By Ulrik Bo Larsen

January 5th, 2018

Originally posted in Danish here on Dansk Markedsføring.
For more on the GDPR in English, see here.

5. Januar 2018

von Ulrik Bo Larsen, CEO, Falcon.io

Im Mai 2018 treten strenge neue Datenschutzgesetze mit globalen Auswirkungen in Kraft – wie ist Ihr Unternehmen in Bezug auf die neuen GDPR-Verpflichtungen aufgestellt?

Hinsichtlich der Nutzung von personenbezogenen Daten durch Unternehmen greift die Europäische Union im nächsten Jahr hart durch.
Ab dem 25. Mai 2018 werden Übertretungen des GDPR mit Strafen bis zu 23 Mio. Dollar oder 4% des jährlichen Umsatzes belegt.

Manche nennen es das Ende der „Wild West-Zeiten“ im Digital Marketing. Wir von Falcon.io hingegen sehen es einfach als einen Katalysator für eine stärker regulierte Industrie. Eine Industrie, in der individuelle Daten geschützt sind und in der Unternehmen von größerer Rechtssicherheit profitieren.

Was ist das GDPR?
In den Worten der EU soll die Bestimmung „die Datenschutzgesetze europaweit harmonisieren, um EU Bürger in Bezug auf ihre privaten Daten zu schützen und rechtlich zu stärken.“ Außerdem sollen Organisationen europaweit zu einem neuen Umgang mit privaten Daten verpflichtet werden.

Es handelt sich um eine komplette Überarbeitung der bestehenden Datenschutzgesetze, in der auch das Internet und Cloud-Technologien einbezogen werden. So soll das Sammeln persönlicher Daten durch Unternehmen standardisiert und reguliert werden, welches heute durch digitale Technologien uneingeschränkt ist.

Obwohl es sich um eine EU Richtlinie handelt, hat das Gesetz globale Folgewirkungen, da es jedes Unternehmen betrifft, das Produkte oder Dienstleistungen in der EU anbietet.

“Uber” wäre für das Datenhacking in 2016, von dem kürzlich berichtet wurde, sehr wahrscheinlich mit der Höchststrafe belegt worden, wenn GDPR zu jener Zeit bereits in Kraft gewesen wäre.

Die wichtigsten Fragen
Søren Dam Hansen ist bei Falcon.io Rechts-und Datenschutzexperte. Er hat unseren Arbeitsprozess organisiert und Kunden bei allen Fragen hinsichtlich des GDPR Themas unterstützt. „Im Prinzip geht es um den Schutz von Daten für jeden Einzelnen“, meint Søren. Die Leute haben das Recht zu erfahren, welche persönlichen Daten ein Unternehmen von ihnen hat und wofür sie verwendet werden.

Juristen mögen der Meinung sein, dass kein großer Unterschied zwischen dem alten und dem neuen EU-Datenschutzgesetz besteht, aber wenn man die Konsequenzen der Nichtbefolgung dieser neuen Regulierung in Betracht zieht, wird einem die Wichtigkeit dieser Veränderungen bewusst. Denn die neuen Strafen sind beträchtlich. Ernsthafte Übertretungen des Gesetzes können zu Strafen bis zu 23 Millionen Dollar, beziehungsweise 4 % des globalen jährlichen Umsatzes (basierend auf dem vorangegangenen Jahresumsatz) führen, je nachdem, welches davon den größeren Wert besitzt. Geringfügige Übertretungen werden mit 11,7 Million Dollar oder 2 % des globalen jährlichen Umsatzes bestraft.

Im Folgenden führen wir Fragen auf, die Søren und seinem Team am häufigsten gestellt wurden sowie die Antworten dazu.

Bekanntmachung, Verpflichtung, Einverständniserklärung
Was ist das Wichtigste, woran ein Digital Marketer in Bezug auf das neue Datenschutzgesetz denken muss?

Der erste Punkt ist die Bekanntmachung. Dazu gibt es nicht viel Neues, aber es geht um die Verpflichtung des Unternehmens, Nutzer darüber zu informieren, wer Ihre Daten sammelt, wofür sie genutzt werden und was die rechtliche Grundlage dafür ist.

Insbesondere die Rechtmäßigkeit und der Zweck sind wichtige Überlegungen, bevor Sie persönliche Daten verarbeiten. Viele Unternehmen sind sich nicht im Klaren darüber, dass selbst das Tracken des Nutzerverhaltens auf der eigenen Webseite unter den Begriff „personenbezogener Datensammlung” fallen kann, selbst wenn es sich dabei „nur“ um eine IP-Adresse handelt. Wenn Daten einer Person zugeordnet werden können, dann muss dieser Nutzer auch darüber informiert werden.

Viele vergessen auch, dass bei der Userinteraktion auf Social Media auch klargestellt werden muss, ob die Daten noch für andere Zwecke weiter verwendet werden wie z.B. Analysen. Dies muss selbst dann geschehen, wenn diese Informationen bereits öffentlich verfügbar sind.

