Sie sind hier: Home » Fachartikel » Hintergrund

DSGVO: Die Pflicht ist geschafft


Ziel der DSGVO ist der Schutz personenbezogener Daten und damit der Schutz der Privatsphäre des Kunden - Dieses Kundeninteresse sollte der "Nordstern" für alle Prozesse sein
Halten sich Unternehmen an die Vorgaben der DSGVO und sehen sie als Chance zur Anpassung ihrer Prozesse im Sinne ihrer Kunden, fördern sie damit deren Zufriedenheit und schaffen Vertrauen



Von Karl-Heinz Wonsak, Security Solution Manager bei Axians IT Solutions

Die EU-Datenschutz-Grundverordnung (DSGVO) hat eine hohe Aufmerksamkeit auf den Schutz von personenbezogenen Daten gelenkt und sorgt für verbesserte Rechte der Daten-Eigentümer. Doch Unternehmen und Organisationen fällt es oft noch schwer, ihre Geschäftsprozesse DSGVO-konform zu gestalten, um Regelverstöße und Strafen zu vermeiden. Dabei bietet die DSGVO viele Chancen, Geschäftsprozesse neu an den Kunden auszurichten und damit die Kundenbindung zu erhöhen.

Laut einer aktuellen Bitkom-Studie haben erst ein Viertel der Unternehmen in Deutschland die DSGVO vollständig umgesetzt – die Mehrheit hinkt somit noch hinterher. Wer bisher schon das bestehende Bundesdatenschutzgesetz konsequent befolgt hat, für den stellt die DSGVO keinen Grund dar, nervös zu werden. Im Gegenteil – es lohnt sich gleich in zweierlei Hinsicht, die Anforderungen der DSGVO zu erfüllen: In erster Linie, um Datenverlust und -diebstahl zu verhindern, Reputationsschäden zu vermeiden und keine hohen Strafen zahlen zu müssen. Aber auch das Kundenverhältnis lässt sich nachhaltig verbessern: Wer die DSGVO proaktiv angeht und seine Geschäftsprozesse entlang ihrer Vorgaben entwickelt, schafft Vertrauen, wie die folgenden Beispiele zeigen.

Bestandsaufnahme bringt Potenziale ans Licht
Ziel der DSGVO ist der Schutz personenbezogener Daten und damit der Schutz der Privatsphäre des Kunden. Dieses Kundeninteresse sollte der "Nordstern" für alle Prozesse sein. Kunden erwarten zu Recht, dass ihre Daten geschützt werden, dazu gehört auch der Schutz vor Missbrauch innerhalb der eigenen Organisation.

Dabei gilt das Minimalprinzip, das heißt, nur die Person, die ihn wirklich benötigt, erhält Zugriff auf die jeweiligen Daten. Wird dieser Grundsatz nicht eingehalten, kann es teuer werden, wie das Beispiel eines portugiesischen Krankenhauses zeigt. Hier wurde mehr Ärzten, als überhaupt angestellt, der Zugriff auf personenbezogene Daten erlaubt. Das Ganze gipfelte in einer 400.000 Euro hohen Geldstrafe – der europaweit ersten substanziellen Geldstrafe aufgrund eines Verstoßes gegen die EU-DSGVO.

Halten sich Unternehmen jedoch an die Vorgaben der DSGVO und sehen sie als Chance zur Anpassung ihrer Prozesse im Sinne ihrer Kunden, fördern sie damit deren Zufriedenheit und schaffen Vertrauen. Dazu betreiben viele Unternehmen das sogenannte "Garage Cleaning", um einen Überblick über vorhandene Tools und personengezogene Daten zu erhalten. Dabei lassen sie aber gerne außer Acht, was sie mit dem gewonnen Wissen alles angefangen können.

Einverständnis einholen mit Mehrwert
Viele Unternehmen haben ihre Kunden per E-Mail oder Post darüber informiert, dass sie Daten erhoben haben und um das Einverständnis gebeten, dies weiter tun zu dürfen – mehr jedoch nicht. Denn die wenigsten Unternehmen haben im Zuge dessen ihre Kunden darüber informiert, welche Daten bereits erhoben worden sind und welche noch benötigt werden, geschweige denn erläutert, was dies dem Kunden nutzt. Hier könnte das Unternehmen als Kundenservice proaktiv einen Datenauszug mitschicken und erklären, was es konkret mit den Daten macht.

