feature image

DSGVO und Salesforce - Teil 1 unserer Datenschutzreihe

Nur noch 2 Wochen bis zum Stichtag 25. Mai 2018 -  dann tritt die neue EU-Datenschutzverordnung (DSGVO) oder auch General Data Protection Regulation (GDPR) in Kraft. In unserer Datenschutz-Reihe erfahren Sie alle wichtigen Informationen rund um die DSGVO und Salesforce. Dabei gehen wir auch darauf ein, wie Sie das konkret in Ihrer Salesforce Org umsetzen können, bzw. geben Ihnen auch individuelle Lösungsvorschläge an die Hand.

In unserem letzten Beitrag „DSGVO - Sind Sie noch compliant?“ haben wir bereits einige Aspekte der DSGVO betrachtet – mit Fokus auf den Einsatz von HubSpot.

Mit unserer Datenschutzreihe wollen wir nun die einzelnen Richtlinien und ihre Auswirkungen auf Unternehmen detaillierter betrachten. In unserem ersten Teil gehen wir zunächst auf die Grundsätze der DSGVO ein: Was muss bei der Erhebung und Verarbeitung der Daten beachtet werden? Wie bilden Sie das in Salesforce ab? Wo finde ich Unterlagen zu Salesforce und der DSGVO?  

Starten wir am Anfang:

Wer muss sich an die neuen DSGVO-Richtlinien halten?

Grundsätzlich davon betroffen sind alle Unternehmen, die in der Europäischen Union Waren oder Dienstleistungen anbieten.

Es wird dabei nicht nach B2C- oder B2B-Daten unterschieden, denn auch im B2B-Bereich werden personenbezogene Daten, wie z.B. Name und E-Mail-Adresse eines Kontaktes im Unternehmen, erhoben. Auch Unternehmen, die zwar im Ausland ansässig sind, aber personenbezogene Daten von EU-Bürgern erfassen und verarbeiten oder eine Niederlassung in der EU haben, müssen der neuen DSGVO entsprechen (Art. 3, DSGVO).

Was ist das Ziel der DSGVO?

Mit der EU-weiten Vereinheitlichung des Datenschutzrechts wird der Umgang mit personenbezogenen Daten stärker reglementiert. Der Verbraucher hat dadurch mehr Bestimmungsrechte: er entscheidet, ob persönliche Daten von ihm erhoben werden dürfen, in welchem Umfang und zu welchem Zweck sie verarbeitet oder gespeichert werden. Er kann jederzeit Auskunft darüber verlangen oder Widerspruch einlegen.

Werden die neuen Vorschriften nicht eingehalten drohen Sanktionen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83, Buchstabe 5, DSGVO).

STeigen wir tiefer in die Materie ein:

Grundsätze der DSGVO (Art.5-11, DSGVO)

Sie fragen sich an dieser Stelle vielleicht, warum wir so detailliert in eine doch recht trockene Materie einsteigen und welche Auswirkung das auf Ihre Arbeit mit Salesforce zu tun hat.

Ganz einfach: In den Grundsätzen wird wohl einer der wichtigsten Bestandteile geregelt: wann und wie darf ich in Zukunft mit meinen (potenziellen) Kunden datenschutzkonform kommunizieren bzw. deren Daten verarbeiten? Das wirkt sich auf Ihre Arbeit und auch auf Ihre Salesforce Org aus, denn hier verarbeiten und speichern Sie die Daten von Leads und Kontakten.

Die Grundsätze der Verarbeitung von Daten:

Mit den Grundsätzen der Verarbeitung personenbezogener Daten müssen folgende Datenschutz-Prinzipien verfolgt werden (Art.5, DSGVO):

  • Rechtmäßigkeit: Personenbezogene Daten dürfen nur auf Basis einer Einwilligung verarbeitet werden.
  • Transparenz: Die betroffene Person soll umfassend über die Erhebung personenbezogener Daten in einer klaren und verständlichen Sprache informiert werden (Bsp.: über Ihre Datenschutzerklärung).
  • Zweckbindung: Daten dürfen nur zu dem Zweck verarbeitet werden, für welchen Sie erhoben wurden.
  • Datenminimierung: Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie Sie sie tatsächlich benötigen, um Ihren Service ausüben zu können.
  • Datenrichtigkeit: Die Daten müssen inhaltlich sowie sachlich korrekt und aktuell gehalten werden.
  • Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für die Verarbeitungszwecke notwendig ist.
  • Integrität und Vertraulichkeitdie Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet (z.B. durch geeignete technische und organisatorische Maßnahmen).
  • Rechenschaftspflicht: Der Verantwortliche (z.B. das Unternehmen) ist für die Einhaltung dieser Grundsätze verantwortlich.

