, die für die Verarbeitung von Personendaten von Personen in der Schweiz verantwortlich sind, auch wenn sie Drittanbieter für die Datensammlung und -verarbeitung einsetzen, z. B. für Analytics-Zwecke, Werbung usw.

Einfluss der DSGVO und der ePrivacy-Richtlinie in der Schweiz

Wenn sie die Daten von Nutzern außerhalb der Schweiz, in der EU, verarbeiten, was ziemlich häufig der Fall ist, müssen Unternehmen bei der Verarbeitung und dem Schutz personenbezogener Daten auch die Anforderungen der umfassenderen europäischen Gesetze wie der DSGVO und der ePrivacy-Richtlinie (ePR) berücksichtigen. Die ePR ist vor allem bei der Nutzung elektronischer Kommunikation relevant. Die Verantwortlichkeiten der Unternehmen im Rahmen dieser Verordnungen sind denen des DSG recht ähnlich, auch wenn sie in einigen Punkten strenger sind (z. B. muss unter mehr Umständen eine Einwilligung eingeholt werden).

Was sind die Pflichten von Unternehmen im Zusammenhang mit Schweizer Datenschutzgesetzen?

Bei seinem Inkrafttreten im September 2023 sieht das DSG keine Schonfrist für Unternehmen vor, bevor die Durchsetzung beginnt. Die Einhaltung ist vom ersten Tag an erforderlich. Doch Unternehmen, die bereits DSGVO-konform sind, müssen nur wenige bis gar keine Anpassungen an ihren Richtlinien oder Abläufen vornehmen, um das DSG zu erfüllen.

Unternehmen müssen die betroffenen Personen über jede Erhebung personenbezogener Daten informieren, auch wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden. Außerdem müssen sie ein Verzeichnis der Verarbeitungsaktivitäten führen. Für KMU (Unternehmen mit bis zu 250 Mitarbeitern), deren Datenverarbeitungsaktivitäten ein geringes oder begrenztes Risiko für die betroffenen Personen darstellen, kann es jedoch Ausnahmen von dieser Anforderung geben.

Sowohl Erst- als auch Drittverantwortliche tragen Verantwortung, wenn sie die Kontrolle über den Datenbestand haben, z. B. das Unternehmen, auf dessen Website Daten gesammelt werden, und ein Drittanbieter, der die Daten verwendet. Ist ein Dritter beteiligt, so ist er zur Auskunft verpflichtet, wenn er die Identität des Verantwortlichen (Erstpartei) nicht preisgibt oder wenn der Verantwortliche nicht in der Schweiz ansässig ist.

Ernannte Vertreter und Datenschutzbeauftragte gemäß dem Schweizer DSG

Unternehmen mit Sitz außerhalb der Schweiz müssen in folgenden Fällen einen Vertreter in der Schweiz ernennen, wenn sie regelmäßig größere Datenmengen in der Schweiz/von Schweizer Bürgern verarbeiten:

Für Schweizer Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, kann immer ein Datenschutzbeauftragter bestellt werden (unabhängig vom Risikoniveau für die betroffenen Personen). Unternehmen, die das DSG einhalten müssen und noch keinen Datenschutzbeauftragten haben (aber auch nicht durch die DSGVO oder andere Gesetze dazu verpflichtet sind), können dies freiwillig tun. Eine solche Position bietet eine zentrale Anlaufstelle für Kunden, Mitarbeiter und Datenschutzbehörden.

Verantwortung für die Gewährleistung der Richtigkeit und Vollständigkeit gemäß dem Schweizer DSG

Jede Organisation, die personenbezogene Daten verarbeitet, ist für die Richtigkeit der Daten verantwortlich (Art. 6) und muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass unrichtige oder unvollständige Daten im Rahmen des Erhebungszwecks entweder berichtigt oder vernichtet werden.

Verantwortung für die Gewährleistung eines angemessenen Sicherheitsniveaus gemäß dem revidierten DSG

Der Verantwortliche muss die Daten durch angemessene technische und organisatorische Maßnahmen vor unberechtigtem Zugriff oder unberechtigter Verarbeitung schützen (Art. 7). Detaillierte Bestimmungen über Mindeststandards für die Datensicherheit werden vom Bundesrat erlassen.

Verantwortung zur Vermeidung von Nachteilen für die betroffenen Personen gemäß dem Schweizer DSG

Es ist ein Grundprinzip des DSG, dass die Erhebung von Personendaten durch Privatpersonen die Privatsphäre und die Persönlichkeit der betroffenen Personen nicht beeinträchtigen darf. Nun können Daten öffentlich zugänglich gemacht werden, wenn ihre Verarbeitung nicht ausdrücklich untersagt ist, doch darf dies nicht schädlich sein, und wie erwähnt, müssen Informationen über die Erhebung und Verwendung der Daten und deren Zweck mitgeteilt werden.

Datenschutz-Folgenabschätzungen gemäß dem Schweizer DSG

Besteht ein hohes Risiko für die Privatsphäre oder die Rechte der betroffenen Personen, muss der Verantwortliche regelmäßig dokumentierte Folgenabschätzungen für seine Datenverarbeitungsaktivitäten durchführen.

Benachrichtigung bei Datenschutzverletzungen gemäß dem Schweizer DSG

Im Falle einer Datenschutzverletzung, einschließlich des versehentlichen oder unrechtmäßigen Verlusts, der Löschung, der Zerstörung, der Veränderung von oder des unbefugten Zugriffs auf Personendaten, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unverzüglich benachrichtigt werden. (Gemäß der DSGVO muss eine unverzügliche Meldung innerhalb von 72 Stunden erfolgen.)

