Salesforce DSGVO
Inhalt
Was ist die DSGVO?
Die EU-Datenschutz-Grundverordnung (DSGVO), die General Data Protection Regulation (GDPR), gilt seit dem 25.05.2018 verbindlich in allen EU-Staaten und stellt eine bedeutende Erweiterung des Datenschutzes für personenbezogene Daten dar. Die Europäische Union berücksichtigt damit die rasanten technologischen Veränderungen und den weltweiten Austausch von persönlichen Daten, die mit der fortschreitenden Globalisierung einhergehen. Die DSGVO stellt ein einheitliches Regelwerk dar, das nationalen Gesetzen der Mitgliedsländer übergeordnet ist und in jedem der Länder durchsetzbar ist. Unternehmen, die gegen die DSGVO verstoßen, drohen Strafen von bis zu 20 Millionen Euro bzw. 4 % ihres Jahresumsatzes.
Anforderungen DSGVO
Die neuen Pflichten gelten nicht nur für Unternehmen mit einer Niederlassung in der EU, sondern für alle Firmen, die personenbezogene Daten von innerhalb der EU lebenden Personen verarbeiten, vermarkten oder nachverfolgen. Die DSGVO führt zunächst zu einem erhöhten organisatorischen Mehraufwand und macht neue Prozesse notwendig. Doch sie kann auch als Chance verstanden werden, da sie die unterschiedlichen nationalen Regelungen vereinheitlicht. Gerade für Unternehmen, die europaweit agieren, kann die DSGVO die Compliance sogar vereinfachen.
DSGVO-Leitprinzipien
Die einzelnen Anforderungen der DSGVO leiten sich aus den folgenden Grundprinzipien ab:
- Fairness und Transparenz: Unternehmen müssen personenbezogene Daten stets rechtmäßig und transparent verarbeiten.
- Zweckbindung: Sie dürfen Daten nur für vereinbarte, eindeutige und legitimierte Zwecke erheben.
- Datenminimierung: Unternehmen dürfen nur solche Daten erheben, die angemessen, erheblich und für den beabsichtigten Zweck der Verarbeitung notwendig sind.
- Richtigkeit: Die verarbeiteten Daten müssen richtig sein und auf dem neuesten Stand gehalten werden.
- Datenlöschung: Daten dürfen nur so lange gespeichert werden, wie es für den vereinbarten Zweck notwendig ist.
- Sicherheit: Unternehmen müssen geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff, unbefugter Verarbeitung und Veränderung sowie Verlust und Vernichtung ergreifen. Teilweise wird explizit eine Datentrennung, Verschlüsselung, Pseudonymisierung sowie Anonymisierung der Daten gefordert.
- Rechenschaftspflicht: Unternehmen müssen die Einhaltung der DSGVO-Vorschriften nachweisen, dazu einen Datenschutzbeauftragten benennen, Verträge mit Auftragsverarbeitern schließen und die Grundsätze Privacy by Design und Privacy by Default berücksichtigen.
Für den Einzelnen ergeben sich daraus verschiedene konkrete Rechte, beispielsweise das Recht auf Auskunft oder Löschung seiner Daten. Um diese Rechte zu wahren, müssen Unternehmen nicht nur organisatorische Prozesse implementieren, sondern auch ihre digitalen Arbeitsprozesse anpassen.
Was bedeutet die DSGVO für Verbraucher und Unternehmen?
Die DSGVO bringt für Verbraucher und Unternehmen einige Veränderungen mit sich, die im Folgenden kurz erläutert werden:
- Erweiterte Rechte für EU-Bürger: Personen innerhalb der Europäischen Union haben erweiterte Rechte hinsichtlich Löschung, Einschränkung der Verarbeitung und Übertragbarkeit personenbezogener Daten.
- Verpflichtung zur Einhaltung: Unternehmen müssen angemessene Richtlinien und Sicherheitsprotokolle umsetzen, Datenaktivitäten aufzeichnen und schriftliche Vereinbarungen mit Lieferanten eingehen.
- Meldepflicht bei Datenschutz- und Sicherheitsverstößen: Bestimmte Datenschutzverstöße müssen bei Datenschutzbehörden beziehungsweise den Betroffenen angezeigt werden.
- Neue Anforderungen für Profile und Überwachung: Zusätzliche Verpflichtungen für Unternehmen, die sich mit Profilerstellung oder Beobachtung von Personen innerhalb der EU befassen.
