DSGVO: Jetzt handeln, denn das neue Datenschutz-Zeitalter ist da!
Im digitalen Zeitalter hinterlassen Personen Spuren, keine Frage. Viele Personen wissen dabei nicht einmal, wer welche Daten über sie wo speichert. Doch rechtfertigt dieser Umstand eine ungefragte und insbesondere auch einseitig begründete Nutzung dieser Spuren? Nein, denn digitale Spuren, insbesondere wenn diese personenbezogene Daten enthalten, dürfen nicht ungefragt verwendet oder an Dritte weitergereicht werden.
Neu ist das nicht. Denn bereits seit über 20 Jahren existiert das europäische Datenschutzrecht. Darüber hinaus genießt der Deutsche Bürger dank des Bundesdatenschutzgesetzes (BDSG) ein zusätzliches hohes Maß an Schutz seiner Daten. Doch insbesondere Unternehmen welche zwar innerhalb des EU-Wirtschaftsraums agierten, hielten sich häufig nicht an diese strengen Vorgaben und ignorierten auch das deutsche Bundesdatenschutzgesetz. Das ändert sich nun mit der seit dem 25.05.2018 in Kraft getretenen europäischen Datenschutz-Grundverordnung (EU-DSGVO). Primäres Ziel dieser europaweiten Datenschutz-Grundverordnung ist, den Datenschutz an das moderne digitale Zeitalter, insbesondere an das Internet und der stetig wachsenden Globalisierung anzupassen.
Die Datenschutzgrundverordnung vereinheitlicht demnach das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards gelten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein weitestgehend einheitliches Datenschutzniveau gilt.
Verallgemeinert kann man sagen, dass die DSGVO weitestgehend auf dem deutschen Vorbild, dem BDSG, basiert. Viele Passagen wurden vom deutschen Vorbild übernommen, einige leicht entschärft oder auch ausgelassen. Um diese Lücke zu schließen, wurde als Teil des Datenschutzanpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) auch das bisherige BDSG überarbeitet. Diese neue Fassung des BDSG (neu) ist am 25. Mai 2018 zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und hat das bis dahin gültige BDSG ersetzt.
Der wesentliche Unterschied zum bisherigen Datenschutzgesetz sind neben der europaweiten Harmonisierung insbesondere die empfindlich hohen Bußgelder bei Verstößen. So sieht die DSGVO Bußgelder von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes vor. Neu ist dabei auch, dass Aufsichtsbehörden und Landesdatenschutzbeauftragte nicht mehr erst bei Beschwerden reagieren, sondern aktiv die Umsetzung kontrollieren.
Unternehmen, welche mit personenbezogenen Daten von EU-Bürgern arbeiten, sehen sich deshalb neben dem üblichen Tagesgeschäft vor große Herausforderungen gestellt. Insbesondere, da vielerorts noch mit „Legacy-Systemen“ gearbeitet wird, wissen die Verantwortlichen oftmals nicht, wo überall in den siloartigen Organisationsstrukturen personenbezogene Daten gespeichert sind und ob diese den strengen Vorgaben zur DSGVO genügen. Dabei geht es um sämtliche Konsumentendaten, wie beispielsweise Name, Anschrift, Alter, Familienstand, E-Mail, Fax, Telefon, aber auch um Kaufhistorien, IP-Speicherung oder auch Standortermittlung
Potenziale erkennen und Kunden binden
Es mag durchaus sein, dass die erheblich verschärfte Rechtslage auf den ersten Blick nachteilig, lästig oder gar wettbewerbsfeindlich wirkt. Doch wer die „Spielregeln“ versteht und transparent sowie verantwortungsvoll mit den Daten seiner Kunden umgeht, wird eine ganz andere Qualität seiner Kundenbindung erreichen. Statt wie bisher häufig wild und ziellos potenzielle Kunden mit ungewollter Werbung zu bombardieren, sollte man auf Qualität anstatt auf Quantität setzen. Bedenken Sie, dass diese „Spielregeln“ so unattraktiv diese im ersten Moment auch erscheinen mögen, nicht nur für Sie gelten. Nein, diese gelten auch für Ihre Konkurrenz. Schwarze Schafe gab es schon immer, doch diesen kann nun mit empfindlichen Bußgeldern Einhalt geboten werden. Das sorgt für erhöhte Chancengleichheit aber auch für lukrative Geschäfte von Abmahnanwälten. Bereits mit einem zielgerichteten Kundenmanagementsystem (CRM) und einem rechtskonformen Dokumentenmanagementsystem (DMS), welche im Idealfall mit einer gemeinsamen Schnittstelle ineinandergreifen, ergeben sich neue Chancen.
