Salesforce DSGVO

Mit dem Inkrafttreten der DSGVO im Mai 2018 gelten in der EU verschärfte Regelungen für das Verarbeiten und Speichern personenbezogener Daten. Salesforce hielt bereits vor dem Stichtag einen hohen Datenschutzstandard ein. Unternehmen können sich dennoch nicht allein auf Salesforce verlassen, sondern müssen eigene Prozesse fachlich definieren, wenn sie das CRM DSGVO-konform nutzen wollen.

Anforderungen DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO), die General Data Protection Regulation (GDPR), gilt seit dem 25.05.2018 verbindlich in allen EU-Staaten. Mit der neuen Datenschutzverordnung hat die EU die Rechte des Einzelnen an seinen personenbezogenen Daten gestärkt und Unternehmen zahlreiche neue Pflichten auferlegt. Unternehmen, die gegen die DSGVO verstoßen, drohen Strafen von bis zu 20 Millionen Euro bzw. 4 % ihres Jahresumsatzes.
Die neuen Pflichten gelten nicht nur für Unternehmen mit einer Niederlassung in der EU, sondern für alle Firmen, die personenbezogene Daten von innerhalb der EU lebenden Personen verarbeiten, vermarkten oder nachverfolgen. Die DSGVO führt zunächst zu einigem organisatorischen Mehraufwand und macht neue Prozesse notwendig. Doch sie kann auch als Chance verstanden werden, da sie die unterschiedlichen nationalen Regelungen vereinheitlicht. Gerade für Unternehmen, die europaweit agieren, kann die DSGVO die Compliance sogar vereinfachen.

DSGVO-Leitprinzipien

Die einzelnen Anforderungen der DSGVO leiten sich aus sechs Grundprinzipien ab:
• Fairness und Transparenz: Unternehmen müssen personenbezogene Daten stets rechtmäßig und transparent verarbeiten.
• Zweckbindung: Unternehmen dürfen Daten nur für vereinbarte, eindeutige und legitimierte Zwecke erheben.
• Datenminimierung: Unternehmen dürfen nur solche Daten erheben, die angemessen, erheblich und für den beabsichtigten Zweck der Verarbeitung notwendig sind.
• Richtigkeit: Die verarbeiteten Daten müssen richtig sein und auf dem neuesten Stand gehalten werden.
• Datenlöschung: Daten dürfen nur so lange gespeichert werden, wie es für den vereinbarten Zweck notwendig ist.
• Sicherheit: Unternehmen müssen geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff, unbefugter Verarbeitung und Veränderung sowie Verlust und Vernichtung ergreifen. Teilweise wird explizit eine Datentrennung, Verschlüsselung, Pseudonymisierung sowie Anonymisierung der Daten gefordert.
• Rechenschaftspflicht: Unternehmen müssen die Einhaltung der DSGVO-Vorschriften nachweisen, dazu einen Datenschutzbeauftragten benennen, Verträge mit Auftragsverarbeitern schließen und die Grundsätze Privacy by Design und Privacy by Default berücksichtigen.
Für den Einzelnen ergeben sich daraus verschiedene konkrete Rechte, beispielsweise das Recht auf Auskunft oder Löschung seiner Daten. Um diese Rechte zu wahren, müssen Unternehmen nicht nur organisatorische Prozesse implementieren, sondern auch ihre digitalen Arbeitsprozesse anpassen.

E-Book: Salesforce Einführung

Warum Salesforce? Vor- und Nachteile auf einen Blick: 4 Schritte bis zur Einführung sowie 7 Todsünden einer Salesforce-Einführung.

