Alle, die in irgendeiner Form personenbezogene Daten verarbeiten, sprechen derzeit nur über ein Thema: Die EU-Datenschutzgrundverordnung, kurz “DSGVO”. Anders als viele glauben, ist die DSGVO schon vor zwei Jahren in Kraft getreten, nämlich am 25. Mai 2016. Rechtsverbindlich für alle gilt Sie jedoch ab dem 25. Mai 2018. Wir bei der 42he GmbH haben uns natürlich viele Gedanken gemacht, wie wir die DSGVO sinnvoll für CentralStationCRM und unsere Kunden umsetzen können. Wir haben die entsprechenden Maßnahmen zusammen mit unserem Datenschutzbeauftragten umgesetzt und unsere Kunden können sich sicher sein, dass wir auch über die gesetzlich verpflichtenden Maßnahmen hinausgehend Hilfestellungen für unsere Kunden anbieten werden. Doch was bedeutet das im Detail?
Was bedeutet die DSGVO im Zusammenhang mit einem CRM-System und wie sorgt CentralStationCRM für eine reibungslose Umsetzung?
Bislang hatten unsere Kunden die Möglichkeit, eine ADV (Auftragsdatenvereinbarung) mit uns abzuschließen. Diese wurde dann sowohl vom Kunden als auch von uns unterschrieben und ausgetauscht.
Rechtzeitig zum 25. Mai 2018 gibt es statt der bisherigen ADV einen sogenannten Auftragsverarbeitungs-Vertrag (AV-Vertrag) zur Bestätigung, jedoch für ausnahmslos alle Kunden (CRM-Nutzer gehen dazu in ihre Accounteinstellungen auf den Punkt "Auftragsdatenverarbeitung (DSGVO)") . Dieser regelt rechtssicher, dass wir die Daten im Auftrag unserer Kunden verarbeiten und wie das im Detail passiert. Die Schriftform ist für AV-Verträge übrigens nicht mehr nötig, so dass innerhalb des CentralStationCRM-Accounts die Vereinbarung zum AV-Vertrag erfolgt. In den Einstellungen können Sie jetzt festlegen, wessen Daten Sie speichern und welcher Art diese Daten sind. Auf Grundlage dieser Einstellungen wird dann der AV-Vertrag zum Download im PDF-Format bereitgestellt.
Darüber hinaus wird es in unseren Webformularen zukünftig eine Klickbox geben, mit deren Anhaken der Seitenbesucher der Verwendung und Weiterverarbeitung seiner personenbezogenen Daten zustimmt. Denn dies ist eine weitere Stelle, über die personenbezogene Daten ins CRM-System gelangen.
Mit den AV-Verträgen und Hinweisen in unseren Webformularen erfüllen wir datenschutzkonform die DSGVO.
Habe ich als CRM-Kunde damit alles erledigt oder muss ich weitere Maßnahmen ergreifen, um im Sinne der DSGVO datenschutzkonform zu arbeiten?
Als Kunde von CentralStationCRM sind Sie für die Kontakte, die Sie im CRM-System verwalten, selbst verantwortlich. Dementsprechend müssen Sie selbst dafür Sorge tragen, dass Sie Ihre Kontakte datenschutzkonform nutzen. Wir als CRM-Anbieter können nicht beeinflussen, was unsere Kunden mit ihren eigenen Kundendaten machen, dementsprechend liegt dies im Verantwortungsbereich von Ihnen als Nutzer. Jeder Einzelne muss also prüfen, welche Daten er speichern und wie er diese nutzen darf und ob separate Vereinbarungen zur Datenverarbeitung getroffen werden müssen.
Um Sie dabei zu unterstützen, Ihre Kontakte im Sinne der DSGVO zu verwenden, möchten wir zukünftig zusätzliche Funktionen in CentralStationCRM anbieten, die beim Thema “Datenportabilität”* (Recht auf Datenübertragbarkeit / Auskunft) und “Recht auf Vergessenwerden” (Löschung von Kundendaten nach einer bestimmten Frist) Hilfestellungen bieten werden.
Was muss ich als Kunde also konkret tun?
Bezüglich CentralStationCRM müssen Sie einen Auftragsverarbeitungs-Vertrag mit CentralStationCRM abschließen (in den Accounteinstellungen unter "Auftragsdatenverarbeitung (DSGVO)").
Um darüber hinaus datenschutzkonform im Sinne der DSGVO zu arbeiten, gilt es folgende Punkte zu beachten:
- eigene AV-Verträge mit Kunden abschließen, wenn Sie selbst auch im Auftrag Daten von Kunden verarbeiten
- internes Verarbeitungsverzeichnis*** anlegen, das alle Standardverfahren in Ihrem täglichen Geschäft dokumentiert. Beispiel: ein Kunde ruft an und hat eine Frage zu einem Ihrer Produkte.
