smoope zur DSGVO: “Die neuen Pflichten sind eine vertrauensbildende Maßnahme in Richtung des Kunden”

Es ist DAS Thema, an dem im Moment niemand, der zumindest gelegentlich im Internet unterwegs ist, vorbeikommt: Morgen tritt die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft und bringt umfangreiche Änderungen im Umgang mit personenbezogenen Daten mit sich. Unternehmen jeder Größe mussten in den letzten Wochen und Monaten ihre Prozesse gründlich hinterfragen, den Umgang ihrer Dienstleister mit Nutzerdaten überprüfen und ihre Kunden über deren neue Rechte aufklären. Vielfach sehen sich die betroffenen Unternehmen auch jetzt, kurz vor dem Ablauf der Umsetzungsfrist, mit zahlreichen Fragen und Unsicherheiten konfrontiert. Grund genug für uns, mit jemandem zu sprechen, der sich mit den neuen Datenschutzerfordernissen bestens auskennt: Unser Startup smoope. Der Messenger-Dienstleister für die interne und externe Unternehmenskommunikation erfüllt schon seit langem hohe Datenschutzstandards für den Einsatz in sensiblen Branchen wie Banken und Versicherungen. Daher können die smoope-Gründer und -Geschäftsführer Eleftherios Hatziioannou und Halil Mandal sowie CTO Jonas Brüstel aus ihrer eigenen sowie der Erfahrung ihrer Kunden wichtige Tipps und Erfahrungswerte weitergeben – u. a. dazu, wie Datenschutz im Unternehmen vom lästigen Übel zum Wettbewerbsvorteil werden kann.

Seedmatch: Die Europäische Datenschutzgrundverordnung (DSGVO) treibt derzeit europaweit alle Unternehmen um. Könnt ihr für unsere Leser noch einmal kurz zusammenfassen, was die wesentlichen Inhalte und Ziele der neuen Verordnung sind?

Eleftherios Hatziioannou: Die EU DSGVO ist das neue Datenschutzgesetz auf europäischer Ebene. Derartige EU-Verordnungen gelten noch vor den nationalen Gesetzen. Es handelt sich hierbei um den Versuch, eine einheitliche Datenschutzgrundlage für den gesamten europäischen Wirtschaftsraum zu schaffen. Bisher hatte jeder Mitgliedsstaat sein eigenes Gesetz mit teilweise unterschiedlichen Ausprägungen. Jetzt wurde das Ganze vereinheitlicht und gilt nicht nur für Unternehmen aus der EU, sondern auch für ausländische Unternehmen, die hierzulande tätig sind. Das heißt also, dass beispielsweise US-Unternehmen, die ihre Dienste hier zur Verfügung stellen, auch verpflichtet sind, die DSGVO einzuhalten. Ab dem 25. Mai 2018 gelten dann alle Regelungen der DSGVO vorrangig und müssen praktisch angewandt werden. Folgende Aspekte sind aus unserer Sicht besonders erwähnenswert:

  • Verbot mit Erlaubnisvorbehalt: Grundsätzlich gilt nach wie vor, dass jeder Nutzer/Kunde seine Zustimmung geben muss, damit die Daten verwendet werden dürfen (Opt-in-Prozesse).
  • Zweckbindung: Daten dürfen nur für den definierten Zweck genutzt werden und Kunden/Nutzer müssen darüber in Kenntnis gesetzt werden.
  • Datensparsamkeit und -sicherheit: Nur diejenigen Daten dürfen gesammelt und verarbeitet werden, die für die Bereitstellung von Produkten/Diensten gebraucht werden. Es muss zudem zwingend sichergestellt sein, dass diese ausreichend geschützt werden.

Insgesamt wurden durch die DSGVO die Rechte der Kunden/Nutzer erweitert und konkretisiert sowie die Pflichten datenverarbeitender Unternehmen verschärft. Nutzer/Kunden haben jetzt ein Recht auf Auskünfte, Berichtigung und Löschung gespeicherter Daten (Recht auf Vergessenwerden). Die erfassten personenbezogenen Daten müssen ihnen auf Anfrage innerhalb angemessener Zeit (ein Monat) und in geeigneter Form zur Verfügung gestellt werden. Das erfordert auf Seiten der Unternehmen die Umsetzung diverser Maßnahmen, damit die neuen Pflichten erfüllt werden können. Ihre Dokumentationspflichten haben sich erhöht und sie müssen für mehr Transparenz sorgen. Auch wenn es erstmal mit Aufwand verbunden ist, haben Unternehmen, die keinen Unfug betreiben, nichts zu befürchten.