- Datenschutzvorschriften: Unternehmen können personenbezogene Daten an Standorte außerhalb der EU übertragen, indem sie verbindliche interne Datenschutzvorschriften einhalten.
- Durchsetzung: Bei Verstößen sieht die DSGVO Geldstrafen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes vor.
- Zusammenarbeit und Kohärenz: Unternehmen mit Niederlassungen in mehreren EU-Ländern werden bei grenzübergreifenden Themen zur Kooperation mit einer Aufsichtsbehörde verpflichtet.
Datenschutz Salesforce
Salesforce verfügt seit jeher über einen hohen Sicherheitsstandard in Bezug auf personenbezogene Daten, da das Geschäftsmodell auf der Verarbeitung und Speicherung sensibler Informationen basiert.
Salesforce bietet Unternehmen alle technischen Voraussetzungen, um DSGVO-konform zu agieren. Jedoch ist jedes anwendende Unternehmen selbst gefordert, die Plattform entsprechend zu nutzen und weitere notwendige Prozesse einzurichten.
Im Hilfe-Bereich finden Nutzer Dokumentationen an, in denen sie nachlesen können, wie sie die verschiedenen Vorgaben der DSGVO in Salesforce Schritt für Schritt umsetzen können – zum Beispiel, Dokumentation…
- zur Löschung personenbezogener Daten
- zum Management von Kundeneinwilligungen (Berücksichtigung von Kundenwünschen bei der Datenverarbeitung und Kontaktaufnahme)
- zur Umsetzung der eingeschränkten Datenverarbeitung
- zur Datenübertragbarkeit
DSGVO-konformer Salesforce-Prozesse
Unternehmen sollten sich von ihrem Datenschutzbeauftragten oder einem Rechtsanwalt beraten lassen, um sicherzustellen, dass sie alle Prozesse DSGVO-konform anpassen. Salesforce macht es seinen Anwendern leicht, die neuen Regelungen umzusetzen.
Die größte Herausforderung in der Compliance ergibt sich meist daraus, dass Unternehmen nicht einen zentralen Datenhub nutzen, sondern ihre Informationen an verschiedenen Orten – in Excel-Tabellen, Ordnern oder Cloud-Ablagen – speichern. Was mit einmal erhobenen Daten geschieht, kann so kaum noch zweifelsfrei nachvollzogen werden.
Um datenschutzkonforme Prozesse für personenbezogene Daten zu implementieren, ist es notwendig, diese Landschaft aus Datensilos aufzulösen und Redundanzen zu entfernen, damit die neuen Prozesse lückenlos und eindeutig für alle erfassten Daten greifen. Mit Salesforce haben Unternehmen diese Hürde bereits genommen: Der Datenbestand ist bereits vereinheitlicht und das CRM der „Single Point of Truth“. Den Datenbestand DSGVO-konform zu gestalten, ist nun ein vergleichsweise einfacher Vorgang.
Lassen Sie uns einige Beispiele betrachten. Im Folgenden erfahren Sie, wie Sie die Einwilligung zur Datenverarbeitung DSGVO-konform abbilden sowie das Recht auf Widerspruch, Auskunft und Datenlöschung rechtssicher abbilden.
Einwilligungsverwaltung
Wenn Sie Kontaktdaten erheben, sollten Sie neben Feldern für ein Opt-In- oder Double-Opt-In-Verfahren als Teil Ihrer Nachweispflicht auch ein Feld vorsehen, um zu vermerken, wie die Person konkret zugestimmt hat, z. B. über ein Formblatt, per Online-Formular o. ä.
In einigen Fällen können Sie die Felder automatisch befüllen lassen, zum Beispiel beim Einsatz von Web2Lead-Formularen auf Ihrer Unternehmenswebsite. In unserem Fall könnte dies wie folgt aussehen:
Widerspruch
Nutzer haben das Recht, ihre Einwilligung zur Datenverarbeitung jederzeit ganz oder teilweise zu widerrufen. Am einfachsten lassen sich Widersprüche vollziehen, wenn Sie zunächst für die verschiedenen Kontaktkanäle dezidierte Einwilligungen einholen und die einzelnen Kanäle (Telefon, E-Mai, Post etc.) dann jeweils mit Sperrvermerken belegen:
Auskunft
Nutzer haben das Recht, über die von ihnen gespeicherten personenbezogenen Daten Auskunft zu erhalten. Als Unternehmen müssen Sie die Daten auf Wunsch exportieren und dem Anfragenden in einem für ihn adäquaten und importierbaren Format bereitstellen. Salesforce bietet dafür den Data Loader an, mit dem Sie beide Anforderungen erfüllen.
