Das Internet hat unsere Kommunikation und den Umgang mit unseren täglichen Aufgaben drastisch verändert. Alles geschieht heute digital. Wir senden E-Mails, teilen Dokumente, zahlen Rechnungen und kaufen Produkte online.
Haben Sie sich schon einmal gefragt, wie viele persönliche Daten von Ihnen im Internet gespeichert sind? Und was passiert mit diesen Informationen? Wir sprechen über Bankinformationen, Kontaktdaten, Adressen, Social Media-Beiträge … sogar Ihre IP-Adresse und die Websites, die Sie besucht haben, werden digital gespeichert.
Die Unternehmen erklären Ihnen, dass sie diese Art von Informationen erfassen, um Ihnen einen besseren Service, gezieltere und relevantere Informationen und eine bessere Kundenerfahrung anbieten zu können.
Doch werden diese Daten wirklich dafür verwendet?
Mit genau dieser Frage hat sich die EU befasst. Die Antwort ist eine neue europäische Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt und einige Neuerungen zur Erfassung, Aufbewahrung und Verwendung von Kundendaten mit sich bringt.
In diesem Artikel erklären wir, worum es in der DSGVO geht und welche Auswirkungen sie auf Ihr Unternehmen hat. Außerdem geben wir Ihnen einige praktische Tipps, wie Sie sich bereits heute auf die DSGVO vorbereiten.
Was ist DSGVO?
Am 25. Mai 2018 wird eine neue europäische Datenschutzverordnung mit dem Titel "Datenschutz-Grundverordnung" (DSGVO Englisch = GDPR) in Kraft treten. Diese Regelung wird in allen lokalen Datenschutzgesetzen, über die gesamte EU- und den EWR (Europäischer Wirtschaftsraum) hinweg, umgesetzt. Sie gilt für alle Unternehmen, die personenbezogene Daten über Bürger in Europa, einschließlich Unternehmen auf anderen Kontinenten, verkaufen und speichern. Sie bietet den Bürgern der EU und des EWR eine stärkere Kontrolle über ihre personenbezogenen Daten und stellt sicher, dass ihre Informationen in ganz Europa sicher geschützt sind.
Gemäß der GDPR-Richtlinie sind personenbezogene Daten Informationen, die sich auf eine Person beziehen; beispielweise ein Name, ein Foto, eine E-Mail-Adresse, eine Bankverbindung, Beiträge auf Social-Networking-Websites, Standortdetails, medizinische Informationen oder eine Computer-IP-Adresse.
Es gibt keinen Unterschied zwischen personenbezogenen Daten über Personen in ihrer privaten, öffentlichen oder Arbeitsrolle - die Person ist die Person. Auch in einer B2B-Einstellung geht es um Einzelpersonen, die interagieren und Informationen mit und übereinander teilen. Kunden in B2B-Märkten sind offensichtlich Unternehmen, aber die Beziehungen, die Business-Themen behandeln, werden zwischen Menschen geschlossen - oder Individuen.
Unter DSGVO haben Individuen:
1. Das Recht auf Zugang
Dies bedeutet, dass Einzelpersonen das Recht haben, den Zugang zu ihren persönlichen Daten zu verlangen und zu erfragen, wie ihre Daten von einem Unternehmen verwendet werden, nachdem diese gesammelt worden sind. Das Unternehmen muss auf Wunsch eine Kopie der personenbezogenen Daten vorlegen; kostenlos und in elektronischer Form.
2. Das Recht, vergessen zu werden.
Wenn Einzelpersonen keine Kunden mehr sind oder wenn sie die Zustimmung zur Nutzung ihrer persönlichen Daten bei einer Firma zurückziehen, dann ist es ihr Recht, dass ihre Daten gelöscht werden.
3. Das Recht auf Datenportabilität
Einzelpersonen haben das Recht, ihre Daten von einem Dienstanbieter zu einem anderen zu übertragen. Und es muss in einem gängigen und maschinenlesbaren Format passieren.
4. Das Recht, informiert zu werden
Dies umfasst alle Datenerhebungen von Unternehmen. Einzelpersonen müssen informiert werden, bevor Daten gesammelt werden. Die Konsumenten müssen sich dafür entscheiden, dass ihre Daten gesammelt werden und die Zustimmung muss gegeben und darf nicht nur angedeutet werden.
5. Das Recht, dass Informationen korrigiert werden
Dies stellt sicher, dass Einzelpersonen ihre Daten aktualisieren lassen können, wenn sie veraltet oder unvollständig oder falsch sind.
6. Das Recht, die Verarbeitung zu beschränken
Einzelpersonen können verlangen, dass ihre Daten nicht verarbeitet werden. Ihr Datensatz kann an Ort und Stelle bleiben, darf aber nicht verwendet werden.
