Da die Datenschutz-Grundverordnung (GDPR) am 25. Mai 2018 in Kraft getreten ist, werden Sie vielleicht denken, dass die meisten Unternehmen ihre Compliance bereits sichergestellt oder es zumindest versucht haben.
Trotz der Tatsache, dass eine Nichteinhaltung der Vorschriften mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes eines Unternehmens aus dem Vorjahr, je nachdem, welcher Betrag höher ist, ziemlich teuer werden kann, beeilen sich viele Unternehmen nicht mit der Einhaltung. Die meisten Organisationen sind überfordert und warten erst einmal ab, um besser zu verstehen, wie sie vorgehen sollen, bevor sie in Änderungen investieren. Jedem ist klar, dass es so etwas wie 100 % Datenschutz nicht gibt. Bisher blieb das Paradoxon ungelöst: Die Kunden erwarten eine Hyperpersonalisierung und sind gleichzeitig bereit, jederzeit von ihrem Recht auf Privatsphäre Gebrauch zu machen.
Nach der Cisco-Datenschutz-Benchmark-Studie waren sich im Januar 2019 59 % der Teilnehmer sicher, dass sie die meisten GDPR-Anforderungen erfüllen, 29 % erwarteten, innerhalb eines Jahres GDPR-bereit zu sein, und 9 % gingen davon aus, dass es mehr als ein Jahr dauern würde, die Anforderungen zu erfüllen.
Eine neuere Umfrage von Capgemini, Championing Data Protection and Privacy, ergab, dass die meisten Unternehmen vor der Umsetzung der Verordnung zu optimistisch waren, was ihre Bereitschaft zur Einhaltung der DSGVO angeht. Nur 28 % der Unternehmen erreichten ein Jahr nach Inkrafttreten der DSGVO deren Einhaltung, während 30 % behaupteten, sie stünden kurz davor, die Einrichtung ihrer Compliance-Prozesse abzuschließen. Der Rest hat es nicht nur versäumt, sich auf die GDPR vorzubereiten, sondern hatte auch Schwierigkeiten, sich auf neuere Datenschutzgesetze wie das CCPA vorzubereiten.
Wenn es um die Finanzen geht, investieren die Organisationen, die ihr Bestes tun, um die bestehenden Vorschriften einzuhalten, vor allem in die Aufrüstung der Technologie:
Es ist keine Überraschung, dass die technologische Befähigung der größte Stolperstein auf dem Weg zur Einhaltung der Vorschriften ist. Für die meisten Unternehmen ist es nach wie vor außerordentlich schwierig, ihre Altsysteme bei der Entwicklung ihrer Cloud-Migrationsstrategien mit den geltenden und künftigen Datenschutzvorschriften in Einklang zu bringen.
Glücklicherweise gibt es Plattformen wie SAP Customer Experience (CX), die die GDPR-Compliance bereits integriert haben. In diesem Artikel erläutert unser Team von SAP-Beratern die wichtigsten GDPR-Anforderungen und die Art und Weise, wie SAP-Lösungen diese adressieren, um zu verstehen, wie Sie die Plattform nutzen können, um die GDPR-Konformität Ihres Unternehmens zu gewährleisten und einen Wettbewerbsvorteil zu erlangen.
GDPR-konforme SAP CX-Produkte
Im Jahr 2017 hat SAP die Identitätsmanagement-Plattform Gigya übernommen und sie in die SAP Customer Data Cloud (CDC) umgewandelt, die Teil des SAP CX-Ökosystems ist. SAP CDC umfasst Lösungen für das Kundenidentitäts- und -zugriffsmanagement (Customer Identity and Access Management, CIAM) sowohl für B2B- als auch für B2C-Unternehmen und unterstützt die Einhaltung der GDPR, indem es verschiedene Anwendungsfälle abdeckt.
SAP-Kundenidentität
Eine CIAM-Lösung, die zustimmungsbasierte Daten über mehrere Berührungspunkte hinweg sammelt, um Profile zu erstellen, Personalisierung zu bieten und das Onboarding von Benutzern zu optimieren.
SAP-Kundenzustimmung
Eine CDC-Lösung, die Einwilligungen auf eine für den Benutzer transparente Weise sammelt. Sie gibt den Benutzern auch die Möglichkeit, ihre persönlichen Daten einzusehen und zu verwalten.
SAP-Kundenprofil
Eine CDC-Lösung, die die über Customer Identity und Customer Consent erfassten Daten zusammen mit den entsprechenden Zustimmungsdatensätzen speichert und Kundenprofile erstellt, die in andere Lösungen integriert werden können.