Neue und gestärkte Betroffenenrechte
Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig. Die DSGVO verleiht Personen neue Rechte, zu deren Wahrung Sie als Unternehmen verpflichtet sind. Die wichtigsten Neuerungen sind dabei die folgenden Artikel der DSGVO:
  - Art. 15 der DSGVO: Recht auf Auskunft
Eine Person hat das Recht, von einem Unternehmen eine Bestätigung darüber zu verlangen, ob zu ihrer Person bezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht auf Auskunft.
  - Art. 16 der DSGVO: Recht auf Berichtigung
Eine Person hat das Recht, von einem Unternehmen unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
  - Art. 17 der DSGVO: Recht auf Löschung („Recht auf Vergessenwerden“)
Eine Person hat das Recht, von einem Unternehmen zu verlangen, personenbezogene Daten unverzüglich zu löschen. Darüber hinaus müssen Daten auch dann gelöscht werden, wenn der Zweck, zu dem die Daten erhoben wurden, erfüllt wurde oder entfällt. Ausnahmen bilden beispielsweise gesetzlich geregelte Aufbewahrungsfristen. Diese unterliegen unverändert den strengen Grundsätzen zur rechtssicheren digitalen Archivierung (der GoBD).
  - Art. 18 der DSGVO: Recht auf Einschränkung der Verarbeitung
Eine Person hat das Recht, von einem Unternehmen Einschränkungen der über sie gespeicherten Daten zu verlangen, beispielsweise wenn die Richtigkeit der Daten von der betroffenen Person bestritten wird oder die Verarbeitung unrechtmäßig ist.
  - Art. 20 der DSGVO: Recht auf Datenübertragbarkeit
Eine Person hat das Recht, von einem Unternehmen zu verlangen, eine Kopie aller zu ihr gespeicherten Daten innerhalb eines Monats kostenlos und in einem gängigen elektronischen Format zur Verfügung gestellt zu bekommen.
  - Art. 21 der DSGVO: Recht auf Widerspruch
Eine Person hat - mit wenigen Ausnahmen - das Recht aus Gründen, welche sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten Widerspruch einzulegen. Diesem Widerspruchsrecht muss das Unternehmen schnellstmöglich Folge leisten. Zudem muss über dieses Recht vor der Datenerhebung informiert worden sein.
Bin ich als (kleines) Unternehmen überhaupt betroffen?
Die zahlreichen Änderungen, welche die DSGVO mit sich bringt, gelten für alle Unternehmen, die in der EU ansässig sind, aber insbesondere für Unternehmen, die elektronisch personenbezogene Daten erheben und verarbeiten, wie Webseitenbetreiber und Online-Shops. Bereits der Einzelunternehmer, welcher innerhalb der EU eine kleine Webseite unterhält, über die sich Personen mit ihm in Verbindung setzen können, ist davon betroffen. Des Weiteren müssen sich auch Unternehmen außerhalb der EU an die DSGVO halten, wenn diese eine Niederlassung Im EU-Gebiet haben oder personenbezogene Daten von EU-Bürgern verarbeiten.
Was sind personenbezogene Daten?
Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen bzw. Rückschlüsse auf deren Persönlichkeit erlauben. Neben dem Namen, der Anschrift und Telefonnummer sind dies beispielsweise auch das Geburtsdatum, der Familienstand, E-Mail-Adressen, Kontodaten aber auch IP-Adressen und biometrische Daten. Zusätzlich existieren besonders schützenswerte Informationen, wie die ethnische und kulturelle Herkunft sowie politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität aber auch Gewerkschaftszugehörigkeiten.
Welche personenbezogenen Daten darf ich erheben?
Grundsätzlich gilt - unverändert - dass die Verarbeitung von personenbezogenen Daten, sofern diese zur Erfüllung eines Vertrags erforderlich ist, statthaft ist. Problematisch wird es allerdings, wenn die Erhebung dieser Daten nicht zwingend erforderlich ist. In diesem Fall greift nämlich das sogenannte Kopplungsverbot. So darf beispielsweise der Download einer Checkliste zur DSGVO-Konformität nicht mit der Anforderung einer E-Mail-Adresse „erkauft“ werden. Denn ein Download kann schließlich auch ohne die Angabe der E-Mail-Adresse direkt von einer Webseite erfolgen.

