DSGVO und GDPR – Wie wir die Zustimmung unserer Kunden abfragen und erhalten

View this page in English

Heute glaubt die halbe Welt, dass eine Horde halbseidener Abmahnanwälte über diejenigen Unternehmer, Vereine, Blogger und Website-Betreiber herfallen wird, die sich nicht ordentlich auf die DSGVO vorbereitet haben. Wir wollen einen konstruktiven Beitrag leisten und zeigen, wie wir mit der DSGVO umgehen und ihre Anforderungen erfüllen. Vielleicht interessiert sich ja jemand dafür und findet ein paar Ideen für sich und seine Organisation. Hauptsache, es wird professionell und ernsthaft mit dem Thema umgegangen. Angst hilft keinem.

Ach, was haben wir gelacht, gefrotzelt, gelästert, gestaunt und geschimpft. Endlich ist es da: Das Gesetz, das die größte Abmahnwelle in Deutschland begründen wird ... oder eben auch nicht.

Interessanterweise schien den meisten erst in den letzten 10 bis 14 Tagen aufzufallen, dass die neue Datenschutz-Grundverordnung der EU tatsächlich und wirklich in Kraft treten wird und man jetzt nicht mehr einfach ungefragt alle Schuhgrößen und andere "Längen" der Kunden und Interessenten speichern darf.

Frag mich, denn ich bin dein Kunde

Wenn ich die DSGVO zusammenfassen sollte, würde ich das so tun: Wenn der Kunde explizit zustimmt, kann (fast) alles gemacht werden. Ordentlich erklären, fragen und Zustimmung abwarten. Das ist es, was Unternehmen tun müssen. Die Reaktionen darauf von den Unternehmen, die mich als Kunden oder Nutzer kontaktieren, lassen mich teilweise glauben, dass es nicht nur amerikanische Unternehmer sind, denen bisher vollkommen egal ist, was Ihre Kunden möchten. Da wird nichts erfragt. Weder Zustimmung, noch Ablehnung.

Zeig her deine Lösung: Was wir gemacht haben

Und ja, auch wir haben bisher nicht an allen Stellen gefragt. Deshalb haben wir in den letzten Wochen und Monaten geschwitzt und jetzt eine Lösung gebaut, die ich gerne und auch mit ein bisschen Stolz auf unser Team vorstellen will. Ich hätte es gerne früher gemacht. Aber in guter Gesellschaft mit dem Rest der Republik haben wir die Sache gerade erst abgeschlossen. Es ist also davon auszugehen, dass noch Bugs zu fixen sind und Probleme auftreten werden. Wie immer mit Software eben.

Wir haben intern eine Chat-Gruppe. Dort sammeln wir seit Wochen alle E-Mails, die hier zu GDPR eintrudeln. Und das sind Hunderte. Eine Sache haben (fast) alle gemeinsam: Es sind alles reine Info-E-Mails. Das beste, was ich bisher gesehen habe, war eine Aufforderung, mein Mailchimp-Abo noch mal zu bestätigen. Die Vorlage haben wir selbst auch verwendet.

Dass die Grundanforderung einer expliziten Zustimmung so einhellig von allen ignoriert wird, ist für mich weiterhin sonderbar. Eine Abmahnwelle und den Weltuntergang erwarte ich trotzdem nicht. Aber so begründet sich vielleicht auch die Angst vor dem, was tatsächlich passieren wird.

Der beste Vorschlag von Silke war vorhin: "Am besten wir stellen den Geschäftsbetrieb ein." Das fasse ihrer Meinung nach die Stimmung einer Gruppe von Personalern am besten zusammen, die sich am Morgen zu einem Frühstück getroffen hatte. "Die Angst vor Abmahnungen von Bewerbern grassiert ..." Und auch daraus haben wir wieder ein paar Aufgaben für uns ableiten können. Ich will gar nicht wissen, wie viel Zeit andere Unternehmen sich genommen haben, um mit der DSGVO zurechtzukommen.

