HomeWissenDSGVO / revDSG bei personalisierten Mailings

DSGVO / revDSG bei personalisierten Mailings

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für personalisierte Mailings hat sich damit einiges geändert – wenn auch weniger dramatisch als oft befürchtet. Dieser Artikel klärt, was Sie wirklich brauchen, was reine Mythen sind und worauf Sie bei der Zusammenarbeit mit einer Druckerei achten sollten.

revDSG kompakt: das müssen Sie wissen

Thema Was gilt Was Sie tun müssen
Einwilligung für Mailings für klassische adressierte Werbepost an Bestandskunden nicht zwingend nötig (berechtigtes Interesse) Opt-out-Möglichkeit auf jedem Mailing
Information der Empfänger Pflicht: Wer verarbeitet welche Daten wofür? Datenschutzhinweis auf Website + Mailing
Bearbeitungsverzeichnis Pflicht ab gewisser Grösse / Risikoprofil Liste aller Datenverarbeitungs-Tätigkeiten führen
Auftragsverarbeitung Bei Übergabe an Druckerei: Vertrag nötig Schriftlicher AV-Vertrag (siehe unten)
Auskunftsrecht Betroffene können Auskunft verlangen Auskunftsprozess etablieren, 30 Tage Frist
Höchststrafe bis 250.000 CHF für natürliche Personen klare Prozesse, dokumentierte Verantwortung

Die wichtigsten Mythen

Mythos: „Wir brauchen für jedes Mailing eine ausdrückliche Einwilligung"

Falsch. Bei adressierter Werbepost an Bestandskunden reicht in der Schweiz das berechtigte Interesse (Art. 31 revDSG). Anders bei E-Mail-Marketing und bei der Werbung an Neukunden ohne Vorbeziehung.

Mythos: „Personalisierte Mailings sind datenschutzkritischer als unpersonalisierte"

Auch falsch. Was zählt, ist die zugrundeliegende Daten-Bearbeitung – nicht ob der Name auf dem Brief gedruckt wird. Wer eine Adress-Datenbank pflegt, hat schon eine Personendatenverarbeitung; ob sie für Mailing oder Buchhaltung genutzt wird, ist sekundär.

Mythos: „Die Daten dürfen nie das Inland verlassen"

Falsch. Daten dürfen ins Ausland, wenn das Empfängerland angemessenen Datenschutz bietet (z.B. EU/EWR-Länder dank Angemessenheitsbeschluss). Bei US-Anbietern braucht es Zusatzklauseln (SCC oder Data Privacy Framework).

Die Pflicht-Dokumente bei Mailing-Produktion

1. Auftragsverarbeitungs-Vertrag (AVV)

Wenn Sie Adressdaten an Cavelti übergeben, wird Cavelti zum Auftragsbearbeiter im Sinne von Art. 9 revDSG. Es braucht einen schriftlichen Vertrag, der u. a. festlegt:

  • Zweck und Dauer der Bearbeitung
  • Art der Personendaten und Kategorien betroffener Personen
  • Technische und organisatorische Massnahmen (TOM)
  • Löschung oder Rückgabe nach Abschluss
  • Unterauftragsverarbeiter (Lettershop, Versand etc.)

Wir haben dafür einen Standard-Vertrag, der mit unseren Datenschutz-Beraterinnen abgestimmt ist – Sie können ihn anpassen oder Ihren eigenen vorlegen.

2. Datenschutzhinweis im Mailing

Im Mailing selbst (oder auf einer Landing-Page) muss klar sein:

  • Wer ist Absender (Adresse, Kontakt)?
  • Woher hat der Absender die Adresse?
  • Wie kann der Empfänger der weiteren Verwendung widersprechen (Opt-out)?
  • Link zur ausführlichen Datenschutzerklärung

3. Technisch-organisatorische Massnahmen

Wir übermitteln Adressdaten ausschliesslich verschlüsselt (SFTP oder verschlüsseltes ZIP), speichern sie nur so lange wie nötig (typisch 30 Tage nach Versand), löschen sie automatisiert und führen ein Protokoll der Bearbeitung.

Wann brauchen Sie eine Einwilligung?

Szenario Einwilligung nötig?
Mailing an eigene Bestandskunden mit Produkten/Services ähnlich der Geschäftsbeziehung nein (berechtigtes Interesse)
Mailing an erworbene oder gemietete Adressliste kommt darauf an – Sie müssen prüfen, ob der Listenanbieter eine ausreichende Rechtsgrundlage hat
Direktmarketing mit besonders schützenswerten Daten (Gesundheit, Politik, Religion) ja, ausdrückliche Einwilligung
Profiling (z.B. Predictive-Modelle für Mailings) Information zwingend, ggf. Einwilligung

Was bedeutet das praktisch für Ihr nächstes Mailing?

  1. Adressquelle prüfen – wo kommen die Daten her, gibt es eine rechtliche Grundlage?
  2. Opt-out-Möglichkeit auf jeder Sendung ermöglichen (Hinweis-Text + ggf. QR-Code zur Abmeldung)
  3. AV-Vertrag mit der Druckerei schliessen (wir liefern den Vertragsentwurf)
  4. Übermittlung der Daten nur verschlüsselt
  5. Nach Abschluss des Mailings Daten löschen oder zurückspielen

Was Cavelti standardmässig liefert

  • SFTP-Server für sichere Datenübertragung
  • AV-Vertragsentwurf nach revDSG & DSGVO
  • Protokollierte Daten-Vernichtung nach Versand
  • Hosting der Mailing-Daten ausschliesslich auf Schweizer Servern
  • Beratung zu Opt-out-Layout und Pflicht-Hinweisen

Mehr dazu unter personalisierte Mailings.

Häufige Fragen

Reicht für Schweizer Kunden das revDSG aus, oder gilt zusätzlich die DSGVO?

Wenn Sie Daten von EU-Bürgern verarbeiten oder Mailings in die EU senden, gilt zusätzlich die DSGVO. Die Vorgaben sind sehr ähnlich – wer revDSG-konform arbeitet, ist meist auch DSGVO-konform, mit einigen Detailunterschieden bei Auskunftsfristen und Bussgeldhöhen.

Müssen wir den Datenschutzbeauftragten benennen?

In der Schweiz nicht zwingend, aber empfohlen ab gewisser Unternehmensgrösse. In der EU ist die Pflicht enger (bei Profiling im grossen Stil oder bei mehr als 250 Mitarbeitenden).

Was kostet ein AV-Vertrag?

Unser Standard-AVV ist kostenlos bei jedem Mailing-Auftrag enthalten. Bei massgeschneiderten Verträgen oder mehrstufigen Datenverarbeitungs-Ketten arbeiten wir mit einer auf Datenschutz spezialisierten Kanzlei zusammen.

Wie lange dürfen Sie meine Adressdaten aufbewahren?

Nur so lange, wie es zur Zweckerfüllung nötig ist. Bei einem einmaligen Mailing typischerweise 30 Tage nach Versand. Bei wiederkehrenden Kampagnen kann die Aufbewahrung verlängert werden, mit Ihrer schriftlichen Anweisung.