Anders schaut es hingegen aus, wenn es sich beispielsweise um einen DSGVO-Kurs handelt, für den die Angabe der E-Mail-Adresse erforderlich ist, um vorab über Termine und Änderungen zum Kurs informiert zu werden und um dann in diesem Zusammenhang auch eine Checkliste zur DSGVO-Konformität zum Download zu erhalten.
Muss ich zusätzliche Maßnahmen bei Mitnahme von Daten für unterwegs treffen?
Ja. Personengebundene Daten, welche nicht ausreichend geschützt sind, können die Existenz ganzer Unternehmen bedrohen. Mit der DSGVO am Horizont kann das noch viel eher passieren, da hierbei empfindliche Geldbußen und auch Schadenersatzansprüche bei „sorglosem Umgang“ entstehen können. Achten Sie beispielsweise bei Verwendung eines Notebooks für unterwegs darauf, diese Daten auf einer verschlüsselten Partition zu verwalten. Das kann bereits kostenlos mit der in Windows integrierten Verschlüsselungslösung „BitLocker“ realisiert werden.
Wie lange ist die Übergangsfrist?
Zunächst die gute Nachricht: Die Übergangsfrist beläuft sich auf angenehme zwei Jahre. Jetzt die schlechte Nachricht: Die Übergangsfrist begann bereits am 25.05.2016 und endete zum 25.05.2018.
Kann ich in meiner Datenschutzerklärung nicht einfach auf die neue DSGVO verweisen?
Nein. Bereits die Auslegung der Vorgaben ist - wie so häufig - oftmals recht unklar, weshalb wir dringend empfehlen, sich rechtlich beraten zu lassen. Jedes Unternehmen ist schließlich anders und gerade universell nutzbare „Datenschutzerklärungsgeneratoren“, welche auf Knopfdruck rechtssichere Datenschutzerklärungen für Ihren Webauftritt versprechen, sollten mit Bedacht genutzt werden. Ein generelles „Klick-Klick und ich bin abmahnsicher“ gibt es nicht, wenn man sich mit dem Thema DSGVO nicht näher beschäftigt oder auf einen Datenschutzbeauftragten oder einen Anwalt mit Fachkenntnissen zum Datenschutzrecht zurückgreifen kann. Eine Datenschutzerklärung muss zu Ihnen und Ihrem Webauftritt passen.
Betrifft die DSGVO ausschließlich Webseiten?
Keinesfalls! Auch die internen Abläufe und selbst die Nutzung der von Ihnen eingesetzten Software müssen wohl überlegt sein. Gerade da vielerorts noch mit „Legacy-Systemen“ gearbeitet wird, ist es wichtig, auch die Mitarbeiter eines Unternehmens diesbezüglich zu sensibilisieren und zu schulen. Achten Sie zusätzlich darauf, Software auf dem aktuellen „Stand der Technik“ zu halten. So kann bereits die Nutzung eines veralteten Windows-Betriebssystems als sorgloser Umgang betrachtet werden, wenn Daten z. B. aufgrund einer Sicherheitslücke entwendet werden.
Wichtige (Erkennungs-)Merkmale einer DSGVO-konformen CRM-Software
Auch die technischen und organisatorischen Maßnahmen bei eingesetzter CRM-Software spielen eine wichtige Rolle. So sollte selbst die im Betrieb eingesetzte Software den gesetzlichen Anforderungen entsprechen. Wer nun denkt, dass man sich nur bei kleinen Hinterhof-IT-Firmen der Gefahr aussetzt, eine nicht datenschutzkonforme Software zu erwerben, der täuscht sich. Auch große Softwarekonzerne liefern nur zögerlich und oftmals verbunden mit hohen Zusatzkosten datenschutzkonforme Module ihrer Produkte nach. Achten Sie daher bereits vor dem Kauf darauf, ob sich die Software so einsetzen lässt, dass diese eine Verschlüsselung ermöglicht oder bei verschlüsselten Sektoren noch immer performant genutzt werden kann, eine Datenzugriffskontrolle (auch auf Teilbereiche) bietet, nach dem Prinzip der Datenminimierung eingesetzt werden kann (minimalste Pflichtfelder) sowie Werkzeuge zur Datensicherheit (Art. 32 DSGVO - Sicherheit der Verarbeitung) und lückenlosen Nachvollziehbarkeit der Erhebung und Verarbeitung personenbezogener Daten (u. a. Art. 5 DSGVO - Rechenschaftspflicht) zur Verfügung stellt.
  Datenschutz durch technische Gestaltung (Privacy by Design)
Das Konzept des Datenschutzes durch Technikgestaltung (Privacy by Design) greift den Grundgedanken auf, dass sich der Datenschutz idealerweise dann einhalten lässt, wenn dieser bereits bei der elektronischen Erfassung technisch implementiert ist. Der Grundsatz ist nicht wirklich neu, sondern findet sich bereits seit 1995 in der Datenschutzrichtlinie RL 1995/46/EG wieder. Der personenbezogene Datenschutz greift dabei so frühzeitig wie möglich. In Verbindung mit den datenschutzfreundlichen Voreinstellungen (Privacy by Default) findet dieser Grundsatz eine relevante Erweiterung.

Kommentar: Mit CRM-Plus 18 lassen sich personenbezogene Daten bereits bei der Erhebung einem berechtigten Benutzerkreis zuordnen. Firmen- und personenbezogene Daten sind stets strikt voneinander getrennt und hinzuschaltbare Hintergrundprotokolle sorgen für Transparenz. „Privacy by Design“ bedeutet für Software-Hersteller allerdings auch die Einhaltung DSGVO-konformer Anforderungen für Softwarekomponenten. Die JBSoftware verwendet daher DSGVO-bezogene Komponenten von Drittanbietern ausschließlich unter Berücksichtigung dieser Anforderung.
  Datenschutzfreundliche Voreinstellung (Privacy by Default)
In Erweiterung zu „Privacy by Design“ findet sich der Grundsatz zu datenschutzfreundlichen Voreinstellungen „Privacy by Default“ ebenfalls in Artikel 25 der DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) - und kann bei Verstößen empfindliche Sanktionen nach sich ziehen. Zusammenfassend bedeutet dies, dass ein höchstmögliches Schutzniveau standardmäßig implementiert und voreingestellt sein sollte.

Kommentar: CRM-Plus ermöglicht die Erfassung von Daten mittels voreingestellter Berechtigungszuordnung. Neben dem allgemeinen Kontaktzugriff lassen sich selbst kontaktbezogene Datenbereiche von Beginn an vor dem Zugriff unberechtigter Benutzer absichern. So können beispielsweise allgemeine Dokumente und Telefonnotizen freigegeben sein, nicht jedoch der Einblick auf Verträge oder E-Mails.
  Kostenlose Sicherheitsupdates
Der Anbieter einer CRM-Lösung sollte sich verpflichtet fühlen, im Rahmen des Lebenszyklus einer Software-Hauptversion zumindest Sicherheitsupdates unentgeltlich anzubieten.

Kommentar: Die JBSoftware informiert ihre Anwender selbst bei Nutzung Ihrer Test- und Freeware-Produkte ohne zusätzliche Kosten über wichtige Sicherheitsupdates, selbstverständlich unter Voraussetzung der Einwilligung.
  Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Eine CRM-Lösung muss ermöglichen, personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten. Außerdem sollten auch die eigenen Mitarbeiter zügig über neue Rechtsvorschriften oder beispielsweise auch über die innerbetriebliche Vorgehensweise bei Datenpannen informiert werden.

Kommentar: CRM-Plus wurde bereits seit Anbeginn nach dem alten BDSG von Grund auf datenschutzkonform entwickelt und stets an neue gesetzliche Regelungen angepasst. Terminierte Rechtsvorschriften lassen sich zudem mit dem in CRM-Plus intergierten „News & Info“ Modul (Schwarzes Brett) protokolliert und inklusive automatischer Lesebestätigung zeitgenau mitteilen oder mittels Verfallsdatum aufheben.
  Datenminimierung ist zwingend erforderlich
Die CRM-Lösung sollte es dem Benutzer ermöglichen, bei personenbezogenen Daten nur die Daten zu erfassen, welche für den Zweck der Verarbeitung („Zweckbindung“) erforderlich sind. Viele CRM-Produkte erzwingen mit so genannten Pflichtfeldern oftmals die Eingabe von mehr Daten als es der Gesetzgeber für erforderlich hält.

Kommentar: CRM-Plus minimiert Pflichtfelder dahingehend, soweit diese für die Speicherung eines Datensatzes zwingend erforderlich sind. Liegen beispielsweise keine personenbezogenen Daten vor, ist dennoch eine Speicherung sämtlicher Firmendaten und allgemeiner Kontaktdaten ohne die Notwendigkeit personenbezogener Daten ausführbar. Möglich macht dies die intelligente Reiterlogik von CRM-Plus. Mittels übersichtlicher Reiter lassen sich Daten nicht nur zweckgebunden verwalten, sondern auch mittels mehrschichtigen Rechtezuweisungen isolieren.
  Eingabekontrolle zum Nachweis ordnungsgemäßer Verarbeitung
Eine hintergrundgesteuerte Eingabekontrolle kann die Ordnungsmäßigkeit zur Verarbeitung personenbezogener Daten nachweisen und Aufschluss darüber geben, wer wann welche personenbezogenen Daten erfasst und geändert hat.

Kommentar: CRM-Plus verfügt über eine Option zur automatischen hintergrundgesteuerten kontakt- und benutzerbezogenen Änderungsprotokollierung.
  Strikte Trennung von Firmen- und personenbezogenen Daten
Das Sperren personenbezogener Daten darf den Rest der Daten eines Gesamtkontaktes nicht behindern. Auch sollten Nicht-personenbezogene Daten weiterhin uneingeschränkt zur Verfügung stehen.

Kommentar: Ansprechpartnerprofile, welche auf Grundlage eingereichter Sperranträge nicht mehr zur Verfügung stehen, sind mit einem Schloss gekennzeichnet. Nur noch spezielle zugriffsberechtigte Personen, wie z. B. der Datenschutzbeauftragte oder die Buchhaltung - zwecks Rechnungsstellung - können auf diese personenbezogenen Daten zugreifen. So lässt sich beispielsweise bei Firmenkontakten mit 20 unterschiedlichen Ansprechpartnern weiterhin - und insbesondere ohne redundante Datenhaltung - auf sämtliche Allgemeindaten sowie alle restlichen 19 Ansprechpartner zugreifen.
  Berücksichtigung der Wahrung von Betroffenenrechten
Eine CRM-Lösung sollte über Funktionen verfügen, welche Benutzer bei der Umsetzung von Betroffenenrechte unterstützt. Insbesondere Berechtigungsoptionen zur Einschränkung oder Sperrung aber auch eine leicht verständliche (intuitive) Löschfunktion muss möglich sein.