7. Der Widerspruch
Dazu gehört auch das Recht von Einzelpersonen, die Verarbeitung ihrer Daten für Direktmarketing zu stoppen. Es gibt keine Ausnahmen von dieser Regel und jede Verarbeitung muss aufhören, sobald die Anfrage eingegangen ist. Darüber hinaus muss dieses Recht den Einzelnen zu Beginn jeder Kommunikation klar gemacht werden.
8. Das Recht, benachrichtigt zu werden
Bei einer Datenverletzung, die die personenbezogenen Daten eines Einzelnen beeinträchtigt, hat der Einzelne das Recht, innerhalb von 72 Stunden nach Kenntnis von der Verletzung informiert zu werden.
GDPR ist die Möglichkeit der EU, Einzelpersonen, Interessenten, Kunden, Unternehmern und Mitarbeitern mehr Handhabe über ihre eigenen Daten zu geben und gibt den Organisationen weniger Macht, die diese Daten für Geld sammeln und nutzen.
Die geschäftlichen Implikationen von DSGVO
Das neue Datenschutzgesetz räumt dem Verbraucher mehr Rechte ein und stellt Unternehmen vor die Aufgabe, die neuen Richtlinien einzuhalten.
Kurz, die GSDVO gilt für alle Unternehmen und Organisationen mit Sitz in der EU, unabhängig davon, ob die Daten in der EU verarbeitet werden oder nicht. Auch Organisationen, die nicht in der EU ansässig sind, unterliegen der GSDVO. Wenn ein Unternehmen Waren bzw. Services für Bürger in der EU anbietet, muss es die GSDVO einhalten.
Alle Organisationen und Unternehmen, die mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten ernennen, der die Einhaltung der GSDVO überwacht und für Verstöße verantwortlich ist.
Unternehmen und Organisationen, die gegen die DSGVO verstoßen, müssen mit drastischen Strafen von bis zu 4 % des globalen Jahresumsatzes oder 20 Millionen Euro rechnen, je nachdem, welcher Betrag höher ist.
Viele Menschen glauben, dass die DSGVO nur die IT betrifft, doch das ist ein Irrtum. Die neue Verordnung hat weitreichende Folgen für das ganze Unternehmen, einschließlich seiner Marketing-und Vertriebsaktivitäten.
Die Auswirkung der DSGVO auf die Interaktion mit Kunden
Die Bedingungen, unter denen die Zustimmung eingeholt wird, sind unter der DSGVO strenger. Denn Einzelpersonen haben das Recht, ihre Zustimmung jederzeit zu widerrufen. Außerdem gilt die Zustimmung erst dann als gültig, wenn separate Zustimmungen für verschiedene Bearbeitungsvorgänge eingeholt wurden.
Das bedeutet, Sie müssen nachweisen können, dass die Person einer bestimmten Aktion zugestimmt hat, zum Beispiel dem Erhalt eines Newsletters. Es ist nicht erlaubt, von einer stillschweigenden Zustimmung auszugehen oder einen Haftungsausschluss hinzuzufügen, und es reicht nicht aus, eine Opt-Out-Option anzubieten.
Diese Neuerungen wirken sich auf viele Unternehmensbereiche aus, z. B. auf die Durchführung von Marketing- und Vertriebsaktivitäten. Unternehmen müssen ihre Geschäftsprozesse, Anwendungen und Formulare auf die Einhaltung der Double-Opt-in-Richtlinie und Best-Practices zum E-Mail-Marketing überprüfen. Um sich für den Erhalt von Informationen anzumelden, müssen Kunden ein Formular ausfüllen oder ein Häkchen setzen und diesen Vorgang dann in einer weiteren E-Mail bestätigen.
Unternehmen müssen nachweisen, dass die Zustimmung erteilt wurde, falls eine Person den Erhalt von Informationen ablehnt. Das bedeutet, dass alle gespeicherten Daten einen Prüfpfad haben müssen, der mit einem Zeitstempel und Berichtsdaten versehen ist, und zeigt, welchem Vorgang und auf welche Weise die Person zugestimmt hat.
Auch wenn Sie Marketinglisten einkaufen, sind Sie verantwortlich dafür, die Zustimmung ordnungsgemäß einzuholen. Das gilt auch, wenn ein Lieferant oder Partner für die Erfassung der Daten verantwortlich ist.
Im B2B-Bereich treffen Vertriebsmitarbeiter potentielle Kunden häufig auf Messen, wo sie Visitenkarten austauschen. Später im Büro fügen sie dann die Kontakte zur Mailingliste ihres Unternehmens hinzu. Im Jahr 2018 wird dies nicht mehr möglich sein. Unternehmen müssen neue Wege suchen, um Kundendaten zu sammeln.
Erste Vorbereitungen für Mai 2018
Eine wichtige Komponente der DSGVO ist Privacy by Design.
