Cognism | Blog

Der Cognism Guide für B2B-Daten und Datenschutz

Geschrieben von Cognism | 25.08.2023 07:39:10

Die Anforderungen zur Einhaltung der Compliance verändern sich laufend.

Im Jahr 2024 müssen B2B-Unternehmen weiterhin hohe Standards aufrechterhalten und die bestmöglichen Dienstleistungen für ihre Kunden anbieten.

Wenn Sie neu im Bereich Datenschutz sind oder Ihr Wissen dazu auffrischen möchten, sind Sie bei uns an der richtigen Stelle!

Lesen Sie in diesem Beitrag Tipps von unseren Rechts- und Compliance-Expertinnen bei Cognism!

Ein kurzer Überblick: Was ist B2B Compliance?

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) trat im Mai 2018 in der gesamten EU und dem EWR in Kraft.

Ziel der DSGVO ist es:

  1. Bürgern mehr Kontrolle über ihre personenbezogenen Daten zu geben.
  2. Festzulegen, wie Unternehmen die Daten, die sie über ihre Kunden speichern, verarbeiten und schützen müssen.

Die DSGVO-Regeln zur Verarbeitung personenbezogener Daten gelten auch für B2B-Unternehmen. Sie können jedoch weiterhin Marketingaktivitäten wie Kaltakquise-Anrufe durchführen, wenn sie eine rechtliche Grundlage (z. B. berechtigtes Interesse) haben und den geltenden Anforderungen entsprechen.

Die Strafen für Verstöße gegen die DSGVO sind schwerwiegend, wobei die Höchststrafe bei 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Jahres liegt - je nachdem, welcher Betrag höher ist.

CCPA und CPRA

Der California Consumer Privacy Act (CCPA) trat 2018 im US-Bundesstaat Kalifornien in Kraft. Er gilt für jedes gewinnorientierte Unternehmen, das in Kalifornien tätig ist und eine der folgenden Bedingungen erfüllt:

  • Hat einen Bruttoerlös von mehr als 25 Millionen US-Dollar.
  • Kauft, erhält, verkauft oder teilt jährlich die persönlichen Informationen von mehr als 50.000 Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken.
  • Erzielt 50 % oder mehr seiner jährlichen Einnahmen aus dem Verkauf persönlicher Informationen von Verbrauchern.

Das Gesetz gilt auch für jedes Unternehmen, das entweder:

  • Von einem betroffenen Unternehmen kontrolliert wird oder ein solches kontrolliert.
  • Gemeinsame Markenführung mit einem betroffenen Unternehmen hat, wie einen gemeinsamen Namen, Service-Markenzeichen oder Warenzeichen.
  • Darüber hinaus gelten Teile des CCPA speziell für Dienstleister und Dritte.

Der CCPA ähnelt der DSGVO dahingehend, dass Unternehmen alle personenbezogenen Informationen identifizieren müssen, die sie über ihre Kunden besitzen, und wie sie diese Informationen beschafft haben.

Er schreibt auch vor, dass Unternehmen:

  1. Unsubscribe-Links in der Unternehmenskommunikation bereitstellen und veröffentlichen müssen.
  2. Personenbezogene Daten löschen müssen, wenn der Kunde dies verlangt.

Die B2B-Marketing-Aktivität wird vom CCPA erfasst, obwohl B2B-Unternehmen Teile des Gesetzes erst ab 2021 einhalten müssen.

Die maximale Strafe gemäß CCPA beträgt 7.500 US-Dollar pro Verstoß, wenn der Verstoß als absichtlich festgestellt wird.

Der California Privacy Rights Act (CPRA) ist eine Wählerinitiative, die den CCPA ändert. Er enthält zusätzliche Datenschutzbestimmungen für Verbraucher und hat die California Privacy Protection Agency, eine staatliche Behörde mit Befugnissen zur Durchsetzung des Gesetzes, ins Leben gerufen.

Der CPRA trat am 1. Januar 2023 in Kraft.

