Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für personalisierte Mailings hat sich damit einiges geändert – wenn auch weniger dramatisch als oft befürchtet. Dieser Artikel klärt, was Sie wirklich brauchen, was reine Mythen sind und worauf Sie bei der Zusammenarbeit mit einer Druckerei achten sollten.
revDSG kompakt: das müssen Sie wissen
| Thema | Was gilt | Was Sie tun müssen |
|---|---|---|
| Einwilligung für Mailings | für klassische adressierte Werbepost an Bestandskunden nicht zwingend nötig (berechtigtes Interesse) | Opt-out-Möglichkeit auf jedem Mailing |
| Information der Empfänger | Pflicht: Wer verarbeitet welche Daten wofür? | Datenschutzhinweis auf Website + Mailing |
| Bearbeitungsverzeichnis | Pflicht ab gewisser Grösse / Risikoprofil | Liste aller Datenverarbeitungs-Tätigkeiten führen |
| Auftragsverarbeitung | Bei Übergabe an Druckerei: Vertrag nötig | Schriftlicher AV-Vertrag (siehe unten) |
| Auskunftsrecht | Betroffene können Auskunft verlangen | Auskunftsprozess etablieren, 30 Tage Frist |
| Höchststrafe | bis 250.000 CHF für natürliche Personen | klare Prozesse, dokumentierte Verantwortung |
Die wichtigsten Mythen
Mythos: „Wir brauchen für jedes Mailing eine ausdrückliche Einwilligung"
Falsch. Bei adressierter Werbepost an Bestandskunden reicht in der Schweiz das berechtigte Interesse (Art. 31 revDSG). Anders bei E-Mail-Marketing und bei der Werbung an Neukunden ohne Vorbeziehung.
Mythos: „Personalisierte Mailings sind datenschutzkritischer als unpersonalisierte"
Auch falsch. Was zählt, ist die zugrundeliegende Daten-Bearbeitung – nicht ob der Name auf dem Brief gedruckt wird. Wer eine Adress-Datenbank pflegt, hat schon eine Personendatenverarbeitung; ob sie für Mailing oder Buchhaltung genutzt wird, ist sekundär.
Mythos: „Die Daten dürfen nie das Inland verlassen"
Falsch. Daten dürfen ins Ausland, wenn das Empfängerland angemessenen Datenschutz bietet (z.B. EU/EWR-Länder dank Angemessenheitsbeschluss). Bei US-Anbietern braucht es Zusatzklauseln (SCC oder Data Privacy Framework).
Die Pflicht-Dokumente bei Mailing-Produktion
1. Auftragsverarbeitungs-Vertrag (AVV)
Wenn Sie Adressdaten an Cavelti übergeben, wird Cavelti zum Auftragsbearbeiter im Sinne von Art. 9 revDSG. Es braucht einen schriftlichen Vertrag, der u. a. festlegt:
- Zweck und Dauer der Bearbeitung
- Art der Personendaten und Kategorien betroffener Personen
- Technische und organisatorische Massnahmen (TOM)
- Löschung oder Rückgabe nach Abschluss
- Unterauftragsverarbeiter (Lettershop, Versand etc.)
Wir haben dafür einen Standard-Vertrag, der mit unseren Datenschutz-Beraterinnen abgestimmt ist – Sie können ihn anpassen oder Ihren eigenen vorlegen.
2. Datenschutzhinweis im Mailing
Im Mailing selbst (oder auf einer Landing-Page) muss klar sein:
- Wer ist Absender (Adresse, Kontakt)?
- Woher hat der Absender die Adresse?
- Wie kann der Empfänger der weiteren Verwendung widersprechen (Opt-out)?
- Link zur ausführlichen Datenschutzerklärung
3. Technisch-organisatorische Massnahmen
Wir übermitteln Adressdaten ausschliesslich verschlüsselt (SFTP oder verschlüsseltes ZIP), speichern sie nur so lange wie nötig (typisch 30 Tage nach Versand), löschen sie automatisiert und führen ein Protokoll der Bearbeitung.
Wann brauchen Sie eine Einwilligung?
| Szenario | Einwilligung nötig? |
|---|---|
| Mailing an eigene Bestandskunden mit Produkten/Services ähnlich der Geschäftsbeziehung | nein (berechtigtes Interesse) |
| Mailing an erworbene oder gemietete Adressliste | kommt darauf an – Sie müssen prüfen, ob der Listenanbieter eine ausreichende Rechtsgrundlage hat |
| Direktmarketing mit besonders schützenswerten Daten (Gesundheit, Politik, Religion) | ja, ausdrückliche Einwilligung |
| Profiling (z.B. Predictive-Modelle für Mailings) | Information zwingend, ggf. Einwilligung |
Was bedeutet das praktisch für Ihr nächstes Mailing?
- Adressquelle prüfen – wo kommen die Daten her, gibt es eine rechtliche Grundlage?
- Opt-out-Möglichkeit auf jeder Sendung ermöglichen (Hinweis-Text + ggf. QR-Code zur Abmeldung)
- AV-Vertrag mit der Druckerei schliessen (wir liefern den Vertragsentwurf)
- Übermittlung der Daten nur verschlüsselt
- Nach Abschluss des Mailings Daten löschen oder zurückspielen
Was Cavelti standardmässig liefert
- SFTP-Server für sichere Datenübertragung
- AV-Vertragsentwurf nach revDSG & DSGVO
- Protokollierte Daten-Vernichtung nach Versand
- Hosting der Mailing-Daten ausschliesslich auf Schweizer Servern
- Beratung zu Opt-out-Layout und Pflicht-Hinweisen
Mehr dazu unter personalisierte Mailings.
Häufige Fragen
Reicht für Schweizer Kunden das revDSG aus, oder gilt zusätzlich die DSGVO?
Wenn Sie Daten von EU-Bürgern verarbeiten oder Mailings in die EU senden, gilt zusätzlich die DSGVO. Die Vorgaben sind sehr ähnlich – wer revDSG-konform arbeitet, ist meist auch DSGVO-konform, mit einigen Detailunterschieden bei Auskunftsfristen und Bussgeldhöhen.
Müssen wir den Datenschutzbeauftragten benennen?
In der Schweiz nicht zwingend, aber empfohlen ab gewisser Unternehmensgrösse. In der EU ist die Pflicht enger (bei Profiling im grossen Stil oder bei mehr als 250 Mitarbeitenden).
Was kostet ein AV-Vertrag?
Unser Standard-AVV ist kostenlos bei jedem Mailing-Auftrag enthalten. Bei massgeschneiderten Verträgen oder mehrstufigen Datenverarbeitungs-Ketten arbeiten wir mit einer auf Datenschutz spezialisierten Kanzlei zusammen.
Wie lange dürfen Sie meine Adressdaten aufbewahren?
Nur so lange, wie es zur Zweckerfüllung nötig ist. Bei einem einmaligen Mailing typischerweise 30 Tage nach Versand. Bei wiederkehrenden Kampagnen kann die Aufbewahrung verlängert werden, mit Ihrer schriftlichen Anweisung.