ca. 30 Minuten
nach Wunsch auch mit VideocallDer 25. Mai 2018 – dieses Daten haben sich viele Handelsunternehmen rot im Kalender markiert, denn an diesem Tag tritt die neue EU Datenschutz-Grundverordnung (DSGVO) in Kraft. Dabei handelt es sich ganz allgemein formuliert um eine europaweite Harmonisierung der Datenschutzanforderungen. Der Umgang mit personenbezogenen Daten soll dadurch europaweit vereinheitlicht werden. Da die Anforderungen an den Datenschutz in Deutschland schon zuvor sehr hoch waren, scheint auf den ersten Blick keine besondere Brisanz in diesem Thema zu liegen. Wirft man allerdings einen Blick auf die neu festgelegten Bußgelder und Strafverfahren, wird das ganze Thema schon deutlich brisanter – bis zu 4% des Jahresumsatzes oder 20 Mio. Euro sind als Höchstwerte für Bußgelder möglich.
minubo ist als Commerce Intelligence Company und Dienstleister für Marken- und Handelsunternehmen ebenfalls von der neuen EU Datenschutz-Grundverordnung betroffen. Wie und in welchem Ausmaß möchten wir in diesem Blogartikel klären.
Wesentliche Punkte des DSGVO für minubo-Kunden
Die neue EU Datenschutz-Grundverordnung dreht sich vor allem um den Umgang und die Verarbeitung personenbezogener Daten – dazu zählen Name, Adresse, Telefonnummer etc; Daten, die einen konkreten Aufschluss über die jeweilige Person ermöglichen. Die aus unserer Sicht für unsere Kunden wesentlichen Themen, die mit der DSGVO geregelt werden, sind folgende:
- Das Recht auf Vergessen-Werden muss gewährleistet sein:
- Nach der neuen DSGVO haben Kunden das Recht jederzeit ihr Einverständnis auf die Speicherung ihrer Daten zu widerrufen und “Vergessen” zu werden. Das heißt, sie können die Löschung ihrer Daten fordern. Dieses proaktive Löschen oder Anonymisieren von personenbezogenen Daten sowie das Löschen auf Anfrage des Kunden muss also auch technisch problemlos möglich sein. Viele Shop-System-Anbieter haben Ihre Lösungen gerade um entsprechende Funktionen erweitert oder haben dies angekündigt.
- Nach der neuen DSGVO haben Kunden das Recht jederzeit ihr Einverständnis auf die Speicherung ihrer Daten zu widerrufen und “Vergessen” zu werden. Das heißt, sie können die Löschung ihrer Daten fordern. Dieses proaktive Löschen oder Anonymisieren von personenbezogenen Daten sowie das Löschen auf Anfrage des Kunden muss also auch technisch problemlos möglich sein. Viele Shop-System-Anbieter haben Ihre Lösungen gerade um entsprechende Funktionen erweitert oder haben dies angekündigt.
- Endkunden müssen der Datenspeicherung zustimmen:
- Dabei geht es nicht mehr nur um die Anmeldungen zu Newslettern, die in Deutschland zuvor auch schon sehr restriktiv gehandhabt wurden. Auch der Datensammlung im Rahmen von Tracking, Retargeting oder anderer Onsite-Analysetools müssen Kunden ausdrücklich zustimmen – egal ob es sich um einen registrierten Kunden oder einen Gastbesteller handelt. Bei der Erhebung der Daten wird es jetzt außerdem notwendig, dass die Kunden aktiv der Datenschutzerklärung zustimmen und das muss als Nachweis vorliegen. Nicht zu vergessen sind auch die Kontaktformulare, Rückruf-Funktionen o.ä. – auch hier muss auf die Speicherung der personenbezogenen Daten hingewiesen werden.
- Dabei geht es nicht mehr nur um die Anmeldungen zu Newslettern, die in Deutschland zuvor auch schon sehr restriktiv gehandhabt wurden. Auch der Datensammlung im Rahmen von Tracking, Retargeting oder anderer Onsite-Analysetools müssen Kunden ausdrücklich zustimmen – egal ob es sich um einen registrierten Kunden oder einen Gastbesteller handelt. Bei der Erhebung der Daten wird es jetzt außerdem notwendig, dass die Kunden aktiv der Datenschutzerklärung zustimmen und das muss als Nachweis vorliegen. Nicht zu vergessen sind auch die Kontaktformulare, Rückruf-Funktionen o.ä. – auch hier muss auf die Speicherung der personenbezogenen Daten hingewiesen werden.
- Die Art und Weise, wie Daten gesammelt und verarbeitet werden, muss geregelt und dokumentiert werden:
- Dafür müssen Commerce-Unternehmen ein Verfahrensverzeichnis anlegen, in dem sie die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogene Daten eines jeden damit in Berührung kommenden Verfahren festhalten – das trifft sowohl auf interner Ebene als auch auf die Arbeit mit externen Dienstleistern zu. Ganz konkret sind sie dazu verpflichtet, Datenschutzvereinbarungen mit Dienstleistern zu treffen, die Daten in ihrem Auftrag verarbeiten ("Auftragsdatenvereinbarung"). Auch der Aufbau und die Offenlegung eines Plans für den Fall einer Datenpanne wird zur Pflicht und Teil eines Datenschutz-Managementsystems.
- Dafür müssen Commerce-Unternehmen ein Verfahrensverzeichnis anlegen, in dem sie die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogene Daten eines jeden damit in Berührung kommenden Verfahren festhalten – das trifft sowohl auf interner Ebene als auch auf die Arbeit mit externen Dienstleistern zu. Ganz konkret sind sie dazu verpflichtet, Datenschutzvereinbarungen mit Dienstleistern zu treffen, die Daten in ihrem Auftrag verarbeiten ("Auftragsdatenvereinbarung"). Auch der Aufbau und die Offenlegung eines Plans für den Fall einer Datenpanne wird zur Pflicht und Teil eines Datenschutz-Managementsystems.