Im Allgemeinen müssen die Verantwortlichen auch die betroffene Person informieren, wenn der EDÖB dies verlangt oder wenn es für die Sicherheit und den Schutz der betroffenen Person erforderlich ist.

Was sind die persönlichen Rechte gemäß dem Schweizer DSG?

Früher galt das DSG sowohl für natürliche als auch für juristische Personen. Das revidierte DSG gilt nur noch für natürliche Personen und Bundesbehörden. Nach Schweizer Recht ist eine juristische Person eine menschliche oder nichtmenschliche Einheit (z. B. ein Unternehmen oder eine andere Organisation), die für bestimmte rechtliche Zwecke wie eine Person behandelt wird. Dazu gehören z. B. der Besitz von Eigentum, der Abschluss von Verträgen sowie das Einklagen oder das Verklagt werden.

Jede betroffene Person kann Auskunft darüber verlangen, ob Daten über sie verarbeitet werden oder wurden, und jede betroffene Person kann Zugang zu diesen Daten verlangen. Die Daten müssen schriftlich (in gedruckter oder fotokopierter Form) und unentgeltlich zur Verfügung gestellt werden. Auf das Recht auf Auskunft kann nicht im Voraus verzichtet werden.

Betroffene Personen haben auch das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Unter bestimmten Umständen können diese Anträge jedoch eingeschränkt, abgelehnt oder aufgeschoben werden (Art. 32).

Wann ist das Schweizer DSG nicht anwendbar?

Das DSG ist nicht anwendbar auf:

  1. Personendaten, die von einer natürlichen Person ausschließlich zum persönlichen Gebrauch verarbeitet und nicht an Außenstehende bekannt gegeben werden
  2. Beratungen in der Bundesversammlung und in parlamentarischen Kommissionen

So können Sie als Organisation das DSG umsetzen

Die Einhaltung gesetzlicher Vorschriften ist nicht etwas, das Unternehmen nur einmal erreichen müssen und dann ignorieren können. Der Datenschutz und die Einhaltung des DSG können wichtige und ständige Aspekte der Geschäftstätigkeit eines Unternehmens sein.

Zu den organisatorischen Best Practices für die Einhaltung des DSG gehören die folgenden, die regelmäßig überprüft und aktualisiert werden sollten:

Führen Sie umfassende Datenverzeichnisse: Unternehmen müssen wissen, welche Daten sie sammeln und speichern, einschließlich spezifischer Kategorisierungen wie der von sensiblen personenbezogenen Daten.

Überprüfen Sie die Anforderungen an die Einhaltung des DSG: Überprüfen Sie periodisch Ihre Unternehmenstätigkeiten und Ihre Datenverarbeitung sowie die Pflichten des DSG und ergreifen Sie die notwendigen Maßnahmen, um die kontinuierliche Einhaltung des Schweizer Datenschutzgesetzes zu gewährleisten.

Legen Sie Ihre Verarbeitungstätigkeiten transparent offen: Legen Sie die Datenverarbeitungsaktivitäten durch formalisierte Richtlinien und Datenschutzhinweise klar offen und stellen Sie sicher, dass Ihre Nutzer über die Datenverarbeitungsaktivitäten und ihre Rechte informiert sind.

Richten Sie ein Verfahren für die Bearbeitung von DSR-Anfragen ein: Einrichtung und Aktualisierung von Verfahren zur benutzerfreundlichen und zeitnahen Bearbeitung von DSR-Anfragen, die den rechtlichen Anforderungen entsprechen, dem Unternehmen Zeit und Ressourcen einsparen und das Vertrauen der Nutzer fördern.

Rationalisieren Sie Ihre Architektur für DSR-Anfragen: Einrichtung und Pflege einer gut strukturierten Architektur für DSR-Anfragen, um eine zeitnahe und effektive Verwaltung und Beantwortung von DSR-Anfragen und die Ausübung der Rechte betroffener Personen zu gewährleisten.

Führen Sie ein robustes System zur Meldung von Datenschutzverletzungen ein: Einführung von Richtlinien und Prozessen, die eine solide Reaktion auf Datenschutzverletzungen gewährleisten, einschließlich der gesetzlich vorgeschriebenen unverzüglichen Benachrichtigung und einer guten Beziehung zu den Nutzern.

Sorgen Sie für Datenschutzkonformität bei grenzüberschreitendem Datenverkehr: Katalogisieren Sie die Prozesse und machen Sie sich mit den grenzüberschreitenden Anforderungen vertraut, wenn der Betrieb internationale Datenströme umfasst.

Etablieren Sie effizientes Reporting über alle aufgezeichneten Verarbeitungstätigkeiten: Legen Sie Verfahren fest, die sicherstellen, dass Ihre Berichte über alle aufgezeichneten Verarbeitungstätigkeiten effizient gescannt, getrackt und erstellt werden.

Verstärken Sie Ihre organisatorischen Sicherheitsmaßnahmen: Schützen Sie Ihre Verarbeitungstätigkeiten durch die Einführung autonomer und robuster Sicherheitsmaßnahmen in der gesamten Organisation.

Führen Sie Datenschutz-Folgenabschätzungen durch: Führen Sie Datenschutz-Folgenabschätzungen durch, wie sie im Rahmen des DSG gesetzlich vorgeschrieben sind, um potenzielle Risiken im Zusammenhang mit Datenverarbeitungsaktivitäten zu ermitteln und zu mindern.

Was sind die Strafen bei Nichteinhaltung des Schweizer DSG?

