Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen.
Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können.
Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Onlinebusiness und der Leadgenerierung. Denn die Europäische Datenschutz-Grundverordnung hat den Schutz personenbezogener Daten aus- geweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.
Zum einen wurden die Betroffenenrechte gestärkt: Personenbezogene Daten dürfen abseits von eng definierten Notwendigkeiten nur mit Einwilligung verarbeitet werden (Artikel 6). Gemäß Artikel 15 hat der Betroffene zudem ein Auskunftsrecht und darf erfragen, ob und zu welchem Zweck seine persönlichen Daten verarbeitet werden.

Das Recht auf Vergessenwerden (Artikel 17) legt fest, dass auf Wunsch personenbezogene Daten gelöscht werden müssen. Zudem beinhaltet die DSGVO das Recht auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung sowie auf Berichtigung.
Um die Durchsetzbarkeit zu gewährleisten, hat die EU die Sanktionsmöglichkeiten verschärft. Zuvor konnten Verstöße mit Bußgeldern bis zu 300.000 Euro belegt werden, mit der DSGVO sind nun deutlich höhere Strafen mit bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes möglich.
Der DSGVO wurde zunächst mit Skepsis begegnet, da unklar war, wie streng Behörden kontrollieren und wie stark Bürger ihre neuen Rechte einfordern würden.
Aufsichtsbehörden machen Ernst
Dass Bußgelder verhängt werden, zeigen Entwicklungen im November dieses Jahres: Die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) verhängte gegen Vodafone Italien eine Strafe von rund 12 Millionen Euro: Vodafone hatte bei aggressivem Telemarketing Anrufe ohne eine wirksame Einwilligung tätigen lassen und sich Daten zum Teil von Dritten beschafft. Vodafone muss nun Maßnahmen ergreifen, um Konformität nach der DSGVO zu erreichen. Dazu gehört auch ein Dokumentationssystem, das nachverfolgbar macht, ob die Verarbeitung personenbezogener Daten rechtskonform erfolgt.
Auch die französische Aufsichtsbehörde (CNIL) verhängte Strafen gegen die Carrefour S. A., das zweitgrößte Einzelhandelsunternehmen Europas. Zum einen wurde die Verarbeitung personenbezogener Daten über die Website nicht transparent genug dargestellt: Informationen zum Datenschutz des Treueprogramms waren für die User nur schwer zugänglich und kaum verständlich aufbereitet – damit wurde das Transparenzgebot verletzt.
Außerdem war das Löschkonzept mangelhaft. Zum anderen wurden die Daten von inaktiven Kunden im Treueprogramm jahrelang aufbewahrt, ebenso Userdaten der Site carrefour.fr.
Das Unternehmen hatte zudem Cookies gesetzt, ohne zuvor die Einwilligung der Nutzer einzuholen. Die Bußgelder gegen die Carrefour S. A. und die Carrefour Banque belaufen sich auf rund 2 Millionen beziehungsweise 800.000 Euro.
Nicht zwingend erforderliche notwendige Cookies erfordern eine Einwilligung
Zum Umgang mit Cookies gab es im Herbst 2019 ein wichtiges Urteil des EuGH: Wer nicht unbedingt erforderliche Cookies setzen will, muss die aktive Einwilligung des Users einholen.
Hier herrscht allerdings Unklarheit, wann ein Cookie zwingend erforderlich ist und damit auch ohne Einwilligung gesetzt werden darf und wann nicht. Bußgelder können im vollen Umfang verhängt werden. Viele Unternehmen haben als Reaktion auf das Urteil ihre Cookie-Benachrichtigungen umgestellt, doch längst nicht alle.
Eine Befragung kleiner und mittelständischer Unternehmen der Landesbeauftragten für Datenschutz in Niedersachsen ergab Mängel bei der Cookie-Information und bei der Einbindung von Drittdienstleistern. Der Nutzer wird zum Beispiel nicht objektiv über seine Optionen informiert, da ihn die grafische Gestaltung der Einwilligung mit Farben und Größenunterschieden oder Voreinstellungen in Richtung der Einwilligung anleiten.
Dabei handelt es sich um eine rechtliche Grauzone: Es ist nicht ganz klar, ob diese Arten des Einholens der Einwilligung am Ende gültig sind oder nicht.
Relevant ist das für alle Unternehmen, die online Leads generieren und Kunden gewinnen: Ein Lead umfasst eine Person, einen Kontaktweg sowie die Erlaubnis (Opt-in beziehungsweise Double Opt-in), die Person kontaktieren zu dürfen. Das fängt schon bei einer einfachen Newsletter-Anmeldung an, denn bereits die E-Mail-Adresse stellt einen personenbezogenen Datensatz dar.
Zusammenarbeit mit seriösen Partnern
Da der digitale Vertrieb für Unternehmen gerade in Krisenzeiten ein wichtiger Umsatzbringer ist, müssen sie den Umgang mit den Daten ihrer Interessenten und Kunden auf dem Schirm haben, die gesetzlichen Anforderungen sowie ihre Änderungen beachten und den Überblick behalten.
In der Regel werden Kundendaten von einem Drittanbieter gespeichert oder verarbeitet – hier sollten Unternehmen also Wert legen auf Seriosität und idealerweise Server, die in Deutschland stehen, da mit dem Privacy Shield das Datenschutzabkommen mit den USA gekippt wurde.