Seedmatch: Ihr arbeitet als Anbieter für Messenger-basierte interne und externe Kommunikation mit einer Vielzahl an Unternehmen, gerade auch in sensiblen Branchen, zusammen. Wie schätzt ihr den bisherigen Vorbereitungsstand der Unternehmen auf die DSGVO ein?

Halil Mandal: Die Unternehmen, mit denen wir zusammenarbeiten, sind oftmals allein schon aufgrund ihrer Branchenzugehörigkeit angehalten, das Thema Datenschutz ernst zu nehmen – zum Beispiel Banken oder Versicherungen. Sie mussten sich schon vor der DSGVO an Branchenregeln bzw. Gesetze halten. Allein die Tatsache, dass sie speziell mit uns zusammenarbeiten, ist ein Indiz dafür, dass sie sich mit den Risiken auseinandergesetzt haben und diese gezielt minimieren möchten. Insbesondere die großen Unternehmen sind unserer Erfahrung nach gut vorbereitet. Der Vorbereitungsstand ist dort meistens fortgeschritten und der Handlungsbedarf schon länger bekannt. Bestehende Prozesse und Dokumentationen wurden angepasst bzw. erweitert. Anders sieht es bei kleineren und mittleren Unternehmen aus, in denen das Thema Datenschutz oftmals aktuell zum ersten Mal wirklich adressiert wird. Unser Eindruck ist, dass viele das Thema aussitzen wollten, deshalb sehr spät aktiv geworden sind und nun bei Null anfangen.

Jonas Brüstel: Langsam, aber sicher ist jedem klar geworden, welche Rolle Daten in einer zunehmend digitalisierten Welt spielen. Wie wir zuletzt erfahren mussten (z. B. durch den Facebook-Datenskandal um Cambridge Analytica), sind nicht immer alle Absichten gut und es kommt zu Missbräuchen. Deshalb ist ein rechtlicher Rahmen und etwas mehr Regulierung auf jeden Fall sinnvoll. Jeder Mensch hat ein Recht auf Datenschutz und sollte selbst entscheiden können, wem er welche Zugriffe einräumt. Die aktuelle Debatte ist insofern gut, weil sie für ein wichtiges Thema sensibilisiert und klare Spielregeln definiert werden, die für alle gleichermaßen gelten. Wer nichts zu verbergen hat, für den sind Transparenz und die neuen Pflichten kein Problem, sondern eine vertrauensbildende Maßnahme in Richtung des Kunden.

Seedmatch: Welches sind eurer Erfahrung nach die größten Herausforderungen, mit denen Unternehmen jetzt in ihrer externen Kundenkommunikation zu tun haben?

Eleftherios Hatziioannou: Bei vielen Unternehmen stand das Thema bisher schlichtweg nicht auf der Prioritätenliste. Entsprechend stehen sie jetzt unter Zugzwang, weil es Nachholbedarf gibt und alles unter Zeitdruck erledigt werden muss. Teilweise waren vorher noch nicht einmal die Verantwortlichkeiten klar geregelt oder es gab erst gar keine Ansprechpartner. Auch wurde in den zurückliegenden Jahren die Öffnung für die neuen Medien (Social Media) vor allem von den Marketingabteilungen und deren Agenturen getrieben. Diese sind eher von Trends geleitet und versuchen, diese schnell aufzugreifen. Sie agieren dabei oftmals bewusst in der Grauzone. Das führt in vielen Fällen dazu, dass grundsätzliche Hausaufgaben nicht erledigt wurden. Potentielle Reichweiten sind am Ende als Messgröße doch wichtiger als der Dialog mit dem Datenschutzbeauftragten/Juristen im Unternehmen zum Zwecke der Risikominimierung. Allerdings sind gerade die populären und weit verbreiteten Plattform mit größerem Risiko behaftet, da die zugrundeliegenden Geschäftsmodelle oft datenbasiert sind (vgl. Facebook) und Hacker dort fettere Beute machen können. Nun stehen viele Unternehmen vor dem Problem, dass sie jetzt zurückrudern müssen. Dabei stellen sie nicht selten mit Erschrecken fest, dass sie eine ziemlich große Angriffsfläche geschaffen haben, die unter Umständen durch das Inkrafttreten der DSGVO zu empfindlichen Strafen führen kann.

