Schlagwort-Archive: Datenschutz

DSGVO. Eine Aufgabe für den externen Dienstleister?

Bitte bewerten Sie diesen Artikel!

Bis zum 25. Mai 2018 gab es mächtig viel zu tun, denn damals löste die neue Datenschutz-Grundverordnung (DSGVO) das alte EU-Modell ab. Betroffen von der Neuregelung waren alle, die mit Menschen zusammen arbeiten und die online aktiv sind, sprich: Diejenigen, die eine Webseite betreiben, die dort Cookies vergeben, die Google Analytics nutzen, Social-Media-Plugins integriert haben und auf E-Mail-Marketing setzen ebenso wie der kleine Handwerker, der Kunden- und Lieferantendaten kennt. Die erste To-do-Liste, die bis Ende Mai 2018 umgesetzt werden musste, war noch recht übersichtlich und konnte auch von den meisten Unternehmern selbst erledigt werden. Mittlerweile gibt es das Angebot, unternehmerische Aufgaben rund um die DSGVO an externe Dienstleister auszulagern. Was diese Option in der Praxis bedeutet, zeigt der folgende Beitrag.

DSGVO

Die DSGVO darf das Unternehmen nicht behindern

Neue Aufgaben im Betrieb oder neue Gesetze, die im Unternehmen umzusetzen sind, bedeuten auch: Es gibt eine Person X, die sich mit dem Thema auseinander setzen muss, den ganzen Betrieb auf neuralgische Schnittstellen mit dem Thema abklopfen muss und die Verantwortung tragen muss, dass Altes upgedatet wird und Neues direkt nach den neuen Grundsätzen umgesetzt wird. Das bedeutet aber auch Neuland für eben diesen Mitarbeiter und vergleichsweise wenig Zeit für das, was der Mitarbeiter ursprünglich zu tun hatte. Genau an diesem Punkt setzen externe Dienstleister an, die den DSGVO-Mehraufwand von den Schultern der Unternehmen nehmen wollen, damit im Betrieb selbst alles weiterlaufen kann wie gehabt.

Darum kümmern sich die DSGVO-Dienstleister im Detail

Bei den Daten, die laut DSGVO geschützt werden müssen, handelt es sich um sogenannte personenbezogene Daten. Wer glaubt, diese Daten gar nicht im Unternehmen zu haben, weil beispielsweise die Webseite lediglich der Information dient und keine analytischen Daten bereithält, der irrt sich. Eine Musterrechnung zeigt nämlich, dass bereits in einem kleinen Betrieb mit zehn Mitarbeitern, fünf externen Dienstleistern, 100 Kunden und 20 Lieferanten in Summe über 150 personenbezogene Datensätze anfallen. Hinzu kommen Daten von Bewerbern, von Kooperations- und Sponsoring-Partnern sowie von weiteren Akteuren, mit denen das Unternehmen im Austausch steht. Das heißt, dass bereits jeder Ansprechpartner, der mit dem Betrieb in Kontakt steht, mindestens einen schützenswerten Datensatz trägt.
Wie umfangreich das Leistungspaket sein wird, ist abhängig von der Unternehmensgröße. Thematisch sind in der Regel diese Punkte im Unternehmen seitens eines externen Datenschutzbeauftragten abzudecken:

  • Anweisungen und Berechtigungen. Vermeintliche „Internas“, wie etwa Berechtigungen und Anweisungen baulicher und technischer Natur, sind regelmäßig und mit Blick auf die DSGVO zu aktualisieren, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
  • Datenverarbeitung. Jeder der eben aufgezählten Datensätze muss unter Berücksichtigung von validen Datenverarbeitungsvorgängen während der Verarbeitung geschützt werden.
  • Individuelle Vorkehrungen. Hierunter fällt beispielsweise die Pflicht zu dokumentieren, wie das Videoüberwachungssystem auf dem Betriebsgelände funktioniert und inwieweit biometrische Daten dabei erhoben werden.
  • Rechenschafts- und Nachweispflicht. Dahinter verbirgt sich die Pflicht, das einzuhalten, was in der DSGVO niedergeschrieben wurde. Dass ein Unternehmen hier rechtlich korrekt arbeitet, muss transparent nachgewiesen werden.

