So machen Sie Ihre Organisation GDPR-bereit: 6 praktische Tipps, die funktionieren

25. Mai 2018 — der Tag, an dem die GDPR offiziell in Kraft tritt — rückt stetig näher. Als eine der strengsten Verordnungen bis dato zielt die GDPR darauf ab, die sichere und rechtmäßige Erhebung, Verarbeitung und Speicherung personenbezogener Daten von EU-Bürgern zu gewährleisten. Es ist also kein Wunder, dass FUD (Angst, Unsicherheit und Zweifel) schnell wächst.

Um Ihnen bei der Vorbereitung auf die DSGVO zu helfen und Panik während der DSGVO-Compliance-Prüfung zu vermeiden, haben wir uns an mehrere Unternehmen gewandt und folgende Frage gestellt: Welche Schritte hat Ihre Organisation unternommen, um die DSGVO einzuhalten, und welchen Rat können Sie denen geben, die gerade erst anfangen? Wir haben viele hilfreiche und sogar überraschende Antworten erhalten und sind gespannt darauf, die sechs besten Rückmeldungen zu teilen.

Jose Romero, Senior Digital Stratege

Overit, eine Full-Service-Digitalmarketingagentur (Albany, New York, USA)

Die DSGVO hat einige bedeutende Auswirkungen auf unser Unternehmen sowie unsere Kunden, von denen viele internationale Geschäfte betreiben, die auf häufige Kommunikation mit Interessenten, Kunden und anderen wichtigen Stakeholdern in der EU angewiesen sind. Zustimmung ist wichtig, daher haben wir begonnen, mit unseren Kunden zu sprechen und sie darüber aufzuklären, wie sie eine angemessene Einwilligung von Nutzern einholen können, über die sie Aufzeichnungen führen oder die sie in naher Zukunft kontaktieren möchten.

Intern hat unser Team damit begonnen, unsere Kontaktlisten zu durchforsten, um alle Einträge von Personen zu entfernen, mit denen wir keine Beziehungen mehr pflegen, und die Datensätze für diejenigen zu aktualisieren, die neue Positionen bezogen haben und weiterhin von uns hören möchten. Dies umfasst unter anderem kalte Kontakte, verlorene Leads, zurückgewiesene Kontakte, nicht engagierte Adressen und Medienlisten.

Wir haben auch damit begonnen, unsere Datenschutzrichtlinie auf unserer Website zu überarbeiten und zu überprüfen, wie wir Adressen erfassen, und arbeiten weiterhin daran, unsere gesamte Kommunikation mit den Stakeholdern sowohl im Inland als auch international zu verbessern.

Dies ist nicht das erste Mal, dass wir unsere internationalen Compliance-Praktiken verstärken mussten. In der Vergangenheit mussten wir uns mit CASL (Canadian Anti-Spam Law) auseinandersetzen und dort Vorsichtsmaßnahmen treffen, und ich bin sicher, dies wird nicht das letzte Mal sein. Als Faustregel gilt, dass Gesetzesänderungen im Ausland oft den Ton für die Branche angeben, daher ist es unsere Absicht nicht nur, CASL oder GDPR zu befolgen, sondern sicherzustellen, dass unsere Marke verantwortungsbewusst und proaktiv nach potenziellen Änderungen in der Marketing- und Datenschutzgesetzgebung international sucht.

Karolina Rut, Kommunikationsspezialistin

Sparkbit, ein Unternehmen, das Softwareentwicklung-Outsourcing und IT-Beratungsdienste anbietet (Warschau, Polen)

Das Inkrafttreten der DSGVO bringt enorme Veränderungen für KMUs wie unseres mit sich. Zunächst haben wir einen auf den Schutz personenbezogener Daten spezialisierten Anwalt konsultiert, um besser zu verstehen, was das DSGVO-Gesetz beinhaltet und wie unser Unternehmen vorgehen sollte, um die Vorschriften einzuhalten. Danach begannen wir zu analysieren, welche Daten wir haben, wer darauf Zugriff hat, wie sie geschützt sind und welche potenziellen Risiken einer Datenkompromittierung bestehen.

Wir haben eine sehr detaillierte Liste jedes Dokuments mit sensiblen Daten vorbereitet und spezifiziert, wie es gespeichert wird (gedruckte Kopie, auf einer Computerdiskette, in der Cloud usw.). Jetzt konzentrieren wir uns darauf, Regeln für den Umgang mit jedem Typ von sensiblen Daten zu erstellen, wie zum Beispiel, wer auf welche Art von Daten zugreifen darf, wo sie gespeichert werden sollten und wie lange, welche Dokumente gedruckt und verschlossen werden müssen, welche Dokumente eine digitale Version haben können usw. Wir bereiten auch eine spezifische Vertraulichkeitsvereinbarung für unsere Mitarbeiter vor.