Kommentar: CRM-Plus ermöglicht neben diverser Einschränkungs- und Sperrfunktionen beispielsweise auch eine rein kontaktbezogene E-Mail-Archivierung. Tauscht also ein Mitarbeiter beispielsweise (wenn auch vertraglich untersagt) über seinen geschäftlichen E-Mail-Account privat mit seiner neuen Freundin persönliche E-Mails aus, so dürfen diese E-Mails keinesfalls archiviert werden, da hierbei die personenbezogenen Daten dieser Freundin ohne deren Zustimmung archiviert werden würden. CRM-Plus filtert selbst bei aktivierter „Komplettarchivierung“ diese Arten von E-Mails aus. Neben der Komplettarchivierung bietet CRM-Plus zusätzlich auch eine fallbezogene E-Mail-Archivierung, da nur geschäftlich relevante E-Mails unter die gesetzliche Aufbewahrungspflicht fallen (Stichwort „Datenminimierung“).
  Speziell auf Ihr Unternehmen zugeschnittene Datenübertragbarkeit
Dass zur Einhaltung des Rechts auf Datenübertragbarkeit eine CRM-Software eine Funktion zum Export eines allgemein maschinenlesbaren Formats enthalten sollte, dürfte selbsterklärend sein. Doch jedes Unternehmen und insbesondere branchenunterschiedliche Unternehmen speichern auch unterschiedliche personenbezogene Daten. Ein DSGVO-konformer Exportfilter muss justierbar sein.

Kommentar: Erstellen Sie in CRM-Plus im Handumdrehen ein speziell auf Ihre Unternehmensstruktur ausgerichtetes Exportlayout. Einmal erstellt, können Sie zukünftig auf Knopfdruck einen DSGVO-konformen Datenexport erstellen, welcher zudem auch tatsächlich nur die Daten beinhaltet, welche personenbezogen sind. Firmeninterne Daten bleiben firmenintern und generell ungenutzte Datenfelder werden erst gar nicht übernommen.
  Automatisierungsoptionen für Aufbewahrungsfristen
Unternehmen sind verpflichtet, personenbezogene Daten bei Verlust der „Zweckbindung“ zeitnah zu löschen (Recht auf Vergessenwerden). Hierzu gibt es mehrere softwareseitige Lösungsansätze. Angefangen mit rigorosem Löschen nach Ablauf einer bestimmten Frist, bis hin zu den in der Kritik stehenden „Blacklistings“ (personenbezogene Daten bleiben „unsichtbar“ erhalten). Beides hat Vor- und Nachteile. So können Viren und Trojaner aber auch leere Batterien einer Mutterplatine das Systemdatum eines Rechners soweit beeinflussen, dass Sie nicht sofort bemerken, wenn sich dieser bereits im Jahr 2060 befindet. Spätestens wenn Sie nach Bearbeitung weiterer Datensätze Daten vermissen, spüren Sie den Nachteil einer „blind“ automatisierten Löschung. Blacklistings sollen hingegen dazu dienen, Daten nicht „versehentlich“ erneut in das System zu überführen. Doch dem steht bereits das „Verbot mit Erlaubnisvorbehalt“ entgegen. Praktisch kann - und darf - es daher nicht sein, dass man personenbezogene Daten in ein System überführt oder überführen möchte, zu denen keine ausdrückliche Erlaubnis vorliegt. Gerade bei Erwerb von „Adresslisten“ sollte man daher äußerst vorsichtig sein.

Kommentar: CRM-Plus ermöglicht Ihnen dank flexiblem Wiedervorlagesystem diese Art von Worst Case Szenarien abzufedern. Daten sind schließlich das Öl des 21. Jahrhunderts und Sie setzen sicherlich nicht grundlos ein CRM-System ein. Einer Löschung und damit den „Verlust eines Kunden“ sollte daher stets eine Profiling-Analyse vorausgehen. Eventuell ist es sinnvoll, sich „rechtzeitig“ nochmals bei dem Kunden in Erinnerung zu bringen. Gelingt dies, beginnt die Aufbewahrungsfrist neu zu laufen. Da sich Wiedervorlagen delegieren lassen, können sich spezielle VIP-Teams der „letztmaligen“ Kontaktaufnahme annehmen, ohne dass die täglichen Kernaufgaben eines allgemeinen Sachbearbeiters beeinträchtigt werden.
  Aufklärung zur Sicherung der Daten und ggf. vertragliche Regelungen
Die Handbücher oder die Programmhilfe sollten Informationen zur regelmäßigen Datensicherung enthalten. Anbieter von rein Cloud-basierten Lösungen sollten über eine vertragliche Regelung (gem. Art. 28 der DSGVO) verfügen. Darüber hinaus sollte Ihnen der Anbieter - unaufgefordert - einen Auftragsverarbeitungsvertrag (AV-Vertrag) anbieten. Einen solchen Vertrag muss nach DSGVO jedes Unternehmen abschließen, welches personenbezogene Daten im Auftrag - somit von einem Dienstleister - verarbeiten lässt. Achten Sie hierbei unbedingt auf Löschpflichten nach Auflösung eines solchen Vertrags.

