So bereiten Sie Ihr Unternehmen in 5 Schritten auf die DSGVO vor

« Blog

Der 25. Mai 2018 wird bei der Frage, wie Unternehmen ihre Benutzerdaten verwalten, eine bedeutsame Zäsur darstellen. Denn an diesem Tag wird ein neues Datenschutzgesetz in vollem Umfang wirksam werden: die neue EU-Datenschutz-Grundverordnung. Mancher mag meinen, dass es sich dabei lediglich um eine weitere rechtliche Formalität handelt, aber glauben Sie uns: Das stimmt keineswegs. Es lässt sich nämlich ohne Übertreibung sagen, dass die Datenschutz-Grundverordnung (DSGVO) den Umgang der Unternehmen mit Kundendaten radikal ändern wird. Zudem sollten sich Unternehmen, die außerhalb Europas ansässig sind, durch das vorangestellte Kürzel „EU“ nicht zu der Annahme verleiten lassen, dass die Verordnung für sie keine Auswirkungen hätte: Die DSGVO gilt für alle Unternehmen, die Geschäftsbeziehungen mit Bürgern der Europäischen Union pflegen.

Es ist mittlerweile nicht zu übersehen, dass in Foren und Communitys im Web, die sich dem digitalen Marketing widmen, aufgrund dieser neuen Regelung die Nerven blank liegen. Insofern mag es ziemlich überraschen, dass Ende 2018, wenn die DSGVO bereits uneingeschränkt wirksam ist, Schätzungen zufolge noch immer mehr als die Hälfte aller multinationalen Konzerne die Anforderungen der Verordnung nicht erfüllen wird. Da es nur noch wenige Monate dauert, bis die DSGVO in Kraft tritt, wird es für die Unternehmen höchste Zeit, Vorbereitungen zu treffen.

GDPR_Quote_4(Update)_FB_DE

Die neue EU-Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist eine von der Europäischen Union eingeführte Rechtsvorschrift. Der Entwurf, der am 25. Mai 2018 wirksam wird, zielt darauf ab, EU-Bürgern mehr Kontrolle darüber zu geben, wie Unternehmen mit ihren personenbezogenen Daten verfahren. Es handelt sich um eine verschärfte Version der bestehenden Datenschutzgesetzgebung in der EU, die für alle Unternehmen gelten wird, die EU-Bürger zu ihren Kunden zählen.

Verglichen mit anderen Datenschutzverordnungen enthält die DSGVO eine deutlich weiter gefasste Definition personenbezogener Daten. Hiernach sind personenbezogene Daten solche, die sich auf eine betroffene Person beziehen und anhand derer sich diese Person direkt oder indirekt identifizieren lässt. Neben den üblichen Angaben – Name, Bild, E-Mail-Adresse oder Rufnummer – definiert die DSGVO auch die IP-Adresse des Computers und die Mobilgeräte-Identität als Daten, die Rückschlüsse auf Personen gestatten und deswegen durch die Verordnung geschützt sind. Weitere Informationen zur DSGVO und ihren Einfluss auf Ihr Unternehmen können Sie hier erfahren.

Was Sie nicht mehr tun dürfen, sobald die DSGVO in Kraft tritt

Auf den ersten Blick sieht es so aus, als würde die neue Verordnung vor allem der IT Kopfschmerzen bereiten. Aber auch Geschäftsbereiche wie Marketing und Vertrieb sind vor ihren Auswirkungen nicht gefeit. Vielmehr ist das Gegenteil der Fall: Um Konformität zur DSGVO zu erzielen, werden Sie lang etablierte Vertriebspraktiken generalüberholen müssen.

Die Unternehmen dürfen personenbezogene Daten von EU-Bürgern in Zukunft nicht mehr ohne Zustimmung der Betroffenen erfassen. Daher ist beispielsweise das Übertragen von Daten von einer Visitenkarte in Ihr System nur dann zulässig, wenn Sie nachweisen können, dass die auf der Karte genannte Person hierzu ihr Einverständnis erklärt hat. Gleiches gilt auch für Daten, die von Dritten erfasst wurden: Wenn Sie über personenbezogene Daten verfügen – egal welcher Herkunft –, dann sind Sie dafür verantwortlich, dass die Zustimmung auf Verlangen nachgewiesen werden kann.

