DSGVO-konform

BSI AG: Wie CRM-Software die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherstellt

103

Der digitale Radiergummi oder auch – Das Recht auf Vergessenwerden – Datenschutz-Grundverordnung

Autor: Fabian Wüest

Nehmen wir mal an, Sie haben vor zwei Jahren ein neues Elektro-Bike gekauft. Die Garantiezeit beträgt zwei Jahre. Welche Daten darf die E-Bike-Firma erfassen und wofür darf sie diese nutzen? Wie lange dürfen die Daten gespeichert werden? Und wann müssen sie gelöscht werden? Um die Richtlinien der soeben in Kraft getretenen DSGVO fehlerfrei einzuhalten, empfiehlt sich ein intelligentes Löschkonzept.

Speichern – archivieren – löschen

Die Europäische Datenschutz-Grundverordnung (DSGVO) legt mit dem „Recht auf Vergessenwerden“ unter anderem fest, wann und wie lange eine Firma Kundendaten speichern darf. In unserem Beispiel darf die E-Bike Firma Ihre Daten nur solange speichern, wie eine Rechtmäßigkeit vorliegt, zum Beispiel, wenn die Daten zur Erfüllung des Vertrags bzw. rechtlicher Verpflichtungen notwendig sind oder wenn Sie eingewilligt haben. Für die E-Bike-Firma bedeutet das: Während der Verkaufsphase und der Garantiezeit darf sie Ihre Daten speichern. Nach der Garantiephase muss die Firma Ihre Daten aufgrund von gesetzlichen Aufbewahrungspflichten für zehn Jahre archivieren. Danach müssen Ihre Daten gelöscht werden – es sei denn, Sie willigen ein, dass Ihre Daten weiterhin zu Werbe- oder Informationszwecken verarbeitet werden dürfen.

Datenschutz systematisch sicherstellen 

Um im Zeitalter von Big Data den Datenschutz in jedem einzelnen Fall gewährleisten zu können, empfiehlt sich ein automatisierter Datenschutz: Ein Datenschutz durch Technik oder „Privacy by Design“. Das bedeutet konkret, dass die Funktionalität für den Datenschutz in der CRM-Software verankert ist. Der Datenschutz der Endkunden ist durch die Technik sichergestellt. Das hat gleich zwei Vorteile: Einerseits sind Sie damit immer auf der sicheren Seite. Außerdem – und das ist in Zeiten gesättigter Märkte nicht minder bedeutsam – bietet Ihnen dies die Möglichkeit, den Datenschutz nicht reaktiv als Abhilfe, sondern proaktiv als Vorbeugung zu realisieren.

Intelligente Löschregeln

„Privacy by Design“ stellt sicher, dass die Löschung der Daten automatisch erfolgt – nach individuell aufgesetzten Löschregeln. Die Löschregeln können an die jeweiligen Bedürfnisse sowie an die aktuelle Rechtslage angepasst werden. Intelligente CRM-Systeme vollziehen die Löschregeln pro Entität (Auftrag, Korrespondenz, Person usw.). Über die Filter wird definiert, wann die Löschregel greifen soll, zum Beispiel nur, wenn die Person keine offenen Aufträge oder Bestellungen mehr hat. Mit den Sperr- und Löschfristen lässt sich festlegen, zu welchem Zeitpunkt die Daten gesperrt bzw. gelöscht werden.

Intelligente Löschregeln in BSI CRM - Datenschutz-GrundverordnungBeispiel für ein Löschkonzept in BSI CRM.

 

Wann muss man löschen, wann reicht es zu sperren?

Im CRM-System lassen sich Aufbewahrungspflichten einrichten, als auch Löschregeln konfigurieren. Durch die Aufbewahrungspflichten werden Daten, die gesetzlich archiviert werden müssen, gesperrt. Zum Beispiel müssen Ihre Daten von der E-Bike-Firma zehn Jahren nach Garantieende archiviert werden. Gesperrte Datensätze können nur von CRM-Benutzern mit spezifischen Rechten bearbeitet werden. „Löschen“ bedeutet, dass die Personen- bzw. Firmendaten, sowie alle Verknüpfungen, z. B. zu Korrespondenzen oder Aufträgen, entfernt werden. Das Löschen von Daten ist irreversibel.

Löschen auf Kundenwunsch

Kunden können explizit verlangen, dass ihre Daten gelöscht werden. Vor dem Löschen findet im CRM-System eine Prüfung der definierten Aufbewahrungspflichten statt. Die Berechtigung zur Löschung von Personen und Firmen kann das Unternehmen über die Benutzerrechte einschränken.

Zufriedene Kunden statt Karteileichen

Durch die Löschung von Daten werden zwar Verknüpfungen und Informationen gelöscht, die Daten können aber weiterhin anonymisiert für Reports und Analysen verwendet werden. Beispielsweise sieht ein Unternehmen weiterhin, wie viele Personen für eine Marketingaktion angeschrieben wurden und wie sie reagiert haben. Sie sieht aber nicht, welche Personen das sind. Der Vorteil des digitalen Radiergummis: Es bleiben nur die aktuellen Daten mit Kundenzustimmung im System. Karteileichen gehören der Vergangenheit an. Anonyme Daten dienen weiterhin den Analysezwecken.

Zufriedene Kunden statt Karteileichen - Datenschutz-GrundverordnungDurch die flexibel konfigurierbaren Löschregeln kann die fiktive Firma Volta Superbikes einen «Bottom up»-Löschprozess definieren: Auftragsdaten werden zehn Jahre nach Garantieende gelöscht; Personendaten erst, wenn keine Aufträge und Kommunikationen mehr mit ihr verknüpft sind. Das heisst: Die Daten einer Person verhindern, dass die Person gelöscht wird. Sobald diese keine Daten mehr hat, müssen die Daten gelöscht werden – es sei denn der Kunde willigt ein.

 Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit. Sie soll den Schutz von personenbezogenen Daten innerhalb der EU sicherstellen sowie den freien Datenverkehr innerhalb des europäischen Binnenmarktes gewährleisten. Unter Artikel 17 klärt die Verordnung auch das „Recht auf Löschung“ bzw. das „Recht auf Vergessenwerden“. Die Verordnung trat am 24.5.2016 in Kraft und muss seit 25. Mai 2018 von allen Unternehmen angewandt werden.
Quelle: www.dsgvo-gesetz.de

Über den Autor: Fabian Wüest ist CRM- und Datenschutz-Experte bei BSI Business Systems Integration AG. BSI CRM bildet die neueste Datenschutzverordnung, die EU-DSGVO, mit durchdachten Funktionalitäten im CRM-System ab. Damit können Sie stets sicher sein, die aktuellen Anforderungen zu erfüllen und sich unbesorgt auf Ihr Kerngeschäft konzentrieren – ganz ohne Paragrafenreiten!

https://www.bsi-software.com/ch-de/crm/crm-und-datenschutz.html