Der 25. Mai 2018 ist ein wichtiger Stichtag. Ab dann gilt für die EU-Mitgliedsländer ein (überwiegend) einheitliches Datenschutzrecht: die Datenschutz-Grundverordnung, kurz DSGVO. Mit dem Ende der zweijährigen Übergangsfrist müssen auch Unternehmen in Deutschland die Vorgaben der DSGVO umsetzen. Bei Verstößen drohen hohe Strafen! Wir klären im Experteninterview mit René Akhil, warum der Verbraucher der Gewinner des neuen Datenschutzrechts ist und was CRM leisten kann, damit Unternehmen „auf der sicheren Seite“ sind.
Herr Akhil, warum sollte Datenschutz ein Grundrecht sein?
Kundenkontakte, Daten von Partnerunternehmen oder auch von eigenen Mitarbeitern sind ein kostbares Gut. Die Verarbeitung und Auswertung von Daten und die Erstellung von Profilen ist durch die fortschreitende Digitalisierung einfach wie nie. Auf dem Spiel steht dabei nicht weniger als ein Begriff, der vielleicht bald schon antiquiert klingen könnte: Privatsphäre! Der Gesetzgeber hat auf diese Entwicklung reagiert und ein Datenschutzrecht auf den Weg gebraucht, bei dem der Verbraucher tatsächlich der Gewinner ist – und zwar erstmalig nahezu einheitlich im gesamten europäischen Binnenmarkt. An den drakonischen Strafen gegen Verstöße können wir ablesen, dass es der Gesetzgeber beim Datenschutzrecht wirklich ernst meint. Es bleibt abzuwarten, ob eine Strafe von z.B. 20 Millionen Euro als Ultima Ratio jemals Anwendung finden wird; klar hingegen ist, dass die Europäische Union dem Datenschutzrecht als Verbraucherschutz im engeren Sinne höchste Priorität einräumt. Unternehmen müssen jetzt aktiv werden, denn die Umsetzungsfrist läuft am 25. Mai ab.
Können Sie zusammenfassen, was sich für den Verbraucher ändern wird?
Das wäre ein abendfüllender Vortrag, aber ich möchte es versuchen! Die Stärkung des Verbrauchers beginnt im Grunde schon, bevor jemand überhaupt zum Verbraucher wird, denn die DSGVO verpflichtet Unternehmen, Nutzer über die Erhebung und Verarbeitung ihrer Daten „in präziser, transparenter und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren. Fragwürdiges Geschäftsgebaren hinter juristischem Kauderwelsch zu verstecken, wird damit ein Ding der Unmöglichkeit. Weiter geht es mit den viel genannten Auskunfts- und Löschrechten. Der Gesetzgeber betritt hier kein Neuland, schärft jedoch frühere Regelungen in zentralen Punkten nach. Verbraucher stehen endlich mehr Mittel als bisher zur Verfügung, um beispielsweise zu erfahren, welche Daten Unternehmen tatsächlich über sie speichern und in welcher Art sie verwendet werden. Das betrifft auch sensible Fragen des Kunden-Profilings.
Nicht zuletzt eine Frage des Charakters: René Akhil im Gespräch
Auch bei den Löschrechten wurde umsichtig nachgebessert: Unternehmen müssen persönliche Daten löschen, sobald der Zweck entfallen ist, für den die Daten ursprünglich erhoben wurden. Allerdings hebelt dieser Anspruch andere Gesetze nicht aus: Bei der Datenerhebung im Rahmen eines Preisausschreibens muss ein Löschantrag zeitnah umgesetzt werden, bei einem Online-Kauf hingegen greift beispielsweise die steuerrechtliche Aufbewahrungspflicht. Absolutes Neuland innerhalb der EU-DSGVO sind hingegen das „Recht auf Vergessenwerden“ sowie das „Recht auf Datenübertragbarkeit“.
Können Sie diese beiden Konzepte bitte näher erläutern?
