Fragen Sie bei Ihren Software-Partnern und -Dienstleistern genauer nach.
Viele Unternehmen verlassen sich in punkto IT auf die Kompetenz ihrer Software-Partner und -Dienstleister. Das ist in ganz vielen Fällen auch gut so. Oft gilt allerdings: Vertrauen ist gut, Nachfragen ist besser. Ein paar kluge Nachfragen ersetzen natürlich keine Detail-Prüfung. Sie sind als Vorbereitung und Einstieg in einen Dialog zur Datenschutzkonformität der jeweiligen Lösung gedacht.
„Viele Softwarelösungen stehen in der Kritik,
die personenbezogenen Daten der Nutzer
ohne Einwilligung und Information
zu sammeln, auszuwerten oder weiterzugeben“,
so Oliver Schonschek für Techtarget.
Auch wir bei cobra erhalten von unseren Kunden Nachfragen, was wir mit den personenbezogenen Daten ihrer Kunden machen (Abbildung 1). Für uns ist das ein Zeichen dafür, dass sich unsere Kunden und Partner ihrer Verantwortung bezüglich des Datenschutzes bewusst sind. Damit auch Sie die richtigen Fragen an Ihre Software-Partner sowie -Dienstleister parat haben, haben wir Ihnen hier zusammengestellt, worauf es ankommt:
Abbildung 1: Aktuelle Kundenanfrage aus dem Bereich CRM und EU-DSGVO
Alle interne und externe Kompetenz nutzt nichts, wenn sie sich nicht gleichzeitig auch in der technologischen Basis niederschlägt. Neben klassischen Themen wie Zertifikate und Cloud-Dienste spielen vor allem die funktionale Unterstützung der EU-DSGVO-Vorgaben sowie die Unterstützung des Datenschutz-Managements eine wichtige Rolle.
Wenn Sie sich nicht sicher sind, inwiefern die von Ihnen eingesetzte Software oder Ihre Dienstleister die Anforderungen der EU-DSGVO erfüllen, sollten Sie sich diesbezüglich unbedingt bei Ihrem Ansprechpartner erkundigen.
Gerade beim Einsatz von Software, die Sie bei der Einhaltung der gesetzlichen Vorgaben der EU-DSGVO unterstützen soll, ist wichtig zu wissen, ob Kernfunktionalitäten geleistet werden können. Ein Beispiel hierfür wäre die Sicherung der Betroffenenrechte, zu denen unter anderem
gehören.
So sollte beispielsweise sichergestellt werden, dass die gespeicherten, personenbezogenen Daten in einem gängigen maschinenlesbaren Format ausgegeben werden können, falls eine Person von ihrem Recht auf Datenportabilität Gebrauch macht.
Desweiteren sollten Sie Bescheid wissen, ob Ihre Dienstleister die technischen und organisatorischen Maßnahmen (kurz: TOMs) im Hinblick auf die Datenschutzgrundverordnung angepasst haben. Hier spielen die Begriffe „Privacy by Design“ und „Privacy by Default“ – auf Deutsch: Datenschutz durch Technikgestaltung bzw. datenschutzfreundliche Grundeinstellungen – eine große Rolle. Kann die eingesetzte Technik des Dienstleisters von Beginn an die Einhaltung des Datenschutzes sicherstellen? Werden nur erforderliche Daten verarbeitet? Und inwieweit wird die Forderung an datenschutzfreundliche Voreinstellungen umgesetzt?
Sie sehen, dass sich aus einer Frage weitere Fragen ergeben. Das wird auch im direkten Gespräch mit Ihrem Ansprechpartner geschehen – das ist auch gut so! Wichtig ist, dass Sie sich nicht scheuen Ihre Fragen zu stellen. Nur wenn Sie genau wissen, was Ihre eingesetzte Software leistet und wie die Arbeitsprozesse Ihres Dienstleisters aussehen, können Sie mit gutem Gewissen sagen: Wir halten den Datenschutz ein.
cobra CRM Experten infomieren Sie umfassend über die Möglichkeiten zur rechtskonformen Umsetzung des Datenschutz 2018 in der CRM Software!
cobra CRM bietet durch Dashboards mit Drill-Downs maximalen Komfort in Sachen Auswertung. Das Thema Datenschutz - insbesondere in Bezug auf personenbezogenen Daten im CRM System - erlangt dabei immer größere Bedeutung.
