Das Thema Datenschutz ist ein Dauerbrenner im öffentlichen Diskurs und in den Nachrichten, zuletzt mit hochkarätigen Kontroversen wie dem Datenschutz-Skandal um Facebook und die Firma Cambridge Analytics und den Hackerangriff auf den US-Finanzdienstleister Equifax. Es wird immer intensiver überprüft, wie Unternehmen persönliche Daten erfassen, speichern und nutzen.
Die Europäische Union ist bereits schon länger aktiv dabei, Verbrauchern in der EU mehr Macht über Ihre persönlichen Daten zu geben. Am 14. April 2016 stimmte das EU-Parlament für die Datenschutz-Grundverordnung (DSGVO), die dazu dient, eine einzige europaweite Regelung für den Datenschutz festzulegen, die am 25. Mai 2018 in Kraft tritt.
Was heißt das für Unternehmen?
Die DSGVO hat Auswirkungen auf Unternehmen in der EU und auf jedes Unternehmen, das mit EU-Verbrauchern oder -Unternehmen Geschäfte betreibt. Eine Zuwiderhandlung bedeutet hohe Geldstrafen bis zu 20 Mio. Euro (24,7 Mio. US-Dollar) bzw. vier Prozent der weltweiten jährlichen Einnahmen des Vorjahres, je nachdem, welcher Wert höher ist. Noch wichtiger ist, dass Unternehmen, die diesen Pflichten nicht nachkommen, das Vertrauen ihrer Kunden verlieren könnten.
Was hat das für Marketer zu bedeuten?
Obwohl die DSGVO das ganze Unternehmen und alle Abteilungen betrifft, haben zunehmend strengere Beschränkungen in Bezug auf die Erfassung und Speicherung von persönlichen Daten vor allem erhebliche Auswirkungen auf Marketing-Teams.
Wir haben einige Highlights zusammengestellt, die Marketer kennen sollten. Einen Überblick über die komplette Regelung finden Sie auf dieser DSGVO-Seite.
Einverständniserklärung
Verbraucher müssen den Unternehmen eine klare und ausdrückliche Einverständniserklärung geben, dass ihre Daten erfasst werden dürfen. Das kann über ein Einverständnis-Kontrollkästchen bei der Anmeldung auf einem Landing-Page-Formular geschehen, doch viele Unternehmen wählen ein doppeltes Einverständnis-System. Das bedeutet, dass ein Verbraucher beispielsweise den Online-Newsletter abonniert und sofort eine E-Mail erhält, in der er gebeten wird, seine E-Mail-Adresse zu bestätigen, bevor er der E-Mail-Empfängerliste hinzugefügt wird.
Berechtigtes Interesse
Gemäß der DSGVO kann es sein, dass eine Einverständniserklärung nicht erforderlich ist, wenn Marketer nachweisen können, dass bestimmte Personen ein „berechtigtes Interesse“ daran haben, Direktmarketing zu erhalten. Dies ist eine der weniger eindeutigen Leitlinien der DSGVO, so dass es sich lohnen kann, Ihr juristisches Team bezüglich eventueller Marketing-Kampagnen zu konsultieren, die Sie in Annahme eines berechtigten Interesses an ihre gegenwärtigen Kunden versenden möchten. Bei Direktmarketing-Kampagnen, die auf berechtigtem Interesse basieren, müssen Sie dem Einzelnen eine Möglichkeit geben, sich aus der Mailingliste zu entfernen - entweder über einen Link, um sich abzumelden oder über eine Möglichkeit, Ihre Firma zu kontaktieren.
Zugriff
Die DSGVO verlangt, dass Unternehmen den Verbrauchern die Möglichkeit geben, auf Ihre Daten zuzugreifen, sie zu berichtigen und sie zu löschen. Marketer sollten sich mit den Datenspeicherungs-Richtlinien und -Verfahren ihres Unternehmens vertraut machen, und zu identifizieren, mit welcher Stelle im Unternehmen sich jemand in Verbindung setzen muss, um auf seine Daten zugreifen zu können.