Datenschutz Salesforce

Salesforce verfügt seit jeher über einen hohen Sicherheitsstandard in Bezug auf personenbezogene Daten, da das Geschäftsmodell auf der Verarbeitung und Speicherung sensibler Informationen basiert.
So hat Salesforce als eines der ersten Unternehmen die Zertifizierung gemäß „EU-US Privacy Shield“ erhalten und sich selbst verbindliche Regelungen für die Auftragsverarbeitung gegeben, um unternehmensinterne Datenströme in Staaten außerhalb des Europäischen Wirtschaftsraums abzusichern.
Salesforce bietet Unternehmen alle technischen Voraussetzungen, um DSGVO-konform zu agieren. Jedoch ist jedes anwendende Unternehmen selbst gefordert, die Plattform entsprechend zu nutzen und weitere notwendige Prozesse einzurichten.
Im Hilfe-Bereich finden Nutzer Dokumentationen an, in denen sie nachlesen können, wie sie die verschiedenen Vorgaben der DSGVO in Salesforce Schritt für Schritt umsetzen können – zum Beispiel:
• Dokumentation zur Löschung personenbezogener Daten
• Dokumentation zum Management von Kundeneinwilligungen (Berücksichtigung von Kundenwünschen bei der Datenverarbeitung und Kontaktaufnahme)
• Dokumentation zur Umsetzung der eingeschränkten Datenverarbeitung
• Dokumentation zur Datenübertragbarkeit

DSGVO-konformer Salesforce-Prozesse

Unternehmen sollten sich von ihrem Datenschutzbeauftragten oder einem Rechtsanwalt beraten lassen, um sicherzustellen, dass sie alle Prozesse DSGVO-konform anpassen. Salesforce macht es seinen Anwendern jedoch verhältnismäßig leicht, die neuen Regelungen umzusetzen.
Die größte Herausforderung in der Compliance ergibt sich meist daraus, dass Unternehmen nicht einen zentralen Datenhub nutzen, sondern ihre Informationen an verschiedenen Orten – in Excel-Tabellen, Ordnern oder Cloud-Ablagen – speichern. Was mit einmal erhobenen Daten geschieht, kann so kaum noch zweifelsfrei nachvollzogen werden.
Um datenschutzkonforme Prozesse für personenbezogene Daten zu implementieren, ist es notwendig, diese Landschaft aus Datensilos aufzulösen und Redundanzen zu entfernen, damit die neuen Prozesse lückenlos und eindeutig für alle erfassten Daten greifen. Mit Salesforce haben Unternehmen diese Hürde bereits genommen: Der Datenbestand ist bereits vereinheitlicht und das CRM der „Single Point of Truth“. Den Datenbestand DSGVO-konform zu gestalten, ist nun ein vergleichsweise einfacher Vorgang.
Lassen Sie uns einige Beispiele betrachten. Im Folgenden erfahren Sie, wie Sie die Einwilligung zur Datenverarbeitung DSGVO-konform abbilden sowie das Recht auf Widerspruch, Auskunft und Datenlöschung rechtssicher abbilden.

Einwilligungsverwaltung

Wenn Sie Kontaktdaten erheben, sollten Sie neben Feldern für ein Opt-In- oder Double-Opt-In-Verfahren als Teil Ihrer Nachweispflicht auch ein Feld vorsehen, um zu vermerken, wie die Person konkret zugestimmt hat, z. B. über ein Formblatt, per Online-Formular o. ä.

Salesforce DSGVO

Abbildung 1 Beispielhafte Feldanpassungen zur Einwilligungsverwaltung in Salesforce

In einigen Fällen können Sie die Felder automatisch befüllen lassen, zum Beispiel beim Einsatz von Web2Lead-Formularen auf Ihrer Unternehmenswebsite. In unserem Fall könnte dies wie folgt aussehen:

SalesForceDSGVO

Abbildung 2 Felder automatisch befüllen lassen

Widerspruch

Nutzer haben das Recht, ihre Einwilligung zur Datenverarbeitung jederzeit ganz oder teilweise zu widerrufen. Am einfachsten lassen sich Widersprüche vollziehen, wenn Sie zunächst für die verschiedenen Kontaktkanäle dezidierte Einwilligungen einholen und die einzelnen Kanäle (Telefon, E-Mai, Post etc.) dann jeweils mit Sperrvermerken belegen:

Salesforce DSGVO

Abbildung 3 Einwilligung zur Datenverarbeitung widerrufen

Auskunft

Nutzer haben das Recht, über die von ihnen gespeicherten personenbezogenen Daten Auskunft zu erhalten. Als Unternehmen müssen Sie die Daten auf Wunsch exportieren und dem Anfragenden in einem für ihn adäquaten und importierbaren Format bereitstellen. Salesforce bietet dafür den Data Loader an, mit dem Sie beide Anforderungen erfüllen.
Der Data Loader exportiert grundsätzlich im CSV-Format, einem simplen und leicht zu öffnenden Dateiformat. Zudem können Sie die Dateien mithilfe diverser Online-Tools leicht in andere Formate konvertieren.

