Ab 25. Mai 2018 ist es soweit: Die EU-Datenschutzgrundverordnung (DSGVO) tritt in Kraft. All jenen Verkäufern, die dann noch immer nichts mit der DSGVO zu tun haben wollen, drohen schwierige Zeiten, bis hin zu Rechtsstreitigkeiten. Denn das neue Gesetz regelt die Handhabung persönlicher Daten. Es betrifft aber nicht nur IT-Teams und Marketing-Spezialisten, sondern wirkt sich auch direkt auf die Arbeit der Vertriebskollegen aus. Schließlich arbeiten diese, egal ob B2B oder B2C, jeden Tag mit Kundendaten, Kontaktlisten und anderen Datensätzen. Der Geschäftsbereich Vertrieb fällt ebenfalls unter die DSGVO.

Den Termin einhalten

Jeden der 99 Artikel der Datenschutzgrundverordnung zu lesen und zu verstehen, beansprucht selbst gestandene Anwälte. Für Vertriebsteams ist dies kaum zu stemmen. Die Mitarbeiter müssen schließlich "ganz nebenbei" noch telefonieren, persönliche Verkaufsgespräche führen, Mails schreiben und Angebote verschicken.

Nichts desto trotz betrachten Behörden ab dem Stichtag 25. Mai 2018 Vertriebsmitarbeiter vor dem Gesetz als "Datenkontrolleure". Die Mitarbeiter sind damit für personenbezogene Daten in ihrem Besitz verantwortlich. Den Behörden ist es gleich, ob sich der jeweilige Vertriebsmitarbeiter nun auf die neue Gesetzeslage vorbereitet hat oder nicht. Strafen können bis zu 20 Millionen Euro betragen - eine Summe, die auch für große Unternehmen einen beträchtlichen Teil des Jahresumsatzes ausmachen kann.

Vertriebsspezifische DSGVO-Regeln, die beachtet werden müssen

Besonders wichtig sind die in Artikel 5 der Verordnung festgehaltenen Grundsätze für die Verarbeitung personenbezogener Daten.

Insbesondere müssen drei Schlüsselrichtlinien befolgt werden:

1. Es sollten nur Daten gesammelt werden, welche wirklich benötigt werden; und es sollte sichergestellt werden, dass es einen rechtmäßigen Grund gibt, diese zu verarbeiten.

Die DSGVO listet bestimmte Gründe auf, auf deren Grundlage Daten gesammelt werden dürfen, auch wenn sie nicht unmittelbar gebraucht werden. Aber: Daten zu speichern, da sie eventuell zu einem späteren Zeitpunkt von Nutzen sind, zählt nicht dazu und ist auch nicht legitim.

Für perspektivische Deals sollte daher ein Verkaufsprozess entwickelt werden, der auf so wenig personenbezogenen Daten wie möglich basiert. Ein Vorgehen, welches übrigens ohnehin ratsam ist. Schließlich verwendet man so weniger Zeit für administrative Tätigkeiten und hat im Gegenzug mehr Zeit für aktuell vielversprechende Leads.

Das Sammeln von Daten für Verträge mit Kunden oder für eigene legitime Interessen (nach DSGVO Erwägungsgrund 47 gehört Direktmarketing dazu) geht mit der Verordnung konform - jedoch nur, wenn man den Bedarf definiert und gegenüber der betroffenen Person erklärt. Ist dies nicht der Fall, muss erst die explizite Zustimmung des Gegenübers eingeholt werden.

Eine solche Einverständniserklärungen einzuholen, ist schwieriger als es auf den ersten Blick scheint: Denn die betroffene Person muss diese freiwillig, konkret, informiert und eindeutig abgeben. Die Zustimmung muss anhand einer bejahenden Handlung erfolgen; Kontrollkästchen und -häkchen sind nicht genug. Vom Vertriebsmitarbeiter muss die Erlaubnis anschließend verzeichnet werden. Er muss grundsätzlich dazu bereit sein, Daten der jeweiligen Person jederzeit zu löschen, falls diese ihr Einverständnis zurückzieht.

2. Transparenz bezüglich der eigenen Handlungen ist wichtig, auf Anfragen betroffener Personen sollte man sich vorbereiten

Der Schutz des Einzelnen ist einer der zentralen Aspekte der DSGVO. In Anbetracht dessen sollten Vertriebsmitarbeiter ihren Ansprechpartnern transparent kommunizieren, welche ihrer Daten sie aus welchen Gründen wie handhaben. Außerdem sollten sie ab dem ersten Geltungstag des Gesetzes auf Anträge von Personen vorbereitet sein, die Zugriff auf ihre Daten wünschen. Der Zugriff muss in diesem Fall gewährleistet werden. Außerdem müssen Vertriebsteams Dateien mit persönlichen Daten umgehend löschen, sobald die betreffende Person dies wünscht.