Der EDÖB kann von sich aus oder auf Meldung hin eine Untersuchung gegen ein Unternehmen einleiten. Wird eine Datenschutzverletzung festgestellt, kann der EDÖB weitreichende Maßnahmen anordnen, darunter die Anpassung oder Einstellung der Datenverarbeitung oder die Löschung von Daten.

Die Nichteinhaltung des DSG und dessen Pflichten, einschließlich der Verletzung von Auskunfts- oder Sorgfaltspflichten, kann für den Verantwortlichen eine Geldstrafe von bis zu 250.000 Schweizer Franken zur Folge haben. Zu beachten ist, dass gemäß dem DSG eine Geldstrafe an Privatpersonen verhängt werden kann, während die DSGVO keine Geldstrafen für natürliche Personen vorsieht, sondern den Schwerpunkt der Geldstrafen auf Unternehmen legt.

Bei Verstößen im Rahmen der Geschäftstätigkeit kann das Unternehmen mit einer Geldstrafe von bis zu 50.000 Schweizer Franken belegt werden, wenn ein unverhältnismäßiger Aufwand nötig wäre, um die fehlbare Person innerhalb der Organisation zu identifizieren.

Wer sorgt für die Durchsetzung des DSG?

Der EDÖB ist für das Monitoring der DSG-Konformität zuständig und verfügt über weitreichende Ermittlungsbefugnisse (Art. 4). Die Stelle ist auch für die Beratung, die Aufklärung und die Gewährleistung des Schutzes von Personendaten in der Schweiz zuständig. Der EDÖB wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) für eine Amtszeit von vier Jahren ernannt und von der Bundesversammlung zugelassen.

Die Schweiz und der Privacy Shield

Der EU-US Privacy Shield wurde im Juli 2020 gekippt. Nach einer Evaluation durch den EDÖB wurde auch der Swiss-US Privacy Shield aufgrund des ungenügenden Datenschutzniveaus der USA als unzureichend erklärt. Der Transfermechanismus wurde am 8. September 2020 für internationale Datenübermittlungen außer Kraft gesetzt.

Die EU und die USA haben am 10. Juli 2023 eine neue Angemessenheitsvereinbarung, das EU-U.S. Data Privacy Framework, in Kraft gesetzt. Darüber hinaus trat das Swiss-U.S. Data Privacy Framework am 17. Juli 2023 in Kraft. Unternehmen können ab diesem Datum mit dem Selbstzertifizierungsprozess beginnen. US-Unternehmen, die sich nach diesem Framework selbst zertifizieren, müssen das Swiss-U.S Data Privacy Framework einhalten, das eine Aktualisierung der Datenschutzerklärungen bis zum 17. Oktober 2023 vorschreibt.

Warum ist es so wichtig, das neue DSG einzuhalten?

Die Nichteinhaltung des DSG kann nicht nur Bußgelder nach sich ziehen, sondern auch den Ruf eines Unternehmens schädigen und dazu führen, dass Nutzer ihr Vertrauen verlieren. DSG-Konformität und eine klare, transparente Kommunikation mit den Kunden schafft Vertrauen und zeugt von Respekt und Engagement für den Schutz personenbezogener Daten und des Rechts auf Privatsphäre.

Die Implementierung von Compliance-Prozessen und -Mechanismen trägt dazu bei, eine verantwortungsvolle und sichere Erfassung, Speicherung und Verwendung personenbezogener Daten zu gewährleisten, und ermöglicht es den Verbrauchern, den Zugang zu diesen Daten und deren Verwendung zu kontrollieren.

Die Einhaltung von mindestens einem Datenschutzgesetz wie dem DSG trägt dazu bei, dass eine Menge Arbeit bereits erledigt ist, falls ein Unternehmen in Zukunft weitere Gesetze einhalten muss, was angesichts der weltweiten Ausweitung der Datenschutzvorschriften immer wahrscheinlicher wird.

DSG-Konformität ermöglicht es Schweizer Unternehmen auch, wettbewerbsfähig zu bleiben, da sie nachweisen können, dass sie die Anforderungen an den Datenschutz erfüllen, was den grenzüberschreitenden Datentransfer und andere Funktionen der Geschäftstätigkeit, insbesondere in der EU, ermöglicht.

Es ist zwar nicht immer erforderlich, die Einwilligung der Schweizer Nutzer vor der Erhebung und Verarbeitung ihrer personenbezogenen Daten einzuholen (obwohl es andere Rechtsgrundlagen nach Art. 6 und 17 gibt), aber es ist immer notwendig, sie über den Verantwortlichen und die Verarbeitung zu informieren. Eine Consent Management Platform (CMP) ist ein wertvolles und hilfreiches Tool, um dies zu gewährleisten.

In Fällen, in denen eine Einwilligung erforderlich ist, z. B. bei der Verarbeitung sensibler personenbezogener Daten oder wenn die Daten in ein Drittland übermittelt werden, in dem kein angemessener Datenschutz besteht, ermöglicht eine CMP die Erfassung und Speicherung gültiger Einwilligungen sowie die Bereitstellung der erforderlichen Benachrichtigung an den Nutzer. Für Websites und Online-Shops, die sowohl Besucher und Kunden aus der EU als auch aus der Schweiz haben, ist ein Consent-Banner sowohl für die Benachrichtigung als auch für die Einwilligung erforderlich.

Die Usercentrics Consent Management Platform (CMP) kann ganz einfach und schnell eingerichtet werden, sodass datenschutzkonforme Einwilligungen von Schweizer Kunden eingeholt werden können. Es können mehrere Konfigurationen mit Geolokalisierung erstellt und verwaltet werden, um DSG- und DSGVO-Konformität sowie die Einhaltung anderer Vorschriften zu gewährleisten.

