Personenbezogene Daten schon jetzt richtig managen

Am 28. Mai 2018 hat die Europäische Datenschutzgrundverordnung (DSGVO) die seit 1995 geltenden Datenschutzrichtlinien abgelöst. Unternehmen, die nun gegen die neue Gesetzesgrundlage verstoßen, müssen mit hohen Strafen rechnen. „Verstöße werden in Zukunft häufiger und stärker sanktioniert werden“, bestätigt Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern überwacht. „Das kann Unternehmen bis zu 20 Millionen Euro kosten.“ Dieser Fakt schwebt in vielen Köpfen wie ein Damoklesschwert über den Gedanken zur DSVGO. Dabei möchte die DSVGO in ihrem Kern keine Ängste schüren, sondern das in die Jahre gekommene Datenschutzrecht modernisieren und an gegebene technologische Entwicklungen anpassen sowie den EU-Binnenmarkt durch eine vereinheitlichte Datenschutzregelung stärken.

Daten differenziert pflegen

Um dieses Ziel zu erreichen, gibt die DSGVO das Eigentum über die persönlichen Daten an die Bürger zurück und stellt höhere Anforderungen an die Transparenz gespeicherter Informationen. Dies drückt sich im „Betroffenenrecht“ aus: Natürliche Personen haben das Recht, sich bei einem Unternehmen zu informieren, welche Daten das Unternehmen über ihre Person gespeichert hat, woher es diese Informationen erhalten hat und wie es mit ihnen umgeht. „Das bedeutet, dass ich als Unternehmen eine differenzierte Aussage treffen können muss, ob ich die Informationen von der Person direkt erhalten habe oder über Dritte“, sagt Thomas Kranig. „Habe ich aus verschiedenen Quellen, verschiedene Informationen zu einem Kontakt, so muss ich auch das im Detail aufzeigen können.“ Dies erfordert erhöhte Sorgfalt bei der Datengenerierung und Datenhaltung. Und es erfordert ein gutes Konzept, welche Informationen man einem Unternehmen zuordnet, mit dem man als B2B-Organisation ins Geschäft kommen möchte, und welche man ausschließlich an einen Kontakt knüpft. Denn neben dem Betroffenenrecht haben natürliche Personen ein Recht auf Vergessen, sprich, die Löschung all ihrer Daten – auch im B2B-Bereich. Für Unternehmen gilt weder das Recht der betroffenen Person, noch das Recht auf Vergessen.

Von Hinweisen und Einwilligungen

Mehr Transparenz fordert die Europäische Datenschutzgrundverordnung auch bei der Verarbeitung personenbezogener Daten: Was mit den erhobenen Daten geschieht, muss in den Datenschutzhinweisen des Unternehmens klar beschrieben werden. „Eine gute Datenschutzerklärung muss richtig, wahr und vollständig sein“, erklärt Thomas Kranig. So soll man auf Konjunktive verzichten. „Datenschutzerklärungen, die in einem verschrobenen Juristendeutsch geschrieben sind, werden künftig nicht mehr akzeptiert.“ Der Normalverbraucher muss auf Grundlage der Datenschutzerklärung verstehen, welche Daten zu welchen Zwecken erhoben, von wem und wo diese Daten gespeichert werden und wie er dagegen Einspruch erheben kann.

Die Einwilligung zur Speicherung und Weiterverarbeitung personenbezogener Daten muss durch ein aktives Häkchensetzen erfolgen. „Die Einwilligung als Pflichtfeld abzufragen, ist erlaubt und sollte vom Unternehmen auch so getrieben werden, um Missverständnissen vorzubeugen“, empfiehlt Thomas Kranig. Ist die Einwilligungserklärung gut formuliert, so darf sie in der Praxis auch mit der Double-Opt-in-Kommunikation verbunden und beispielsweise in Formularen mit einer einzelnen Checkbox abgefragt werden. Doch empfiehlt es sich, die beiden Informationen separat zu speichern und auch für beide Einwilligungen einen separaten Opt-out-Prozess aufzusetzen.

