Kundenbefragungen und der Datenschutz


Hinweis: Dieser Blogbeitrag ist keiner Rechtsberatung gleichzustellen. Falls Sie sich unsicher sind, ob und wie Sie von der DSGVO betroffen sind, wenden Sie sich bitte an eine Rechtsanwältin/einen Rechtsanwalt oder Ihre/n Datenschutzbeauftragte/n.


Die DSGVO und ihre Auswirkungen auf die Schweiz

Die Europäische Datenschutz-Grundverordnung (DSGVO) ist seit letzter Woche ein Jahr «im Amt». In dieser Verordnung werden europaweit geltende Regeln zur Verarbeitung personenbezogener Daten festgelegt. Als studierte Juristin, und weil ich beruflich viel mit persönlichen Daten Dritter zu tun habe, interessiert mich das durchaus. Ich habe daher die Gelegenheit genutzt, den IMPULS-Vortrag des Technologiezentrums Konstanz mit Rechtsanwalt Robert Leidel zu besuchen. Thema: Ein Jahr DSGVO – Erfahrungen mit der Datenschutz-Grundverordnung.

Datenschutz in Europa
= Datenschutz in der Schweiz?

Nun war letztes Jahr zunächst die Erleichterung gross in der Schweiz, man sei ja nicht betroffen von der DSGVO. Sehr schnell stellte sich jedoch für diejenigen, die sich intensiver damit beschäftigten, heraus, dass das so nicht ganz korrekt ist. Beim Branchenverband hotelleriesuisse geht man sogar davon aus, dass fast alle Betriebe von der DSGVO betroffen sind. Warum?

Für jeden Anbieter, der sich nur im Binnenmarkt der Schweiz bewegt, hat sich in der Tat nicht viel geändert. Sobald jedoch (potenziell) Kunden angesprochen bzw. deren Daten erhoben werden, die ihren Wohnort innerhalb der EU haben, ist auch ein Anbieter mit Sitz in der Schweiz von der DSGVO betroffen (sog. «Marktortprinzip»).

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte bietet eine Übersicht über die Auswirkungen der DSGVO auf die Schweiz an. Hier werden alle Details genauer dargestellt, unter anderem auch die Kriterien, die für eine Anwendbarkeit sprechen:

  • Zielgruppe in der EU: Sobald Sie Ihre Waren und Dienstleistungen konkret auch den Einwohnern von EU-Mitgliedsländern anbieten, sind Sie in jedem Fall der DSGVO unterstellt. Hierfür müssen jedoch Anhaltspunkte vorliegen, wie die Angabe von Preisen in EUR und nicht nur in CHF, oder eine First-Level-Domain (.com, .de, .fr), die auf eine Zielgruppe ausserhalb der Schweiz hinweist. Nur dass Ihre Webseite auf Deutsch ist, und daher potenziell auch Kunden aus Deutschland und Österreich erreichen könnte, genügt eher nicht.
  • Beobachtung des Verhaltens von Personen in der EU: Benutzen Sie für Ihre Webseite Google Analytics, oder ein anderes Analyseinstrument? Wenn Sie die Daten von Besuchern auswerten, die aus der EU stammen, ist die DSGVO vermutlich bereits anwendbar. Auch wenn Sie Anfragen von Interessenten aus EU-Ländern erfassen, um ihnen passgenaue Angebote machen zu können, sind Sie der DSGVO unterstellt. Dies, auch wenn Sie örtlich nur in der Schweiz tätig sind.

Was bedeutet die DSGVO für Sie?

Sind Sie von der DSGVO betroffen, wenn Sie diese beiden Anwendungsbereiche betrachten? Dann gibt es einige Auswirkungen auf Ihren Umgang mit Kundendaten.


Natürlich gibt es auch Auswirkungen, die über die aktive Verarbeitung von Kundendaten hinaus gehen, wie generelle Informationspflichten auf Ihrer Webseite, eine Datenschutzerklärung, das Double-opt-in-Verfahren beim Newsletter etc. Dies alles zu beleuchten, würde über mein Anwendungsgebiet hinausgehen. Hierzu können Sie sich mit Ihrem Webseiten-Administrator in Verbindung setzen, oder sich generell im Netz informieren. Ich persönlich fand z. B. diesen Artikel sehr hilfreich.