Darüber hinaus sind branchentypische Themen zu bedenken, wie etwa Geschäftsfahrzeuge, die via GPS-Tracking lokalisiert werden können. Diesen Themen müssen sich Handwerker mit einem kleinen Fuhrpark ebenso stellen wie große Logistikbetriebe. Kundendaten fallen sowohl beim Handwerksbetrieb sowie bei einer Lieferkette an, bei der die Bestellung durch mehrere Hände geht. Und selbst im Gesundheitsbereich fallen personenbezogene Daten an, die auf Kundenkarten dokumentiert sein können und zu schützen sind. Zudem haben IT-Dienstleister die Aufgabe, für ein sicheres Datenmanagement zu sorgen – und dieses beginnt mit der Archivierung und Lagerung von Daten und endet mit Hard- und Software, Netzwerken und IT-Systemen noch lange nicht.

ePV

Neue Herausforderungen stehen bereits auf dem Plan

Ein Blick auf die Grafik des Bundesverbands Digitale Wirtschaft (BVDW) zeigt: Die ePrivacy-Verordnung (ePV) ist ein Thema, das in der Vergangenheit bereits beschäftigt hat und auch in den kommenden Jahren beschäftigen wird. Ursprünglich stand auf dem Plan, bis Ende 2020 einen gemeinsamen Standpunkt zur ePrivacy zu bekommen, um im Jahr 2021 das Inkrafttreten der neuen ePV anzuvisieren.
Im Kern geht es dabei darum, was die Betreiber von Internetseiten zu beachten haben, sprich: Wer eine Homepage betreibt, muss diejenigen um „Erlaubnis“ fragen, die auf die Seite zugreifen. Was einfach klingt, bedeutet für einen Datenschutzbeauftragten, dass er nicht nur die Auseinandersetzungen rund um die ePV im Blick haben muss, sondern auch die Umsetzung rechtskonform anlegen und überprüfen muss, damit der Betrieb im wichtigen Online-Bereich auf rechtssicheren Beinen steht.
Dass die ePV kommt, steht außer Frage, denn sie legt den inhaltlichen Fokus nicht etwa auf alle personenbezogenen Daten, wie die DSGVO, sondern auf Daten, die im Zuge der Internetnutzung beim User erhoben werden. Entscheidend ist dann, wer sich im Unternehmen um die rechtskonforme Umsetzung kümmern wird: Der Mitarbeiter, der sich bereits um die Umsetzung der DSGVO kümmert, oder ein externer Dienstleister, der als Datenschutzbeauftragter im Betrieb agiert.

DSGVO und Kundendaten: Das ist wichtig für Ihr CRM

DSGVO und Kundendaten: Das ist wichtig für Ihr CRM
5, 6 Bewertungen

Die ganze Online-Welt hat den Tag kommen sehen und gleichzeitig gefürchtet: den 25. Mai 2018. Seitdem ist die Datenschutz-Grundverordnung (DSGVO) wirksam und muss von allen Mitgliedern der EU angewandt werden. Entgegen dem medialen Eindruck kam dieser Tag aber ganz und gar nicht überraschend, denn die Verordnung trat bereits im Mai 2016 in Kraft. Zum befürchteten Riesen-Knall kam es im Mai dieses Jahres nicht und mittlerweile ist auch die erste Welle der Aufregung abgeebbt, trotzdem sind noch längst nicht alle Fragen zur DSGVO und Kundendaten geklärt.

Nicht zuletzt lassen sich die Folgen der Verordnung vor allem im Kleinen beobachten: Viele kleine Betriebe stellten zum Stichtag vorsichtshalber ihre Newsletter ein oder gingen gar mit der kompletten Homepage offline. Datenschutzbeauftragte und -behörden beklagen vor allem auch, dass das Beratungsaufkommen im Zusammenhang mit der DSGVO sehr hoch sei – höher als die Zahl der Beschwerden. Es gibt also in vielerlei Hinsicht noch großen Handlungsbedarf, zum Beispiel was die Umsetzung in gängigen CRM-Systemen betrifft.