Wir glauben: Erfolgreiches Datenschutz-Management geht über die bloße Einhaltung der gesetzlichen Vorgaben hinaus. Neben Kernfunktionen im Sinne der EU-DSGVO sind deshalb unserer Meinung nach weitere Komponenten relevant.
Die Software soll Anwender vor allem bei der Gestaltung eines effizienten Datenschutz-Managements und bei der Vermeidung von Fehlern unterstützen. Beides sollte möglichst einfach sein. Stichwort: Nutzerfreundlichkeit. Fragen Sie also Ihren Dienstleister oder den Hersteller Ihrer Software:
Welche Schutzfunktionen bietet die Software-Lösung an, damit es erst gar nicht zu einem Datenschutzverstoß kommt?
Gibt es ein Datenschutz-Cockpit beziehungsweise -Center, mit dem das Management einen Überblick hat, wie die eigene Datenbank aufgestellt ist?
Oder kann ein Datenschutzbeauftragter anhand eines Drill-Downs erfahren,
All‘ diese Informationen sind hilfreich, wenn es darum geht, das eigene Datenschutz-Management zu hinterfragen und gegebenenfalls zu optimieren. Erkundigen Sie sich bei Ihrem Ansprechpartner, ob die eingesetzte Software-Lösung solche Features anbietet. Auch, wenn die Europäische Datenschutzgrundverordnung Ihnen nicht vorschreibt, dass Ihre Mitarbeiter auf einen Blick sehen müssen, ob sie datenschutzkonform arbeiten.
Clouds erfordern im Kontext des Datenschutzes eine große Verantwortung der Unternehmen. Was viele vergessen: Beim Cloud-Computing können Sie die Verantwortung nicht allein auf den Cloud-Anbieter schieben. Nicht Apple, sondern Sie als Nutzer der Cloud sind für die datenschutzkonforme Verarbeitung der Daten verantwortlich. Bevor Sie sich für eine Cloud entscheiden, müssen Sie überprüfen, ob diese die technischen Voraussetzungen erfüllt, um den Anforderungen der EU-DSGVO gerecht zu werden.
So sollten Sie darüber informiert sein, ob und wie die hinterlegten Daten von Drittzugriffen geschützt werden: Gibt es eine Verschlüsselung? Werden die Daten pseudonymisiert? Wo liegt der Server, auf dem die Daten gespeichert werden? Nutzen Sie selbst oder Ihre Dienstleister Cloud-Lösungen, die außerhalb der Bundesrepublik gehostet werden oder die eine Datenübermittlung in Drittländer vorsehen? Dann sollten Sie unbedingt in Erfahrung bringen, ob das erforderliche Datenschutzniveau auch dort sicher gewährleistet wird.
Und Clouds sind hier nur ein Beispiel. Für andere Software-Partner und -Dienstleister gilt ebenfalls, dass Sie sich von der Sicherstellung des Datenschutzes durch Software oder deren Arbeitsprozesse überzeugen müssen. Für Sie bedeutet das: nachfragen, nachfragen, nachfragen.
Fragen Sie Ihre Partner oder Dienstleister, wie die Beachtung des Datenschutzes generell durch Software-Lösungen oder interne Arbeitsabläufe sichergestellt wird. Gibt es Nachweise zur Einhaltung?
Erkundigen Sie sich, ob Ihr Dienstleister einen Nachweis erbringen kann, dass die Verarbeitung personenbezogener Daten den gesetzlichen Vorgaben der EU-DSGVO entspricht. Dabei sollten Sie auch nachfragen, ob Ihr Dienstleister mit externen Partnern zusammenarbeitet und sich auch hierfür gegebenenfalls einen Nachweis geben lassen. Informieren Sie sich über die einzelnen Schritte, die bei der Verarbeitung personenbezogener Daten abgearbeitet werden, um einschätzen zu können, ob der Datenschutz dort gewährleistet werden kann.
Unabhängig von konkreten technologischen Lösungen lohnt es sich immer, genau hinzuschauen, inwieweit Ihre Partner oder Dienstleister das Thema Datenschutz wirklich ernst nehmen.
