menu-mob.png

Sicher umschifft! Die vier tückischsten Klippen der Datenschutz-Grundverordnung

 |
18. Mai 2017

In einem Jahr tritt in der EU die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese zielt darauf ab, den Datenschutz für den einzelnen Bürger zu verbessern, und wird sich deshalb auf alle Unternehmen auswirken, die persönliche Daten von EU-Bürgern speichern und verarbeiten. Und davon sind längst nicht nur europäische Unternehmen betroffen.

GDPR2.jpg

Eine der größten Anforderungen an diese Unternehmen ist es, all die Daten zu identifizieren und zu verknüpfen, die erforderlich sind, um die neuen Rechte der Verbraucher zu schützen. Das aber betrifft Daten mit Blick auf „Das Recht vergessen zu werden“ ebenso wie die Zustimmung, die künftig nötig ist, um überhaupt Privatpersonen werblich kontaktieren zu dürfen. In diesem Blog-Post sprechen wir über die vier größten Herausforderungen der DSGVO im Bezug auf persönliche Daten und wie man diese meistern kann.

1. Die Kundenidentität zweifelsfrei bestimmen

Um verschiedene Zustimmungen zu verwalten, persönliche Angaben zu korrigieren und zu löschen oder Personen mitteilen zu können, welche Art von Daten Sie über sie speichern und wie diese genutzt werden, müssen Sie zunächst einmal in der Lage sein, die betreffende Person zu identifizieren. Das lässt sich am besten mithilfe von Identitätsbestimmung bewerkstelligen. Dabei handelt es sich im Prinzip um einen Datenverwaltungsprozess, bei dem verschiedene Datensätze aus unterschiedlichen Datenbanken abgeglichen werden, um die Identität der jeweiligen Person zweifelsfrei zu bestimmen. In der Praxis bedeutet das, dass Unternehmen, die mit verschiedenen Systemen, Datenbanken und Kundendatenstämmen arbeiten (und wer tut das nicht?), die Daten jeder einzelnen Person identifizieren und diese in ein zentrales Profil überführen müssen, das den aktuellsten und korrektesten Stand abbildet.

Hier ein Beispiel für eine Datendublette. Über diese Person namens Ana Maria existieren in einem Unternehmen drei separate Kundenprofile in drei unterschiedlichen Systemen. Solche Dubletten müssen konsolidiert und in ein zentrales Kundenprofil überführt werden.

ana_maria_gdprblog-1.png

 

Das mag simpel klingen, kann aber eine enorme Herausforderung darstellen, da in den meisten Unternehmen isolierte Systeme sowie doppelte oder unvollständige Kundenprofile eher die Norm als die Ausnahme zu sein scheinen.

Eine aktuelle Studie von Royal Mail Data Services, der Datentochter der britischen Post, kam zu dem Schluss, dass „bei mehr als der Hälfte aller Unternehmen die Kundendaten unvollständig, nicht mehr aktuell oder erst gar nicht vorhanden sind. So gaben 63,3 % der britischen Unternehmen an, dass sie mit veralteten Kundendaten arbeiten. 62,8 % der teilnehmenden Firmen klagten über unvollständige Daten mit Lücken in bestimmten Datenfeldern, und 60,1 % mussten zugeben, dass sie zu manchen Kunden so gut wie überhaupt keine Daten vorhalten.“

Na großartig! Wenn Sie als Unternehmen nicht mal in der Lage sind, Ihre Kunden auch nur annähernd korrekt zu identifizieren, wie wollen Sie dann einem Verbraucher Auskunft über die zu seiner Person vorgehaltenen Daten geben? 

