Jedes neue Gesetz setzt auf dem Markt zunächst disruptive Veränderungsprozesse in Gang. Bei vielen Vorschriften und Verordnungen sind nur kleinere Änderungen vorgesehen. Andere Gesetzgebungen ziehen jedoch umfassende Anpassungen der Geschäftstätigkeit nach sich. Die Datenschutz-Grundverordnung (DSGVO), die vor einem Jahr in Kraft trat, ist so eine umwälzende Neuregelung.
Denn mit der Einführung der DSGVO werden Organisationen, die personenbezogene Daten erfassen und verarbeiten, zur Rechenschaft über ihren Datenschutz verpflichtet. Demzufolge ist die Tragweite der DSGVO für Unternehmen gewaltig. Die Prognose der Wirtschaftsprüfungsgesellschaft PwC, dass die Datenschutz-Grundverordnung sich auf jede einzelne Organisation stark auswirken wird, die personenbezogene Daten von EU-Bürgern innerhalb oder außerhalb Europas erfasst oder verarbeitet, bewahrheitete sich somit.
Mit Blick auf die DSGVO sahen sich Unternehmen und Organisationen nicht nur gezwungen, ihre Vorgehensweise bei der Verarbeitung von Daten vollständig zu überdenken. Sondern viel kritischer war auch die Tatsache, wie nun mit dem vorhandenen Datenbestand umgegangen werden soll.
Schließlich wurden von heute auf morgen zulässige und übliche Geschäftspraktiken wie das Kaufen und Verkaufen personenbezogener Daten gesetzeswidrig.
Die viel beschworene DSGVO-Apokalypse
Bereits im Vorfeld war abzusehen, dass Auswirkungen apokalyptischer Natur vorhergesagt werden würden.
So schrieb das US-Wirtschaftsmagazin Forbes“noopener noreferrer“>US-Wirtschaftsmagazin Forbes im April 2017, dass die Datenschutz-Grundverordnung weltweit ein Klima der Angst erzeuge. Im Artikel wird eine Umfrage zitiert, nach der fast 20 % aller Unternehmen überzeugt waren, dass ein Verstoß gegen die DSGVO den Ruin ihres Unternehmens zur Folge haben würde.
Die schwammigen Formulierungen in der DSGVO trugen im Übrigen wenig dazu bei, den Unternehmen ihre Sorgen zu nehmen. Insbesondere der Aspekt des „Anspruchs auf Schadenersatz“ einer betroffenen Person, die durch einen Verstoß der DSGVO einen „materiellen oder immateriellen Schaden“ erlitten hat, blieb unklar.
Mit potenziellen Geldbußen für Datenschutzverletzungen in Höhe von 4 % des Jahresumsatzes bzw. bis zu 20 Millionen Euro lagen die Nerven der Unternehmen bereits vor dem Stichtag der Umsetzung am 25. Mai 2018 regelrecht blank.
Die DSGVO zeigt Wirkung
Ein Jahr nach Einführung der Datenschutz-Grundverordnung steht fest, dass die DSGVO den weltweiten Geschäftsverkehr nicht zum Stillstand gebracht hat. Sie hat aber dennoch einen Wandel bewirkt.
Die große öffentliche Aufmerksamkeit hat das Thema Datenschutz bei EU-Bürgern stärker ins Bewusstsein gerückt und ihnen klar gemacht, dass ihre Daten ihnen selbst gehören und diese einen höheren Schutz bedürfen. Datenskandale wie die Nutzung personenbezogener Daten für den Wahlkampf um die US-Präsidentschaft durch die Analysefirma Cambridge Analytica und Facebook zeigen beispielsweise, wie sensibel EU-Bürger heute auf den Umgang ihrer Daten reagieren.
Als Folge dieses Skandals sehen Nutzer soziale Medien zunehmend kritischer und ziehen sich von ihnen zurück. Facebook machte folglich die DSGVO sowie das höhere Bewusstsein des Datenschutzes für den Verlust an aktiven Nutzern seiner Plattform und für den Rückgang von Werbeeinnahmen verantwortlich.
Seit sich Unternehmen aufgrund des obligatorischen Opt-in-Verfahrens die explizite Zustimmung von Empfängern für Kontaktaufnahmen einholen müssen, hat sich laut Forschungsunternehmen Forrester die Größe der Datenbanken von kleinen Unternehmen um 25 % bis 40 % reduziert.
