Verfasst von Martin McDonald, DACH Country Manager bei Tealium
Bei der ersten Ankündigung der Datenschutz-Grundverordnung (DSGVO) handelte es sich bei der Debatte über die Verbesserung des Datenschutzes noch um das leise Grollen eines weit entfernten Gewitters. Doch jetzt, kaum zwei Jahre später, ist es eines der drängendsten Themen überhaupt. Wie bei jeder anderen großen Veränderung auch, hat es einige Zeit gedauert, bis die neuen Regelungen – samt voller Bedeutung ihrer Auswirkungen – ins allgemeine Bewusstsein vorgedrungen sind. Ganz gleich, ob Sie vor zwei Jahren oder vor zwei Wochen mit der Umsetzung begonnen haben: Wenn Sie die folgenden zehn Fragen beantworten können, sind Sie gut vorbereitet!
Wer hat Zugang zu Ihren Daten?
Von den eigenen Mitarbeitern bis hin zu Dritten: Unternehmen müssen einen klaren Audit-Trail hinsichtlich des gesamten Zugangs zur ihren Daten und der vorgesehenen Verwendung nachweisen können. Dies ist einer der markantesten Punkte, da die DSGVO den Schutz von Rechten in einer vernetzten Welt gewährleisten soll. Beispielsweise müssen Unternehmen, die Daten an Dritte weitergeben, diese darüber informieren, wenn Fehler in den Daten bekannt werden. Dieses Vorgehen ist erforderlich, wenn das in der DSGVO festgeschriebene Verantwortungsprinzip befolgt werden soll.
Wie werden Ihre Daten gespeichert?
Mit der zunehmenden Fülle verfügbarer Kundendaten ist es entscheidend, dass Unternehmen den Überblick darüber behalten, wie diese Daten verarbeitet und gespeichert werden. Während das Business-Team entscheiden muss, welche Daten für das Marketing benötigt werden und welche Insights im Bereich Operations erforderlich sind, liegt es in der Verantwortung sämtlicher Beteiligter, darauf zu achten, dass die Verarbeitung im Einklang mit Unternehmensrichtlinien und rechtlichen Vorgaben erfolgt.
Welche Art von Daten wird verarbeitet?
Unternehmen haben möglicherweise Zugang zu eigenen Daten sowie Daten von Drittanbietern. Vor dem Hintergrund der durch die DSGVO vorgesehenen Beschränkung des Zugangs zu Verbraucherdaten müssen Unternehmen die unterschiedlichen Arten der verarbeiteten Daten und insbesondere auch die entsprechenden Quellen kennen. Gleichsam sind die Unternehmen dafür verantwortlich, dass die Daten genau sowie relevant sind und im Einklang mit der DSGVO gespeichert werden, um das Risiko von Datenschutzverletzungen zu minimieren. Hinzu kommt die vielleicht offensichtlichste Auswirkung der DSGVO: das Recht Betroffener auf die Löschung ihrer Daten.
Wie holen Sie das Einverständnis zur Speicherung und Verarbeitung ein?
Es müssen Verfahren entwickelt werden, die sowohl intern als auch extern eine klare und genaue Benachrichtigung über die Nutzung der Daten gewährleisten. Die DSGVO gibt Verbrauchern das Recht festzulegen, wie deren Daten verwendet werden. Mit einem einfachen Kontrollkästchen, mit dem der Verwendung von Cookies zugestimmt wird, ist es nicht mehr getan. Die Option für das Einverständnis zur Verarbeitung personenbezogener Daten muss klar erkennbar und deutlich von anderen Geschäftsbedingungen getrennt sein. Gleichermaßen müssen Verbraucher dieses Einverständnis auch einfach zurückziehen können.
Sind Ihre Mitarbeiter vorbereitet?
Vom Vertrieb bis hin zur Geschäftsentwicklung – in sämtlichen Abteilungen müssen alle Mitarbeiter die DSGVO kennen und befolgen. Möglicherweise muss die Belegschaft hinsichtlich der neuen Bestimmungen geschult werden. Diese Investition zahlt sich langfristig jedoch aus.