Der weltweite monatliche Durchschnitt der von der SAP Customer Data Cloud erfassten neuen Einwilligungen und Präferenzen liegt bei 324 Millionen.
Zusätzlich gibt es vorgefertigte Integrationen für SAP Commerce Cloud und SAP Marketing Cloud (Integrationen für SAP Sales Cloud und SAP Service Cloud sind in Vorbereitung). Nutzt die Website sowohl die Commerce als auch die Marketing Cloud, können die Daten über die Customer Data Cloud zwischen ihnen kanalisiert werden, wodurch die Grundlage für Big-Data-E-Commerce-Lösungen geschaffen wird.
Diese Lösungen und Integrationen helfen dabei, personalisierte Erlebnisse während der gesamten Nutzerreise zu schaffen, basierend auf:
- Eine einheitliche Kundendatenbank
- Progressive Profilerstellung
- Automatisierte Erfassung von Einwilligungen und Präferenzen
- Selbstbedienungs-Einstellungsmanagement
- Orchestrierung von Daten und zugehörigen Einwilligungen pro Profil
Darüber hinaus bietet SAP CX einen rollenbasierten Zugriff auf personenbezogene Daten. Das bedeutet, dass nur autorisierte Mitarbeiter die persönlichen Daten der Benutzer einsehen und aktualisieren können, wobei alle ihre Aktivitäten erfasst und in Änderungsprotokollen aufgezeichnet werden.
Lassen Sie uns einen genaueren Blick auf die SAP-Datenschutzlösungen werfen, mit denen Sie standardmäßig alle GDPR-Kästchen abhaken können.
Klare und transparente Offenlegung
GDPR-Anforderung: Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person.
Was das bedeutet: Informationen über die Verarbeitung personenbezogener, vertraulicher Daten (PCD) sollten kurz, transparent, verständlich und leicht zugänglich sein. Die Sprache der Offenlegung muss klar und einfach sein, insbesondere bei Informationen, die sich an ein Kind richten.
SAP-Lösung: SAP Customer Consent
SAP Customer Consent erfasst und verarbeitet persönliche Daten von anonymen und registrierten Nutzern und verschafft ihnen Transparenz bei der Verwaltung ihrer persönlichen Daten, Präferenzen und Einwilligungen. Die Lösung verfügt über einen eingebauten Algorithmus, der sicherstellt, dass Benutzer, die sich auf der Website anmelden, ihre Zustimmung gegeben haben. Ist dies nicht der Fall, können die Benutzer ihre Anmeldung nicht abschließen und erhalten keinen Zugang zu den Dienstleistungen der Website.
Zustimmungsmanagement
Anonyme Nutzer können Zugang zu Daten gewähren, die später mit ihrer PCD verknüpft werden. Sie können ihre Zustimmung auch über Browser-Cookies verwalten. Entscheiden sie sich bei der nächsten Sitzung für eine Registrierung, können sie ihre Einwilligungseinstellungen in den Status des registrierten Kunden übertragen lassen.
Registrierte Kunden können ihre Einstellungen über die Seite für die Verwaltung von Einwilligungen aktualisieren. Außerdem können sie auf den Seiten Mein Konto/Zustimmungsmanagement alle ihre Zustimmungen einsehen, aktualisieren und zurückziehen. Ein SAP-CX-Administrator kann die Liste der für einen bestimmten Einstiegspunkt (z. B. eine Anmeldeseite oder eine Kontoregistrierung nach einer Bestellung) verfügbaren Einwilligungsvorlagen und die verschiedenen von bestimmten Benutzern erteilten Einwilligungen einsehen.
Ein Administrator kann die Erneuerung von Einwilligungen automatisieren, die durch Änderungen der Datenschutzrichtlinien ausgelöst werden. Diese Erneuerungsaktionen werden über alle integrierten Datenquellen hinweg synchronisiert, so dass eine Einverständniserklärung über verschiedene Kanäle und Regionen hinweg konsistent bleibt.
Es ist möglich, drei Arten von Einwilligungserklärungen innerhalb des Consent Management zu erstellen:
- Nutzungsbedingungen (die Benutzer müssen zustimmen)
- Datenschutzrichtlinie (muss von den Nutzern akzeptiert werden)
- Sonstige Einwilligungserklärungen (fakultativ für die Zustimmung der Nutzer)
Zustimmungsgewölbe
Der Consent Vault ist eine sichere und revisionssichere Speicherung von Protokollen der mit Zeitstempeln versehenen Interaktionen zwischen den Einstiegspunkten der Website und den Nutzern in Bezug auf ihre Zustimmungsaktivitäten.