Holen Sie sich noch heute unsere DSG-Checkliste und erfahren Sie alles, was Sie wissen müssen, um datenschutzkonform zu werden.

Fazit und nächste Schritte des DSG

Das Bundesgesetz über den Datenschutz (DSG) bringt eine dringend benötigte Modernisierung des Schweizer Datenschutzrechts. Dadurch positioniert sich das Land in der technologie- und datengesteuerten Zukunft als engagiert und wettbewerbsfähig. Da die Bestimmungen des DSG nicht ganz mit der DSGVO oder anderen Verordnungen übereinstimmen, ist es wichtig zu verstehen, was das DSG vorschreibt und erlaubt, und eine gute Rechtsberatung über Ihre spezifischen Verpflichtungen zur Einhaltung des DSG einzuholen. (Usercentrics bietet keine Rechtsberatung an, und Informationen werden nur zu Bildungszwecken bereitgestellt).

Im Rahmen des DSG bleiben Transparenz und Aufklärung der Nutzer von entscheidender Bedeutung, unabhängig davon, ob ihre Einwilligung zur Datenverarbeitung erforderlich ist oder nicht. Wenn jedoch eine Einwilligung erforderlich ist, muss sie, wie bei der DSGVO, granular, informiert, ausdrücklich und freiwillig eingeholt werden. Zudem müssen die Nutzer die Möglichkeit haben, die Einwilligung abzulehnen oder ihre Präferenzen zu ändern. Eine effektive Consent Management-Lösung ist dabei unerlässlich, um den Anforderungen gerecht zu werden. Die Google CMP von Usercentrics erfüllt diese Anforderungen und bietet zudem Benutzerfreundlichkeit und Flexibilität, um die Einhaltung der für Ihr Unternehmen relevanten Datenschutzvorschriften zu ermöglichen – und das alles über ein benutzerfreundliches Interface. Verlassen Sie sich auf unsere hochmoderne Technologie und unser juristisches Fachwissen, um die Einhaltung der Vorschriften zu gewährleisten und gleichzeitig Ihr Geschäft auszubauen.

Haben Sie noch Fragen dazu, was genau Sie tun müssen, um DSG-Konformität zu gewährleisten oder wie Sie sicherstellen können, dass Ihr Unternehmen seiner Verantwortung gegenüber den Nutzern und den verschiedenen Vorschriften gerecht wird? Führen Sie ein kostenloses Datenschutz-Audit durch, um festzustellen, wie gut Ihre Website die Anforderungen an den Datenschutz erfüllt.

Haben Sie spezielle Fragen zu den Datenschutzvorschriften oder zu den Verantwortlichkeiten Ihres Unternehmens? Wir sind für Sie da. Sprechen Sie noch heute mit einem unserer Experten.

Das in den Vereinigten Staaten ansässige Familienunternehmen Gilson Inc. ist seit über 75 Jahren im Geschäft. Das Unternehmen ist auf wissenschaftliche Instrumente und Verbrauchsmaterialien spezialisiert und beliefert sowohl die Wirtschaft als auch die Wissenschaft, wovon Forscher auf der ganzen Welt profitieren.

Gilson muss die Einhaltung der Datenschutzgesetze in allen Märkten, in denen das Unternehmen tätig ist, sicherstellen und arbeitet daher seit 2020 mit Usercentrics für alle seine Online-Schaufenster zusammen. Das Team von Gilson bezeichnet die Usercentrics CMP als ein „sicheres Paar Hände“ für die Verwaltung von Einwilligungen zu Cookies und Trackern auf ihren Websites.

Das Unternehmen schätzt sowohl die Einfachheit der CMP-Einrichtung als auch den Grad der Kontrolle über die verfügbaren Felder. Präzision ist in ihrer Branche von zentraler Bedeutung. Das detaillierte Reporting von Usercentrics ist für das Team ebenso wertvoll, insbesondere im Hinblick auf die Implementierung des Analytics-Tools und die Präsentation klarer Geschäftsinformationen für relevante Stakeholder.

Jetzt herunterladen!

Datenschutz ist in einigen Bereichen sichtbarer als in anderen. Für jemanden, der sich online ein T-Shirt kauft, ist das Thema vielleicht nicht so wichtig. Für ein Finanzdienstleistungsunternehmen gelten jedoch nicht nur strenge Vorschriften, Kunden achten auch stets auf die Sicherheit und Privatsphäre ihrer Aktivitäten und Daten.

Neben der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gibt es in Deutschland weitere landesspezifische Gesetze. Die Bilthouse Group muss stets über diese Vorschriften informiert sein und sie entsprechend einhalten. Deshalb brauchte sie einen Partner, der sich darauf spezialisiert hat.

Intelligente Unternehmen erkennen den langfristigen Wert darin, durch Datenschutz Kundenvertrauen aufzubauen und zu stärken sowie Anforderungen an die Einwilligung einzuhalten und die Entscheidungen von Kunden zu respektieren. Jannes Krüger, Senior SEA Manager der Bilthouse Group, kommentiert dazu Folgendes: „Das Vertrauen unserer Kunden und der rechtskonforme Umgang mit ihren Daten ist für uns extrem wichtig – besonders, da wir als Finanzberater mit sehr sensiblen Kundendaten arbeiten.”