Kommentar: CRM-Plus zwingt Sie nicht in die Cloud. Hinzu kommt der Umstand, dass selbst wenn ein Anbieter mit "deutschem Rechenzentrum" wirbt, dies noch lange nicht bedeuten muss, dass auch die Spiegelung oder das Backup des Rechenzentrums innerhalb der EWG liegt. Dennoch kann CRM-Plus - auf deutschem Boden - mittels VPS als professionelle Cloud-Lösung eingesetzt werden. Alternativ kann auch eine günstige VPN-Lösung zum Einsatz kommen. Sie allein behalten stets die Hoheit Ihrer Kundendaten, ganz ohne aufwändige Auftragsverarbeitungsverträge.
JBSoftware - „Privacy by Design“ sowie „by Default“, ganz ohne teure Zusatzmodule
Die JBSoftware ist bereits seit 1990 Spezialist auf dem Bereich des professionellen Kontakt- und Informationsmanagements. Neben namhaften Unternehmen setzen auch deutsche Behörden und Gerichte unsere Produkte ein. Je nach Einsatzzweck können Sie sich für die rechtskonforme Gestaltung des internen Kundenbeziehungsmanagements entweder für ein oder für die Kombination mehrerer Produkte der JBSoftware entscheiden. Unser Produktportfolio unterstützt Sie neben der Erfüllung Ihrer Dokumentationspflichten auch beim Schutz personenbezogener Daten mittels flexiblem und dennoch strengem Rechtemanagement, der Datenminimierung, effektiver Verschlüsselung, der Einhaltung von Löschfristen, elektronischer Auskunftserteilung und dem internen Workflow zur datenschutzkonformen Anwendung.
  - CRM-Plus - Nicht erst seit dem 25.05.2018 ein gutes Gefühl!
CRM-Plus unterstützt Sie als zentrales Kundenbeziehungsmanagement bei der DSGVO-konformen Nutzung personenbezogener Daten. Gerade beim Thema Datenschutz war und ist CRM-Plus schon immer Vorreiter gewesen. Ob datenschutzkonformes Mailing, Zugriffskontrolle für (berechtigte) Mitarbeiter, schneller Überblick sämtlicher personenbezogenen Daten oder rechtssicheres E-Mail-Archiv, CRM-Plus begleitet Sie und Ihre Mitarbeiter kontinuierlich auf höchstem Niveau.
  - CRM-Plus und das Recht auf Auskunft sowie Datenübertragbarkeit
Entsprechend den Anforderungen nach Art. 15 der DSGVO ermöglicht Ihnen CRM-Plus dank integriertem Layout-Exportassistent einen frei definierbaren - und damit einen auf Ihr Unternehmen ausgerichteten - Export personenbezogener Daten. Erstellen Sie beispielsweise mit über 100 frei wählbaren Datensatzspalten eine auf Ihr Unternehmen zugeschnittene DSGVO-Exportschablone mit allen zur Umsetzung der Artikel 15 und 20 der DSGVO erforderlichen Daten. Einmal erstellt und gespeichert, können Sie stets auf diese Exportschablone zurückgreifen und halten damit spielend die in Artikel 20 geforderte Monatsfrist ein.
  - CRM-Plus und das Recht auf Berichtigung und Löschung (Vergessenwerden)
Sind Daten falsch oder müssen diese allumfassend gelöscht werden (Recht auf Vergessenwerden), muss ein CRM-System flexibel genug sein, auf entsprechende Wünsche der betroffenen Person zu reagieren. CRM-Plus bietet hierzu gleich mehrere Werkzeuge, angefangen mit einem voll integriertem Ticketsystem, mit dem sich beispielsweise Löschanträge schnell an die zuständige Abteilung delegieren lassen, bis hin zu einem Löschen mittels referentieller Integrität. Technisch gesehen, werden dabei Attributwerte eines verwandten Datensatzes (Fremdschlüssel) auch als Attributwert sogenannter Primärschlüssel geführt. Führen Sie eine Löschung eines Kontaktes durch, so bleiben die nicht personenbezogenen Daten (Unternehmensdaten) unverändert bestehen. Das gleiche gilt für das kontaktbezogene E-Mail-Archiv. Die Löschung eines Kontaktes betrifft nicht die Löschung von E-Mails weiterer Kontakte des gleichen Kunden. Aber auch Sperrvermerke sind möglich, so dass nur noch spezielle Abteilungen auf die als gesperrt markierten Datensätze zurückgreifen können. Das ist wichtig, da trotz Art. 17 der DSGVO mögliche Rechtsvorschriften zur Datenspeicherung die vollständige Löschung verhindern können, aber gleichfalls der Kontakt nicht weiter als „aktiver Kontakt“ geführt werden darf.
  - CRM-Plus und das Recht auf Einschränkung der Verarbeitung
Mit CRM-Plus steuern Sie, ob und wer als Empfänger für Ihre nächste Werbekampagne in Frage kommt. Denn keinesfalls dürfen Newsletter an Empfänger versendet werden, dessen Einverständnis Ihnen nicht vorliegt. Dabei lässt sich die Verarbeitung leicht auf das Minimum einschränken. So unterscheidet CRM-Plus selbstverständlich zwischen unterschiedlichen Werbekanälen. Möchten Sie beispielsweise Newsletter per E-Mail versenden, aktivieren Sie zur Kontaktrecherche geeigneter Empfänger einfach in der rechten Seitenleiste das Feld für „genehmigte Werbung“.
  - CRM-Plus und das Recht auf Widerspruch
Ein einmal aus einem Newsletter ausgetragener Kontakt darf nicht erneut, beispielsweise durch den Import von Adresslisten, den Status „Ja“ für Newsletter erhalten. Der in CRM-Plus integrierte Dublettenassistent, welcher zusätzlich auch - in Echtzeit - die manuelle Datenerfassung ähnlicher Adressen überwacht, sorgt dafür, dass Kontakte nicht versehentlich einen obsoleten Status genehmigter Werbung erhalten.
Wobei hilft CRM-Plus zusätzlich?
- Konfigurierbare Protokollierung
Protokolle sind ein wesentliches Element sowohl in der IT als auch in anderen Geschäftsbereichen. Der Mensch selbst ist fehlbar. Doch schriftliche Aufzeichnungen fixieren eine vereinbarte Richtlinie, Verfahrensschritte oder Handlungen, welche in der Vergangenheit ausgeführt wurden - einschließlich des Zeitpunkts und der Art der Ausführung und des Akteurs.