Datenschutz in den USA

Derzeit gibt es kein bundesweites Datenschutzgesetz in den Vereinigten Staaten.

Dies könnte sich jedoch bald ändern, wenn die Bemühungen um einen größeren Datenschutz fortgesetzt werden.

Der American Data and Privacy Protection Act (ADPPA) könnte das erste bundesweite Datenschutzgesetz werden, das die individuellen Datenschutzrechte schützt.

Mehrere andere Bundesstaaten schließen sich Kalifornien an und erlassen ihre eigenen Datenschutzgesetze. Dazu gehören:

  • Der Colorado Privacy Act (CPA) trat am 1. Juli 2023 in Kraft. Dies gibt Einwohnern das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbung zu widersprechen.
  • Der Connecticut Data Privacy Act (CDPA) trat am 1. Juli 2023 in Kraft. Er gibt Verbrauchern Wahlmöglichkeiten in Bezug auf ihre personenbezogenen Daten, wenn sie von Unternehmen erfasst werden, die im Bundesstaat tätig sind.
  • Der Virginia Consumer Data Privacy Act (VCDPA) wurde am 1. Januar 2023 verabschiedet. Er betrifft Non-Government- und Regierungsorganisationen, die personenbezogene Daten kontrollieren und verarbeiten.
  • Der Utah Consumer Privacy Act (UCPA) tritt am 31. Dezember 2023 in Kraft. Dieses Gesetz ist geschäftsfreundlicher und betrifft nur Unternehmen mit einem Jahresumsatz von mindestens 25 Millionen US-Dollar.

Derzeit gibt es 19 weitere Bundesstaaten, die Gesetzesentwürfe mit unterschiedlichem Datenschutz bieten, die sich in verschiedenen Entwicklungsstadien befinden. Dies deutet darauf hin, dass Datenschutz und Konformität in den USA in den kommenden Jahren weiterhin wachsende und sich entwickelnde Themen sein werden.

LGPD

Zusätzlich zu den EU- und USA-Richtlinien zum Datenschutz hat Brasilien sein eigenes Lei Geral de Proteção de Dados (LGPD) (Allgemeines Datenschutzgesetz) eingeführt.

Ähnlich wie die DSGVO und der CCPA beschränkt das LGPD die Verwendung, Verarbeitung, Erfassung und Speicherung personenbezogener Daten. Es gilt für physisch und elektronisch erfasste Daten in allen Branchen der brasilianischen Wirtschaft.

Zur Durchsetzung dieser neuen Regeln hat das Land die brasilianische Nationale Datenschutzbehörde geschaffen.

Derzeit deckt das LGPD keine B2B-Marketingaktivitäten ab. Dies könnte sich jedoch in Zukunft ändern. Es ist daher wichtig, in Bezug auf die Konformität aufmerksam zu bleiben.

Warum ist der B2B-Datenschutz wichtiger denn je?

Immer mehr Länder haben begonnen, ihre Regeln zum Datenschutz zu erlassen und zu verschärfen. Unternehmen müssen also Vorkehrungen treffen, um bei der Compliance vorne zu liegen.

Aber wie erreichen sie das?

Technologien zu nutzen, die bereits einen hohen Standard an Konformität gewährleisten, ist ein guter Ausgangspunkt! Lesen Sie weiter, um mehr über unsere Daten bei Cognism zu erfahren und wie wir deren Compliance sicherstellen.

Wie gewährleistet Cognism B2B-Compliance?

Delfina Vallve Sanmartin ist Head of Security & Compliance bei Cognism. Sie hat uns einen Überblick darüber gegeben, wie Cognism die DSGVO-Konformität einhält.

