bvik-Experten informieren über Datenschutz Auf Nummer sicher im B2B

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de

bvik-Experten informieren über Datenschutz

Auf Nummer sicher im B2B

Die neue EU-Datenschutzgrundverordnung wird das B2B-Marketing stark beeinflussen. Bild: Vege/Fotolia
Anzeige
Die Auswirkungen der neuen EU-Datenschutzgesetze auf das Marketing sind enorm. Marketingverantwortliche sollten sich deshalb unbedingt damit beschäftigen, denn bei Verstößen drohen erhebliche Strafen.
Die neue EU-Datenschutzgrundverordnung wird das B2B-Marketing stark beeinflussen, sowohl negativ als auch positiv. Negativ sind vor allem die drohenden Geldstrafen. Ab dem 28. Mai 2018 können Verstöße bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes kosten – je nachdem, welcher Betrag höher ist. Für die meisten B2B-Unternehmen ist dies mehr als das Doppelte des jährlichen Marketingbudgets, das laut bvik-Studie 2015 zwischen ein und zwei Prozent des Umsatzes lag. Darüber hinaus wird eine veröffentlichte Geldbuße für die falsche Verwendung von Kundendaten dem Vertrauen und den langfristigen Geschäftsbeziehungen schaden. Doch Marketer wollen unbedingt persönlich identifizierbare Informationen (PII) verwenden. Es ermöglicht ihnen, individuelle Kundenbedürfnisse zu verstehen und relevante Angebote gezielt zu platzieren. Dynamische Display-Werbung, benutzerdefinierte Inhalte auf Webseiten und automatisch ausgelöste E-Mails sind nur drei Beispiele hierfür. Die Daten können explizit als Tatsachen und Präferenzen oder implizit als Verhalten über Klicks oder über Cookies gesammelt werden. Klar ist, dass One-to-One Marketing-Techniken den Umsatz steigern – und zwar über alle Branchen.
Kundendaten verantwortungsvoll behandeln
Seit dem Erlass der letzten Datenschutzgesetze 1995 gab es erhebliche Änderungen in der Art und Weise, wie Unternehmen Computer und Kundendaten für das Marketing einsetzen. Heute erfolgt der Zugang zu „Software as a Service“ (SaaS) über das Internet. Marketing-Funktionalität wird häufig direkt mit dem Budget der Marketing-Abteilung gekauft, Daten werden in der Cloud gespeichert und ein Klick auf „speichern“ in einer Marketing-App kann dazu führen, dass Kundendaten außerhalb der EU exportiert werden – eine Aktion, die gesetzlich streng geregelt ist.
Die rechtliche Definition von „Data Controller“ hat sich jedoch nicht geändert. Die Person, die bestimmt, welche personenbezogenen Daten gesammelt, wie sie gespeichert und wofür sie verwendet werden, ist nach wie vor für die Einhaltung der gesetzlichen Bestimmungen verantwortlich. Marketing sammelt, speichert und analysiert Kundendaten durch mehrere spezialisierte Systeme: Websites, eShops, E-Mail-Marketingsysteme. Aber Datenschutzbeauftragte und IT-Abteilungen haben häufig kein vollständiges Bild von Marketingsystemen oder -prozessen, dennoch beraten sie Marketer oft zu Compliance-Fragen. Allerdings gehört die Verantwortung für die Schaffung eines vollständigen und genauen Überblicks, wie PII in Marketing verwendet werden, zum Marketing dazu. Deshalb stellen die neuen gesetzlichen Regelungen neue Anforderungen an das B2B-Marketing.
Prozesse dokumentieren
Die Datenschutzgesetze von 1995 erforderten, dass Unternehmen Prozesse zur Umsetzung des Gesetzes aufstellen. Im neuen Gesetz liegt der Schwerpunkt auf der „Nachweispflicht“ und die Beweislast liegt beim Unternehmen (Erwägungsgrund 82). Es reicht nicht, einen Prozess am Laufen zu haben, dieser muss auch dokumentiert werden. Unzureichende Unterlagen können als Nichteinhaltung interpretiert werden und zu einer Geldbuße führen. Artikel 30 enthält breit gefasste Unterlagen darüber, wie die Dokumentation aussehen muss. Wie detailliert, in welchem Format und wie oft die Dokumentation aktualisiert werden soll, wird nicht erklärt. Dies sind Punkte, die Marketingverantwortliche mit ihrem Anwalt oder Datenschutzbeauftragten klären müssen.
