EU-Datenschutzgrundverordnung

5 DSGVO-Sofort-Maßnahmen für B2B-Unternehmen

| Autor / Redakteur: Maximilian von Götz / Lena Höhn

Wer sich unsicher ist, kann mit diesen „Last-Minute-Sofort-Maßnahmen“ noch kurzfristig die Weichen für die DSGVO stellen.
Wer sich unsicher ist, kann mit diesen „Last-Minute-Sofort-Maßnahmen“ noch kurzfristig die Weichen für die DSGVO stellen. (Bild: gemeinfrei / CC0)

Am 25. Mai tritt die neue EU-Datenschutzgrundverordnung, kurz EU-DSGVO, in Kraft. Jedes Unternehmen, das in der EU aktiv ist, ist davon betroffen – das gilt auch für B2B-Anbieter. Wer sich unsicher ist, kann mit diesen fünf „Last-Minute-Sofort-Maßnahmen“ noch kurzfristig die Weichen stellen.

Unternehmenslenker sollten sich hinsichtlich der EU-DSGVO im Klaren darüber sein, ob ihre Firma auf die neuen Regularien vorbereitet ist. So können Manager dies in fünf Schritten feststellen und erreichen, dass ihr Unternehmen noch rechtzeitig „DSGVO-ready“ wird.

1. EU-DSGVO-Regularien verinnerlichen

Die neue Datenschutzverordnung wird private Daten schützen und die informationelle Selbstbestimmung der Menschen stärken. Das soll durch eine Neuverteilung von Rechten und Pflichten zwischen natürlichen Personen (Dateneignern) und Unternehmen sowie einer Ausweitung der Definition von personenbezogenen Daten (kurz: PII), wie etwa E-Mail-Adressen aus denen klar Vor- und Zuname hervorgehen, geschehen. Das heißt: Unternehmen müssen eine rechtskonforme Grundlage schaffen, um auch weiterhin Geschäftskontakte per E-Mail ansprechen zu dürfen. Des Weiteren müssen Projektleiter auch dafür sorgen, dass datenschutzrechtliche Grundsätze wie Zweckbindung, Datensparsamkeit, Transparenz und Daten-Portabilität gewahrt bleiben.

Der Gesetzestext enthält zudem sechs Bedingungen für die Datenverarbeitung, von denen mindestens eine erfüllt sein muss, damit PII-Daten gespeichert und verwendet werden dürfen. Für den B2B-Sektor spielen die Einwilligung und das berechtigte Interesse, etwa der Geschäftszweck einer Firma, eine besondere Rolle. Ein Beispiel: Wenn etwa ein Lernsoftware-Hersteller Mail-Adressen von potenziellen Neukunden sammelt, liegt das im berechtigten Interesse des Unternehmens.

Grundsätzlich gilt: Unternehmen müssen lückenlos und nachvollziehbar dokumentieren, ob die Rechtmäßigkeit der Erhebung, Verarbeitung und Speicherung von PII-Informationen jederzeit gegeben ist. Dies gilt auch für Datensätze, die gegebenenfalls bei Drittanbietern für Marketingzwecke gekauft werden. Auch liegt es im Verantwortungsbereich der Käufer, sicherzustellen, dass diese erworbenen Daten DSGVO-konform gesammelt und verarbeitet wurden – dies kann durch vertragliche Vereinbarungen mit dem Drittanbieter überprüft werden.

2. Eigene Prozesse auf Schwachstellen analysieren

Um die eigenen Abläufe und Systeme fundiert zu validieren, sollten Entscheider in B2B-Unternehmen auf zwei Aspekte achten:

  • 1. Die Überprüfung der Systemarchitektur zum Datenschutzmanagement
  • 2. Die Überprüfung von Dienstleisterverträgen und anderen Kooperationen


Neben anderen Faktoren sollten Verantwortliche auf ihre Systemarchitektur und Prozesse achten: Hierfür eignen sich bereits fertig entwickelte Werkzeuge, wie das GDPR Readiness Toolkit for Customer Identity & Access Management. Darin befindet sich unter anderem eine intuitive Checkliste, die aufzeigt, wie es um die Einhaltung der EU-DSGVO im Unternehmen bestellt ist. Wenn so Schwachstellen entdeckt werden, ist unverzügliches Handeln geboten.