Im Moment fühlen wir uns einigermaßen bereit für das Inkrafttreten der DSGVO. Das Letzte, was noch zu tun ist, ist eine Liste potenzieller Risiken für unsere Organisation und Daten zu erstellen, zusammen mit deren Auswirkungen und Kontrollempfehlungen, damit wir sie vermeiden können.

Ruth Carter, Inhaberin/Rechtsanwältin

Carter Law Firm, das Dachunternehmen für die professionellen Vortrags- und Schreibaktivitäten von Ruth Carter, einer in Arizona zugelassenen Rechtsanwältin und Autorität auf dem Gebiet des geistigen Eigentums, Geschäftsverträge und Internetrecht (Phoenix, Arizona, USA)

Ich bin ein Internetanwalt, der Kunden in Bezug auf GDPR-Compliance berät, und ich bereite mich auf die GDPR für mein eigenes Unternehmen vor. Zusätzlich zur Aktualisierung der Datenschutzrichtlinie des Unternehmens habe ich das Double-Opt-in für unsere E-Mail-Liste hinzugefügt und bitte meine aktuelle E-Mail-Liste, sich erneut anzumelden. Jeder, der sich nicht anmeldet, den ich nicht kenne und dessen Wohnsitz ich nicht überprüfen kann, wird von der E-Mail-Liste entfernt.

Dies sind meine wichtigsten Ratschläge für Unternehmen, die an der Einhaltung von Vorschriften arbeiten:

• Lesen Sie entweder das Gesetz sorgfältig selbst oder konsultieren Sie einen Anwalt oder einen vertrauenswürdigen Anbieter.
• Verwenden Sie die doppelte Opt-in-Zustimmung für Ihre E-Mail-Liste.
• Fügen Sie niemanden ohne dessen ausdrückliche Zustimmung zur E-Mail-Liste hinzu.
• Seien Sie transparent darüber, welche Daten Sie sammeln und wie sie verwendet werden.
• Sammeln Sie nur die Daten, die Sie benötigen.
• Gestatten Sie nur Mitarbeitern und Auftragnehmern den Zugriff, wenn sie es unbedingt wissen müssen.
• Im Zweifel lieber vorsichtig sein; die Strafe für die Verletzung dieses Gesetzes beträgt Millionen von Dollar.

Hannah Whitehouse, Content Marketing Manager

Bouncezap, Entwickler eines Lead-Generierung-Marketingtools, das von Unternehmen zur Steigerung ihrer Konversionsrate verwendet wird (London, U.K.)

Als SaaS-Anbieter, der mit verschiedenen Unternehmen zusammenarbeitet, wissen wir, dass der Schutz der Informationen unserer Kunden von entscheidender Bedeutung ist. Wir haben uns kürzlich darauf konzentriert, unsere Datenschutzrichtlinie neu zu schreiben, damit unsere Nutzer und insbesondere unsere Kunden verstehen, wie ihre Informationen verwendet werden und dass ihre Daten sicher sind. Wir betreiben ein Lead-Generierungstool, das Analysen zu den Kampagnen unserer Nutzer liefert; daher ist die DSGVO für uns umso wichtiger: Unsere Nutzer werden wissen, dass ihre Informationen sicher sind und nicht ohne ihre ausdrückliche Erlaubnis in unserem Werbematerial verwendet werden.

In den nächsten zwei Monaten werden wir uns persönlich an die Nutzer wenden, um sie über unsere Richtlinien zu informieren, zusätzlich zu einer deutlichen Darstellung der neuen Datenrichtlinie auf der Website, damit wir geschützt sind, unabhängig davon, auf welcher Seite die Besucher landen.

Ich würde Unternehmen, die sich um die Einhaltung der DSGVO sorgen, raten, jetzt zu beginnen. Fragen Sie sich, haben Sie eine Datenschutzrichtlinie? Ist sie prominent auf Ihrer Website platziert? Ist sie unklar? Es ist wichtig zu bedenken, dass Ihre Datenschutzrichtlinie und Nutzungsbedingungen genauso dazu dienen, Sie zu schützen, wie auch Ihre Nutzer. Nutzen Sie schließlich die Fülle an DSGVO-bezogenen Quellen online, um sicherzustellen, dass Ihnen nichts entgeht. Das Letzte, was Ihr Unternehmen braucht, ist, kurz vor der Frist noch ungeschützt in Hektik zu geraten.

Ian McClarty, Präsident

PhoenixNAP, ein globaler IT-Dienstleister, der fortschrittliche Infrastructure-as-a-Service-Lösungen von Standorten weltweit anbietet (Phoenix, Arizona, USA)

Wenn ich den Betroffenen einen einzigen Rat geben könnte, dann wäre es „Keine Panik.“ Wir sahen die Verordnung als drohende Gefahr, die wir hastig umsetzen müssten. Die DSGVO soll jedoch den Schutz personenbezogener Daten von EU-Bürgern gewährleisten, was ein lobenswertes Unterfangen ist. Organisationen, die zeigen, dass sie sich ernsthaft bemühen, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen, müssen sich keine Sorgen machen, dass die Vorschriften ihren täglichen Betrieb oder ihre Einnahmen beeinträchtigen.