„Cognism ist ein DSGVO-konformes B2B-Leadgenerierungs-Tool-Tool, und wir stellen sicher, dass wir über alle notwendigen Prozesse und Mechanismen verfügen, um Daten auf rechtmäßige Weise zu sammeln, zu verarbeiten und mit unseren Kunden in einer konformen Weise zu teilen.“

Cognism erreicht dies durch Methoden, die im Allgemeinen Folgendes umfassen (und nicht darauf beschränkt sind):

  • Sammlung begrenzter B2B-Daten.
  • Vorhandensein einer rechtlichen Grundlage nach der DSGVO zur Sammlung und Verarbeitung unserer Daten (berechtigtes Interesse).
  • Durchführung aller relevanten Bewertungen, um rechtmäßige Grundlagen für die Datensammlung und -verarbeitung festzulegen.
  • Benachrichtigung unserer Datenbank in Übereinstimmung mit unseren Transparenzpflichten gemäß Artikel 14 der DSGVO. Wir informieren die betroffenen Personen darüber, dass wir Daten über sie haben, erläutern unsere Verarbeitungstätigkeiten und bieten den betroffenen Personen die Möglichkeit, ihre Rechte auszuüben, einschließlich der Möglichkeit, sich abzumelden.
  • Vorhandensein eines vereinfachten Abmeldeverfahrens und eines dedizierten Teams, das sich rechtzeitig mit Anfragen von betroffenen Personen zum Zugang zu Daten beschäftigt.
  • Besitz von ISO-27001- und ISO-27701-Zertifikaten und Zertifizierung als SOC2 Typ II.
  • Zertifizierung nach ISO 9001
  • Überprüfung unserer Telefon-Datenbank gegen Do-Not-Call-Listen in Großbritannien (TPS und CTPS), USA, Deutschland, Australien, Frankreich, Schweden, Portugal, Kroatien, Spanien, Belgien und Kanada. Wir arbeiten auch daran, gegen weitere DNC-Register weltweit abzugleichen.
  • Ständige Überprüfung unserer Prozesse und Mechanismen zur Verbesserung der Datenerfassung, -speicherung und -verarbeitung.

 

Benachrichtigte Datensubjekte

Die DSGVO legt bereits fest, dass Controller und Verarbeiter von Daten Einzelpersonen darüber informieren müssen, wie ihre Daten erfasst und verarbeitet werden.

Dies ist seit Inkrafttreten der DSGVO der Fall, erlangte jedoch 2021 besondere Bedeutung, nachdem Maßnahmen gegen Experian ergriffen wurden (obwohl das First-Tier Tribunal Experian im Berufungsverfahren Anfang 2023 recht gab).

Nach der Experian-Maßnahme und um sicherzustellen, dass Cognism konform bleibt, entschied sich Cognism, seine gesamte Datenbank zu benachrichtigen.

Die Benachrichtigung bedeutet, dass wir betroffene Personen darüber informieren, dass wir Daten über sie haben, und über unsere Verarbeitungstätigkeiten zum Zeitpunkt der Datenerfassung. Dies stellt sicher, dass die betroffenen Personen sich dessen bewusst sind und ihre Rechte problemlos ausüben können.

Wenn die Daten nicht direkt von den Personen erfasst werden, ist ihre Benachrichtigung gemäß Artikel 14 der DSGVO entscheidend, um sicherzustellen, dass Sie konform bleiben. Dies verhindert einen Verstoß gegen Datenschutzgesetze und nachfolgende Maßnahmen der Aufsichtsbehörden.

Nur B2B-E-Mailadressen

Cognism bietet nur B2B-E-Mailadressen an; wir haben keine B2C-E-Mailadressen in unserer Datenbank.

Kunden von Cognism können versichert sein, dass es sich bei den E-Mailadressen in unserer Datenbank ausschließlich um B2B-E-Mailadressen handelt und diese compliant sind.

Do-Not-Call-Listen

Do-Not-Call (DNC)-Listen enthalten Personen, die nicht für Marketingzwecke kontaktiert werden möchten. Jedes Land hat in der Regel seine eigene nationale Do-Not-Call-Liste und sein eigenes Verfahren, unter dem Personen ihre Telefonnummer registrieren können, damit sie nicht für Marketingzwecke kontaktiert werden können.

