Suche

Anzeige

DSGVO-Checkliste: Was Unternehmen jetzt zwingend angehen müssen

Der Countdown läuft: Am 25. Mai 2018 endet die Gnadenfrist der neuen Datenschutz-Grundverordnung (DSGVO) der EU und Verstöße werden gesetzlich geahndet. Mithilfe der folgenden Checkliste können Marketer jetzt sicherstellen, dass sie alle Anforderungen erfüllen.

Anzeige

Alarmierende Zahlen offenbart eine HubSpot-Studie: Nur 41 Prozent der befragten Führungskräfte wussten, wofür das Kürzel EU-DSGVO steht, 36 Prozent war nicht einmal der Begriff geläufig. Dabei drohen Unternehmen bei einem Verstoß gegen die neue Richtlinie Geldstrafen von bis zu 20 Mio. Euro bzw. vier Prozent des jährlichen Gesamtumsatzes.

Darum geht es: Die DSGVO ist ein bindender Rechtsakt der Europäischen Union, der die seit 1995 gültige Datenschutzrichtlinie ablöst und alle Unternehmen betrifft, die ihre Produkte in der EU vermarkten. Da die Verordnung vor dem Vollzug des Brexit in Kraft tritt, gilt sie bis auf Weiteres auch für das Vereinigte Königreich.

1. Analyse auf Rechtmäßigkeit

Was ist nun zu tun? Leider gibt es keine universalen Vorgaben. Unternehmen sollten die eigenen Verfahren prüfen und gegebenenfalls anpassen. Firmen müssen klären, welche personenbezogenen Daten sie bisher erfassen und speichern, und ob dies weiterhin rechtmäßig ist. Wenn Unternehmen sich unsicher sind, ob sie die DSGVO-Bestimmungen einhalten, sollten sie sich juristischen Beistand suchen. Firmen sollten auch den Umgang mit Mitarbeiterdaten einer Prüfung unterziehen.

2. Zukunftssicher aufstellen

Je nach Betriebsgröße und Aufwand ist die Aufstellung eines Zeit- und Budgetplans sowie die Ernennung eines Datenschutzbeauftragten sinnvoll – unter Umständen sogar verpflichtend. In jedem Fall sollten Firmen erhöhten Zeit- und Personalaufwand bis zum Stichtag, aber auch für die Zeit danach einplanen, um rechtssicher agieren zu können. Wenn Unternehmen bereits über eine Datenschutzrichtlinie verfügen, müssen sie diese eventuell anpassen. Die zuständigen Mitarbeiter brauchen Schulungen und das notwendige Know-how, um den neuen Verpflichtungen nachkommen zu können.

3. Datenerfassung

Künftig müssen Unternehmen in der Phase der Datenerfassung von ihren Kunden eine klar formulierte Einwilligung einholen und ihnen explizit mitteilen, wofür sie ihre Daten verwenden. Auch Informationen über einen möglichen Widerruf gehören dazu. Datenminimierung ist entscheidend: Marketer dürfen nur die Informationen sammeln, die relevant und auf das Notwendige beschränkt sind. Gerade bei sensiblen Daten zu Kindern oder Gesundheit sowie bei Daten Minderjähriger ist Zurückhaltung geboten.

Exkurs: Opt-in oder Opt-out

Um auf der sicheren Seite zu sein, empfiehlt es sich, auf das Opt-in-Verfahren zu setzen, bei dem Verbraucher Werbekontaktmaßnahmen vorab ausdrücklich zustimmen müssen. Das Opt-out-Verfahren, bei dem Werbung versendet wird, bis dem explizit widersprochen wird, ist nicht rechtssicher.

Gewonnene Daten können Unternehmen durch das Double-Opt-in absichern, bei dem eine zusätzliche Bestätigungsmail das Opt-in verifiziert. Eine Re-Subscription-Mail ist eine Option, um ältere Daten zu validieren.