Der Data Loader exportiert grundsätzlich im CSV-Format, einem simplen und leicht zu öffnenden Dateiformat. Zudem können Sie die Dateien mithilfe diverser Online-Tools leicht in andere Formate konvertieren.
Löschung
Je nach Berechtigung können Mitarbeiter und Administratoren personenbezogene Daten und Datensätze im System löschen. Kontakte können z. B. einfach über die Funktion im jeweiligen Kontakt gelöscht werden.
Um personenbezogene Daten in nicht indexierten Freitextfeldern zu löschen, sollten Sie die Gesamtheit der Daten zunächst exportieren und dann mit einem Suchlauf nach den Benutzerangaben durchsuchen.
Wenn Sie Salesforce CPQ verwenden, sollten Sie bei einer Löschungsanfrage auch Angebote, Verträge, Aufträge und Rechnungen auf die entsprechenden personenbezogenen Daten prüfen.
Veränderungen DSGVO
Viele Unternehmen waren mit Inkrafttreten der DSGVO verunsichert, ob ihre aktuellen IT-Lösungen geeignet sind, die Anforderungen vollständig abzubilden. Für Unternehmen, die Salesforce nutzen, sind Veränderungen aufgrund der DSGVO jedoch weit weniger aufwändig als von den meisten Anwendern befürchtet.
Auch die Skepsis gegenüber Cloud-Anwendungen flackerte erneut auf, schließlich speicherte man Daten bei Drittanbietern und auf nicht-EU Servern, was als weitere Hürde wahrgenommen wurde. Dass personenbezogene Daten von in der EU lebenden Personen nicht auf außereuropäischen Servern gespeichert werden dürfen, ist allerdings ein Mythos.
Vollständige Compliance
Salesforce hielt bereits vor Inkrafttreten der DSGVO hohe Datenschutzstandards ein und bietet alle technischen Voraussetzungen, dass Unternehmen auch unter den neuen Voraussetzungen compliant sind. Um vollständige Compliance zu erreichen, ist jedoch die Mitarbeit von Unternehmen notwendig (Joint Control). Es reicht nicht aus, einige neue Häkchen in Ihren Salesforce-Modulen zu setzen: Sie müssen Ihre digitalen und organisatorischen Prozesse insgesamt prüfen und gegebenenfalls umfassender anpassen. Solche Change-Prozesse gelingen selten neben dem Tagesgeschäft, sondern profitieren von einer konzentrierten und zügigen Durchführung.
Wenn Sie die DSGVO-Konformität Ihrer Salesforce-Prozesse prüfen oder sich bei der Anpassung beraten lassen wollen, stehen wir Ihnen gerne mit unserem Knowhow zur Seite.
EuGH Urteil vom 16. Juli 2020
Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) eine Entscheidung verkündet, die den Transfer von Daten aus der Europäischen Union (EU) ermöglichen.
Zunächst sollten Sie jedoch prüfen, inwiefern das Urteil für Sie relevant ist. Schauen Sie ob Daten in ein Drittland transportiert werden, indem Sie herausfinden, wo Ihre Salesforce-Services geographisch betrieben werden.
Binding Corporate Rules bleiben unberührt
Salesforce betreibt innerhalb der EU ein Rechenzentrum für Salesforce Instanzen und die darauf gehosteten Services sowie für die Marketing Cloud Stacks. Hingehen wird Salesforce Pardot ausschließlich in den USA betrieben (Stand 28.07.2020). Obwohl die Daten somit die EU verlassen, wird dies in dem Urteil vom 16.07.2020 nicht in Frage gestellt. Vielmehr bilden die Binding Corporate Rules die Basis, welche von den europäischen Datenschutzbehörden im November 2015 genehmigt worden sind. Hierbei ist auch Salesforce Pardot abgedeckt.
Weiterhin geht Salesforce im folgenden Dokument auf die ausgewählten Behörden ein, die die spezifischen Binding Corporae Rules geprüft und freigegeben haben: Data Transfer Mechanism FAQs (salesforce.com)
Binding Corporates Rules sind verbindliche, unternehemenspezifische Datenschutzrichtlinien, die als bedeutsamer Standard der EU-Transfer-Mechanismen für die Übermittlung personenbezogener Daten betrachtet werden.
