Derzeit scheint es, als sei Profitabilität das Gebot der Stunde. Wahrscheinlich ist dein Unternehmen bereits dabei zu versuchen Kosten zu senken und herauszufinden, wie der Umsatz gesteigert werden kann. Wäre es da nicht schön, wenn man einige dieser fetten Verkaufschancen in der Sales Pipeline zu Geld machen könnte?
Aber seien wir ehrlich: Datenschutz und Informationssicherheit können im Sales-Prozess erhebliche Kopfschmerzen verursachen. Kennt ihr das Gefühl? Der Deal ist kommerziell abgeschlossen... aber dann schalten sich die Datenschutz- und Sicherheitsabteilungen ein und bremsen jeden Schwung und jedes Tempo mit einer Litanei von Fragen und Kommentaren aus.
Unserer Erfahrung nach gibt es Möglichkeiten, den Geschäftsabschluss zu beschleunigen, indem man einige Hindernisse beseitigt. Um die Länge der Beitragsserie nicht zu sprengen, sind einige Aspekte etwas vereinfacht dargestellt.
Verstehen warum Interessenten Fragen stellen und „DSGVO-Konform“-Labels vergessen
Bei der Inanspruchnahme der meisten SaaS-Lösungen werden personenbezogene Daten von Mitarbeitern und/oder Endkunden („Daten“) verarbeitet. Diese dürfen in den meisten Fällen (die Ausnahmen werden in Teil 3 der Serie besprochen) nur nach Weisung des Verantwortlichen und im Rahmen eines Auftragsverarbeitungsvertrages („AV-Vertrag“) verarbeiten werden.
Vereinfacht dargestellt, wird es für Kunden von SaaS-Lösungen darum gehen sicherzustellen, dass ein AV-Vertrag vorliegt, der den gesetzlichen Anforderungen entspricht, und dass "angemessene" Sicherheitsmaßnahmen vorliegen, die sicherstellen, dass Daten ausreichend geschützt sind. Viele Unternehmen werden sich hier richtigerweise ein eigenes Bild machen wollen. Denn, die Pauschal-Aussage, dass die DSGVO eingehalten wird und wohlmöglich ein schickes Fantasieabzeichen auf der Landing Page, mögen für das Marketing ganz nett sein, aber im Grunde genommen bedeutet das für die meisten potenziellen Kunden absolut gar nichts. Es hat keinerlei Bedeutung. Das zeigt sich insbesondere, wenn an größere Organisationen verkauft wird. Es gibt Zertifizierungen, die mehr Gewicht haben (z.B. ISO 27001), weil dafür unabhängige Akkreditierungsstellen bürgen. Offizielle Zertifizierungen im Bereich Datenschutz sind aber derzeit noch meist in der Entwicklung. Unterm Strich wird deine Organisation sie wahrscheinlich (jetzt) nicht haben und eure Unterauftragsverarbeiter auch nicht.
Je eher man begreift, dass Interessenten in vielen Fällen umfassendere Antworten erwarten und sich nicht auf pauschale Aussagen verlassen, und je eher aussagekräftige Unterlagen zur Verfügung gestellt werden können, desto schneller kann das Geschäft abgeschlossen werden.
AV-Vertrag vereinfachen
AV-Verträge sind rein rechtlich gesehen recht „dumme“ Verträge (dies gilt nicht für die wichtige inhaltliche Beschreibung von durchgeführten Verarbeitungen), da der gesetzlich geforderte Inhalt bereits in Art. 28 DSGVO („Art. 28“) festgelegt ist. Daher ist jede Minute, die mit der Aushandlung von rechtlichen Regelungen in AV-Verträgen verbracht wird, unserer Meinung nach verschwendete Zeit.
In der Praxis ist die Nutzung von EU-Standardvertragsklauseln („EU SCC“) eine sehr effektive Lösung. EU SCC sind eine Vertragsvorlage, die von der Europäischen Kommission genehmigt wurde. Es ist untersagt, den Kerntext zu ändern (bei den Anhängen gibt es etwas Spielraum). Aus diesem Grund sollte kein Interessent etwas an dem Vertrag auszusetzen haben.
Wichtig: EU-SCCs sind nicht zu verwechseln mit SCCs für Überweisungen in Drittländer. Es handelt sich um zwei verschiedene Dinge.