3. Zertifizierte Experten hinzuziehen

Ein Experten-Workshop, der dezidiert auf die festgestellten Schwachstellen eingeht, hilft dabei, jedes Detail des Ist-Zustands in Sachen Erfassung, Verarbeitung und Speicherung von PII aufzuarbeiten. So bekommen Datenverantwortliche einen guten Überblick etwa darüber, wie sicher Einwilligungsnachweise gespeichert werden und ob dies den rechtlichen Normen entspricht. Dies gilt auch für Informationen wie den Zeitpunkt und die Art der Einwilligung, die gewählte Sprache oder den Verarbeitungszweck – Metadaten wie IP-Adresse, Geolokalisierung, Browsertyp und Gerät dürfen auch nicht vergessen werden. Auch offline gewonnene Kontakte wie eingesammelte Visitenkarten, müssen immer berücksichtigt werden. Zudem ist nachzuweisen, dass die Einwilligung jederzeit vom Nutzer in einem Self-Service-Profil-Bereich aktualisiert, verwaltet oder entzogen werden kann.

4. Den idealen Soll-Zustand definieren

Unternehmensverantwortliche müssen dafür sorgen, dass der Schutz der Daten nicht nur innerhalb der eigenen Unternehmenssphäre, sondern auch im Hinblick auf Kooperationen mit Partnern gewährleistet ist. Die wesentliche Herausforderung dabei liegt darin, aus dem Abgleich von Ist- und Soll-Zustand die notwendigen Maßnahmen abzuleiten. Im Kern geht es darum, die relevanten Angaben zum Speicherort und zur Datenübertragung konsistent und transparent offenzulegen und Benachrichtigungssysteme einzuführen, die zum Beispiel automatisch über Änderungen in den Datenschutzbestimmungen informieren. Sind diese noch nicht vorhanden oder nur schwer in die Infrastruktur integrierbar, müssen im Zweifel nicht nur tiefgreifende Anpassungen am existierenden System durchgeführt, sondern auch ein Austausch wesentlicher Funktionalitäten und Prozesse vorgenommen werden.

5. Konkrete Maßnahmen rechtskonform umsetzen

In der Branche wird üblicherweise ein „privacy-by-design“-Ansatz verfolgt, um eine zentralisierte Profil-, Präferenzen- und Einwilligungsverwaltung über den gesamten Kundenlebenszyklus hinweg zu realisieren. Um diese Systeme rechtskonform aufzusetzen, sollten Unternehmen dringend ausgewiesene Spezialisten für CIAM-Strategien (Customer Identity and Access Management) einbeziehen. Diese können mit ihrer Expertise maßgeschneiderte Roadmaps erarbeiten, die es Verantwortlichen ermöglichen, verbindliche Meilensteine zur DSGVO-Konformität zu identifizieren, zu priorisieren und umzusetzen.

Manager in B2B-Unternehmen sollten sich schon lange mit der DSGVO-Readiness ihrer Organisation beschäftigt haben. Wer sich aber unsicher ist, kann mit diesen „Last-Minute-Sofort-Maßnahmen“ noch kurzfristig die Weichen stellen. Viel Zeit bleibt aber nicht mehr!

Tipps und Tricks zur neuen EU-DSGVO

Datenschutzgrundverordnung

Tipps und Tricks zur neuen EU-DSGVO

24.04.18 - Mit Stichtag zum 25. Mai 2018 tritt die neue Datenschutzgrundverordnung in Kraft und löst das alte Bundesdatenschutzgesetz ab. Damit ist es für jeden verpflichtend, die neuen Regelungen umzusetzen. Hier finden Sie einen kurzen Überblick und jede Woche neue kurze Tipps. lesen

Maximilian von Götz ist Managing Director bei der Frankfurter Digitalagentur Cocomore.
Maximilian von Götz ist Managing Director bei der Frankfurter Digitalagentur Cocomore. (Bild: Cocomore)

Über den Autor

Maximilian von Götz (38) arbeitet als Managing Director bei der Frankfurter Digitalagentur Cocomore. Der Kommunikationswirt verantwortet dort einen der dynamischsten Geschäftsbereiche: CIAM und CPDM (Consumer Promotion Data Management). Maximilian von Götz hat einen fundierten Hintergrund in Marketing und IT und versteht perfekt die Integration neuester Technologien wie Blockchain, AR/VR und AI in existierende Plattformen. Er wird immer dort aktiv, wo große Mengen an Identitäten und Transaktionen verwaltet und analysiert werden müssen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45227992 / Leadmanagement)