• Die Plattform für Customer Relations Stars sowie CX & Service Champions

 

Mit Zukunftsbildern gelingt der Sprung nach vorn

Kundenloyalität im Wandel

Das Beste aus beiden KI Welten kombiniert - Generative AI und Conversational AI ergänzen sich

Die Grenzen grosser Sprachmodelle: Wegweisende Technologie ist kein Alleskönner

Swiss Customer Relations Award 2024: Neue Projekte, neue Chancen

Es gibt ethisch gute und schlechte KI

Die Zukunft von Chatbots unter dem neuen EU KI-Gesetz

Unter einem Hut: Mehr Kundenzufriedenheit, Produktexzellenz und Effizienz mit GenAI​

Editor's Pick

Drei Anwendungsbereiche_Mit KI die Customer Experience optimieren_Sprinklr_cmm360_Bild_Sprinklr

Mit KI die Customer Experience optimieren

cmm360 - 2. April 2024

Datenschutz in der CX: Deutsche Führungskräfte global am besten aufgestellt_Zendesk_cmm360_<a href="https://de.freepik.com/fotos-kostenlos/hand-haelt-cloud-system-mit-datenschutz_17121563.htm#fromView=search&page=1&position=0&uuid=82946715-561d-4823-9aff-787e185b5e4b">Bild von rawpixel.com</a> auf Freepik

Datenschutz in der CX

cmm360 - 21. März 2024

Podcast über analytische KI & smarte Entscheidungen_Jan Schoenmakers_cmm360_ICT Talk

Podcast über analytische KI & smarte Entscheidungen

Meike Tarabori - Chefredaktion - 19. März 2024

Management

Datenbearbeitung ausserhalb der Schweiz

cmm360 - 30. Juni 2010

CMM360-1

Daten im Ausland bearbeiten lassen? Kein Problem, aber nur wenn man ein paar Grundregeln beachtet.

Es ist noch gar nicht lange her, dass man punktgenau sagen konnte, wo Daten sind: Dort, wo der Karteikasten auf dem Pult ist, oder wo der PC summt, oder wo der Archivschrank steht. Man konnte auch leicht sagen, wer Zugriff auf diese Daten hatte: Wer dort arbeitete, wo die Kartei, der PC oder der Archivkasten standen, und Zutritt dazu hatte. Heute ist das alles anders. Karteikästen gibts schon gar nicht mehr, Archivschränke nur noch im Keller; die Daten sind auf einem zentralen Server. Und Zugriff auf die Daten, die da auf einem Server liegen, haben alle, die damit arbeiten müssen. Ob sie im selben Gebäude arbeiten, oder im selben Unternehmen oder im selben Land, ist irrelevant geworden. Internet und Webbrowser machens möglich.

Für die Arbeitsabläufe ist das sehr praktisch. Internationale Unternehmen unterhalten nur noch eine einzige Mitarbeiterdatenbank, der Mitarbeiter in der Zürcher Filiale kann auch Auskunft über einen Geschäftsvorgang in Miami geben, der gestresste Manager kann im Hotel, in der Flughafen-Business-Lounge und mobil unterwegs auf alles zugreifen, was er braucht usw. Was liegt da näher, als Arbeiten, die auch nicht mehr vor Ort gemacht werden müssen, weil man von überall auf den Server zugreifen kann, dort machen zu lassen, wo man sie am günstigsten bekommt? Einen Grossversand an Kunden in Deutschland entwerfen lassen, die Druckvorlagen als PDF nach Polen schicken, das Couvertieren und Verpacken in den Niederlanden besorgen lassen und den Versand dort laufen lassen, wo die Postgebühren am niedrigsten sind. Alles gut und recht und auch alles erlaubt oder jedenfalls machbar, aber nur, wenn das Datenschutzrecht beachtet wird.

Datenschutzrecht ist, wenn man es auf einen Punkt reduziert, die Antwort des Bürgers auf den wegen Informatik und Internet zunehmend möglichen und tatsächlichen Missbrauch von Angaben über die eigene Person. Man muss nur ganz wenig in der Erinnerung kramen, um Beispiele zu finden, und man muss nicht mal die CDs mit Angaben über Bankkunden herbemühen. Ein frühes Beispiel ist die sogenannte Fichen-Affäre: ein wild gewordener Schweizer Geheimdienst legte über eine grosse Anzahl unbescholtener Bürger Geheimakten an. Der amerikanische Geheimdienst liest bei SWIFT-Überweisungen mit, deswegen wird eine europäische SWIFT-Zentrale gebaut. Man bekommt Werbe-Mails, obwohl man das Kästchen mit «Nein Danke» angekreuzt hat. Lidl und die Deutsche Bahn legen umfangreiche Datensammlungen über ihre Mitarbeiter an. Die SBB wollen wissen, ob ihre Lokomotivführer in der Freizeit haschen. Der Schweizer Datenschutzbeauftragte legt sich mit Google an, weil auf Street View Personen und Autokennzeichen (allzu) genau erkennbar sind.