Datenspeicherung
Die DSGVO führt das Konzept der Datensparsamkeit ein, die Unternehmen dazu verpflichtet, nur essenzielle persönliche Daten zu speichern. Daten, die wenig oder keinen Wert haben, müssen entweder entfernt, anonymisiert oder verschlüsselt werden.
Anzeigepflicht bei Datenschutzverletzungen
Die DSGVO gibt den Verbrauchern das Recht, benachrichtigt zu werden, wenn persönliche Daten kompromittiert wurden. Im Fall einer Datenschutzverletzung müssen Unternehmen das Amt des Datenschutzbeauftragten innerhalb von 72 Stunden benachrichtigen.
DSGVO-Maßnahmen
Die neue Richtlinie kann zunächst überwältigend erscheinen, aber es ist wichtig, sich eher früher als später darauf vorzubereiten. Hier sind vier Dinge, die Sie tun können, um sicherzustellen, dass Ihr Team die Bedingungen erfüllt:
1. Audit
Um zu verstehen, was geändert werden muss, müssen Sie zunächst den aktuellen Stand Ihrer Datenverarbeitung begutachten. Stellen Sie sich die folgenden Fragen:
- Wie sammeln Sie derzeit Daten? Ist dazu die eindeutige Zustimmung des Verbrauchers erforderlich?
- Bieten Ihre Direktmarketing-Emails eine Option, die Zustimmung zu widerrufen?
- Welche Daten haben Sie bereits, wozu werden sie verwendet und wie haben Sie diese gesammelt?
- Sind Sie in der Lage, gegebenenfalls einzelne Schritte der Zustimmungsabfolge nachzuweisen?
2. Datenschutz-Kommunikation prüfen und aktualisieren
Wenn Sie Ihre aktuellen und zukünftigen Daten-Praktiken und Datenschutzrichtlinien proaktiv kommunizieren, wird es das Vertrauen Ihrer Kunden in Ihr Unternehmen und Ihre Marke stärken. Aktualisieren Sie Ihre Richtlinien und erläutern Sie, wie Sie Daten sammeln, speichern, übertragen und verarbeiten. Ziehen Sie in Betracht, Ihren aktuellen Kunden und Interessenten eine E-Mail zuzusenden, in der Sie erläutern, welche Änderungen Sie vornehmen.
3. Prozesse definieren und mit den wichtigsten Stakeholdern diskutieren
Es variiert von Unternehmen zu Unternehmen, wer die wichtigsten Stakeholder sind, aber es ist wichtig, diese so früh wie möglich einzubinden:
- Ihr CEO möchte vielleicht sehr genau wissen wollen, wie die DSGVO Geschäftsprozesse, Ausgaben oder Einnahmen beeinflussen wird. Helfen Sie ihm/ihr zu verstehen, welche möglichen Bußgelder, Risiken, Herausforderungen und Chancen mit diesem Übergang in Verbindung stehen.
- Compliance-, Risiko-Management- bzw. Datensicherheits-Teams werden einen unternehmensweiten Datenschutz-Plan und Richtlinien gegen Verletzungen einrichten müssen.
- Beziehen Sie die Rechtsabteilung mit ein, um die Veränderungen zu prüfen, bevor Sie irgendetwas offiziell starten.
- Unternehmen müssen einen Datenschutzbeauftragten (DSB) benennen, als zentrale Anlaufstelle für alle DSGVO-bezogenen Fragen und Probleme. DSBs sollten sich stets auf dem aktuellsten Stand in Bezug auf Datenschutzgesetze und -praktiken halten.
- Wenn Landing Pages oder Formulare neu erstellt werden müssen, damit sie den neuen gesetzlichen Regelungen ensprechen, sollten Sie den Entwickler- und Design-Teams diese Anforderungen so schnell wie möglich mitteilen.
- Dadurch, dass man den Vertrieb ebenfalls auf dem Laufenden hält, trägt man dazu bei, das Vertrauen aktueller und potentieller Kunden zu fördern. Achten Sie darauf, dass der Vertrieb weiß, welche Schritte Sie unternehmen, um DSGVO-konform zu sein; dann werden Ihre Kollegen diese Informationen auch an Interessenten weiterleiten.
