SECURITY POLICIES

Kundendaten als Schatz. Wie schützen Sie Ihre Kontakte effektiv?

Lesedauer 7 Min.

Fast 92 Prozent aller Unternehmen verwenden eine Datenbank, um Kunden- oder Akquisedaten zu speichern. Wie Sie sicher bereits wissen, muss das Bearbeiten und Speichern von Daten im Einklang mit der Datenschutzgrundverordnung (DSGVO) stehen. Wir geben Ihnen wertvolle Tipps, wie Sie Ihre Daten noch besser schützen können.

1. Betrachten Sie die DSGVO nicht als Feind

Seitdem die DSGVO in Kraft getreten ist, musste schon so manches Unternehmen empfindliche Bußgelder berappen. Aber nicht nur der monitäre Verlust hat viele Geschäftsführer beunruhigt. Sie sorgen sich auch darum, dass das Verbrauchervertrauen dadurch deutlich beschädigt wurde. Vertrauen ist nämlich ein wichtiges Entscheidungskriterium für den Kauf von Produkten und Dienstleistungen. Und die DSGVO ist nicht einfach nur eine weitere bürokratische Belastung für Ihr Unternehmen. Sie soll Ihnen eigentlich zu einer vertrauenswürdigen Beziehung zu Ihren Kunden verhelfen.

Statt sie zu fürchten, sollten Sie die Verordnung als einen Leitfaden betrachten. Dieser sorgt dafür, dass Kunden Ihnen vertrauen und Sie nicht personenbezogene Daten vorenthalten oder gar Ihr Unternehmen ganz verlassen. Fangen Sie beispielsweise mit der Erstellung eines Sicherheitsportals an, auf das Ihre Kunden zugreifen können. Dort haben sie Zugang zu ihren eigenen Daten und können ihren personalisierten Dienstleistungen zustimmen, die sie für wertvoll halten.

Sie können sich aber auch selbst die Initiative ergreifen und Ihre Datenschutzerklärung verständlicher und leichter lesbar formulieren. Denn die Anzahl der Menschen, die diese Erklärungen lesen, ist nach wie vor zu gering. Laut einer Umfrage der Europäischen Kommission aus dem Jahr 2019 lasen von 27.000 Menschen nur 13 Prozent die Datenschutzerklärungen zu Ende. Viele geben auf, weil ihnen die Erklärungen zu lang oder zu kompliziert erschienen. Alle Online-Unternehmen, die sich um ihre digitale Identität Gedanken machen, sollten Datenschutzerklärungen anbieten, die für alle Benutzer prägnant, klar und leicht verständlich sind.

2. Stellen Sie sicher, dass Sie und Ihre Mitarbeiter den Begriff „persönliche Daten“ richtig verstehen

Klingt das seltsam oder zu einfach? Was der Begriff „personenbezogene Daten“ bedeutet, darüber herrscht bei vielen Unternehmen immer noch Unklarheit. Deshalb ist es wesentlich, eine genaue Definition zu formulieren.

Heutzutage hinterlässt jeder von uns einen Fußabdruck aus seinem persönlichen Leben im Internet. Wie Hänsel und Gretel hinterlassen auch Sie eine Spur aus digitalen Brotkrumen, die jeder verfolgen kann. Personenbezogene Daten (PII) bestehen nicht nur aus IBANs, Ausweisen, Email- und Kontaktinformationen. PIIs beinhalten auch alle Informationen, die jede identifizierbare natürliche Person betreffen, darunter auch Social-Media-Posts, Profilbilder und IP-Adressen von Geräten.

In einem Gespräch betonte der IT-Experte Jaroslav Oster, dass das Verständnis dieser Nuancen Bestandteil jedes effektiven DSGVO-Trainings sein sollten. „In kleinen und mittelgroßen Unternehmen fängt man allmählich an zu verstehen, dass echte Datensicherheit ohne adäquates Mitarbeitertraining nicht aufgebaut werden kann. Denn gerade die Mitarbeiter sind die Hauptnutzer des firmeninternen Informationssystems,“ erklärte Oster.

3. Wählen Sie einen guten Datenschutzbeauftragten

Falls Ihr Unternehmen eine regelmäßige und systematische Überwachung von Informationen oder die Verarbeitung einer hohen Zahl spezieller Datenkategorien als Kernaktivitäten einschließt, müssen Sie einen Datenschutzbeauftragten bestimmen. Seine Hauptverantwortung besteht darin, alle Prozesse, die Kundendaten betreffen, im Einklang mit der DSGVO abzuwickeln. Dazu gehören auch die Ihrer Mitarbeiter, Anbieter und aller anderen geschäftlichen Kontakte.

Aber wie sucht man ihn aus? Ein Datenschutzbeauftragter muss die praktischen Auswirkungen der Regelungen zum Datenschutz verstehen. Gleichzeitig sollte er den Risikograd richtig einschätzen und dem Management geeignete Lösungen präsentieren können. Gut entwickelte Überzeugungs- und Verhandlungsfähigkeiten gelten als Grundvoraussetzung für einen Datenschutzbeauftragten.

