So rüstet sich die Österreichische Post in Sachen Datenschutz

Datenschutz ist in aller Munde - vor allem bei jenen Großunternehmen, die so viele Daten verarbeiten wie die Österreichische Post. Deren CFO Walter Oblin erläutert im Interview, wie sich der Konzern für die DSGVO rüstet.

Wie wirkt sich die EU-Datenschutzgrundverordnung (DSGVO) auf die unterschiedlichen Divisionen der Österreichischen Post aus?

Die DSGVO betrifft den gesamten Konzern – das Briefgeschäft ebenso wie das Paktgeschäft und kleinere Geschäftsmodelle. Es kommt kein Brief und kein Paket zu seinem Empfänger, ohne dass IT-Systeme Personen- oder Adressdaten verarbeiten. Insofern ist das für uns ein großes und umfassendes Thema.

Mit welchen Maßnahmen bereiten Sie sich darauf vor?

Datenschutz genießt bei uns von je her einen hohen Stellenwert. Erstens, weil wir als Post für Vertrauen und Verlässlichkeit stehen: Das Briefgeheimnis war schon immer ein hoher Wert, und wir werden diesen Wert auch weiterhin hoch halten. Daher haben wir sehr früh begonnen, uns mit der DSGVO zu beschäftigen. Es ist ja schon länger bekannt, was auf uns zukommt, und wir versuchen bei allen neuen Produkten die Anforderungen der DSGVO – insbesondere das Thema „Privacy by Design“ – schon zu implementieren. Darüber hinaus haben wir vor einigen Monaten ein umfassendes, konzernweites Projekt aufgesetzt, bei dem wir uns damit beschäftigen, welchen Veränderungsbedarf wir in bestehenden Systemen, Produkten und Dienstleistungen haben, um die Anforderungen der DSGVO umzusetzen. Derzeit sind die Mitarbeiter damit beschäftigt, zu analysieren, wo wir Anpassungsbedarf haben.

Wie viele Menschen sind damit beschäftigt?

Das ist schwer quantifizierbar. Es geht um hunderte größere Applikationen im ganzen Haus, mit Verantwortlichen in den jeweiligen Divisionen, sowie Leute in den Zentralbereichen und auf der IT-Seite, die die Systeme gut kennen. In Summe kommt dabei sicher eine dreistellige Anzahl an Personen zusammen, die diverse Tasks abarbeiten.

Sie haben erwähnt, dass Sie bereits früh begonnen haben, sich damit zu beschäftigen. Wann genau?

Bekannt ist das Thema seit 2016. Seitdem wissen wir, dass „Preivacy by Design“ Auswirkungen auf die Systeme haben wird. Wir haben früh begonnen, das zu analysieren und neue Dinge nach den Standards der DSGVO umzusetzen.

Welche Nachteile entstehen für Sie durch die DSGVO?

Grobe Nachteile in dem Sinn, dass bestimmte Produkte dann am Markt keine Chance mehr haben, sehen wir nicht. Es gibt aber zwei Aspekte, die man anmerken kann. Erstens wird es zukünftig sicherlich schwerer werden, von Kunden die Zustimmung zur Verarbeitung personenbezogener Daten zu erlangen – umgekehrt darf man hoffen, dass das Vertrauen der Kunden, dass mit ihren Daten sorgsam umgegangen wird, steigen wird. Es besteht also das Risiko, dass es bei Werbegeschäftsmodellen, bei denen die Post direkt oder indirekt involviert ist, zu kleinen Veränderungen kommen wird. Zusätzlich muss man erwähnen, dass die Veränderung teils mit erheblichen Kosten verbunden ist: Die IT-Systeme zu durchforsten und in bestimmten Bereichen anzupassen – da kommen schon einige Euros zusammen.

Wie stellen Sie sicher, dass Ihre Kundenbank DSGVO-konform ist, vor allem in Hinblick auf die Genehmigung zur Verarbeitung der Daten?

Indem wir Teams aus den relevanten Fachbereichen und Kollegen aus der IT bilden, die einen Soll/Ist-Vergleich machen und den Anpassungsbedarf ableiten, das entsprechend implementieren und bei den entsprechenden Releases zeitgerecht umsetzen. Man muss aber auch sagen: Nachdem wir uns immer schon auf der sicheren Seite in Sachen Datenschutz bewegt haben, haben wir viele Anforderungen auch heute schon umgesetzt. Wir sehen da keinen radikalen Bruch in der Art und Weise, wie unsere Systeme funktionieren.

Wie wird sich das Beschicken von Kunden mit Direct Mailings und Flugblättern verändern?