Bei der Auswahl von Usercentrics schätzte die Bilthouse Group besonders, dass es sich um ein Unternehmen mit Sitz in Deutschland handelt. Damit ist es bereits mit den Besonderheiten und ständigen Änderungen der Datenschutzgesetze vertraut. Ein weiterer Entscheidungsfaktor war die unkomplizierte Nutzung der Consent Management Platform (CMP), die eine schnelle Implementierung und komplette Anpassung der CMP-Banner ermöglicht. Neben der Benutzerfreundlichkeit schätzt die Bilthouse Group außerdem die umfassenden Features der CMP, z. B. die DPS-Datenbank sowie die Möglichkeit der nahtlosen Integration von Anwendungen wie Google Tag Manager.

Das Customer Success Team von Usercentrics steht jederzeit für einen schnellen und kompetenten Support zur Verfügung – sowohl bei Fragen als auch zur Unterstützung beim Hinzufügen weiterer Data Processing Services. Dem Team ist bewusst, wie wichtig es ist, dass Kunden sich auf ihr Kerngeschäft konzentrieren können.

Jetzt herunterladen!

Bestimmt haben Sie sich in letzter Zeit etwas liefern lassen. Und wahrscheinlich handelt es sich dabei um Essen. Vor allem in den letzten Jahren ist die Anzahl der Lebensmittel-Lieferdienste überall auf der Welt in die Höhe geschossen. Es besteht eine sehr hohe Chance, dass Delivery Hero hinter der Lieferung dieser Lebensmittel steckt.

Delivery Hero hat seinen Sitz in Deutschland und ist in über 70 Ländern auf vier Kontinenten tätig. Das Unternehmen greift auf ein Ökosystem von Hunderttausenden von Restaurants zu und beliefert mehr als zwei Milliarden Kunden. Das ist jeder vierte Mensch auf der ganzen Welt – also eine Menge Nudeln.

Das digitale Ökosystem von Delivery Hero ist sehr umfangreich und viele der Web- und App-Plattformen verarbeiten personenbezogene Daten. Das Unternehmen muss Datenschutzvorschriften in zahlreichen Regionen der Welt einhalten, daher sind die Anforderungen an die Einhaltung von Datenschutzvorschriften entsprechend komplex. Die Ziele des Unternehmens sind allerdings völlig klar: „Als großes globales Ökosystem von Lieferfahrern, Restaurants, Geschäften, Partnern und Kunden möchten wir Vertrauen gewinnen und ein sicheres Nutzererlebnis auf unseren Websites und Apps bieten“, erklärt Benedikt Schweinfurth, Group Data Protection Officer bei Delivery Hero.

Die qualitativ hochwertigen Daten, die erfasst werden, sind wertvoll. Aber der wahre Wert für das Unternehmen liegt in der Einwilligung der Nutzer. Delivery Hero verwendet die Usercentrics CMP derzeit auf seinen Web- und App-Plattformen (iOS und Android) in zehn Ländern.

Usercentrics wurde Delivery Hero von einem anderen Kunden empfohlen. Dies ist ein Beweis dafür, dass Usercentrics in der Lage ist, eine umfangreiche Multiplattform-Architektur zu bewältigen. Bei der Implementierung wusste Delivery Hero besonders die Benutzerfreundlichkeit des Admin Interfaces und die komplette Anpassbarkeit der CMP zu schätzen.

Die Zusammenarbeit zwischen Delivery Hero und Usercentrics ist ebenfalls positiv verlaufen. Die Unterstützung reichte dabei von der Beantwortung technischer Fragen bis hin zur gemeinsamen Analyse von KPIs.

Jetzt herunterladen!

Einführung

Datenschutz ist kein Trend mehr, es ist vielmehr die „neue“ Norm. Gartner sagt voraus, dass bis Ende 2024 die Daten und Privatsphäre von 75% der Weltbevölkerung durch moderne Datenschutzverordnungen geschützt sein werden. Vor nur einem Jahr lag diese Schätzung bei 65%.

Allein im Jahr 2023 werden in den USA fünf neue Datenschutzgesetze in Kraft treten. Außerdem haben weltweit mehrere Datenschutzbehörden, einschließlich der Commission Nationale de l’Informatique et des Libertés (CNIL) in Frankreich angekündigt, dass Datenschutzkonformität plattformübergreifend immer häufiger durchgesetzt werden soll.

Die E-Commerce-Branche ist in den letzten Jahren allgegenwärtig geworden und wird gemäß einigen Vorhersagen im Jahr 2023 geschätzt 4,11 Billionen US-Dollar ausmachen. Obwohl es wieder möglich ist, in realen Geschäften einzukaufen, wird die E-Commerce-Branche wahrscheinlich weiterhin stark wachsen. Datenschutz ist in der E-Commerce-Branche genauso wichtig wie bei anderen Websites oder bei Apps und wie alles andere in dieser Branche entwickelt sich auch dieser rasant. Unternehmen müssen wissen, wo sie investieren, welche Daten- und Markenstrategien sie nutzen sollten und wie die Beziehung zu ihren Kunden wachsen und sich verändern sollte.

Die gute Nachricht dabei ist, dass die Einhaltung von Datenschutzvorschriften nicht nur dazu führt, dass Sie sich keine Sorgen mehr über Datenschutzkonformität machen müssen, sondern auch Vertrauen aufbauen, langfristige Geschäftsbeziehungen fördern und Umsatzsteigerungen erreichen können.

