Datenschutzkonforme Datennutzung

Datenschutzkonforme Datennutzung

Was zur datenschutzkonformen Datennutzung wichtig ist und wie sie umgesetzt werden kann

Einleitung

Eine steigende Anzahl von Kunden-Touchpoints im Sales, Service und bei digitalen Produkten generiert immer mehr personenbezogene Kundendaten. Diese ermöglichen Unternehmen die Möglichkeit, Kundinnen und Kunden besser kennenzulernen und eine herausragende Customer Experience zu bieten. Die Konformität mit dem Datenschutz ist eine wesentliche Herausforderung, um diese Daten nutzen zu können. Dieser Artikel zeigt, wie Unternehmen diese Herausforderungen meistern können.

Es gibt viele gute Gründe, nicht gegen die Regelungen zum Datenschutz zu verstoßen. Neben schlechter Presse drohen erhebliche Strafen. Bei Verstößen gegen die DSGVO (Datenschutzgrundverordnung) drohen etwa ein bis über zwölf Tagessätze auf Basis des weltweiten Umsatzes – DAX-Unternehmen erreichen da schnell Größenordnungen von zwei- oder dreistelligen Millionen-Beträgen. Die Summe erhobener Strafzahlungen stieg im Jahr 2023 abermals an. Insgesamt wurden seit Inkrafttreten der DSGVO im August 2018 über 1.600 Strafen in Höhe von insgesamt 4,68 Milliarden Euro verhängt*. Die bisherige Rekordstrafe wurde im Mai 2023 gegen Meta verhängt: 1,2 Milliarden Euro.

Herausforderungen der Datenschutzkonformität

Die Herausforderungen der Datenschutzkonformität für Unternehmen liegen nicht so sehr in der Komplexität der Regelungen, sondern vor allem in der enormen Anzahl relevanter Prozesse und Fälle. Besonders digitale Produkte, die viele Kundendaten verarbeiten und häufig kurze Release-Zyklen haben, erfordern eine schnelle Dokumentation und Prüfung der Datenverarbeitung.

Fünf wesentliche Faktoren führen oftmals dazu, dass die Datenschutzkonformität für Go-lives zum Risiko wird:

  1. Fehlendes Bewusstsein für den Datenschutz bei Mitarbeitenden: Viele Mitarbeitende sind sich der Datenschutzregelungen nicht vollständig bewusst, was zu einer unsachgemäßen Nutzung bereits erhobener Kundendaten führen kann.
  2. Knappe Kapazitäten der Fachbereiche: Die Fachbereiche sind oft mit ihren Hauptaufgaben bereits ausgelastet und haben daher begrenzte Kapazitäten für die zusätzliche Anforderung der Datenschutzdokumentation.
  3. Knappe Kapazitäten in Rechtsbereichen: Der Rechtsbereich ist häufig nicht ausreichend besetzt, um die zahlreichen Compliance-Anforderungen angemessen zu bewältigen.
  4. Unterschiedliche Sprache von Fach- und Rechtsbereich: Fachbereiche und Rechtsbereiche haben unterschiedliche Terminologien, Denkmuster und Sprachen. In der Zusammenarbeit führt das leicht zu Missverständnissen und Abstimmungsschwierigkeiten.
  5. Dezentrale Kundendaten: Die Umsetzung datenschutzrechtlicher Anforderungen wird umso komplexer, je dezentraler Kundendaten gespeichert werden und je mehr Systeme und Gesellschaften dabei beteiligt sind.

Was ist zu tun, um die datenschutzkonforme Datennutzung zu ermöglichen?

Abgeleitet aus den oben genannten wesentlichen Herausforderungen der DSGVO-Konformität ergeben sich vier Aufgabengebiete für Unternehmen, um Kundendaten effizient nutzbar zu machen.