Das Vereinigte Königreich verfügt über die TPS- und CTPS-Listen; Cognism überprüft beide. Dies ist wichtig für unsere Kunden, da viele Maßnahmen gegen Unternehmen ergriffen wurden, die Personen auf der TPS-Liste angerufen haben.

Cognism überprüft auch die folgenden DNC-Listen außerhalb des Vereinigten Königreichs: USA, Deutschland, Frankreich, Australien, Kanada, Spanien, Portugal, Belgien, Schweden und Kroatien.

Wir arbeiten auch ständig daran, unsere Daten mit weiteren Do-Not-Call-Listen weltweit abzugleichen.

Wie können Unternehmen Compliance sicherstellen und Bußgelder vermeiden?

Bußgelder für fehlende Konformität sind mittlerweile gängige Praxis, darunter Unternehmen wie British Airways und Clearview AI, die ein Bußgeld in Höhe von 20 Millionen € (2019 bzw. 2022) für Nichtkonformität zahlen mussten.

Was sollten Unternehmen berücksichtigen, um sicherzustellen, dass sie konform bleiben? Delfina erklärt:

Unternehmen müssen sicherstellen, dass sie alle geltenden Datenschutz- und/oder Marketingvorschriften einhalten, die aufgrund ihrer Verarbeitungstätigkeiten auf sie zutreffen könnten.

„Dies bedeutet, dass sie geeignete Mechanismen, Analysen und Verfahren implementieren müssen, um Datenschutz- und Marketingpflichten einzuhalten. Dies umfasst ein Abmeldeverfahren, die Überprüfung von Do-Not-Call-Registern, die Implementierung von Mechanismen zur Einhaltung von Opt-Ins und Opt-Outs sowie die Bereitstellung relevanter Informationen an Betroffene.“

„Es ist auch wichtig, dass Unternehmen beobachten, wie sich die Gesetze und Vorschriften in Bezug auf den Datenschutz und die Verarbeitung von Daten in den Ländern, in denen sie tätig sind, entwickeln.“

„Dies ist wichtig, da Unternehmen bei Nichtbeachtung von Vorschriften mit erheblichen Bußgeldern rechnen müssen.“

„Es ist eine gute Idee, interne Rechts- und Datenschutzexperten einzusetzen und/oder externe Anwälte oder Berater hinzuzuziehen, um sicherzustellen, dass die erforderlichen Datenschutz- und Marketingverfahren korrekt implementiert und befolgt werden.“

„Und denken Sie daran - die Einhaltung von Datenschutz- und Marketingverfahren ist nicht nur wichtig, um Bußgelder zu vermeiden, sondern auch, um das Vertrauen der Kunden und Interessenten in Ihr Unternehmen aufrechtzuerhalten.“

Zusammenfassung

Die Einhaltung von B2B-Datenvorschriften ist ein komplexes Thema. Hier sind noch einmal zusammengefasst die wichtigsten Punkte, die Sie beachten müssen:

  • Datenschutz und Datensicherheit sind weltweit ein wachsender Bereich der Gesetzgebung.
  • Unternehmen sollten sich darauf vorbereiten, indem sie sicherstellen, dass sie die aktuellen Regeln und Standards in ihrem Geschäftsgebiet einhalten.
  • Die Nichteinhaltung von Gesetzen kann zu hohen Geldstrafen führen und den Ruf schädigen.
  • Unternehmen, die es versäumen, einen Datenschutz-, Compliance- oder Sicherheitsbeauftragten zu ernennen, werden es schwer haben, sich an die sich schnell verändernde Datenschutzlandschaft anzupassen.

Der Inhalt dieses Artikels dient nur der allgemeinen Information. Er stellt keine rechtliche oder berufliche Beratung dar. Der Inhalt kann sich seit der Veröffentlichung dieses Artikels geändert haben. Die Leser sollten für ihre eigenen besonderen Umstände eine angemessene professionelle Beratung in Anspruch nehmen.
Vollständigen Beitrag anzeigen