Null Bock auf GDPR. Bis es an der Tür klingelte...

Bei vielen Schweizer Unternehmen ist GPDR ein grosses Thema. Besonders bei den International tätigen Firmen beschäftig man sich - auch 5 Monate nach dem GDPR-Day - intensiv mit der Thematik. Neue Prozesse müssen definiert werden und die verwendete Technologie muss dementsprechend angepasst werden. Aber Achtung! Viele mittelständische Unternehmen in der Schweiz haben bisher wenig bis gar keinen Aufwand darin investiert, GDPR-konform zu werden.

Klar - wir befinden uns ja auch in der Schweiz und die geltende GDPR Verordnung ist für Schweizer Bürger nicht geltend. Doch für Ihre Kunden mit dem Sitz in einem Land der EU eben schon.

Wie sieht es nach rund 5 Monaten GDPR aus?

5 Monate nach Launch von GDPR hört man nun vermehrt von Kontrollen der Behörden in Firmen mit Sitz in der EU. Firmen, die sich nicht um die Umsetzung für GDPR bemüht haben. Firmen, die nun Penalties in Millionenhöhe erwarten. Insgesamt sollen laut ICO bereits über 40'000 Beschwerden eingegangen sein. 

Auf der anderen Seite zeigen die Nutzungszahlen der HubSpot GDPR-Funktionen, dass bereits viele Firmen im EU-Raum einige Massnahmen ergriffen haben, um ihre Marketing- & Sales-Aktivitäten der Datenschutz-Verordnung anzupassen. Insgesamt haben seit dem Juni 2018 bereits über 17'000 Firmen den HubSpot GDPR-Toggle angeschaltet. Rund zwei Drittel davon haben auch die Funktion aktiviert, dass nur Kontakte mit einem Consent mit E-Mails beliefert werden dürfen. 

Gehören Sie bereits zu diesen 17'000 Firmen oder planen Sie bald dazu zu gehören? Gut, dann können Sie meine zwei Gründe für ein GDPR-konformes Marketing- & Sales System überfliegen und direkt lesen, welche 7 Fragen Sie sich stellen sollten, wenn Sie noch mitten in der Umstellung zu einer GDPR-konformen Arbeitsweise auf HubSpot sind.

Wieso Sie auch in der Schweiz auf GDPR achten müssen

Haben Sie Ihre Geschäftsprozesse bereits auf GDPR ausgerichtet? Nein? Auch wenn Sie Ihren Sitz in der Schweiz haben, können Sie sich aus 2 Gründen NICHT zurücklehnen:

1. Ziemlich sicher verwalten Sie in Ihrem CRM oder auch auf einer Excel-Liste Kontakt-Daten eines EU-Bürgers.
   
2. Auch in der Schweiz wird das ePrivacy Law ausgearbeitet. Sie können davon ausgehen, dass viele Verordnungen aus der DSGVO dabei Einzug finden.

Ohne den Teufel an die Wand zu malen, möchte ich aus diesen beiden Gründen den Appell an Sie richten: Kümmern Sie sich jetzt um GDPR und Data Privacy in Ihrem Unternehmen. Bevor die Behörden bei Ihnen Fragen stellen. Denn wir wissen: GDPR-konform wird man gewiss nicht über Nacht. Da es viele Geschäftsbereiche gibt, welche durch die neue Datenschutz-Verordnung tangiert sind, ist auch die Umsetzung auf technischer Ebene relativ komplex.

Diese 7 Fragen sollten Sie sich stellen, wenn Sie Ihr HubSpot GDPR-konform machen wollen

Gerne möchte ich Sie mit dieser Checkliste unterstützen, damit Sie einen Überblick erhalten, an was Sie alles denken müssen. Je nach verwendeten Tools und Struktur, können natürlich auch weitere Punkte aufkommen, die folgende Checkliste gibt Ihnen aber einen Einblick in die generellen Technischen Fragen, welche Sie sich stellen sollten.

• Reicht mein bestehender Cookie Disclaimer aus?

  Um die Daten von Ihren Website Besuchern zu sammeln, sollten Sie sicherstellen, dass Sie in den Datenschutzbestimmungen definieren, für was alles Cookies gesammelt werden und Ihren Visitors einen Disclaimer anzeigen, bei dem Sie einwilligen oder ablehnen können. So können Sie sicherstellen, dass nur dann Daten gesammelt werden, wenn Ihr Website Besucher ein "Opt-In" macht.
  

• Habe ich für alle bestehende Kontakte in meinem CRM eine rechtliche Grundlage zum Speichern und Verarbeiten der Daten?

  Die grösste Herausforderung stellt sich Ihnen wohl bei der Überprüfung Ihrer bestehenden Kontakt-Datenbank. Denn auch wenn Sie bisher mit einem Double Opt-In (DOI) die Einwilligung eingeholt haben, gibt es wohl auch Kontakte, welche manuell importiert wurden. Bei solchen Kontakten wird es meist schwierig den Grund und eine Berechtigung für das Speichern der Daten nachzuweisen.
  

• Welche Kommunikations-Arten gibt es bei uns im Marketing & Sales? 

