Ist Ihre Kundenkommunikation gerüstet für die DSGVO?
Diese Frage stellen sich viele Unternehmen hinsichtlich der neuen Datenschutzgrundverordnung (EU-DSGVO), die ab 25. Mai 2018 Anwendung findet. Standard-Mailprogramme wie Outlook oder Notes, die für die persönliche Kommunikation entwickelt wurden, erwiesen sich schon in der Vergangenheit als wenig geeignet für die Kommunikation mit Sammelpostfächern (info@, service@).
IT- und Servicecenter-Leiter sollten jetzt die Anforderungen der DSGVO nutzen, um Ihre aktuelle Kommunikationslösung auf den Prüfstand zu stellen. Können die Anforderungen mit angemessenem Aufwand erfüllt werden oder ist es Zeit für einen Wechsel zu einer E-Mail Response Management Software (ERM)?
Als Hilfe stellen wir die für die Kundenkommunikation wichtigen Artikel der Verordnung vor:
Datenminimierung: Artikel 5 verlangt, dass die Datenhaltung dem Zweck angemessen und auf das notwendige Maß beschränkt bleibt. Konkret bedeutet das, dass Kommunikationssoftware in der Lage ist, elektronische Nachrichten frühestmöglich automatisch zu löschen (Aufbewahrungsfristen gemäß HGB, Privacy by Design). Benötigt die vorhandene E-Mail-Software kostenpflichtige Erweiterungen? Ist die Steuerung der Löschung nur in der Cloud möglich?
Transparente Information: Artikel 12 und 13 regeln die Informationspflichten gegenüber dem Betroffenen. Die Artikel verpflichten das Unternehmen, bei jedem Erstkontakt – also auch bei einer einfachen Informationsanfrage per E-Mail – umfassend zu informieren über Umfang und Dauer der Datennutzung, sowie die Betroffenenrechte. Kann die vorhandene Software dies automatisch? Kann sie unterscheiden zwischen Erst- und Folgekontakten?
Auskunftsrecht: Artikel 15 der DSGVO bestimmt das Recht des Betroffenen, Einsicht in alle ihn betreffenden Verarbeitungsprozesse und Daten zu erhalten. Klingt einfacher als es ist. Der Satz „Ich geh mal Kaffee kochen“ steht in vielen Unternehmen als Synonym für die Mailsuche im lokal installierten E-Mail-Client. Sind kostenpflichtige Add-ons oder Clouddienste nötig und fähig, die Performance der Suche im notwendigen Maß zu verbessern?
Recht auf Vergessen: Artikel 17 fordert, dass personenbezogene Informationen auf Verlangen des Betroffenen gelöscht werden. Können in der eingesetzten Softwarelösung selektiv Inhalte und Anhänge gelöscht werden, ohne dabei Metadaten zur Verarbeitungsstatistik (wer, wann, was, wie lange) zu verlieren?
Einschränkung der Verarbeitung: Nach Artikel 18 hat die von der Datenerhebung betroffene Person das Recht, Daten zu sperren, um eine Weiterbearbeitung, aber auch eine Löschung zu unterbinden. Das gilt auch für Kommunikationsdaten aus E-Mails. Da Standard-Mailprogramme eine entsprechende Funktion nicht bieten, ist zu prüfen, ob kostenpflichtige Erweiterungen dies ermöglichen.
Datensicherheit: Artikel 32 schließlich macht Vorgaben zur Sicherheit der Verarbeitung. Die Vertraulichkeit, Integrität und Verfügbarkeit von Kunden- und Interessentendaten ist dauerhaft sicherzustellen. Dies bedeutet, dass z.B. E-Mails von Betroffenen vorzugsweise verschlüsselt übertragen werden sollen. Bei besonders schützenswerten Inhalten wie Informationen zu Gesundheit, Religion, Geschlecht wird gar eine verschlüsselte Ablage empfohlen. Artikel 32 regelt auch, dass der Zugang ggf. streng reglementiert wird, z. B. über eine 2-Faktor-Authentifizierung. Und nicht zuletzt ist die Verfügbarkeit der Daten bei einem Zwischenfall rasch wieder herzustellen.
Als Fazit muss jedes Unternehmen schnellstens klären, ob es mit Plug-In-Lösungen die vorhandene Kommunikationssoftware ergänzen kann. Vielleicht ist es sinnvoller, gleich auf ein DSGVO-konformes Enterprise Response Management System zu wechseln.