Im Mai 2018 ist es soweit. Die neue EU Datenschutz-Verordnung (DSGVO) tritt Kraft. Wie schaut die Vorbereitung in deinem Unternehmen aus? Steht schon ein Plan mit Budget und Timing? Sind die Vorbereitungen vielleicht schon abgeschlossen? Oder gehört ihr zu der Vielzahl an Firmen, die bei diesem Thema lieber auf Verdrängung setzen, als die bevorstehenden Herausforderungen zu konfrontieren? Weil das gar nicht so eine einfache Aufgabe ist, wollen wir hier einen Überblick geben, über die wichtigsten Fragen, Veränderungen, Fakten und Tools, die jedem Unternehmen helfen können, den neuen Datenschutz-Bestimmungen zu entsprechen.
HubSpot hat sich damit schon gründlichst auseinander gesetzt und arbeitet gerade auf Hochtouren daran, dass die Software die Einhaltung der neuen Verordnung gewährleistet. Gerade wenn es um Werbung und Marketing geht, steht das Sammeln und Verarbeiten personenbezogener Daten oft im Mittelpunkt des Tun und Schaffens. Auch große Unternehmen wie Facebook und Google haben hier immer wieder mit mangelndem Vertrauen zu kämpfen. Deshalb ist es von besonderer Bedeutung über die neuen Bestimmungen Bescheid zu wissen und Lösungen zu finden, um ihnen zu entsprechen.
In diesem Beitrag gehen wir darauf ein, wie HubSpot sowohl Unternehmen, die bereits mit einem CRM arbeiten als auch jenen, die noch keinen implementiert haben, helfen kann, die Herausforderung der DSGVO zu meistern.
Da sich HubSpot ohnehin seit längerem ziemlich intensiv mit der neuen Verordnung beschäftigt, hat die Marketing- und Sales Software eine Aufklärungsseite zum Thema DSGVO erstellt. Auf die werden wir im Zuge dieses Beitrags unter anderem zurück greifen. Wer sich ein genaueres Bild davon machen möchte, wie HubSpot das angeht, kann auch einfach mal bei HubSpot vorbei schauen.
Was ist die DSGVO genau?
Die neue DSGVO rückt anstelle der 1995 beschlossenen EU-Datenschutzlinie. Sie tritt europaweit in Kraft und gilt daher auch für alle österreichischen Unternehmen – angefangen bei EPU bis hin zu großen Konzernen. Dabei kommt auf Unternehmen eine größere Verantwortung zu, was den Umgang mit personenbezogenen Daten betrifft. Durch die Verordnung sollen diese nämlich verstärkt geschützt werden.
Im Zuge dessen müssen alle Unternehmen und öffentliche Organisationen ein Verzeichnis führen, in dem die Erfassung und Verarbeitung der Daten nachvollzogen und rückverfolgt werden kann. Zusätzlich sind bestimmte Betriebe dazu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen (mehr dazu unten).
Ganz grob lassen sich die Ziele der Änderungen, die an der EU-Datenschutzrichtlinie von 1995 gemacht wurden, so zusammenfassen: Die Rechte von betroffenen Personen werden noch mehr gestärkt und die Sanktionen, bei Verletzungen dieser Rechte, werden noch strenger. Wie streng diese Sanktionen sind, drücken folgende Zahlen aus:
Horizont Online berichtete: “Für„administrative“ Vergehen werden zehn Millionen Euro oder zwei Prozent des globalen Umsatzes fällig, für „fundamentale ethische Vergehen“ sind es 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was mehr ist.”
Für die komplette Fassung der DSGVO, klicke hier.
Gilt die DSGVO für mein Unternehmen?
Gilt die DSGVO für mein Unternehmen?
Höchstwahrscheinlich ja. Die DSGVO gilt für dich, wenn dein Unternehmen bzw. öffentliche Organisation ihren Sitz innerhalb der EU hat bzw. selbst wenn sich der Sitz außerhalb der EU befindet, aber das Unternehmen die Produkte an Konsumenten innerhalb der EU vertreibt oder durch Datenerfassung und -verarbeitung von EU-Bürgerinnen deren Verhalten beobachtet.
Was wird sich genau ändern:
Was wird sich genau ändern:
I. Was ändert sich für Einzelpersonen:
1. Einwilligung
Auch die alte Verordnung des Jahres 1955 sieht vor, dass Konsumenten der Verarbeitung sensibler Daten ausdrücklich zustimmen müssen. Handelt es sich um nicht-sensible Daten, konnte die Zustimmung bis jetzt jedoch durch Schweigen erfolgen, vorausgesetzt, die Konsumenten wurden “deutlich und unübersehbar über die Datenverarbeitung informiert”, so Horizont Online.
Mit der DSGVO sind diese Zeiten vorbei. Schweigen genügt für die Zustimmung nicht mehr. Sobald die DSGVO in Kraft tritt, muss sie durch “eine Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung” erfolgen, wie das HubSpot formuliert und innerhalb der Software umsetzt.
Das heißt, dass die Konsumenten unbedingt über die Verarbeitung der Daten und wofür genau sie verwendet werden informiert werden müssen – in klarer, unmissverständlicher Rechtssprache – und durch “ein eindeutiges Zeichen der Zustimmung” einwilligen müssen. Dabei muss betont werden, dass Schweigen, vorangekreuzte Kästchen oder Untätigkeit der Konsumenten eben nicht mehr als Einwilligung gelten.