DSGVO und Kundendaten: Was darf man noch speichern, was muss man löschen?

Der Gedanke hinter der DSGVO ist absolut ehrenwert: In allen Mitgliedsstaaten der Europäischen Union gilt ein einheitlicher Datenschutz, der die Privatsphäre der EU-Bürger und -Bürgerinnen (nicht nur) im Internet wahren und ihre persönlichen Daten vor Missbrauch schützen soll. Die  Nutzer sollen entsprechend darüber aufgeklärt werden, welche Daten über sie gesammelt werden – und selbstbestimmt entscheiden können, was damit passiert.

Daher steht jedem Kunden auch ein Auskunftsrecht zu, mit dessen Hilfe er jederzeit in Erfahrung bringen können soll, welche Daten über ihn gespeichert werden. Außerdem hat jeder Verbraucher ein „Recht auf Vergessenwerden“. Das heißt: Prinzipiell kann jeder Nutzer seine Daten löschen lassen, wenn sie nicht mehr benötigt werden (u.a. zur Vertragserfüllung) oder juristisch nicht mehr notwendig sind. Hat der Kunde beispielsweise eine Rechnung noch nicht beglichen, dürfen Sie wiederum die dafür notwendigen Daten weiterhin speichern.

Was passiert bei einem Verstoß gegen die DSGVO?

Website-Betreiber stellt die EU-Verordnung vor ganz neue Herausforderungen; vor allem kleine und mittlere Unternehmen sind verunsichert darüber, ob ihr Datenschutzmanagement überhaupt noch den gesetzlichen Vorgaben entspricht. Die Angst vor einer Abmahnung ist dabei allgegenwärtig, schließlich kursieren immer wieder dubiose Geschichten über findige Anwälte, die sich angeblich auf Verstöße gegen die DSGVO spezialisiert haben. Das ist nicht zuletzt deswegen fatal, weil Unternehmen mit Strafen von bis zu vier Prozent ihres Jahresumsatzes belangt werden können, wenn sie die Vorgaben der Verordnung missachten.

Ob die Abmahnungen allerdings vor Gericht Bestand haben, sei dahingestellt. Auch die Politik ist an der Stelle schon aktiv geworden: Medienangaben zufolge plant die Unionsfraktion, DSGVO-Abmahnungen durch eine Gesetzesänderung zumindest innerhalb einer Frist von einem Jahr zu verbieten. Schließlich lassen sich bei so einer umfassenden Umstellung unbewusste Verstöße nicht gänzlich vermeiden.

Online Marketing Manager

Was ändert sich speziell für CRM-Systeme?

Trotzdem: Früher oder später müssen alle Websites, deren Zielgruppe Personen mit Wohnsitz in der EU sind, DSGVO-konform sein – unabhängig davon, ob der Sitz der zugehörigen Organisation innerhalb oder außerhalb der EU ist! Dreh- und Angelpunkte vieler Seiten sind dabei die CRM-Systeme, deswegen besteht gerade hier großer Handlungsbedarf. Zum Beispiel muss sichergestellt werden, dass so wenig Kundendaten wie möglich verarbeitet werden. Doch ganz ohne personenbezogene Daten geht es natürlich nicht. Ein Unternehmen muss aber in der Lage sein, rechtskonforme Nachweise über seine Kundendaten zu führen. Außerdem muss im CRM-Tool auch dokumentiert werden, wenn ein Kunde der Nutzung seiner personenbezogenen Daten widersprochen hat.