Gerne. Das „Recht auf Vergessenwerden“ regelt die Tilgung personenbezogener Daten, die einem größeren Publikum zugänglich gemacht worden sind, z.B. durch Publikation im Netz. Auch Dritte, die ebenfalls die Informationen des ursprünglichen Verbreiters weitergegeben haben, sind über die Löschung zu informieren. Das „Recht auf Datenübertragbarkeit“ soll Bürger in die Lage versetzen, ihre personenbezogenen Daten nach eigenem Ermessen von einer IT-Umgebung in eine andere zu transferieren. Unternehmen, die Kunden bislang bloß aufgrund schwieriger Wechselmodalitäten an sich gebunden haben, wurde hier eine klare Absage erteilt. Allerdings: Wie sich diese beiden Ansprüche in der Praxis auswirken, ist derzeit noch unklar, auch weil der Gesetzgeber keine Hinweise zu Fragen der technischen Realisierbarkeit oder zu notwendigen organisatorischen Umbauten gibt.
Welchen Stellenwert hat die DSGVO für AMTANGEE?
Das kommt auf den Gegenstand der Betrachtung an. Als Hersteller einer CRM-Software ist die DSGVO in gewisser Weise ein Glücksfall für uns. Wir müssen schlichtweg nicht mehr erklären, warum eine zentralisierte Steuerung der Unternehmenskommunikation von so immenser Wichtigkeit für den Unternehmenserfolg ist. Hier hat uns der Gesetzgeber in gewisser Art und Weise „zugearbeitet“. Als Unternehmen hingegen ist der Schutz der Privatsphäre seit jeher unser zentrales Anliegen, die Umsetzung der gesetzlichen Erfordernisse bereitet uns keine Schwierigkeiten. Im Grunde lassen sich alle Aspekte der EU-DSGVO in zwei Bereiche teilen: Stark normierende Aspekte stehen neben eher konzeptionellen Ansprüchen. Hierzu zählen Privacy by Design und Privacy by Default, also im Grunde Fragen der Technikgestaltung. Dabei geht es z.B. um datenschutzfreundliche Voreinstellungen – und das ist ja schon immer unsere Domäne.
Das Thema „Datenschutz“ ist die alles bestimmende Wertedebatte unserer Zeit. (…) Wir reden eigentlich über Verantwortung und über tiefgreifende Prozesse, die vor allem Fragen der Unternehmensethik berühren.
Welche Empfehlungen geben Sie Ihren Kunden?
Als Software-Hersteller können und dürfen wir keine juristischen Empfehlungen geben. Aber wir können sensibilisieren und vorbereiten. Nutzer von AMTANGEE werden auf die DSGVO vorbereitet sein. Und zwar genau so gut, wie wir in der Vergangenheit unsere Kunden auf kritische Herausforderungen wie E-Mail-Verschlüsselung, rechtskonforme E-Mail-Archivierung und DMS vorbereitet haben. Die DSGVO erfüllt man nicht auf Knopfdruck! Natürlich, wir wandeln die juristischen Empfehlungen unserer Berater Stück für Stück in Software um, aber dieser Prozess hat Grenzen. Warum? Das Thema „Datenschutz“ ist die alles bestimmende Wertedebatte unserer Zeit. Das zentrale Anliegen der DSGVO ist ja nicht der Schutz von Daten – vielmehr geht es um die Person, die hinter den gespeicherten Daten steckt! Wir reden eigentlich über Verantwortung und über tiefgreifende Prozesse, die vor allem Fragen der Unternehmensethik berühren. Wer das verstanden hat, ist auf einem guten Weg. Privacy is Key ist seit jeher ein zentrales Anliegen von uns – und wir teilen unsere Expertise gerne mit unseren Kunden, sei es im direkten Gespräch oder über Fach- und Blog-Beiträge.
Vielen Dank für das Gespräch?
Sehr gerne.
Weiterführende Links
Bitte beachten Sie: Dieses Interview thematisiert die Datenschutz-Grundverordnung (DSGVO), die Lektüre soll und kann jedoch keine Rechtsberatung ersetzen! Jede Entscheidung, die ein Unternehmen fällt, um den gesetzlichen Maßgaben zu entsprechen, muss in technischer und organisatorischer Hinsicht auf das jeweilige Unternehmen angepasst sein und sollte in jedem Fall von einem rechtlichen Beistand geprüft werden. Als Anbieter einer CRM-Lösung sind Datenschutz und IT-Sicherheit für uns von größter Bedeutung. Bitte beachten Sie daher auch zukünftige Blog-Beiträge zum Thema IT-Sicherheit sowie kommende Software-Releases, die bestimmte Gesichtspunkte der DSGVO adressieren.