Der nächste Pferdefuß: Die DSGVO gilt nicht nur für Daten, die nach Mai 2018 erfasst werden, sondern für alle Daten, die Sie im Laufe der Jahre angehäuft haben. Sie verlieren also das Recht auf Nutzung der Daten einer Person, sobald diese Ihnen die Verarbeitung dieser Daten untersagt. Wann Sie die Daten erhalten haben, spielt keine Rolle. Diese Regel gilt übrigens auch für das Löschen von Daten.

Die Rückverfolgung von IP-Adressen ist eine weitere Geschäftspraxis, auf die sich die EU-DSGVO spürbar auswirken wird. Wie bereits erwähnt sind IP-Adressen dort ausdrücklich als Daten genannt, die im Sinne der DSGVO schutzwürdig sind. Folglich dürfen Sie die IP-Adresse einer Person nicht speichern (es sei denn, Sie haben deren Zustimmung dazu erhalten).

Schließlich schützt die DSGVO Kunden auch vor Reaktivierungsprogrammen. Hierbei handelt es sich um Programme, deren Zweck darin besteht, inaktive Kunden wiederzugewinnen. Gilt die DSGVO erst einmal, dann müssen ehemalige Kunden, mit denen Sie die Geschäftsbeziehung wiederaufnehmen möchten, zunächst erneut informiert werden und der Aufnahme in solche Programme ausdrücklich zustimmen.

So bereiten Sie Ihr Unternehmen Schritt für Schritt auf die DSGVO vor

Wenn Sie bis hierher gelesen haben, haben wir Sie mit diesem Artikel hoffentlich ausreichend motivieren können, sich mit der Frage zu befassen, wie Sie Ihr Unternehmen optimal auf das Inkrafttreten der DSGVO vorbereiten. Falls nicht: Die von der EU vorgesehenen Geldbußen für die Nichteinhaltung der Verordnung liegen entweder bei 4 % des weltweiten Jahresumsatzes des betreffenden Unternehmens oder 20 Mio. EUR – je nachdem, welcher Betrag höher ist. Das sollte Ansporn genug sein.

Damit Sie einen reibungslosen Einstieg finden, skizzieren wir nachfolgend fünf Schritte, nach deren Durchführung Ihr Unternehmen DSGVO-konform sein sollte:

1.      Dokumentieren Sie Ihre Daten

Fangen Sie jetzt an, sich mit Ihren datengestützten Aktivitäten zu befassen. Sie müssen dokumentieren, woher diese Daten stammen, wie sie verwendet werden und wer innerhalb Ihres Unternehmens darauf zugreifen kann. Ermitteln Sie zunächst alle Daten, die im Sinne der DSGVO personenbezogen sind. Freundlicherweise hat Ihnen die EU die Aufgabe, personenbezogene Daten eindeutig zu definieren, bereits abgenommen. Nutzen Sie dies zu Ihrem Vorteil. Sobald Sie wissen, welche Daten tatsächlich DSGVO-relevant sind, können Sie weitere Entscheidungen wesentlich zügiger treffen.

2.     Klassifizieren Sie nützliche Daten

Nachdem Sie sich ein Bild von Ihren Daten gemacht haben, sollten Sie den tatsächlichen Wert der Daten taxieren, die Ihr Unternehmen im Laufe der Jahre gespeichert hat. Die DSGVO ermuntert Unternehmen zur Datensparsamkeit: Scheuen Sie sich nicht, Daten zu löschen, die für Ihre Geschäftsprozesse entbehrlich sind. Hiermit verringern Sie die Chance, sich später in einer misslichen Lage wiederzufinden. Als Ausgangspunkt empfiehlt sich eine Suche nach älteren Daten mit nachfolgender Bestimmung ihres Nutzens im Laufe der Jahre. Danach können Sie sich neueren Daten zuwenden. Viele Unternehmen lassen Kundendaten nur widerwillig los, denn sie könnten ja irgendwann noch einmal nützlich werden. Fallen Sie nicht darauf rein: Entfernen Sie so viel Gerümpel von Ihren Festplatten wie irgend möglich! Je schlanker Ihr Datenspeicher, desto besser – das gilt sowohl in Bezug auf die DSGVO als auch als grundsätzliche Geschäftsregel.