Wichtig ist, dass die Tools der Partner Interessenten- und Kundendaten rechtssicher verwalten und ein Höchstmaß an Transparenz durch eine umfangreiche Dokumentation sichergestellt ist: Alle Angaben sollten in einem System geführt werden und jede Aktion oder Änderung nachvollziehbar sein.
Der Erstkontakt des Users beziehungsweise Herkunft der Daten und Einwilligungen werden dokumentiert und rechtskonform ausgewertet, um bestehende Kontakterlaubnisse nicht zu verlieren. Darüber werden in der Folge durch Kampagnen und Aktionen Daten zu Kunden gesammelt und spezifische Produkte und Angebote unterbreitet. Der Interessent wird systematisch und von Aktion zu Aktion, von Kampagne zu Kampagne zum Kunden qualifiziert – immer unter Berücksichtigung des Datenschutzes.
Effizientes und rechtssicheres Leadmanagement mit dem richtigen Tool
Neben der Protokollierung stellen in einem guten System ein entsprechendes Rechtesystem und automatisierte Regeln sicher, dass die Anforderungen der DSGVO eingehalten werden: Daten sind dann zum Beispiel nur einsehbar, wenn der entsprechende Bedarfsfall vorliegt. Automatisierte Regeln überwachen Verfallsdaten und gewährleisten die Einhaltung von Löschfristen. Ein effizientes und rechtssicheres Leadmanagement bietet zum Beispiel das entsprechende Tool des Potsdamer Vertriebsspezialisten Intervista.
Was für Leads gilt, gilt natürlich erst recht für Kundenverträge, die online über digitale Antragsstrecken eingegangen sind – sie müssen rechtssicher sein, ihr Zustandekommen nachvollziehbar und dokumentiert sein.
Der Onlinevertrieb ist für Unternehmen ein wichtiges Standbein und ein Umsatzbringer, der immer wichtiger wird. Um DSGVO-konform zu arbeiten, benötigen sie deswegen vertrauenswürdige Partner für die Auftragsverarbeitung der Kundendaten mit dokumentierten, überwachten Prozessen und darauf abgestimmten Systemen.
Bilder: © (1) Ruslan Grumble – stock.adobe.com (2) INTERVISTA AG
Themen:
LESEN SIE AUCH
No-Gos bei beruflich genutzten Messengern
Beim Einsatz von Kommunikationslösungen lauern hinsichtlich Datensicherheit viele Fallstricke. Um unternehmenskritische Kommunikation nicht zu kompromittieren, muss der Datenschutz also bei der Wahl von Messengern im Businesskontext höchste Priorität haben. Was es bei der Messenger-Wahl zu prüfen gilt.
Versicherungs- und Finanzplattform: Rechtssichere Vertragsabschlüsse – volldigital und in Echtzeit
Die junge Kundengeneration stellt andere Anforderungen an Dienstleister als ihre Eltern: größere Flexibilität, individuellere Produkte und besseren Service. Mit einer eventbasierten Softwareplattform können Versicherer und Finanzdienstleister die technische Seite der Anforderungen umsetzen.
Im Visier der Hacker: Strategien gegen Cyberangriffe
Die Bedrohungen durch Cyberangriffe, Datenlecks und Datenschutzverletzungen sind allgegenwärtig und können schwerwiegende Folgen für Unternehmen sowie Kunden haben. Vor diesem Hintergrund gewinnt ein solides Konzept, das den Schutz aller sensiblen Daten gewährleistet eine immer größere Bedeutung.
Automatisierte Prüfungen versus DSGVO
Der Datenschutz verbietet nicht grundsätzlich Entscheidungen, die automatisiert zustande kommen. Unternehmen müssen aber ihren Transparenzpflichten nachkommen, so dass die Betroffenen in der Lage sind, die KI-Entscheidungen nachzuvollziehen.
Die vier beliebtesten Ausreden, den Datenschutz zu verschlafen
Die Prävention gegen Datenverluste braucht viel Sorgfalt und Know-how, wird aber häufig als überflüssig und lästig empfunden. Wer als Daten-Verantwortlicher sicher schlafen will, sollte sich aber nicht selbst täuschen. Die beliebtesten Ausreden gegen notwendige Schutzmaßnahmen.
Auskunftei Schufa gibt nach und verkürzt Dauer von Datenspeicherung: Einträge zu Privatinsolvenzen werden künftig nach sechs Monaten gelöscht
Die Auskunftei Schufa gibt dem Druck der Verbraucher und des Europäischen Gerichtshofs (EuGH) nach und verkürzt die Speicherdauer für Einträge zu abgeschlossenen Privatinsolvenzen von drei Jahren auf sechs Monate.
LVM: Eine Million Versicherte nutzen Kundenportal
Die LVM Versicherung hat mit ihrem Kundenportal „Meine LVM“ einen wichtigen Erfolg erreicht: Über eine Million Kundinnen und Kunden nutzen inzwischen die digitalen Services des Portals.

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025
Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.
Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher
Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.
Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?
Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.
Industrieversicherung: OPEN RISK DATA Association gegründet
Mit der Gründung des OPEN RISK DATA Association e.V. soll der digitale Austausch von Risikodaten in der Industrieversicherung revolutioniert werden.
Vier Trends für 2025: KI-Agenten und Hyper-Automation
Mindbreeze, ein führender Anbieter von KI-basierten Wissensmanagement-Lösungen, identifiziert vier Trends für das Jahr 2025 und skizziert die bedeutendsten Unternehmensbereiche, in denen künstliche Intelligenz die Transformation vorantreiben wird.