Keine Personalisierung, keine DSGVO

Eine wichtige Annahme, die wir getroffen haben: So lange wir keine personaliserbaren Infos vorliegen haben, die es uns tatsächlich erlauben, auf eine Person Rückschlüsse zu ziehen, zieht das neue Gesetz nicht. Darüber kann man trefflich streiten. Und das haben wir intern auch getan. Und ich bin mir darüber im Klaren, dass der Begriff "personalisierbar" sehr dehnbar ist. Die internen Diskussionen werde ich hier jetzt nicht ausbreiten. Auch wenn der Satz oben nicht vollständig trifft, so repräsentiert er doch mein Verständnis für diesen Artikel ausreichend. Wo und wie haben Sie den Geltungsbereich abgegrenzt?

Die Zustimmungsanfrage kommt aus unserem CRM-System

Sobald jemand personalisiert ist, greift unser DSGVO-Prozess. Tatsächlich ist die einfachste Form das Vorhandensein einer E-Mail-Adresse. Sobald jemand ein Formular ausfüllt, einen Chat mit uns führt, uns eine E-Mail schickt oder uns eine Visitenkarte gibt und wir seine Daten in unser CRM-System Highrise eintragen, kommt er oder sie automatisch in eine Liste. In dieser Liste wird dann eingestellt, welche Sprache die versendete Mail haben soll:

Sprache fürs GDPR-Portal wählen

Sprache fürs DSGVO-Portal wählen

Dieses Portal ist komplett intern (und deshalb auch so hässlich 🙂 ). Wir (also aktuell noch ich) gehen die Liste manuell durch und kategorisieren die E-Mail-Adressen. Das machen wir so lange, bis die Sache rund läuft. Wir haben ja noch 30 Tage lang Zeit für die Zustimmung unserer Kunden. Ich bin schon gespannt auf die ersten Rückmeldungen. Wenn Sie möchten, können Sie uns auch (im Chat unten rechts mit E-Mail-Adresse) ansprechen. Dann schicken wir Ihnen ebenfalls so eine E-Mail zu.

Im nächsten Schritt erhält der Kunde dann eine E-Mail (hoffentlich in seiner Sprache). Es ist auch eine Zwei-Sprachen-Variante vorgesehen. Hübsch und kundenfreundlich ist das nicht. Ich hoffe, dass wir die Sprache immer sauber gepflegt bekommen - hoffentlich künftig mit noch mehr Automatisierung und weniger manueller Arbeit.

So sieht unsere Mail mit der Bitte um Zustimmung zur Speicherung und Verarbeitung von Daten aus

Und dann geht die E-Mail an den Kunden raus. Die sieht aktuell so aus:

Vorschau der E-Mail an Kunden aus unserem DSGVO-Portal

Vorschau der E-Mail an Kunden aus unserem DSGVO-Portal

Das ist die Variante mit Deutsch und Englisch. Eigentlich sollte, wie gesagt, nur eine Version davon ankommen.

Es handelt sich um eine reine Text-E-Mail. Kein HTML, keine Formatierungen, kein Tracking. Ich hoffe, dass die gut in den elektronischen Briefkästen ankommen und ernstgenommen werden. Gerade heute habe ich Hunderte E-Mails erhalten: "Wir haben unsere Datenschutzerklärung aktualisiert." oder "Everything is so transparent now". Ich befürchte, unsere erste E-Mail wird gnadenlos im GDPR-Sumpf untergehen. Aber dafür gibt es ja die Erinnerungen. Davon haben wir vier Stück über den Zeitraum von 30 Tagen verteilt. Darüber hinaus gibt es eine Lösch-Bestätigung, wenn keine Antwort erfolgen sollte.