Eine Vorlage kann hier heruntergeladen werden:
Aussagekräftiges Sales-FAQ erstellen
Wer keine EU SCCs verwenden möchte oder wenn ein Interessent auf die Verwendung seines eigenen AV-Vertrags besteht, sollten dem Sales-Team nützliche Informationen an die Hand gegeben werden, um Unabhängigkeit und Geschwindigkeit zu fördern.
Der Ausgangspunkt eines FAQ sollte eine Liste der gesetzlichen Anforderungen von Artikel 28 enthalten. Unserer Meinung nach sollte man der Einfachheit und Schnelligkeit halber alles aus einem AV-Vertrag streichen, was nicht gesetzlich vorgeschrieben ist. Dies gilt insbesondere für Bestimmungen über Haftung und Schadensersatz oder Gerichtsstand (beides sollte eher in den Leistungsverträgen geregelt werden).
Es sollte außerdem darauf Acht gegeben werden, Informationen dort bereitzustellen, wo sie wirklich wichtig sind. Nach unserer Erfahrung gibt es zwei Bereiche, die häufig (und am heftigsten) Gegenstand von Diskussionen und Verhandlungen sind.
Hinzuziehen oder Ersetzen von Unterauftragsverarbeitern
Art. 28 sieht zwei Möglichkeiten für die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern vor: eine vorherige gesonderte oder allgemeine schriftliche Zustimmung. Für letztere ist eine vorherige Benachrichtigung und das Einräumen eines Rechts auf Widerspruch Bedingung. Es ist wichtig zu verstehen, dass beide Optionen spätere Kunden in die Lage versetzen, der Hinzuziehung oder dem Austausch von Unterauftragnehmern zu widersprechen, während die Option, eine vorherige Zustimmung zu verlangen, den Geschäftsbetrieb erheblich beeinträchtigen kann. Im Grunde müsste eure Gesellschaft von jedem Kunden eine vorherige Zustimmung einholen, bevor irgendwelche Infrastrukturänderungen vorgenommen werden könnten. Wenn nur ein Kunde sich nicht rührt, kann das den gesamten Prozess blockieren. Selbst wenn ein Interessent sagt, es sei sein Standardverfahren, eine vorherige Zustimmung zu verlangen, sollte hier hart verhandelt werden. Wenn die Problematik wie oben beschrieben verläuft, lenkt die Gegenseite zu einem sehr hohen Prozentsatz ein.
Prüfungsrechte
Art. 28 verlangt vom Auftragsverarbeiter, dass er alle Informationen zur Verfügung stellt, die für den Nachweis der Einhaltung von [Art. 28] erforderlich sind und dass er Audits, einschließlich Inspektionen, zulässt und dazu beiträgt. Da dies Potential hat viel Zeit und Ressourcen in Anspruch zu nehmen, wird häufig versucht, diese Pflichten zu begrenzen oder auszuschließen. Klar, wenn eine beträchtliche Anzahl von Kunden anfängt, Inspektionen vor Ort durchführen zu wollen, kann das erhebliche Auswirkungen auf den Betrieb haben. Allerdings sind Auftragsverarbeiter gesetzlich verpflichtet, zu diesen Prüfungen beizutragen und sie zuzulassen und es ist sehr fragwürdig, ob Einschränkungen oder Ausschlüsse vor Gericht Bestand haben. Was allerdings unseren Erfahrungen nach so gut wie sicher ist: Solche Klauseln treffen auf Widerstand und erzeugen Verhandlungen.
Im Ergebnis kann man entweder weitere Verhandlungen führen und damit den Verkaufszyklus in die Länge ziehen (was auch Ressourcen bindet) oder man kann in den sauren Apfel beißen und Fragebögen beantworten oder an Vor-Ort-Prüfungen teilnehmen. Ich würde ich mich immer für Letzteres entscheiden. Vor-Ort-Audits für Cloud-lastig arbeitende Unternehmen sind unserer Erfahrung nach recht selten (was gibt es da wirklich zu sehen?) und die Ressourcen für Fragebögen können durch eine bessere Dokumentation geschont werden.
Die nächsten Teile dieser Serie werden sich mit internationalen Datenübertragungen, der Unterscheidung zwischen einem Auftragsverarbeiter und einem für die Verarbeitung Verantwortlichen und der Sicherheitsdokumentation, den so genannten "technischen und organisatorischen Maßnahmen" oder "TOM", befassen. Diesbezüglich sollten relevante Informationen zu diesen Themen in das Sales-FAQ aufgenommen werden.
Teil 2 folgt.