Viele Kunden haben flüchtig ihr Einverständnis übermittelt, ohne sich weiter mit dem Unternehmen und seinem Angebot zu beschäftigen. Dabei könnten Unternehmen die Gelegenheit nutzen, um direkt einen Mehrwert für den Kunden zu generieren: Zusätzlich zu den Standard-E-Mails zum Thema Datenschutz könnten sie gleichzeitig alternative Tarife, Services oder Produkte anbieten. Beispielsweise könnte ein Stromanbieter nach der Auswertung der Kundendaten gleich ein Angebot für einen Spartarif, passend auf die individuellen Bedürfnisse des jeweiligen Kunden zugeschnitten, mitschicken.

Transparenz beim Einsatz von Cookies
Auch Cookie-Warnungen auf den Webseiten können eine Chance zur serviceorientierten Kundenansprache sein. Viele Besucher empfinden diese Warnhinweise als störend. Denn wenn Kunden auf ein Portal gehen, sei es ein Informationsportal, ein Einkaufsportal oder ein Shop, müssen sie den Hinweis "Wir verwenden Cookies. Sind sie damit einverstanden?" erst bestätigen, bevor sie fortfahren können. Die Auswahlmöglichkeiten bestehen dabei nur aus, "einverstanden" oder "nicht einverstanden". Für den Kunden ist meist aber gar nicht ersichtlich, was eigentlich hierbei der Unterschied ist, welche Auswahlmöglichkeit sich ihm bietet und womit er sich durch seinen Klick einverstanden erklärt.

Dabei könnten Unternehmen einfach transparent machen, welche Daten erhoben und wie lange diese vorgehalten werden sollen. Unternehmen sollten es ihren Kunden ermöglichen, ihr Einverständnis für die Erhebung und Verarbeitung von Daten in sehr einfacher und klarer Form zu geben. Ein Positivbeispiel hierfür bietet die Website von IBM. Hier wird nicht nur ausführlich erklärt, was mit den Daten passiert, sondern es wird den Kunden und Interessenten die Möglichkeit geboten, aus drei Optionen hinsichtlich der Cookie-Einstellungen zu wählen.

Intelligente und interaktive Einkaufserfahrung
Ein weiterer positiver Nebeneffekt der DSGVO stellt sich ein, wenn Unternehmen ihre Kunden befähigen, selbst aktiv über den Gebrauch ihrer Daten zu bestimmen. Ein Beispiel dazu wäre die interaktive Kundenansprache in einem Einkaufszentrum. Die meisten dieser Malls bieten ihren Kunden mittlerweile freies WLAN. Wählt sich ein Kunde in das WLAN ein, könnte er nun eine Nachricht auf sein Smartphone bekommen. Diese beinhaltet eine Begrüßung, die ihn herzlich willkommen heißt und dazu auffordert, seinen Besuchernamen zu nennen. Wenn der Kunde dann diesen eingibt und der Nutzung seiner Daten zustimmt, erhält er im Gegenzug eine Führung durch sämtliche Angebote der einzelnen Shops. Darüber hinaus könnte ihm der Mall-Betreiber Informationen über Speiseangebote und aktuelle Schnäppchen bieten.

