Schufa-Auskunft

Einhaltung der EU-DSGVO erfordert Arbeit auf allen Ebenen

160

Ab dem 25. Mai 2018 gelten die EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG). Im Angesicht dieses Termins häufen sich dazu die Informationen, Checklisten und Ratschläge. Doch sie sind nur schwer miteinander vergleichbar, denn jeder betrachtet andere Punkte. Der Grund dafür: Das Thema sowie die damit zusammenhängenden Fragestellungen sind komplex und insgesamt in jedem Unternehmen beziehungsweise in jeder Organisation auf verschiedenen Ebenen zu betrachten.

Allem voran eine Aufgabe der Strategie und Führung

Die erste Ebene sollte die strategische Ebene sein – die der Führung und des Managements. Denn wie es im E-Book von cobra heißt, wird gemäß Artikel 4 der DSGVO als Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ definiert. Das bestätigt Frank Schütz, Management Partner bei 1A Relations: „Zu allererst ist es Aufgabe der Geschäftsführung, die Anforderungen zu bewerten und umzusetzen.“ Um dazu in der Lage zu sein, muss die Führung wissen, wie die Grundprinzipien der Datenverarbeitung gemäß Art. 5 DSGVO aussehen.

Die Grundprinzipien besagen, dass Daten nur auf rechtmäßige, transparente Weise mit Rücksichtnahme auf die Interessen der jeweiligen Person verarbeitet werden dürfen. Der Zweck der Datenerhebung muss transparent sein und die gespeicherten Daten müssen dem Nutzungszweck angemessen sowie auf das notwendige Maß (Sparsamkeit) beschränkt werden. Darüber hinaus wird gefordert, dass die Daten korrekt und auf dem neuesten Stand sind. Das bedeutet, man ist gezwungen „seine“ Daten zu pflegen.

Das Prinzip der Speicherbegrenzung fordert die Löschung der Daten, wenn sie nicht mehr benötigt werden. Darüber hinaus sind Unternehmen angehalten, Integrität und Vertraulichkeit sicherzustellen, indem sie die personenbezogenen Daten gegen unbefugte oder unberechtigte Verarbeitung, insbesondere die Weitergabe an unberechtigte Dritte schützen.

Aufgaben der DSGVO in der Organisation und den Führungsaufgaben verdrahten

Die Unternehmensführung muss sich darüber im Klaren sein, welche Personen und Stellen welche Rechte auf welche Informationen haben, dass sie bei Datenpannen Informationspflichten nachkommen muss und dass sie in bestimmten Fällen einen Datenschutzbeauftragten zu bestellen hat. Letzteres ist unter anderem vorgeschrieben, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind – aber auch unter anderen Voraussetzungen. Es ist eine Führungsaufgabe, die Umsetzung der DSGVO in die zweite Ebene der Organisation zu delegieren bzw. abzugeben.

Eine sinnvolle Grundlage dafür ist, zu wissen, was personenbezogene Daten sind und wo im Unternehmen sie verarbeitet werden. Zum Beispiel lautet ein Ratschlag im CRM-Praxisleitfaden „Bereit für die DSGVO“ von SugarCRM: „Ganz oben auf Ihrer DSGVO-Checkliste sollte ein Audit aller personenbezogenen Daten stehen. Dazu gehört die Identifikation aller Systeme und Prozesse in der gesamten Organisation (auch bei dem in Ihrem Namen handelnden Auftragsverarbeiter und dessen Systemen), um festzustellen, welche personenbezogenen Daten erfasst und gespeichert und wie diese genutzt werden (z. B. für die Erstellung von Profilen).“ Dies bildet eine gute Basis für die weiteren Schritte.