- Löschfristen beachten (“Recht auf Vergessenwerden”)
- Auskunftsrecht beachten (“Recht auf Datenübertragbarkeit”)
- Risikoprüfung & DSFA (Datenschutzfolgeabschätzung) beachten
- Informationspflichten beachten
- internes Anwendungsverzeichnis sowie Rollen- & Berechtigungskonzept anlegen
- einen Datenschutzbeauftragten benennen, wenn Kriterien dafür erfüllt sind
Bitte beachten: Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar, je nach Unternehmen und/oder Art des Geschäftsmodells können sich diese Punkte unterscheiden. Bitte sichten Sie für weitere Informationen die am Schluss des Artikels genannten weiterführenden Links und lassen sich von einem Datenschutzexperten beraten.
Mythos 1: “Wenn die DSGVO kommt, nutzen wir aus Sicherheitsgründen besser keine Internet/Cloudlösung mehr, sondern steigen wieder auf Aktenordner/Excel um.”
Unabhängig davon, ob man seine Kontakte mit einer Cloud-Lösung oder lokal (beispielsweise mit Excel) verwaltet, muss jeder, der personenbezogene Daten verarbeitet, seine Prozesse dokumentieren und mit seinen Kunden(Gruppen) über die Verarbeitung personenbezogener Daten entsprechende Vereinbarungen treffen, auch dann, wenn ein sogenanntes “berechtigtes Interesse”** vorliegt. Als Nutzer einer professionellen CRM-Software profitieren Sie sogar davon, dass sich die meisten CRM-Anbieter mit den Anforderungen der DSGVO seit Monaten sehr intensiv befassen und entsprechende Schutzmaßnahmen umsetzen.
Mythos 2: “Sobald die DSGVO verbindlich in Kraft tritt, darf man nichts mehr (so wie früher) machen” und/oder ”die DSGVO ändert alles.”
Diese Aussage werden Sie sicher in der ein oder anderen Form schon mal gehört haben, sie ist aber nicht zutreffend. Im Gegenteil: Wer bislang bereits nach Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG) und Gesetz gegen den unlauteren Wettbewerb (UWG) gearbeitet hat, ist bereits recht gut aufgestellt. Das Ziel der DSGVO ist nämlich nicht, bestehende Gesetze “über den Haufen zu werfen” sondern im Gegenteil zu ergänzen und zu optimieren, um ein europaweit einheitliches Regelwerk zu schaffen.
Im Zentrum stehen dabei die deutlich stärkeren Nutzerrechte. Zukünftig sollen Nutzer einen einfacheren Zugang zu ihren Daten haben und Anspruch auf klare und leicht verständliche Informationen darüber, wer ihre Daten zu welchem Zweck wie und wo verarbeitet. Auch haben Nutzer zukünftig ein “Recht auf Vergessenwerden”. Löschfristen und Bestimmungen dazu gab es in den Datenschutzgesetzen in Deutschland zwar bisher auch schon, die DSGVO wird hier jedoch konkreter und räumt dem Thema Datenlöschung mit einem eigenen Artikel einen besonderen Stellenwert ein.
Fazit: Es ist also auch in kleinen Unternehmen zwingend notwendig sich mit dem Thema Datenschutz- und Sicherheit sowie der DSGVO intensiv auseinander zu setzen. Irrationale Befürchtungen oder gar Panik sind jedoch keinesfalls angebracht, denn wer die wichtigsten Neuerungen beachtet und umgesetzt hat sowie bereits bisher nach den bestehenden deutschen Datenschutzgesetzen gearbeitet hat, ist gut aufgestellt für Mai 2018 und natürlich auch darüber hinaus.
Übrigens...
Möchten Sie auch im DSGVO-Zeitalter E-Mail-Marketing betreiben und fragen sich, ob Sie dafür das Opt-In Ihrer Newsletter-Empfänger erneuern müssen? Über den Sinn und Unsinn sogenannter Re-Opt-In Mails sprechen wir in dieser Podcast-Folge!
Weiterführende Informationen:
https://www.bmwi.de/Redaktion/...
https://www.lda.bayern.de/de/d...
Handreichungen für kleine Unternehmen und Vereine:
https://www.lda.bayern.de/de/k...
https://www.bitkom.org/Themen/...
https://www.bitkom.org/Presse/... (Der Bitkom-Verband stellt umfangreiches Material, FAQs und Musterverträge zur Verfügung)
https://www.e-recht24.de/daten...
Was beim Newsletterversand zu beachten ist:
https://www.newsletter2go.de/d...
Anmerkungen:
*) “Datenportabilität” Art. 20 EU-DSGVO:
“Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (...)”
**) “berechtigtes Interesse”:
Art. 6 EU-DSGVO Absatz f) “die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (...)”
*** Verarbeitungsverzeichnis
Unternehmen müssen gemäß DSGVO ein sogenanntes “Verarbeitungsverzeichnis” anlegen, in dem alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, genau dokumentiert werden. Dieses Verzeichnis ersetzt das bisherige Verfahrensverzeichnis nach BDSG. Das Verzeichnis wird nicht veröffentlicht wie z.B. AGBs, sondern dient zu internen Dokumentationszwecken und im Bedarfsfall für Nachfragen von Behörden.
