Was ändert sich im Kern? Ändert sich für die Deutschen überhaupt etwas? Was sind in der Praxis die Herausforderungen – aus strategischer CRM- bzw. Technologie-Sicht? – Herr Frank Schütz gibt Antworten.
Wichtige Vorab-Information:
Der folgende Beitrag erhebt keinen Anspruch auf Vollständigkeit, Richtigkeit und Beständigkeit und garantiert Ihnen keine Rechtssicherheit. Die zu beachtenden Datenschutzaspekte in einem Unternehmen sind so vielfältig wie die Unternehmen selbst und bedürfen stets einer individuellen Beratung.
Was ändert sich im Kern (für deutsche Unternehmen)?
Das ist nicht einfach und kurz zu beantworten. Generell lässt sich aber sagen, dass die Änderungen für deutsche Unternehmen einfacher (aber immer noch aufwendig) umzusetzen sind, als für Unternehmen in anderen Staaten, die innerhalb der EU Kundenbeziehungen anbahnen wollen und pflegen. Verantwortlich dafür zeichnet sich, dass viele Elemente des aktuellen deutschen Bundesdatenschutzgesetzes in die EU-DSGVO überführt wurden. Eine genauere Gegenüberstellung finden Sie im weiterführenden Artikel (Link).
Herausforderungen in der Praxis – Frank Schütz:
- Fehlendes Bewusstsein im leitenden Management (alle Ebenen), welche rechtlichen Folgen durch die Missachtung bzw. nicht konforme Umsetzung der Anforderungen aus der EU DSGVO/GDPR entstehen.
- Zuerst ist es Aufgabe der Geschäftsführung, die Anforderungen zu bewerten und umzusetzen. Hier handelt es sich um eine Compliance-Aufgabe innerhalb des bestehenden Risikomanagements.
- Die EU-DSGVO hebt sich über andere nationale Gesetze, das Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) etc. und ist somit in ihren Konsequenzen als Referenz zu sehen. Das höchste Strafmaß bei Verfehlungen lautet: bis zu 4% des vorangegangenen weltweiten Jahresumsatz oder bis zu 20 Millionen Euro Strafe.
- Zwar werden heute fast zu 100% personenbezogene Daten in IT-Systemen/Anwendungen erfasst, gespeichert und verarbeitet. Aber die IT ist dadurch nicht hauptverantwortlich oder alleinverantwortlich für die Umsetzung der EU-DSGVO. Verantwortlich sind die Fachbereiche, die diese Prozesse definieren bzw. ändern. Nur: Ist sich dieser Personenkreis seiner Verantwortung bewusst?
- Ein nicht zu unterschätzender Anteil von personenbezogenen Daten unterliegt immer noch Maßnahmen in der analogen Anwendung (z. B. Aktenvernichtung von sensiblen Papierdokumenten). Diese sog. technisch-organisatorische Maßnahme ist neben vielen anderen Maßnahmen zur Zugangs-/Zugriffs-/Datenträger-/Speicher-/Benutzer-/ Übertragungs-/Eingabe-/Transport-/Auftrags-/Verfügbarkeitskontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität und Trennbarkeit zu gewährleisten.
