Wir erhalten in den letzten Tagen ab und zu Rückfragen zum Thema, wie das eigene CRM DSGVO konform eingerichtet werden kann. Bei DSGVO geht es hauptsächlich um Ihr Prozesse und wie Sie mit den Daten, welche Sie erfassen und halten, verfahren. Gleich vorweg die schlechte Nachricht: Es gibt keine "DSGVO Option" die man einschalten könnte damit alles "konform" ist... dies faktisch nicht möglich, da es immer um die eigenen, spezifischen Prozesse geht. Ein datenschutzkonformes CRM-System ist nicht das Selbe wie ein datenschutzkonformens Unternehmen. Es benötigt eine sorgfältige Analyse aller Geschäftsprozesse und Systeme um echte Datensicherheit zu garantieren.
Es stellt sich also die Frage: Welche Einstellungen in Ihrem CRM könnten relevant für DSGVO sein und wie können Sie die eigenen Prozesse im CRM DSGVO konform gestalten?
Die rechtlichen Aspekte dieser Frage können wir als Softwarehersteller hier nicht erörtern, diese Fragen müssen Sie mit Ihrem Datenschutzbeauftragten lösen.
Für die technische Umsetzung und Anpassung Ihrer Prozesse können wir Ihnen ein paar konkrete Tipps an die Hand geben:
Umsetzung & Dokumentation
a) Bevor Sie mit der technischen Umsetzung im CRM beginnen, sollten sie alle Prozesse, die personenbezogene Daten verarbeiten, eruieren und dokumentieren. Dies ist auch für die Erfüllung Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO erforderlich.
b) Erstellen Sie ein Verfahrensverzeichnis nach Artikel 30 Abs. 1 DSGVO.
c) Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat auf seiner Internetseite ein paar nützliche Information und Links zum Thema publiziert: edoeb.admin.ch/edoeb/de/home/aktuell/rgpd-last-minute.html
Lückenlose Dokumentation aller Vorgänge
a) können mit dem Journal abgedeckt werden. Das bedingt, dass Sie alles was DVGSO relevant ist auch dort ablegen.
b) Über die CRM-Themen können Sie nach "Vorgängen" Kategorisieren sofern das in Ihren Prozessen relevant für DSGVO sein sollte.
c) Die Felder "Geändert am", "Erstellt am", "Erstellt von" und "Geändert von" auf allen Datensätzen dokumentieren die geforderte Datensatzentstehungs- und Änderungshistorie.
d) Zusätzlich führt das CRM ein Protokoll sämtlicher Änderungen im Datenbank-Protokoll.
e) Die Herkunft eines DVGSO-Relevanten Datensatzes kann über ein Zusatzfeld "Herkunft" oder auf dem Journal alternativ über die CRM-Themen und auf den Adressen alternativ über die Zuordnungen oder die Klassifizierungen abgebildet werden.
Informationspflicht und Einwilligung
a) "Freigabe- oder Verbotsvermerke bei unterschiedlichen Kontaktkanälen" können über die Zuordnungen gelöst werden.
b) Optional kann ein "Double-Opt-In-Verfahren" über delight everywhere automatisiert werden: Erste public Beta-Version von delight everywhere Web-Formular-Integration veröffentlicht
c) Informationspflicht kann über E-Mail-Vorlagen, Brief-Vorlagen und/oder Report-Vorlagen gelöst werden.
Auskunftspflicht, Korrektur und Löschung
a) Erforderliche Auskunftskriterien wie Datenerheber, Verarbeitungszweck, Erhebungsort und Speicherungsdauer müssen, sofern eine Einzelfallerfassung erforderlich ist, erfasst werden. z. B. in zusätzlichen Adress- und Journalfeldern.
b) Ein komplettes Änderungsprotokoll ist über das Datenbank-Protokoll vorhanden (siehe Oben)
c) Auskunftsbegehren können über einen entsprechenden Bericht umgesetzt werden. Eine Ausgangslage währe z. B. die im Lieferumfang enthaltene Vorlage "Adressblatt"
d) Für die "Datenübertragung an ein anderes Unternehmen" kann die Funktion "Markierte Adresse(n) als MLXML speichern" verwendet werden. Diese Export-Funktion speichert sämtliche Daten, inkl. Journal und abgelegte Dokumente in eine strukturierte XML-Datei die Sie dem Antragssteller zustellen können.
