Datenschutz im Autogewerbe
Ein Jahr Datenschutzgesetz und dessen Auswirkungen im Schweizer Autogewerbe
9. August 2024 agvs-upsa.ch – Vor rund zwölf Monaten wurde das neue Datenschutzgesetz eingeführt. Dieses wurde nötig, weil das bis anhin geltende Gesetz aus dem Jahre 1992 stammte und mit den aktuellen Veränderungen nicht mehr mithalten konnte. Die neuen Paragrafen brachten aber weitreichende Veränderungen mit sich, auch für die AGVS-Mitglieder. Mirco Baumann
Foto: iStock
Seit der Einführung des neuen Datenschutzgesetzes (DSG) im September 2023 hat sich viel im Schweizer Autogewerbe verändert. Der Schutz von Personendaten hat an Bedeutung gewonnen, und sowohl Importeure, Garagisten als auch Lieferanten müssen sich an die neuen Regelungen anpassen. Das neu viel höhere Bussgeld von bis zu CHF 250 000 hat Wirkung gezeigt – das seit Jahrzehnten existierende Datenschutzgesetz wird nun ernstgenommen. Dieser Artikel wirft einen Blick auf die wichtigsten Entwicklungen und Veränderungen im ersten Jahr des DSG.
Kritische Kunden wollen Auskunft und verlangen Datenlöschung
Eine der bemerkenswertesten Veränderungen seit der Einführung des DSG ist die Zunahme der Anfragen von Kunden bei Garagisten bzgl. ihrer Rechte auf Datenschutz. Viele Kunden fordern Auskünfte über die gespeicherten Daten oder beantragen die Löschung ihrer Daten. Diese Entwicklung zeigt, dass das Bewusstsein für Datenschutz gestiegen ist und Kunden ihre Rechte zunehmend wahrnehmen. Im Vergleich zur Zeit vor September 2023 sind diese Anfragen deutlich häufiger geworden. Aber die Kunden haben in den meisten Fällen dennoch kein Recht auf Löschung, wie nachfolgendes Beispiel zeigt.
Kunden können die Löschung von Daten die sie betreffen verlangen. Als Garagist sind sie jedoch nur dazu verpflichtet der Forderung des Kunden nachzukommen, wenn keine gesetzliche Aufbewahrungsfrist die Löschung verbietet, keine überwiegenden Interessen bestehen, oder das Löschbegehren offensichtlich unbegründet ist.
Umsetzung DSG und Datensicherheit
Mit der Umsetzung des DSG geht auch die Pflicht zur Erhöhung der Datensicherheit einher. Seit der Einführung des neuen DSG ist die vorsätzliche Verletzung oder Unterlassung angemessener Datensicherheitsmassnahmen auch strafbar. Neben dem Datenschutz dient eine angemessene Datensicherheit insbesondere auch dem Unternehmen, indem Kundendaten als Geschäftsgeheimnis vor Cyberangriffen geschützt werden. Darüber hinaus ist es für KMU sehr wichtig, auf funktionierende Backups zu achten und diese regelmässig durch Wiederherstellungstests zu überprüfen.
Anfang Juli 2024 fand das Impunix Live Webinar zum Thema «Informationssicherheit – 10 Sofortmassnahmen für Garagen» in Zusammenarbeit mit dem AGVS statt. In diesem Webinar berichtete Felix Wyss, Präsident Carrosserie Schweiz und Geschäftsleiter und Verwaltungsratspräsident der Aarauer Carrosserie Werke, eindrücklich von seinen Erfahrungen mit einem Hackerangriff, bei dem Daten verschlüsselt und Lösegeld gefordert wurde. Er betonte insbesondere, wie wichtig es ist, sich selbst um die Cybersicherheit zu kümmern. Zudem stellten Micha Strässler und Leo Krähenbühl zehn Sofortmassnahmen zur Erhöhung der Cybersicherheit vor (für den Link zum Webinar siehe Box).
KI – Vorsicht, was Sie in den Prompt schreiben
Der Einfluss von künstlicher Intelligenz (KI) hat auch in den Garagen Einzug erhalten. KI wird unser aller Leben verändern. Insbesondere KI-Systeme wie ChatGPT verfügen über ein enormes Potenzial zur Effizienzsteigerung. Für unser Land mit einem hohen Anteil an wissensbasierter Wertschöpfung prognostiziert das Beratungsunternehmen PwC, dass KI das Bruttoinlandprodukt (BIP) um 0,5 bis 0,8 Prozent oder 50 Milliarden Franken pro Jahr steigern kann. Damit gehört die Schweiz zu den Ländern, die weltweit am meisten vom vermehrten Einsatz von künstlicher Intelligenz profitieren können.
