Kundendaten: Laissez-faire nicht nachvollziehbar
Gleichwohl ein stärkeres Bewusstsein für den Datenschutz vorhanden ist, mangelt es noch deutlich an Durchschlagskraft in Bezug auf die Etablierung vorgeschriebener Maßnahmen hinsichtlich der EU-DSGVO seitens der Unternehmen.
Seit dem 25. Mai 2018 gibt die EU-Datenschutzgrundverordnung vor, wie sich ein rechtskonformer Umgang mit personenbezogenen Daten innerhalb der europäischen Union gestaltet. Knapp anderthalb Jahre nach Inkrafttreten des Gesetzes dürfte eigentlich davon auszugehen sein, dass Unternehmen ihre damit verbundenen Prozesse umfänglich neu ausgerichtet haben – zumal dem Stichtag bereits eine zweijähre Übergangsphase vorausging. Doch prominente Beispiele – wie jüngst ein führendes Unternehmen der Telekommunikationsbranche – beweisen: Noch immer mangelt es vielen Unternehmen an einer gesetzeskonformen Strategie. Nicht einmal drohende immense Strafzahlungen scheinen bislang den finalen Anstoß zur Umsetzung der EU-DSGVO gegeben zu haben.
Worin liegen die Gründe hierfür und wie gelingt eine zeitnahe Umwälzung der betroffenen Prozesse?
In einer aktuellen Bitkom-Umfrage gaben 67 Prozent der teilnehmenden Betriebe zwar an, die neuen Regeln zu großen Teilen zu berücksichtigen, doch erst 25 Prozent konnten die Umsetzung als vollständig abgeschlossen verbuchen.[1] Diese Bilanz spiegelt im Großen und Ganzen das Bild wider, das auch wir gewonnen haben. Auf der einen Seite bewirkte die EU-DSGVO ein stärkeres Bewusstsein für den Datenschutz – doch auf der anderen Seite mangelt es in Bezug auf die Etablierung der vorgeschriebenen Maßnahmen noch deutlich an Durchschlagskraft.
Hemmschuhe bei der Realisierung
In einer internen Befragung unserer Kunden vom Jahresanfang 2019 wurde deutlich, dass 20 Prozent der Betriebe die Richtlinien der EU-DSGVO selbst zum Jahreswechsel noch immer nicht umgesetzt haben würden. Dabei manifestierten sich hauptsächlich vier Gründe: So wusste ein Großteil der Handlungsverpflichteten zu wenig über die entsprechenden Gesetzesrichtlinien rund um personenbezogene Daten. 39 Prozent der befragten Unternehmer verfügten demnach über einige oder gar keine Kenntnisse, nur 10 Prozent gaben an, sich sehr gut mit den Verpflichtungen vertraut gemacht zu haben und die restlichen 51 Prozent ordneten sich dazwischen ein.
Zudem stellte sich heraus, dass knapp 20 Prozent das Ausmaß der Konsequenzen bei DSGVO-Verstößen nicht kannten. Dabei schlagen die mit bis zu zwei Prozent des weltweiten Umsatzes aus dem vorangegangenen Geschäftsjahr beziehungsweise bis zu 10 Millionen Euro – je nachdem, welcher Betrag höher ausfällt – ganz gewaltig zu Buche. Diese Konsequenzen bekam ein Telekommunikationsanbieter erst Ende 2019 zu spüren. Da die Kundendaten nicht ausreichend systematisch geschützt waren und Unberechtigte somit an weitreichende Informationen zu weiteren personenbezogenen Kundendaten gelangten, wurde das Unternehmen mit einer Geldbuße in Höhe von etwa 9,5 Millionen Euro belegt. Obwohl die Summe aufgrund des kooperativen Verhaltens des Unternehmens leicht herabgesetzt wurde, bleibt eine immense Strafzahlung in Millionenhöhe bestehen.
„Noch immer mangelt es vielen Unternehmen an einer gesetzeskonformen Strategie.“
Als dritter Grund für die bislang noch mangelhafte Umsetzung der Richtlinien manifestierte sich, dass auch die neue Pflicht zur Datenschutzfolgenabschätzung bislang noch nicht übergreifend eingehalten wird. Hierbei prüft der Datenschutzbeauftragte bei Verarbeitung besonders sensibler Informationen die speziellen Risiken für die Rechte und Freiheiten des Betroffenen. Obligatorischer Bestandteil dieser Prüfung ist seine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung. Doch auch hier zeigte sich, dass gerade einmal 21 Prozent der befragten Unternehmen die gesetzlichen Vorgaben der EU-DSGVO einhalten.
An vierter Stelle lässt sich ein mangelndes Vertrauensverhältnis bei der Beratung anführen. Fakt ist: Ein Projekt mit solch einer immensen Tragweite erfordert eine ganze Fülle von Ressourcen, die nur die wenigsten Unternehmen inhouse bereitstellen können. Der Löwenanteil der Betriebe setzt auf externe Datenschutzbeauftragte sowie Beratungshäuser und benötigt spezielle Schulungen oder Tools, um den gesetzeskonformen Umgang mit personenbezogenen Daten zu gewährleisten. Hier konnten wir allerdings feststellen, dass 40 Prozent der teilnehmenden Betriebe ihre externen DSGVO-Berater mit der Note befriedigend und ausreichend bewerteten. 25 Prozent vergaben die Note mangelhaft und lediglich 10 Prozent fühlten sich sehr gut beraten.
Unser Autor
Jürgen Litz
Seit 2009 ist Jürgen Litz Geschäftsführer des Herstellers für Kundenmanagement-Software cobra GmbH mit Sitz in Konstanz. Basierend auf seinen langjährigen Erfahrungen im Bereich Kundenmanagement setzt er sich hier im Hinblick auf die EU-Datenschutz-Grundverordnung für ein positives Verständnis von Datenschutz und Datenchancen ein. Litz war zuvor acht Jahre lang Geschäftsführer Vertrieb und Marketing beim Markenartikler ADO-Goldkante. Nach seinem BWL-Studium in Köln begann er seine Karriere beim Computer-Händler comtech/escom.
Wo ein Wille, da auch ein Weg
Wollen Unternehmen zügig die neuen Datenschutzregeln auf die eigenen Abläufe anwenden, gilt es zum einen Aufgabenbereiche auf externe Schnittstellen zu verlagern, zum anderen müssen die notwendigen Kompetenzen in den eigenen Betrieb migriert werden. Einen wichtigen Baustein bildet hierbei die Software-Landschaft. Die digitale Datenverarbeitung stellt im Zuge der Digitalisierung die Grundvoraussetzung dar, um flexibel auf Marktanforderungen zu reagieren. Gleichzeitig liegt in diesem Sektor der Schlüssel zur zeitnahen und reibungslosen Umsetzung der Datenschutzgrundverordnung.
Befinden sich alle Kunden- und Auftragsdaten in einer zentral verwalteten CRM-Software mit entsprechender DSGVO-Zertifizierung, lassen sich auf Kundenwunsch per Mausklick und unter Berücksichtigung der Richtlinien sämtliche Informationen herausgeben. Zudem informiert ein Vermerk im System Mitarbeiter aus Vertrieb, Marketing, Management und Geschäftsführung über die Datenportabilität. Darüber hinaus erweisen sich solche CRM-Systeme als clevere Helfer beim Einholen einer erforderlich gewordenen Werbeeinwilligung und tragen somit maßgeblich zur Einhaltung der neuen Richtlinien im Umgang mit personenbezogenen Daten bei.
Insgesamt übernimmt meines Erachtens die IT in Bezug auf die Umsetzung der DSGVO-Richtlinien eine tragende Rolle. Unter Anwendung innovativer Systeme, etwa zum Consumer Relationship Management, lässt sich nicht nur der Schritt in Richtung Datenschutz-Konformität innerhalb kurzer Zeit und mit geringem Aufwand realisieren – sie erhöht außerdem die Datenqualität und trägt somit zu einer ganzheitlichen Optimierung der Unternehmensprozesse und Kundenbeziehungen bei.
Im Zusammenhang mit der EU-DSGVO zeigt sich das Potenzial innovativer IT-Systeme: Sie schaffen eine Balance zwischen den gesetzlichen Anforderungen und dem Nutzen auf Seiten der Unternehmen und Kunden.
[1] Bitkom: DS-GVO, ePrivacy, Brexit – Datenschutz und die Wirtschaft. September 2019.