Deshalb werden wir wahrscheinlich schon bald beobachten, dass Unternehmen eine Vielzahl von neuen Möglichkeiten nutzen werden, wie sie ihre Software-Verwender oder Online-User über gesammelte Informationen unterrichten. Jedenfalls wird es nicht mehr genügen, diese Art von Information im Kleingedruckten in einer Ecke Ihrer Website abzulegen, wo es der Besucher vielleicht niemals sehen wird.

Außerdem müssen Unternehmen die Einverständniserklärung in Bezug auf Direktmarketing überarbeiten. Es wird wichtiger als je zuvor, dass die Einverständniserklärung klar formuliert wird und in Übereinstimmung mit den Datenschutzrichtlinien (GDPR) ist. Das Fehlen einer entsprechenden Einverständniserklärung wird darauf hinauslaufen, dass Ihnen Direktmarketing-Maßnahmen nicht erlaubt sind.

Wer hat Zugang zu persönlichen Daten?
Sobald Sie die Themen Bekanntmachung, Verpflichtung und Einverständniserklärung im Griff haben – was dann?

Generell müssen Sie in der Lage sein, zu dokumentieren, dass Sie die Kontrolle über die persönlichen Daten des Nutzers haben.

Beim Tooling ist das typischerweise für Digital Marketer sehr problematisch:
Wofür werden alle diese persönlichen Daten in unseren Tools tatsächlich verwendet?

Folglich ist es entscheidend zu dokumentieren, welche Arten von Informationen Sie sammeln, wofür sie benutzt werden, woher sie bezogen werden, ob sie anderen zugänglich gemacht werden, ob sie nach außerhalb der EU transferiert werden und wann sie gelöscht werden.

Die meisten Unternehmen verwenden eine Reihe verschiedener Werkzeuge sowie Drittanbieter. Diese müssen überprüft werden, um sicherzustellen, dass alles dokumentiert ist. Sie werden außerdem mit Ihren Lieferanten umfassende Konformitätsvereinbarungen treffen müssen.

Außerdem müssen Sie in der Lage sein, die folgenden Fragen zu beantworten:
•Zu welchen persönlichen Daten haben ihre Auftragnehmer Zugriff?
• Sind die notwendigen Schutzmaßnahmen eingerichtet?
• Werden die persönlichen Daten automatisch an ein anderes Tool gesendet und wenn ja, an welches?
• Welche zusätzlichen Anforderungen müssen eingefügt werden, wenn sich der Zwischenhändler außerhalb der EU befindet?
• Wie steht es mit Ihren Browser Plugins oder Mail Clients? Sammeln oder senden diese persönliche Daten?
Unternehmen und Marketer, die sich diese Fragen bisher noch nicht gestellt haben, haben hier eine wichtige Aufgabe vor sich.

Was ist die richtige Anwort?
Was tun Sie, wenn ein Nutzer wissen will, welche persönlichen Daten Sie über ihn haben?

Zunächst einmal sind sie verpflichtet zu antworten.

Das gilt für alle persönlichen Daten über die Ihr Unternehmen verfügt, einschließlich derjenigen in der Cloud und derer, über die ein Zwischenhändler verfügt. Das stellt offensichtlich neue Anforderungen an Unternehmen, was die Datensammlung und den effektiven und einfachen Zugang zu Daten angeht.

Folglich ist es entscheidend, Verfahren für den Umgang mit User-Anfragen zu etablieren. Das gilt auch für den Fall, dass eine Behörde Ihre Geschäftsbeziehungen überprüfen will oder wenn die Datensicherheit Ihres Unternehmens oder eines Subunternehmers nicht gesetzeskonform ist. In diesem Fall brauchen Sie auch effektive und geprüfte Verfahren, um schnell agieren zu können.

Der Vorteil ist: Rechtssicherheit
Der ganze Aufwand mit dem GDPR kann frustrierend sein. Was hat meine Firma davon?

GDPR mag im Moment als eine Belastung erscheinen, doch die erweiterte Kontrolle wird insgesamt eine größere Rechtssicherheit für Unternehmen erzeugen. Zusätzlich, werden Dienstleister besser dran sein, was die Erfüllung der Dokumentationsbedürfnisse ihrer Kunden angeht, welche momentan noch für viele eine große Belastung darstellt.

Gute Zwischenhändler reduzieren Komplexität
Wir bei Falcon.io haben das Ziel, den Übergang zu den neuen Richtlinien für unsere Kunden so einfach wie möglich zu machen. Deshalb stehen wir bereit, Ihnen die Informationen zu geben, die Sie brauchen und Sie zu unterstützen, wo immer es notwendig ist.

Für manche Kunden ist es nicht leicht zu beschreiben was ihre Software tatsächlich tut.
Hierzu können wir helfen Dinge verständlicher zu formulieren. Nicht nur für Leute im Marketing, sondern auch für die Rechts- oder IT Abteilung. Letztendlich empfehlen wir dringend sich dem Thema zu widmen, wenn Sie die Überarbeitung ihrer GDPR/Datenschutz Compliance noch nicht auf den Weg gebracht haben. Es ist höchste Zeit, das jetzt zu tun! Es ist ein komplexer Prozess, aber nicht unmöglich. Und auch wenn GDPR neue Anforderungen an uns als Digital Marketer stellt, braucht niemand Angst davor zu haben, dass es unser tägliches Geschäft in Gefahr bringen könnte.