B2B Datenschutzbestimmungen und -vorschriften 2020

data protection rules regulations

Dieser Artikel, der ursprünglich als Blog von Cognism veröffentlicht wurde, ist der Leitfaden von Megan Bennett, Compliance Officer von Cognism, zu den wichtigsten Datenschutzvorschriften und -bestimmungen.

Auf dem Weg ins nächste Jahrzehnt folgen Länder auf der ganzen Welt dem Beispiel der EU und führen strengere Datenschutzgesetze ein, die bei Verstößen harte Strafen für die Unternehmen zur Folge haben. Wenn Sie im B2B-Bereich tätig sind, ist es wichtig zu wissen, wie Sie Ihre Daten handhaben müssen, was erlaubt ist und was nicht.

Aber keine Sorge! Mein Name ist Megan Bennett, Compliance Officer bei Cognism, und dies ist mein Leitfaden zu den neuesten Entwicklungen im Bereich B2B-Data-Compliance.

Aktuelle Data-Compliance Gesetze

Die DSGVO

Das bekannteste Gesetz zur Einhaltung von Datenschutzbestimmungen, insbesondere in Großbritannien, ist die Datenschutz-Grundverordnung (DSGVO oder General Data Protection Regulation, GDPR, auf Englisch). Sie gilt seit Mai 2018 in der gesamten EU und im EWR.

Die DSGVO wurde mit dem Ziel eingeführt, den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben und den Unternehmen vorzuschreiben, wie sie kundenbezogene Daten verarbeiten und schützen müssen.

Die Bestimmungen der DSGVO über die Verarbeitung personenbezogener Daten gelten auch für Unternehmen im B2B-Bereich. Sie können jedoch weiterhin Marketingaktivitäten wie Kaltakquise in der Form von Telefonanrufen oder E-Mails durchführen, solange ein "berechtigtes Interesse" nachgewiesen werden kann.

Die Bußgelder bei Verstößen gegen die DSGVO können gravierend sein. Die Höchststrafe beträgt bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes - je nachdem, welcher Betrag höher ist.

CASL

In einem anderen Teil der Welt, in Kanada, gilt die CASL, die Canadian Anti-Spam Legislation oder Kanadische Anti-Spam-Gesetzgebung. Die CASL betrifft das E-Mail-Marketing und gilt für alle E-Mails, die im Rahmen kommerzieller Aktivitäten an in Kanada ansässige Personen gesendet werden.

Die wichtigste Bestimmung der CASL besagt, dass die Unternehmen die Zustimmung des Empfängers benötigen, bevor sie eine E-Mail verschicken dürfen. Die stillschweigende Einwilligung kann für den Versand unaufgeforderter B2B-E-Mails angewendet werden, wenn die E-Mail-Adresse der Person öffentlich zugänglich ist (z.B. auf einer Firmen-Website) und nicht mit einer Erklärung einhergeht, die bestätigt, dass kein E-Mail-Marketing an die geschäftliche E-Mail-Adresse gewünscht wird.

Wenn die E-Mail-Adresse der Person nicht öffentlich zugänglich ist, müssen B2B-Unternehmen sicherstellen, dass sie nur Kunden oder Interessenten kontaktieren, die dem Erhalt von Marketing-E-Mails zugestimmt haben.

Eine weitere Bestimmung der CASL sieht vor, dass in sämtlichen Marketingnachrichten eine eindeutige Option zur Abmeldung von E-Mail-Kommunikation enthalten ist. Die Strafen bei einem Verstoß gegen die CASL können schwerwiegend sein und betragen bis maximal 1 Million kanadische Dollar für Einzelpersonen und 10 Millionen kanadische Dollar pro Verstoß.

CAN-SPAM

In den USA ist seit 2003 der CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing) in Kraft, eine Gesetzgebung zur Regelung kommerzieller E-Mails. Das CAN-SPAM Gesetz schreibt vor, dass Marketingverantwortliche beim Versand elektronischer Nachrichten keine falschen und irreführenden Inhalte verwenden dürfen. Zudem muss in jeder E-Mail eine Abmeldefunktion vorhanden sein, auf die innerhalb von zehn Tagen reagiert werden muss. Für B2B-Vermarkter gelten dieselben Regelungen.