Das Gesetz als Treiber von Datenqualität

Das differenzierte Pflegen von Kontakt- bzw. Leaddaten bedeutet für den Marketer, dass er noch mehr Informationen als bisher sammeln muss: Zu den Daten, die er für kommunikative oder vertriebliche Zwecke benötigt, gesellen sich nun zusätzlich die Details, über die er im Rahmen des Betroffenenrechts Auskunft geben muss: Zu welchem Zeitpunkt und aus welcher Quelle kam die E-Mail-Adresse? Wann und woher kam die Information über Arbeitgeber und Arbeitsbereich? Von wann und woher stammt die angegebene Telefonnummer?

Wer mit Marketing Automation Tools wie Eloqua arbeitet, für den wird diese Form der Datenergänzung eine lösbare Aufgabe darstellen. So können die nötigen Informationen beispielsweise über nicht sichtbare Formularfelder mit übergeben und dann an Kontaktfeldern oder als Custom Objects gespeichert werden.

Doch nicht nur über die Ersterfassung hat sich der Gesetzgeber Gedanken gemacht: In Artikel 5, Grundsätze für die Verarbeitung personenbezogener Daten (https://dsgvo-gesetz.de/art-5-dsgvo/), fordert die DSGVO, dass Daten sachlich richtig und stets auf den neuesten Stand gehalten werden. „Unternehmen werden aufgefordert, ihre Daten mehr zu pflegen“, bestätigt Thomas Kranig. „Unser Rat hier: Wer diesen Aufwand nicht betreiben möchte, sollte Ungepflegtes lieber löschen.“

Vom Managen der Datenmassen

Die Herausforderung, personenbezogene Daten gemäß gesetzlicher Bestimmungen zu managen, wächst, wenn Daten in verschiedenen Systemen eines Unternehmens hausen. Das erlebt Ditte Brix Anderson von Stibo Systems, Anbieter von Master-Data-Management-Systemen, im Austausch mit ihren Kunden immer wieder: „Wer den Übergang meistern möchte, sollte vier Dinge in Angriff nehmen“, sagt sie. „Im ersten Schritt empfiehlt es sich, mindestens eine Person zu nominieren, die sich mit der EU-Datenschutzverordnung und der Implementierung im Unternehmen auseinandersetzt.“ Da jede Abteilung mit verschiedenen Daten oder mit denselben Daten unterschiedlich arbeitet, sollte diese Person ein interdisziplinäres Team aufstellen, das sich beispielsweise aus Vertrieb, Marketing, CRM-Team und Kundenservice zusammensetzt. „Es gilt, die DSGVO an sich zu verstehen, aber auch, was sie für die verschiedenen Bereiche bedeutet“, erklärt Ditte Brix Anderson, die über das Thema EU-Datenschutzgrundverordnung auch auf dem APTLY Eloqua User Meeting am 12. September 2017 in Köln sprechen wird.

Als nächstes sollte sich der DSGVO-Verantwortliche gemeinsam mit dem interdisziplinären Team ansehen, welche personenbezogenen Daten gespeichert werden, wo sie gespeichert werden, zu welchen Zwecken und wie die Prozesse dafür sind. Eine weitere Herausforderung ist die eindeutige Identifizierung von natürlichen Personen: „Nehmen wir meine Person als Beispiel“, sagt Ditte Brix Anderson. „Bitte ich bei einem Unternehmen um Auskunft meiner Daten, dann muss es mich identifizieren können, auch wenn ich in seinem System einmal als Ditte Brix, einmal als Ditte Anderson und einmal als Ditte Brix Anderson als Datensatz existiere.“ Und als vierten Schritt muss das Unternehmen einen Prozess aufsetzen, der das Vorgehen regelt, wenn eine natürliche Person von ihrem Betroffenenrecht sowie ihrem Recht auf Vergessen Gebrauch macht. „Erfahrungsgemäß ist das Managen von Daten immer dann am einfachsten, wenn alle Informationen in einem einzigen System zusammenlaufen“, sagt Ditte Brix Anderson. Hier eignen sich Custom Relation Management (CRM) oder Master Data Management Systeme (MDM).

Sie haben noch Fragen? Kommen Sie vorbei!

Am Dienstag, den 12. September2017 findet in Köln das 3. APTLY Eloqua User Meeting statt. Neben der EU-Datenschutzgrundverordnung, intelligentem Datenmanagement und Hyper-Personalisierung widmet sich die Veranstaltung dem Thema dynamischen Persona. Die Teilnahme ist kostenfrei.