Als CEO von iovox weiß ich, dass die neue Datenschutz-Grundverordnung ("DSGVO") bei einer Reihe von Branchen ein Schwerpunktbereich ist, der Sorgen bereitet und ein wenig Verwirrung stiftet. Zweifellos haben Sie davon gehört, und da durchFacebook der Datenschutz in letzter Zeit in den Nachrichten war, dachten wir, dass ein offen dargelegter Überblick über diese neue Regulierung für Sie eine Auffrischung sein könnte. Ich kann Ihnen versichern, dass iovox ein Verfechter des Datenschutzes war und immer sein wird, aber wir wollten erklären, wie iovox für die DSGVO gerüstet ist. Wir hoffen, Sie finden diesen Beitrag nützlich, wenn Sie die DSGVO und ihre weiteren Auswirkungen abwägen.
Bevor wir in die Akronym-Suppe des Datenschutzes eintauchen, halten wir es für wichtig, dass Sie unser Unternehmen, was wir tun und wie wir Einnahmen generieren verstehen.
Bei iovox verwenden wir Daten zu Telefonaten, um Kunden dabei zu helfen, über ihr Geschäft bessere Entscheidungen zu treffen oder um besser organisiert und produktiver zu sein. Wir verdienen Geld mit Dienstleistungen, die wir an Kunden verkaufen. Wichtig ist, dass wir niemals Kundendaten verkauft haben und dies auch niemals tun werden. Auch wenn Sie die kostenlose Version unseres Service nutzen, werden wir Ihre Daten niemals verkaufen oder für Marketingzwecke verwenden, um Sie der Werbung von Drittanbietern auszusetzen.
Wir empfehlen Ihnen, zu diesen Themen zwei aktuelle Blogbeiträge zu lesen - einen von mir und einen weiteren von unserem CTO Mark Carbonaro -, die sich mit Themen des Datenschutzes befassen und wie wir die Speicherung und Sicherheit angehen.
Wenn Sie ein Kunde von uns sind, haben wir stets die Ansicht vertreten, dass Ihre Daten auch wirklich Ihre Daten sind. Mit wem Sie diese teilen und wie Sie diese nutzen, liegt ganz bei Ihnen.
Lassen Sie uns nun über die neuen Datenschutzgesetze sprechen, die am 25. Mai 2018 in Kraft treten und darüber, was iovox getan hat, um deren Einhaltung zu gewährleisten. Die Vorschriften sind komplex und mit der Unsicherheit, die uns der Brexit bringt noch herausfordernder, jedoch verfügen wir über umfassende Kenntnisse, um den komplexen Vorschriften gerecht zu werden und unseren Kunden die DSGVO verständlich zu machen.
Kurz gesagt, die DSGVO stellt sicher, dass Ihre Daten Ihnen gehören. Alle Daten, die dazu dienen könnten, Sie als Person zu identifizieren, müssen von dem Unternehmen, das sie für Sie hält, sehr gewissenhaft identifiziert und verwaltet werden. Für uns stellt das kein Problem dar, da dies genau die Art ist, wie wir schon immer Geschäfte getätigt haben.
Hintergrund zur Datenschutz-Grundverordnung (DSGVO) Die DSGVO ist ein neues Gesetz, das Personen mit Sitz in der Europäischen Union ("EU") die Kontrolle über ihre personenbezogenen Daten geben soll. Obwohl das Gesetz seinen Ursprung in der EU hat, gehen die Auswirkungen über diese Grenzen hinaus und betreffen Unternehmen weltweit, da es sich darauf bezieht, wo und wie personenbezogene EU-Daten gespeichert werden. Die Verordnungen schaffen für Personen mit Sitz in der EU auch neue Rechte, was unter anderen den Umgang mit ihren Daten betrifft.
Was sind "personenbezogene Daten"? Wenn es noch nicht geschehen ist, werden Sie den Ausdruck "Personenbezogene Daten (PD)" jetzt öfter hören. PD ist die Grundlage der DSGVO und bedeutet "alle Informationen über eine identifizierte oder identifizierbare natürliche Person (betroffene Person); wobei eine identifizierbare natürliche Person eine Person ist, die direkt oder indirekt identifiziert werden kann." Kurz gesagt, PD sind alle Informationen, durch die Sie als Individuum identifiziert werden können.
In der Praxis gibt es eine Vielzahl von Datenelementen, die allein oder in Kombination zur Identitätsbestimmung einer Person herangezogen werden können. Dazu gehören unter anderem "direkte Identifizierungsmerkmale" und "indirekte Identifizierungsmerkmale" wie etwa Name, E-Mail-Adresse, Sozial Media Handle, Telefonnummer, Führerscheinnummer, Passnummer, Geburtsdatum, Geschlecht und so weiter. Diese Daten werden PD genannt und gemäß DSGD gehören sie Ihnen und jetzt haben Sie neue Rechte, die Sie vorher nicht hatten. Bevor wir uns mit diesen Rechten befassen, ist es wichtig, ein paar wichtigere Definitionen zu erklären und zu verstehen.