Die Einhaltung des CAN-SPAM Gesetzes wird hauptsächlich von der FTC (Federal Trade Commission) durchgesetzt. Die FTC ist befugt, Strafen von bis zu 16.000 US-Dollar pro E-Mail zu verhängen, falls gegen die Bestimmungen des CAN-SPAM Gesetzes verstoßen wird.

Neue und zukünftige Gesetze zur Einhaltung von Datenschutzbestimmungen

Mit der DSGVO hat die EU einen Maßstab für die Einhaltung von Datenschutzbestimmungen gesetzt, dem nun auch andere Länder und Staaten folgen möchten.

Kalifornien

Am 1. Januar 2020 ist im US-Bundesstaat Kalifornien das Kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act, CCPA) in Kraft getreten. Die definitiven Bestimmungen wurden im August 2020 verabschiedet. Das CCPA gilt für alle gewinnorientierten Unternehmen, die in Kalifornien geschäftlich tätig sind und eine der folgenden Bestimmungen erfüllen:

  • Bruttoumsatz von mehr als 25 Millionen US Dollar.
  • Kauf, Empfang, Verkauf oder Weitergabe von persönlichen Daten von mehr als 50.000 Konsumenten, Haushalten oder Geräten pro Jahr für kommerzielle Zwecke.
  • 50% oder mehr des Jahresumsatzes wird aus dem Verkauf von persönlichen Daten von Konsumenten erzielt.

Das Gesetz gilt zudem für jedes Unternehmen, das entweder:

  • eine Unternehmensgruppe kontrolliert und von einer Unternehmensgruppe kontrolliert wird.
  • ein gemeinsames Branding mit einer Unternehmensgruppe teilt, z.B. einen gemeinsamen Namen, eine Dienstleistungsmarke oder ein Markenzeichen.

Darüber hinaus gelten Teile des CCPA speziell für Dienstleistungs- und Drittanbieter.

Das CCPA ist dem DSGVO insofern ähnlich, als dass es von den Unternehmen verlangt, alle personenbezogenen Daten, die über ihre Kunden erfasst werden, sowie die Herkunft dieser Daten auszuweisen. Sie müssen auf sämtlichen Unternehmensmitteilungen Abmeldelinks bereitstellen sowie personenbezogene Daten löschen, wenn es vom Kunden verlangt wird.

B2B-Marketingaktivitäten fallen unter das CCPA, wobei einige der Gesetze für B2B-Unternehmen erst im Jahr 2021 in Kraft treten. Die maximalen Bußgelder, die im Rahmen des CCPA verhängt werden, belaufen sich auf 7.500 US Doller pro Verstoß, sofern sich der Verstoß als vorsätzlich erweist.

Maine und Texas

Als Folge des CCPA erwägen andere Staaten, ihre eigenen Datenschutzgesetze einzuführen. In Maine regelt ein neues Gesetz die Verwendung von Kundendaten, einschließlich des Browsing-Verlaufs, durch Breitbandanbieter.

Gleichzeitig schreibt der Staat Texas in einem neuen Gesetz vor, dass Unternehmen die Bürger benachrichtigen müssen, wenn eine Sicherheitsverletzung vorliegt, die zum Diebstahl personenbezogener Daten führen könnte. Eine ähnliche Bestimmung findet sich in der DSGVO.

Brasilien

In Brasilien ist die LGPD im August 2020 in Kraft getreten (der brasilianische Senat hat einer Verlängerung bis Januar 2021 zugestimmt und Sanktionen, die sich aus dem Gesetz ableiten, können erst ab August 2021 verhängt werden). Das neue Gesetz reguliert Unternehmen, die Daten über brasilianische Staatsbürger besitzen, unabhängig davon, ob sie in Brasilien eine physische Präsenz haben oder nicht.

Wie die DSGVO regelt die LGPD, wie Unternehmen Daten über ihre Kunden aufbewahren dürfen. Dieses Gesetz gilt nicht für B2B-Aktivitäten, ist jedoch ein gutes Beispiel dafür, wie Länder ihre Datenschutzgesetze verschärfen. Die Tendenz geht überall in Richtung strengerer Vorschriften.

