Kundendaten sind das wichtigste Kapital in jedem Unternehmen, sie fordern einen sorgfältigen und treuhänderischen Umgang. Die Datenschutzgesetze sind schärfer geworden und die Sensibilität bezüglich Datensicherheit nimmt zu.
Mit strengen internen Richtlinien und vielseitigen Sourcing-Lösungen kann ein professioneller Fullservice-Anbieter flexibel auf die Anforderungen ihrer Auftraggeber reagieren. Profis im Bereich Contact Management sehen sich tagtäglich mit den Themen Datenschutz und Datensicherheit konfrontiert. Um die Projekte erfolgreich umzusetzen, müssen sie einerseits die gesetzlichen Richtlinien sowie die Vorgaben von Verbänden und Kunden berücksichtigen und andererseits die Aufträge trotz dieser Auflagen effizient abwickeln.
Die Anforderungen der Kunden bezüglich Datensicherheit variieren stark. Doch auch die strengsten Bestimmungen – wie sie beispielsweise bei Unternehmen aus der Finanz- und Versicherungsbranche üblich sind – stellen kein Hindernis dar: «Es gibt immer Wege, die Projektziele durch verschiedene Sourcingmodelle mit vernünftigem Aufwand zu erreichen», so der Kommentar eines der führenden Spezialisten auf dem CH-Markt.
Datenschutz – gesetzliche Vorgaben verschärft
Während den letzten zwei Jahren haben sich die gesetzlichen Grundlagen bezüglich Datenschutz stark verändert. So ist am 1. April 2007 das neue Fernmeldegesetz (FMG) in Kraft getreten, das sich sowohl auf das E-Mail- wie auch auf das Telemarketing auswirkt. Im Rahmen dieser Gesetzesänderung wurde der Anti-Spam-Artikel im Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Art. 3 Bst. o) verankert. Darin enthaltene gesetzlichen Vorgaben sind unter anderem die… Bekanntmachung des Absenders, die explizite Zustimmung der Empfänger, Informationen per E-Mail zu erhalten und der vorgeschriebenen Abmeldelink.
Im Juni 2007 hat die Schweizerische Lauterkeitskommission (LKK) entschieden, dass Personen mit Sterneinträgen im Directories Verzeichnis nicht mehr kalt angerufen werden dürfen. Und per 1. Januar 2008 schliesslich hat der Bundesrat das revidierte Datenschutzgesetz (DSG) in Kraft gesetzt. Die neuen Normen (Art. 12 und 13) verlangen mehr Transparenz gegenüber Kunden und Interessenten im Umgang mit deren Daten. So besteht beispielsweise eine aktive Informationspflicht der betroffenen Personen beim Beschaffen von Daten. Werden besonders schützenswerte Personendaten kommuniziert, bedarf dies der Einwilligung der betroffenen Personen und sie müssen dem eidgenössischen Datenschutzbeauftragten gemeldet werden.
Ehrenkodex der Verbände SDV und CallNet.ch
Um die Qualität im Telemarketing zu erhöhen, haben die beiden Branchenverbände Schweizer Direktmarketing Verband (SDV) und CallNet.ch am 1. Januar 2008 den Ehrenkodex für Telemarketing im Privatbereich eingeführt. Dieser schafft einen Ordnungsrahmen für sämtliche Telekommunikations-aktivitäten. Unternehmen, welche den Ehrenkodex unterzeichnet haben und nach dessen Richtlinien arbeiten, werden auf einer von den Verbänden geführten Whitelist publiziert.
Datensicherheit ein wichtiges Thema
Neben dem Datenschutz ist auch die Datensicherheit ein zentrales Thema. Wer Daten in fremde Hände gibt, möchte die Gewissheit haben, dass diese nicht mit anderen Beständen in Berührung kommen und dass nur berechtigte Personen auf die Daten zugreifen können. Deshalb erläutern professionelle Anbieter bereits in einer Offerte die wichtigsten internen Richtlinien zu den Themen Datenschutz und Datensicherheit. Auf Verlangen wird zusätzlich eine Datenschutzvereinbarung erstellt, was vor allem im Analysebereich oder bei Hosting-Aufträgen zur Anwendung kommt. Grundsätzlich spüren seriöse Anbieter, die sich intensiv diesem Thema annehmen, ein grosses Vertrauen in ihre Arbeitsweise. Trotzdem thematisieren sie den Datenschutz und die Datensicherheit bei ihren Kunden. Bei Projekten mit besonders vertraulichen Daten, wie sie z.B. in der Finanzdienstleistungbranche vorkommen, hat der Kunde jederzeit die Möglichkeit, beim Outsourcing-Partner vor Ort einen Security-Audit durchzuführen.