3. Daten müssen gesichert aufbewahrt und gelöscht werden, sobald diese nicht mehr benötigt werden

Ein weiterer Grundsatz der DSGVO: Ohne Sicherheit ist kein Datenschutz möglich. Daher verlangt die Datenschutzgrundverordnung, dass Unternehmen ausreichende Schutzmaßnahmen für alle personenbezogenen Daten ergreifen. Dies verpflichtet Unternehmen zu starken Passwörtern, Zugangskontrollen und branchenüblichen technischen Sicherheitsmaßnahmen.

Unternehmen brauchen zudem einen standardisierten Prozess, wann sie bestimmte Daten löschen. Dieses System wird beispielsweise durch vorab definierte Situationen ausgelöst. Ein solches automatisiertes Löschen von Daten trägt dazu bei, die Vorgaben des Gesetzgebers einzuhalten. Gleichzeitig reduziert es Unsicherheit und spart Zeit.

Wie die DSGVO drei wichtige Aspekte im Sales beeinflusst

1. Die Kaltakquise per Telefon

Stand jetzt verbietet die neue Verordnung keine Telefonakquise. Aber um der Rechenschaftspflicht nachzukommen, sollte man selbst Zeit und Dauer eines Anrufs festhalten. Vermerken sollte man auch, ob die angerufene Person gewillt ist, erneut kontaktiert zu werden.

2. Die Kaltakquise per Mail

Inwiefern Kaltakquise per Mail perspektivisch zulässig ist, ist noch nicht eindeutig zu sagen. Je nach Quelle variieren hierzu Auffassungen und Interpretationen.

Gemäß der Erwägungsgründe der DSGVO ist Direktmarketing zwar derzeit ein legitimer Grund, Daten zu sammeln. Genauere Regelungen zum Direktmarketing werden aber erst mit einer neuen Fassung der ePrivacy-Verordnung (welche etwa im März 2019 erwartet wird) verabschiedet. Bis dahin ist es sinnvoll, die Entwicklungen in diesem Bereich im Auge zu behalten. Darauf aufbauend sollten Unternehmen darauf achten, dass ihre Vertriebsteams in der Lage sind, die Verordnung einzuhalten, sobald Änderungen angekündigt werden.

Grundsätzlich ist bei der Kaltakquise per Mail Vorsicht geboten. Die legitimen Interessen der Daten sammelnden Unternehmen werden immer mit dem Recht des Gegenübers auf Datenschutz, beziehungsweise Privatsphäre, abgewogen. Sobald kein Grund genannt werden kann, warum der Adressat kontaktiert werden möchte, hat höchstwahrscheinlich dessen Recht auf Datenschutz Vorrang.

Die Konsequenz daraus: Gekaufte Kontaktlisten gehören zukünftig der Vergangenheit an. Eine Ausnahme hiervon sind Mailings an Kunden, deren Mailadressen ein Vertriebsmitarbeiter im Zuge eines früheren Verkaufs erhalten hat. Diese Personen darf er auch weiterhin anschreiben - zumindest solange sie ihr Einverständnis nicht zurückzuziehen. Aber auch hier gilt: Vertriebsmitarbeiter müssen in der Lage sein, zu beweisen, dass die verschickten Mails wirklich im Zusammenhang mit Produkten oder Features aus dem vorangegangenen Verkauf stehen.

3. Email-Tracking

Das Tracken von Mails hat sich zu einem wichtigen Hilfsmittel für viele Sales Teams entwickelt. Schließlich sammeln sie so wichtige Informationen darüber, wie sie sinnvoll mit einem Lead oder einem Kontakt verfahren.

Informationen darüber, wie eine kontaktierte Person mit den Informationen umgeht (etwa wie oft sie E-Mails öffnet und auf welche Links sie klickt), gelten in Zukunft auch als personenbezogene Daten - und fallen somit in den Zuständigkeitsbereich der DSGVO. Insbesondere der Artikel-29-Datenschutzgruppe, also der unabhängig beratenden EU-Expertenkommission in Datenschutzfragen, ist Email-Tracking ein Dorn im Auge. Sie hat dies bereits explizit als Problem bezeichnet. Dahinter steckt, dass dem Empfänger einer Mail nicht bewusst ist, dass sein Verhalten getrackt wird.

Letztlich widerspricht die mangelhafte Transparenz beim Tracking wesentlichen Zielen der Datenschutzgrundverordnung (unter anderem für mehr Transparenz zu sorgen). Und auch wenn dies viele Vertriebsmitarbeiter sowie ganze Sales Teams vor Probleme stellen wird: Die Artikel-29-Datenschutzgruppe setzt für das Tracken von Emails das explizite Einverständnis des Rezipienten voraus.

Unternehmen und Behörden diskutieren bereits, wie die Vorgaben in Sachen Email-Tracking überwacht sowie durchgesetzt werden sollen. Aufgrund der unübersichtlichen Lage kann noch nicht abschließend gesagt werden, wie man Strafen gänzlich umgehen kann. Ein erster Tipp: Unternehmen sollten mit dem Thema Tracking von Anfang an offen und ehrlich umgehen und sich im Voraus eine explizite Einverständniserklärungen für das E-Mail-Tracking einholen. Am besten noch vor Inkrafttreten der Verordnung am 25. Mai 2018. (mb)