Damit Ihr CRM den Anforderungen der DSGVO gerecht wird, beherzigen Sie nicht nur, aber vor allem folgende zwei Punkte:

Holen Sie die Zustimmung Ihrer Nutzer ein: Die erforderliche Einwilligung für das Verarbeiten von personenbezogenen Daten erfassen Sie am besten elektronisch und protokollieren das Ganze in Ihrem CRM-System. Das Mittel der Wahl sollte hierbei das sogenannte Double-Opt-In-Verfahren sein. Im Gegensatz zum Single-Opt-In muss der Kunde seine Zustimmung dabei in einem zweiten Schritt bestätigen. Im Umkehrschluss bedeutet dies: Der Kunde kann auch ausdrücklich erklären, dass er beispielsweise nicht über E-Mail oder Telefon kontaktiert werden möchte. In Ihrem CRM-Tool sollten Sie die Einwilligungen bzw. Verbotsvermerke Ihrer Kunden zentral verwalten können, um so Ihre Nachweispflicht zu erfüllen.

Machen Sie den Umgang mit Kundendaten transparent: Wenn Sie personenbezogene Informationen speichern und verarbeiten, müssen Sie das entsprechend dokumentieren – und zwar lückenlos. Beantworten Sie dabei auch die Frage, wo und wie lange die Kundendaten gespeichert werden. Abgesehen davon müssen Sie aufzeigen, was mit den Daten geschieht und darauf eingehen, wozu Sie sie konkret nutzen. Besonders vorteilhaft sind dabei flexible und dynamisch entwickelbare CRM-Tools, die die Erfassung und Dokumentation der Daten optimal unterstützen sowie Änderungen an Daten automatisch protokollieren.

Alles in allem lässt sich festhalten: Die DSGVO bietet Ihnen die Gelegenheit, Ihr CRM mehr oder weniger neu auszurichten. Nur so können Sie den tiefgreifenden Veränderungen in Bezug auf die Verarbeitung von personenbezogenen Daten gerecht werden.

Datenschutz & Marketing – Was sich durch die DSGVO ändern wird

Datenschutz & Marketing – Was sich durch die DSGVO ändern wird
4.8, 9 Bewertungen

Datenschutz im Marketing ist ein viel diskutiertes Thema, erst recht jetzt, wo sich durch die DSGVO die Datenschutzrichtlinien europaweit ändern. Der Datenschutz in Deutschland baut rechtlich auf dem Schutz der Privatsphäre auf. Wer im Supermarkt einkaufen geht und dort bar bezahlt, hinterlässt keine Spuren. Aber wer online etwas kaufen möchte und dazu im Internet surft, hinterlässt mit jedem Klick Daten. Diese Daten sind im Marketing für eine gezielte Kundenansprache von großer Bedeutung. Allerdings ist es fraglich, ob Personen bestimmte Daten überhaupt preisgeben möchten und mehr noch, ob sie dem Einsatz ihrer Daten für Werbezwecke zustimmen. Hier setzt die DSGVO an, die den Datenschutz europaweit auf einen Nenner bringen und einen besseren Schutz für personenbezogene Daten gewährleisten soll.

Warum brauchen wir Datenschutz?

Datenschutz ist wichtig, damit nicht jeder beliebig mit unseren Daten verfahren kann. Der Datenschutz bewahrt das Recht des einzelnen, selbst zu entscheiden, was mit den eigenen Daten passiert. Das Recht auf informelle Selbstbestimmung schließt vor allem auch mit ein, dass jeder selbst bestimmen darf, was veröffentlicht wird und was nicht. Werden Daten nicht geschützt, kann es schnell passieren, dass Hacker sich dieser bedienen. Identitätsdiebstahl, Cybermobbing oder das Hacken von Kreditkarten und Bankkonten stellen hier nur eine Auswahl an möglichen Folgen eines unzureichenden Datenschutzes dar.

Häufig fehlt im Internet Transparenz, wofür Webseitenbetreiber die auf Ihrer Webseite erhobenen Daten nutzen, wie lange diese gespeichert werden etc. Aus diesem Grund brauchen alle eine Datenschutzerklärung, die auf ihrer Webseite personenbezogene Daten abfragen, etwa bei der Newsletteranmeldung oder beim Senden einer Kontaktanfrage über ein Formular. Durch Datenschutzerklärungen soll die Datenerhebung für die Besucher von Webseiten transparent dargestellt werden. Dafür soll ein möglichst verständlicher Text auf der Webseite eines Unternehmens implementiert werden, der den Nutzer darüber informiert, in welcher Form seine Daten gespeichert werden und zu welchem Zweck dies geschieht.