4. Datenverarbeitung

Für die Datenspeicherung gilt eine strikte Zweck- und Nutzungsbeschränkung. Daten sollten nie länger als nötig aufbewahrt werden. Die Weitergabe an einen Dienstleister ist ausgeschlossen, wenn sie nicht explizit vom Verbraucher erlaubt bzw. gewünscht wurde (Recht auf Datenübertragbarkeit). Unternehmen müssen angemessene Sicherheitsstandards zum Schutz der ihnen überlassenen Daten garantieren. Bei sensiblen Daten kann eine Verschlüsselung oder Pseudonymisierung Sinn ergeben. Kommt es trotz Schutzmaßnahmen zu einem Sicherheits- oder Datenleck, müssen betroffene Verbraucher umgehend informiert werden.

5. Auskunftspflicht und Dokumentation

Die DSGVO gewährt Verbrauchern umfassende Rechte, ihre bei Unternehmen gespeicherten Daten einzusehen. Das zieht eine dementsprechende Auskunftspflicht für Firmen nach sich. Sie müssen außerdem Kundenwünschen nach Korrektur oder Löschung ihrer Daten zeitnah nachkommen (Recht auf Vergessenwerden). Dieser Punkt war auch den Befragten in der HubSpot-Studie besonders wichtig. Außerdem sollten Unternehmen die Gelegenheit zu einer Datenkonsolidierung auf möglichst einer einzigen Plattform nutzen. Eine vollständige Löschung eventueller Dubletten können sie sonst nur schwer gewährleisten. Darüber hinaus müssen Unternehmen die Einhaltung der Richtlinien auch belegen können (Rechenschaftspflicht). Notwendig ist ein Nachweis, wer Informationen gesehen hat und wer Zugriff darauf hatte.

6. Datenlöschung

Wenn eine Beziehung mit einem Kunden endet, etwa durch eine Kündigung oder den Widerruf der Einwilligung zur Erfassung bzw. Verarbeitung der Kundendaten, dürfen Unternehmen dessen Daten nur so lange behalten, wie dies gesetzlich erforderlich ist. Bei Finanzdaten müssen Firmen rechtliche Vorgaben zur Aufbewahrung beachten. Für andere Daten gibt es keine konkreten Fristen.

Egal, ob bei der Datenerhebung oder bei der -löschung, Unternehmen sollten Kunden immer genau mitteilen, was mit ihren Daten passiert. Marketer, die dies beherzigen und auf Transparenz setzen, müssen auch die Zukunft mit der DSGVO nicht fürchten.

Über die Autorin: Seit 2013 ist die Marketing-Expertin Inken Kuhlmann bei HubSpot tätig. Hier hat sie mit ihrer Expertise zunächst den deutschsprachigen HubSpot-Blog aufgebaut und zu einem der führenden Marketing-Blogs gemacht. Inzwischen verantwortet sie sämtliche Marketing-Strategien in DACH, Frankreich und Spanien.

Kommunikation

Krise dauert trotz Millionen-Bußgeld an: Ex-Audi-Chef bleibt in U-Haft und Unternehmen muss Sammelklagen befürchten

Audi hat sich bereit erklärt, eine Geldbuße in Höhe von 800 Millionen Euro für seine Rolle im Diesel-Betrugsskandal zu zahlen, der die Autoindustrie seit mehr als drei Jahren durcheinander gebracht hat. Das von der Staatsanwaltschaft München II eingeleitete Verfahren gegen Audi sei damit abgeschlossen. Das bedeutet aber nicht, dass die Affäre nun beendet ist. Es könnte erst der Anfang sein. mehr…

Anzeige

Absatzwirtschaft Newsletter

absatzwirtschaft Newsletter schon abonniert?

Newsticker

Krise dauert trotz Millionen-Bußgeld an: Ex-Audi-Chef bleibt in U-Haft und Unternehmen muss Sammelklagen befürchten

Audi hat sich bereit erklärt, eine Geldbuße in Höhe von 800 Millionen Euro…

Tech-Pionier, Investor, Philanthrop: Microsoft-Mitbegründer Paul Allen im Alter von 65 Jahren gestorben

Microsoft-Mitgründer Paul Allen ist im Alter von 65 Jahren gestorben. Sein Unternehmen Vulcan…

„Niemand verlässt den Job, weil alles toll ist“: Instagram-Gründer Systrom über seinen Abgang bei Facebook

Das Berufsleben sei hart, sagte der Instagram-Gründer Kevin Systrom nun gegenüber CNBC. Zu…

Anzeige

Das könnte Sie auch interessieren

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Anzeige