Wurden die Richtlinien zum Umgang mit Daten im eigenen Unternehmen sowie gegenüber Kunden und Anbietern kommuniziert?
Die Einhaltung der DSGVO ist Sache des gesamten Unternehmens, von der Geschäftsleitung bis hin zum einfachen Mitarbeiter. Die Verfahren zum Umgang mit Daten müssen im gesamten Unternehmen klar kommuniziert werden, damit die entsprechenden Richtlinien von allen Abteilungen, Kunden und Anbietern eingehalten werden. Datenschutzhinweise für Kunden müssen Erläuterungen zur rechtlichen Grundlage der Datenverarbeitung, zur Dauer der Speicherung sowie zum Recht des Kunden enthalten, eine Beschwerde beim Europäischen Datenschutzbeauftragten (EDSB) einzulegen.
Verfügen Sie über einen Plan für die Bearbeitung von Auskunftsersuchen betroffener Personen innerhalb der neuen Fristen?
Im Rahmen der Kontrolle über die eigenen Daten, die die DSGVO gewährt, haben betroffene Personen jederzeit das Recht auf Auskunft bezüglich der über sie gespeicherten Daten. Unternehmen müssen die geforderten Informationen innerhalb eines Monats bereitstellen. Andernfalls drohen Strafgebühren.
Verfügen Sie über Verfahren für die Ermittlung von Datenschutzverletzungen sowie die entsprechende Meldung und Untersuchung?
Unternehmen sind jetzt verpflichtet, alle datenschutzrelevanten Vorfälle, die die Rechte und Freiheiten Betroffener beeinträchtigen, dem EDSB zu melden. In den meisten Fällen sind zudem auch die direkt Betroffenen zu informieren. Strafgebühren werden für das Unterlassen einer vorgeschriebenen Meldung bezüglich einer Datenschutzverletzung ebenso fällig wie für die Datenschutzverletzung selbst. Es ist unerlässlich, dass Unternehmen bereits gespeicherte personenbezogene Daten prüfen, um mögliche Risiken zu ermitteln.
Haben Sie einen Datenschutzbeauftragten benannt, der die Einhaltung des Datenschutzes übersieht?
Es muss ein Mitarbeiter benannt werden, der sich um die Einhaltung der Datenschutzbestimmungen kümmert. Organisationen sollten die formale Ernennung eines Datenschutzbeauftragten in Erwägung ziehen, insbesondere, wenn es sich bei ihnen um Behörden handelt, die regelmäßig in großem Umfang personenbezogene Daten erfassen oder in großem Maße spezielle Daten verarbeiten wie beispielsweise Krankenakten.
Haben Sie, falls Sie international (beispielsweise in mehr als einem EU-Land) tätig sind, die zuständige Datenschutzbehörde ermittelt?
Bei der Tätigkeit in mehreren EU-Ländern muss unbedingt die zuständige Datenschutzbehörde ermittelt werden. Hierbei handelt es sich um die Behörde des Landes, in dem die zentrale Datenverarbeitung des Unternehmens in der EU stattfindet. Wenn also ein Unternehmen in mehreren EU-Ländern tätig ist, müssen Datenschutzverletzungen der Datenschutzbehörde des Landes gemeldet werden, in dem sich die Niederlassung des Unternehmens befindet, in der die Daten hauptsächlich gespeichert und verarbeitet werden.
über Martin McDonald:
Martin McDonald ist Country Manager für Deutschland, Österreich und die Schweiz bei Tealium, einer Plattform für Realtime-Kundendaten-Lösungen und Enterprise Tag Management. Mit mehr als zehn Jahren Erfahrung als Leiter von Sales-Teams ist er Experte darin, Unternehmen beim Durchstarten auf dem deutschsprachigen Markt zu helfen. Spezialisiert hat er sich auf die Wettbewerbsanalyse.