Insourcing als gefragte Lösung bei vertraulichen Daten
Professionelle Anbieter passen ihr Vorgehen den Sicherheitsbestimmungen des Kunden an. Wenn die Anforderungen hoch sind, braucht es manchmal etwas Kreativität, um die Projektziele effizient zu erreichen. Gerade bei temporären Projekten müssen auch schlanke Varianten möglich sein. Auch strenge Richtlinien sind keine unüberwindbare Hürden. Ein marktgerichtetes Leistungsportfolio mit den verschiedenen Sourcing-Lösungen kann den unterschiedlichen Sicherheitsanforderungen gut gerecht werden. Wenn vertrauliche Daten im Spiel sind – wie dies zum Beispiel im Bankensektor der Fall ist – kommt oft das so genannte Insourcing zum Einsatz. Bei diesem Konzept installiert der Anbieter seine Infrastruktur vor Ort und rekrutiert bzw. schult das Personal. Die Daten bleiben dadurch immer im Hause des Kunden. Wie eingangs erwähnt, wird diese Sourcing-Form auch für temporäre Projekte angewendet. Eine ähnliche Lösung gibt es im Bereich der Datenanalyse und -bereinigung: Der Spezialist geht mit einem leeren und mit der nötigen Software ausgerüsteten PC zum Kunden und führt die Arbeiten aus. Bevor er das Haus wieder verlässt, werden alle Daten gelöscht.
Firmeninterne Massnahmen
Die Massnahmen bezüglich Datenschutz und Datensicherheit lassen sich in die Kategorien «Mensch», «Organisation» und «Technologie» einteilen. Nachstehend ein paar Beispiele aus dem umfangreichen Massnahmenkatalog, die Auflistung ist nicht abschliessend:
• Mensch:
Naturgemäss birgt der Mensch das grösste Sicherheitsrisiko. Deshalb zieht rbc ihre Mitarbeiterinnen und Mitarbeiter in die Verantwortung mit ein, indem sie neben der an den Arbeitsvertrag gekoppelten Vertraulichkeitserklärung auch kundenspezifische Vereinbarungen vorgibt. Diese Dokumente müssen unterschrieben werden. Im Rahmen von Informationsveranstaltungen sensibilisiert sie das Personal zudem immer wieder für das Thema und erläutert die Konsequenzen bei Nichteinhaltung im operativen Geschäft.
• Organisation:
Die Organisation richtet sich nach den Sicherheitsbestimmungen des Kunden. So ist es zusätzlich zu den regulären Massnahmen zur Datensicherheit möglich, Teams räumlich getrennt arbeiten zu lassen, Agenten nur für einen Kunden einzusetzen, Arbeiten beim Kunden durchzuführen und die Arbeits- und Produktionsräume vor unberechtigtem Zutritt zu schützen.
• Technologie:
Die IT-Sicherheit hat bei rbc einen hohen Stellenwert. Dazu gehören zum Beispiel ein rollenbasierter Zugriff auf Daten und Applikationen, das Verhindern von Systemausfällen durch Massnahmen wie eine unterbrechungsfreie Stromversorgung, mehrstufige Backup-Verfahren und Notfallszenarien sowie das Einsetzen von Sicherheitstechniken wie Firewall, Virenschutz, eingeschränkte PC-Schnittstellen oder die SSL 128-bit Verschlüsselung bei Datenübertragungen.
Zudem ist es möglich, Projekte auf separaten Systemen mit physischer Trennung zu anderen Daten und Systemen abzuwickeln.
Fazit
Outsourcing-Dienstleister, die mit Kundendaten arbeiten, müssen der Datensicherheit einen hohen Stellenwert einräumen und die Vorgaben von Verbänden und Kunden sowie das Datenschutzgesetz befolgen. Dies geschieht auch in eigenem Interesse, denn ein Datenmissbrauch würde neben rechtlichen Konsequenzen einen irreparablen Imageschaden verursachen. Professionelle Anbieter arbeiten nicht nur nach Standards, sie befolgen auch Richtlinien und klare Überwachungsprozesse, welche periodisch kontrolliert werden.
Autor: Dr. iur. Hans-Peter Stücheli, Fürsprech und Notar, Zürich*