Was Sie tun können
Wird Ihre Salesforce Instanz oder der Marketing Cloud Stack außerhalb der EU betrieben werden, besteht die Möglichkeit, dass Ihre Instanz umzieht. An dieser Stelle empfiehlt sich ein Gespräch mit einem Berater, der auf Salesforce spezialisiert ist. Darüber hinaus empfiehlt Salesforce, dass alle Kunden das neuste Data Processing Addendum (DPA) abschließen sollten, sofern sie vor November 2015 Salesforce Kunde geworden sind und kein DPA besitzen oder Kunde der Salesforce Tableau Online Services sind.
“Privacy Shield” als ungültig erklärt
Salesforce war eins der ersten Unternehmen, dass mit dem sogenannten “EU-US-Privacy Shield” ausgezeichnet wurde. Dieses Zertifikat existiert allerdings nicht mehr, da es von der europäischen Kommission als ungültig erklärt wurde. Das führt dazu, dass Unternehmen selbst für eine sorgfältige Prüfung der Einhaltung der Datenschutzgesetze. Auch die Gesetze des Empfängerlandes müssen sie selber beurteilen.
Möglichkeiten für den Datentransfer in Drittländer gem. DSGVO
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO),
- Vorliegen geeigneter Garantien (Art. 46 DSGVO) oder
- Ausnahmen für bestimmte Fälle (Art. 49 DSGVO)
Fazit
Insgesamt bietet Salesforce Unternehmen alle technischen Voraussetzungen, um DSGVO-konform zu agieren. Jedoch ist jedes anwendende Unternehmen selbst gefordert, die Plattform entsprechend zu nutzen und weitere notwendige Prozesse einzurichten. In diesem Zusammenhang sollten sich Unternehmen von ihrem Datenschutzbeauftragten oder einem Rechtsanwalt beraten lassen. So kann sichergestellt werden, sie alle Prozesse DSGVO-konform anpassen. Salesforce macht es seinen Anwendern jedoch verhältnismäßig leicht, die neuen Regelungen umzusetzen. Die größte Herausforderung in der Compliance ergibt sich meist daraus, dass Unternehmen nicht einen zentralen Datenhub nutzen, sondern ihre Informationen an verschiedenen Orten speichern. Weiterhin reicht es nicht aus, einige neue Häkchen in Ihren Salesforce-Modulen zu setzen: Sie müssen Ihre digitalen und organisatorischen Prozesse insgesamt prüfen und gegebenenfalls umfassender anpassen.
Kostenlose Websession
Möchten Sie in einem unverbindlichen Gespräch mehr über DSGVO bei Ihnen im Unternehmen erfahren? Dann vereinbaren Sie eine kostenlose Websession mit uns.
FAQ
Was sind die Leitprinzipien der DSGVO?
Die einzelnen Anforderungen der DSGVO leiten sich aus folgenden Grundprinzipien ab:
- Fairness und Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Datenlöschung
- Sicherheit
- Rechenschaftspflicht
Ist Salesforce DSGVO konform?
Ja. Salesforce hat als eines der ersten Unternehmen die Zertifizierung gemäß „EU-US Privacy Shield“ erhalten und sich selbst verbindliche Regelungen für die Auftragsverarbeitung gegeben, um unternehmensinterne Datenströme in Staaten außerhalb des Europäischen Wirtschaftsraums abzusichern.
Salesforce bietet Unternehmen alle technischen Voraussetzungen, um DSGVO-konform zu agieren. Jedoch ist jedes anwendende Unternehmen selbst gefordert, die Plattform entsprechend zu nutzen und weitere notwendige Prozesse einzurichten.
Im Hilfe-Bereich finden Nutzer Dokumentationen an, in denen sie nachlesen können, wie sie die verschiedenen Vorgaben der DSGVO in Salesforce Schritt für Schritt umsetzen können.
Sie möchten bei der DSGVO auf Nummer sicher gehen?
In einem persönlichen Gespräch klären wir Ihren individuellen Anfragen und Herausforderungen. Nachdem Sie das nachfolgende Formular ausgefüllt haben, melde ich mich bei Ihnen, um einen passenden Termin zu vereinbaren.