4. Compliance durch Drittanbieter
Werfen Sie einen Blick auf die Firmen, mit denen Sie zusammenarbeiten und prüfen Sie, dass auch diese Drittanbieter die Anforderungen der DSGVO einhalten. Erfahren Sie mehr darüber, was wir bei Wrike unternehmen, um DSGVO-konform zu sein.
Wie Sie Wrike für die Zusammenarbeit rund um DSGVO nutzen können
Durch die Verwendung einer Single Source of Truth, bleiben Sie organisiert, beseitigen Hürden und schaffen Klarheit bei komplexen Projekten mit mehreren Stakeholdern und dynamischen Komponenten.
Wir zeigen Ihnen, wie unser eigenes Marketing Operations Team Wrike einsetzt, um sicherzustellen, dass jeder DSGVO-konform ist:
Wissen teilen
„Die DSGVO wirkt sich auf viele Leute in vielen unterschiedlichen Teams aus. In der Lage zu sein, auf eine einzige Quelle zugreifen zu können, wo wir unsere Nachforschungen und Best Practices dokumentieren können, ist sehr hilfreich,“ sagt Mariam Vanyan, E-Mail-, Website- & Automation Team Lead bei Wrike. „Jede involvierte Person weiß, dass sie jederzeit auf Wrike zugreifen kann, um Notizen hinzufügen oder Fragen zu stellen.“
Änderungen identifizieren
„Basierend auf der DSGVO identifizieren wir Landing Pages und E-Mails, die eventuell aktualisiert werden müssen, und erstellen Screenshots davon, um sie an individuelle Wrike-Aufgaben anzuhängen,“ sagt Vanyan. „Wir wollen sicherstellen, dass alles, was wir aktualisieren müssen, sich hier an einem Ort befindet. Für uns gilt: Wenn etwas nicht in Wrike vorhanden ist, dann existiert es auch nicht.“
Den wichtigsten Stakeholdern zuweisen
„Wir stellen sicher, dass alle, die diese Aktualisierungen sehen oder freigeben müssen, die entsprechenden Ordner, Projekte und Aufgaben zugewiesen bekommen“, sagt Vanyan. „Wenn sich alles an einem Ort befindet, können alle beteiligten Teams direkt hierher kommen und sehen, was getan werden muss. Weil sich alles an einem Ort befindet, brauchen wir keine E-Mails für jede erforderliche Änderung zu verschicken, was unweigerlich zu chaotischen Verhältnissen führen würde. Alles ist übersichtlich in Wrike aufgelistet, so dass alle Teams genau wissen, was Sie tun müssen.“
Abhängigkeiten erstellen
„Es gibt so viele Aufgaben, die durch so viele Teams erledigt werden müssen, aber nicht alle Aufgaben können gleichzeitig ausgeführt werden. Einige Aufgaben können nicht begonnen werden, bevor andere erledigt sind“, sagt Vanyan. „Wir verlassen uns auf die Zeitleiste in Wrike und auf die Möglichkeit, Abhängigkeiten von einer Aufgabe zur anderen zu erstellen, um diesen Prozess zu straffen.“
Überprüfen lassen
„Nachdem wir alle Änderungen vorgenommen haben, nutzen wir Wrike, um alles der Rechtsabteilung zuzuweisen, die dann eine endgültige Prüfung durchführt“, sagt Vanyan. „Da der gesamte Verlauf des Projekts in dieser Aufgabe angezeigt wird, kann unsere Rechtsabteilung die ursprüngliche Landing Page oder E-Mail sowie die Schritte sehen, die wir unternommen haben, um DSGVO-konform zu werden, und wie die Dinge jetzt aussehen.“
Die DSGVO mit all Ihren Auswirkungen mag überwältigend erscheinen, aber wenn DSGVO-konform zu sein wird letztlich dazu beitragen, dass Kunden und Interessenten Vertrauen zu Ihrer Marke aufbauen. Indem Sie die Initiative in kleinere Aufgaben (wie in diesem Blogpost beschrieben) unterteilen, kann die ganze Sache besser bewältigt werden.
Wie kommen Sie und Ihr Team mit der DSGVO-Compliance zurecht? Teilen Sie uns Ihre Erfahrungen in den Kommentaren unten mit.