Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Haus mit Wappen

Die EU-DSGVO ist längst gültig. Anders als manch‘ anderes Unternehmen war die Kern-Haus AG schon frühzeitig rechtskonform aufgestellt und meistert die DSGVO-Kür gerade auch hinsichtlich des Umgangs mit Vertriebsdaten.

Der erste Sturm hat sich gelegt: Der 25. Mai 2018 ist Geschichte und mit ihm der Tag der rechtsverbindlichen Gültigkeit der neuen EU-Datenschutzgrundverordnung (EU-DSGVO). Dabei zeigt ein Blick in die Praxis: Viele Unternehmen haben sich erst spät mit dem Thema auseinander gesetzt, manche arbeiten heute noch an der Umsetzung der erforderlichen Maßnahmen. Nur wenige starteten hingegen früh in den Prozess, die gesetzlich geforderten Datenschutzbestimmungen auf den Weg zu bringen.

Sichere Vertriebsdaten im Fokus

Für den deutschen, inhabergeführten Massivhausanbieter Kern-Haus mit Sitz im rheinland-pfälzischen Ransbach-Baumbach spielt der Vertrieb eine zentrale Rolle. Das bedeutet auch, dass die rechtmäßige Nutzung von personenbezogenen Daten für E-Mails und unterschiedliche Newsletter an Interessenten und Kunden eine wesentliche Grundlage für den Verkauf darstellt. Von Anfang an DSGVO-konform zu sein, war für die Kern-Haus AG folglich selbstverständlich.

Zunächst erfolgte in diesem Kontext die korrekte Identifizierung der datenschutzrechtlichen Verantwortlichen im Konzern. Diese beschäftigten sich schließlich schon früh mit der Aktualisierung aller Einwilligungen und Formulare, etwa für potentielle Bauherren, die über die Webseite z. B. den Firmen-Newsletter oder den aktuellen Katalog bestellen, einen Beratungstermin wünschen oder ein Grundstücksgesuch stellen können. Ähnliches gilt für Bewerber, die sich über ein entsprechendes Portal bewerben und sich auf den vertrauensvollen Umgang mit ihren Daten verlassen können. Nicht zuletzt wurde die technisch sichere Verwendung der Daten im Vertrieb abgesichert. Hierfür kommt eine Sophos-VPN-Verschlüsselung zum Einsatz, die auch einen Zugriff aus der IT-Abteilung heraus verhindern kann.

Darüber hinaus implementierte das Unternehmen Prozesse zur Umsetzung der Betroffenenrechte, insbesondere beim Auskunfts- und Löschbegehren sowie ein Meldeverfahren bei Datenpannen. Wichtig für den Außendienst war, dass auch künftig personenbezogene Vertriebsdaten auf privaten Endgeräten wie Smartphones oder Tablet-PCs verarbeitet werden dürfen. Mangels einer Überwachung dieser Geräte wurde das entsprechende Risiko durch die eigene Konzern-IT auf vertraglicher Basis gelöst. Hierfür führte das Unternehmen eine „Bring-Your-Own-Device(BYOD)“-Richtlinie ein und hob durch eine entsprechende Verpflichtungserklärung auch die Verantwortung der Vertriebsmannschaft hervor.

Installation eines Pannenteams

Einen besonderer Kraftakt erforderte schließlich alle Bereiche auf Konzernebene sowie die Partnerbetriebe in die neuen Prozesse einzubinden. Dies gelang vor allem durch eine frühzeitige Kommunikation an und mit den jeweiligen Konzernbereichen sowie dank Mitarbeiterschulungen in den Partnerbetrieben.

Um die teilweise kurzen Fristen von 72 Stunden – und zwar auch an Wochenenden – zukünftig erfüllen zu können, wurde zudem ein Datenpannen-Team eingeführt. Das ist nicht nur schnell und zeitnah erreichbar, im Zweifel ist es vor allem auch in der Lage darüber zu entscheiden, ob zusätzlich eine forensische Untersuchung erfolgen muss. Die 72-Stunden-Regel gilt z. B. für den unautorisierten Verlust von Kundendaten durch einen sog. Innentäter, bei einem erfolgreichen Hackerangriff von außen oder bei einer unautorisierten Weitergabe durch einen Dienstleister im Auftrag des Verantwortlichen, wie z. B. der nicht genehmigter Kundenlistenhandel. Nicht zuletzt werden Anfang 2019 im Rahmen der DSGVO-Initiative Mitarbeiterschulungen stattfinden mit dem Ziel, die gesamte Belegschaft für das Thema Datenschutz zu sensibilisieren und mit den neuen Prozessen und Verantwortlichkeiten im Konzern vertraut zu machen.

Datenschutz als Selbstverständlichkeit

Die DSGVO hat längst nicht jedem geschmeckt. Das Beispiel der Kern Haus AG zeigt, warum sie für viele Unternehmen sowohl Pflicht als auch Kür war. Mit einer vorausschauenden, tiefgründigen Auseinandersetzung mit allen hiermit in Verbindung stehenden Themen, war das Unternehmen bereits mit Inkrafttreten der Verordnung rechtsicher aufgestellt und garantiert heute Interessenten, Kunden, Bewerbern und Mitarbeitern gleichermaßen den rechtskonformen, verantwortungsvollen Umgang mit ihren vertraulichen Daten.

Definitionen 

Auskunfts- und Löschbegehren: Auskunftsrecht (Art. 15 DSGVO): Das Auskunftsrecht ermöglicht einer betroffenen Person, weitere Rechte (z.B. Berichtigung, Löschung) geltend zu machen.

Löschbegehren (Art 17 DSGVO): Das Recht einer einzelnen Person, dass ihre personenbezogenen Daten unter den Voraussetzungen des Art. 17 Abs. 1 a) -f) vom Verantwortlichen gelöscht werden müssen.

Betroffenenrechte: Die Betroffenenrechte (Art. 12 ff DSGVO) sind erweitert worden und beinhalten: Informationspflichten, Auskunftsrecht der betroffenen Person, Recht auf Löschung (Recht auf Vergessen werden), Recht auf Datenübertragbarkeit, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Berichtigung.

Meldepflicht bei Datenpannen: Bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) muss der Verantwortliche unverzüglich und binnen 72h der Aufsichtsbehörde die Datenpanne melden. Dies gilt, wenn es voraussichtlich zu einem Risiko für die Rechte und Freiheiten einer natürlichen Person kommt.

Anastasios Papadopoulos, Managing Director, expertplace compliance services GmbH

Laura Welling, Leiterin Marketing und Unternehmenskommunikation, Kern-Haus AG

DSGVO
Nov 23, 2018

Gemischte Bilanz nach sechs Monaten DSGVO

Ein halbes Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in allen…
DSGVO
Nov 07, 2018

Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue…
VPN
Mai 25, 2018

VPN Management System mit Performance-Optimierung

Mit dem NCP Secure Enterprise Management System können Unternehmen – egal welcher…
GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…