Wann darf ich die Daten verarbeiten?

Nach wie vor gilt das Verarbeitungsverbot mit Erlaubnisvorbehalt (§4, BDSG), d.h. es dürfen grundsätzlich keine personenbezogenen Daten erhoben werden.

Allerdings ist eine Verarbeitung rechtmäßig, wenn eine der Bedingungen aus dem Artikel 6 der DSGVO erfüllt ist. Hier die drei relevantesten Bedingungen:

  • Wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat
  • Wenn es für die Erfüllung eines Vertrages oder einer vorvertraglichen Maßnahme notwendig ist
  • Wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist

Hinweis: Im Erwägungsgrund 47 beschreibt die DSGVO, was ein „berechtigtes Interesse“ sein könnte: „…wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Allerdings: „Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen“. Wir werden diesen Abschnitt auch in einem unserer nächsten Teile der Datenschutzreihe gesondert betrachten.

Vorgaben für die Einwilligungen

  • Die Einwilligung muss vom Verantwortlichen - in unserem Fall dem Unternehmen -nachgewiesen werden können.
  • Erfolgt die Einwilligung schriftlich im Zusammenhang mit anderen Sachverhalten, wie z.B. den AGBs, muss die Einwilligung in „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist“.
  • Die Einwilligung kann jederzeit widerrufen werden, die betroffene Person muss vor Abgabe der Einwilligung von dieser Möglichkeit in Kenntnis gesetzt werden und der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
  • Die Einwilligung muss freiwillig erfolgen. Dabei zu berücksichtigen ist, „ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist“.

Nach der vielen Theorie: 

Was bedeutet das für Ihre Arbeit mit Salesforce?

Salesforce stellt eine ganze Reihe an Dokumenten zum Thema DSGVO/GDPR zur Verfügung, um ihre Kunden dabei zu unterstützen sich auf die neuen Richtlinien vorzubereiten. Auf der Salesforce GDPR-Website finden Sie alle wichtigen Informationen dazu.

Eine Vereinbarung zur Auftragsverarbeitung

Und nun konkret: Durch den Einsatz von Salesforce übermitteln Sie personenbezogene Daten an einen Drittanbieter außerhalb der EU. Sie benötigen also eine Vereinbarung zur Auftragsverarbeitung mit Salesforce. Hierfür verweist Salesforce auf ihr „Data Processing Addendum (“DPA”)“. Dieses referenziert die verbindlichen internen Datenschutzvorschriften von Salesforce, die „Privacy Shield“-Zertifizierung und die EU-Standardvertragsklauseln der Europäischen Kommission.

Das Individual-Objekt

Um den neuen Richtlinien zu entsprechen, sollten Sie sämtliche Datenschutz-Informationen Ihrer Leads, Kontakte und Accounts dokumentieren. 

Hierfür können Sie z.B. das neue „Individual“-Objekt in Salesforce nutzen. Dieses Objekt gibt es seit dem Spring’18 Release für die Sales und Service Cloud. Es ermöglicht Ihnen die Datenschutzpräferenzen, also auch die „Art“ der Verarbeitung, Ihrer Leads, Kontakte und Accounts zu dokumentieren. Da es ein separater Datensatz ist, können Sie ihn z.B. auch verschlüsseln – Ihre Leads und Kontakte bleiben weiterhin sichtbar.  

Individual Object Salesforce 

Sie können diese Präferenzen im „Individual“ auch dazu nutzen bestimmte Automatismen, bzw. Prozesse anzustoßen, wie z.B. das Löschen von Daten. Da es diese Automatismen noch nicht gibt, arbeiten wir gerade an einer individuellen Lösung, um genau diese in der Salesforce Cloud einfach implementieren zu können. Dazu dann mehr in unserem zweiten Teil der Datenschutzreihe. Falls Sie schon jetzt Fragen zu dieser Lösungen haben, dann kontaktieren Sie uns einfach.