Wir nerven, bis wir eine Antwort bekommen

Ja, das ist auch eine Art Drohung für unsere Kunden. Denn wenn wir ihre Zustimmung nicht erhalten, müssen wir ihre Daten ja löschen. Man kann sich wohl noch auf betriebliche Erfordernisse berufen - noch so ein Graubereich des Gesetzes, bei dem keiner weiß, wie weit er ausgelegt werden kann. Wir werden bei Interessenten (die also noch keine Kunden sind) darauf bestehen, dass eine Zustimmung erfolgt. Das können wir auch, weil wir eh so viele Anfragen erhalten, dass wir manchmal nicht wissen, wer wirklich interessiert ist und wer eigentlich doch nicht. Durch diese Zustimmungen wird das für uns jetzt besser sichtbar.

Bei wichtigen Kunden denken wir sogar darüber nach, sie anzurufen und uns die Zustimmung so abzuholen. Aber das ist Zukunftsmusik.

Die Funktionen des DSGVO-Portals

Der Kunde kann aus der E-Mail heraus entweder sein Profil deaktivieren oder der Speicherung zustimmen. Im Portal selbst gibt es dann auch noch die Option, das Profil komplett zu löschen oder die Zustimmung abzustufen. Zum Beispiel kann man E-Mails zulassen, aber personalisiertes Tracking deaktivieren. Oder entscheiden ob und welche Daten von anderen eingesehen werden dürfen (z.B. im Extranet, wo unsere Kunden sich austauschen können).

Vorstellung des Kundenportals in einem englischen Video

Hier habe ich das Ganze in einem kurzen englischen Video vorgestellt:

Es gibt in dem Portal folgende Optionen:

Die Sprache wechseln: Es kann zwischen deutscher und englischer Sprache gewechselt werden.

Unsere Sprachwahl

Unsere Sprachwahl

Login für das Kundenportal erstellen: Jeder Kunde kann seine Daten sichern, indem er sich einen eigenen Login erstellt. Die Daten sind auch schon über die E-Mail und den Link gesichert. Aber ein richtiger Login ist natürlich noch besser.

Eigenen Login erstellen

Eigenen Login erstellen

Eigene Daten anpassen: Kunden können ihre Daten, die wir über sie gespeichert haben, über das Portal einsehen und bearbeiten. Auf der Seite kann auch eingestellt werden, welche dieser Daten für den Austausch (zum Beispiel unter Kunden in unserem Extranet) freigeben sein sollen.

Eigene Daten über das Portal einsehen und anpassen

Eigene Daten über das Portal einsehen und anpassen

Zustimmung abstufen oder komplett widerrufen: Die Zustimmung kann im Portal sowohl für die grundsätzliche Speicherung und Verarbeitung als auch für E-Mail-Newsletter, für Tracking und für den Extranet-Austausch erteilt oder widerrufen werden. Darüber hinaus kann das Profil deaktiviert oder gelöscht werden. Deaktivieren ist wie löschen, nur dass wir das Profil behalten, um zu erinnern, dass keine Kontaktierung erwünscht ist. Löschen heißt auch vergessen und das bedeutet, dass wir beim nächsten Mal gar nichts über den Kunden wissen.

Konfiguration der Zustimmung zur Datenverarbeitung

Konfiguration der Zustimmung zur Datenverarbeitung

Interessen angeben: Wir gehen davon aus, dass es auch zahlreiche Kontakte gibt, die tatsächlich möchten, dass wir mit ihnen in Kontakt treten und auch in Kontakt bleiben. Für diese gibt es die Möglichkeit, uns zu sagen, welche Themenbereiche für sie interessant sind.

Eigene Interessen und Präfenzen einstellen

Eigene Interessen und Präfenzen einstellen

Erzählen Sie uns, wie Sie selbst mit der DSGVO umgegangen sind, oder kontaktieren Sie uns, wenn Sie zu diesem Artikel und unserem Vorgehen Fragen haben. Wir haben dazu in unserem Antwortenportal schon eine Frage beantwortet und freuen uns über weitere von Ihnen.


Mehr über die Creative-Commons-Lizenz erfahren