ZEIT FÜR VERÄNDERUNG

ZEIT FÜR VERÄNDERUNG

Auf was Marketer zukünftig beim Datenschutz achten müssen

VON MATTHIAS KANT

(Veröffentlicht in Das Produktkulturmagazin Ausgabe 1 2018)

Es ist fünf vor Umbruch. Denn in gut acht Wochen, am 25. Mai, tritt die europäische Datenschutz-Grundverordnung unweigerlich in Kraft. Doch dass dies überhaupt kein Drama für Marketingverantwortliche bedeuten muss, erklärt uns Marketing- und IT-Security-Experte Andres Dickehut im Interview.

Die DSGVO ist 99 Paragrafen schwer und enthält etwa 137 Erwägungsgründe. Was bedeutet Letzteres?

Wie der Name schon verrät, ist die Datenschutz-Grundverordnung eine „Grundverordnung“. Sie legt aktuell nur die Grundlage fest und wird folgend durch zusätzliche Gesetze und Verordnungen ergänzt, die in ganz unterschiedlichen Bereichen greifen. Erst diese Erweiterungen regeln vieles im Detail, und zusätzliche Verordnungen ziehen nach. Wir befinden uns also am Anfang eines Prozesses, in dem es mit neuen Anforderungen an Datenschutz und Datensicherheit munter weitergeht. Dies betrifft das Marketing wie auch alle anderen Unternehmensbereiche. Die erwähnten 137 Erwägungsgründe sind für alle Mitarbeiter und Entscheidungsträger interessant, die sich mit Datenschutz und seiner Umsetzung beschäftigen. Sie erläutern, welche Überlegungen zur EU-DSGVO geführt haben, und schaffen ein einheitliches Verständnis für die Hintergründe. Zudem dienen sie als Hilfe für die konsistente Entwicklung weiterer Verordnungen, die auf die DSGVO aufsetzen, sowie für die Umsetzung in den Rechtssystemen der EU-Mitgliedsländer. Damit stellen Erwägungsgründe eine wertvolle Informationsquelle dar und lassen erahnen, was in weiteren von der DSGVO abhängigen Gesetzen noch kommen kann.

Die DSGVO greift auch in das Berufsfeld des Marketers ein. Was ändert sich denn beispielsweise im Dialogmarketing nach dem Inkrafttreten der Verordnung?

Da sich sehr viele Details ändern, müssen Marketingverantwortliche alle Verarbeitungsprozesse von Daten überprüfen. Schon allein die Definition „personenbezogene Daten“ erlebt Modifizierungen, dazu kommen unter anderem Veränderungen bei Erlaubnisgrundlagen, Einwilligungen, Informationspflichten, Betroffenenrechten, Bußgeldern und Rechenschaftspflichten. Allerdings sind viele der geforderten Maßnahmen und Regelungen in Deutschland bereits im Bundesdatenschutzgesetz verankert. Sie werden nun aber detaillierter, während parallel die Kontrollmöglichkeiten, Befugnisse und Aufgaben der Datenschutzbehörden und Datenschutzbeauftragten Erweiterungen erfahren. Im Hinblick auf die hohen Strafen und Bußgelder, die die DSGVO bei Verstößen vorgibt, sollte jeder Marketer seine bisherigen Mechanismen und Mittel prüfen und gegebenenfalls anpassen. Für das Dialogmarketing ist die Rechtslage zur Erlaubnis der Verarbeitung personenbezogener Daten relevant. Die DSGVO spricht Verbrauchern, deren Daten erhoben, gespeichert und verarbeitet werden, mehr Rechte zu. Konkret verschärfen sich die Anforderungen an die Einwilligung, die Berichts- und Auskunftspflichten, das Recht auf Übertragbarkeit, das Recht auf Löschung und die Aufzeichnungspflichten. Für das Dialogmarketing bedeutet das auch, dass personenbezogene Daten transparenter gespeichert und betroffene Personen umfänglich über die Nutzung ihrer Daten informiert werden müssen. Unternehmensbeteiligte müssen die Daten auf Wunsch jederzeit unbürokratisch gänzlich oder in Teilen löschen oder übertragen. Werden die gesetzlichen Voraussetzungen erfüllt, ist der Einsatz eines Datenschutzbeauftragten zwingend, der alle Vorgänge der Datenverarbeitung überwacht und die Einhaltung der Regeln kontrolliert. Zusätzlich gelten laut Verordnung die Prinzipien „Privacy by Design“ und „Privacy by Default“. Ersteres bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einfließen, während „Privacy by Default“ meint, dass zum Beispiel Voreinstellungen bei Geräten oder Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.

Worauf müssen Marketer zukünftig bei der Adressgenerierung und bei der Nutzung personenbezogener Daten achten?

Sie müssen Vorarbeiten leisten, um Daten überhaupt verarbeiten zu können. Dabei gilt es insbesondere, die Verfahrensverzeichnisse, Berechtigungskonzepte sowie Prozessdokumentationen und Sicherheitskonzepte zu betrachten. Auch verwendete Systeme und Anbieter spielen hier eine große Rolle – Cloud-Services sind häufig kritisch zu betrachten. Das trifft vor allem zu, wenn die Daten auf mehrere Systeme in der Cloud verteilt werden und unklar ist, wo sie sich befinden, wie sie abgesichert sind, wer darauf zugreifen kann. Hier hilft eine für die DSGVO zertifizierte Lösung, die den Datenschutz für wesentliche Punkte gleich mitliefert. Ihr Umfang sollte allumfassend sein und keine Lücken aufweisen, doch diese wertigen Zertifizierungen sind rar. 