4. Bewahren Sie den Nachweis über die Einhaltung der DSGVO auf

Es könnte passieren, dass Sie eines Tages gegenüber den Behörden darlegen müssen, wie Ihr Unternehmen mit personenbezogenen Daten umgeht. Nutzen Sie die Kundeninformationen wirklich nur für die Zwecke, für die sie bestimmt sind? Und sind Sie darauf vorbereitet, diese Tatsache gegenüber einer Behörde nachzuweisen?

Sie sollten alle Verarbeitungsstufen der Daten, von der Sammlung bis hin zur Verwendung, verfolgen. Versuchen Sie, Technologien und Prozesse zum Schutz vor Datenlecks einzusetzen, um die Datensysteme und Prozesse Ihres Unternehmens in Einklang zu bringen. Und bauen Sie gleichzeitig einen stärkeren Kontrollmechanismus für alle Daten-Wege auf. Vergessen Sie auch nicht die offline gespeicherten Daten. Dies ist besonders in Krisenzeiten (wie COVID-19) wichtig, da sie Einfluss auf Ihre Unternehmensführung haben.

5. Überlassen Sie die Einhaltung von DSGVO nicht nur einer Abteilung

Es ist keine gute Idee, die Einhaltung der DSGVO nur Ihrer IT-Abteilung zu überlassen. Die Datenschutzgrundverordnung beeinflusst viele anderen Geschäftsbereiche. Alle Ihrer Angestellten sollten darin geschult werden, wie sich die Verordnung sowohl auf sie als auch auf die Kunden auswirkt.

Für ein firmeninternes IT-Team wird es kein Problem sein, mithilfe eigener Schlüsselschritte für eine bessere Einhaltung der DSGVO zu sorgen. Aber wenn Ihre Experten alles allein verwalten müssen, könnten sie bald überlastet sein. Denn Ihr IT-Team muss abseits der DSGVO stets am Puls der Zeit sein: beim Patching, bei der Überwachung von Bedrohungen und in der Bereitschaft, sofort auf alle Sicherheitsvorfälle zu reagieren. Ein verantwortungsbewusstes Verhalten der Mitarbeiter trägt entscheidend zur Entlastung der IT-Abteilung bei.

6. Achten Sie auf unbeabsichtigte Verbreitung von Informationen über Ihre Kunden im Netz

Das Erfassen von Datenlecks hat bereits viele überraschende Informationen zutage gebracht. Obwohl Kundendaten als eine der kritischsten Datengruppen betrachtet werden (vor allem im Gesundheitswesen und in der Finanzwirtschaft), erleiden Unternehmen immer noch Verluste sensibler Informationen. Dazu zählen zum Beispiel die unkontrollierte Freischaltung von Verträgen und personenbezogenen Daten. Dies passiert häufig aufgrund von Fahrlässigkeit.

Außerdem werden diese Informationen sogar auf kostenlose Filesharing-Webseiten hochgeladen, wo sie von jedem heruntergeladen werden können. Zudem gibt es im Darknet Bereiche, wo Daten unter anderem an jedermann verkauft werden. Laut der DSGVO haben Ihre Kunden das Recht zu erfahren, welche Daten über sie gesammelt werden, bzw. diese Daten löschen zu lassen. Stellen Sie also sicher, dass diese von Ihnen gegen alle denkbaren Verstöße geschützt verwahrt werden.

 

Hat COVID-19 besondere Maßnahmen in Bezug auf die DSGVO verursacht?
Ja.

Der Vorsitzende des Europäischen Datenschutzausschusses (EDPB) hat eine Erklärung abgegeben, dass die DSGVO Arbeitsgebern ermöglicht, persönliche Daten im Rahmen einer Epidemie, wie z. B. COVID-19, zu verarbeiten. Die Zustimmung der betroffenen Person ist nicht erforderlich, solange sich der Arbeitgeber auf entsprechende rechtliche Gründe wie beispielsweise die Gesundheit der Bevölkerung und öffentliches Interesse stützt oder ein Interesse zum Schutz von Leben vertritt.

Ein aktuelles Beispiel: Arbeitsgeber können die Gesundheitsdaten Ihrer Angestellten einfordern, um herauszufinden, ob sie ihre Pflichten erfüllen können. Alle Informationen über Mitarbeiter, die sich mit COVID-19 angesteckt haben, sollten aber nur an andere Mitarbeiter weitergegeben werden, um eine Verbreitung zu verhindern. Die Mitarbeiter sollten darauf hingewiesen werden, dass ihre Daten verbreitet werden und an wen. Jede Verarbeitung dieser Gesundheitsdaten muss im Einklang mit dem Gesetz durchgeführt werden.

Vergessen Sie nicht, dass Datenschutzgesetze für alle personenbezogenen Daten gelten, die Organisationen zur Bekämpfung von Krankheiten und für andere Zwecke verwenden. Deswegen benötigen alle gesammelten Gesundheitsdaten eine höhere Schutzklasse. Es sollte jedem klar sein, warum ein Unternehmen seine Daten sammelt, wie sie verarbeitet werden und dass sie nicht für kommerzielle Zwecke verwendet werden.