  Nebst der Berechtigung für das Speichern und Verarbeiten von persönlichen Daten, müssen Sie auch eine Berechtigung für die Kommunikation haben. Gemäss neuer Datenschutzverordnung müssen Ihre Kontakte einfach selbst entscheiden können, welche Arten von Kommunikation sie erhalten möchten. Diese Berechtigung wird bei HubSpot mit den Subscription Types abgeholt, welche die früheren Email-Types abgelöst haben, da es in Zukunft notwendig sein wird, Kommunikationsberechtigungen über das E-Mail hinaus einzuholen.
  

• Wie ordne ich die neuen Subscription Types meinen bestehenden Kontakten zu?
  

  Wenn Sie Ihre Subscription Types definiert haben, fängt die Arbeit erst an. Denn auch wenn Sie bei den neuen Kontakten die Subscription Types basierend auf deren Formular-Übermittlungen setzen können, müssen Sie die neuen Subscription Types auch Ihren bestehenden CRM Kontakten zuweisen. Wenn Sie bisher zu den Firmen gezählt haben, die mit DOI gearbeitet haben, können Sie etwas aufatmen. In dem Falle können Sie allen Kontakten, die das DOI bestätigt haben (und nicht später ein Opt-Out gemacht haben) die Subscription-Types basierend auf dem Umfang des DOI-Mailings setzen. Falls Sie keine grundlegende Einwilligung zur Kommunikation via DOI haben, müssen Sie wohl anhand deren bisherigen Verteilerliste die neuen Subscription Types zuordnen.
  

• Wie Frage ich die Berechtigungen bei der Conversion ab? 

  Herzstück der GDPR Funktionen von HubSpot sind die GDPR-Consent Felder, welche Sie in Ihre Formulare einbinden können. Dabei sollten Sie sich entscheiden, welche der 3 Optionen Sie in Zukunft für Ihre Conversion-Elemente auf der Website verwenden wollen:
  
  
  • Implizite Einwilligung für das Speichern der Daten und die Kommunikation via Form-Submit
  • Implizite Einwilligung für das Speichern der Daten via Form-Submit und explizite und Einwilligung zur Kommunikation via Checkbox
  • Explizite Einwilligung für das Speichern der Daten und die Kommunikation via Checkboxes

• Braucht es das Double Opt-In noch?

  Da neu die Einwilligung direkt bei der Form-Submission eingeholt wird, sollten Sie sich die Frage stellen, ob Sie weiterhin Ihr Double Opt-In benötigen oder ob Sie darauf verzichten wollen.
  Hier sollten Sie sich auch mit Ihrem DPO absprechen und erörtern bei welchen Touchpoints Sie welche Einwilligungen kriegen und ob diese ausreichen.

• Muss ich die Datenschutzerklärung anpassen?

  Wahrscheinlich haben Sie Ihre Datenschutzbestimmungen bereits überprüfen lassen. Hier ist es aber wichtig, dass Sie zum Beispiel auf Cookies und das Weiterleiten der Daten an 3. Parties informieren. Erstellen Sie also eine Liste mit allen Tools, Cookies, Tracking-Pixels oder Plugins welche Sie nutzen, um über andere Softwares oder Social Media Ihre Leads noch besser zu tracken. Denn all diese müssen in Ihre Datenschutzbestimmung. 
   

So starten Sie: An einem Round Table mit Ihrem DPO

Wie Sie bei den Punkten oben sehen, die technische Umsetzung an sich stellt schon etwas Arbeit dar. Schlussendlich dreht es sich aber um die rechtliche Absicherung. Und die kann Ihnen keine Inbound Agentur geben, sondern nur Ihr Datenschutzbeauftragter (DPO) oder Anwalt.

Um Ihre Marketing & Sales Aktivitäten gesetzestreu zu gestalten, müssen Sie darum in einem ersten Schritt Ihre Aktivitäten Ihrem Datenschutzbeauftragter erklären können. Setzen Sie sich mit Ihrem DPO an einen Tisch und zeigen Sie Ihm auf, welche Herausforderungen bestehen. Wenn ihr Data Protection Officer (DPO) nicht weiss, wie Sie mit Ihren Kontakt-Daten umgehen, so kann er Sie auch nicht richtig beraten. Aus diesem Grund haben wir bei unseren Kunden jeweils eine Übersicht erstellt, die aufzeigt wie HubSpot mit Daten umgeht, damit der DPO weiss, bei welchen Marketing- & Sales-Aktivitäten geltende Bestimmungen verletzt werden könnten.

Wichtige Element dieser Übersicht waren jeweils spezifischen Beispiele aus Sicht des Website-Besuchers. In dem wir dem DPO schildern, wie genau der Website-Besucher in Kontakt mit uns tritt und was sich dann Backend bei HubSpot abspielt, hat er auch das notwendige Basis-Wissen, um rechtlich fundierte Entscheide zu treffen.

Bei der Entscheidungsfindung und Diskussion, welche GDPR-Optionen von HubSpot wir nutzen sollten, liefert Ihnen HubSpot mit dem GDPR Playbook und den Default Texten für Cookie Disclaimer, Consent Fields in den Formularen, etc. eine wirklich grosse Unterstützung. Überzeugen Sie sich selbst und schauen Sie es sich noch heute an:

PS: Wollen Sie über die Neuerungen bei HubSpot und im Bereich GDPR auf dem Laufenden bleiben? Mit unseren Blog Updates verpassen Sie bestimmt keine wichtigen News und erhalten zudem auch noch spannende Tipps im Bereich Inbound Marketing & Sales, Digital Story Marketing und Customer Success. 

Klingt gut? Dann jetzt gleich die Blog Updates abonnieren: