Wir zeigen Ihnen, was Sie in Ihrem Unternehmen ab sofort beachten müssen. Unser Fokus liegt speziell auf den Implikationen für Marketing und Vertrieb, den Unternehmensbereichen, die meist direkt von personenbezogenen Daten tangiert werden.
Was Sie in Ihrem Unternehmen ab sofort beachten und verändern müssen
Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Alle Umstellungen Ihres Datenmanagements müssen bis dahin implementiert sein. Dann wird scharf geschaltet. Alle Verstöße gegen die Verordnung werden konsequent geahndet.
Hohe Bußgelder von bis zu 20 Mio. Euro oder vier Prozent des Jahresumsatzes drohen – je nachdem was höher ist. Nach dem jüngsten Facebook-Skandal ist die Sensibilität beim Thema Datenschutz nochmal gestiegen.
Hier sind die zehn wichtigsten Fragen, die Sie als CEO/GF für Ihr Unternehmen beantworten müssen. Jeden dieser zehn Punkte müssen Sie bis zur umsetzen:
1. Gilt die DSGVO auch für mein Unternehmen?
Sobald Sie personenbezogene Daten generieren oder verarbeiten werden, greift die DSGVO. Genauer: Es sind die personenbezogenen Daten relevant, die ein ökonomisches Ziel verfolgen. Nach DSGVO ist ein ökonomisches Ziel: Der betroffenen Person werden Waren oder Dienstleistungen angeboten. Es ist dabei unerheblich, wo die Daten gespeichert werden. Sobald sich die Daten auf eine Person beziehen, die während der Datenerhebung innerhalb der EU war, greift die neue Verordnung: Es gibt in der DSGVO keine Ausnahmen und die Verordnung ist allumfassend. Flucht ist keine Option!
2. Können wir die neuen Informationspflichten sicherstellen, die in der DSGVO rechtlich bindend sind?
Zukünftig muss der Nutzer bei der Datenerhebung sofort über die Erhebung informiert werden. Dabei gibt es eine Vielzahl an Informationen, die dem Nutzer offengelegt werden müssen: Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Zweck, Grundlage und Dauer der Speicherung, Löschung und Widerspruch usw. Diese Informationen müssen Sie zukünftig direkt bereitstellen, wenn Daten beim Betroffenen generiert werden. Können Sie diese Informationen nicht erteilen, ist die getroffene Datengenerierung nicht rechtens und somit strafbar.
3. Sind wir in der Lage die Daten so zu speichern, wie es durch die DSGVO rechtlich vorgeschrieben ist?
Daten müssen zukünftig besonders strukturiert und transparent gespeichert sein. Dies bedeutet in der Praxis, dass die Daten so gespeichert werden, dass alle datenverarbeitenden Mitarbeiter immer wissen, wo, was, wie und zu welchem Zweck gespeichert ist. Voraussetzung dafür ist ein funktionierendes Datenmanagement. Der Nutzer hat verschiedene Rechte, die Sie als Unternehmen innerhalb gesetzlich geregelter Fristen erfüllen müssen. Sie müssen Daten auf Anforderung löschen, berichtigen und dem Betroffenen mitteilen können, was über ihn an Daten gespeichert ist. Karteileichen, die bislang in den meisten Unternehmen ignoriert wurden, werden somit zum Problem
4. Können wir unsere Marketingmaßnahmen und die dort genutzten Daten so weiterlaufen lassen wie bisher?
Ihre „alten“ Daten dürfen nicht mehr so genutzt werden wie bisher! Das ist ein sehr zentraler Punkt. Denn die DSGVO reglementiert die Nutzung von personenbezogenen Daten neu bzw. schränkt sie deutlich ein. Nur wenn ihr Unternehmen bereits für den Stichtag gewährleisten kann, dass die Rechte der Nutzer im Sinne der neuen DSGVO eingehalten werden, dürfen sie die alten Daten benutzen. Zu den oben beschriebenen Informationspflichten müssen Sie zusätzlich dokumentieren können, woher Sie welche Daten haben – jede Quelle muss für jede einzelne Datei dokumentiert sein! Und darf auch nur dafür verwendet werden, zweckgebunden.
Das Beispiel Leadgenerierung verdeutlicht den Punkt der Zweckgebundenheit. Generieren Sie einen Lead für einen Newsletter, dann dürfen Sie diesen Lead ausschließlich für den Newsletter und nicht für diverse andere Marketingmaßnahmen nutzen. Zudem müssen sie bei der Leadgenerierung inhaltlich alle Informationspflichten gegenüber dem Betroffenen einhalten – die Leadgenerierung ist sonst nicht rechtens und der Lead nicht nutzbar.
