Mailjet ist eines der wenigen Unternehmen, das nach dem DSGVO-Standard arbeitet und das die damit verbundenen Regulierungen einhält. Letzte Woche habe ich mich mit Darine Fayed, Head of Legal und Data Protection Officer (DPO) von Mailjet, getroffen, um zu verstehen und zu erfahren, wie ihr Weg zur DSGVO-Konformität ausgesehen hat und inwiefern SaaS-Unternehmen mit der DSGVO konform sind. Darine gab uns Einblicke in einige Verfahren von Mailjet, mithilfe derer sie nach dem DSGVO-Standard arbeiten.

In diesem Interview erklärte Darine uns, dass Compliance nicht nur Gesetze und Vorschriften betrifft, sondern auch eine verbesserte Kundenerfahrung schafft. Darine sprach ausführlich über die Aufzeichnung der Verarbeitungstätigkeiten, deren Vorteile für den Rest des Unternehmens und die Ressourcen, die vor dem offiziellen Stichtag eingehalten werden müssen.

Wie haben Sie mit Ihren Aufzeichnungen für ein Verzeichnis von Verarbeitungstätigkeiten (Records of Processing Activities, RPA) begonnen?

Wir haben mit einer Compliance-Roadmap begonnen, in der wir alle Pflichtaufgaben aufzählten, die wir vor unserer Deadline im Dezember 2017 erledigen mussten, um unseren Kunden vor dem offiziellen Stichtag die Einhaltung der DSGVO-Vorschriften anbieten zu können.

Eine der Pflichtaufgaben auf unserer Liste bestand darin, eine Aufzeichnung der Verarbeitungtätigkeiten, siehe Art. 30, zu führen. Dieser Artikel beinhaltet grundsätzlich, dass wir als Organisation den Überblick über alle Daten, die wir sammeln, aufbewahren und verarbeiten haben müssen und dass wir die verantwortliche Partei für diese Daten identifizieren, auch um sicherzustellen, dass die Aufbewahrungsfrist eingehalten wird.

Es war ein Identifikationsprozess für uns – um uns einen globalen Überblick über die von uns gespeicherten Daten zu verschaffen und den Datenfluss richtig zu verwalten. Unser gesamtes Verarbeitungsverzeichnis war einer unserer Roadmap-Schritte zur Einhaltung der Datenschutzrichtlinien.

Einige Unternehmen sind der Meinung, dass sie die RPA (Records of Processing Activities) nicht durchführen müssen. Wie haben Sie das für Mailjet als Verpflichtung identifiziert?

In unserem Fall bedienen wir mehr als 100.000 Kunden in Mailjet und verarbeiten eine große Menge von persönlichen Daten unserer Kunden, die alles enthalten, was sie in unsere Plattform eingeben, wie z.B. die Kontaktliste, die ihre E-Mail-Adresse enthält, sowie andere spezifische Informationen wie das Geschlecht oder eine andere persönliche Kennung dieser bestimmten Person. Daraus haben wir erkannt, dass wir uns in großem Umfang mit dieser Art von Daten beschäftigen.

Und ich weiß, dass es eine Ausnahme im Sinne der Datenschutz-Grundverordnung für kleine und mittlere Unternehmen gibt – dass jedes Unternehmen, das weniger als 250 Beschäftigte hat und einen Umsatz von weniger als einem bestimmten Euro-Betrag hat, von der Steuer befreit sein kann. Aber für uns geht es nicht nur um die Einhaltung der DSGVO, sondern es gibt auch andere Vorteile, die hinter den Aufzeichnungen der Verarbeitungstätigkeiten stehen. Es ist wichtig für die gesamte globale Sicht unseres Unternehmens,  für grundlegende Geschäftsverfahren und eine gute Organisation.

Es ist auch sehr wichtig für Unternehmen ein umfassendes Verständnis dafür zu haben, welche Daten gesammelt werden. Dies  hilft, die anderen Verpflichtungen zu identifizieren und einzuhalten, die Unternehmen im Rahmen der Datenverarbeitungsregeln haben.

(Erfahren Sie mehr über die Ausnahmen für Kleinst- und Kleinunternehmen in diesen Richtlinien.)

Wenn aus Ihrer Sicht eine kleine Firma, sagen wir zehn Mitarbeiter, sehr oft personenbezogene Daten verarbeitet, denken Sie, dass sie der DSGVO entsprechen müssen?

Ja, wenn es in großem Maßstab ist. Die Leitlinien der Arbeitsgruppe haben uns einige Hinweise gegeben, was die Verarbeitung im großen Maßstab bedeutet, und sie ist nicht sehr groß in Bezug auf die Menge, sondern basiert auf Ihrer Aktivität und dem Anteil an der Verarbeitung dieser Daten.

Das Beispiel der Arbeitsgruppe beschreibt diese Situation sehr gut. Betrachten Sie ein Krankenhaus, wo sie Patienten aufnehmen und behandeln. Das hat mit der Datenverarbeitung an sich nichts zu tun, ein Krankenhaus ist kein Technologieunternehmen. In einem Krankenhaus kommen Patienten jeden Tag an, um von Ärzten behandelt zu werden, und wenn sie ankommen, gehen oder während eines anderen Prozesses, zeichnet das Krankenhaus die Informationen des Patienten, wie Name und Gesundheitsinformationen auf. Obwohl das Hauptgeschäft in der Behandlung von Patienten besteht, sammelt und verarbeitet das Krankenhaus s sensible Daten dieser  Patientenit . Da sie jedoch eine große Datenmenge  verarbeiten, müssen sie eine Aufzeichnung der Verarbeitungsaktivität führen.

Es basiert nicht nur auf der Aktivität, sondern auch darauf, ob Sie Ihre Datenverarbeitungstätigkeiten analysieren müssen.

Die Verarbeitung von Daten ist für uns bei Mailjet das Herzstück oder der Kern unserer Aktivitäten. Wir drehen personenbezogene Daten um, wir stellen Statistiken aus. Auf der Basis unserer Software als Servicetechnologie, betrachten wir das als einen großen Aspekt für uns und müssen dies auf einem hohen Sicherheitsniveau für unsere Kunden halten.

Wie viele Verarbeitungstätigkeiten gibt es für Mailjet als Softwareanbieter?

Es gibt keine genaue Zahl, aber wir schätzen, dass es unter hundert Aktivitäten in drei verschiedenen Rollen sind.

Zunächst verarbeiten wir die Daten unserer Kunden. Diese Daten werden uns von unseren Kunden zur Verfügung gestellt, wenn sie Daten über sich selbst, ihre Firma und Kreditkartendaten angeben, um ihre Konten zu bearbeiten. Diese Daten werden basierend auf dem Vertrag zwischen Mailjet und unseren Kunden gesammelt.

Die zweite Rolle ist die Datenverarbeitung von Endempfängern, d. h. die betroffenen Personen. In Mailjet versenden wir im Auftrag unserer Kunden täglich eine große Menge an E-Mails. Diese E-Mails werden von den betroffenen Personen empfangen, da unsere Kunden E-Mail-Adressen eingegeben haben. Es besteht kein Vertrag zwischen uns und dem Endnutzer, sondern wir verarbeiten ihre Daten im Auftrag unserer eigenen Kunden. In diesem Fall müssen wir immer noch die Rechte der betroffenen Personen oder Endbenutzer respektieren.

Und schließlich ist unsere dritte Rolle die Datenverarbeitung für eigene Mitarbeiter und Auftragnehmer. Als Unternehmen behandeln und verarbeiten wir HR-bezogene Daten über unsere internen Prozesse und Mitarbeiter. Dies bezieht sich auf die Gehaltsabrechnungen und andere Aktivitäten in Bezug auf unsere Mitarbeiter.

Wie lange dauerte der gesamte Prozess der RPA?

Für uns war dies ein sehr langer Prozess, der mehrere Monate und viel Mühe in Anspruch nahm. Wir beauftragten einen Manager, der verschiedene Personen in verschiedenen Abteilungen befragte, um die Daten, die wir bei Mailjet sammeln, besser zu verstehen. Im Grunde betrachtete er die Datenbanken, um die verschiedenen Arten der vorhandenen Daten herauszufinden. Er identifizierte die untergliederten Datenbanken und was in jeder von ihnen gespeichert ist, all das kostet Zeit und Mühe.

Hat die RPA Mailjet als Unternehmen irgendwie geholfen? Hinsichtlich der Vorteile haben Sie bereits über gute Geschäftsverfahren gesprochen. Aber hat euch das überhaupt geholfen?

Es hat uns bei unseren anderen Aufgaben geholfen, die Daten, die wir haben, besser zu verstehen. Darüber hinaus hat es uns geholfen, bessere Geschäftsentscheidungen in Bezug auf die Vorratsdatenspeicherung zu treffen und zu entscheiden, welche Daten wirklich notwendig sind, um unseren Service bereitzustellen.

Was ist entscheidend für diesen RPA-Prozess, bevor Sie mit dem gesamten Prozess beginnen?

Die entscheidenden Ressourcen sind Zeit, Personal und Befugnisse für den Zugriff auf die Daten. Unternehmen, die diesen Prozess erst nah am Haupttermin beginnen, haben möglicherweise nicht genug Zeit, um dies zu tun, da dies normalerweise viel Zeit und Ressourcen in Anspruch nimmt.

Für uns bei Mailjet können wir niemanden vom IT-Team fragen. Die brauchen die richtige Person, die Zugriff auf die Datenbanken hat. Es gibt nur bestimmte Personen mit Zugriff auf die Daten in Mailjet.

(So schlägt Ihnen Mailjet vor, sich für den Start bereit zu machen!)

Und wie viele Abteilungen und Personen waren an diesem ganzen Prozess beteiligt?

