Unternehmen

Damoklesschwert DSGVO? Interview mit Jörg Hagen, Datenschutzexperte (Teil 1)

Foto: Jörg Hagen

19.06.2018 - Die europäische Datenschutzgrundverordnung (DSGVO) kam nicht über Nacht. Dennoch erlebten sie viele Unternehmen wie einen Paukenschlag. „Hilfe, der neue Datenschutz. Oh weh, so viele Vorschriften! Was müssen wir tun, was dürfen wir noch, wann drohen uns Bußgelder?“ So in etwa war die Stimmungslage in nicht wenigen Unternehmen. Denn über den Tellerrand der rein faktischen und recht umfangreichen Datenschutzerklärungen, die auf Webseiten zu platzieren war, besteht ein großer Aufklärungsbedarf im Operativen – im Marketing, Vertrieb und dem Kundenkontakt.

Welche Datenschutzerläuterungen muss ich z.B. als potenzieller B2B-Partner in der Geschäftsanbahnung herunterspulen? „Was mache ich mit ruhenden B2B-Kontakten in meiner Datenbank, die noch aus dem Prästadium der neuen DSGVO stammen? Wie reaktiviere ich diese? Wie überhaupt gewinne ich Leads, wenn ich mich nur noch sehr eingeschränkt digital an die Fersen möglicher Kunden heften darf?“ Wir gehen diesen Fragen in unserer Interviewreihe „DSGVO – Damoklesschwert oder Mehrwert“ mit dem Datenschutzbeauftragten der Steinbeis Gruppe, Dipl.-Ing. Jörg Hagen, nach.

Herr Hagen, wie haben Sie den 25. Mai 2018 erlebt?

Sehr turbulent. Schon in der Countdown-Phase war eine steigende Nervosität und Anspannung bei den Unternehmen zu spüren. Kein Entscheider wollte etwas falsch machen, niemand eine Abmahnung oder schlimmer noch, ein Bußgeld, riskieren. Die europäische Datenschutzgrundverordnung ist komplex und umfangreich. Vieles ist klar, anderes hängt noch in der Luft. In vielen Bereichen fehlen noch die deutlichen Guidelines für Unternehmen. Beispielsweise: Wo fängt die Haftung für Unternehmen bei Facebook an, wo hört sie auf. Kurz gesagt: Die DSGVO hält durchaus noch ein paar Tretminen bereit.

Foto: iStockphoto

Sprechen wir über die eindeutigen Dinge. Nennen Sie uns ein paar Basispunkte, die zu berücksichtigen sind.

Fangen wir mit dem Datenschutzbeauftragten an. Der ist nötig, weil Unternehmen einen Moderator und jemanden brauchen, der immer up-to-date ist. Denn, das ist erst der Anfang, die DSGVO wird sich weiterentwickeln und auf das Business einwirken. Unternehmen ab 10 Mitarbeitern, die regelmäßig mit personenbezogenen Daten umgehen, brauchen einen Datenschutzbeauftragten. Auf ihn kann aber nicht alles abgeschoben werden. Er ist der Berater und „Anwalt“ der personenbezogenen Daten. Die Verantwortung liegt beim Unternehmen und die Mitverantwortung der Mitarbeiter ist ebenso gefordert. Sorgfältiger, interner vertraulicher Umgang mit Kundendaten ist ein Muss für jeden. Dokumente und Daten unter Verschluss halten sowie Zugriffsschutz vor Dritten, die nichts mit dem Kundencase zu tun haben. Also auch vor Kollegen. Büros abschließen, in denen Daten verwaltet werden. Passwörter schützen. Serverräume dürfen nur für IT-/Admin-Mitarbeiter zugänglich sein…

Auf den Datenschutzbeauftragten kann aber nicht alles abgeschoben werden. Er ist der Berater und „Anwalt“ der personenbezogenen Daten. Die Verantwortung liegt beim Unternehmen, und die Mitverantwortung der Mitarbeiter ist ebenso gefordert.

Gut, das sind Selbstverständlichkeiten. Doch wie wirkt sich die DSGVO auf Datengenerierung aus, beispielsweise im Customer Journey Marketing und der Leadgenerierung?

Das ist ein entscheidendes Thema. Hier wird mehr Kreativität vom Unternehmen verlangt als bisher, da bei fast gleich bleibenden Regelungen jedoch mit deutlich schärferen Sanktionen zu rechnen ist. Damit wird das Risiko deutlich höher, sich in einem rechtlichen Graubereich für einen maximalen Marketingerfolg zu begeben. So wurde z.B. bisher häufig ein fairer Tausch mit Usern vereinbart – Download eines White Paper gegen E-Mail-Adresse – und zu Marketingzwecken eingesetzt. Das kann als unerlaubte Kopplung gewertet werden und ist damit nicht mehr legitim. Das Marketing muss also neue Wege des Erlaubten finden – in enger Abstimmung mit dem Datenschutzexperten. Eine neue bzw. verstärkte Form der Kooperation ergibt sich daraus. Kurz gesagt: An neue Daten zu kommen, ist deutlich schwerer geworden.