Im Consent Vault ist es möglich:
- Die Historie aller Einwilligungsaktivitäten über einen bestimmten Zeitraum anzeigen und durchsuchen
- Filtern nach bestimmten Aktionen (z. B. erteilte, aktualisierte oder zurückgezogene Zustimmung)
Kommunikationspräferenzen
Mit dieser Funktion zur Kundeneinwilligung können Nutzer ihre Kommunikationspräferenzen über ein intuitives Self-Service-Portal verwalten. Sie können ihre Zustimmung zu verschiedenen Kommunikationskanälen geben, ihren Abonnementstatus einsehen, die Häufigkeit der Kommunikation bearbeiten und sich mit einem Klick abmelden.
Mit der Funktion "Kommunikationspräferenzen" können Sie Kommunikationszustimmungen nachverfolgen, Abonnement-Datenpunkte erstellen, Benutzer abrufen, die sich für bestimmte Kommunikationskanäle angemeldet haben, und die Daten von Benutzern löschen, die sich abgemeldet haben.
Datenzugang
GDPR-Anforderung: Recht auf Auskunft durch die betroffene Person.
Was bedeutet das: Die betroffene Person hat das Recht zu überprüfen, ob ihre PCD verarbeitet wird, und Zugang zu den Daten sowie zu folgenden Informationen zu erhalten:
- Der Zweck der Verarbeitung
- Kategorien der verarbeiteten PCD
- Datenaufbewahrungsfristen
- Vorhandensein einer automatisierten Entscheidungsfindung, wie z.B. Datenprofiling
SAP-Lösung: Personenbezogene Datenberichte; generisches Audit.
Personenbezogene Datenberichte
Die Datenberichtsfunktion in SAP CX ermöglicht es Kunden, Berichte über ihre persönlichen Daten und die damit verbundenen Transaktionen über einen beliebigen Kundensupportkanal anzufordern. Ein Service-Agent generiert einen PCD-Bericht und stellt ihn den Benutzern über die für sie am besten geeigneten Kanäle zur Verfügung (als Download-Link, als Anhang eines Support-Tickets, in einer E-Mail usw.).
- Ein Schnappschuss der aktuell gespeicherten PCD
- Ein Audit mit einer vollständigen Historie der Datensätze und ihrer Bearbeitungen
Allgemeine Prüfung
Die generische Audit-Funktion, die in der Commerce Cloud verfügbar ist, verfolgt alle Persistenzaktionen wie das Erstellen, Ändern und Löschen von Daten, geordnet nach Datentypen. Audits werden in Form von Änderungsprotokollen gespeichert, die zeigen, wie sich ein Element während der Customer Journey entwickelt hat, einschließlich seiner Erstellung, Änderung, Löschung und Bearbeitungsspezifikationen, wie z. B. Zeitpunkt der Bearbeitung und Unterschriften der Bearbeiter. Administratoren können Datenelemente auf der Ebene der Eigenschaften mit Granularität auf Typ-Ebene prüfen.
Das Recht auf Vergessenwerden
GDPR-Anforderung: Recht auf Löschung oder Recht auf Vergessenwerden.
Was das bedeutet:Die betroffene Person hat das Recht, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.
SAP-Lösung: Schließung von Kundenkonten; Data Retention Framework.
Kundenkontoauflösung
Mit Hilfe des Self-Service können Kunden ihre Konten schließen und ihre persönlichen Daten jederzeit löschen lassen. Wenn Nutzer ihr Recht auf Vergessenwerden in Anspruch nehmen, haben sie drei Möglichkeiten:
- Sie können ihre persönlichen Daten löschen (Adresse, Zahlungsinformationen, Bestell- und Warenkorbdaten usw.)
- Ihre persönlichen Daten aufzubewahren und die Unternehmen damit zu beauftragen, diese Daten für einen gesetzlich festgelegten Zeitraum aufzubewahren.
- Personenbezogene Daten-Auditprotokolle zu löschen (sobald ihre PCD vollständig gelöscht wurde).
Rahmen für die Vorratsdatenspeicherung
In diesem Rahmen können die Eigentümer von SAP-CX-Lösungen PCD auf der Grundlage gesetzlich konfigurierbarer Aufbewahrungsfristen, die in ihren Ländern gelten, aufbewahren oder löschen.
Data Retention Framework-Administratoren können Instanzen bestimmter Typen aufbewahren, bevor sie eine Bereinigung durchführen. Bereinigungen basieren auf konfigurierbaren Regeln, die drei Aspekte spezifizieren: Instanzen, an denen Administratoren interessiert sind, die zu verwendende Bereinigungslogik und die Ausführungszeit.