Seedmatch: Wie geht die smoope GmbH damit um? Habt auch ihr im Rahmen der DSGVO Änderungen an euren Messenger-Lösungen vornehmen müssen?

Halil Mandal: Für uns ist Datenschutz vor allem durch die Zusammenarbeit mit Kunden aus sensitiven Branchen schon lange im Fokus. Banken und Versicherungen sowie deren zuständige Fachbereiche haben hohe Anforderungen an ihre Technologiepartner. Ohne diese zu erfüllen, kämen wir erst gar nicht ins Geschäft. Wir verstehen das Ganze daher als Chance und tun deshalb einiges: Zum einen müssen wir als Arbeitgeber sicherstellen, dass unsere Mitarbeiter entsprechend geschult sind. Darüber hinaus versuchen wir, den Zugriff auf Daten auf ein Minimum zu beschränken. Es sind dafür klare Verantwortlichkeiten definiert. Müssen wir beispielsweise im Zuge einer Fehlerbehebung auf das Produktivsystem von Kunden mit deren Echtdaten zugreifen, dann erfolgt dies nur durch ausgewählte und entsprechend geschulte Mitarbeiter, mit denen weiterführende Geheimhaltungsvereinbarungen unterzeichnet wurden. Wir lassen uns darüber hinaus von einem externen Datenschutzbeauftragten genau auf die Finger schauen. Entsprechendes Vertragswerk schafft eine saubere Rechtsgrundlage und sorgt für Transparenz darüber, welche Daten zu welchem Zweck wo und wie im Auftrag unserer Kunden verarbeitet werden (Auftragsverarbeitungsvereinbarungen). Im Zuge der Zusammenarbeit mit unseren Kunden legen wir zudem unsere Sicherheitsdokumentation offen.

Jonas Brüstel: Auch die Technologie ist entsprechend aufgebaut und konfiguriert. Hier hilft uns der enge und regelmäßige Austausch mit den IT-Abteilungen unserer Kunden. Beispielsweise unterstützen wir sie durch passende Rollen- und Rechtesysteme, mit denen sie Zugriffe auf die bereitgestellten Systeme gezielt steuern können. Darüber hinaus verarbeiten wir die Daten ausschließlich in Rechenzentren in Deutschland, die höchste Sicherheitsstandards erfüllen und entsprechend zertifiziert sind. Sollte es in seltenen Fällen notwendig sein, können wir die Lösungen auch “on premise” ausliefern, wobei der Trend ganz klar – unter anderem aufgrund des Kosten-Nutzen-Verhältnisses – in Richtung flexiblere “Cloud”-Lösungen geht. Der Großteil unserer Kunden nutzt das von uns aus einer Hand bereitgestellte sichere und ganzheitliche System (MaaS: Messaging as a Service). Als erster Dienstleister in der Unternehmensgeschichte verarbeiten wir für eine Schweizer Krankenversicherung die Daten außerhalb des Landes. Ein weiterer Beweis, dass wir mit unseren Qualitätsstandards das Vertrauen unserer Kunden gewinnen. Natürlich müssen dafür auch spezielle Sicherheits- und Verschlüsselungstechnologien zum Einsatz kommen, die dem aktuellen Stand der Entwicklung entsprechen. Von Transportverschlüsselung über individuelle Schlüssel für Server-Zugriffe, verschlüsselte Ablage von Daten bis hin zu diversen Schutzmechanismen gegen unberechtigten Zugriff von außen. Das ist ein kontinuierlicher Prozess, an dem wir ständig arbeiten müssen und wollen.

Seedmatch: Auch andere Messenger wie WhatsApp, Facebook Messenger, Skype oder Slack waren bisher in vielen Unternehmen beliebt. Wie sind diese in Hinblick auf den Datenschutz zu bewerten? Können sie im Unternehmenskontext weiter eingesetzt werden?