Viele Anforderungen sind weit davon entfernt, klar zu sein, und Organisationen müssen ihr bestes Urteilsvermögen verwenden, wenn sie einen Implementierungsplan entscheiden. Daher tun Sie Ihr Bestes, um die DSGVO einzuhalten, und seien Sie nicht zu selbstsicher in Ihrer Bereitschaft dafür.

Jede Organisation, die vorbereitet sein möchte, muss die folgenden Mindestschritte unternehmen:

• Schritt 1: Stellen Sie sicher, dass die Führungsebene involviert ist und den Wandel vorantreibt. Jede Anstrengung zur Implementierung der Richtlinien und Verfahren, die für die Einhaltung notwendig sind, erfordert die Zustimmung aller Führungskräfte auf C-Ebene und die Erwartung, dass diese Änderungen alle Teams auf allen Ebenen betreffen werden.
• Schritt 2: Führen Sie eine gründliche Datenanalyse durch. Suchen Sie nach allen personenbezogenen Daten, die in jedem System überall gespeichert sind. Dies ist keine kleine Anstrengung und kann Monate dauern.
• Schritt 3: Bestimmen Sie die Grundlage für die Einwilligung aller Daten. Sobald Sie wissen, welche Daten Sie besitzen, finden Sie heraus, warum Sie diese überhaupt speichern. Dies ist nicht nur eine Übung, um zu rechtfertigen, warum Sie Daten „speichern möchten“. Stattdessen stellt dieser Schritt sicher, dass Sie einen rechtlichen, begründbaren Grund haben, diese Daten zu behalten.
• Schritt 4: Legen Sie eine Aufbewahrungsrichtlinie fest. Sie müssen bestimmen, wie lange die Daten aufbewahrt werden sollen und was damit geschehen soll (löschen, archivieren oder anonymisieren), sobald sie nicht mehr benötigt werden oder nicht mehr gesetzlich aufbewahrt werden dürfen.
• Schritt 5: Schulen Sie Ihr Personal. Obwohl es vorteilhaft ist, das gesamte Team zu schulen, sollten Sie sich zunächst auf das Front-End-Personal konzentrieren, das Kundenanfragen bearbeitet. Danach schulen Sie das Back-End-Personal, das die Systeme und Software verwaltet und pflegt, in denen die personenbezogenen Daten gespeichert sind, sowie das technische Personal, das mit dem Entwerfen, Architekturieren und Bauen neuer Systeme und Software beauftragt ist, die den Datenschutzrichtlinien folgen müssen.

Sophie Miles, CEO und Mitbegründerin

QuotesAdvisor.com, ein Unternehmen, das kostenlose Vergleiche zwischen Privatkrediten, Hypothekenkrediten, Pfandkrediten, Kreditkarten, Debitkarten und Kfz-Versicherungen anbietet (Turin, Italien)

Wir haben uns entschieden, unsere Nutzer nicht nach persönlichen Informationen zu fragen. Obwohl diese Entscheidung bedeutet, dass wir im Hinblick auf Marketinginstrumente wie Kundenbindung und CRM ins Hintertreffen geraten, haben wir einige Berechnungen angestellt und kamen zu dem Schluss, dass es 26% mehr Finanzierung erfordern würde, unsere Datenspeichereinheiten und die Website zu ändern, um sie an die GDPR-Anforderungen anzupassen, anstatt einfach unsere Website zu aktualisieren und keine persönlichen Daten mehr zu sammeln.

Insbesondere haben wir uns entschieden, die Eingabeformulare für grundlegende Identitätsinformationen wie Name, Adresse und Ausweisnummern zu entfernen. Daher können wir unsere Bemühungen auf die Datenbank unserer Kunden konzentrieren, die viel kleiner und für unser Geschäft lebenswichtig ist.

Unsere Empfehlung für Einsteiger ist, sich auf die wichtigste Datenbank zu konzentrieren. Früher hatten wir Informationen über alles, aber wir haben festgestellt, dass wir nur einen Bruchteil davon genutzt haben.

Abschließende Gedanken

Es gibt keine universelle Formel, um die GDPR-Konformität zu erreichen. Wenn Sie sich jedoch darauf vorbereiten, indem Sie feststellen, welche Daten Sie haben und was Sie tatsächlich benötigen, und geeignete Richtlinien einführen, können Sie aufhören zu paniken – Sie werden nicht nur in der GDPR-Ära überleben, sondern tatsächlich davon profitieren.