5. Ist mein Unternehmen in der Lage alle Pflichten gegenüber Nutzern und Behörden zu erfüllen?
Durch die DSGVO haben Unternehmen Pflichten, die sie gegenüber den Nutzern einhalten müssen, um Daten rechtskonform zu verarbeiten. Die Pflichten eines datenverarbeitenden Unternehmens lassen sich auf folgende wichtigen Punkte reduzieren:
- Ein Unternehmen muss den Daten die jeweilige Quelle zuordnen und diese nachweisen können,
- Daten müssen bei Wunsch des Nutzers gelöscht, berichtigt und offengelegt werden, was unter die Auskunftspflicht fällt ,
- Das Unternehmen hat dafür zu sorgen, dass diese Punkte umgesetzt werden können
6. Erfüllt der technische Schutz unserer Daten die neuen rechtlichen Anforderungen?
Als Unternehmen, das personenbezogene Daten verarbeitet, haben Sie dafür zu sorgen, dass ihre technischen Schutzmaßnahmen auf dem neuesten und besten technischen Stand sind. Sie müssen sicherstellen, dass die Daten so technisch geschützt sind, wie es die DSGVO erfordert. Die DSGVO besagt in Art. 24, dass „geeignete technische und organisatorische Maßnahmen“ zu implementieren sind. Dadurch müssen Sie Risiken minimieren. Zudem gibt die Verordnung in Art. 25 ganz klar wieder, dass es einen Grundsatz des Datenschutzes durch Technik gibt. Die technischen Schutzmaßnahmen müssen dem neuesten technischen Standard entsprechen.
7. Ist unsere Unternehmensorganisation richtig aufgestellt, um alle Datenverarbeitungen der DSGVO entsprechend abzuhandeln?
Durch die DSGVO ändert sich, dass alle Beteiligten in Ihrem Unternehmen mit Daten sensibler umgehen müssen. Mitarbeiter, die mit diesen Daten arbeiten, dürfen nicht gegen neue Rechte verstoßen. Damit dies nicht passiert, müssen interne Schulungen durchgeführt und nachgewiesen werden. Es muss eine Prozessdokumentation erstellt und eine entsprechende Organisation nachgewiesen werden. Die Mitarbeiter sind aufzuklären und ein konkreter Praxisbezug ist herzustellen Es reicht nicht aus, bloß einen Datenschutzbeauftragten zu beschäftigen.
8. Können wir unsere laufenden Verträge weiter nutzen und können wir mit unseren bestehenden Partnern weiter zusammenarbeiten?
Laufende Verträge müssen bis zum Inkrafttreten der DSGVO dahingehend überprüft werden, ob sie mit den neuen Vorgaben der DSGVO konform sind. Alle Verträge mit Partnern, die für Sie arbeiten, müssen ebenfalls rechtlich überprüft werden.
Bei einer einzigen Abweichung sind diese Verträge nichtig – sie gelten nicht mehr.
Nur wenn die Verträge in allen Punkten mit der neuen DSGVO rechtskonform sind, bleiben sie wirksam. Zudem dürfen in der Datenverarbeitung keine Partner ausgewählt werden, deren Datenverarbeitung nicht den Vorgaben der DSGVO entsprechen. Sie müssen ihre Partner mit Sorgfalt auswählen und sicherstellen, dass sie DSGVO-konform arbeiten
9. Dürfen wir unser Profiling und E-Mailmarketing so fortführen wie bisher?
Das Profiling wird in der DSGVO genauestens thematisiert. Beim Profiling wird abgewogen, inwiefern der Vorgang das reale Leben einer Person rechtlich beeinflusst. Da es keinen rechtlichen Einfluss gibt, muss der Nutzer lediglich darüber informiert werden, dass Profiling mit seinen personenbezogenen Daten betrieben wird. Zudem muss er explizit auf sein Widerspruchsrecht hingewiesen werden.
Ihr E-Mail Marketing muss noch stärker die Einwilligung des Kunden beachten. Die Einwilligung des Kunden kann mit Inkrafttreten der DSGVO nur mit Double Opt-in sichergestellt werden. Neu ist zudem, dass abgewogen werden muss zwischen dem berechtigten Interesse des Verarbeitenden (das sind Sie) und den Interessen, Grundrechten und Freiheiten der betroffenen Person. Überwiegt das Interesse des Kunden, dürfen Sie Ihr E-Mailmarketing nicht weiterführen.
10. Dürfen Cookies beim Webtracking weiterhin so genutzt werden wie bisher?
Das Tracking entfällt unter die Rubrik des Verarbeitens von personenbezogenen Daten. Somit greift Art.4 Abs.2 DSGVO. Somit muss abgewogen werden zwischen den Interessen von Ihnen als Verarbeitenden und den Interessen des Betroffenen. Die Pseudonymisierung oder Verschlüsselung der Daten stützt die Abwägung zu ihren Gunsten. Neu ist, dass Do-Not-Track-Signale als automatisierter Widerspruch des Betroffenen bezüglich Ihres Trackings zu verstehen sind. Und die müssen Sie unmissverständlich beachten.
Sie wollen mehr erfahren? Kontaktieren Sie uns gerne.