Vertragsbedingungen überprüfen
Wenn eine Organisation die Verarbeitung von PII an einen anderen weitergibt, definiert das Gesetz die Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeiter eindeutig. Die Einzelheiten sind in den Artikeln 28 bis 33, 36, 37 und 44 enthalten. Die Zusammenfassung lautet grob: Ihr Vertrag mit einem Auftragsverarbeiter muss Sie dazu verpflichten, Ihre eigenen Pflichten gegenüber einer EU-Person (zum Beispiel Kunden) zu erfüllen. Dies bezieht sich insbesondere auf die Bedingungen für die Ausfuhr von Daten außerhalb der EU.
In der Praxis bedeutet dies, dass Marketer die Verträge für alle Software-Systeme, die Kundendaten speichern oder verarbeiten, überprüfen müssen. Dazu gehören alle Systeme in der Marketing- und Kundenkommunikation: Website-Systeme, E-Mail-Marketing, Social Marketing, Marketing-Analyse, etc. Besondere Aufmerksamkeit sollte Verträgen von SaaS geboten werden, die von Anbietern mit Sitz außerhalb der EU bereitgestellt werden, oder wenn Daten in der Cloud gespeichert werden (d.h. potenziell außerhalb der EU). Hier müssen entweder die Vertragsbedingungen geändert oder der Vertrag beendet und ein kompatibler Lieferant gefunden werden.
Folgenabschätzung durchführen
Als Verantwortlicher sind Sie verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, um zu beurteilen, ob Ihre Verwendung von personenbezogenen Kundendaten ein Risiko für die Rechte und Freiheiten der betroffenen Person (Kunde) darstellt. Selbst wenn Sie sich sicher sind, dass Ihre B2B-Marketingprozesse nur Visitenkarteninformationen verwenden und als „geringes oder null Risiko“ eingestuft werden, müssen Sie Ihren Datenschutzbeauftragten die formale Bewertung durchführen und die Ergebnisse dokumentieren lassen, um dies zu beweisen (Art. 35). Wenn Sie noch kein Marketing-DPIA erstellt haben, fragen Sie Ihren Datenschutzbeauftragten nach einer Einschätzung der Zeit und des Aufwands. Erlauben Sie zusätzliche Ressourcen, wenn die Daten „sensibel“ sind oder sich auf gesundheitliche, genetische oder biometrische Merkmale beziehen (Art. 4 und 9).
Initiative ergreifen, jetzt beginnen
Letztlich ist der Marketingleiter dafür verantwortlich Sorge zu tragen, dass die Verwendung von personenbezogenen Kundendaten dem Gesetz entspricht. Wenn Sie noch nichts von Ihrer Rechtsabteilung oder dem Datenschutzbeauftragten gehört haben, liegt es wahrscheinlich daran, dass Sie bereits eine hohe Arbeitsbelastung im Personalwesen und der IT-Abteilung haben. Marketern wird geraten, ihren Datenschutzbeauftragten zu kontaktieren und Marketing-Compliance-Projekte zu initiieren. Das Erreichen der Compliance wird sicherlich viel weniger kosten als die Geldbußen für die Nichteinhaltung. Trotzdem sollten Zeit und Aufwand nicht unterschätzt werden. Es ist am besten, Compliance-Projekte jetzt starten, um die Frist nicht zu verpassen!
Hinweis: Mehr zum Thema Datenschutz erfahren Sie beim bvik-Workshop „Auf Nummer sicher: Data Privacy im B2B-Marketing“ am 31.05.2017 bei der kuehlhaus AG in Mannheim.
Andrew Sanderson, CIPM Senior Consultant, Kuelhaus AG und Mitglied des bvik
Anzeige

Industrieanzeiger

Ticketaktion

Mit dem Industrieanzeiger kostenlos auf die Hannover Messe 2017

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie!

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige