Wir betonen immer wieder, dass Daten eine kostbare Währung für ein KMU sind und Sie diese in Ihrem Unternehmen nicht vernachlässigen sollten. Doch nun hat die EU eine neue europäische Datenschutz-Grundverordnung (kurz DSGVO) beschlossen, die genau in den Prozess der Datensammlung eingreift. Die Verordnung gilt für die gesamte EU und auch für den europäischen Wirtschaftsraum (EWR). Diese Richtlinien müssen alle Firmen einhalten die einen Sitz in der EU haben. Und bitte atmen Sie nicht zu früh auf, auch Firmen, die keinen Firmensitz in der EU haben, aber Produkte und Dienstleistungen an EU-Bürger anbieten, müssen die DSGVO ebenfalls einhalten. Wir möchten heute erläutern, was denn ab dem 25. Mai 2018 mit dem Beginn der DSGVO losgetreten wird, welche Auswirkungen das für Sie hat und wie Sie daraus für sich einen Nutzen ziehen können. Denn auch wenn das ganze erst einmal danach aussieht, das Sie mehr Arbeit und weniger Daten haben, kann etwas Positives daraus gezogen werden.

Das Ziel dieser neuen Verordnung ist es, dass Bürgern der EU und des EWR eine stärkere Kontrolle über ihre eigenen Daten gegeben werden soll. Personenbezogene Daten sollen innert ganz Europa geschützt sein. Gemeint ist damit unter anderem der Name, ein Foto von sich selber, eine E-Mail Adresse, die eigene Bankverbindung, Social Media Posts, Computer IP, medizinische Daten, Standortinformationen und überhaupt alles, was eine Person über sich im Internet preisgibt.  Auch ist die Definition der „Person“ innerhalb des DSVGO breit gefasst, sodass selbst Daten geschützt sind, die innerhalb eines B2B-Geschäftes ausgetauscht oder veröffentlicht wurden. Einfach gesagt ist es egal, ob eine Person privat, als öffentliche Figur oder als Person in einer Arbeitsrolle und damit eventuell auch in einem B2B-Umfeld handelt, es wird immer angenommen, dass dahinter eine Person mit eigenen Daten steht und diese Person das Recht hat, die Kontrolle über diese Daten zu behalten. Sie merken, Sie kommen um diese neue Verordnung nicht herum, es sei denn, Sie arbeiten ausschliesslich in der Schweiz. Doch auch dann können Sie eventuell Berührungspunkte mit dem Thema haben, wenn Sie z.B. eine Newsletter-Anmeldung auf ihrer Webseite haben und sich eine Person aus Deutschland für diesen anmeldet. Schon ist eine „Geschäftsbeziehung“ mit einem EU-Bürger entstanden und schon unterliegen Sie der DSGVO.
Jetzt kann man sich für sich denken, wo kein Kläger da kein Richter. Hier möchte ich ausdrücklich warnen, denn die Strafen für Verstösse können mitunter richtig weh tun. Bis zu 4% des globalen Jahresumsatzes oder 20 Mio. Euro dürfen eingefordert werden, je nachdem welcher Betrag höher ist. Und auch Erfahrungsberichte aus der EU zeigen, dass die Bürger dort wesentlich sensibler sind was Verstösse gegen ihre Datenschutz-Rechte angeht. Sie haben eine höhere Bereitschaft diese Rechte einzufordern.

Was müssen Sie nun also tun, um die DSGVO bei Ihnen umzusetzen?
Zunächst einmal muss jedes Unternehmen einen Datenschutzbeauftragten ernennen. Dieser Job wird nicht sonderlich beliebt sein, denn der Beauftrage ist nicht nur für die Überwachung der Einhaltung verantwortlich, sondern auch für eventuelle Verstösse. Und wer ist schon gerne verantwortlich, wenn das Unternehmen potentiell viel Geld verliert? Lösen kann man dieses Problem in dem Sie sich gut auf die Umstellung ab Mai 2018 vorbereiten. Wie Sie dies machen, folgt in Kürze. Zunächst möchte ich aber darauf eingehen, welche Auswirkungen die DSGVO auf Ihr Unternehmen wirklich hat. So verstehen Sie leichter, warum Sie so viel Vorbereitungsaufwand auf sich nehmen sollten.
Sie als Firma werden ab nächsten Mai in einer Bringschuld sein, d.h. Sie müssen den Nachweis erbringen, dass Personen bestimmten Aktionen, wie z.B. dem Newsletter-Erhalt, zugestimmt haben. Eine stillschweigende Zustimmung, Haftungsausschlüsse oder eine Opt-Out-Option ist nicht mehr ausreichend. Und das hat potentiell Auswirkungen auf Ihre Prozesse, Ihre Anwendungen und die Art wie Sie Daten sammeln. Und da beginnt die Vorbereitungszeit.

Schritt 1: Machen Sie sich bewusst, wo Sie überall Berührungspunkte mit Daten von Personen haben und zeigen Sie intern auf, wie dies passiert. Sprich füllt jemand ein Formular aus und schickt es ab oder gibt es ein Kontaktformular auf Ihrer Webseite oder oder oder.
Schritt 2: Überlegen Sie sich, wozu Sie welche Daten von Personen überhaupt brauchen, also wirklich brauchen und auch nutzen. Dies verhindert eine überflüssige Speicherung von Daten und damit ein Zusatzrisiko.
Schritt 3: Definieren Sie interne Richtlinien, was mit Daten geschehen darf und was nicht. Diese Richtlinien sollten überwachbar sein, sodass der Datenschutzbeauftragte eine faire Chance hat seinen Job überhaupt zu machen.
Schritt 4: Passen Sie Ihre Prozesse, Anwendungen und Datensammelmöglichkeiten an. Das heisst bei Online-Anmeldungen setzen Sie auf Double-Opt-In (man füllt etwas aus, klickt ein Häkchen und erklärt sich einverstanden und erhält dann noch per Mail einen zu bestätigenden Link), überlegen Sie sich wie Sie Kundendaten die Sie auf Messen sammeln (Visitenkarten dürfen nämlich auch nicht mehr einfach ins CRM übernommen werden) verarbeiten können und legen Sie sich ebenfalls Möglichkeiten zurecht, überhaupt Kundendaten zu sammeln. Bei all den Anpassungen ist besonders wichtig, dass Sie die Speicherung bedenken, denn elementarer Bestandteil der Datenspeicherung innerhalb der DSGVO ist ein Prüfpfad der Daten, der durch einen Zeitstempel und Berichtsdaten verdeutlicht, bei welchem Vorgang der Kunde wie zugestimmt hat. Diese Daten können Ihnen viel Geld sparen, wenn Sie damit belegen können, das der Vorwurf Ihnen gegenüber nicht gerechtfertigt ist.

Ich glaube Sie haben bereits den Eindruck bekommen, dass die Einhaltung dieser Vorschrift nicht ohne ist und da kann ich Ihnen nur Recht geben. Es bedarf Vorbereitung und die Neu-Auslegung der Arbeitsweise in Ihrem KMU. Ein echter Schritt hin zur Transformation – digital und analog. Und mit diesem Aufwand kommen noch weitere Fragen auf Sie zu: zum Beispiel wie und wo Sie all die Daten speichern, die Sie zusätzlich sammeln müssen und diejenigen, die Sie schützen müssen. Und selbst hier hat man kein Schlupfloch zugelassen, denn für die DSGVO ist es nicht wichtig, wo Daten gespeichert werden wie bisher, sondern alle Daten. ob innerhalb oder ausserhalb der EU gespeichert, die zu einer betroffenen Firma gehören, müssen den Richtlinien entsprechen. Doch kommen wir zum Schluss noch wie versprochen zu den positiven Auswirkungen für Ihre Firma.

Sie als Schweizer KMU können nun verstärkt Vertrauen zu Ihren potentiellen und bestehenden Kunden aufbauen, indem Sie verdeutlichen, wie verantwortungsbewusst Sie mit den Kundendaten umgehen. Machen Sie daraus eine positive Botschaft Ihres Unternehmens und anstatt nächsten Mai in den AGBs zu kommunizieren, dass Sie die Datenspeicherung analog der DSGVO vornehmen, kommunizieren Sie bereits jetzt dass Ihnen dieses Thema wichtig ist und Sie sich intern damit auseinander setzen. Nutzen Sie das, was Sie eh machen müssen. Die Vorbereitung auf die Veränderung. Sie können auch neue Prozesse testen und den Kunden entscheiden lassen, was für ihn angenehmer ist und Sie sehen gleichzeitig was für Sie die richtige Methode ist. Ich habe es eingangs erwähnt, Daten sind eine kostbare Währung heutzutage, aber das teuerste Gut eines Unternehmens ist nach wie vor das Vertrauen seiner Kunden. Und das gerade bei KMU, die oft näher am Kunden sind. Hier haben Sie also nicht nur die Last mit einer neuen EU-Verordnung umgehen zu müssen, sondern eine Chance das Vertrauen Ihrer Kunden aufzubauen und auszubauen.

Mit diesem positiven Ausblick möchte ich den dieswöchigen Blogbeitrag gerne beenden. Wenn Sie Hilfe brauchen, die Last in positive Marketingbotschaften umzuwandeln, zögern Sie nicht und kontaktieren Sie uns. Genau dafür sind wir (unter anderem ) da!
Wer nun gerne mehr über die DSGVO lesen möchte, kann dies unter folgendem Link tun: https://www.datenschutz-grundverordnung.eu