Der Grund hierfür lag weniger daran, dass die Kunden Bedenken in Bezug auf das entsprechende Unternehmen zeigten, sondern eher an einer Opt-in-Müdigkeit. Regelrecht überschwemmt mit eindringlichen Bitten wie „Bleiben Sie mit uns in Kontakt“, „Wir werden Sie vermissen“ oder „Wir möchten Sie nicht verlieren“, verloren viele Kunden die Lust, ein Opt-in-Verfahren einzugehen.
Da der Wirkungsbereich der DSGVO von globaler Natur ist, verschiebt sich das Machtgefüge nun in Richtung Verbraucher. Jetzt haben Privatpersonen im Grunde das Sagen und können entscheiden, ob sie alte Beziehungen zu Unternehmen wieder aufleben lassen möchten.
Bereits heute würden zwei Drittel der Verbraucher nicht mehr bei einem Unternehmen einkaufen, das ihre Daten nicht hinreichend schützt-reward-those-that-put-data-protection-first“ target=“_blank“ rel=“noopener noreferrer“>nicht mehr bei einem Unternehmen einkaufen, das ihre Daten nicht hinreichend schützt. Und über 80 % der Verbraucher bestätigen, dass sie Familie und Freunde vor den Unternehmen warnen würden, die keinen ausreichenden Datenschutz bieten.
Die Auswirkungen der DSGVO auf kleine Unternehmen
Wie jedes andere KMU auch, musste sich Swiftpage mit der Datenschutz-Grundverordnung auseinandersetzen. Wir haben unsere geschäftlichen Aktivitäten als Marketingunternehmen vollkommen neu überdenken müssen.
Uns war von Anfang an klar, dass die DSGVO umgesetzt werden wird. Deshalb haben wir uns sehr früh dafür entschieden, dass eine Konformität auch Chancen bietet und keine Bedrohung darstellt. Der 6-monatige Fahrplan zur Umstellung auf die DSGVO startete mit der Analyse unserer Kunden, um mehr Informationen darüber zu erhalten, welche Kenntnisse sie bereits über die neue Gesetzgebung hatten.
Um die Anforderungen der DSGVO zu erfüllen, haben wir im Anschluss allen Kontakten in unserer Datenbank eine e-mail mit der Frage gesendet, ob ihr Datensatz weiterhin gespeichert bleiben soll. Dazu eröffnete uns diese Maßnahme auch die Möglichkeit, die Datenbank zu aktualisieren und alle Kontakte zu entfernen, die aus der Datenbank gelöscht werden wollten. Unsere Abonnenten und aktiven Kunden wurden außerdem gefragt, ob sie weiterhin Swiftpage Produkte nutzen möchten.
Nach Abschluss dieser Maßnahme schrumpfte die Anzahl der Kontaktdatensätze fast um die Hälfte. Auf den ersten Blick ein herber Schlag, aber im Grunde bedeutete dies eine abgespeckte Datenbank, deren Inhalt jetzt viel wertvoller ist: eine Liste mit den vielversprechendsten Interessenten!
Nebenbei bemerkt: Das Einholen der Zustimmung unserer Kunden hatte noch einen weiteren entscheidenden Nutzen. Wir sind auf diese Weise wieder mit vielen unserer Kunden in den Dialog getreten. Kommunikation ist ein wichtiges Werkzeug für den Aufbau von Vertrauen und Loyalität, dies gilt vor allen Dingen im digitalen Zeitalter.
Schulungsprogramm zur DSGVO für KMUs
Für kleine Unternehmen stellen die Maßnahmen zur Umsetzung der DSGVO eine echte Herausforderung dar, da sie häufig nicht über die Ressourcen wie große Organisationen verfügen.
Um unsere KMU-Kunden über die Datenschutz-Grundverordnung und deren Auswirkung auf ihr Unternehmen zu informieren, bieten wir seit einiger Zeit eine Art Schulungsprogramm für Content-Marketing an. Dazu gehören unter anderem Leitfäden und Whitepaper, die auf die neuen Rechtsvorschriften näher eingehen und diese in den entsprechenden Kontext setzen.
Im nächsten Schritt wurde eine E-Mail-Kampagne mit einem Link zur DSGVO-Landingpage als Follow-up gesendet, in der die Datenschutz-Grundverordnung vorgestellt wurde und Tipps enthielt, wie unsere Kunden die Anforderungen erfüllen können.
Nach und nach wurden weitere Begleitmaterialien erstellt und veröffentlicht, wie Nutzer mit unserer CRM- und Marketing-Automation-Software Act! Daten DSGVO-konform verarbeiten können.