3.     Implementieren Sie neue Verfahren für die Datenerfassung

Wie bereits erwähnt, müssen Unternehmen das ausdrückliche Einverständnis aller Personen einholen, deren Daten sie nutzen und/oder speichern wollen. Deswegen müssen Sie Ihre bestehenden Datenerhebungspraktiken zur Erfüllung dieser Bestimmung ändern. Machen Sie sich zunächst Gedanken darüber, wie Sie die Zustimmung Ihres Kunden gewinnen, entwickeln Sie Strategien für die Übertragung an andere Dienste und implementieren Sie Prozesse für den Fall, dass Kunden die Löschung ihrer Daten verlangen. Auch auf Ihre Dokumentation müssen Sie ein Augenmerk haben und diese ebenfalls DSGVO-konform machen. Achten Sie besonders auf Ihre Geschäftsbedingungen und Datenschutzerklärungen, denn diese müssen mit an Sicherheit grenzender Wahrscheinlichkeit überarbeitet werden.

4.     Geben Sie der Datensicherheit höchste Priorität

Eines der Grundprinzipien, die in der DSGVO verankert sind, ist die von der EU sogenannte Privacy by Design (dt. „eingebauter Datenschutz“). Das bedeutet, dass der Sicherheit der Nutzerdaten bei den Unternehmen grundsätzlich Vorrang einzuräumen ist. Deswegen wird den Unternehmen auch nahegelegt, Praktiken und Prozesse unter Berücksichtigung des Datenschutzes zu entwerfen. Anders formuliert: Die Unternehmen müssen jederzeit über den Schutz ihrer Daten im Bilde sein – von dem Moment, in dem sie im System erfasst werden, bis zu dem Zeitpunkt, an dem sie es wieder verlassen. Angesichts dieser Tatsache muss Ihr Unternehmen und insbesondere Ihre IT-Abteilung Sicherheitsmaßnahmen ergreifen, um den Schutz der Nutzerdaten zu gewährleisten. Außerdem müssen Sie auch darauf achten, wie Dritte, mit denen Sie zu tun haben, das Thema Datenschutz angehen: Wenn diese ihren Verpflichtungen nicht nachkommen, kann das auch auf Ihr Unternehmen zurückfallen.

5.     Stellen Sie einen Datenschutzbeauftragten ein

Schließlich sollten Sie sich bei der Vorbereitung auf eine Welt, in der die Datenschutz-Grundverordnung Wirklichkeit geworden ist, fachmännischen Rat holen. Wobei das eigentlich kein optionaler Schritt ist: Entsprechend den formellen Vorgaben der DSGVO sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, einen Datenschutzbeauftragten (DSB) einzustellen. Ein DSB sorgt dafür, dass alle geschäftlichen Praktiken bei Ihnen DSGVO-konform sind. (Die hierbei anfallenden Kosten sind übrigens minimal verglichen mit dem, was andernfalls in Form von Bußgeldern auf Sie zukommen könnte.) Der Beauftragte ist zudem für die Installation von Datenschutzeinrichtungen auf Ihren Systemen zuständig, mit denen ein sicherer Umgang mit Daten gewährleistet wird. Laut Artikel 30 der DSGVO sind die meisten Unternehmen mit weniger als 250 Mitarbeitern von der Verpflichtung befreit, einen DSB zu benennen; ausgenommen sind nur solche Unternehmen, die regelmäßig personenbezogene Daten verarbeiten.

Fazit

Auch wenn es bis Mai 2018 noch etwas hin ist, empfiehlt es sich, besser früher als zu spät loszulegen. Die Datenschutz-Grundverordnung steht bereits vor der Tür, aber vielen Unternehmen mangelt es bei der Vorbereitung darauf am nötigen Ernst. Was wir eigentlich sagen wollen: Sie könnten die DSGVO durchaus auch als Gelegenheit betrachten, einen Vorsprung gegenüber Ihrer Konkurrenz zu erzielen - ganz zu schweigen vom Vertrauen, das Sie bei Ihren Kunden erwerben, indem Sie Datenschutz und Transparenz zu Ihrer Maxime machen. Zugegeben: Die DSGVO stellt Unternehmen weltweit vor beträchtliche Herausforderungen. Statt jedoch beim Gedanken an diese neue Regelung zurückzuschrecken, sollten Sie ihr wohlwollend gegenüberstehen und sich angemessen darauf vorbereiten. Wer weiß? Vielleicht könnte sie sich für Ihr Unternehmen noch als Segen erweisen.