Das Internet hat unsere Kommunikation und den Umgang mit unseren täglichen Aufgaben drastisch verändert. Alles geschieht heute digital. Wir senden E-Mails, teilen Dokumente, zahlen Rechnungen und kaufen Produkte online.
Haben Sie sich schon einmal gefragt, wie viele persönliche Daten von Ihnen im Internet gespeichert sind? Und was passiert mit diesen Informationen? Wir sprechen über Bankinformationen, Kontaktdaten, Adressen, Social Media-Beiträge … sogar Ihre IP-Adresse und die Websites, die Sie besucht haben, werden digital gespeichert.
Die Unternehmen erklären Ihnen, dass sie diese Art von Informationen erfassen, um Ihnen einen besseren Service, gezieltere und relevantere Informationen und eine bessere Kundenerfahrung anbieten zu können.
Doch werden diese Daten wirklich dafür verwendet?
Mit genau dieser Frage hat sich die EU befasst. Die Antwort ist eine neue europäische Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt und einige Neuerungen zur Erfassung, Aufbewahrung und Verwendung von Kundendaten mit sich bringt.
In diesem Artikel erklären wir, worum es in der DSGVO geht und welche Auswirkungen sie auf Ihr Unternehmen hat. Außerdem geben wir Ihnen einige praktische Tipps, wie Sie sich bereits heute auf die DSGVO vorbereiten.
Was ist die DSGVO?
Im Mai 2018 tritt eine neue europäische Datenschutzrichtlinie mit der Bezeichnung Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese Regulierung betrifft die Datenschutzgesetze vor Ort in allen Ländern der EU und des EWR. Sie gilt für alle Unternehmen, die Produkte an europäische Bürger verkaufen und deren personenbezogene Daten speichern, einschließlich Firmen auf anderen Kontinenten. Die neue Richtlinie gibt EU- und EWR-Bürgern mehr Kontrolle über ihre personenbezogenen Daten und stellt sicher, dass ihre Informationen europaweit geschützt sind.
Gemäß der DSGVO sind personenbezogene Daten alle Daten zu einer Person, wie Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den Social Media, Angaben zum Wohnort, medizinische Daten oder IP-Adressen.
Es wird nicht unterschieden zwischen personenbezogenen Daten im privaten, öffentlichen oder arbeitsbezogenen Umfeld einer Person – es geht immer um die Person selbst. Auch im B2B-Bereich geht es immer um Einzelpersonen, die Informationen mit- und übereinander austauschen. Kunden in B2B-Märkten sind natürlich Unternehmen, doch die Geschäftsbeziehungen werden von einzelnen Personen gepflegt.
Nach der DSGVO haben Einzelpersonen folgende Rechte:
1. Zustimmung muss erteilt werden
Unternehmen dürfen personenbezogene Daten nur dann verarbeiten, wenn
die betreffende Person freiwillig eine spezifische, wissentliche und eindeutige Zustimmung entweder durch eine Erklärung oder aktive Bestätigung erteilt hat.
2. Das Recht auf Zugang
Einzelpersonen haben das Recht, auf ihre personenbezogenen Daten zuzugreifen und zu erfahren, wie ihre Daten von dem Unternehmen, das diese Daten erfasst hat, verwendet werden. Das Unternehmen muss eine Kopie der personenbezogenen Daten kostenlos und im elektronischen Format bereitstellen, wenn die Person dies wünscht.
3. Das Recht auf Vergessenwerden
Wenn Kunden keine Kunden mehr sind, oder wenn sie einem Unternehmen die Zustimmung zur Verwendung ihrer personenbezogenen Daten entziehen, so haben sie das Recht darauf, dass ihre Daten gelöscht werden.
4. Das Recht auf Datenübertragbarkeit
Einzelpersonen haben das Recht, ihre Daten von einem Serviceanbieter auf den anderen zu übertragen. Die Übertragung muss in einem gängigen und maschinenlesbaren Format erfolgen.
5. Das Informationsrecht
Dies gilt für jede Erfassung von Daten durch Unternehmen. Einzelpersonen müssen informiert werden, bevor Daten gesammelt werden. Verbraucher müssen der Erfassung ihrer Daten zustimmen und die Zustimmung muss ausdrücklich und nicht stillschweigend erteilt werden
6. Das Recht auf Berichtigung
Einzelpersonen können ihre Daten berichtigen lassen, wenn diese veraltet, unvollständig oder falsch sind.
7. Das Recht auf Einschränkung
Einzelpersonen können verlangen, dass ihre Daten nicht weiterverarbeitet werden. Der Datensatz bleibt bestehen, wird aber nicht verwendet.
8. Das Recht auf Einspruch
Einzelpersonen haben das Recht, gegen die Verwendung von Daten für direktes Marketing Einspruch einzulegen. Diese Regelung gilt ausnahmslos. Sobald der Antrag vorliegt, dürfen die Daten nicht mehr verwendet werden. Ebenso muss dieses Recht Einzelpersonen von vornherein mitgeteilt werden.