Zu diesen Schritten zählt als ein sehr wichtiger das Erstellen eines Verarbeitungsverzeichnisses (ehemals Verfahrensverzeichnis). Darin wird aufgeführt, welche Daten wann, wie und warum im Unternehmen erhoben werden. Dazu rät CAS Software in ihrem CRM-Leitfaden „Datenschutz 2018“: „Wichtig dabei ist, dass auch interne Personaldaten (die Mitarbeiter) aufgeführt werden müssen, nicht nur die der Kunden.“ Jede datenverarbeitende Stelle im Unternehmen solle eine Tabelle anlegen, die genau definierte Verfahrensbeschreibungen enthält, die den gesamten Weg personenbezogener Daten – von der Erhebung, über die Speicherung, bis hin zur Nutzung der Daten umfasst.

Alle Mitarbeiter sensibilisieren

Ein weiteres Beispiel für die auf der Organisationsebene anstehenden Aufgaben ist das Überprüfen, ob die praktizierten unterschiedlichen Werbeformen DSGVO-konform ablaufen. Anderenfalls sind die dafür erforderlichen Einverständniserklärungen einzuholen und zu dokumentieren sowie die weiteren Prozesse anzupassen. Für solche Maßnahmen ist es essenziell, dass alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, über die Neuerungen und Richtlinien der EU-DSGVO informiert, lfd. geschult und für die Einhaltung des Datenschutz sensibilisiert werden. „Jeder Mitarbeiter muss wissen, welche Regelungen in seinem Aufgabenbereich anzuwenden sind. Nur so gewährleisten Sie, dass der Datenschutz in Ihrem gesamten Unternehmen gleichermaßen befolgt wird“, so CAS Software. Im E-Book „Datenschutz & CRM – Die DSGVO in der vertrieblichen Praxis“ von Grutzeck-Software gibt es dazu auch einen konkreten Vorschlag: „So ist es z. B. denkbar in jeder Abteilung einen Verantwortlichen für den Datenschutz zu benennen.“

Warum die Sensibilisierung der Mitarbeiter für den Umgang mit personenbezogenen Daten so wichtig ist, wird an einem Beispiel im E-Book „Datenschutz 2018“ von cobra deutlich: Übergibt ein Kunde auf einer Messe dem Vertreter eines Unternehmens seine Visitenkarte mit der Bitte, über ein Produkt aufgeklärt zu werden, so darf das Unternehmen ihn nur darüber Informationen zusenden. „Tätigt er [der Anbieter] Werbeanrufe oder versendet er den Newsletter, macht er sich strafbar.“

Umsetzung auf der IT-Ebene

Außerdem müssen Unternehmen technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten einführen. Auch hierfür ist die Sensibilisierung der Mitarbeiter von Bedeutung. Darüber hinaus kommt die Anpassung von Hard- und Software als dritte Ebene ins Spiel. Das schließt CRM-Systeme ein. Sie können – bei richtiger Konfiguration sowie korrekter Nutzung – helfen, DSGVO-konform zu arbeiten. Auf welche Weise und in welchem Umfang, das geht aus der Checkliste in Bezug auf die CRM-Lösung von ADITO Software hervor. Sie führt Datenschutzfunktionen entsprechend den Anforderungen der DSGVO hinsichtlich Rechtmäßigkeit, Datenminimierung, Rechteverwaltung, Sicherheit der Verarbeitung, Betroffenenrechte und Auftrags(daten)verarbeitung auf. Sie beinhaltet unter anderem, ob die Wahrnehmung spezieller Betroffenenrechte wie Einwilligung, Widerspruch, Herkunft der Dateien, Informationspflicht, Sperrkennzeichen je Datensatz abgespeichert werden kann, ob gespeicherte Daten zu einer Person vollständig in verständlicher Darstellung ausgedruckt und in maschinenlesbarer Form exportiert werden können und ob für jeden Zweck ausschließlich erforderliche Datenfelder sowie Datensätze verarbeitet werden.