Halil Mandal: Es gibt bei uns einen wesentlichen Unterschied zu datengetriebenen Plattformen (wie z. B. Facebook und deren Apps): Unser Geschäftsmodell ist nicht datenbasiert, sondern ein Software as a Service-Modell, bei dem wir für die Nutzung unserer Technologie und Infrastruktur bezahlt werden. Bei den anderen Anbietern sehen wir einen problematischen Interessenkonflikt: Um ihren Werbekunden zielgerichtete Werbemöglichkeiten (Targeting) zu bieten, müssen sie entweder direkt mit den Daten arbeiten oder im Hintergrund durch die Verknüpfung von Daten auf der Metaebene agieren. Die Mechanismen sind dabei eher undurchsichtig. Ein weiteres Problem ist die Vermischung von privaten und geschäftlichen Angelegenheiten, die für die meisten Unternehmen ein Dorn im Auge ist. Greife ich über das Diensthandy auf WhatsApp zu, übertrage ich automatisch auch alle Kontakte, ohne dass dafür eine ausdrückliche Zustimmung vorliegt. Die Daten verlassen dabei gleichzeitig das Land, ohne dass dies durch eine vertragliche Grundlage abgesichert wird. Schließlich agieren die oftmals reichweitenstarken Plattformen nach dem “Friss-oder-Stirb”-Prinzip. Sie schreiben Unternehmen vor, wie sie die Plattformen zu nutzen haben und bieten nicht genug Individualisierungsspielraum. Gerade Unternehmen haben jedoch sehr spezielle Anforderungen, die sich von denen privater Nutzer stark unterscheiden.

Seedmatch: Gibt es neben den Datenschutzproblemen und funktionalen Einschränkungen weitere Risiken, die Unternehmen beachten müssen?

Halil Mandal: Es stellt sich die Frage, wer in Zukunft die Kundenschnittstelle besetzt. Wer behält den direkten Zugang zu seinen Kunden? Es ist im Interesse der Unternehmen, sich diesbezüglich nicht allein von externen Plattformen abhängig zu machen. Aus Marketinggesichtspunkten ist es durchaus sinnvoll, über möglichst viele Kontaktpunkte/Touchpoints ansprechbar zu sein. Allerdings sollte das Ziel sein, dass tiefergehende Interaktionen und ausgetauschte Kunden- und Vertragsdaten in der “eigenen” Welt abgebildet werden, in der Unternehmen diese selbst steuern und kontrollieren können. Die eigenen Medien müssen den gestiegenen Erwartungen der Konsumenten Stand halten. Nur wenige wissen außerdem, dass WeChat, die populärste Messenger-App Chinas, mittlerweile eigene Versicherungsprodukte anbietet. Facebook wiederum besitzt eine europäische Bankenlizenz und hat begonnen, an eigener Blockchain-Technologie zu arbeiten. Wieso sollten andere Versicherungen oder Banken allen Ernstes ihre Kommunikation ausschließlich über deren datengetriebene Plattformen laufen lassen, die in Konkurrenz zu ihnen stehen? Vergessen wir dabei auch nicht, dass unter den Werbetreibenden auch andere Konkurrenten sind, die nun ihre Werbung gezielt an Nutzer richten können, die Kontakt zu anderen Unternehmen aus der gleichen Branche hatten. Zuletzt machte die französische Regierung Schlagzeilen, indem sie sich dazu entschieden hat, eine eigene Messenger-Lösung entwickeln zu lassen. Es gibt bestimmt gute Gründe dafür.

Seedmatch: Ihr werbt u. a. mit dem hohen Datenschutzstandard der smoope-Anwendungen, der es euch ermöglicht, als Dienstleister für Banken und Versicherungen tätig zu sein. Hand aufs Herz: Steigt eure Nachfrage aktuell ganz konkret aufgrund der neuen rechtlichen Rahmenbedingungen – gehört ihr also zu den Profiteuren der DSGVO?