9. Das Recht auf Benachrichtigung
Wenn es zu einer Verletzung der Datensicherheit kommt, die die personenbezogenen Daten betreffen, hat die betroffene Person das Recht, innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, informiert zu werden.
Mit der DSGVO gibt die EU Einzelpersonen, Interessenten, Kunden, Lieferanten und Mitarbeitern mehr Kontrolle über ihre Daten. Die Kontrolle der Unternehmen, die diese Daten zu kommerziellen Zwecken erfassen und verwenden, wird damit geringer. Es ist nicht das Ziel der Verordnung, Geschäfte zu unterbinden oder zu erschweren. Vielmehr sollen die Aufbewahrung und Verwendung personenbezogener Daten transparenter werden.
Die Geschäftsauswirkungen der DSGVO
Das neue Datenschutzgesetz räumt dem Verbraucher mehr Rechte ein und stellt Unternehmen vor die Aufgabe, die neuen Richtlinien einzuhalten.
Kurz, die gilt für alle Unternehmen und Organisationen mit Sitz in der EU, unabhängig davon, ob die Daten in der EU verarbeitet werden oder nicht. Auch Organisationen, die nicht in der EU ansässig sind, unterliegen der DSGVO. Wenn ein Unternehmen Waren bzw. Services für Bürger in der EU anbietet, muss es die DSGVO einhalten.
Alle Organisationen und Unternehmen, die mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten ernennen, der die Einhaltung der DSGVO überwacht und für Verstöße verantwortlich ist.
Unternehmen und Organisationen, die gegen die DSGVO verstoßen, müssen mit drastischen Strafen von bis zu 4 % des globalen Jahresumsatzes oder 20 Millionen Euro rechnen, je nachdem, welcher Betrag höher ist.
Viele Menschen glauben, dass die DSGVO nur die IT betrifft, doch das ist ein Irrtum. Die neue Verordnung hat weitreichende Folgen für das ganze Unternehmen, einschließlich seiner Marketing-und Vertriebsaktivitäten.
Die Auswirkung der DSGVO auf die Interaktion mit Kunden
Die Bedingungen, unter denen die Zustimmung eingeholt wird, sind unter der DSGVO strenger. Denn Einzelpersonen haben das Recht, ihre Zustimmung jederzeit zu widerrufen. Außerdem gilt die Zustimmung erst dann als gültig, wenn separate Zustimmungen für verschiedene Bearbeitungsvorgänge eingeholt wurden.
Das bedeutet, Sie müssen nachweisen können, dass die Person einer bestimmten Aktion zugestimmt hat, zum Beispiel dem Erhalt eines Newsletters. Es ist nicht erlaubt, von einer stillschweigenden Zustimmung auszugehen oder einen Haftungsausschluss hinzuzufügen, und es reicht nicht aus, eine Opt-Out-Option anzubieten.
Diese Neuerungen wirken sich auf viele Unternehmensbereiche aus, z. B. auf die Durchführung von Marketing- und Vertriebsaktivitäten. Unternehmen müssen ihre Geschäftsprozesse, Anwendungen und Formulare auf die Einhaltung der Double-Opt-in-Richtlinie und Best-Practices zum E-Mail-Marketing überprüfen. Um sich für den Erhalt von Informationen anzumelden, müssen Kunden ein Formular ausfüllen oder ein Häkchen setzen und diesen Vorgang dann in einer weiteren E-Mail bestätigen.
Unternehmen müssen nachweisen, dass die Zustimmung erteilt wurde, falls eine Person den Erhalt von Informationen ablehnt. Das bedeutet, dass alle gespeicherten Daten einen Prüfpfad haben müssen, der mit einem Zeitstempel und Berichtsdaten versehen ist, und zeigt, welchem Vorgang und auf welche Weise die Person zugestimmt hat.
Auch wenn Sie Marketinglisten einkaufen, sind Sie verantwortlich dafür, die Zustimmung ordnungsgemäß einzuholen. Das gilt auch, wenn ein Lieferant oder Partner für die Erfassung der Daten verantwortlich ist.
Im B2B-Bereich treffen Vertriebsmitarbeiter potentielle Kunden häufig auf Messen, wo sie Visitenkarten austauschen. Später im Büro fügen sie dann die Kontakte zur Mailingliste ihres Unternehmens hinzu. Im Jahr 2018 wird dies nicht mehr möglich sein. Unternehmen müssen neue Wege suchen, um Kundendaten zu sammeln.
Erste Vorbereitungen für Mai 2018
Eine wichtige Komponente der DSGVO ist Privacy by Design.
Privacy by Design erfordert, dass alle Abteilungen ihre Daten und Datenverarbeitung genau unter die Lupe nehmen. Unternehmen müssen zur Einhaltung der DSGVO mehrere Maßnahmen ergreifen. Hier sind nur die ersten wichtigen Schritte, um Ihnen den Einstieg zu erleichtern:
1. Übersicht Ihrer Unternehmensdaten
Erstellen Sie eine Übersicht der personenbezogenen Daten in Ihrem Unternehmen und dokumentieren Sie, wie Sie mit diesen Daten umgehen. Ermitteln Sie, wo diese Daten gespeichert werden, wer darauf zugreifen kann und ob die Daten Risiken ausgesetzt sind.