Datenverarbeiter und Datenkontrolleure Wenn Sie mehr über die DSGVO erfahren, werden Sie auch auf die oft erwähnten Begriffe Datenkontrolleur (oder Datenverantwortlicher) und Datenverarbeiter stoßen. Dies sind wichtige Begriffe und hier ist eine einfache Definition und eine Übersetzung dessen, was sie für iovox als Ihr Dienstleister im Umgang mit Ihnen bedeuten.
Ein Datenkontrolleur ist die Person oder Firma, die entscheidet, was mit den Daten geschieht. Er kontrolliert die Daten effektiv und gibt sie an einen Verarbeiter weiter, damit der sie für jeden Zweck verwendet, den der Datenkontrolleur vorsieht. Bei iovox ist die Person oder Firma ein Datenkontrolleur, die auf unserer Analytikplattform oder unserer mobilen Anwendung Aufrufe protokolliert. iovox ist nur zu den Zeiten ein Datenkontrolleur, zu denen wir unsere Dienstleistungen an Sie vermarkten.
Ein Datenverarbeiter ist der Empfänger der Daten, die vom Datenkontrolleur in seine Systeme eingegeben werden. Er tut das, was der Datenkontrolleur ihm aufgetragen hat. Wenn Sie über unsere Plattform telefonieren oder sich in unserer App zu einem gerade getätigten Anruf Notizen machen oder diese Notizen in das CRM-System Ihres Unternehmens einfügen, sind wir ein Datenverarbeiter Ihrer Informationen und handeln nach Ihren Anweisungen und zwar basierend auf den Diensten, für die Sie sich angemeldet haben.
Rechte und Pflichten im Rahmen der DSGVO Da wir nun unsere jeweiligen Rollen in Bezug auf die iovox-Dienste festgelegt haben (Sie sind der Kontrolleur, wir sind der Verarbeiter, es sei denn, wir vermarkten an Sie), lassen Sie uns über die neuen Rechte von Personen in der EU sprechen.
Gemäß der DSGVO haben Personen in der EU unter bestimmten Umständen das Recht, über ihre von einem Datenkontrolleur verarbeitenden PD informiert zu werden, auf sie zuzugreifen, sie zu berichtigen und zu ändern. Vereinfacht ausgedrückt ermächtigt das Auskunftsrecht jeden Einzelnen, den Datenkontrolleur zu fragen, welche Informationen dieser über die betreffende Person hat, warum er sie hat, wie lange er sie hat, was er damit zu tun gedenkt und ob er sie außerhalb der EU übermittelt.
Wenn Sie feststellen sollten, dass ein Unternehmen falsche Informationen über Sie hat, haben Sie das Recht, das Unternehmen zu kontaktieren und die notwendigen Korrekturen zu verlangen. Sie können auch eine digitale Kopie aller über Sie gespeicherten Daten anfordern, und die Unternehmen sind verpflichtet, dem innerhalb eines Monats nach Erhalt der Anfrage nachzukommen (siehe „Wie kann ich meine Daten von einem Unternehmen anfordern?“ unten). Die Portabilitätsrechte sind so gestaltet, dass Sie Ihre Daten von einem Kontrolleur an einen anderen übertragen können.
Das ist noch nicht alles. Letztendlich haben Sie das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen und sie zu beschränken, sowie ein Anrecht darauf, dass sie gelöscht werden ("Vergessen" werden). Dies bedeutet, dass Sie bestimmten Verwendungen Ihrer Daten widersprechen können (z.B. wenn ein Unternehmen im Rahmen seiner Geschäftsbedingungen Ihre Daten an Inserenten verkauft). Das Recht auf Löschung gibt Ihnen die Möglichkeit, ein Unternehmen aufzufordern, Ihre gesamten PD zu löschen, sofern es für den Datenkontrolleur keinen "zwingenden Grund" gibt, diese Daten für den ursprünglichen Zweck zu speichern oder zu verarbeiten.
Wie kann ich meine Daten von einem Unternehmen anfordern? Die DSGVO spricht von einem so genannten Subject Access Request ("SAR") (einer Zugriffsanforderung eines Staatsbürgers), einer förmlichen Mitteilung, die Sie in einem solchen Fall als Einzelperson bei einem Datenkontrolleur in die Wege wleiten würden. Sobald eine SAR eingereicht wurde, hat das Unternehmen 30 Tage Zeit, um auf den Antrag zu reagieren. Während die Anforderung dieser Berichte in der Regel kostenlos ist, können Unternehmen für unbegründete oder übertriebene Anfragen angemessene Gebühren erheben.