Eleftherios Hatziioannou: Unser Umsatz entwickelt sich in der Tat erfreulich. Ende Q1 hatten wir bereits mehr als die Hälfte des letztjährigen Gesamtjahresumsatzes in den Büchern. Wir sehen uns auf jeden Fall mit einer höheren Nachfrage konfrontiert, weshalb sich auch die Folgequartale positiv entwickeln werden. Ich denke jedoch, dass dies nicht nur auf die DSGVO-Debatte zurückzuführen ist, sondern auch darauf, dass unsere Vertriebsaktivitäten Früchte tragen. So konnten wir zuletzt ein weiteres DAX-Unternehmen als Kunden gewinnen, worüber wir bald mehr verraten können. Eine weitere positive Entwicklung sind sicherlich auch die Vertragsverlängerungen mit unseren Bestandskunden. So konnten wir zuletzt unsere Zusammenarbeit mit der SV Sparkassenversicherung verlängern und ausbauen. Datenschutz ist hierfür ein Must-Have, allerdings nicht der einzige Grund für die erfolgreiche und dauerhafte Zusammenarbeit. Die durchschnittliche Bewertungen von Service-Interaktionen bei Referenzkunden liegt übrigens bei 4,5 von 5 möglichen Sternen. Unsere Lösung sorgt für begeisterte Kunden und Mitarbeiter, was sicherlich zwei besonders wichtige Argumente sind, oder?

Seedmatch: Was sind aus eurer Sicht die wichtigsten To Dos, die Unternehmen jetzt unmittelbar vor Inkrafttreten der DSGVO erledigt haben sollten?

Jonas Brüstel: Die wichtigsten Punkte aus meiner Sicht sind:

  • Verantwortlichkeiten klären und ggf. Datenschutzbeauftragten bestellen
  • Datenschutzerklärung/Nutzungsbedingungen prüfen und ggf. überarbeiten
  • Im Falle von Verarbeitung von Daten in von anderen Unternehmen bereitgestellten Tools Auftragsverarbeitungsvereinbarungen (AV) unterzeichnen lassen
  • Dokumentation der betroffenen Prozesse (z. B. Risikobewertung und Notfallplan für Meldungen von Verstößen innerhalb von 72 h, Löschung von Daten, Auskünfte etc.)
  • Bereitstellung notwendiger Informationen (Datenschutzerklärung) und Funktionen (z. B. Opt-in, Privacy by Design)
  • Bereinigung der Systeme von nicht benötigten Daten und ggf. Berichtigungen (Verteiler aktualisieren)
  • Umsetzung geeigneter Maßnahmen zum Schutz von Daten (Verschlüsselung, Rollen- und Rechtesysteme, Zugriffs- und Zutrittskontrollen etc.)
  • Regel-Prozesse definieren, die das Thema Datenschutz immer wieder auf die Agenda bringen und zu einem kontinuierlichen Prozess machen

Die folgenden zehn Fragen können dabei zur Orientierung dienen:

  1. Verarbeiten und speichern wir personenbezogene Daten?
  2. Zu welchem Zweck verarbeiten wir diese und brauchen wir diese Daten überhaupt für die Bereitstellung unserer Produkte/Services
  3. Welche Tools/Dienstleister kommen dabei zum Einsatz und gibt es Verträge mit ihnen?
  4. Informieren wir Nutzer/Kunden in angemessener und verständlicher Art und Weise darüber?
  5. Räumen wir unseren Kunden/Nutzern alle geforderten Möglichkeiten ein (Löschung)?
  6. Gibt es einen Verantwortlichen/Ansprechpartner in unserem Unternehmen/Team? (ggf. externer Datenschutzbeauftragter)
  7. Gehen wir sparsam mit Daten um und tun wir genug, um die Daten zu schützen?
  8. Können wir unseren Kunden/Nutzern in angemessener Zeit und Form Auskunft geben, welche Daten wir über sie/ihn sammeln/speichern?
  9. Kennen wir den Worst-Case und wie wir uns in so einem Fall verhalten müssen?
  10. Dokumentieren wir unsere Maßnahmen und Aktivitäten ausreichend?

Seedmatch: Vielen Dank für den DSGVO-Schnellkurs rechtzeitig vor Inkrafttreten der neuen Verordnung. Wir wünschen euch weiterhin ein erfolgreiches Funding bei Seedmatch!

Eleftherios Hatziioannou: Wir haben zu danken für die interessanten Fragen zu diesem brandaktuelle Thema. Wir freuen uns, dass wir nun auf die Zielgerade des Fundings einbiegen und sind gespannt, ob wir unser Gesamtziel erreichen oder sogar übertreffen werden.

 

 

Warnhinweis: Der Erwerb dieser Vermögensanlage ist mit erheblichen Risiken verbunden und kann zum vollständigen Verlust des eingesetzten Vermögens führen. Der in Aussicht gestellte Ertrag ist nicht gewährleistet und kann auch niedriger ausfallen.