- Es ist ein Irrglaube, dass B2B-Unternehmen keine personenbezogenen Daten erfassen, speichern und weiterverarbeiten. Auch folgende täglich auftretende Situation führt zu personenbezogenen Daten: Der Geschäftsführer Max Mustermann, mit dem ich gestern auf einer Veranstaltung gesprochen habe und dessen Visitenkarte ich erhalten habe, mit dem Wunsch, in zwei Wochen ein vertiefendes Telefonat zu unserem neuen Produkt-Angebot zu führen. Das WER, das WANN, die Adress-Quelle … Das alles sind relevante Daten im Sinne der EU-DSGVO. (Link)
- Die neue EU-DSGVO ist bereits aktiv. Wir befinden uns zwar bis zum 24.05.2018 in einer Übergangsphase, die allen Unternehmen gewährt wurde, um die neuen Anforderungen umzusetzen. Solange gilt noch das bestehende Bundesdatenschutzgesetz in der aktuellen Fassung. (Link)
- Fehlende Übersicht bzw. Dokumentation aller vorhandenen Prozesse (innerhalb derer personenbezogene Daten erfasst, gespeichert und verarbeitet werden), als Basis der Anforderungen der Dokumentation (Verfahrensverzeichnis, Detail-Beschreibung eines jeden Verfahrens) und generelle Befähigung, daraus das potenzielle Risiko abzuschätzen und entsprechende Maßnahmen abzuleiten (Datenschutzfolgeabschätzung und Risikomanagement)
- Fehlende Prozesse, z. B. Prozess zur Umsetzung der „Rechte der Betroffenen“, Prozess zum Management der Auftragsverarbeitungen (alt: Auftragsdatenverarbeitungen), Prozess bei Datenschutzvergehen zur Meldung bei der zuständigen Behörde
- Heterogene IT-System-Architekturen (verteilte Personendaten) mit vielen Anwendungen und damit verbundenen unterschiedlichen Datenmodellen und Datenformaten
- Daraus resultiert Aufwand in der Suche nach allen personenbezogenen Daten über viele verschiedene Systeme. Der Suchaufwand kann in heterogenen und verteilten System-Architekturen mehrere (neue) Vollzeit-Mitarbeiter binden. (Link) Und es fehlt evtl. die Sicherheit, ob man alle Daten auch „aufgespürt“ hat.
- Daraus ist häufig eine mangelhafte Datenqualität zu erkennen, besonders wenn es keine zentralen Regeln in der Erfassung der personenbezogenen Daten im Unternehmen oder in Konzernen gibt (Master Data Management).
- Aus 4.1. und 4.2. resultiert häufig, dass bestehende IT-Systeme/Anwendungen die Anforderungen nicht umsetzen können. Es kommt vor, dass IT-Systeme aufgrund ihrer Konzeption keine kompletten Löschungen von Daten (s. Prozess „Recht der Betroffenen“) vornehmen können. Hier müssen andere Lösungen gefunden werden, ohne gleich ein neues IT-System einführen zu müssen.
- Daraus verlangt regelmäßig, dass die Aktualisierung der Datenschutzerklärung (Informationspflicht gegenüber Kunden/Interessenten) mit viel Aufwand und kleinteilig auf vielen Webseiten durchzuführen ist, insofern man keine zentrale Datenschutzerklärung etabliert hat, auf die alle Webseiten verlinken.
- Unsicherheit bei Unternehmen, die bereits das aktuelle Bundesdatenschutzgesetz konform anwenden. Was hat sich geändert und wie ist diese Änderung zu interpretieren? Das bestehende Bundesdatenschutzgesetz ist zwar zu großen Teilen Grundlage für die EU-DSGVO gewesen, aber es gibt auch einige Unterschiede.
- Was zudem zu Unsicherheit führt ist, die noch fehlende Version der finalen ergänzenden E-Privacy-Richtlinie (kurz: ePVO). Eine aktuelle (vom 16.04.2018) Einschätzung finden Sie hier.
Wie ist die EU-DSGVO aus technologischer Sicht im Allgemeinen und aus CRM-Sicht im Speziellen zu bewerten?
- Einerseits fordert die EU-DSGVO zur unmittelbaren Datensparsamkeit (Zweck-Gebundenheit) der personenbezogenen Daten im Kern auf. Andererseits verursacht sie gleichzeitig die Aufzeichnung von Meta- und Transaktionsdaten. Die zwingende Speicherung der Datenquellen und das Erhebungs- oder Änderungsdatum an jedem Datenfeld/-objekt sind zusätzliche Daten-Treiber. Zum Dritten entstehen wichtige Daten für einen Prüfungsfall durch die Forderung der Nachvollziehbarkeit, welcher Benutzer in den Systemen welche Änderungen wann vorgenommen hat. Die Daten sind notwendig, um die geforderten Maßnahmen u. a. für die Realisierung der Löschkonzepte datenschutzkonform umzusetzen.
