Rene Ehlting, Inhaber von ER Secure berät Firmen zum Thema Datenschutz und ist auch in dieser Funktion für uns tätig. Er stand uns außerdem als Interview Partner zur Verfügung und beantwortet einige häufige Fragen zum Thema Datenschutz im Zusammenhang mit Software as a Service (SaaS) Software.
Herr Ehlting, am besten geben Sie eine kurze Einleitung in das Thema Datenschutz. Worum geht es? Wieso sollten Unternehmen sich damit beschäftigen?
Rene Ehlting: Schon seit dem 01.09.2009 ist es verboten personenbezogene Daten bei externen Dienstleistern ohne Einhaltung des § 11 Bundesdatenschutzgesetz (BDSG) zu hosten. Daten sind per Definition personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder zugeordnet werden können. Beispiele für personenbezogene Daten sind zum Beispiel der Geburtsort, die Matrikelnummer bei einem Studenten oder im Falle der CRM Systeme eine Adresse. Fakt ist: Der Großteil aller Daten die Sie in einer CRM Software speichern können sind personenbezogen. Zur Einordnung der verschiedenen Arten von personenbezogenen Daten stellt der Landesbeauftragte für den Datenschutz Niedersachsen ein Schutzstufenkonzept vor. So können Sie als Anwender das Schadenspotential von personenbezogenen Daten schon einmal näher bestimmen und erkennen, welche Priorität Sie dem Thema in Ihrem konkreten Fall einräumen sollten. Einfach gesagt ist die Bearbeitung und Speicherung einer Telefonnummer die auch im Telefonbuch zu finden ist nicht so schwerwiegend, wie die Verarbeitung der Schufa Daten.
Das ist also der Status Quo in Deutschland. Wie sieht es in den Nachbarländern oder der EU aus?
Rene Ehlting: Auch EU weit gibt es ein Datenschutzgesetz. Die Länder halten sich auch mehr oder weniger daran. Lediglich bei England sieht es schwierig aus. Dort orientiert man sich ziemlich an dem großen Bruder USA, was die Einblicke in die Daten der Firmen angeht. Es gibt ein Gesetz, welches Industriespionage im Sinne der eigenen Wirtschaft ziemlich leicht macht.
Lassen Sie uns speziell über Datenschutz im Markt der CRM Systeme sprechen. Wie gehen CRM Anbieter und Kunden damit um?
Rene Ehlting: Viel zu häufig wird das Thema ignoriert oder nicht beachtet. Das allerdings bringt ein hohes Risiko von Bußgeldern durch die Aufsichtsbehörden mit sich. Für die Nutzung eines Online CRM Systems ohne eine Auftragsdatenverarbeitung geht jedes Unternehmen das Risiko von Bußgeldern bis zu 50.000 Euro ein (§ 43 BDSG). Wie oben erwähnt dürfen Daten nur dann bei externen Dienstleistern gehostet werden, wenn eine Auftragsdatenverarbeitung nach § 11 BDSG besteht. Diese regelt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Für CentralStationCRM haben wir das Thema ja gemeinsam durchgearbeitet, so dass Ihre Kunden jetzt auf der sicheren Seite sind.
Worum geht es in dieser Auftragsdatenverabeitung genau?
Rene Ehlting: Im Wesentlichen regelt die Auftragsdatenverarbeitung folgende Faktoren:
- Gegenstand und Dauer des Auftrags zur Verarbeitung der Daten.
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Im CRM Beispiel werden personenbezogene Daten zu den Kunden des CRM Kunden erhoben und verarbeitet. Es geht also um die personenbezogenen Daten eines Dritten. Es geht um die Telefonnummer und die Anschrift Ihrer Kunden.
- Löschung von Daten und die Rückübergabe überlassener Datenträger.
- Rechte des Auftraggebers, Pflichten des Auftragnehmers
Die Details und den genauen Wortlaut zur Auftragsdatenverarbeitung können Sie hier nachlesen.
Stellen Sie bei der Beachtung der deutschen Vorschriften zum Datenschutz Unterschiede zwischen den Anbietern aus Deutschland oder ausländische Anbieter, zum Beispiel aus den USA fest?
Rene Ehlting: Traurig aber wahr: Fast kein Online CRM Anbieter beachtet die deutschen Datenschutzgesetze. Ich selber habe rund 15 Anbieter im Kundenauftrag oder im eigenen Interesse angesprochen. Es waren nur zwei in der Lage eine Auftragsdatenverarbeitung anzubieten. Die anderen Anbieter haben sich geweigert. Viele deutsche Anbieter haben keinen eigenen Datenschutzbeauftragten oder legen keinen Wert auf die Behandlung des Themas. Das bedeutet nicht zwangsläufig schlechtes, nur ist es für den Kunden völlig intransparent, was dort mit seinen Daten geschieht.
Ich habe sogar den Eindruck, dass das Interesse an der Beachtung der deutschen Datenschutzgesetze mit zunehmender Größe der Anbieter abnimmt. Die ganz großen Player lassen sich hier in der Regel auf nichts ein. Für mich spricht das eine deutliche Sprache.
Zu Ihrer Frage nach den amerikanischen Anbieter: Das Problem an den US Anbietern sind die speziellen Terrorabwehrgesetze, die den amerikanischen Behörden tiefreichende Einblicke in die Daten erlauben. Böse Zungen behaupten, dass das auch der aktiven Industriespionage dient.
Und was heißt das jetzt für den CRM Interessenten oder Kunden?
Rene Ehlting: Wenn der gewählte CRM Anbieter gemäß dem deutschen Datenschutz arbeitet, hat sich das Thema auch für den CRM Kunden schon fast erledigt. Wenn sein Dienstleister den Datenschutz korrekt beachtet, dann braucht sich der Kunde nicht mehr so intensiv um den Datenschutz zu kümmern. Er muss seinen Dienstleister dann jährlich prüfen, wobei hier ein Nachweis einer externen Stelle ausreicht. Er muss also nicht vor Ort sein und auch nicht selber prüfen, sondern kann sich auf den Prüfungsnachweis des Dienstleisters verlassen. Wenn der CRM Dienstleister die Vorgaben zum Datenschutz hingegen nicht beachtet, dann wird das schnell zu einem Problem des CRM Kunden. Er ist für seine Daten verantwortlich und kann wie erwähnt zur Rechenschaft gezogen werden.
Ich kann Kunden von Online gehosteten CRM Systemen nur den Rat geben auch die Frage nach den deutschen Datenschutzgesetzen zu stellen. Auch wenn heute in der Regel noch gilt “Wo kein Kläger, da kein Richter”, so ist zu erwarten, dass die Behörden hier in Zukunft immer stärker drauf achten und die Strafen dann auch häufiger aussprechen.
Danke Herr Ehlting für das Gespräch und die Einblicke.
Für uns ist dieses Verhalten so überraschen wie unverständlich zugleich, wo die Frage nach Datensicherheit und Datenschutz nahezu von jedem Software as a Service Interessenten gestellt wird. Als CRM Anbieter beschäftigen wir Herrn Ehlting seit dem ersten Monat als externen Datenschutzbeauftragten. Gemeinsam mit ihm haben wir CentralStationCRM auf die rechtlichen Anforderungen hin überprüft und somit fit für den deutschen Datenschutz gemacht. In seiner Funktion als Datenschutzbeauftragter steht er unseren Kunden bei Fragen natürlich gerne zur Verfügung. Sie erreichen ihn über oder seine Webseite http://er-secure.de.
Bildquelle: © D. Braun / PIXELIO