Was die DSGVO für Ihr Unternehmen bedeutet

Heute ist ein guter Tag, um mehr darüber zu erfahren, was die DSGVO für Ihr Unternehmen bedeutet.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union tritt am 25. Mai 2018 in Kraft. Und obwohl es bis dahin noch fast ein Jahr ist, gibt es operativ eine Menge Dinge, die Sie tun müssen, um konform zu sein. (Ja, „metric butt-load“ ist ein Fachbegriff.)

In dieser Folge des Rethink-Podcasts haben wir mit David Fowler gesprochen, dem Leiter von Act-On für Datenschutz, Compliance und Zustellbarkeit. Wie David sagt, markiert die DSGVO die größte Änderung des EU-Datenschutzrechts seit einer Generation. Und es gilt für die 510 Millionen Bürgerinnen und Bürger der EU sowie für alle Unternehmen, die mit ihnen Geschäfte machen, unabhängig davon, wo sie ihren Sitz haben.

Genießen Sie das Gespräch, und wir hoffen, dass Sie ein oder zwei nützliche Erkenntnisse mitnehmen können, die Sie in Ihr Unternehmen einbringen können.

Nathan Isaacs : David, kannst du mir mehr darüber erzählen, was du bei Act-On machst?

David Fowler : Ich helfe unseren Kunden bei der Navigation durch die digitale Roadmap in Bezug auf ihre Verpflichtungen aus lokalen, staatlichen, bundesstaatlichen und internationalen Gesetzen in Bezug auf digitales Marketing. Ich stelle auch sicher, dass, wenn unsere Kunden auf die Schaltfläche „Senden“ für ihre E-Mails klicken, die Nachrichten jede Möglichkeit haben, in den Posteingang zu gelangen. Digital Compliance im Jahr 2017 ist ein sehr tiefes und weites Feld. Wenn Sie beispielsweise ein Vermarkter in den USA sind, der in die EU versendet, sind Ihre Verpflichtungen anders als wenn Sie ein Vermarkter in den USA sind, der nach Kanada versendet. Es ist unsere Aufgabe, unsere Kunden über ihre Verpflichtungen im Rahmen dieser speziellen Gesetzgebungs-Roadmaps zu informieren.

Nathan : Eines der Dinge, über die wir heute sprechen, ist die Datenschutz-Grundverordnung oder GDPR. Können Sie mir sagen, was das ist und worum es geht?

David : Die DSGVO ist ein Gesetz, das 2018 in Europa in Kraft treten wird, genauer gesagt am 25. Mai. Und was es im Wesentlichen ist, ist eine vollständige Neufassung der EU-Datenrichtlinie von 1995. Und für diejenigen unter Ihnen, die den Podcast hören, gibt es in Europa keine universellen Gesetze in Bezug auf die digitale Compliance. Es gibt Auslegungen der Datenrichtlinie, und jedes Land kann bestimmen, wie es dieses Gesetz auslegt. Wie Sie also sehen konnten, schafft genau das selbst dieses enorme Verwirrungspotential.

Die DSGVO ist ein universelles Gesetz, das für alle Unternehmen gilt, die europäische Bürger in ihren Datenbanken haben. Das gilt pauschal für jedes Land innerhalb der EU. Es ist ein Gesetz für 500 Millionen Menschen.

Nathan : Für Unternehmen mit Sitz in den USA oder anderswo auf der Welt, die Geschäfte mit Einzelpersonen in Europa tätigen, gilt dies für sie. Ist das richtig?

David : Das ist richtig. Und es gibt einige hohe Bußgelder, wenn Sie die Vorschriften nicht einhalten – bis zu 4 Prozent des Gesamtumsatzes eines Unternehmens. Wenn Sie zum Beispiel Google sind, was sind 4 Prozent von einer Billion Dollar?

Ihre Verantwortlichkeiten gemäß DSGVO

Nathan : Ein neues Gesetz gilt für die Art und Weise, wie ich mit Einzelpersonen Geschäfte mache. Was muss ich als Unternehmen tun, um konform zu sein?