- Diese Daten gilt es so zu speichern und vorzuhalten, dass das Datenvolumen kalkulierbar/kostengünstig bleibt und gleichzeitig performant bei Anfragen/Auskünften vorgehalten wird.
- Diese Daten sind zwingend notwendig, um die geforderten Lösch-Routinen möglichst aufwandsarm umsetzen zu können. Mit einer Möglichkeit, die dahinter liegenden Regelwerke zu administrieren (s. nächster Punkt), könnten diese Aufgaben/Maßnahmen nahezu komplett automatisiert werden.
- Aufgrund der Anforderungen steigt die Komplexität in der Business-Logik (bspw. Permission-Management getrennt nach jedem Kommunikations-Kanal). Die Umsetzung dieser Forderung sollte von IT-Systemen so unterstützt werden, dass die Anwender in den Fachbereichen benutzerfreundliche Tools im Frontend bereitgestellt bekommen, mit denen sie das/die Regelwerk(e) so schnell und einfach administrieren können.
- Generell sollten CRM-Systeme von der EU-DSGVO profitieren! Die Kernidee eines CRM-Systems war schon immer, die zentrale Stelle im Unternehmen zu sein, an der alle personenbezogenen Daten (zweckgebunden) gespeichert sind. Dennoch werden viele heutige CRM-Lösungen (unabhängig vom Anbieter) überfordert nicht in die Lage versetzt, alle personenbezogenen Daten aus der Vielzahl der IT-Systeme/-Anwendungen zu „managen“. Das liegt in der Regel nicht am Anbieter, sondern hat unterschiedliche Gründe: Die Daten liegen in anderen Systemen und sind nicht mit dem CRM verknüpft. Daher möchten wir eine einfache Empfehlung geben: Alle relevanten Kundendaten sollten auf Knopfdruck gemäß der EU-DSGVO-Verordnung direkt aus dem CRM-System erzeugt werden können. Dies vereinfacht und standardisiert eine, nach dem 25.05.2018, sehr wahrscheinliche Interessenten-oder Kunden-Anfrage. An welcher Stelle im Unternehmen diese Anfrage auch auftritt, sie kann schnell und immer identisch behandelt werden. Damit beruhigt man sicher 99 % der Anfrager.
- Demzufolge entwickeln sich neue ergänzende Lösungen im Bereich der sog. Kundendaten-Plattformen (Customer Data Platform, kurz: CDP), die mit aktuellsten Technologien (Big Data, Echtzeit/Streaming etc.) die relevanten Quell-Systeme anbinden und die verschiedenen heterogenen personenbezogenen Daten datenschutz-konform konsolidieren. Liegen diese Daten dann zentral und umfassend vor, können zum einen Anforderungen wie das Auskunftsbegehren schneller bedient werden. Auf der anderen Seite ermöglicht es rechtssichere (neue) Marketing- und Vertriebsstrategien umzusetzen.
- Und zu guter Letzt: Die oft stiefmütterliche Disziplin der Datenqualität sollte dadurch signifikant verbessert werden! Wenn Sie in Ihrer Strategie verankert haben, ein kunden- und datenzentriertes wachstumsstarkes Unternehmen zu werden oder zu bleiben, dann sollten Sie die Umsetzung der EU-DSVGO als Fundament für Ihren zukünftigen Geschäftserfolg bewerten und ansehen.
Aus verwaltungstechnischer Sicht ist noch zu erwähnen:
Unter andrem Unternehmen mit mehr als zehn Mitarbeitern müssen einen Datenschutzbeauftragten bestellen. Ob eine externe Person oder ein Mitarbeiter, das lässt der Gesetzgeber offen. Noch einen letzter Tipp:
- Es gibt Angebote, dass ein Unternehmen sich die DSGVO-konforme Datenschutzerklärung per Click zusammenstellt.
Auch interessant: Einhaltung der EU-DSGVO erfordert Arbeit auf allen Ebenen