Das Marketing muss also neue Wege des Erlaubten finden – in enger Abstimmung mit dem Datenschutzexperten.

Welche Aufklärungspflicht haben Unternehmen gegenüber Kunden und Usern im Marketing?

Bei interaktiven Features muss der Hinweis auf die Datenschutzerklärung sichtbar platziert sein und der Nutzer diese bestätigen. Es muss also immer gewährleistet sein – im gesamten Prozess des Kontakts und des Datenaustauschs – dass der Kunde aufgeklärt wurde, dass er weiß, was mit seinen Daten passiert (Transparenz), dass er aktiv zustimmt und dass er die Erlaubnis gemäß Double-Opt-in zum Online Dialog (E-Mail/Newsletter) gegeben hat. Zudem muss er die Möglichkeit haben, sich jederzeit abzumelden und darüber in Kenntnis gesetzt worden sein. Das Unternehmen braucht die schriftliche oder elektronische Bestätigung (per E-Mail-Link), dass der Nutzer einverstanden ist mit der Zusendung. Es findet also ein dynamischer, interaktiver Prozess zwischen Unternehmen und Kunden statt, der eine permanente Form der Legitimation und Vergewisserung über die Art und Weise der Datennutzung ist.

Es muss also immer gewährleistet sein – im gesamten Prozess des Kontakts und des Datenaustauschs – dass der Kunde aufgeklärt wurde, dass er weiß, was mit seinen Daten passiert (Transparenz), dass er aktiv zustimmt und dass er die Erlaubnis gemäß Double-Opt-in zum Online Dialog (E-Mail/Newsletter) gegeben hat.

Was reizt Sie persönlich am Datenschutz, wie wurden Sie Datenschutzbeauftragter?

Na ja, in die Wiege wurde mir das Thema nicht gelegt. Eigentlich bin ich ausgebildeter Architekt. Ein Beruf, in dem es auch um viele Vorschriften geht. Schon damals erkannte ich, wie wichtig die Symbiose von Kreativität und Einhaltung gewisser Vorschriften ist. Man kann noch so tolle Ideen haben, sie müssen mit dem Baurecht, Umweltauflagen und vielem mehr vereinbar sein. Ich denke, der Datenschutzbeauftragte kann heute mehr denn je ein wichtiger Impulsgeber für das Marketing und den Vertrieb sein. Darin sehe ich auch den Mehrwert für Unternehmensbereiche.

Herr Hagen kurz zum Thema „Damoklesschwert“. Wo lauern die größten Gefahren?

Das sind erst einmal die sehr hohen Bußgelder mit bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes – je nachdem was höher ausfällt.
Die Anlage als Verordnung und damit die in der gesamten EU unmittelbare Geltung.
Damit das einhergehende Territorialprinzip, was bedeutet, dass auch alle Unternehmen außerhalb der EU die DSGVO einhalten müssen, wenn sie sich mit Waren und Dienstleistungen unmittelbar an EU-Bürger wenden.
Meldepflichten bei Datenschutzverletzungen binnen 72 Stunden. Das heißt wenn z. B ein Datenleck vorliegt, dass ein Unternehmen die Aufsichtsbehörden innerhalb von nur 72 Std. darüber informieren muss.
Ebenfalls sehe ich die Beweislastumkehr als eine der großen Neuerungen. Das heißt, ein Unternehmen muss jetzt nachweisen können, dass es alles im Datenschutz richtig macht!

 

Herr Hagen, vielen Dank für das Gespräch. Wir freuen uns auf die Fortsetzung unseres Dialogs über die neue Datenschutzgrundverordnung in der kommenden Woche. 

Hier geht es direkt zu Teil 2 des Interviews.

 

Titelfoto: iStockphoto

Autor:in

Veronika Warmers

Verantwortet das Marketing, den Bereich Social Media und e-business bei Steinbeis Papier. Kreislaufwirtschaft, Recycling und Biodiversität sind die Themen, die der diplomierten Betriebswirtin am Herzen liegen. Begeisterte Bloggerin des Steinbeis Redaktionsteams.

Beiträge von Veronika Warmers

Leider verwenden Sie einen veralteten Browser.
×
Unser Internetauftritt wurde auf Basis zeitgemäßer und sicherer Technologien entwickelt. Daher kann es bei der Nutzung eines veralteten Browsers zu Problemen bei der Darstellung und den Funktionalitäten kommen. Wir empfehlen Ihnen, einen anderen aktuellen und kostenlosen Browser zu nutzen:
Mozilla Firefox
Google Chrome
Microsoft Edge