Das Opt-In-Verfahren

Sie benötigen eine freiwillige sowie eindeutige Einwilligung Ihres Leads oder Kontaktes für die Datenverarbeitung und müssen dies auch nachweisen können. 

Damit gehört das weit verbreitete Opt-Out- oder Soft-Opt-In-Verfahren der Vergangenheit an. Denn bei beiden Verfahren ist das Häkchen für die Einwilligung zur Datenverarbeitung bereits gesetzt und der Betroffene muss das Häkchen erst aktiv entfernen, um der Verarbeitung zu widersprechen.

Also heißt es in Zukunft: Sie benötigen ein Opt-In-Verfahren, bei dem das Häkchen zur Einwilligung zur Datenverarbeitung von der betroffenen Person aktiv gesetzt werden muss.

Auf der sicheren Seite sind Sie mit dem Double-Opt-In-Verfahren: Wenn ein Lead oder Kontakt in einem Web-Formular angibt, dass er z.B. einen Newsletter erhalten will, wird eine E-Mail mit einem Bestätigungslink verschickt. Erst nach dem Klick auf diesen Link wird der Lead in die Verteiler-Liste aufgenommen. Dadurch haben Sie zum einen die aktive Einwilligung und gleichzeitig ist diese auch dokumentiert.

Um diesen Prozess in Ihrer Salesforce Org abzubilden, können Sie z.B. auch auf unsere schlanke und einfach zu implementierende Lösung für einen nativen Salesforce Subscription Center zurückgreifen.

SF DOI Processes - Salesforce Subscription Center_cut

Dieser automatisiert den gesamten Einwilligungsprozess z.B. bei Newsletter-Anmeldungen von Leads und Kontakten. 

Hinweis: Wenn Sie Leads offline generieren, z.B. bei einer Messe, ist ein Opt-In so nicht möglich. Daher sollten Sie bei der allerersten elektronischen Kontaktaufnahme, beispielsweise bei der Follow-Up-E-Mail, den Lead über Ihre Datenschutzsbestimmungen aufklären und die Einwilligung zur Verarbeitung einholen.

Falls Sie auch HubSpot bei sich einsetzen, könnte Sie auch diese Double-Opt-In Lösung interessieren.

Weitere Dokumente von Salesforce zu GDPR

Finden Sie hier weitere hilfreiche Informationen von Salesforce:


Zusammenfassung und Ausblick 

 

  • Informieren Sie Ihre Leads und Kontakte genau, wann welche personenbezogenen Daten von wem erhoben werden, z.B. über die Datenschutzerklärung Ihrer Website
  • Dokumentieren Sie die Datenschutzpräferenzen Ihrer Leads und Kontakte
  • Prüfen Sie, zu welchen Leads, Kontakten und Accounts Sie Einwilligungen vorliegen haben, fehlen Ihnen Einwilligungen, dann müssen Sie diese nachträglich einholen
  • Prüfen Sie ebenfalls, ob Sie das in Salesforce auch entsprechend dokumentieren können
  • Passen Sie Ihre Prozesse zur Einholung von Einwilligungen an

In unserem zweiten Teil gehen wir genauer auf die Erweiterungen der DSGVO ein, wie z.B. das Recht auf Löschen und die Datenübertragbarkeit. Wir zeigen Ihnen auch, wie Sie das in Ihrer Sales Cloud oder Marketing Cloud umsetzen können.

Disclaimer: Der folgende Artikel stellt keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen gesammelt, können aber absolut keine Garantie auf die Richtigkeit geben.

 

Ressourcen

  • Share this offer:

Haben wir Ihr Interesse geweckt?

Haben Sie Fragen zum Thema DSGVO und Salesforce oder zu anderen individuellen Lösungen in Salesforce? Unsere Berater helfen Ihnen gern weiter! 

Kontaktieren Sie uns einfach telefonisch unter 0800 181 4054.
Wir freuen uns über Ihre Nachricht.

Infos anfordern