Unser letzter Blog-Beitrag hat den Lesern geholfen, die Herausforderungen im Bereich der Informationssicherheit und der Einhaltung von Vorschriften zu verstehen , wenn es um Forderungsmanagement geht. Als logischen nächsten Schritt haben wir uns entschlossen, die Weisheit von receeve darüber weiterzugeben, was wir als Unternehmen tun, um sicherzustellen, dass die Datensicherheit auf höchster Ebene Priorität genießt. Wir haben uns mit unserem CTO und Mitbegründer Michael Backes zusammengesetzt und mit ihm 5 wichtige Fragen besprochen, die jeder potenzielle Kunde von uns stellen könnte/sollte.
Aufgrund seiner vielfältigen Erfahrungen als Leiter von Tech-Teams und Start-up-Unternehmen verfügt Michael über umfangreiche Erfahrungen im Umgang mit Datensicherheit und Compliance, um es vorsichtig auszudrücken. Hier ist die Meinung unseres CTO zu Datenschutz, Compliance und Datensicherheit für alle, die digitale Kommunikation im Inkasso in Betracht ziehen.
1) Wie gewährleisten Sie den Datenschutz und die Einhaltung von Vorschriften, wenn Sie digitale Werbung auf Forderungsmanagement versenden - z. B. beim Versand von E-Mails?
Michael: Wir verfügen über eine Vielzahl von Informationen in Form von Erfahrungswerten und bewährten Praktiken aus verschiedenen Märkten, so dass wir in der Lage sind, Basiskonfigurationen vorzuschlagen, wenn Sie uns einfach fragen.
Wir helfen unseren Kunden auch auf individueller Ebene, indem wir sie fragen, welche Vorschriften sie am meisten betreffen und welche ein höheres Risiko der Nichteinhaltung und höhere Strafen mit sich bringen. Nehmen Sie zum Beispiel die Frage, an welchen Tagen Sie eine SMS versenden müssen. Unsere Einweisung ist so konzipiert, dass wir Sie sowohl durch die gesetzlichen Grundlagen als auch durch die besten Praktiken und Dinge, die zu beachten sind, führen, wie z.B. die Vermeidung von SMS an Sonntagen aus Gründen des Firmenimages.
Es ist ziemlich einfach für uns, herauszufinden, was für Sie wahrscheinlich relevant ist, und wir berücksichtigen dies, wenn wir Sie zum Laufen bringen, aber nach dem Onboarding haben Sie etwas Spielraum, um die Dinge so zu planen, wie Sie es für richtig halten. Wenn Sie nicht völlig davon überzeugt sind, dass Ihr Datensatz zu 100% korrekt ist, können Sie vorsichtiger vorgehen.
Sie möchten z.B. nicht versehentlich 4000 SMS an Nicht-Kunden senden, weil die Telefonnummern falsch sind. Wenn diese SMS dann detaillierte personenbezogene Daten (PII) enthalten, sind die Risiken deutlich höher. Zu den einfachen Lösungen gehören das Entfernen der PII oder die Forderung nach einer Validierung oder Anmeldung vor der Weitergabe von Informationen.
Denken Sie daran, dass Sie die Zustimmung und das Einverständnis Ihrer Kunden benötigen, um SMS und E-Mails an sie zu senden. Idealerweise gibt es bereits eine Online-Präsenz, wie z.B. Online-Banking, für die genügend grundlegende Geschäftsbedingungen existieren, die es Ihnen ermöglichen, Ihre Kunden digital zu erreichen.
2) Welche Schritte können wir unternehmen, um die Rechtsabteilungen davon zu überzeugen, einem digitalen Ansatz zuzustimmen? Was sind die häufigsten Bedenken der Rechtsabteilungen und wie kann unsere Software diese ausräumen?
Michael: Bei allem, was wir tun, steht die Sicherheit an erster Stelle. Wir haben einen fortlaufenden Compliance-Prozess, der auf Standards wie ISO und anderen Sicherheitsrahmenwerken basiert. Damit stellen wir sicher, dass wir alle Vorschriften einhalten, die für die Zusammenarbeit mit Banken und unseren Kunden erforderlich sind. Zusätzlich zur ISO nutzen wir Audits, die auf dem Open Source Security Testing Methodology Manual (OSSTMM) für IT-Sicherheit basieren. Wir erfüllen sogar die Anforderungen der Payment Card Industry (PCI), falls dies für Sie zutrifft.
Wir haben auch ein strenges Auswahlverfahren für unsere Lieferanten. Alle zwischengeschalteten Kommunikationsdienstleister, über die E-Mails und SMS verschickt werden, werden von uns daraufhin überprüft, ob sie mit der General Data Protection Regulation (GDPR) konform sind. Ihre Priorität Nummer 1 ist also: Die Daten verlassen die EU nicht, die Daten werden innerhalb der genannten Tage beim Anbieter gelöscht, andere vorgeschriebene Mechanismen zur Risikominderung usw. werden von uns überprüft.
Zwei Beispiele sind erwähnenswert: Infobip und Twilio. Wir verwenden Infobip für Kunden innerhalb der EU - alle Daten bleiben in der EU. Twilio ist etwas anders, wir verwenden sie für alle in den USA ansässigen Kunden. Ihre Daten bleiben also mit allen Datenvorschriften und Gesetzen aus den USA konform.
3) Wie alt ist das Problem des digitalen Datenschutzes und der Einhaltung von Vorschriften? Wie viel davon hängt nur mit der DSGVO zusammen?