Die Vielzahl an Siegeln und Zertifizierungen in diesem Kontext sorgt für Verwirrung. Auf welche Siegel können Marketer vertrauen, um europaweit auf der sicheren Seite zu stehen?

Zukünftig müssen alle Datenschutzgütesiegel, wie in Artikel 42 und 43 DSGVO gefordert, europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren durchlaufen haben. Dies ist heute schon bei ISO-Zertifizierungen wie der ISO 27001 der Fall, die als Grundlage zur Datenschutzzertifizierung dient. Das European Privacy Seal (EuroPriSe), in dem ein Expertengremium unter Hochdruck an der Akkreditierung arbeitet, stellt aus meiner Sicht eine sehr gute und ausgereifte Zertifizierung dar. Sie enthält einen DSGVO-/GDPR-Kriterienkatalog und setzt auf die Anforderungen aus ISO 27001 auf. EuroPriSe wird bereits in einigen EU-Dokumenten als Beispiel für einen möglichen Standard genannt. Mit diesem Zertifikat sind Unternehmen sowohl auf der technischen Seite als auch in den weniger technischen Bereichen wie Verfahren, Prozess, Dokumentation extrem gut aufgestellt.

Die rechtskonforme Einverständniserklärung ist ein Kernpunkt der DSGVO. Was muss konkret darin stehen und wie holt man sie im Daily Business ein?

Eine Einwilligung muss von einer einwilligungsfähigen Person, freiwillig für den konkreten Fall und in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben sein. Kernpunkte sind zudem das Kopplungsverbot, das die Leistungserbringung von einer dafür nicht erforderlichen Einwilligung löst, und die Belehrung über das Widerrufsrecht. Operativ bedeutet das, dass die Einwilligung aktiv, zum Beispiel durch das Anklicken eines Kästchens, erfolgt. Ein stillschweigendes Einverständnis durch ein standardmäßig vorangekreuztes Kästchen ist nicht ausreichend. Die Einholung erfolgt im besten Fall über das bekannte Double-Opt-in-Verfahren.

ProCampaign arbeitet in seiner neuen Version „ProCampaign Lighthouse“ mit Permission-Management. Was verbirgt sich hinter dem Begriff und wie unterstützt das System seine Anwender noch im Bereich Datenschutz?   

ProCampaign ist ein Secure Customer Engagement Hub, der personenbezogene Daten an einem zentralen Ort sichert, managt und anreichert. Als einziges Marketing- und CRM-Tool darf unser System das oben erwähnte renommierte europäische EuroPriSe-Gütesiegel tragen. Consultix als Anbieter ist zudem ISO 27001-zertifiziert und blickt auf 20 Jahre Expertise in puncto Entwicklungskompetenz und Datenschutz zurück. Um Anwender im Bereich Datenschutz und Einwilligungen zu unterstützen, bietet die jüngste Version Lighthouse das Modul „Permission Text Management“ und damit die rechtskonforme Verwaltung aller Permission- und Legal-Texte. So liegt im Hub für jedes Kundenprofil die temporäre Version der Einwilligung vor, die der Kunde abgegeben hat. Mit einem zertifizierten Double Opt-in-Prozess, individuellen Berechtigungskonzepten, definierten Freigabeprozessen für den Datenexport sowie automatisierten und datenschutzkonformen Löschprozessen wissen wir unsere Kunden gut gerüstet.

Hat Ihnen dieser Artikel gefallen? Legen Sie ihn in Ihren Warenkorb!

ANDRES DICKEHUT

Andres Dickehut ist geschäftsführender Gesellschafter von Consultix. Consultix ist Technologieführer im Bereich personenbezogener Daten und wurde mehrfach für seine Vorreiterrolle im Bereich Datenschutz und Sicherheit ausgezeichnet. Flaggschiff des Unternehmens ist ProCampaign®, der Secure Customer Engagement Hub. Mit seiner langjährigen Expertise in den Bereichen Datenschutz und Datensicherheit berät Dickehut internationale Premiummarken wie NIVEA, Milka, Lieblingstasche, Komatsu, Payback, PayPal oder Whiskas.

Consultix GmbH
sales@procampaign.de

procampaign.de

MATTHIAS KANT

Matthias Kant ist CEO von Deutsche Stadtmarketing Gesellschaft. Zuvor war er CEO der pirobase imperia gmbh und hat zwölf Jahre als Partner und Vorstandsmitglied für Unternehmensberatungen wie die Droege Group und die IM + C AG gearbeitet. Im Jahr 2011 gründete Kant die CityGuide AG in Zürich und Krefeld. Zudem ist er als Cosmonaut für The Group of Analysts unterwegs.

Picture credit © Photography taken by Mario Gutiérrez/Getty Images


Leave a comment

Please note, comments must be approved before they are published