Bei Verstößen gegen das Datenschutzgesetz können hohe Geldstrafen drohen und die jeweilige Aufsichtsbehörde auf den Plan treten. Außerdem muss mit Abmahnungen gerechnet werden, wenn es zu datenschutzrechtlichen Verstößen kommt.

Was ändert sich ab dem 25. Mai 2018 mit der DSGVO?

DSGVO steht für Datenschutz-Grundverordnung und löst den bis dahin geltenden Datenschutz ab. Am 25.Mai 2016 wurde die neue Datenschutzerklärung veröffentlicht, welche den Datenschutz in der Europäischen Union einheitlich gestalten soll. Diese Erklärung tritt nun nach einer Übergangszeit von zwei Jahren in Kraft. Das bedeutet, dass bis zum 25. Mai 2018 Änderungen vorgenommen werden müssen, um nicht rechtlich belangt werden zu können.

DSGVO und die Webseite

Durch die DSGVO gibt es auch bei der Verschlüsselung der Daten strengere Vorschriften. So wird es ab Mai Pflicht, die Webseite durch ein Sicherheitszertifikat zu verschlüsseln (https). Insbesondere wenn Daten etwa über ein Formular abgefragt werden, muss die Verschlüsselung gegeben sein. Kontaktformulare selbst unterliegen ebenfalls härteren Vorschriften. Es dürfen nur die nötigsten Daten erhoben werden, sodass kein Rückschluss auf die einzelne Person möglich ist. Mit dem Absenden des Kontaktformulars muss der User darauf hingewiesen werden, dass die darin enthaltenen Daten übertragen und ggf. gespeichert werden.

Webseitenbetreiber sollten unbedingt ihre Datenschutzerklärung sowie ihr Impressum überprüfen und anpassen. Hier sind durch die DSGVO ausführlichere und transparentere Informationen gefragt.

DSGVO und Cookies

Des Weiteren werden die Bestimmungen für Cookies deutlich strenger, denn es muss darauf hingewiesen werden, dass diese für Marketingzwecke genutzt werden. Achtung: 2019 wird es mit der e-Privacy Verordnung erneut zu einer Änderung der Bestimmung zur Vergabe von Cookies kommen, welche die Bestimmungen voraussichtlich erneut verschärft.

DSGVO und Google Analytics

Falls Google Analytics auf Ihrer Webseite verwendet wird, muss in der Datenschutzerklärung darauf hingewiesen werden. Außerdem muss die Anonymisierungsfunktion bei Google Analytics verwendet werden. Weiterhin wird es Pflicht, mit Google einen Vertrag zur Auftragsdatenverarbeitung abzuschließen, da Google personenbezogene Daten Ihrer Webseite verarbeitet.

DSGVO und Social Media

Social Plugins, auch Share Buttons genannt, kommen auf vielen Webseiten zum Einsatz. Da sie aber personenbezogene Daten an den jeweiligen Social Media Kanal übertragen, ist der Einsatz von Social Plugins nicht mit der DSGVO vereinbar. Social Plugins sollten Sie daher vollständig von Ihrer Seite entfernen. Selbst eine Zwei-Klick-Lösung, bei der erst mit dem zweiten Klick personenbezogene Daten generiert werden, ist aus Sicht des Datenschutzes fragwürdig.

DSGVO und E-Mail Marketing

Besonders das E-Mail-Marketing hängt eng mit der Erhebung von Daten zusammen. Ohne E-Mailadressen können keine Newsletter versendet werden, und ohne Namen ist keine personalisierte Ansprache möglich. Nach Inkrafttreten der DSGVO ist es wichtig, dass nachweisbar ist, wie die Daten erhoben wurden. Mit dem Double-Opt-In-Verfahren stellt man sicher, dass Personen der Registrierung für einen Newsletter explizit zustimmen. Zudem muss ein Newsletter sowohl ein Impressum als auch einen Abmeldelink enthalten, sodass Abonnenten ihre Einwilligung in den Erhalt des Newsletters jederzeit widerrufen können.