Michael: Das ist wirklich ein Problem, seit es das Internet gibt, jetzt mehr denn je. In der Zeit vor der GDPR war es sehr länderspezifisch. Die GDPR hat im Grunde all diese verschiedenen Standards in der EU vereinheitlicht. Davor konnten Sie ein Land, z.B. Irland, wählen, nur weil der Datenschutzstandard dort niedriger war. Aber die Betroffenen und die Regierungen haben erkannt, dass dieses Schlupfloch letztlich keinen Schutz für die Betroffenen bietet, da jedes Unternehmen sich für ein Land mit niedrigeren Datenschutzstandards entscheiden kann.
Außerdem regulierten mehrere Stellen gleichzeitig Daten, was es für Unternehmen schwierig machte, sich an die Vorschriften zu halten. Vor der DSGVO waren z.B. 16 verschiedene Behörden für den Datenschutz in Deutschland zuständig, und jedes Unternehmen brauchte die Genehmigung aller dieser Behörden, um Daten zu verarbeiten. Heutzutage gibt es von Land zu Land nur noch geringe Unterschiede in der Gesetzgebung. Jedes Land hat Regeln für den Datenschutz - China, USA, Australien usw. Die Anwendbarkeit hängt vom Standort der betroffenen Personen und dem Standort des für die Datenverarbeitung Verantwortlichen ab.
4) Was sind die wirklichen rechtlichen Einschränkungen bei der digitalen Öffentlichkeitsarbeit?
Michael: Die Antwort auf diese Frage beginnt mit einer weiteren grundlegenden Frage: Wo befindet sich Ihr Verbraucher/die betroffene Person? Das ist wichtig, denn wie bereits erwähnt, hängen die Unterschiede bei der Anwendung der Datenschutzbestimmungen vom geografischen Standort ab. Trotz gemeinsamer Regeln wie der Datenschutz-Grundverordnung können diese lokalen Unterschiede festlegen, wann eine betroffene Person kontaktiert werden darf und wann nicht. In Deutschland kann jemand an Feiertagen kontaktiert werden, aber in Lettland besagt das Gesetz, dass niemand an Sonn- und Feiertagen kontaktiert werden darf. Bei E-Mails ist das keine große Sache, aber bei SMS gibt es zeitliche Beschränkungen, die bestimmte Häufigkeiten oder Zeitpunkte als zu aggressiv empfinden würden. Je nach digitalem Kanal müssen solche Strategien angepasst werden, um alle Gesetze zu erfüllen.
Lassen Sie uns WhatsApp betrachten: Jeder spricht davon, es zu benutzen, aber aus der Perspektive der GDPR (nicht aus der Perspektive von Forderungsmanagement ) verlassen die Daten höchstwahrscheinlich oder ganz sicher die EU. Das bedeutet, dass die für die Datenverarbeitung Verantwortlichen das Risiko akzeptieren müssen, dass personenbezogene Daten die EU verlassen. Es gibt zwar kein Gesetz, das dagegen spricht, aber der für die Datenverarbeitung Verantwortliche muss wissen, dass ein solches Risiko besteht. Die Abkommen zwischen den USA und der EU zum Beispiel wurden von den EU-Gerichten immer wieder verworfen. Auch wenn man sich einig ist, dass letztendlich eine Einigung erzielt werden wird, ist dies ein Risiko, das man in Betracht ziehen sollte.
Was die Kommunikation mit den Kunden betrifft, so gibt es unterschiedliche Praktiken, die von den verschiedenen Akteuren bevorzugt werden. Die einen geben nur das Nötigste an, während andere es vorziehen, alle Informationen wie Vorname, Adresse, E-Mail, Kontonummer usw. in den Rückzahlungsanträgen anzugeben.
Wie bereits erwähnt, ist das eigentliche Problem die Zuverlässigkeit des Datensatzes. Inwieweit Sie personenbezogene Daten in eine Mitteilung aufnehmen können, hängt davon ab, wie sicher Sie sind, dass die Angaben zu den einzelnen Personen, insbesondere die Kontaktdaten, korrekt sind.
In einer SMS zum Beispiel empfehlen wir, keine personenbezogenen Daten, keine Namen, Bankdaten usw. zu verwenden. Da auch die Anzahl der Zeichen begrenzt ist, raten wir der sammelnden Partei (Banken und DCAS), diese wegzulassen.
Wenn Sie unsicher sind, gehen Sie von einem Minimum an Informationen aus und gehen Sie davon aus, dass Ihr Schuldner über die Schulden und alle Mahnungen Bescheid weiß.
Was wir Ihnen letztendlich bieten können, ist die Flexibilität. Wenn Lettland plötzlich sagt, dass Sie nach 17 Uhr keine SMS-Erinnerungen mehr versenden dürfen, können Sie solche Einschränkungen über unsere Plattform in weniger als 2 Minuten umsetzen. Diese Flexibilität macht es einfach, sich an neue Regeln anzupassen.
5) Welche weiteren Fragen sollte man sich stellen, wenn man sich mit den Compliance-Belangen bei der Digitalisierung Forderungsmanagement auseinandersetzt?
Michael: Es gibt eigentlich nicht viel mehr zu bedenken, wenn Sie die Grundlagen erledigt haben. Unabhängig davon, welche Plattformen Sie verwenden, müssen Sie einen Prozess durchlaufen und sicherstellen, dass Sie alle erforderlichen Kästchen angekreuzt haben und auch ein wenig darüber nachgedacht haben, was Sie erreichen wollen, um gute Entscheidungen für Ihre Inhalte zu treffen.
Außerdem ist es hilfreich, einen Partner auf der anderen Seite zu wählen, der Wert auf Datenschutz und Sicherheit legt. Es geht nicht nur um die paar Zertifikate, sondern darum, dass diese Dinge in der DNA des Unternehmens verankert sind.