David : Es ist wichtig, die Verantwortlichkeiten im Rahmen der DSGVO zu verstehen. Und in Europa gibt es zwei Geschmacksrichtungen. Sie haben den Verantwortlichen und den Auftragsverarbeiter der Daten. Sie sind beispielsweise Kunde von Act-On. Sie wären ein Verantwortlicher im Sinne der DSGVO-Roadmap. Und wir [Act-On] wären der Verarbeiter Ihrer Daten. Unsere Pflichten im Rahmen der DSGVO bestehen natürlich darin, A. das Gesetz einzuhalten. Aber auch B, bauen Sie unsere Produkte und Dienstleistungen auf, die es Ihnen ermöglichen, Ihren Verpflichtungen aus der DSGVO nachzukommen.

Es liegt nicht in unserer Verantwortung sicherzustellen, dass Sie konform sind. Aber es liegt in unserer Verantwortung zu zeigen, dass unsere Produkte es Ihnen ermöglichen , konform zu sein, was bedeutet, dass Dinge wie die Bereitstellung von Zustimmungsmechanismen, Zustimmungssicherung, doppeltes Opt-in, all diese Dinge, die wir in Bezug auf die Erlaubnis als selbstverständlich ansehen, unsere Produkte sein sollten bis zu dem Punkt, an dem sie das tun.

Die Verwendung einer Marketing-Automatisierungsplattform im Rahmen der DSGVO ist etwas, das Sie als Verantwortlicher Ihrer Daten und der Daten Ihrer Kunden nicht nur einhalten müssen, sondern auch verstehen müssen, wie Sie die Technologie dafür einsetzen. Nun, Menschenrechte, in Bezug auf Daten und persönliche Informationen und dergleichen, es gibt viel mehr Probleme, die unter GDPR auf den Tisch kommen, wenn Sie der Empfänger einer digitalen Beziehung des Kunden sind. Operativ gibt es eine Menge Dinge, über die Sie nachdenken müssen, um sich darauf vorzubereiten. Aber letztendlich, wo der Gummi auf die Straße trifft, wenn Sie einen Kunden haben, können Sie nicht nachweisen, wie er in Ihre Liste gelangt ist, oder Sie können nicht nachweisen, woher er kommt, oder Sie können nicht nachweisen, welcher Zustimmungsmechanismus das war verwendet, um mit dem Marketing an sie zu beginnen, dann würden Sie im Wesentlichen gegen die DSGVO verstoßen.

Operative Auswirkungen der DSGVO

Nathan : Was sind die betrieblichen Auswirkungen der DSGVO?

David : Gute Frage. Es gibt 10 Bereiche, die Sie aus Sicht Ihres Unternehmens berücksichtigen müssen, um sich auf die operative Seite der DSGVO vorzubereiten. Nummer eins ist die Datensicherheit und die Meldung von Sicherheitsverletzungen.

Wenn Sie also eine Datenschutzverletzung haben, müssen Sie die Datenschutzbehörde DPA – die Datenschutzbehörde – innerhalb eines 72-Stunden-Fensters informieren, nachdem diese Verletzung tatsächlich aufgetreten ist oder Sie sich dessen bewusst sind. Der obligatorische DPO oder Datenschutzbeauftragte wird im Rahmen der DSGVO eingeführt, d. h. wenn Sie ein Unternehmen einer bestimmten Größe sind, müssen Sie tatsächlich einen Mitarbeiter haben, der sich um Ihre Datenschutzbemühungen kümmert.

Die Einwilligung der betroffenen Person ist ein großes Thema – wie Sie die Einwilligung einer betroffenen Person einholen. Unter der DSGVO ist eine betroffene Person die tatsächliche Person und keine Anomalie. Grenzüberschreitende Datenübertragungen sind eine große Sache. Wenn Sie Daten in ganz Europa oder von Europa zurück in die USA oder wohin auch immer verschieben, sollten Sie darüber nachdenken. Aus Sicht der Angemessenheit wird der grenzüberschreitende Datenübertragungsmechanismus zwischen Europa und den USA im aktuellen Umfeld durch ein Programm namens Privacy Shield geregelt, und wir sind als Unternehmen Privacy Shield-zertifiziert. Aber es wird andere Entitäten geben, die mitspielen, um dabei zu helfen.

Profilerstellung und das Recht auf Ablehnung werden ein großes Problem sein, wenn es darum geht, wie Personen profiliert werden und wie sie das Recht haben, der Profilerstellung zu widersprechen; Das heißt, wenn ich weiß, dass Sie heute ein weißes Hemd tragen, werde ich Ihre Hemdpräferenzen profilieren und Ihnen vielleicht eine weiße Hose dazu schicken. Als Einzelperson stellt sich die Frage, wie Sie dies in Bezug auf die Möglichkeit schaffen können, dieses Profiling in Zukunft abzulehnen.

Ein weiterer großer Punkt ist das Recht auf Datenübertragbarkeit und das Recht auf Vergessenwerden. Unter der DSGVO besteht das Konzept darin, dass Sie als Einzelperson das Recht haben, Ihre Daten von Unternehmen A zu übernehmen und sie in einem akzeptablen maschinenlesbaren Format an Unternehmen B zu übertragen, und Sie haben auch das Recht, die Tatsache zu haben, die Sie jemals hatten eine digitale Beziehung zu dieser bestimmten Marke vergessen. Das ist also ein großes Problem in Bezug darauf, wie Unternehmen in der Lage sein werden, dies einzuhalten und diese Art von Strategien wirklich um diese Konzepte herum einzusetzen. Wir sind immer noch dabei, uns darum zu kümmern.

Der siebte Bereich betrifft die Pflichten und Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeitern. Was ist Ihre Verantwortung gemäß der DSGVO als Auftragsverarbeiter, der Act-On ist, und was sind Ihre Verantwortungen gemäß der DSGVO als Verantwortlicher, der der Kunde von Act-On ist. Und es sind zwei verschiedene Probleme in Bezug auf einige der Dinge, die damit auf den Teller kommen.

Ein weiteres Thema, über das Sie nachdenken sollten, ist die Pseudonymisierung personenbezogener Daten – wie ich Ihre Daten verwenden und ein größeres Profil auf der Grundlage anderer Entitäten von Drittanbietern erstellen kann, die sich in Ihre spezielle Roadmap einfügen könnten. Verhaltenskodizes, wie und warum man sich so verhalten muss. Und schließlich sind Bußgelder und Verfahren ein großes Thema; Sie könnten mit einer Geldstrafe von 4 Prozent des weltweiten Umsatzes Ihres Unternehmens belegt werden, wenn Sie die Vorschriften nicht einhalten.

Es gibt also viele Dinge aus operativer Sicht. Und ich garantiere Ihnen, wenn Sie eine Datenschutzperson haben, wenn Sie eine Compliance-Person haben und diese Leute nicht mit Ihren Technikern oder Ihren Ingenieuren sprechen, dann müssen Sie anfangen, darüber nachzudenken, diese Leute zusammenzubringen, denn das wird es Nehmen Sie ein Dorf, um diese Sache aus organisatorischer Sicht zu erledigen.

Rechte des Einzelnen gemäß der DSGVO

Nathan : Welche Rechte hat der Einzelne bei all dem?

David : Ja, das ist eine großartige Frage. Denn unter der DSGVO hat der Einzelne das Recht, informiert zu werden, darauf, dass ihm gesagt wird: ‚Ich habe Ihre Informationen von hier, und das werde ich damit tun, und das werde ich nicht tun damit.' Das Auskunftsrecht, damit Sie als Einzelperson uns erreichen und sagen können: „Hey, meine Informationen sind nicht richtig, sie sind falsch, sie sind ungenau, und ich möchte, dass Sie das ändern, basierend auf dem Profil, das Sie über mich haben .' Das Recht auf Rezertifizierung, was dasselbe bedeutet – Sie könnten tatsächlich Änderungen oder Anpassungen vornehmen, basierend auf dem, was Sie wissen. Das Recht auf Löschung: „Hey, Act-On, bitte löschen Sie alle diese Informationen über mich“ oder „Mr. und Frau Kunde, löschen Sie bitte alle diese Informationen über mich.' Und wie werden Sie das tun?

Sie haben das Recht, die Verarbeitung einzuschränken, d. h. „Hey, ich möchte E-Mails von Ihnen erhalten, aber ich möchte keine SMS erhalten“. Oder: „Ich möchte E-Mails erhalten, aber keine SMS“ … oder was auch immer der Fall sein mag. Und dann das Recht, die Datenübertragbarkeit einzuschränken, was bedeutet, dass ich meine Daten von Firma A nehme und sie zu Firma B verschiebe. Sie könnten theoretisch Kunden haben, die freitags um 17 Uhr gehen und dann montags zu einer anderen Firma gehen 8 Uhr morgens Und technisch gesehen sollten sie in dieser Umgebung betriebsbereit sein.

Und schließlich das Widerspruchsrecht: ‚Das ist richtig, das ist falsch, das ist gleichgültig.' Und das Recht, sich auf automatisierte Entscheidungsfindung und Profilerstellung zu beziehen, was bedeutet, dass Sie, da wir uns jetzt mit Dingen wie künstlicher Intelligenz im digitalen Kanal befinden, damit beginnen könnten, Profile über Personen und Themen zu erstellen, unabhängig davon, ob sie davon wissen oder nicht. Sie müssen sehr offen sein, wenn es darum geht, wie Sie diese Informationen offenlegen und wie Sie diese Profile erstellen.

Ich stelle mir vor, dass Unternehmen die Einwilligung überkompensieren werden. Sie denken darüber nach, wie Sie sich heute auf eine digitale Beziehung einlassen – Offenlegung, Zustimmung und all diese Dinge, die wir für etwas Selbstverständliches halten. Aber der Punkt ist, dass ich denke, dass Sie viele Profilseiten und Onboarding-Seiten sehen werden, auf denen Sie keine vorab angekreuzten Kästchen haben werden, aber Sie werden den Leuten erlauben, zu sagen: „Ich würde gerne wählen Sie dies aus oder heben Sie die Auswahl auf.' Vorab angekreuzte Kästchen in der DSGVO sind ein absolutes No-Go. Es ist völlig illegal.

Und was ich jetzt als Vermarkter tun würde, ist, in Ihren Vorbereitungsbemühungen, wenn dieses Ding im Mai nächsten Jahres live geht, wird es keine Nachfrist geben. Alle Daten, die Sie ab Mai 2018 in Ihrer Datei haben, müssen am Tag der Veröffentlichung konform sein. Sie sollten also jetzt darüber nachdenken, wie Sie entweder eine erneute Genehmigung erteilen oder an den Punkt gelangen, an dem Sie beginnen, verschiedene Dinge über die Personen offenzulegen, während Sie sich auf die Umsetzung der DSGVO vorbereiten. Also, erlauben Sie Ihre Listen erneut, holen Sie Ihre Zustimmung ein, fangen Sie an, über Offenlegungen zu sprechen, und so weiter. Und das ist es, was Sie heute annehmen sollten.

Mehr über die DSGVO erfahren

Nathan : Wir sprechen jetzt darüber, damit die Leute die Möglichkeit haben, mit der Einhaltung der Vorschriften zu beginnen oder diese Mechanismen einzuführen, um die Vorschriften einzuhalten, sowohl wir selbst als auch alle anderen. Gibt es eine Checkliste?

David : Vollständige Offenlegung, wir sind nicht in der Lage, Rechtsberatung oder Anleitung zu geben. Aber einige der Datenschutzbehörden innerhalb der EU sind lautstark und kommunikativer als andere. Und ein großartiges Beispiel für eine Datenschutzbehörde, die viele Informationen veröffentlicht hat, ist das ICO, das Information Commissioner's Office des Vereinigten Königreichs.

Wenn Sie auf ihre Website gehen, haben sie eine Menge Informationen darüber, woran Sie denken sollten, wie Sie sich vorbereiten und was Ihre Verpflichtungen im nächsten Jahr sein werden.

Nathan : Das ist also etwas, das das gesamte Team diskutieren muss, vom Marketing über die Compliance bis hin zu Recht und Technik, richtig?

David : Absolut. Weil es jeder anders interpretieren wird. Ich meine, die Dokumentation ist Hunderte von Seiten tief. Es ist extrem umständlich. Aber es ist wirklich ein vernünftiger Ansatz für eine digitale Beziehung. Und es geht jetzt nicht nur um den Einzelnen. Es geht auch darum, wie Sie mit Ihren Lieferanten Geschäfte machen und wie Sie sie für Dinge zur Rechenschaft ziehen. In gewisser Hinsicht ist es ein Rahmen für einen vernünftigen digitalen Ansatz, nicht nur für das Marketing, sondern auch für das Ablehnen bestimmter Dinge. Es ist definitiv etwas, worüber Sie jetzt nachdenken sollten. Und wenn nicht, dann sind Sie ein bisschen hinter dem 8-Ball.

Zusammenfassung

Act-On wird im Laufe des nächsten Jahres Webinare, Datenblätter und andere Inhalte zur DSGVO produzieren. Sie können David auch eine E-Mail senden, wenn Sie eine Frage haben: [email protected] .