Die Einhaltung der DSGVO betrifft die gesamte Organisation. Es handelt sich nicht nur um die Rechtsabteilung oder die IT-Abteilung. Es ist ein kollaborativer Prozess, der verschiedene Rollen beinhaltet. Sie brauchen ein oder zwei Leute, die das Projekt anführen. Für uns war das die Rechtsabteilung, die sich um die Organisation der Roadmap und dann um die Datenregistrierung kümmerte und letztendlich identifizierte, welche Informationen enthalten sein mussten.

Stark involviert war auch die IT-Abteilung, die bei Mailjet in ein Entwicklungsteam und ein operatives Team aufgeteilt ist und vom CTO Pierre Puchois geleitet wird. Das operative Team war für die Implementierung und Modifikation verschiedener IT-Prozesse verantwortlich.

Haben Sie die Möglichkeit, mit den Marketing- und Verkaufsabteilungen zu sprechen, da es ja auch Prozesse gibt, die diese Abteilungen betreffen?

Ja! Jeder muss mitmachen, um Mailjet zur Einhaltung der DSGVO zu bringen. Unser Compliance-Manager hat sich mit allen anderen Managern, einschließlich Vertrieb und HR, zusammengesetzt, um alle benötigten Informationen zu erhalten und die Kommunikation und Prozesse intern zu überarbeiten.

In der Regel stellt sich die Frage, ob die Aufzeichnungen der Verarbeitungstätigkeiten regelmäßig aktualisiert werden sollen. Wie oft wird die Mailjet-Registrierungsdatenbank für Verarbeitungstätigkeiten aktualisiert?

​​Anstelle von festen Fristen haben wir Meilensteine, um sie zu aktualisieren. Zu Beginn, als wir die Dokumentation während der Erstellung der Datei starteten, haben wir regelmäßig alle zwei Wochen aktualisiert.

Jetzt, da die Datei vollständig ist, wird sie mindestens alle sechs bis acht Monate aktualisiert. Wennn ein neues Produkt oder eine Funktion mit neuen Spezifikationen entwickelt wurde, wird gegebenfalls auch das RPA aktualisiert, sobald das Team die Genehmigung von der Datenschutzseite erhält.

Haben Sie eine Software zur Verwaltung dieser RPA verwendet?

Nein. Es wurden keine externen Tools verwendet.

Die IT-Abteilung verfügte über eigene IT-Tools, die  intern entwickelt wurden und gewartet werden. Sie führten eine Suche in den Datenbanken durch, um alle Arten von gespeicherten Daten (persönliche und nicht personenbezogene Daten) zu finden.

Wenn Sie die Möglichkeit hätten, dies per Software zu tun, hätten Sie sich dafür entschieden, weil es Ihnen in irgendeiner Weise hätte nützen können?

Ja! Je mehr Ressourcen desto besser, besonders wenn die Zeit begrenzt ist. Und ich denke, wenn wir weniger Zeit bei Mailjet hätten, hätten wir vielleicht eine Software verwenden können.

Wenn Sie eine Software hätten, was wäre die erste Software gewesen, die Sie für die verschiedenen Aspekte in den Aufgaben verwendet hätten? Hätten Sie mit etwas Bestimmten angefangen, wenn es beispielsweise eine Einwilligungssoftware, RPA oder ein Audit-Tool gäbe? Welche Software wäre das und in welcher Richtung der DSGVO?

Ich habe mehrere Konferenzen zu diesem Thema besucht und ich habe verschiedene Softwares gesehen. Für Personen, die ganz am Anfang stehen und nicht wissen wo sie anfangen sollen, könnte eine Management-Software der richtige Weg sein. Auch aus Sicht der Revision könnte es eine interessante Software sein, da manchmal eine externe Person oder Organisation benötigt wird, die analytische Hilfe leistet.

Ein Tipp für Unternehmen, die ihren DSGVO-Prozess jetzt starten?

Ein Tipp wäre, die richtigen Drittanbieter zu wählen. Weil es auch Ihre Verantwortung ist, konforme Drittanbieter zu haben. Sie könnten Probleme haben, wenn Sie die anderen Dienste, die Sie verwenden, nicht überprüfen oder verifizieren. Und Sie haben immer noch die Zeit bis Mai 2018, um auf konforme Anbieter umzusteigen.

(Erfahren Sie mehr darüber, wie Mailjet mit Drittanbietern handelt: hier)

Über Mailjet: Mailjet ist eine All-in-One-Lösung zum Senden, Verfolgen und Liefern von Marketing- und Transaktions-E-Mails. Die Cloud-basierte Infrastruktur ist einzigartig und hochskalierbar mit einer proprietären Technologie, die die Zustellbarkeit von E-Mails optimiert. Mailjet kann entweder über eine einfach zu bedienende Online-Drag-and-Drop-Schnittstelle oder über APIs aufgerufen werden, mit denen Entwickler ihre Funktionen in ihre Online-App oder ihren Online-Service oder ihr ausgeklügeltes SMTP-Relay integrieren können. Mailjet hat weltweit Niederlassungen (einschließlich Paris, London, Berlin, Toronto und New York) sowie 100.000 Kunden und Partnern in 150 Ländern.