Was ist in Bezug auf Datenschutz und Geschäftsgeheimnisse zu beachten? Prompts sind die Befehle, die bei der Benutzung eines KI-Systems eingegeben werden, vergleichbar mit der Suchmaske bei Google. Achten Sie darauf, was Sie eingeben, denn der Text der Prompts wird in den meisten kostenlosen oder kostenpflichtigen Versionen geteilt und zum Training der KI verwendet. Die Eingabe von Personendaten stellt eine Bearbeitung von Personendaten dar (Art. 5 lit. d DSG). Wenn Daten von Kunden oder Mitarbeitenden in ChatGPT eingegeben werden, sind die Unternehmen somit verpflichtet, die Bestimmungen des DSG einzuhalten. Dies bedeutet, dass die KI als Auftragsbearbeiter zu qualifizieren ist; ein Unterlassen ist strafbar.
Anforderungen der Importeure an die Garagen – oft einseitig und meist EU-DSGVO
Mit der Einführung des DSG sind zwar die Anforderungen der Importeure an die Garagen gestiegen. Oftmals geben die Importeure aber die EU-Datenschutzvorschriften (EU-DSGVO) eins zu eins weiter, was für die Schweiz nicht vollumfänglich notwendig wäre. Auch Monate nach der Einführung des DSG in der Schweiz, haben viele Importeure noch immer EU-Vorschriften, die sie ihren Schweizer Händlern auferlegen. Diese Praxis führt zu Mehraufwand und Verunsicherung bei den Garagistinnen und Garagisten, die sich an die spezifischen Schweizer Vorschriften halten müssen. Die Harmonisierung der Datenschutzanforderungen auf nationaler Ebene und die Vermeidung unnötiger Bürokratie sind daher wichtige Themen, die weiterhin am besten mit den Händlerverbänden angegangen werden müssen.
Fazit und Ausblick
Das erste Jahr des neuen Datenschutzgesetzes hat im Schweizer Autogewerbe zu zahlreichen Veränderungen geführt. Die gestiegene Sensibilität auf Datenschutzfragen, die Anerkennung des DSG durch die EU, die verstärkte Zusammenarbeit mit Datenschutz- und Datensicherheitsanbietern sind klare Zeichen, dass sich die Branche auf dem richtigen Weg befindet. Die Garagistinnen und Garagisten müssen weiterhin wachsam sein und sich den Herausforderungen des Datenschutzes stellen, um das Vertrauen ihrer Kundinnen und Kunden zu erhalten und Bussen zu vermeiden.
Die kommenden Jahre werden zeigen, wie sich das DSG weiter auf das Autogewerbe auswirken wird und welche weiteren Massnahmen zur Verbesserung des Datenschutzes erforderlich sein werden. Von Seiten der Hersteller und Importeure ist zu erwarten, dass aufgrund ihrer globalen Konzernstruktur in Zukunft höhere Anforderungen an den Datenschutz bei den Händlern gestellt werden. Die kontinuierliche Schulung der Mitarbeitenden, die Anpassung der internen Prozesse und die enge Zusammenarbeit mit Datenschutzexperten sind wichtige Faktoren für einen gelungenen Umgang mit Daten innerhalb der Branche.
Foto: iStock
Seit der Einführung des neuen Datenschutzgesetzes (DSG) im September 2023 hat sich viel im Schweizer Autogewerbe verändert. Der Schutz von Personendaten hat an Bedeutung gewonnen, und sowohl Importeure, Garagisten als auch Lieferanten müssen sich an die neuen Regelungen anpassen. Das neu viel höhere Bussgeld von bis zu CHF 250 000 hat Wirkung gezeigt – das seit Jahrzehnten existierende Datenschutzgesetz wird nun ernstgenommen. Dieser Artikel wirft einen Blick auf die wichtigsten Entwicklungen und Veränderungen im ersten Jahr des DSG.
Kritische Kunden wollen Auskunft und verlangen Datenlöschung
Eine der bemerkenswertesten Veränderungen seit der Einführung des DSG ist die Zunahme der Anfragen von Kunden bei Garagisten bzgl. ihrer Rechte auf Datenschutz. Viele Kunden fordern Auskünfte über die gespeicherten Daten oder beantragen die Löschung ihrer Daten. Diese Entwicklung zeigt, dass das Bewusstsein für Datenschutz gestiegen ist und Kunden ihre Rechte zunehmend wahrnehmen. Im Vergleich zur Zeit vor September 2023 sind diese Anfragen deutlich häufiger geworden. Aber die Kunden haben in den meisten Fällen dennoch kein Recht auf Löschung, wie nachfolgendes Beispiel zeigt.