Salesforce DSGVO

Abbildung 4 Auskunft mit Data Loader

Löschung

Je nach Berechtigung können Mitarbeiter und Administratoren personenbezogene Daten und Datensätze im System löschen. Kontakte können z. B. einfach über die Funktion im jeweiligen Kontakt gelöscht werden.
Um personenbezogene Daten in nicht indexierten Freitextfeldern zu löschen, sollten Sie die Gesamtheit der Daten zunächst exportieren und dann mit einem Suchlauf nach den Benutzerangaben durchsuchen.

Salesforce DSGVO

Abbildung 5 Personenbezogene Daten löschen

Wenn Sie Salesforce CPQ verwenden, sollten Sie bei einer Löschungsanfrage auch Angebote, Verträge, Aufträge und Rechnungen auf die entsprechenden personenbezogenen Daten prüfen.

Veränderungen DSGVO

Viele Unternehmen waren mit Inkrafttreten der DSGVO verunsichert, ob ihre aktuellen IT-Lösungen geeignet sind, die Anforderungen vollständig abzubilden. Für Unternehmen, die Salesforce nutzen, sind Veränderungen aufgrund der DSGVO jedoch weit weniger aufwändig als von den meisten Anwendern befürchtet.
Auch die Skepsis gegenüber Cloud-Anwendungen flackerte erneut auf, schließlich speicherte man Daten bei Drittanbietern und auf nicht-EU Servern, was als weitere Hürde wahrgenommen wurde. Dass personenbezogene Daten von in der EU lebenden Personen nicht auf außereuropäischen Servern gespeichert werden dürfen, ist allerdings ein Mythos. Die DSGVO macht hierzu keine neuen Vorgaben und Salesforce sichert den Transfer seit Jahren nach den Standards der „EU-U.S. Privacy Shield“-Zertifizierung.

Auf der sicheren Seite in Sachen Datenschutz – Alles zur DSGVO

Jeder Kunde möchte, dass seine personenbezogenen Daten geschützt werden, das schreibt nun auch die DSGVO vor. Entgehen sie den utopisch hohen Strafen!

Vollständige Compliance

Salesforce hielt bereits vor Inkrafttreten der DSGVO hohe Datenschutzstandards ein und bietet alle technischen Voraussetzungen, dass Unternehmen auch unter den neuen Voraussetzungen compliant sind. Um vollständige Compliance zu erreichen, ist jedoch die Mitarbeit von Unternehmen notwendig (Joint Control). Es reicht nicht aus, einige neue Häkchen in Ihren Salesforce-Modulen zu setzen: Sie müssen Ihre digitalen und organisatorischen Prozesse insgesamt prüfen und gegebenenfalls umfassender anpassen. Solche Change-Prozesse gelingen selten neben dem Tagesgeschäft, sondern profitieren von einer konzentrierten und zügigen Durchführung.
Wenn Sie die DSGVO-Konformität Ihrer Salesforce-Prozesse prüfen oder sich bei der Anpassung beraten lassen wollen, stehen wir Ihnen gerne mit unserem Knowhow zur Seite.


Das könnte Sie auch interessieren:



Unsere Produkte zu Salesforce DSGVO

Ihr aktuelles Berechtigungskonzept erfüllt nicht die Erwartungen, die Sie an Ihr System stellen? Sie verstoßen möglicherweise sogar gegen gesetzliche Auflagen? Wir unterstützen Sie beim Aufbau eines performanten Salesforce Berechtigungskonzepts.

Mehr Informationen

Modernes Active Sourcing bedeutet Beziehungsmanagement. Durch die Flexibilität von Salesforce wird aus dem laut Gartner besten Customer-Relationship-Management Tool ein exzellentes Talent-Relationship-Management System.

Mehr Informationen

Mit dem Kampagnenkalender „Campaignize“ haben Anwender die Möglichkeit, ihre Salesforce-Kampagnen auf einfache Art und Weise zu visualisieren und zu organisieren. Campaignize stellt alle Kampagnen in einer übersichtlichen Oberfläche in Zeitstrahlen dar, wodurch Sie nie die Übersicht über …

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support