Weshalb sich Gesetze zur Einhaltung von Datenschutzbestimmungen weltweit durchsetzen

Die Einführung der DSGVO in ganz Europa im Jahr 2018 hat der Welt gezeigt, dass Rechtsvorschriften zum Schutz des Datenschutzes erlassen werden können. Sie hat strikte Vorschriften zum Schutz der Privatsphäre und des Datenschutzes zur neuen Norm gemacht und gleichzeitig optimale Vorgehensweisen in der Marketingkommunikation aufgezeigt.

Darüber hinaus werden die sämtliche Anstrengungen zur Reduzierung von irrelevanten Telefonanrufen oder E-Mails an Konsumenten als positive Entwicklung betrachtet. Es kommt daher nicht überraschend, dass auch andere Länder und Staaten zur Verschärfung ihrer Vorschriften inspiriert wurden.

Kalifornien nimmt in den USA eine Vorreiterrolle ein, auch wenn es derzeit danach aussieht, dass sich die Gesetze von Staat zu Staat unterscheiden werden. Das macht es für B2B-Unternehmen äußerst schwierig, den Überblick zu behalten. Sie werden zunehmend komplexere Compliance-Mechanismen einsetzen müssen, um den Überblick über all die neuen Gesetze zu behalten. In der Praxis werden sich die Unternehmen wahrscheinlich eher dafür entscheiden, sich an die strengsten Bestimmungen zu halten, anstatt sich an die Richtlinien jedes Staates anzupassen.

Welche Risiken drohen bei einem Gesetzesverstoß?

Die Datenschutzvorschriften sind von Land zu Land und von Staat zu Staat unterschiedlich. Ebenso wie die Strafen und Bußgelder für Verstöße gegen diese Gesetze.

Für B2B-Unternehmen ist es von entscheidender Bedeutung, dass sie sich über die Vorschriften, die für ihre Branchen und die Regionen ihrer Geschäftstätigkeit gelten, informieren und auf dem neuesten Stand halten. Wenn Sie dies nicht tun, drohen Ihnen empfindliche Strafen, wie zwei Unternehmen in Großbritannien auf kostspielige Weise erfahren haben.

Marriott International

Die britische Datanschutzaufsicht ICO (Information Commissioner's Office) hat angekündigt, den Hotelriesen Marriott International mit einer Geldstrafe in der Höhe von 99,2 Millionen Pfund für Verstöße gegen die DSGVO im Zusammenhang mit einer Datenschutzverletzung zu büßen. Bei diesem Verstoß, der im Jahr 2014 geschah, aber erst 2018 aufgedeckt wurde, wurden personenbezogene Daten von rund 7 Millionen britischen Bürgern kompromittiert.

Der Verstoß wurde zwar von einem anderen Unternehmen, Starwood, begangen, das Unternehmen wurde jedoch 2016 von Marriott übernommen. Das ICO entschied, dass Marriott bei der Übernahme von Starwood die Sorgfaltspflicht verletzte und nicht die nötigen Sicherheitsmaßnahmen getroffen hatte, um die Systeme zu sichern.

British Airways

Das ICO sieht eine noch höhere Geldbuße für British Airways vor: 183,39 Millionen Pfund. Diese Strafe steht im Zusammenhang mit einem Vorfall von Cyberkriminalität im September 2018. Dabei wurden Besucher der BA-Site auf eine betrügerische Mirror-Site geleitet, die von Kriminellen zur Erfassung personenbezogener Daten genutzt wurde. Das ICO entschied, dass BA nicht genug zum Schutz der Daten seiner Kunden unternommen hatte.

Diese erschreckenden Geldstrafen sollten Grund genug sein, um sich Gedanken über den Schutz von Kundendaten in Ihrem Unternehmen zu machen!

Pipedrive Updates October 2020
Vorheriger Artikel:
Frisch hereingekommen... Pipedrive-Updates Oktober 2020
Pipedrive Updates September 2020
Nächster Artikel:
Frisch hereingekommen... Pipedrive-Updates September 2020