DSGVO - verstärkte Kontrollen, Verstöße und Strafen
Ein verbindliches Datenschutzrecht für alle
Bereits am 24.Mai 2016 trat die neue europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Seit Ende Mai 2018 sind die darin aufgeführten Maßnahmen zum Datenschutz in den Mitgliedsstaaten verbindlich anzuwenden. Besonderes Ziel der Verordnung ist es die Verbraucherrechte zu stärken. Dies hat insbesondere für datenverarbeitende Stellen strengere Regulierungen zur Folge. Die Behörden ziehen die Überwachung der DSGVO nun an und beginnen 2 Jahre nach deren Einführung in 2016, die Einhaltung der Vorschriften aktiv zu prüfen. Sollte ein entsprechender Verstoß festgestellt werden, kann dies das betroffene Unternehmen bis zu mehrere Millionen Euro Bußgeld kosten.
Bemängelte Verstöße und deren Begründung
Aufgrund diverser Verstöße gegen die DSGVO wurden gegenüber dem Online-Schuhverkäufer Spartoo eine Geldbuße von 250.000 Euro verhängt. Bei der 2018 stattfindenden Prüfung des Unternehmens wurden mehrere Mängel im Umgang mit Kundendaten, Interessenten und Mitarbeitern aufgedeckt.
Hierbei sind vier elementare Fehlverhalten besonders ins Auge gefallen:
1.) Verletzung der Datensparsamkeit
Bei der Prüfung fiel auf, dass alle Telefonate, die die Mitarbeiter des Kundenservices entgegennahmen vollständig aufgezeichnet wurden. Dies geschah zwar auf Basis angeblicher Schulungszwecke, wurde aber als keineswegs gerechtfertigt bewertet, da die Verantwortlichen generell nur einen Mitschnitt pro Woche berücksichtigen. Aufgrund dessen, dass nur ein Call pro Woche validiert wird, ist somit die Aufzeichnung aller weiterer Calls als „smoking gun“ zu bewerten.
Tipp: Zukünftig sollte man diese Metrik in die interne Projektprüfung aufnehmen und als Maßstab für Datensparsamkeit berücksichtigen.
2.) Datensparsamkeit/-schutz mit Kopien von Zahlkarten missachtet
Im Rahmen der Betrugsbekämpfung bewahrte das Unternehmen Kopien der für eine Bestellung genutzten Zahlkarte sechs Monate unverschlüsselt auf. Aus Händlersicht nachvollziehbar, da nicht immer klar ist, ob der Vorgang fehlerfrei abgeschlossen ist. Achtung: Aber auch hier gilt die Verhältnismäßigkeit.
Tipp: Man sollte entlang der kaufmännischen Prozesse und deren Status entscheiden, ob die gespeicherten Daten nicht mehr benötigt werden und wenn dies der Falls ist, sollten diese entsprechend vollständig gelöscht werden.
3.) Nichteinhalten der eigenen Regeln zur Löschung von Kundeninformationen
Nachdem das Unternehmen vorerst keine Speicherfrist von Kundendaten hatte, wurde erstmals eine entsprechende Frist definiert. Jedoch wurden jene eigens bestimmten Vorgaben bei inaktiven Kunden nicht eingehalten.
Tipp: Man sollte die jährlichen Audits und Prozessprüfungen nicht nur auf dem Papier, sondern auch deren faktische Umsetzung prüfen.
4.) Speichern von Interessentendaten ohne Grund über die interne Prozessfrist hinweg
Informationen von Interessenten würden erheblich länger gespeichert als diese eigentlich genutzt wurden. Interessentendaten ohne ersichtlichen Grund über die interne Prozessfrist hinaus – da ist die Interpretation der DSGVO zur Nutzung bis zu 24 Monaten sportlich – zu speichern ist ein unnötiges Unterfangen. Die Daten sind in diesem Falle zwar gespeichert, liegen aber nur ab und bringen dem Unternehmen keinen Mehrwert.
Tipp: Weniger ist mehr! Entsorgen Sie sämtliche Daten, die kritisch sind oder die Sie nicht mehr brauchen. Nutzen Sie die zu Verfügung stehende Kraft und Kapazitäten zur Bearbeitung der aktiven Kunden und Interessenten.
Kunden tendieren dazu alles so umfassend wie möglich zu sammeln, frei nach dem Motto „könnte doch sein“. Dies war bzw. ist in 20 Jahren eCommerce Projekten in unserem Unternehmen, der SinkaCom AG, allerdings bisher nur genau zweimal sinnvoll und erforderlich gewesen.
To make a long Story short
Zusammengefasst – 4 Punkte, die Sie zukünftig bezüglich der DSGVO berücksichtigen sollten:
– Die Behörden ziehen in der Prüfung der DSGVO das Tempo an
– Die Datensparsamkeit ist ein elementarer Faktor, der nicht zu vernachlässigen ist
– Die echten DSGVO Prozesse ernsthaft und zielführend erarbeiten und aufsetzen
– Interne Audits, echte Prüfung und Dokumentation sind Pflicht!
Sofern Sie diese Punkte Ernst nehmen und beachten, sollten die primären Rahmbedingungen für die nächste DSGVO Prüfung geschaffen sein.