Natürlich waren auch wir durch die DSGVO gezwungen, den eigenen Ansatz zur Selbstvermarktung zu analysieren. So mussten die Formulare zur Lead-Generierung auf unserer Website angepasst werden, damit Interessenten Ihre Einwilligung zur Nutzung ihrer Daten geben können. Dies führte zwar unweigerlich zu einer geringeren Konversionsrate, aber wir konnten diesen Nachteil gut abfangen.
Höheres Vertrauen dank erfüllter Kundenerwartungen
Für uns stellt die DSGVO-Compliance keine Liste mit Maßnahmen dar, die man einfach der Reihe nach abhakt. Datenschutz haben wir immer als eine Notwendigkeit betrachtet, der wir uns mit vollem Einsatz widmen. Uns sind die Daten und Wünsche unserer Kunden wichtig.
Damit richten wir alle Maßnahmen zum Datenschutz an den Wünschen unserer Kunden aus. So achten wir beispielsweise streng darauf, dass die Daten aus unseren Datenbanken tatsächlich gelöscht werden, sobald sich eine Person abmeldet. Bekanntlich werden Vertrauen und Loyalität in ein Unternehmen gestärkt, wenn Kundenerwartungen erfüllt werden.
Daher legen wir bei der Entwicklung unserer Produkte und Dienstleistungen großen Wert darauf, dass die laut DSGVO geforderte „Vertraulichkeit, Integrität und Verfügbarkeit“ bei der Verarbeitung von Daten in unsere Produkte integriert sind. Mit dem nächsten Produktrelease 2019 werden Act! Nutzer beispielsweise eine Authentifizierung über ihr Windows-Profil vornehmen können.
Die große Stunde des Inbound-Marketings
Das Inbound-Marketing sowie der Aufbau von Vertrauen und Loyalität werden in Zukunft eine größere Rolle spielen. Dazu sollten Unternehmen jeder Größe die Umsetzung der DSGVO-Richtlinien nicht als lästige Pflicht, sondern als Chance betrachten, das Geschäftswachstum voranzutreiben. Am meisten werden davon Unternehmen profitieren, die als vertrauenswürdige „Datenschutzwächter“ wahrgenommen werden. Das zeigen Studien, die belegen, dass nicht mehr bei einem Unternehmen einkaufen, das ihre Daten nicht hinreichend schützt-reward-those-that-put-data-protection-first“ target=“_blank“ rel=“noopener noreferrer“>Verbraucher sich eher den Unternehmen zuwenden, die ihre Daten schützen, und bei diesen Unternehmen häufiger einkaufen.
Ein weiteres Beispiel dafür, dass immer mehr Verbraucher die Kontrolle über ihre Daten zurückerlangen möchten, sind die etwa 500 Anrufe pro Woche beim Information Commissioner‘s Office (ICO) in Großbritannien. Wenn man dabei bedenkt, dass für die Bearbeitung jeder Beschwerde etwa acht bis neun Monate benötigt werden, werden einem die Auswirkungen der DSGVO deutlicher vor Augen geführt.
Bei regelmäßigen Verstößen gegen den Datenschutz wird dabei natürlich zunehmend hart durchgegriffen, wobei nach der ersten Verwarnung eine Geldstrafe folgt, die für Wiederholungstäter immer höher ausfällt.
Mit einem Bußgeld von 50 Millionen Euro ist Google der bisher größte Fall, den die französische Datenschutzbehörde CNIL wegen nicht konformer Werbung ohne gültiges Einverständnis des Nutzers, ihm personalisierte Anzeigen anzuzeigen, bestraft hat.
Mittlerweile ist die Einhaltung des DSGVO-konformen Datenschutzes für KMUs zum Alltag geworden. Trotz gut ausgebauter Systeme besteht weiterhin Bedarf, sich vor „Datenschutz-Beschwerden“ zu schützen.
Dieses Jahr soll nach Meinung einiger weniger das Jahr der „DSGVO-Kopfgeldjäger“ werden, die bei großen Organisationen versuchen könnten, Datenschutzprozesse zu verletzen, um dann Zahlungen zu erpressen. Diese Zahlungen liegen dann in der Regel deutlich unter der ICO-Geldbuße, die bei einer Bekanntmachung der Datenverletzung fällig werden würde.
Für kleine Unternehmen sind diese Abmahnversuche kein wirklicher Grund zur Beunruhigung, aber es ist bemerkenswert, welche Wendung die DSGVO-Geschichte genommen hat.