Akzente für Kundenfreundlichkeit setzen

Wird der Umgang mit personenbezogenen Daten auf allen Ebenen sensibel gelebt, können Unternehmen daraus sogar Vorteile ziehen. „Neben den rein technischen Möglichkeiten des CRM können Unternehmen die DSGVO nutzen, um neue Wege zur Kundenansprache für sich zu nutzen“, so Martina Knappe, EMEA Director of Marketing bei SugarCRM. Sie schlägt vor, dass Unternehmen die Verordnung zum Schutz der persönlichen Daten zum Anlass nehmen, um ihre Kunden über die neuen Prozesse und Maßnahmen zu informieren, die sie zur Sicherung dieses Schutzes umfassend einführen. „Wenn dies nun auch im Text der Einverständniserklärung erklärt wird und diese zudem verständlich formuliert und übersichtlich und ansprechend dargestellt ist, signalisiert das den Kunden, wie sehr ihre Interessen ernst genommen werden. In der Summe können Unternehmen, die sich gründlich auf die DSGVO vorbereiten, also einen entscheidenden Akzent für Kundenfreundlichkeit und Verantwortungsbewusstsein setzen, der ein wirklich relevantes Differenzierungsmerkmal zum Wettbewerb darstellt“, so Martina Knappe.

Adress- und Datenqualität ist nun endlich eine Führungsaufgabe

Sehr viele Verantwortliche – sowohl in Europa  als auch in den USA – fluchen lautstark „wie ein Rohrspatz“ über die Vorgaben der DSGVO. Letztlich ist das Gesetz ein Ergebnis, die ungezügelte Datensammelwut der großen amerikanischen Konzerne (Apple, Google, Amazon, Facebook & Co.) zu bremsen. Die EU keult mit der Verordnung und trifft leider viele, mit den Kundendaten vertrauensvoll umgehende Unternehmen. Aber alles Jammern hilft nichts. Wie immer, ist bei den einen das Glas halb leer oder eben halb voll.

Wer das Glas halb voll betrachtet, kann in der DSGVO auch eine riesige Chance sehen: eine Chance zur ständigen Verbesserung der Adress- und Datenqualität.

Einhergehend mit diesem aufgezwungenen Vorteil sieht Georg Blum, Chefredakteur dieses Portals,  einen zweiten Vorteil. Adress- und Datenqualität ist endlich ein Führungsthema. Sein bekanntes Mantra lautet: Adress- und Datenqualität ist kein Kostenfaktor, sondern ein Wertschöpfungsfaktor.

Daraus folgt, das Führungspersonal muss Adress- und Datenqualität sowie die Anforderungen der DSGVO in die Führungsinstrumente und Ziele-Vereinbarungen auf allen Mitarbeiter-Ebenen aufnehmen. Und daraus ergeben sich sicher riesige Vorteile für ein sensibles, transparentes Unternehmen.

Fazit:
Neben den vielen tollen Tipps der Software-Anbieter und den Rechtsanwälten wäre das Erheben von Adress- und Datenqualität als Unternehmensziel der wichtigste positive Nebeneffekt der DSGVO. Gehen Sie es an! Mit Transparenz, Offenheit und Volldampf. „Alle Mann an Deck!“

 

Wir haben einige Anbieter aus der CRM-Tech.World gebeten, uns Material zur DSGVO zur Verfügung zu stellen. Das haben einige Anbieter sehr gerne gemacht. Dabei sind tolle Leitfäden, Checklisten und Tipps herausgekommen.

Wie können Sie nun diese Informationen nutzen?

  1. Am besten Sie suchen Sie im Schnelldurchlauf einen der drei ausführlichen Leitfäden heraus.
  2. Im ersten Schritt gehen Sie diesen ausgewählten Leitfaden sehr ausführlich durch und dokumentieren – wo gefordert – die notwendigen Schritte bzw. erstellen die Dokumente.
  3. Im zweiten Schritt legen Sie sich einen oder weitere Leitfäden der anderen Anbieter zur Seite, prüfen noch einmal, ob die anderen Anbieter noch andere Tipps haben, die für Sie wichtig sind.
  4. Nach unserer Prüfung und Einschätzung sind Sie danach gut vorbereitet.