Die Zweckbindung eines Protokolls ist in den Datenschutzgesetzen von Bund und Ländern geregelt und dient allein dem Zweck der Aufrechterhaltung von Datenschutz/-sicherheit. In Art. 32 DSGVO ("Sicherheit der Verarbeitung") werden Maßnahmen zur Datensicherheit gefordert, mit denen u. a. auch die "Integrität der Daten" zu gewährleisten sind. Das in CRM-Plus aktivierbare Datenschutz-Protokoll liefert hierbei einen wichtigen Baustein zur lückenlosen Nachvollziehbarkeit der Erhebung und Verarbeitung personenbezogener Daten (u. a. auch zu Art. 5 DSGVO - Rechenschaftspflicht). Mit diesem Protokolltyp lassen sich Verarbeitungstätigkeiten automatisiert erfassen und beispielsweise die fristgerechte Umsetzung von Lösch-/Sperranträgen aber auch die des Widerspruchsrechts "on-the-way" vermerken, ohne dabei den täglichen Arbeitsfluss der Mitarbeiter zu behindern.
  - Anträge betroffener Personen mittels Ticketsystem dokumentieren
Nutzen Sie auf Grundlage interner Workflows das in CRM-Plus implementierte Ticketsystem zur Abarbeitung und Dokumentation von Anträgen betroffener Personen. Geht ein solcher Antrag ein, kann dieser von der zuständigen Abteilung fristgerecht bearbeitet und zusätzlichmit Statuseigenschaften versehen werden.
  - Transparenz durch Dokumentation
Dokumentieren Sie kontakt- und benutzerbezogene Maßnahmen personenbezogener Daten. CRM-Plus ermöglicht Ihnen zu diesem Zweck, beliebig viele themenbasierte Informations- und Dokumentationsdatenbanken zu erstellen. Auch eine Trennung der Daten nach Verarbeitungszweck ist damit leicht umsetzbar.
  - Zugriffssteuerung und strenges Rechtemanagement
CRM-Plus bietet nicht einfach nur ein simples Kontaktzugriffsberechtigungskonzept. So sind bei CRM-Plus „by Default“ reine Firmendaten, welche nicht unter den Schutzschirm der EU-DSGVO fallen, strikt von den rein personenbezogenen Daten (den Mitarbeitern einer Firma) getrennt. Zusätzlich kann CRM-Plus Daten auch fallbezogen oder auch generell zur Einhaltung von Trennpflichten mittels Zugriffsrechten splitten. So können beispielsweise sensible Daten, wie biometrische Daten, Krankenakte, genetische Informationen von allgemeinen Kontaktdaten isoliert werden.
  - Erfüllung der neuen Dokumentationspflichten
Unternehmen für die Artikel 30 der DSGVO zutrifft, müssen dokumentieren, in welcher Form und zu welchem Zweck Daten verarbeitet werden. Auch hierbei unterstützt Sie CRM-Plus dank des integrierten Informations- und Dokumentationsdatenbankmoduls. Beispiele und Aufbau eines solchen Verarbeitungsverzeichnisses finden Sie bei der Bitkom:
  - Bekanntgabe über Pflichten der Mitarbeiter an betroffene Benutzer
Dank des Moduls „News & Infos“ (Schwarzes Brett) können alle oder auch nur bestimmte Mitarbeiter oder Teams über wichtige Informationen und Pflichten benachrichtigt werden. Zusätzlich wird deren Lesebestätigung automatisiert eingeholt und archiviert. Für die fristgebundene Information kann ein Gültigkeitszeitraum festgelegt werden. Ist ein Benutzer beispielsweise über die Frist hinaus in Urlaub, kann damit verhindert werden, dass nach seiner Rückkehr auf die befristete Information eine verspätete Lesebestätigung eingeht.
  - Rechtssichere E-Mail-Archivierung nach GoBD
Anforderungen zur rechtssicheren Archivierung von E-Mails ergeben sich neben der DSGVO auch aus den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (kurz GoBD). Dabei besteht zwischen den GoBD und der DSGVO im Hinblick auf Datensicherheit eine hohe Übereinstimmung. CRM-Plus unterstützt mit Version 18 die rechtssichere E-Mail-Archivierung nach diesen Grundsätzen. Die Datenarchivierungsgrundsätze sind auch für Österreich und die Schweiz relevant. So gelten beispielsweise für Österreich die handels- und steuerrechtlichen Vorschriften nach § 189 UGB und §§ 131, 132 BAO sowie das Fachgutachten des Fachsenats Datenverarbeitung der Kammer der Wirtschaftstreuhänder zur "Ordnungsmäßigkeit von IT-Buchführungen" (KFS DV1). Für die Schweiz gelten die Vorschriften zur Buchführung, Aufbewahrung und Edition des schweizerischen Obligationenrechts (OR) sowie die Richtlinien der Treuhand-Kammer bezüglich der Grundsätze ordnungsmäßiger Buchführung (Revisionshandbuch der Schweiz) und die "Richtlinien für die Ordnungsmäßigkeit des Rechnungswesens unter steuerlichen Gesichtspunkten sowie über die Aufzeichnung von Geschäftsunterlagen auf Bild- oder Datenträger und deren Aufbewahrung" der eidgenössischen Steuerverwaltung (EStV).
  - Lokale oder Cloud-basierte Datenspeicherung auf deutschem Boden
Mit CRM-Plus besteht kein Zwang zur Cloud-Nutzung, bei der Sie nicht wissen, wo sich der Serverstandort aktuell oder (aus Kostengründen) zukünftig befindet. Auch müssen Sie nicht zwingend einen Cloud-Anbieter suchen, der die DSGVO wirklich rechtskonform umsetzt. Hinzu kommt der Umstand, dass selbst wenn der Anbieter mit "deutschem Rechenzentrum" wirbt, dies noch lange nicht bedeuten muss, dass selbst die Spiegelung oder das Backup des Rechenzentrums innerhalb der EWG liegt.