Ihre Kunden haben diverse, sich aus der DSGVO ergebende Rechte (Art. 13 ff.). Hierbei handelt es sich vor allem um Informations- und Auskunftsrechte, Rechte auf Berichtigung und Löschung und ein Widerspruchsrecht.

Vor allem jedoch haben Sie als Anbieter einige Pflichten (Art. 24 ff.). Die Einhaltung dieser Pflichten muss im Rahmen der Beweislastumkehr nachgewiesen werden können – für Sie bedeutet das im Fall einer Beschwerde, dass Sie nachweisen können müssen, alle erforderlichen Massnahmen zum Datenschutz getroffen zu haben. (Wiederum: Wenn Sie sich hier unsicher sind, lohnt sich zur Abklärung eine Rechtsberatung.)

Sicherlich müssen Sie nicht direkt in wilden Aktionismus verfallen. Das Wichtigste ist, dass Sie sich darüber im Klaren sind, welche Daten Sie von Ihren Kunden erheben und was Sie damit machen. Möglicherweise können Sie gewisse Daten auch einfach nicht mehr erheben – Datensparsamkeit ist unabhängig von der DSGVO ein relevantes Thema und betrifft auch Schweizer Konsumenten.

Datenschutz in Kundenbefragungen

«Wie ist es denn da eigentlich mit dem Datenschutz?» – Diese Frage wird mir häufiger gestellt, wenn es um Kundenbefragungen geht. Natürlich bin ich verpflichtet, die mir zur Verfügung gestellten Daten zu schützen, und treffe auch die notwendigen technischen Vorkehrungen. Doch es lohnt sich generell, einige Regeln zu beachten.

Regel Nr. 1:
Achtsam mit Daten umgehen

Worauf ich keinen Einfluss habe: Wie mir die Daten zur Verfügung gestellt werden. Denn zum Datenschutz gehört natürlich auch, dass ein Unternehmen die sensiblen Daten seiner Kunden nicht einfach an Dritte weitergibt. Ich bin im Kontext mit Kundenbefragungen häufig Empfänger solcher Daten, und habe nicht selten deutlich mehr Informationen über die zu befragenden Kunden gesehen, als mir zusteht. Die erste Regel lautet also: Seien Sie achtsam, welche Daten Sie grundsätzlich bereitstellen. Ein Auszug aus Ihrem CRM-System beinhaltet oft Kundennummern, Geburstage, Adressen, Kaufdaten und ähnliche Informationen, die nicht grundlos nach aussen abgegeben werden sollten.

Überlegen Sie sich vorab, welche Informationen Sie mir zur Verfügung stellen möchten, um eine aussagekräftige Auswertung zu erhalten. Hierzu genügt meist die Anrede, der Nachname und die E-Mail-Adresse. Gegebenenfalls noch ein Referenzwert, wie z. B. ein Kundensegment, wenn Sie eine Auswertung hiernach vornehmen wollen. Speichern Sie diese Daten in einer separaten Tabelle, die Sie mir zukommen lassen können. Dann haben wir schon viel zum Datenschutz beigetragen.

Regel Nr. 2:
Technische Möglichkeiten ausschöpfen

Bei einer von mir über die Befragungssoftware durchgeführten Befragung handelt es sich zunächst einmal um eine zu 100% anonyme Umfrage. Durch diverse technische Vorkehrungen (Anonymisierung von Links und IP-Adressen) wird kein Zusammenhang zwischen einer Person und den von ihr gegebenen Antworten hergestellt.

Wird die Umfrage über einen generellen, nicht personalisierten Link durchgeführt, kann gar kein Zusammenhang zu irgendeinem Kunden hergestellt werden. Beispiel: Ich stelle Ihnen einen Befragungslink zur Verfügung, den Sie in Ihren Newsletter integrieren und an alle Ihre Kunden verschicken. Diese klicken alle auf denselben Link: Das System kann überhaupt keinen Zusammenhang herstellen, welcher Ihrer Kunden teilgenommen oder welche Antworten gegeben hat. Das System speichert einzig Teilnahmezeiten, Besucherquelle und Browserinformationen wie Sprache und Gerät. Dasselbe gilt auch, wenn die Umfrage auf die Webseite eingebettet wird, und dort allen Besuchern zur Verfügung steht.