Admins können Regeln für die Aufbewahrung von PCD-Objekten konfigurieren mit Hilfe von:
- CronJob, eine Funktion zur Ausführung von Regeln im Hintergrund mit Hilfe von manuellen Zeitplänen oder automatisierten Aktionen.
- FlexibleSearch, eine Funktion zur Aufbewahrung eines Datenelements.
- Benutzerdefinierte Bereinigungslogik, um jedes Datenelement zu behandeln.
Die Checkliste zur Vorbereitung auf die GDPR
Auch wenn SAP GDPR-Lösungen das Leben von Unternehmen erheblich erleichtern, sind sie leider kein Allheilmittel, um Datenschutz und -sicherheit sowie Cybersicherheit im Unternehmen zu gewährleisten. Zunächst müssen Unternehmen die Bedeutung des Datenschutzes und der Datensicherheit in ihrer Organisation verankern, indem sie ihre Mitarbeiter schulen, dokumentierte Datenschutzrichtlinien entwickeln und entsprechende Arbeitsabläufe schaffen.
Wir haben eine kurze Checkliste zusammengestellt, die Ihnen helfen soll, Ihre Bereitschaft zur Einhaltung der GDPR zu bewerten und Risiken bei der Softwareentwicklung zu vermeiden. Achten Sie darauf, dass Sie jede Aussage abhaken.
- Sie haben eine rechtliche Grundlage für die Erhebung und Verarbeitung von PCD.
- Sie verfügen über eine formelle Richtlinie und Methodik für die Erhebung, Speicherung und Verwendung personenbezogener Daten innerhalb Ihrer Organisation.
- Sie bitten Nutzer, die Ihre Website nutzen wollen, um eine ausdrückliche Zustimmung zur Erfassung ihrer Daten.
- Sie haben einen Datenschutzhinweis, der für Ihre Nutzer zugänglich ist.
- Sie verfügen über eine Richtlinie zur Datenaufbewahrung und ein genau definiertes Verfahren zur Löschung und Archivierung personenbezogener Daten.
- Sie verschlüsseln die personenbezogenen Daten Ihrer Nutzer.
- Sie haben ein Verfahren für den Umgang mit Datenschutzverletzungen.
- Sie verfügen über Instrumente zur Bearbeitung von Anträgen auf Datenzugriff und Datenlöschung durch Nutzer.
- Sie bieten Ihren Nutzern eine Anleitung, wenn sie ihre Einstellungen ändern müssen.
- Sie haben alle PCD-Quellen abgebildet und synchronisieren alle PCD-Änderungen zwischen diesen Quellen.
- Wenn Sie Partnerschaften mit Dritten eingehen, die Zugriff auf Kundendaten haben, stellen Sie sicher, dass diese GDPR-konform sind.
- Sie zeichnen die Historie der PCD-Bearbeitungen auf und sammeln Einwilligungen und Präferenzen in einem zentralen Repository, das für behördliche Audits bereit ist.
Datenschutz wird zum Gebot
Es ist inzwischen klar, dass Transparenz und Schutz personenbezogener Daten keine auf bestimmte geografische Regionen beschränkte Modeerscheinung sind. Es handelt sich bereits um eine globale Bewegung. Die Datenschutz-Grundverordnung hat das Bewusstsein der Nutzer für den Wert ihrer privaten Daten und die Art und Weise, wie sie von Unternehmen gesammelt und verwendet werden, geschärft.
Gegenwärtig handelt es sich eher um eine Übergangsphase, in der die Unternehmen lernen, die Daten der Nutzer zu respektieren und zu schützen. Die Unternehmen, denen es gelungen ist, die Vorschriften einzuhalten und bei ihren Mitarbeitern eine datenschutzfreundliche Einstellung zu fördern, haben sich jedoch bereits einen Wettbewerbsvorteil verschafft. Sie gewinnen das Vertrauen der Nutzer, indem sie ihnen ein ansprechendes Erlebnis zu ihren eigenen Bedingungen bieten.
Wie SAP Customer Experience und seine GDPR-fähigen Lösungen zeigen, wird die Einhaltung der Vorschriften mit der richtigen Technologie einfacher. Ist sie erst einmal im Einklang mit den gesetzlichen Anforderungen eingerichtet, können Sie sich darauf verlassen, dass die für die Einhaltung der Vorschriften wichtigen Prozesse im Hintergrund ablaufen.