Mit cobra „DATENSCHUTZ-ready“ liefert cobra CRM zahlreiche Datenschutz Komfortfunktionen, die Ihr CRM System in Sachen EU-DSGVO gezielt unterstützen. z. B. Recht auf Auskunft, Löschung, Datenportabiltät u. v. m..
Sind die Fragen zur technologischen Basis geklärt, sollten Sie einen Blick auf die interne sowie externe Kompetenzbasis Ihres Software-Partners bzw. Dienstleisters werfen. Unserer Erfahrung nach haben sich folgende Fragen bewährt:
Bei cobra wurden zahlreiche Mitarbeiter zu betrieblichen Datenschutzbeauftragten ausgebildet, um sowohl in der Softwareentwicklung als auch in Kundenberatung und Implementierung der CRM Software das notwendige Know-how vorzuhalten. Auch cobra Vertriebspartner sind als „cobra zertifizierte Software-Berater Datenschutz-ready“ technisch und fachlich geschult.
So gut wie jedes Unternehmen muss sich mit der EU-DSGVO auseinandersetzen und seine Arbeitsprozesse daran anpassen. Gute Software, die das Unternehmen bei der Einhaltung unterstützt, ist dafür sehr wichtig. Aber selbst die beste Software bringt nichts, wenn Mitarbeiter beispielsweise nicht ausreichend geschult sind oder wenn es keine klar formulierten Verhaltensregeln gibt, an die sich alle halten müssen.
Aus diesem Grund ist es auch wichtig, dass Sie sich ein Bild von der internen Kompetenzbasis Ihres Software-Partners oder Dienstleisters machen. Hier ein paar Anreize für weitergehende Fragen:
Es ist noch kein Meister vom Himmel gefallen. Und niemand kann alles alleine erledigen! Wie in vielen anderen Bereichen, ist auch beim Thema Datenschutz Zusammenarbeit gefragt! Deshalb ist es völlig legitim, auf externe Kompetenzen zurückzugreifen.
Informieren Sie sich bei Ihrem Ansprechpartner, ob zur Erweiterung der eigenen Kompetenz auch mit externen Partnern zusammengearbeitet wird. Wenn ja, sollten Sie auch in Erfahrung bringen wer diese externen Partner sind und in welcher Form die Zusammenarbeit erfolgt.
Datenschutz ist keine Eintagsfliege, sondern ein anhaltendes, wichtiges Projekt. Hier wären wir auch wieder bei der Notwendigkeit der Zusammenarbeit.
Fragen Sie Ihren Ansprechpartner deshalb konkret nach der Projektorganisation zur Umsetzung der DSGVO in Ihrem Unternehmen. Erkundigen Sie sich, wer und in welchem Umfang für das Thema verantwortlich ist. Außerdem sollten Sie darüber Bescheid wissen, an wen Sie sich bei Fragen wenden können.
Es bringt nichts, wahllos irgendwelche Arbeitsprozesse zu überprüfen und anzupassen, um ein paar Monate später in einem weiteren Schritt feststellen zu dürfen, dass die Anpassungen fehlerhaft oder sogar unnötig waren. Das kostet Zeit und Nerven.
Sprechen Sie mit Ihrem Ansprechpartner über die Ablaufplanung und fragen Sie nach, was bisher die wichtigsten Maßnahmen waren. Wie sieht der weitere Fahrplan aus? Welche Schritte werden noch folgen?
Seien Sie aber nicht enttäuscht, wenn nicht alle Antworten zu 100 Prozent Ihren Erwartungen entsprechen. Viele Software-Anbieter und -Dienstleister haben dieses Themenfeld eher als Pflichtaufgabe gesehen und nicht als strategische Chance. Zumindest der Kern muss jedoch erfüllt sein.
cobra bietet seinen Kunden Workshops an, in denen die To-Dos in Sachen CRM und EU-DSGVO ganz individuell erarbeitet werden.
Melden Sie sich bei uns, wir beraten Sie gerne!
Ihr Jürgen Litz, Geschäftsführer cobra GmbH
Prüfen Sie mit unserer Checkliste ob Sie den Anforderungen der EU-DSGVO gerecht werden.
Gerne zeigen wir Ihnen cobra CRM live per Online-Präsentation.
Jetzt cobra CRM kostenlos ausprobieren!
Jetzt unverbindliches Beratungsgespräch vereinbaren.