2. Ermitteln der Daten, die Sie behalten müssen
Speichern Sie nicht mehr Informationen als erforderlich und löschen Sie alle Daten, die nicht verwendet werden. Wenn Ihr Unternehmen viele Daten ohne einen wirklichen Nutzen sammelt, werden Sie dies mit der neuen DSGVO ändern müssen. Die DSGVO erfordert einen disziplinierten Umgang mit personenbezogenen Daten.
Stellen Sie sich bei der Datenbereinigung folgende Fragen:
- Warum genau archivieren wir diese Daten, anstatt sie zu löschen?
- Warum speichern wir all diese Daten?
- Was bezwecken wir mit dem Erfassen verschiedener Kategorien personenbezogener Informationen?
- Ist der finanzielle Vorteil größer, wenn Sie diese Informationen löschen anstatt sie zu verschlüsseln?
3. Ergreifen von Sicherheitsmaßnahmen
Entwickeln und implementieren Sie für Ihre gesamte Infrastruktur Schutzmaßnahmen, die die Verletzung der Datensicherheit verhindern. Das bedeutet die Implementierung von Sicherheitsmaßnahmen, die die Daten schützen, und das Ergreifen schneller Maßnahmen zur Benachrichtigung von Einzelpersonen und Behörden, falls es zu einer Verletzung der Datensicherheit gekommen ist.
Prüfen Sie auch die Verfahren Ihrer Zulieferer. Das Outsourcing befreit Sie nicht von Ihren Verpflichtungen. Sie müssen sicherstellen, dass auch Ihre Lieferanten geeignete Sicherheitsvorkehrungen getroffen haben.
4. Prüfen Ihrer Dokumentation
Nach der DSGVO müssen Einzelpersonen der Erfassung und Verarbeitung ihrer Daten ausdrücklich zustimmen. Vorab angekreuzte Kästchen und stillschweigende Zustimmung sind nicht mehr zulässig. Sie müssen alle Ihre Erklärungen und Angaben zum Datenschutz überprüfen und sie gegebenenfalls anpassen.
5. Festlegen von Verfahren zur Bearbeitung personenbezogener Daten
Wie bereits erwähnt haben Einzelpersonen nach der DSGVO acht grundlegende Rechte.
Sie müssen Richtlinien und Verfahren für den Umgang mit den einzelnen Punkten festlegen.
Zum Beispiel:
1. Wie können Einzelpersonen ihre Zustimmung ordnungsgemäß erteilen?
2. Welcher Prozess wird angewendet, wenn eine Einzelperson verlangt, dass ihre Daten gelöscht werden?
3. Wie stellen Sie sicher, dass die Daten wirklich aus allen Systemen gelöscht werden?
4. Wie gehen Sie vor, wenn eine Person ihre Daten übertragen möchte?
5. Wie prüfen Sie die Identität der Person, die den Antrag auf Datenübertragung gestellt hat?
6. Welchen Kommunikationsplan haben Sie im Falle einer Datenschutzverletzung?
Zusammenfassung
In der neuen Welt sind Daten eine kostbare Währung.
Und während die DSGVO uns als Unternehmen vor viele Herausforderungen stellt, bietet sie auch Chancen.
Unternehmen, die zeigen, dass sie die Privatsphäre einer Person (über die rechtlichen Vorgaben hinaus) schützen, die Verwendung der Daten transparent darlegen, neue und bessere Methoden zur Verwaltung von Kundendaten im gesamten Lebenszyklus entwickeln und implementieren, schaffen Vertrauen und gewinnen mehr loyale Kunden.
Mai 2018 scheint zwar im Moment noch weit weg zu sein, doch ein Jahr geht schnell vorbei. Wenn Sie noch nicht mit der Umsetzung der neuen Richtlinien begonnen haben, sollten Sie dies jetzt tun.
Nehmen Sie sich die Zeit, um die erforderlichen Schritte zur Einhaltung der neuen Verordnung zu ermitteln und nutzen Sie die praktischen Tipps in diesem Artikel, um mit der Implementierung zu beginnen.
Erstellen Sie dann einen Maßnahmenplan für die Implementierung der DSGVO, sodass Sie dem Mai 2018 gelassen entgegen blicken und alle Fragen Ihrer Kunden bezüglich der Einhaltung der neuen Verordnung beantworten können.
Wenn Sie mehr darüber erfahren möchten, wie die DSGVO sich auf Ihre Kundendaten auswirkt, bitte kontaktieren Sie uns!
Laden Sie unser neues Whitepaper herunter, um mehr über die DSGVO zu erfahren und welchen Einfluß sie auf Ihre Kundenbeziehungen nimmt.
Haftungsausschluss: Der Inhalt in diesem Artikel darf nicht als Rechtsberatung angesehen werden und dient nur zu Informationszwecken.