Was bedeuten DSGVO-Anforderungen für iovox? Im eingeschränkten Fall unserer Rolle als Datenkontrolleur bei der Vermarktung, verlangt die DSGVO von iovox unter anderem:
- transparent zu sein - wir müssen Ihnen erklären können, welche PD wir erfassen, warum wir sie erfassen, welchen Zweck wir damit verfolgen und, falls wir sie an andere weitergegeben, welche Gründe wir für diesen Austausch haben. Diese Punkte sind in unseren Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien gut festgelegt.
- klar und einfach zu sein - für uns ist es eine Verpflichtung, unsere Beschreibungen und Richtlinien leicht und verständlich zu machen, damit es wenig oder gar keine Verwirrung gibt.
- die Datenspeicherung zu erklären - Wir sind verpflichtet, Sie darüber zu informieren, wie lange wir beabsichtigen, Daten in unseren Systemen zu speichern. Dies ist auch in unseren Allgemeinen Geschäftsbedingungen geregelt.
- Zustimmung einfach zu gestalten - Wir müssen zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass Sie, wenn Sie uns Ihre Zustimmung erteilen (oder sich dafür entscheiden, uns aufgrund Ihrer Rechte die Einwilligung zu verweigern), dies einfach tun können.
Um es noch einmal zu betonen, haben wir uns bei iovox immer auf Ihre Rechte und die Sicherheit des Datenschutzes konzentriert. Da wir für Werbeeinnahmen auf Ihre Daten nicht angewiesen sind, macht uns das die Sache etwas leichter, weil wir keinen Grund haben, persönliche Daten zu sammeln oder zu verarbeiten, die über das hinausgehen, was für unsere Dienstleistungen an unseren Kunden benötigen. Somit ist unsere Nutzung Ihrer Daten im Sinne der DSGVO der "Verwendungszweck".
Wenn wir unsere Dienstleistungen an Sie vermarkten und Sie sich dafür entschieden haben, Informationen von uns zu erhalten, werden wir eine Aufzeichnung dieses Zusammenwirkens haben. In Übereinstimmung mit der DSGVO haben Sie die Möglichkeit, von jeder spezifischen Marketingaktivität ausgenommen zu werden, ähnlich wie wir heute in Übereinstimmung mit anderen E-Mail- und Telefon-basierten Marketingregeln in Amerika und anderswo Geschäfte tätigen.
Wenn Sie ein Kunde von uns sind, müssen wir auch die Möglichkeit haben, für Abrechnungszwecke und technischen Support Ihre Geschäftsdaten aufzubewahren. Nach den Bestimmungen der DSGVO würde das unter "Verwendungszweck" fallen.
Bei unseren Kerndienstleistungen gibt es zwei Bereiche, bei denen die PD eines Kunden eine Rolle spielen. Erstens, bei unserem traditionellen Inbound-Tracking-Service, wo wir die über unser Netzwerk generierten Telefondaten verwenden, um unseren Kunden dabei zu helfen, Entscheidungen hinsichtlich der Leistung ihres Unternehmens zu treffen. Zweitens, protokollieren wir für unsere kostenlosen Dienste, wie unsere mobile App, Telefonanrufe und alle Notizen oder Kommentare unserer Kunden in einem System, das es ermöglicht, diese Daten zu einem späteren Zeitpunkt abzurufen oder in ein CRM-System eines Drittanbieters zu integrieren.
Als Unternehmensgruppe erfüllen wir die Datenübertragungsanforderungen der DSGVO durch konzerninterne Datenübertragungsvereinbarungen zwischen unserer Muttergesellschaft und unseren Tochterunternehmen. Diese Vereinbarungen enthalten die von der EU genehmigten Musterklauseln für die Übermittlung von Daten außerhalb der EU.
Zur Erinnerung: Wir haben nie Kundendaten verkauft und werden dies auch nie tun.
Verfügt iovox über einen Datenschutzbeauftragten ("DPO")? Nach den neuen Regeln ist iovox nicht verpflichtet, einen DPO zu beschäftigen, jedoch haben wir mit unserem internen Team und Rechtsberatern die Anforderungen der DSGVO gründlich analysiert und ein eigenes internes Team eingerichtet, um sicherzustellen, dass wir den Normen der Datenschutzrichtlinien, die wir seit der Gründung unseres Unternehmens durch mich und Belinda im Jahr 2007 einhalten, auch weiterhin nachkommen werden.
Was kommt als nächstes? Wir hoffen, dass diese Übersicht für Sie nützlich war. Denjenigen unter Ihnen, die das Thema der DSGVO vertiefen möchten, empfehlen wir, dieses Quelldokument vom Information Commissioner's Office ("ICO") zu lesen.
–Ryan Gallagher, CEO / Gründer von iovox