Privacy by Design erfordert, dass alle Abteilungen ihre Daten und Datenverarbeitung genau unter die Lupe nehmen. Unternehmen müssen zur Einhaltung der DSGVO mehrere Maßnahmen ergreifen. Hier sind nur die ersten wichtigen Schritte, um Ihnen den Einstieg zu erleichtern:
1. Übersicht Ihrer Unternehmensdaten
Erstellen Sie eine Übersicht der personenbezogenen Daten in Ihrem Unternehmen und dokumentieren Sie, wie Sie mit diesen Daten umgehen. Ermitteln Sie, wo diese Daten gespeichert werden, wer darauf zugreifen kann und ob die Daten Risiken ausgesetzt sind.
2. Ermitteln der Daten, die Sie behalten müssen
Speichern Sie nicht mehr Informationen als erforderlich und löschen Sie alle Daten, die nicht verwendet werden. Wenn Ihr Unternehmen viele Daten ohne einen wirklichen Nutzen sammelt, werden Sie dies mit der neuen DSGVO ändern müssen. Die DSGVO erfordert einen disziplinierten Umgang mit personenbezogenen Daten.
Stellen Sie sich bei der Datenbereinigung folgende Fragen:
- Warum genau archivieren wir diese Daten, anstatt sie zu löschen?
- Warum speichern wir all diese Daten?
- Was bezwecken wir mit dem Erfassen verschiedener Kategorien personenbezogener Informationen?
- Ist der finanzielle Vorteil größer, wenn Sie diese Informationen löschen anstatt sie zu verschlüsseln?
3. Ergreifen von Sicherheitsmaßnahmen
Entwickeln und implementieren Sie für Ihre gesamte Infrastruktur Schutzmaßnahmen, die die Verletzung der Datensicherheit verhindern. Das bedeutet die Implementierung von Sicherheitsmaßnahmen, die die Daten schützen, und das Ergreifen schneller Maßnahmen zur Benachrichtigung von Einzelpersonen und Behörden, falls es zu einer Verletzung der Datensicherheit gekommen ist.
Prüfen Sie auch die Verfahren Ihrer Zulieferer. Das Outsourcing befreit Sie nicht von Ihren Verpflichtungen. Sie müssen sicherstellen, dass auch Ihre Lieferanten geeignete Sicherheitsvorkehrungen getroffen haben.
4. Prüfen Ihrer Dokumentation
Nach der DSGVO müssen Einzelpersonen der Erfassung und Verarbeitung ihrer Daten ausdrücklich zustimmen. Vorab angekreuzte Kästchen und stillschweigende Zustimmung sind nicht mehr zulässig. Sie müssen alle Ihre Erklärungen und Angaben zum Datenschutz überprüfen und sie gegebenenfalls anpassen.
5. Festlegen von Verfahren zur Bearbeitung personenbezogener Daten
Wie bereits erwähnt haben Einzelpersonen nach der DSGVO acht grundlegende Rechte.
Sie müssen Richtlinien und Verfahren für den Umgang mit den einzelnen Punkten festlegen.
Zum Beispiel:
- Wie können Einzelpersonen ihre Zustimmung ordnungsgemäß erteilen?
- Welcher Prozess wird angewendet, wenn eine Einzelperson verlangt, dass ihre Daten gelöscht werden?
- Wie stellen Sie sicher, dass die Daten wirklich aus allen Systemen gelöscht werden?
- Wie gehen Sie vor, wenn eine Person ihre Daten übertragen möchte?
- Wie prüfen Sie die Identität der Person, die den Antrag auf Datenübertragung gestellt hat?
- Welchen Kommunikationsplan haben Sie im Falle einer Datenschutzverletzung?
Zusammenfassung
In der neuen Welt sind Daten eine kostbare Währung.
Und während die DSGVO uns als Unternehmen vor viele Herausforderungen stellt, bietet sie auch Chancen.
Unternehmen, die zeigen, dass sie die Privatsphäre einer Person (über die rechtlichen Vorgaben hinaus) schützen, die Verwendung der Daten transparent darlegen, neue und bessere Methoden zur Verwaltung von Kundendaten im gesamten Lebenszyklus entwickeln und implementieren, schaffen Vertrauen und gewinnen mehr loyale Kunden.
Mai 2018 scheint zwar im Moment noch weit weg zu sein, doch ein Jahr geht schnell vorbei. Wenn Sie noch nicht mit der Umsetzung der neuen Richtlinien begonnen haben, sollten Sie dies jetzt tun.
Nehmen Sie sich die Zeit, um die erforderlichen Schritte zur Einhaltung der neuen Verordnung zu ermitteln und nutzen Sie die praktischen Tipps in diesem Artikel, um mit der Implementierung zu beginnen.
Erstellen Sie dann einen Maßnahmenplan für die Implementierung der DSGVO, sodass Sie dem Mai 2018 gelassen entgegen blicken und alle Fragen Ihrer Kunden bezüglich der Einhaltung der neuen Verordnung beantworten können.
Wenn Sie mehr darüber erfahren möchten, wie die DSGVO sich auf Ihre Kundendaten auswirkt, bitte kontaktieren Sie uns!