Entscheiden ausschließlich Sie das „Wo und Wie“. So können Sie die zugrunde liegende Datenbank entweder rein lokal für sich selbst verwalten, im Team über ein freigegebenes Netzwerkverzeichnis oder höchst skalierbar über einen SQL Server. Zudem kann CRM-Plus über einen professionellen Cloud-Zugang (VPS) oder als günstige Alternative mittels VPN auch von unterwegs im Zugriff stehen. Dabei entscheiden Sie als Lizenznehmer über den genauen Standort der Speicherung und behalten somit stets die Hoheit Ihrer Kundendaten.
DSGVO-READY!
Fakt ist, die europäische DSGVO ist da und die Schonfrist zur Umsetzung vorüber. Abmahnungen, Datenschutzpannen und Klagen von Verbrauchern oder Verbänden können Ihren Ruf nachhaltig schädigen. Es lohnt sich daher, das Thema Datenschutz zu Ihrem wettbewerbsrechtlichen Vorteil zu nutzen. Meiden Sie unbedingt Insellösungen und setzen Sie auf bewährte Produkte mit langjähriger Praxiserfahrung im Bereich professionelles Kontakt- und Informationsmanagement.
Sollten Sie bereits Kunde sein, so können wir Sie im Rahmen unserer umfangreichen Support-Leistungen gerne zwecks DSGVO-konformer Umsetzung Ihrer Datenschutzerklärung an einen unserer Rechtspartner oder an einen externen Datenschutzbeauftragten mit günstiger Jahrespauschale und Datenschutz-Siegel für Ihre Webpräsenz vermitteln. Sprechen Sie uns mit der Angabe Ihrer Kundennummer einfach an.
---
Disclaimer

Die auf dieser Seite aufgeführten Informationen erheben weder Anspruch auf Vollständigkeit noch ersetzen diese eine rechtliche Beratung. Bei rechtssicherem Beratungsbedarf zur Einhaltung der DSGVO oder dem BDSG (neu) empfehlen wir Ihnen, sich an einen für Sie zuständigen Datenschutzbeauftragten oder einen Anwalt zu wenden. Nur so erhalten Sie eine rechtsverbindliche Auskunft mit der Garantie, dass diese zum individuellen Anforderungsprofil Ihres Unternehmens passt.

Textbausteinverwaltung ohne Spyware, Adware, Malware

Unsere Webseite wurde von Trainerlink.de zu einer der besten Webadressen zur Weiterbildung gewählt.

Trainerlink - Top Weiterbildungsseite
Die JBSoftware Unternehmensgruppe ist seit 2017 Amazon APN-Technologiepartner
JBSOFTWARE
KONTAKTMANAGEMENT
TEXTVERARBEITUNG
SCANNEN & ARCHIVIERUNG