Kunden können die Löschung von Daten die sie betreffen verlangen. Als Garagist sind sie jedoch nur dazu verpflichtet der Forderung des Kunden nachzukommen, wenn keine gesetzliche Aufbewahrungsfrist die Löschung verbietet, keine überwiegenden Interessen bestehen, oder das Löschbegehren offensichtlich unbegründet ist.
Beispiel: Der Kunde verlangt die Löschung aller seiner Daten, weil er mit der Leistung der Garage unzufrieden ist. Rechnungen dürfen Sie erst nach 11 Jahren (10 Jahre nach Vertragsabschluss) löschen, da die Buchführungs- und Rechnungslegungspflicht (OR Art. 957) dem entgegensteht. Sie können aber den Kunden im CRM 1. auf inaktiv setzen, 2. Werbung wie Newsletter deaktivieren und 3. allfällig hinterlegte Marketinginformationen zu Interessen löschen.
Umsetzung DSG und Datensicherheit
Mit der Umsetzung des DSG geht auch die Pflicht zur Erhöhung der Datensicherheit einher. Seit der Einführung des neuen DSG ist die vorsätzliche Verletzung oder Unterlassung angemessener Datensicherheitsmassnahmen auch strafbar. Neben dem Datenschutz dient eine angemessene Datensicherheit insbesondere auch dem Unternehmen, indem Kundendaten als Geschäftsgeheimnis vor Cyberangriffen geschützt werden. Darüber hinaus ist es für KMU sehr wichtig, auf funktionierende Backups zu achten und diese regelmässig durch Wiederherstellungstests zu überprüfen.
Anfang Juli 2024 fand das Impunix Live Webinar zum Thema «Informationssicherheit – 10 Sofortmassnahmen für Garagen» in Zusammenarbeit mit dem AGVS statt. In diesem Webinar berichtete Felix Wyss, Präsident Carrosserie Schweiz und Geschäftsleiter und Verwaltungsratspräsident der Aarauer Carrosserie Werke, eindrücklich von seinen Erfahrungen mit einem Hackerangriff, bei dem Daten verschlüsselt und Lösegeld gefordert wurde. Er betonte insbesondere, wie wichtig es ist, sich selbst um die Cybersicherheit zu kümmern. Zudem stellten Micha Strässler und Leo Krähenbühl zehn Sofortmassnahmen zur Erhöhung der Cybersicherheit vor (für den Link zum Webinar siehe Box).
Top-5-Themen zum Datenschutz prüfen: 1. Zugriffe und Authentifizierungen richtig vergeben, 2. Sicherheitsrichtlinien und -protokolle erstellen und einhalten, 3. Netzwerksicherheit mit Firewalls und Virtual Private Networks (VPNs) schützen, 4. Regelmässige Software-Updates durchführen, 5. Notfallwiederherstellung und Backup-Strategien festlegen. (Eine ausführliche Liste steht auf der Website zur Verfügung, siehe Box)
KI – Vorsicht, was Sie in den Prompt schreiben
Der Einfluss von künstlicher Intelligenz (KI) hat auch in den Garagen Einzug erhalten. KI wird unser aller Leben verändern. Insbesondere KI-Systeme wie ChatGPT verfügen über ein enormes Potenzial zur Effizienzsteigerung. Für unser Land mit einem hohen Anteil an wissensbasierter Wertschöpfung prognostiziert das Beratungsunternehmen PwC, dass KI das Bruttoinlandprodukt (BIP) um 0,5 bis 0,8 Prozent oder 50 Milliarden Franken pro Jahr steigern kann. Damit gehört die Schweiz zu den Ländern, die weltweit am meisten vom vermehrten Einsatz von künstlicher Intelligenz profitieren können.
Was ist in Bezug auf Datenschutz und Geschäftsgeheimnisse zu beachten? Prompts sind die Befehle, die bei der Benutzung eines KI-Systems eingegeben werden, vergleichbar mit der Suchmaske bei Google. Achten Sie darauf, was Sie eingeben, denn der Text der Prompts wird in den meisten kostenlosen oder kostenpflichtigen Versionen geteilt und zum Training der KI verwendet. Die Eingabe von Personendaten stellt eine Bearbeitung von Personendaten dar (Art. 5 lit. d DSG). Wenn Daten von Kunden oder Mitarbeitenden in ChatGPT eingegeben werden, sind die Unternehmen somit verpflichtet, die Bestimmungen des DSG einzuhalten. Dies bedeutet, dass die KI als Auftragsbearbeiter zu qualifizieren ist; ein Unterlassen ist strafbar.