2. Die Kundenzustimmung sauber erfassen

Mit Inkrafttreten der DSGVO müssen Unternehmen, die persönliche Daten von EU-Bürgern speichern und nutzen wollen, einem neuen, strengeren Zustimmungsverfahren folgen. Zudem muss die Zustimmung des Verbrauchers sich ganz klar auf bestimmte Nutzungsarten beziehen. Das aber heißt, Sie müssen jedes einzelne Profil mit den Nutzungsarten verknüpfen, denen die jeweilige Person zugestimmt hat, z. B. der Zusendung von Newslettern, der Erfassung der Online-Kaufhistorie, der Nutzung von Kampagnen-Cookies etc.

Das wiederum bedeutet, dass Sie in der Lage sein müssen, sämtliche Geschäftsprozesse und/oder Services, denen eine Person zugestimmt hat, in Listenform vorzulegen.

3. Zusammenhängende Daten identifizieren

Die unter Punkt 2 beschriebenen Geschäftsprozesse beziehen sich auf verschiedene Daten. Wollen Sie zum Beispiel jemandem einen Newsletter schicken, brauchen Sie einen Namen und die E-Mail-Adresse. Geht es aber um Profiling-Maßnahmen für die Aussendung individualisierter Marketingkommunikation, benötigen Sie Name, Geschlecht, Nationalität, Alter, Vorlieben und vielleicht auch Social-Media-Daten.

Zudem müssen Sie die Datenkategorien hinter jedem Verarbeitungszweck identifizieren, abgleichen und verknüpfen.

Identification of personal data categories per the GDPR

Dieser Teil des Prozesses ist wichtig, um auch bei unserer fiktiven Kundin Ana Maria alle Abläufe dokumentieren zu können. So müssen Sie in der Lage sein, zu beschreiben, wofür Sie ihre Daten nutzen und das auf Anfrage auch den Behörden gegenüber nachweisen können.

4. Data Governance

Letztlich sollten Sie auch Data Governance-Vorgaben sowie Businessregeln für den Datenfluss definieren und implementieren.

Wie lange sind diese Daten „haltbar“? Sie müssen die Nachhaltigkeit der Daten definieren, um deren Lebensdauer zu bestimmen – zum Beispiel ein Adress-Check alle zwei Jahre. Das ist erforderlich, da mit der DSGVO neue Speicherungslimits zum Tragen kommen. Diese besagen, dass Daten nur so lange vorgehalten werden dürfen, wie dies für den ursprünglichen Erfassungszweck erforderlich ist.

Dann stellt sich noch die Frage, wer Zugriff auf die Daten hat. Sie werden den Zugriff auf Kundendaten im Unternehmen auf die wirklich relevanten Personen beschränken müssen. So sind die Social-Media-Daten einer Person in der Regel nur für bestimmte Vertriebs- und Marketingmitarbeiter relevant. Die Finanzabteilung benötigt hier definitiv keinen Zugriff. Im Rahmen dieses Prozesses müssen Sie auch Ihre Geschäftsbedingungen definieren. Was z. B. sind für Sie Kontaktdaten? Nur E-Mail, doch eher Name, E-Mail, Anschrift und Rufnummer oder vielleicht eine andere, möglicherweise noch umfassendere Version? Das alles sind geschäftspolitische Entscheidungen, die Sie allerdings getroffen haben sollten, deutlich bevor die DSGVO in rund 12 Monaten in Kraft tritt.

Fazit: Es gibt keine Instant-Lösung, mit der Sie Ihr Unternehmen von heute auf morgen fit für die Anforderungen der DSGVO machen können. Ganz im Gegenteil: Ihre Daten und die entsprechenden Prozesse umzustellen, wird Ihnen einiges an Arbeit bescheren. Aber wenn Sie beherzt daran gehen, den Inhalt Ihrer isolierten Datensilos in eine zentrale, zuverlässige Datenquelle zu überführen und das Ganze mit stringenten Data Governance-Regeln flankieren, sollte das Projekt von Erfolg gekrönt sein. Nur … wenn Sie in einem Jahr fertig sein wollen, sollten Sie besser gleich morgen anfangen.

GDPRwebinar2.jpg



← Vorheriger Eintrag
Nächster Eintrag →