Eine Grundregel des Datenschutzrechts besagt, dass als «Daten» alles gilt, was irgendeinen Bezug zu einer Person hat. Das ist umfassend gemeint. Datenschutzrechtlich gehört sogar die Tatsache, dass der Verfasser diesen Beitrag geschrieben hat, zu den «Daten» über den Verfasser. Wichtiger sind aber zum Beispiel Gesundheitsdaten, Daten über finanzielle Verhältnisse, Daten über alles Private, Daten über Religionszugehörigkeit und Rasse usw.
Nach einer zweiten Grundregel des Datenschutzrechts dürfen Daten nur zu dem Zweck verwendet werden (in der Terminologie des Datenschutzgesetzes «bearbeitet» werden), zu dem man sie dem Verwender («Bearbeiter») gegeben hat: die sogenannte Zweckbindung. Beispiel: Wenn ich ein Abonnement einer religiösen Zeitschrift kaufe, gebe ich meine Adresse nur dafür an, dass man mir Rechnung stellen und die Zeitschrift zustellen kann. Es geht nicht an, meinen Namen und meine Adresse ohne meine Zustimmungen anderen «Interessenten» zu verkaufen. So steht das alles im Schweizer Datenschutzgesetz.

Was passiert aber, wenn solche Daten ins Ausland kommen? Wenn meine Abonnements-Daten eben nicht wie früher im Karteikasten in Chur oder auf dem PC in Basel gespeichert sind, sondern auf einem Server in Rom, auf den die ganze Verlagsgruppe zugreifen kann?
Dann gilt dort (im Beispiel Rom) nicht mehr das Schweizer Datenschutzgesetz, sondern das italienischen. Und ohne unseren so sympathischen südlichen Nachbarn etwas zu unterstellen, es geht nur ums Beispiel, den Römer kümmert es herzlich wenig, was im Schweizer Datenschutzgesetz steht. Er macht mit den Daten dort auf dem Server, was er nach italienischem Recht darf.

Und damit sind wir bei einem Kernproblem im Datenschutzrecht: Wie verhindert der Schweizer Gesetzgeber, dass Daten in ein Land gelangen, wo der Datenschutz nicht gleich gut ist oder überhaupt nicht existiert, was dann zur Folge hat, dass die Daten gleichsam vogelfrei werden? Der Schweizer Gesetzgeber verhindert das, indem er die Übertragung ins Ausland nur erlaubt, wenn es im Ausland einen gleichwertigen Datenschutz gibt. Und daher ist eine ins Ausland ausgelagerte Datenbearbeitung eben auch nur dann gesetzmässig, wenn der Datenschutz dort gleichwertig ist.

Das ist der Fall, solange die Daten die Europäische Union nicht verlassen, dort gibt es überall einen gleichwertigen Datenschutz, und daher ist Datenbearbeitung im EU-Raum grundsätzlich erlaubt (Ausnahmen gibt es, aber das würde hier zu weit führen). Anders ist das aber für die USA und zahlreiche andere Länder auf der ganzen Welt. Datenschutz ist eine europäische Idee, und sie breitet sich nur langsam weltweit aus. Wie stellt man fest, wo ein gleichwertiger Daten-schutz besteht? Der Eidgenössische Datenschutzbeauftragte führt eine entsprechende Länderliste; man findet sie auf www.edoeb.admin.ch unter «Themen»«Übermittlung ins Ausland» (Umgekehrt kann es aber sehr kompliziert werden! Wenn ein deutsches Unternehmen Daten in der Schweiz bearbeiten lassen will, ist das ebenfalls möglich, bedingt aber wegen des revidierten deutschen Datenschutzgesetzes umfangreiche Verpflichtungs-Erklärungen und insbesondere auch Einsichts und Kontrollrechte, sogenannte Audit-Rechte. Die Pflicht, sich einen Audit vorzubehalten, steht auch im Schweizer Datenschutzgesetz, aber ein wenig versteckt. Sie ist daher auch für Schweizer Unternehmen von zentraler Bedeutung, wenn sie Daten im Ausland bearbeiten lassen wollen. Man muss sicherstellen, dass mit den Daten im Ausland nichts Unrechtes passiert, sonst kommt man schnell selber in die Haftung. Vertrauen ist gut, Kontrolle ist besser. Keine Datenbearbeitung im Ausland, erst recht nicht mit potenziell heiklen Daten, ohne sich ein Audit-Recht auszubedingen! Eine Panne ist schnell passiert und kann einen enormen Rufschaden zur Folge haben (siehe Lidl und Deutsche Bahn!). «Ist der Ruf erst ruiniert, lebt es sich ganz ungeniert»; dieser fälschlicherweise oft Friedrich Wilhelm Busch zugeschriebene freche Reim stimmt im Zeitalter der Medien ganz und gar nicht mehr!

Dr. Robert G. Briner ist Partner der Kanzlei CMS von Erlach Henrici AG. Der Rechtsexperte befasst sich seit 25 Jahren mit Technologierecht und ist Vortragender am Call Center Summit von ZfU.

***
Wertvolle und praktische Website zum Datenschutz
Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte hat seine eigene Website auf http://www.edoeb.admin.ch. Dort finden Juristen und Praktiker eine Menge wertvoller Informationen: gesetzliche Grundlagen, Musterbriefe und vor allem Merkblätter und Positionen zu einer Unzahl von Themen. Klicken Sie auf der Homepage auf «Themen» bzw. «Dokumentation» und dann auf «Datenschutz». Die Praxis ist nicht immer mit allem einverstanden, was der Datenschutz-bauftragte schreibt, aber die Informationen sind ausnahmslos sorgfältig erarbeitet und zeugen durchweg von einer vertieften Auseinandersetzung mit der Materie.

Autor: Dr. Robert G. Briner

Top Event

SCRF2024_750x422_w
Weisser Text als Abstand
Weisser Text als Abstand

Zu den aktuellsten News Dossiers

cmm360

Swiss CRM Institute AG

Industriestrasse 1

CH-6034 Inwil/Luzern

 

+41 44 419 22 01

info(at)cmm360.ch

AGB    Impressum    Datenschutzerklärung