Außerdem müssen Unternehmen deutlich kommunizieren, dass den Konsumenten ein Recht zur Widerrufung der Einwilligung zusteht.
2. Neue Rechte für Einzelpersonen
Im Vergleich zur alten finden sich in der neuen Verordnung zwei zusätzliche Rechte für Konsumenten, die es für sie erleichtern, ihre personenbezogenen Daten löschen zu lassen. Erstens das “Recht auf Vergessenwerden”, das Unternehmen dazu verpflichtet, Konsumenten über die Möglichkeit der Löschung zu informieren und zweitens das “Recht auf Datenübertragbarkeit”, was Konsumenten ermöglicht, eine Kopie, der von ihnen gespeicherten Information anfordern zu können.
Um Transparenz, was personenbezogene Daten angeht, wird kein Unternehmen herum kommen. Was heißt das jetzt genau? Werden Daten über Social Media, Email oder Formulare auf Webseiten des Unternehmens erfasst, müssen vor allem Werbeunternehmen ihr CRM intern klar dokumentieren, um falls gefordert, alle Daten und was mit ihnen gemacht wurde, offen darlegen zu können.
Das bedeutet, dass jedes Unternehmen verpflichtet ist, “die eigenen Verfahren zur Erhebung und Speicherung von Daten (darunter auch die Nutzung der Marketing- und Vertriebswerkzeuge von HubSpot) zu prüfen und auszuwerten, sowie juristische Beratung in Anspruch zu nehmen, um sicherzustellen, dass die eigenen Geschäftspraktiken die Bestimmungen der DSGVO einhalten”, so HubSpot.
HubSpot kann diese Anforderung an Unternehmen um einiges erleichtern. Das von ihnen angebotene kostenlose CRM stellt für Unternehmen, die bis dato ohne CRM gearbeitet haben, eine hervorragende Möglichkeit dar, die personenbezogenen Daten, die aus verschiedenen Quellen gesammelt werden, zentral und den neuen Datenschutz-Bestimmungen gerecht, zu dokumentieren. Auch das “Recht auf Datenübertragbarkeit” kann dadurch bei ordnungsgemäßer Anwendung simpel und schnell gewährleistet werden.
Auch für Unternehmen, die bereits mit einem CRM arbeiten, ist HubSpot eine Überlegung wert. In den meisten CRM bleiben nämlich Social Media Aktivitäten der Kontakte unberücksichtigt. Bei HubSpot fließen auch diese Daten automatisch in das CRM ein, was im Rahmen der Verpflichtung zur Transparenz bezüglich der Datenverarbeitung, sehr hilfreich ist.
Selbst wenn aber bereits eine Software, wie HubSpot, die ohnehin die meisten der neuen Bestimmungen erfüllt, implementiert ist, muss nachgeprüft werden – am besten von Juristen – ob auch wirklich alles der Verordnung entspricht. Auch HubSpot rät zur juristischen Beratung.
3. Antrag auf Auskunftserteilung
Die DSGVO räumt den Konsumenten auch mehr Rechte ein, was den Zugang zu ihren Daten betrifft. Unternehmen können in den meisten Fällen keine Gebühren mehr für Auskunftserteilung verrechnen. Außerdem müssen sie diese innerhalb einer deutlich kürzeren Frist als den bisherigen 40 Tagen gewährleisten.
Wie bereits oben erwähnt, lässt sich das anhand des CRM von HubSpot, in den alle gesammelten personenbezogenen Daten eines bestimmten Konaktes automatisch einfließen, rasch und unkompliziert lösen.
II. Was muss bei internen Verfahren geändert werden
1. Datenschutz durch Technik und DSFA
Werden neue Systeme implementiert bzw. entwickelt, müssen die technischen Bedingungen den Datenschutz gewährleisten. Kommen neue Technologien bei der Datenverarbeitung zum Einsatz, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Damit soll systematisch und präventiv erfasst werden, wie sich bestimmte Maßnahmen auf die Privatsphäre eines Konsumenten auswirken und ob dabei eventuell Datenschutzrechte gefährdet werden könnten. Somit sollte noch vor dem Projekt-Kick-Off sichergestellt werden, dass der Schutz der Daten in jedem Fall gegeben ist.
Sollten doch Datenschutzverletzungen passieren, müssen solche Fälle umgehend (spätestens 72 Stunden nachdem es bemerkt wurde) gemeldet werden – sowohl der Datenschutzbehörde als auch den betroffenen Personen.
2. Datenschutzbeauftragte
Laut Horizont Online schlägt die EU vor, “dass ab einer Betriebsgröße von 250 Mitarbeitern ein Datenschutzbeauftragter ernannt werden muss, ebenso bei Unternehmen, die ein datengetriebenes Geschäft als Kerntätigkeit betreiben – das würde laut Feiler eine Marketingagentur nicht betreffen, ein Online-Advertising-Netzwerk aber sehr wohl.”
3. Verträge & Datenschutzdokumentation
Sind deine Datenschutzerklärungen, Datenschutzbestimmungen und jegliche interne Datenrichtlinien bereits DSGVO-fit? Unternehmen müssen diese durcharbeiten und eventuell ändern, sodass sie mit den Bestimmungen der DSGVO übereinstimmen.
Damit sich Unternehmen Schritt für Schritt auf die DSGVO vorbereiten können, hat HubSpot eine Checkliste zum Durcharbeiten erstellt. Am besten gleich damit anfangen. Der nächste Mai kommt bestimmt.