Diesen Informationsservice könnte der Kunde dann nutzen und der Anbieter wiederum kann ihn so gestalten, wie er es möchte. Zudem wäre es auch möglichen, den Kunden elektronisch durch das Einkaufszentrum zu führen und ihm Hinweise auf besondere Aktionen wie spezielle Angebote oder Veranstaltungen zukommen zulassen. Die Informationen erhält der Kunde nur für die Dauer des Besuchs. Dieser gibt im Gegenzug durch ein Opt-In sein Einverständnis, dass seine Daten in diesem Zeitraum verarbeitet werden dürfen. Beim Verlassen der Mall erscheint ein kurzer Hinweis, der den Kunden dazu auffordert, sich zu entscheiden, ob er der Speicherung seiner Daten zustimmen möchte oder lieber nicht. Der Kunde hat nun die Möglichkeit, frei über seine Daten zu verfügen. Wählt er die Speicherung seiner Daten, erhält er beim nächsten Besuch personalisierte Angebote. Stimmt er dem nicht zu, können seine Daten zumindest noch anonymisiert für Analysezwecke behalten und ausgewertet werden. Der Kunden bleibt also Herr seiner Daten und bekommt ein gesteigertes Einkaufserlebnis, während der Mall-Betreiber die gesammelten Daten verwerten kann.

Verträge smart gestalten
Indem Unternehmen ihre Kunden in die Prozesse einbinden und Kundenerlebnisse proaktiv gestalten, schaffen sie Transparenz und somit Vertrauen. Diese sind dann vielleicht eher bereit, die Aktualität der ihnen zugesandten Daten zu prüfen und entscheiden großzügiger, wenn es darum geht, welche Daten ein Unternehmen weiterverarbeiten darf und welche nicht. Dies kann ein bedeutender Wettbewerbsvorteil sein. Gleichzeitig stehen Unternehmen, die nicht in direkter Kundennähe stehen, vor neuen Herausforderungen. Denn für sie stellt sich die Frage: Wie kommen sie an Feedback- oder Kundenzufriedenheitsdaten?

Die Lösung hier ist eine konkrete Vereinbarung in Verträgen zwischen kundennahen und kundenfernen Unternehmen. Beispielsweise kann ein Automobilhersteller Daten über die Kundenzufriedenheit der eingebauten Lautsprecher erheben und diese dem Hersteller der Lautsprecher zukommen lassen. So haben beide Seiten Zugriff auf die gesammelten Daten, ohne dass eine Abhängigkeit entsteht. Generell ist Unternehmen deshalb dringend zu raten, in der Ausgestaltung von Verträgen vermehrt auf den Aspekt Datentransfer und -zugehörigkeit zu achten.

Der Autor
Karl-Heinz Wonsak ist Security Solution Manager bei Axians IT Solutions. Er arbeitet als Trusted Advisor und Berater in dem Bereich IT-Sicherheit. Mit seiner Expertise hat er eine Vielzahl von Projekten im Bereich Data Security and Privacy unterstützt. Schwerpunkt seiner Arbeitet ist häufig die organisatorische und technologische Umsetzung von Berechtigungskonzepten. Insbesondere die Ausrichtung der IT-Sicherheit an innovativen Geschäftsprozessen ist ihm ein Anliegen.
(Axians: ra)

eingetragen: 11.03.19
Newsletterlauf: 06.05.19

Axians IT Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Datennutzung und ethische Verantwortung

    Große Datenmengen und die Erkenntnisse, die darin verborgen liegen, sind aus der deutschen Wirtschaft nicht mehr wegzudenken. Wie eine Bitkom-Umfrage ergab, sammelt die überwiegende Mehrheit der Unternehmen bereits Informationen, um sie zu analysieren und die Ergebnisse zur Optimierung interner Prozesse und zur Steigerung des Geschäftswerts zu nutzen. Gleichzeitig übersehen jedoch die meisten, dass mit diesem Erfolg eine neue Verantwortung einhergeht.

  • Entzug der Rechtsgrundlage

    Das vom Europäischen Gerichtshof (EuGH) gefällte Urteil "Schrems II" vom 16. Juli 2020 ist in aller Munde, da es nicht unerhebliche Auswirkungen auf denUmgang und den Schutz von Personendaten in international tätigen Unternehmen hat. Welche praktischen Folgen hat die Rechtsprechung des EuGH auf den internationalen Datentransferaber im Detail? Mit dem Urteil des Europäischen Gerichtshofes Mitte letzten Jahres wurde die als Privacy Shield bekannte Rahmenvereinbarung zwischen den USA und der EU für ungültig erklärt. Demnach dürfen personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches Schutzniveau verneint.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen