- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Fachartikel » Hintergrund

Aufsichtsbehörden machen Ernst


Datenschutz im Online-Vertrieb und Auftragsdatenverarbeitung
Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung

- Anzeigen -





Von Matthias Stauch, Vorstandsvorsitzender/CEO der Intervista AG und Nadja Müller für Wordfinder PR

Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können.

Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

Zum einen wurden die Betroffenenrechte gestärkt: Personenbezogene Daten dürfen abseits von eng definierten Notwendigkeiten nur mit Einwilligung verarbeitet werden (Artikel 6). Gemäß Artikel 15 hat der Betroffene zudem ein Auskunftsrecht und darf erfragen, ob und zu welchem Zweck seine persönlichen Daten verarbeitet werden. Das Recht auf Vergessenwerden (Artikel 17) legt fest, dass auf Wunsch personenbezogene Daten gelöscht werden müssen. Zudem wurde beinhaltet die DSGVO das Recht auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung sowie auf Berichtigung. Um die Durchsetzbarkeit zu gewährleisten, hat die EU die Sanktionsmöglichkeiten verschärft. Zuvor konnten Verstöße mit Bußgeldern bis zu 300.000 belegt werden, mit der DSGVO sind nun deutlich höhere Strafen mit bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes möglich.

Der DSGVO wurde zunächst mit Skepsis begegnet, da unklar war, wie streng Behörden kontrollieren und wie stark Bürger ihre neuen Rechte einfordern würden.

Dass Bußgelder verhängt werden, zeigen Entwicklungen im November dieses Jahres: Die italienische Aufsichtsbehörde (Garante per la protezoni die dati personali) verhängte gegen Vodafone Italien eine Strafe von rund 12 Millionen Euro: Vodafone hatte bei aggressivem Telemarketing Anrufe ohne eine wirksame Einwilligung tätigen lassen und sich Daten zum Teil von Dritten beschafft. Vodafone muss nun Maßnahmen ergreifen, um Konformität nach der DSGVO zu erreichen. Dazu gehört auch ein Dokumentationssystem, das nachverfolgbar macht, ob die Verarbeitung personenbezogener Daten rechtskonform erfolgt.

Auch die französische Aufsichtsbehörde (CNIL) verhängte Strafen gegen die Carrefour S.A., dem zweitgrößten Einzelhandelsunternehmen Europas. Zum einen wurde die Verarbeitung personenbezogener Daten über die Website nicht transparent genug dargestellt: Informationen zum Datenschutz des Treueprogramms waren für die User nur schwer zugänglich und kaum verständlich aufbereitet - damit wurde das Transparenzgebot verletzt. Außerdem war das Löschkonzept mangelhaft. Zum anderen wurden die Daten von inaktiven Kunden im Treueprogramm jahrelang aufbewahrt, ebenso Userdaten der Site carrefour.fr. Das Unternehmen hatte zudem Cookies gesetzt, ohne zuvor die Einwilligung der Nutzer einzuholen. Die Bußgelder gegen die Carrefour S.A und die Carrefour Banque belaufen sich auf rund zwei Millionen bzw. 800000 Euro.

Nicht zwingend erforderlich notwendige Cookies erfordern eine Einwilligung
Zum Umgang mit Cookies gab es im Herbst 2019 ein wichtiges Urteil des EuGH: Wer nicht unbedingt erforderliche Cookies setzen will, muss die aktive Einwilligung des Users einholen. Hier herrscht allerdings Unklarheit, wann ein Cookie zwingend erforderlich ist und damit auch ohne Einwilligung gesetzt werden darf und wann nicht. Bußgelder können im vollen Umfang verhängt werden. Viele Unternehmen haben als Reaktion auf das Urteil ihre Cookie-Benachrichtigungen umgestellt, doch längst nicht alle.

Eine Befragung kleiner und mittelständischer Unternehmen der Landesbeauftragten für Datenschutz in Niedersachsen ergab Mängel bei der Cookie-Information und bei der Einbindung von Drittdienstleistern. Der Nutzer wird zum Beispiel nicht objektiv über seine Optionen informiert, da ihn die grafische Gestaltung der Einwilligung mit Farben und Größenunterschieden oder Voreinstellungen in Richtung der Einwilligung anleiten. Dabei handelt es sich um eine rechtliche Grauzone: Es ist nicht ganz klar, ob diese Arten des Einholens der Einwilligung am Ende gültig sind oder nicht.

Relevant ist das für alle Unternehmen, die online Leads generieren und Kunden gewinnen: Ein Lead umfasst eine Person, einen Kontaktweg sowie die Erlaubnis (Opt In bzw. Double Opt In), die Person kontaktieren zu dürfen. Das fängt schon bei einer einfachen Newsletter-Anmeldung an, denn bereits die Email-Adresse stellt einen personenbezogenen Datensatz dar.

Zusammenarbeit mit seriösen Partnern
Da der digitale Vertrieb für Unternehmen gerade in Krisenzeiten ein wichtiger Umsatzbringer ist, müssen sie den Umgang mit den Daten ihrer Interessenten und Kunden auf dem Schirm haben, die gesetzlichen Anforderungen sowie ihre Änderungen beachten und den Überblick behalten. In der Regel werden Kundendaten von einem Drittanbieter gespeichert oder verarbeitet – hier sollten Unternehmen also Wert legen auf Seriosität und idealerweise Server, die in Deutschland stehen, da mit dem Privacy Shield das Datenschutzabkommen mit den USA gekippt wurde.

Wichtig ist, dass die Tools der Partner Interessenten- und Kundendaten rechtssicher verwalten und ein Höchstmaß an Transparenz durch eine umfangreiche Dokumentation sichergestellt ist: Alle Angaben sollten in einem System geführt werden und jede Aktion oder Änderung nachvollziehbar sein.

Der Erstkontakt des Users bzw. Herkunft der Daten und Einwilligungen werden dokumentiert und rechtskonform ausgewertet, um bestehende Kontakterlaubnisse nicht zu verlieren. Darüber werden in der Folge durch Kampagnen und Aktionen Daten zu Kunden gesammelt und spezifische Produkte und Angebot unterbreitet. Der Interessent wird systematisch und von Aktion zu Aktion, von Kampagne über Kampagne zum Kunden qualifiziert – immer unter Berücksichtigung des Datenschutzes.

Neben der Protokollierung stellen in einem guten System ein entsprechendes Rechtesystem und automatisierte Regeln sicher, dass die Anforderungen der DSGVO eingehalten werden: Daten sind dann zum Beispiel nur einsehbar, wenn der entsprechende Bedarfsfall vorliegt. Automatisierte Regeln überwachen Verfallsdaten und gewährleisten die Einhaltung von Löschfristen.

Was für Leads gilt, gilt natürlich erst recht für Kundenverträge, die online über digitale Antragsstrecken eingegangen werden – sie müssen rechtssicher sein, ihr Zustandekommen nachvollziehbar und dokumentiert sein.

Fazit
Der Online-Vertrieb ist für Unternehmen ein wichtiges Standbein und ein Umsatzbringer, der immer wichtiger wird. Um DSGVO-konform zu arbeiten, benötigen sie deswegen vertrauenswürdige Partner für die Auftragsverarbeitung der Kundendaten mit dokumentierten, überwachten Prozessen und daraufhin abgestimmten Systemen. (Intervista: ra)

eingetragen: 13.01.21
Newsletterlauf: 12.02.21

Intervista: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

  • Haftung für Behauptungen "ins Blaue hinein"

    Landauf Landab beklagen Versicherungsmakler, freie Finanzdienstleister und Bankberater, dass sie auf Vertriebsveranstaltungen von Schulungsleitern eigentlich nur positiv erscheinende Produkteigenschaften durch bunte Bilder, hübsche Flyer und nette Worte erfahren. Negative Produkteigenschaften, vor allem Risiken und Nebenwirkungen, erfährt man dort kaum. So ist es nicht verwunderlich, dass es Vertriebsleitern und -vorständen nur allzu gelegen kommt, wenn primär unkritische Finanzvermittler gesucht werden. Eine allzu gute Vorbildung könnte Skrupel bedeuten, und damit den schmerzfreien Produktverkauf behindern. Wer sich dann etwa die Mühe macht, auch noch das Kleingedruckte einmal selbst nachzulesen, wird am Ende kaum noch zum Vermitteln kommen, und nichts mehr verdienen? Denn wo der Trend zur sprichwörtlichen Blondine im Callcenter oder Vertrieb noch nicht durchgesetzt wurde, hilft Druck durch die Vertriebsführung nur beschränkt weiter.

  • Pluspunkt der No-Code-Methode

    Fragen Sie Geschäftsführer, CEOs oder Vorstände: Das Thema ‚digitale Transformation' steht mittlerweile bei fast allen Unternehmen ganz oben auf der Prioritätenliste. Den Protagonisten der Digitalisierung ist dringlich klar geworden, dass die Modellierung und Automatisierung von Geschäftsprozessen ein wesentlicher Baustein für den Erfolg eines Unternehmens ist. Eine digitale Prozess- und Entscheidungsautomatisierung ermöglicht es Unternehmen, schnell, flexibel und kostensparend am Markt zu agieren. Und in dynamischen Marktumfeldern müssen Entscheidungsprozesse schnell ablaufen und ebenso schnell an neue Anforderungen anpassbar sein. Das Potenzial für die digitale Prozess- und Entscheidungsautomatisierung in den Unternehmen ist enorm: Viele Ablauf- und Entscheidungsprozesse im Unternehmen wiederholen sich oder ähneln sich, sie sind standardisiert und folgen festen, eindeutigen Regeln. Das manuelle Abarbeiten ist sehr zeitintensiv und bindet wertvolle personelle Ressourcen, die dem Unternehmen für andere, wertschöpfendere Tätigkeiten verloren gehen. Der Effizienzgewinn, der durch eine Prozessautomatisierung erzielt werden kann, ist dementsprechend hoch. Und im regulatorisch Bereich noch oft ungenutzt.

  • Compliance 2.0: Ergebnis einer dynamischen Welt

    Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. Für Organisationen - darunter fallen Unternehmen, Behörden und Institutionen - bedeutet dies, die eigenen Compliance-Vorschriften kontinuierlich auf die neuen, digitalen Gegebenheiten anpassen zu müssen. Dabei gilt es vor allem Verantwortlichkeit und Nachweisbarkeit klar zu definieren.