Was ist zu tun: Mitarbeiterinnen und Mitarbeiter schulen, keine Personendaten und Geschäftsgeheimnisse im Prompt einzugeben, bei Bedarf auf die Team- oder Enterprise-Version upgraden, die den Datenschutz garantiert, mit der Möglichkeit, eine Auftragsbearbeitungsvereinbarung abzuschliessen.
Anforderungen der Importeure an die Garagen – oft einseitig und meist EU-DSGVO
Mit der Einführung des DSG sind zwar die Anforderungen der Importeure an die Garagen gestiegen. Oftmals geben die Importeure aber die EU-Datenschutzvorschriften (EU-DSGVO) eins zu eins weiter, was für die Schweiz nicht vollumfänglich notwendig wäre. Auch Monate nach der Einführung des DSG in der Schweiz, haben viele Importeure noch immer EU-Vorschriften, die sie ihren Schweizer Händlern auferlegen. Diese Praxis führt zu Mehraufwand und Verunsicherung bei den Garagistinnen und Garagisten, die sich an die spezifischen Schweizer Vorschriften halten müssen. Die Harmonisierung der Datenschutzanforderungen auf nationaler Ebene und die Vermeidung unnötiger Bürokratie sind daher wichtige Themen, die weiterhin am besten mit den Händlerverbänden angegangen werden müssen.
Fazit und Ausblick
Das erste Jahr des neuen Datenschutzgesetzes hat im Schweizer Autogewerbe zu zahlreichen Veränderungen geführt. Die gestiegene Sensibilität auf Datenschutzfragen, die Anerkennung des DSG durch die EU, die verstärkte Zusammenarbeit mit Datenschutz- und Datensicherheitsanbietern sind klare Zeichen, dass sich die Branche auf dem richtigen Weg befindet. Die Garagistinnen und Garagisten müssen weiterhin wachsam sein und sich den Herausforderungen des Datenschutzes stellen, um das Vertrauen ihrer Kundinnen und Kunden zu erhalten und Bussen zu vermeiden.
Die kommenden Jahre werden zeigen, wie sich das DSG weiter auf das Autogewerbe auswirken wird und welche weiteren Massnahmen zur Verbesserung des Datenschutzes erforderlich sein werden. Von Seiten der Hersteller und Importeure ist zu erwarten, dass aufgrund ihrer globalen Konzernstruktur in Zukunft höhere Anforderungen an den Datenschutz bei den Händlern gestellt werden. Die kontinuierliche Schulung der Mitarbeitenden, die Anpassung der internen Prozesse und die enge Zusammenarbeit mit Datenschutzexperten sind wichtige Faktoren für einen gelungenen Umgang mit Daten innerhalb der Branche.
Informatives Material zum Datenschutzgesetz
Vorlagen und Muster zur eigenständigen Umsetzung und Anpassung innerhalb der eigenen Organisation
10 Schritte zum revidierten Datenschutzgesetz
10 Sofortmassnahmen zum Datenschutz
Impunix-Live, monatliche Webinare mit dem AGVS-Partner für Datenschutz-Themen finden Sie hier (inkl. Archiv)
Podcast (Nr. 6) zum Datenschutz im Schweizer Autogewerbe
Dokumentation des Datenschutzes aus dem AUTOINSIDE Juni 2023
Datenschutz-Checkliste zur Verwendung von künstlicher Intelligenz (KI) im Betrieb
Mehr zum Datenschutz-Full-Service von Impunix und zu kostenlosen Beratungsgesprächen finden Sie hier
Vorlagen und Muster zur eigenständigen Umsetzung und Anpassung innerhalb der eigenen Organisation
10 Schritte zum revidierten Datenschutzgesetz
10 Sofortmassnahmen zum Datenschutz
Impunix-Live, monatliche Webinare mit dem AGVS-Partner für Datenschutz-Themen finden Sie hier (inkl. Archiv)
Podcast (Nr. 6) zum Datenschutz im Schweizer Autogewerbe
Dokumentation des Datenschutzes aus dem AUTOINSIDE Juni 2023
Datenschutz-Checkliste zur Verwendung von künstlicher Intelligenz (KI) im Betrieb
Mehr zum Datenschutz-Full-Service von Impunix und zu kostenlosen Beratungsgesprächen finden Sie hier
Kommentar hinzufügen
Kommentare