- Neu ist auch: Es besteht nun eine Pflicht, der jeweiligen Aufsichtsbehörde vor dem 25.5.2018 bekannt zu geben, wer zum Datenschutzbeauftragten des eigenen Unternehmens berufen wurde.
(Hinweis: Dies darf nicht als ausreichende rechtliche Belehrung zum Umgang mit der neuen DSGVO gesehen werden, sondern als kompakter Überblick über die aus unserer Sicht wesentlichen Themen!)
Ist minubo DSGVO-konform?
minubo ist auf zweierlei Weise von der neuen EU Datenschutz-Grundverordnung betroffen – als eigenständiges Unternehmen mit eigenen Marketing- und Vertriebsprozessen und als Dienstleister von Marken- und Handelsunternehmen, die in großem Maße mit personenbezogenen Daten arbeiten. An dieser Stelle möchten wir ausschließlich auf unsere Rolle als Dienstleister eingehen und darlegen, welche Maßnahmen in diesem Zusammenhang bei minubo getroffen werden.
Wichtig für diese Einordnung: minubo selber erhebt keine personenbezogenen Daten von den Endkunden unserer Kunden!
Wir sind ein Auftragsdatenverarbeiter (innerhalb des Datenverarbeitungsprozesses einer Commerce-Organisation) und erhalten Daten von Systemen, die unsere Kunden zur Erhebung personenbezogener Daten nutzen – beispielsweise Google Analytics, das eingesetzte Shop-System, das jeweilige ERP- oder CRM-System. Wir führen alle diese Daten in einem Data Warehouse zusammen und halten diese für Analysen oder weitere operative Maßnahmen unserer Kunden zur Verfügung.
Als Auftragsdatenverarbeiter müssen wir DSGVO-konforme Auftragsdatenvereinbarungen mit unseren Auftraggebern – also den minubo-Kunden – abschließen. Dieselbe Verantwortung übernehmen wir auch bei unseren Dienstleistern: Auch mit Unterauftragnehmern, die minubo engagiert, um den besten Service für seine Kunden zu ermöglichen, muss minubo DSGVO-konforme Vereinbarungen treffen.
Insgesamt bedeutet die neue EU Datenschutz-Grundverordnung für minubo als Dienstleister von Marken- und Handelsunternehmen, dass wir in der Pflicht sind, auf datenschutz-konforme – bzw. ganz speziell auf DSGVO-konforme – Vereinbarung zu achten und darauf hinzuweisen. Und diese Verantwortung übernehmen wir auch!
DSGVO-Maßnahmen bei minubo
Auch wir bei minubo arbeiten mit Hochdruck an der Umsetzung der Anforderung der neuen EU-Datenschutz-Grundverordnung, damit ab dem 25. Mai 2018 alle relevanten Eckpunkte geklärt und umgesetzt sind. Konkret bedeutet das, dass wir ab April unsere neuen, DSGVO-konformen Vereinbarungen zur Auftragsdatenverarbeitung an alle unsere Kunden verschicken und abstimmen werden. Auch mit unseren Dienstleistern sind wir im engen Austausch und arbeiten an der Erneuerung der zukünftig DSGVO-konformen Vereinbarungen.
Außerdem beschäftigen wir uns momentan intensiv damit, die Datenschutzorganisation bei minubo weiter zu entwickeln und neue Anforderungen wie die Datenschutz-Folgeabschätzung umzusetzen. Unser Verfahrensverzeichnis wird ebenfalls aktualisiert und unsere Datenschutzerklärungen werden überarbeitet, um rechtzeitig zum 25. Mai den neuen Anforderungen der EU-Datenschutz-Grundverordnung zu entsprechen.
Ein weiterer Aspekt ist die Weiterentwicklung unserer Schnittstellen zu Vorsystemen wie Salesforce Commerce Cloud, Pixi uvm. – damit wollen wir von minubo ermöglichen, dass unsere Kunden die DSGVO-Funktionen auch im Zusammenhang mit minubo in vollem Umfang nutzen und damit das Recht auf Vergessen ihrer Kunden vollautomatisch durchsetzen können.
Wir sind vorbereitet!
Die neue EU Datenschutz-Grundverordnung und die damit verbunden Anforderungen und Verpflichtungen sollten nicht auf die leichte Schulter genommen werden. Zusätzlich zu den hohen Bußgelder haben die Behörden nun die Verpflichtung, gemeldete Verstöße nicht nur zu konsequent nach zu verfolgen, sondern auch proaktiv Unternehmen auf die Einhaltung der DSGVO-Anforderungen zu prüfen. Besonders große Handelsunternehmen sollten sich deshalb auf solche proaktive Überprüfungen seitens der Aufsichtsbehörde gefasst machen. Aber auch kleine Retailer können sich im Schatten der großen Handelsriesen nicht allzusehr ausruhen, denn die Behörden müssen jedem Hinweis auf einen Verstoß der neuen EU Datenschutz-Grundverordnung nachgehen.
minubo ist vorbereitet! Auch mit der neuen EU Datenschutz-Grundverordnung bleiben wir unserem Auftrag treu, als Commerce Intelligence Company Marken- und Handelsunternehmen zu helfen, sowohl auf strategischer als auch auf operativer Ebene schnelle, fundierte und vor allem datengetriebene Entscheidungen auf Basis einer ganzheitlichen Datenbasis zu treffen.
Falls Sie als minubo-Kunde weitere Fragen zum Vorgehen und den getroffenen Maßnahmen haben, steht Ihnen Ihr Key Account Manager jederzeit zur Verfügung.