Wer eine Software für den Newsletter-Versand nutzt, sollte ähnlich wie bei Google Analytics an einen Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter denken.

DSGVO-Praxistipps: Was müssen Sie vor dem 25.05.2018 noch erledigen?

Checkliste DSGVO

Falls nun noch Fragen zur DSGVO offen geblieben sind können Sie uns gerne kontaktieren.

Genau deshalb sollten Sie Google Analytics nutzen!

Bitte bewerten Sie diesen Artikel!
analytics

Im täglichen Umgang mit Kunden und anderen marketinginteressierten Leuten erleben wir regelmäßig, dass viele Unternehmensmitarbeiter und auch Selbstständige sich nicht über die Möglichkeiten und Rahmenbedingungen von Google Analytics im Klaren sind. Daher wird oft durch Unwissenheit enormes Potential verschenkt.

Google Analytics – Was ist das und was muss ich tun?

Google Analytics ist ein kostenfreies Webanalysetool, welches Ihnen nach einer recht einfachen Einrichtung unzählige wertvolle Informationen über Ihre Website, Ihren Seitenbesucher und dessen Verhalten liefert. Das Tool wird installiert, indem ein kleiner, einzigartiger Code auf der eigenen Website eingebunden wird. Dieser wird dann bei jedem Seitenaufruf mitgeladen und überliefert so wertvolle Daten.

Der Code hat standardmäßig immer den folgenden Aufbau:

<script type="text/javascript">

var _gaq = _gaq || [];

  _gaq.push(['_setAccount', 'UA-XXXXXX-Y']);

_gaq.push(['_trackPageview']);

(function() {

var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;

ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';

var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);

})();

</script>

Anstelle des „XXXXXX-Y” teilt Analytics Ihrer Website eine einzigartige Zahlenfolge zu.

Für die reine Installation müssen Sie sich also nur bei Google registrieren  und den Anweisungen des Tools folgen.

Google Analytics einsetzen so einfach? Fast!

Da der Datenschutz ja in Deutschland einen besonderen Stellenwert hat, wäre es ja fast zu schön um wahr zu sein damit bereits fertig zu sein. Um Analytics datenschutzkonform einzusetzen, müssen Analytics Neulinge noch ein paar Ergänzungen vornehmen:

  • Die IP-Adresse muss anonymisiert werden, d.h. unter der Zeile

    _gaq.push(['_setAccount', 'UA-XXXXXX-Y']);

    müssen Sie folgende Zeile ergänzen

    _gaq.push(['_gat._anonymizeIp']);

  • Ferner müssen Sie den „Vertrag über Auftragsdatenverarbeitung“ ausfüllen und Google senden – dieser ist vorbereitet. Füllen Sie ihn aus und versenden Sie Ihnen nach der Anweisung von Google.
  • Sie müssen weiterhin Ihre Datenschutzerklärung anpassen.

analyse

Dies soll nur kurz einen groben Überblick verschaffen, dass es nicht unendlich viel Aufwand ist sich auf rechtlich sicherem Boden zu bewegen.

 

 

Und was haben Sie von Google Analytics?

Sie erfahren Antworten auf unter anderem folgende Fragen:

  • Wie viele Leute besuchen meine Seite täglich?
  • Wo kommen diese Besucher her?
  • Welche Suchbegriffe haben die User zu meiner Seite geführt?
  • Kommen wirklich Besucher über Facebook und Co. auf meine Seite?
  • Wie lang bleiben die Besucher auf meiner Website?
  • Welche Inhalte werden besonders lang gelesen?
  • Auf welcher Seite verlassen die meisten Besucher meine Seite?
  • Welche Sprache, Stadt, Browser, Endgeräte…?