Flugblätter sind per Definition unadressierte Post, die keine personenbezogenen Daten verarbeiten, sondern ein bestimmtes Streugebiet adressieren, ohne spezifisches Targeting von Einzelpersonen – insofern sehen wir hier gar keine Implikationen. Bei den Direct Mailings ist die Verarbeitung von Daten als berechtigtes Unternehmensinteresse in der DSGVO verankert, somit sehen wir hier auch keine großen Auswirkungen durch Änderungen aus der DSGVO.

Sie müssen also von den Endkunden keine Bestätigung einholen, damit Sie diese mit Direct Mailings beschicken können?

Wir selber verschicken die Direct Mailings in der Regel nicht, das machen unsere Geschäftskunden, die aus ihren Datenbanken heraus den Kunden Werbenachrichten zukommen lassen. Wir erhalten große Mengen an Kuverts geliefert, auf denen ein Absender und ein Empfänger draufsteht – unsere Rolle ist es, diese Direct Mails zuzustellen. Insofern betrifft uns diese Frage nur, wenn wir selbst Versender von Direct Mails im Namen der Post sind – das haben wir in der Vergangenheit sehr rechtskonform gemacht und werden es in Zukunft auch so machen.

Wie lösen Sie das bei Ihren eigenen Direct Mailings? Zum Beispiel die „Umzugspost“, die im Rahmen eines Nachsendeauftrags versandt wird?

Beim Nachsendeauftrag erteilt der Endkunde der Post einen expliziten Auftrag, an die neue Adresse jene Post zu schicken, die an die alte Anschrift adressiert wurde – da sehen wir also auch keine Implikationen einer DSGVO. Eine entsprechende Einwilligungsklausel im Nachsendeauftrag wird jetzt auf ihre Kompatibilität mit der DSGVO geprüft. Andere Produkte und Dienstleistungen wie „Unser Kuvert“, haben den Zweck, hin und wieder auch Kundendaten für Werbezwecke zu generieren. Wirt analysieren derzeit, wo wir den Bedarf haben, explizit eine Einwilligung einzuholen.

Wie steht es mit dem Thema E-Brief, der ein rein digitales Produkt ist?

Der E-Brief ist ein hochsicheres und hochvertrauliches Produkt, das zum Ziel hat, für Unternehmen und die öffentliche Hand einen Weg zu schaffen, dem Endkunden vertrauliche Informationen rechtssicher mit Empfangsbestätigung digital zukommen zu lassen. Der erste Schritt ist hier immer, dass der Endkunde sich aktiv registriert und damit auch aktiv die Zustimmung gibt, dass er bestimmte Post von einem bestimmten Absender empfangen möchte. Das ist ein neues Produkt, das wir erst in den vergangenen Monaten gelaunched haben – daher haben wir hier schon versucht, alle Aspekte der DSGVO zu beachten. Wir sehen eine Chance für den E-Brief als ein Produkt, das Datenschutz sehr ernst nimmt; eine Chance sowohl für den Versender als auch für den Empfänger ein Produkt zu schaffen, das besonderes Augenmerkt auf vertraulichen Umgang mit Daten legt.

Wie ist der Status mit Ihren digitalen B2C-Produkten wie shöpping.at und AktionsFinder, wo Sie in direktem Kontakt mit dem Endkunden sind?

Auch hier sehen wir keine grundlegenden Auswirkungen der DSGVO auf die Funktions- und Leistungsfähigkeit des Produkts. Natürlich gibt es in den einzelnen Facetten den Bedarf, eine Feinanalyse zu machen – etwa, wie die Kundendaten erfasst werden – und bei Bedarf eine Zustimmung einzuholen. Bei shöpping.at haben wir das weitgehend gemacht. Bei AktionsFinder sind wir auch in einem laufenden Anpassungsprozess, in dem wir auch das Produkt weiter entwickeln und überprüfen, was wir tun müssen, um rechtlich konform zu sein und dem Thema Datenschutz gerecht zu werden.

Bei shöpping.at werden die Daten des Kunden ja auch in einer Kundendatenbank gespeichert…

Ja, das Ziel ist es, dass Sie die Daten einmal hinterlegen und dann einen einfachen Einkaufsvorgang haben, bei dem Sie nicht jedes Mal Ihre Adressdaten und Kreditkartendaten angeben müssen. Selbstverständlich verschlüsselt und ohne CVC-Nummer. Natürlich werden dabei Ihre Daten gespeichert. Es wird sichergestellt, dass dort, wo die Zustimmung erforderlich ist, auch eine Zustimmung eingeholt wird. Das ist bereits sichergestellt.

Wie haben Sie Ihre Datenschutzbeauftragte ausgewählt?