Mehr Aufmerksamkeit und Druck für Privatsphäre und Sicherheit im E-Commerce

Cyberangriffe schlagen hohe Wellen und es überrascht nicht, dass die E-Commerce-Branche ein beliebtes Ziel ist. Eine Trustwave-Studie von 2020 ergab, dass die E-Commerce-Branche in diesem Jahr auf dem 2. Platz der am meisten von Cyberangriffen betroffenen Branchen war und dies hat sich fortgesetzt. Ein kürzlicher Cyberangriff auf Indigo, einen kanadischen Anbieter von Büchern, Musik und Heimtextilien, wurde als Ransomeware-Angriff identifiziert und es wurde bestätigt, dass Mitarbeiterdaten betroffen waren. Die Website und E-Commerce-Geschäfte des Unternehmens waren fast eine Woche lang offline und die Kunden wissen immer noch nicht, ob ihre Daten ebenfalls betroffen waren.

Solche Vorfälle verstärken natürlich die Bedenken von Kunden zu den Themen Sicherheit und Privatsphäre, wenn es um Ihre Aktivitäten und Daten im Online-Bereich geht, vor allem beim Einkaufen. Es wird erwartet, dass Regierungen Richtlinien zum Datenschutz und zur Datenverarbeitung erlassen und dass Unternehmen handeln, um Ihre Websites, Apps und E-Commerce-Aktivitäten schützen.

Bereits im Jahr 2018 hat Accenture herausgefunden, dass 48% der Kunden eine Unternehmenswebsite verlassen und einen Artikel woanders gekauft haben, weil sie eine schlechte Erfahrung gemacht haben. Im Jahr 2022 fand PwC heraus, dass 71% der Kunden nicht bei einem Unternehmen kaufen, dem sie nicht vertrauen. Zudem würden 73% das Unternehmen nicht weiterempfehlen. Wenn es ein Unternehmen nicht schafft, das Vertrauen der Kunden aufzubauen und zu pflegen, vor allem durch Respekt für deren Privatsphäre und adäquate Sicherheitsmaßnahmen, kann sich das auf den Ruf der Marke und den Gewinn auswirken.

In Zusammenhang mit den finanziellen Risiken von Regelverstößen, die in manchen Fällen hunderte Millionen Dollar erreicht haben, und möglichem Datenverlust für Werbungs- und Marketing-Maßnahmen wird und sollte der Datenschutz sowohl bei kleinen als auch großen E-Commerce-Unternehmen weiterhin an oberster Stelle stehen.

Verlagerung zu First-Party-Daten und Abwendung von Third-Party-Daten

Eine weitere große Veränderung in der E-Commerce-Branche sind die Art und der Ursprung vieler Daten, auf die sich Unternehmen verlassen. Lange Zeit waren Third-Party-Daten der Standard und Quantität ging oft vor Qualität. Dies hat sich allerdings geändert, vor allem durch die verschärften Datenschutzvorschriften.

Unternehmen erhalten Third-Party-Daten indirekt, also nicht über ihre eigenen Kanäle. Die Daten stammen von Advertisern, Aggregatoren oder aus anderen Quellen und umfassen Datentypen wie demographische Informationen, Kaufsignale, mittels Tracking-Technologie von Drittanbietern erfasste Daten und mehr. Sie können nicht speziell einer Interaktion mit einer bestimmten Organisation zugeordnet werden und müssen in den meisten Fällen mit anderen First- und Third-Party-Daten zusammengelegt werden, um von Nutzen zu sein. Manchmal werden mehrere Datensätze kombiniert und dies wird dann eher für größere Projekte wie die Modellierung oder die Lead-Generierung genutzt. Es ist schwieriger, wenn überhaupt möglich, die Einwilligung der Nutzer in die Erfassung und Verarbeitung von Third-Party-Daten konsequent nachzuweisen.

Als Konsequenz findet in der Branche eine Verlagerung zu First-Party- und Zero-Party-Daten statt. Dies löst Probleme in Bezug auf Datenschutzkonformität, gibt Unternehmen mehr Kontrolle darüber, wie Daten eingeholt, verwendet und mit Dritten, wie beispielsweise Anbietern, geteilt werden und sorgt für eine sehr viel höhere Datenqualität. Zero-Party-Daten kommen beispielsweise direkt von den Kunden und beziehen sich auf die gezeigten Interessen und Präferenzen. Wie diese Daten erfasst werden können, wird in den Anforderungen an eine gültige Einwilligung festgelegt, in Verordnungen wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Weitere Informationen:  Zero-, First- und Third-Party-Daten: Wo liegt der Unterschied?

First-Party-Daten bieten mehr Verbraucherdaten, auf die Unternehmen angewiesen sind. Das sind Daten, die Unternehmen durch die Web-Aktivitäten der Kunden und Besucher über ihre eigenen Kanäle sammeln, zum Beispiel durch Browser-Cookies und andere Tracking-Technologien. Diese Aktivitäten beinhalten E-Commerce-Surfverhalten, Einkäufe und andere Arten der Interaktion mit der Website oder der App. Die Daten, die dadurch gewonnen werden, können IP-Adressen, Suchmuster, Einkaufspräferenzen, die auf der Seite oder Website verbrachte Zeit und vieles mehr enthalten.

E-Commerce-Personalisierung auf dem Vormarsch

Auch die Personalisierung ist ein wichtiger Aspekt dieser Verlagerung der Datenstrategie. 70% der Konsumenten erwarten heute ein personalisiertes Erlebnis zur Stärkung der Markenloyalität und sind frustriert, wenn sie diese nicht vorfinden. Vor allem die Zero-Party-Daten zeigen die persönlichen Präferenzen, schließlich kommen sie direkt vom Kunden. Bei der Umsetzung von Best Practices werden diese Daten zentral in einer Preference Management Platform (PMP) hinterlegt. Dies ermöglicht es, das Erfassen, Speichern und Aktivieren von Daten über alle Tools und Systeme hinweg zu vereinheitlichen, was ihren Wert steigert. In Verbindung mit Consent Management werden die Daten mit den vom Kunden vorgegebenen Einwilligungspräferenzen verwendet.

