Alarmierende Zahlen offenbart eine HubSpot-Studie: Nur 41 Prozent der befragten Führungskräfte wussten, wofür das Kürzel EU-DSGVO steht, 36 Prozent war nicht einmal der Begriff geläufig. Dabei drohen Unternehmen bei einem Verstoß gegen die neue Richtlinie Geldstrafen von bis zu 20 Mio. Euro bzw. vier Prozent des jährlichen Gesamtumsatzes.
Darum geht es: Die DSGVO ist ein bindender Rechtsakt der Europäischen Union, der die seit 1995 gültige Datenschutzrichtlinie ablöst und alle Unternehmen betrifft, die ihre Produkte in der EU vermarkten. Da die Verordnung vor dem Vollzug des Brexit in Kraft tritt, gilt sie bis auf Weiteres auch für das Vereinigte Königreich.
1. Analyse auf Rechtmäßigkeit
Was ist nun zu tun? Leider gibt es keine universalen Vorgaben. Unternehmen sollten die eigenen Verfahren prüfen und gegebenenfalls anpassen. Firmen müssen klären, welche personenbezogenen Daten sie bisher erfassen und speichern, und ob dies weiterhin rechtmäßig ist. Wenn Unternehmen sich unsicher sind, ob sie die DSGVO-Bestimmungen einhalten, sollten sie sich juristischen Beistand suchen. Firmen sollten auch den Umgang mit Mitarbeiterdaten einer Prüfung unterziehen.
2. Zukunftssicher aufstellen
Je nach Betriebsgröße und Aufwand ist die Aufstellung eines Zeit- und Budgetplans sowie die Ernennung eines Datenschutzbeauftragten sinnvoll – unter Umständen sogar verpflichtend. In jedem Fall sollten Firmen erhöhten Zeit- und Personalaufwand bis zum Stichtag, aber auch für die Zeit danach einplanen, um rechtssicher agieren zu können. Wenn Unternehmen bereits über eine Datenschutzrichtlinie verfügen, müssen sie diese eventuell anpassen. Die zuständigen Mitarbeiter brauchen Schulungen und das notwendige Know-how, um den neuen Verpflichtungen nachkommen zu können.
3. Datenerfassung
Künftig müssen Unternehmen in der Phase der Datenerfassung von ihren Kunden eine klar formulierte Einwilligung einholen und ihnen explizit mitteilen, wofür sie ihre Daten verwenden. Auch Informationen über einen möglichen Widerruf gehören dazu. Datenminimierung ist entscheidend: Marketer dürfen nur die Informationen sammeln, die relevant und auf das Notwendige beschränkt sind. Gerade bei sensiblen Daten zu Kindern oder Gesundheit sowie bei Daten Minderjähriger ist Zurückhaltung geboten.
Exkurs: Opt-in oder Opt-out
Um auf der sicheren Seite zu sein, empfiehlt es sich, auf das Opt-in-Verfahren zu setzen, bei dem Verbraucher Werbekontaktmaßnahmen vorab ausdrücklich zustimmen müssen. Das Opt-out-Verfahren, bei dem Werbung versendet wird, bis dem explizit widersprochen wird, ist nicht rechtssicher.
Gewonnene Daten können Unternehmen durch das Double-Opt-in absichern, bei dem eine zusätzliche Bestätigungsmail das Opt-in verifiziert. Eine Re-Subscription-Mail ist eine Option, um ältere Daten zu validieren.
4. Datenverarbeitung
Für die Datenspeicherung gilt eine strikte Zweck- und Nutzungsbeschränkung. Daten sollten nie länger als nötig aufbewahrt werden. Die Weitergabe an einen Dienstleister ist ausgeschlossen, wenn sie nicht explizit vom Verbraucher erlaubt bzw. gewünscht wurde (Recht auf Datenübertragbarkeit). Unternehmen müssen angemessene Sicherheitsstandards zum Schutz der ihnen überlassenen Daten garantieren. Bei sensiblen Daten kann eine Verschlüsselung oder Pseudonymisierung Sinn ergeben. Kommt es trotz Schutzmaßnahmen zu einem Sicherheits- oder Datenleck, müssen betroffene Verbraucher umgehend informiert werden.
5. Auskunftspflicht und Dokumentation
Die DSGVO gewährt Verbrauchern umfassende Rechte, ihre bei Unternehmen gespeicherten Daten einzusehen. Das zieht eine dementsprechende Auskunftspflicht für Firmen nach sich. Sie müssen außerdem Kundenwünschen nach Korrektur oder Löschung ihrer Daten zeitnah nachkommen (Recht auf Vergessenwerden). Dieser Punkt war auch den Befragten in der HubSpot-Studie besonders wichtig. Außerdem sollten Unternehmen die Gelegenheit zu einer Datenkonsolidierung auf möglichst einer einzigen Plattform nutzen. Eine vollständige Löschung eventueller Dubletten können sie sonst nur schwer gewährleisten. Darüber hinaus müssen Unternehmen die Einhaltung der Richtlinien auch belegen können (Rechenschaftspflicht). Notwendig ist ein Nachweis, wer Informationen gesehen hat und wer Zugriff darauf hatte.
6. Datenlöschung
Wenn eine Beziehung mit einem Kunden endet, etwa durch eine Kündigung oder den Widerruf der Einwilligung zur Erfassung bzw. Verarbeitung der Kundendaten, dürfen Unternehmen dessen Daten nur so lange behalten, wie dies gesetzlich erforderlich ist. Bei Finanzdaten müssen Firmen rechtliche Vorgaben zur Aufbewahrung beachten. Für andere Daten gibt es keine konkreten Fristen.
Egal, ob bei der Datenerhebung oder bei der -löschung, Unternehmen sollten Kunden immer genau mitteilen, was mit ihren Daten passiert. Marketer, die dies beherzigen und auf Transparenz setzen, müssen auch die Zukunft mit der DSGVO nicht fürchten.
Über die Autorin: Seit 2013 ist die Marketing-Expertin Inken Kuhlmann bei HubSpot tätig. Hier hat sie mit ihrer Expertise zunächst den deutschsprachigen HubSpot-Blog aufgebaut und zu einem der führenden Marketing-Blogs gemacht. Inzwischen verantwortet sie sämtliche Marketing-Strategien in DACH, Frankreich und Spanien.