Wir haben unsere Datenschutzbeauftrage, Frau Eileen Wagner, vor circa einem Jahr für uns gewinnen können. Frau Wagner hat vorher eine ähnliche Rolle in einem großen deutschen Konzern eingenommen, sie bringt die praktische Datenschutzexpertise ebenso mit wie die Erfahrung aus einem großen Konzern in der EU. Sie leitet bei uns die Umsetzung der DSGVO. In den einzelnen Tochterunternehmen haben wir bereits Datenschutzbeauftragte oder werden sie bis zum Inkrafttreten der DSGVO implementiert haben. Manche Mitarbeiter nehmen diese Rolle schon jetzt wahr, auch wenn sie nicht explizit den Titel „Datenschutzbeauftragter“ tragen.

Werden Sie Datenschutzbeauftragte auch in jenen Tochterunternehmen haben, die rechtlich dazu theoretisch nicht verpflichtet sind?

Datenschutz ist ein Thema, das wir im ganzen Unternehmen ernst nehmen. Daher haben wir überall Personen, die dies in ihrer Verantwortung mittragen. Explizite Datenschutzbeauftragte werden wir im ersten Schritt dort implementieren, wo er notwendig ist. Im zweiten Schritt wird es auch dort welche geben, wo wir glauben, dass es ein großes Thema ist.

Die Rolle des Datenschutzbeauftragten ist bei Ihnen eine Vollzeitstelle?

Ja, und im Hintergrund agieren viele Personen, die im Rahmen der Umsetzungsprojekte und im Tagesgeschäft diverse Verantwortungen wahrnehmen. Datenschutz ist nicht nur Aufgabe der Datenschutzbeauftragten, sondern Aufgabe jedes Mitarbeiters.

Es gibt also auch Schulungen für die Mitarbeiter?

Ja, eine der ersten Aufgabe war, die relevanten Personen mit den Inhalten der DSGVO vertraut zu machen und darüber aufzuklären, was sich ändert und welcher Handlungsbedarf sich daraus ergibt. Der zweite Schritt ist, die unterschiedlichen Produkte und Systeme zu analysieren, den Handlungsbedarf daraus zu ermitteln und diesen dann umzusetzen.

Die DSGVO tritt im Mai 2018 in Kraft. Wird es danach ruhiger für die Datenschutzbeauftragte oder werden sich die Aufgaben im laufenden Geschäft fortsetzen?

Wir leben in einer Welt und in einer Branche, in der Daten schon immer Teil unseres Geschäfts waren. Wir sind in Österreich der größte Marketingdaten-Händler und –Lieferant. Auch alle neue Geschäftsmodelle, mit denen wir in den Markt gehen haben sehr viel mit Daten zu tun. Insofern wird die Datenschutzbeauftragte künftig eher mehr als weniger zu tun haben.

Von der EU-Kommission wird als Vorteil der DSGVO angepriesen, dass nun das Datenschutzrecht EU-weit vereinheitlicht wird. Wie wirkt sich das auf Ihr Geschäft im Ausland aus?

Unsere Auslandsgeschäfte sind überwiegend operativ tätige Paket- und Brief-Zustellnetze. Das Thema Marketingdaten-Verarbeitung behandeln wir außerhalb Österreichs kaum. Insofern sind die Auswirkungen eher gering. Theoretisch gibt es aber den Vorteil, dass wir mit einem einheitlichen Rechtsrahmen konfrontiert sind.

Sehen Sie also auch Vorteile für die Post durch die DSGVO?

Die Hoffnung ist, dass der Kunde noch mehr Vertrauen hat, der Post seine Daten zu übergeben. Wir haben uns schon in der Vergangenheit bemüht, sicherzugehen, dass die Daten des Kunden bei uns vertraulich gehandhabt werden. Daher versuchen wir auch, die DSGVO, breit und konsequent umzusetzen, um Werte wie Vertrauen, Verlässlichkeit und Datenschutz zu betonen; das Briefgeheimnis hat diese Werte ja schon vor hunderten Jahren hochgehalten. Ob sich die Hoffnung realisiert, werden wir sehen – zuallererst ist es mal viel Arbeit.

[]

Daten­schutz 2018: Die 10 wichtigsten Punkte

Im Mai 2018 tritt die neue Datenschutz-­Grundverordnung europaweit in Kraft, Unternehmen müssen dafür schon jetzt die Weichen stellen. Wir beleuchten, was das für die Medien- und Werbebranche bedeutet.

Kommentare

0 Postings

Keine Kommentare gefunden!

Diskutieren Sie mit

Neuen Kommentar schreiben

* Pflichtfelder
Netiquette auf HORIZONT online