Screenshot gespeicherte Teilnehmerdaten
Gespeicherte Teilnehmerdaten

Bei einer E-Mail-Einladung über das Tool werden im System zunächst einmal gewisse Daten, in jedem Fall aber die E-Mail-Adresse der Befragten, abgespeichert. Erhält Ihr Kunde die E-Mail und klickt auf die Umfrage, wird der Link mit einem zufälligen, 6-stelligen Code versehen. Dieser Code dient dazu, dass der Befragte die Umfrage schliessen und wieder öffnen kann, ohne seine eingegebenen Daten zu verlieren. Er ist aber nicht direkt mit der E-Mail-Adresse verknüpft, über die der Befragte auf den Link gelangt ist. Auch hier kann kein Rückschluss auf die Antworten gezogen werden.

Die Umfrage ist also vom System her anonym. Auf zwei Arten kann diese Anonymisierung aufgehoben werden: Durch eine händische Anpassung des Links mit einer eindeutig identifizierbaren Endung (z. B. Kundennummer), die nicht im System, aber intern bei Ihnen mit einer Person verknüpft ist. Und durch eine Abfrage von persönlichen Daten in der Umfrage – hier ist es dem Teilnehmer jedoch freigestellt, die Angaben zu machen, und er erklärt sich dazu bereit. Und auch hier können diese Angaben von den Antworten getrennt erhoben werden, sodass ein Rückschluss auf die Aussagen in der Umfrage nicht gezogen werden kann.

Die Daten, z. B. die E-Mail-Adresse, die ich bei einer Einladung über das System eingebe, können nach Beendigung und Auswertung der Umfrage sofort wieder gelöscht werden.

Regel Nr. 3:
Rechtlich absichern

Die Verarbeitung von Kundendaten zur Erstellung einer Umfrage folgt einer Kette von Verantwortlichkeiten. Im Umgang mit Ihren Kunden haben Sie die Verantwortung dafür, dass Sie die Einwilligung zur Speicherung und Verarbeitung derer Daten, auch für den Zweck einer Umfrage, eingeholt haben.

Ich hingegen bin dafür zuständig, mit mit dem Softwareprovider einen Vertrag abzuschliessen, der dessen datenschutzkonformen Umgang mit den von mir eingegebenen Daten absichert (sog. Vertrag zur Auftragsverarbeitung, AVV). Dies habe ich getan. Der Softwareprovider wiederum muss mit seinen Anbietern, wie z. B. dem Rechenzentrum, in dem seine Server stehen, einen Vertrag abschliessen.

Das fehlende Mittelglied in dieser Kette ist der Verantwortungsübergang zwischen Ihnen und mir. Auch in diesem Verhältnis ist es im Zweifelsfall sinnvoll, einen AVV abzuschliessen, um Sie für den Fall einer Beschwerde (siehe: Beweislastumkehr) abzusichern.

Datenschutz und Kundenbindung

Auch wenn es den Anschein macht, als wäre die DSGVO ein Papiertiger: Datenschutz ist enorm wichtig. Denn auch in der Schweiz sammeln Unternehmen mehr Daten über ihre Kunden, als sie jemand verarbeiten können. Die Auseinandersetzung mit der DSGVO hat das Thema ein wenig ins Rampenlicht gerückt. Und zumindest das erste Jahr erweckt den Anschein, als würde an der richtigen Stelle angesetzt. Die grosse Abmahnwelle, vor der gewarnt wurde, ist ausgeblieben, und die Behörden setzen Bussen bislang restriktiv und nur an den Stellen ein, wo tatsächlich kritische Daten (wie Gesundheitsdaten) ungeschützt waren.

Es gilt also auch in Zukunft, mit Augenmass an das Theman heranzutreten. Sicherlich sind technische Auswertungen in Online-Shops oder für Social Media ein hilfreiches Mittel, um gewisse Trends und Tendenzen zu erkennen. Doch diese Informationen haben nur bis zu einem gewissen Grad einen Aussagekraft über operative und analytische Werte hinaus. Manche Kunden wären vermutlich entsetzt, wenn sie wüssten, welche Daten in Unternehmen über sie vorhanden sind.

Eine Kundenbefragung ist damit sicherlich nicht das problematischste Instrument im Zusammenhang mit dem Datenschutz. Immerhin werden hier die Kunden ganz explizit nach ihren Wünschen und Erwartungen gefragt, und nicht einfach nur Schlussfolgerungen aus ihrem Surf- und Einkaufsverhalten gezogen.

Sind noch Fragen offen?

Melden Sie sich bei mir, ich berate Sie gerne!