Konsumenten sind sich des Datenschutzes immer bewusster und ihre Bedenken nehmen ebenfalls zu, gleichzeitig wollen sie aber optimal auf sie zugeschnittene Kundenerfahrungen. Unternehmen müssen dies angehen, indem sie die Erwartungen sogar übertreffen. Auf diese Weise können sie Vertrauen aufbauen und halten und großartige, personalisierte Kundenerfahrungen ermöglichen. Dadurch werden nicht nur die Interaktion und die Kundenbindung gefördert, sondern auch Empfehlungen werden dadurch öfter ausgesprochen. Es ist wichtig, dass Nutzerpräferenzen und -einwilligungen jetzt und in Zukunft Hand in Hand gehen, sodass E-Commerce-Kunden die Kontrolle, Entscheidungsfreiheit und die personalisierten Kundenerfahrungen erhalten, die sie sich wünschen.

Kundendaten über Plattformen hinweg verbinden und erweitern

Im Jahr 2020 haben laut Ergebnissen von McKinsey 76% der Konsumenten Filialen, Marken und Kanäle gewechselt. Grund dafür war die abnehmende Markenloyalität, die durch einen Hype für die E-Commerce-Branche während der Pandemie zu erklären ist. E-Commerce-Unternehmen können Markenloyalität nicht erwarten und sich auch nicht darauf verlassen. Die Personalisierung in Verbindung mit Daten kann allerdings ein bedeutendes Mittel sein, um Markenloyalität und -bindung zu stärken und einen Kundenstamm aufzubauen. Zu diesem Zeitpunkt hatten dies allerdings nur 15% der Einzelhändler über alle Kanäle hinweg umgesetzt, obwohl der Nutzen von Personalisierung bereits nachgewiesen war und obwohl es von fast zwei Drittel der befragten Unternehmen (64%) als Priorität erkannt wurde.

Wenn wir nun ins Jahr 2023 gehen, sehen wir, dass bereits 85% aller Unternehmen Personalisierung nutzen. Dies ist eine sehr sinnvolle Entwicklung, schließlich wird vorhergesagt, dass der weltweite Marktwert Ende dieses Jahres 943 Millionen US-Dollar erreichen soll. Einige wichtige Fragen bleiben: Setzen Unternehmen das Preference Management Schritt für Schritt und mit geringem Informationsaustausch um, oder integrieren sie ihre Aktivitäten vollständig? Wie gut setzen E-Commerce-Unternehmen Zentralisierung, Targeting und Segmentierung um? Welche Qualität haben ihre Daten? Verfügen sie über eine prüffähige Einwilligungshistorie für diese Datennutzung?

Erfahren Sie mehr unter: Warum brauchen Sie eine Preference Management- und Consent Management-Lösung?

Warum die Optimierung von Conversion Rates so wichtig ist

Natürlich wollen E-Commerce-Unternehmen neue Kunden gewinnen, ihre bestehenden behalten und höhere Ausgaben anregen. Mit dem Hintergrund der wirtschaftlichen Unsicherheit nehmen die Ausgaben von Kunden ab, sodass die Kundenkonversion kritischer denn je ist. Unternehmen müssen Perspektiven für die Zukunft schaffen und Kunden mithilfe der Aussicht auf eine tolle Kundenerfahrung zurück ins Boot holen. Das Preference Management ist ein sehr wichtiges Tool für die Kundenbindung und die Förderung höherer Ausgaben.

Es ist wichtig, spezifische Kommunikationspräferenzen von Kunden zu speichern und Besucher und Kunden dann zu kontaktieren, wenn sie es wollen. Kundenspezifische Angebote zu unterbreiten für Dinge, die sie interessieren ist sehr effektiv, wenn der Kunde ohnehin etwas kaufen möchte. Auch das Unterbreiten von besonderen Angeboten zum passenden Zeitpunkt im Kaufvorgang ist hilfreich. Hierdurch können mehr Zero-Party-Daten gewonnen werden und der Abbruch des Kaufvorgangs kann womöglich verhindert werden. Es ist wichtig, respektvoll mit Privatsphäre und Vertrauen in Bezug auf Online-Erfahrungen umzugehen und die von Kunden gemachten Einwilligungsentscheidungen zur Datennutzung zu respektieren.

Diese Vorgänge bauen eine nahtlose Kundenerfahrung auf, helfen dabei, die Conversion Rate zu erhöhen und sie mit aktuellen Datenanalysen weiter zu verbessern. Es gibt keine bessere Strategie zur Verbesserung der Conversion Rate als die Entwicklung eines tiefgreifenden Verständnisses der eigenen Kunden. Nutzen Sie dieses Verständnis, um Ihren Kunden das zu geben, was sie brauchen. Sie fragen sich, wie Sie ein tiefgreifendes Verständnis Ihrer Kunden erreichen können? Am besten legen Sie gesammelte Daten aus allen Kanälen zusammen, um sich einen vollständigen Überblick zu verschaffen. E-Commerce-Unternehmen müssen mit stagnierenden Datenmengen arbeiten, was die richtigen Tools und Systeme umso wichtiger macht.