e) Um das Löschen von einzelnen Kunden DSGVO konform zu lösen, sollten sie auch das E-Mail-Archiv sowie das Backup der CRM-Daten in Ihre Überlegungen einbeziehen. Das CRM selbst löscht die Daten in der Datenbank. Ein Datensatz wird also nicht nur als gelöscht markiert, sondern tatsächlich gelöscht. Sollte das Löschen aus prozesstechnischen Gründen nicht möglich sein, muss der Datensatz "anonymisiert" werden, so dass keine Rückschlüsse auf den ursprünglichen Kunden möglich sind. Dies kann bei Bedarf über ein Add-on gelöst werden.
f) Rechte- und Rollenkonzept für den Zugriff, die Änderung und das Löschen von Daten ist in der Netzwerk-Version enthalten (Benutzerverwaltung mit Berechtigungen für Zugriff auf Datensätze, Zugriff auf Felder sowie Funktionen wie z. B. Import / Export)
g) Nach DSGVO müssen die Daten "aktuell gehalten werden". Über das Feld "Geändert am" können (ver)alte(te) Datensätze gefiltert und entsprechend bearbeitet oder gelöscht werden. Sofern es ihre Prozesse erfordern, könnte über ein Skript oder einen WorkFlow automatisch veraltete Daten gelöscht werden. Das muss aber explizit auf Ihre Prozesse abgestimmt und angepasst werden.
Betrieb
a) Nutzt Ihr Unternehmen CRM-Software aus der Cloud, müssen Sie das Datenschutzniveau Ihres Cloud-Service-Providers überprüfen.
b) Betreibt Ihr Unternehmen die CRM-Software lokal oder auf eigenen Servern müssen Sie das Datenschutzniveau Ihrer IT-Infrastruktur überprüfen.
Ob Ihre Prozesse abschliessend DSGVO konform umgesetzt sind, müssen Sie mit Ihrem Datenschutzbeauftragten klären. Sollten Sie bei der Umsetzung / Anpassung Ihrer Prozesse technische Fragen zur Umsetzung haben, stehen wir ihnen gerne zur Verfügung.
Es stellt sich also die Frage: Welche Einstellungen in Ihrem CRM könnten relevant für DSGVO sein und wie können Sie die eigenen Prozesse im CRM DSGVO konform gestalten?
Die rechtlichen Aspekte dieser Frage können wir als Softwarehersteller hier nicht erörtern, diese Fragen müssen Sie mit Ihrem Datenschutzbeauftragten lösen.
Für die technische Umsetzung und Anpassung Ihrer Prozesse können wir Ihnen ein paar konkrete Tipps an die Hand geben:
Umsetzung & Dokumentation
a) Bevor Sie mit der technischen Umsetzung im CRM beginnen, sollten sie alle Prozesse, die personenbezogene Daten verarbeiten, eruieren und dokumentieren. Dies ist auch für die Erfüllung Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO erforderlich.
b) Erstellen Sie ein Verfahrensverzeichnis nach Artikel 30 Abs. 1 DSGVO.
c) Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat auf seiner Internetseite ein paar nützliche Information und Links zum Thema publiziert: edoeb.admin.ch/edoeb/de/home/aktuell/rgpd-last-minute.html
Lückenlose Dokumentation aller Vorgänge
a) können mit dem Journal abgedeckt werden. Das bedingt, dass Sie alles was DVGSO relevant ist auch dort ablegen.
b) Über die CRM-Themen können Sie nach "Vorgängen" Kategorisieren sofern das in Ihren Prozessen relevant für DSGVO sein sollte.
c) Die Felder "Geändert am", "Erstellt am", "Erstellt von" und "Geändert von" auf allen Datensätzen dokumentieren die geforderte Datensatzentstehungs- und Änderungshistorie.
d) Zusätzlich führt das CRM ein Protokoll sämtlicher Änderungen im Datenbank-Protokoll.
e) Die Herkunft eines DVGSO-Relevanten Datensatzes kann über ein Zusatzfeld "Herkunft" oder auf dem Journal alternativ über die CRM-Themen und auf den Adressen alternativ über die Zuordnungen oder die Klassifizierungen abgebildet werden.