  1. Das Bewusstsein und die Kenntnisse in Bezug auf Datenschutz bei Fachbereichen und IT stärken: Alle Mitarbeitenden sollten ein grundlegendes Verständnis für Datenschutz haben, um Abstimmungen mit dem Rechtsbereich effizient zu gestalten.
  2. Befähigung der Fachbereiche: Die Fachbereiche müssen befähigt werden, sowohl die Regelungen des Datenschutzes bei der Gestaltung von Prozessen zu berücksichtigen als auch eine korrekte Datenschutzdokumentation effizient erstellen zu können – sodass das Rechtswesen zügig und ohne viele Zyklen eine Überprüfung durchführen kann. Eine Möglichkeit besteht darin, die Fachbereiche gezielt im Bereich Datenschutz zu schulen. Alternativ oder zusätzlich können Unternehmen eine neue Unterstützungs- oder Vermittlungseinheit zwischen Fachbereichen und dem Rechtsbereich etablieren. Diese „Vermittlerinnen und Vermittler“ sprechen die Sprache der Fachbereiche und sind gleichzeitig versiert im Datenschutz, um bei Prozessanpassungen und der Dokumentation zu unterstützen. Zusätzlich kann der Einsatz von künstlicher Intelligenz erwogen werden, um unstrukturierte Dokumente der Fachbereiche in die benötigten Dokumentationsformate für den Datenschutz zu überführen.
  3. Kapazitäten im Rechtsbereich schaffen und entlasten: Externe Juristinnen und Juristen können die von Fachbereichen vorgelegten Dokumente auf die Einhaltung datenschutzrechtlicher Regelungen prüfen und gegebenenfalls Anpassungen vorschlagen, um den Rechtsbereich zu entlasten.
  4. Zentralisierung von Kundendaten: Die Zentralisierung von Kundendaten ermöglicht es Unternehmen, die Prozesse rund um die Kundinnen und Kunden effektiver zu gestalten. Eine zentrale Datenquelle verhindert widersprüchliche Informationen und erleichtert das Löschen von Daten gemäß der DSGVO. Zudem unterstützt sie das korrekte Beantworten von Kundenanfragen und bildet eine Grundlage für effektive Business Intelligence.

Häufige Arten von Verstößen gegen die DSGVO

In einer BITKOM-Umfrage gaben nur 20 % der in Deutschland Befragten an, dass in ihren Unternehmen die DSGVO-Regelungen vollständig umgesetzt seien. Datenschutzbehörden und andere Organisationen haben in den letzten Jahren immer wieder bestimmte Arten von Verstößen identifiziert. Es gibt also Regelungen, die für Unternehmen so herausfordernd sind, dass sie gegen diese verstoßen, obwohl sie damit das Risiko einer erheblichen Strafe eingehen. Besonders hohe Strafen drohen bei den folgenden drei Verstößen, die trotzdem häufig vorkommen.

Der erste Verstoß besteht darin, personenbezogene Daten an andere Unternehmen weiterzuleiten (zum Beispiel an ein unterstützendes IT-Unternehmen), ohne einen erforderlichen Auftragsverarbeitungsvertrag (AVV) geschlossen zu haben. Der zweite häufige und gleichzeitig besonders teure Verstoß beinhaltet, dass die Datenschutzerklärung (DSE) nicht alle Verarbeitungen abdeckt, und somit betroffene Personen nicht ausreichend über die Verarbeitung informiert werden. Häufig sammeln Unternehmen zudem personenbezogene Daten, ohne eine entsprechende Einwilligung zu haben, beziehungsweise sie verstoßen gegen die Anforderungen an Einwilligungen wie die Freiwilligkeit oder die Widerrufbarkeit. Der letzte häufige Verstoß, der hier genannt werden soll, ist derjenige der mangelnden Dokumentation, sodass Unternehmen nicht ihrer Rechenschaftspflicht nachkommen können, um nachzuweisen, dass die DSGVO-Regelungen eingehalten werden.

Fazit

Auch nach über fünf Jahren DSGVO fällt es Unternehmen noch immer schwer, die Datenschutzregelungen einzuhalten. Angesichts steigender Strafzahlungen und des wachsenden Bewusstseins von Kundinnen und Kunden für Datenschutz und Integrität sollten Unternehmen aber nicht müde werden, die Anforderungen aus den Regelungen umzusetzen – im Interesse ihrer Kundinnen und Kunden, im Interesse der Gesellschaft und nicht zuletzt im eigenen Interesse.

 

*: DLA PIPER: „DLA Piper GDPR fines and data breach survey: January 2024“

 

Weiterlesen

Customer Operations

Thema vertiefen

Etablieren einer effizienten und effektiven Aufbau-/ Ablauforganisation, um Kunden digital und persönlich zu betreuen

Im stetig wachsenden Wettbewerb steigt der Druck hinsichtlich Kosten und Qualität für Unternehmen rasant. Daher ist es von zentraler Bedeutung, eine hochwertige Kundenbetreuung zu wirtschaftlich sinnvollen Bedingungen sicherzustellen. Um langfristig erfolgreich zu sein, sollten Unternehmen den Fokus ihrer Aktivitäten also neben der Steigerung der Kundenzufriedenheit auch auf die Optimierung der Prozesse im Hintergrund legen.

Thema vertiefen