Bei der Nutzung eines Präferenz-Centers zur Verwaltung von Daten kann kontrolliert werden, wann und wie diese Daten an andere Systeme weitergegeben werden. Genauere Datenanalysen können regelmäßig erfolgen, was für bessere und längerfristige Strategien und Planungsmöglichkeiten sorgt. Auch die Kosten können so besser kontrolliert werden. Die Integration von Consent Management sorgt dann dafür, dass alles in Übereinstimmung mit den Datenschutzvorschriften und Kundenpräferenzen erfolgt. Dadurch werden die Kunden und das Unternehmen geschützt und Vertrauen aufgebaut.

Vertrauen ist die Zukunft des E-Commerce

Ein Bericht von DataGrail von 2022 hat ergeben, dass drei von vier Konsumenten ihren bevorzugten Einzelhändler „verlassen“ würden, wenn sie herausfinden würden, dass ihre Daten bei diesem Einzelhändler nicht sicher sind. Laut dem Bericht legen außerdem die Verbrauchergruppen mit der höchsten Kaufkraft den größten Wert darauf, bei einer vertrauenswürdigen Marke zu kaufen.

Unternehmen, die Sicherheit und Privatsphäre nicht priorisieren, verlieren Umsätze und riskieren Geldstrafen. 8 von 10 Amerikanern sind zwar der Ansicht, dass es ein Datenschutzgesetz auf US-Bundesebene geben sollte, allerdings liegt die größte Verantwortung in Bezug auf den Datenschutz im Moment noch bei den Einzelhändlern.

Zum Glück stellt Datenschutz aber immer mehr auch einen Wettbewerbsvorteil dar. Transparenz ist eine Marketingstrategie, die bei den Kunden sehr gut ankommt, vor allem in Verbindung mit Personalisierung. Viele Konsumenten können dazu gebracht werden, ihre persönlichen Daten zu teilen: Wenn sie sich sicher sein können, dass sie sicher aufbewahrt und genutzt werden, wenn sie lediglich für die Zwecke verwendet werden, denen sie zugestimmt haben und wenn sie dadurch die gewünschten Vorteile erhalten.

Die E-Commerce-Branche ist perfekt dafür geeignet, diese Aspekte zu gewährleisten. Wenn ein Unternehmen also glaubhaft versichern kann, dass man ihm vertrauen kann, werden Kunden viel eher weitere Daten preisgeben und in der Zukunft auch mehr kaufen. Kurz gesagt: Sie können nur gewinnen!

Machen Sie mit und erfahren Sie, wie die Kombination aus Preference und Consent Management Ihre Marketingstrategie zukunftsfähig machen, Kundenvertrauen erhöhen und Umsätze steigern kann.

Werden Sie Teil unserer Beta-Version für Preference Management

Als ein in der EU ansässiges Einzelhandelsunternehmen mit internationalen Kunden hat Shaping New Tomorrow komplexe Anforderungen an die Einhaltung von Datenschutzvorschriften. Das Unternehmen muss die DSGVO- und ePrivacy-Anforderungen erfüllen und möglicherweise weitere Vorschriften einhalten, wenn das Geschäft expandiert. Shaping New Tomorrow benötigt jedoch auch Zugang zu Nutzerdaten, um diese Expansion zu optimieren und voranzutreiben.

Gleichzeitig liegt der Schwerpunkt des Unternehmens auf den Kunden und einer großartigen Kundenerfahrung, und dieser Schwerpunkt erstreckt sich auch auf den Datenschutz und das Consent Management. Shaping New Tomorrow möchte langfristige Beziehungen zu seinen Kunden aufbauen, und der Aufbau von Vertrauen durch die Wahrung ihrer Privatsphäre ist dem Unternehmen sehr wichtig.

Das Team von Shaping New Tomorrow schätzt vor allem die vollständige Anpassungsmöglichkeit der Usercentrics CMP, das schnelle und intuitive Onboarding sowie Features wie die DPS-Datenbank, wodurch das Unternehmen sehr viel Zeit sparen konnte. Wichtig war auch, dass sich die CMP nahtlos in das bestehende Tracking-Setup und in Google Consent Mode integriert, was gar kein Problem war, da Usercentrics zertifizierter Partner für Google Consent Mode ist.

Jetzt herunterladen!

Die Biotest AG ist ein global agierendes Unternehmen, das sich auf innovative Hämatologie, klinische Immunologie und Intensivmedizin spezialisiert hat. Biotest entwickelt, produziert und vertreibt Plasmaproteine und biotherapeutische Arzneimittel und ist es hauptsächlich in der Europäischen Union und in Brasilien tätig.

Als globales Unternehmen muss es die verschiedenen regionalen Datenschutzvorschriften einhalten. Die Einhaltung der DSGVO dient dabei als solide Grundlage für die Einhaltung der höchsten Sicherheitsstandards in anderen Ländern. Biotest arbeitet seit Anfang 2021 mit Usercentrics zusammen und setzt die Web-CMP auf über 40 Websites ein.

Die Transparenz gegenüber Kunden hinsichtlich der Nutzung ihrer Daten sowie die Bereitstellung von klaren Einwilligungsoptionen zur Datenverarbeitung waren wichtige Ziele für das Unternehmen. Biotest legte zudem großen Wert auf die maximale Sicherheit der lokalen Infrastruktur und wollte ein einzelnes System für das Consent Management, das ganz einfach auf allen Websites eingesetzt werden konnte. Auch die Bewältigung komplexer Anforderungen hinsichtlich der Implementierung, wie die vielen Technologien, die im Backend genutzt werden, waren wichtige Anliegen des Unternehmens. Das Team von Biotest fand Tools wie den DPS-Scanner sehr nützlich und schätzt die Benutzerfreundlichkeit bei notwendigen Änderungen im User Interface oder bei rechtlichen Anpassungen.

Jetzt herunterladen!