Informationspflicht und Einwilligung
a) "Freigabe- oder Verbotsvermerke bei unterschiedlichen Kontaktkanälen" können über die Zuordnungen gelöst werden.
b) Optional kann ein "Double-Opt-In-Verfahren" über delight everywhere automatisiert werden: Erste public Beta-Version von delight everywhere Web-Formular-Integration veröffentlicht
c) Informationspflicht kann über E-Mail-Vorlagen, Brief-Vorlagen und/oder Report-Vorlagen gelöst werden.
Auskunftspflicht, Korrektur und Löschung
a) Erforderliche Auskunftskriterien wie Datenerheber, Verarbeitungszweck, Erhebungsort und Speicherungsdauer müssen, sofern eine Einzelfallerfassung erforderlich ist, erfasst werden. z. B. in zusätzlichen Adress- und Journalfeldern.
b) Ein komplettes Änderungsprotokoll ist über das Datenbank-Protokoll vorhanden (siehe Oben)
c) Auskunftsbegehren können über einen entsprechenden Bericht umgesetzt werden. Eine Ausgangslage währe z. B. die im Lieferumfang enthaltene Vorlage "Adressblatt"
d) Für die "Datenübertragung an ein anderes Unternehmen" kann die Funktion "Markierte Adresse(n) als MLXML speichern" verwendet werden. Diese Export-Funktion speichert sämtliche Daten, inkl. Journal und abgelegte Dokumente in eine strukturierte XML-Datei die Sie dem Antragssteller zustellen können.
e) Um das Löschen von einzelnen Kunden DSGVO konform zu lösen, sollten sie auch das E-Mail-Archiv sowie das Backup der CRM-Daten in Ihre Überlegungen einbeziehen. Das CRM selbst löscht die Daten in der Datenbank. Ein Datensatz wird also nicht nur als gelöscht markiert, sondern tatsächlich gelöscht. Sollte das Löschen aus prozesstechnischen Gründen nicht möglich sein, muss der Datensatz "anonymisiert" werden, so dass keine Rückschlüsse auf den ursprünglichen Kunden möglich sind. Dies kann bei Bedarf über ein Add-on gelöst werden.
f) Rechte- und Rollenkonzept für den Zugriff, die Änderung und das Löschen von Daten ist in der Netzwerk-Version enthalten (Benutzerverwaltung mit Berechtigungen für Zugriff auf Datensätze, Zugriff auf Felder sowie Funktionen wie z. B. Import / Export)
g) Nach DSGVO müssen die Daten "aktuell gehalten werden". Über das Feld "Geändert am" können (ver)alte(te) Datensätze gefiltert und entsprechend bearbeitet oder gelöscht werden. Sofern es ihre Prozesse erfordern, könnte über ein Skript oder einen WorkFlow automatisch veraltete Daten gelöscht werden. Das muss aber explizit auf Ihre Prozesse abgestimmt und angepasst werden.
Betrieb
a) Nutzt Ihr Unternehmen CRM-Software aus der Cloud, müssen Sie das Datenschutzniveau Ihres Cloud-Service-Providers überprüfen.
b) Betreibt Ihr Unternehmen die CRM-Software lokal oder auf eigenen Servern müssen Sie das Datenschutzniveau Ihrer IT-Infrastruktur überprüfen.
Ob Ihre Prozesse abschliessend DSGVO konform umgesetzt sind, müssen Sie mit Ihrem Datenschutzbeauftragten klären. Sollten Sie bei der Umsetzung / Anpassung Ihrer Prozesse technische Fragen zur Umsetzung haben, stehen wir ihnen gerne zur Verfügung.
Schöne Grüsse
Elias Zurschmiede
delight software gmbh
Elias Zurschmiede
delight software gmbh