Automatisch auf der sicheren Seite: Das DSGVO-Plugin

Die DSGVO stellt Unternehmen innerhalb der Europäischen Union vor eine gewaltige Herausforderung. Für jeden einzelnen verarbeiteten Datensatz ist eine Unmenge an Vorschriften einzuhalten. Viele sind sich im Unklaren über die genauen Regeln und Einige kommen mit der Umsetzung der DSGVO nicht hinterher. Sie müssen nicht dazu gehören.

Christoph Huber
08. Oktober 2020

Sagen Sie es weiter:

Auf jeder Webseite werden wir mit Cookie-Hinweisen begrüßt, seit die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 rechtskräftig wurde. Meist klicken wir sie ungelesen und etwas genervt weg. Für den Endverbraucher ist dies in der Regel der einzige Berührungspunkt mit der DSGVO in seinem Alltag. Für Unternehmen allerdings hat sich einiges mehr verändert: Beim Umgang mit personenbezogenen Daten muss genau darauf geachtet werden, welche Daten wie lange gespeichert und zu welchem Zweck sie verwendet werden.

Die Herkulesaufgabe Datenschutz

Als Vertriebssoftware sind Joules-Systeme um die Datensätze von Verträgen und Leads herum strukturiert. Das bedeutet auch: Das Herzstück von Joules besteht zu einem großen Teil aus personenbezogenen Daten von tatsächlichen und potentiellen Kunden. Außerdem enthält das System personenbezogene Daten von Mitarbeitern und Vertriebspartnern. Ein DSGVO-konformer Umgang mit diesen Daten erfordert es, dass sie ganz oder teilweise anonymisiert, gelöscht oder gesperrt werden, sobald ihr Verwendungszweck entfällt. Das kann zum Beispiel in den folgenden Fällen passieren:

  • Ein Kunde hat seinen Vertrag gekündigt und das Kündigungsdatum ist erreicht.
  • Ein potentieller Kunde springt ab, der Vertrag wird nicht finalisiert.
  • Ein Mitarbeiter Ihres eigenen Unternehmens oder eines Vertriebspartners ist ausgeschieden.
  • Sie Stellen die Zusammenarbeit mit einem Vertriebspartner ein.

Dabei gelten für verschiedene Daten unterschiedliche Regeln, unter anderem was die vorgeschriebenen Lösch- und Aufbewahrungsfristen angeht. Hier gilt es den Überblick zu behalten und die entsprechenden Aktionen zur Anonymisierung, Löschung oder Sperrung der Daten einzuleiten. Für Mitarbeiter ist dies zum einen sehr zeitaufwändig und ermüdend, zum anderen birgt es das Potential menschlicher Fehler und damit ungewollter Rechtsverstöße. Dies gilt umso mehr, da Joules eine komplexe Plattform ist und die Daten eines Kunden, eines Vertriebspartners oder eines Mitarbeiters an mehreren Stellen auftauchen und damit auch übersehen werden können.

Unser Held für die Aufgabe: Das DSGVO-Plugin

Gerade weil Joules so eine komplexe Plattform ist, beinhaltet es in Form des DSGVO-Plugins auch die Lösung für dieses Problem. Zusammengefasst tut das Plugin Folgendes:

  • Joules führt verschiedene Aktionen (Anonymisieren, Sperren u.a.) für die unterschiedlichen Datenobjekte aus, die personenbezogene Daten beinhalten.
  • Diese Aktionen dienen dem Ziel, den Datenbestand DSGVO-konform zu halten.
  • Sie werden automatisch über Cronjobs durchgeführt, sobald eine definierte Bedingung eintritt.
  • Zum Beispiel: Anonymisieren der personenbezogenen Daten eines Vertrags, sobald sein Kündigungstermin drei Jahre in der Vergangenheit liegt

Folgende Aktionen kann das DSGVO-Plugin für die Objekte Vertrag, Lead, Lead-Kontaktperson, Nutzer und Vertriebsorganisation durchführen:

Aktion Erklärung Einsatzszenario
Anonymisieren Ersetzen aller personenbezogenen Daten eines Objekts durch andere Werte (zum Beispiel Ersetzen des Vornamens durch den Wert "XXXX") Ein Vertrag mit einem Interessenten kommt nicht zustande und alle personenbezogenen Daten des Interessenten müssen unkenntlich gemacht werden.
Partielles Anonymisieren Teilweises Ersetzen mancher personenbezogenen Daten eines Objekts durch andere Werte (zum Bespiel. nur Namen, E-Mail-Adresse und Telefonnummer, nicht aber die Adresse) Ein Vertrag wurde gekündigt und Name und Kontaktdaten müssen unkenntlich gemacht werden. Die Adresse wird allerdings nicht anonymisiert, um sie für statistische Auswertungen weiter verwenden zu können. Sobald die Löschfrist für die Adresse abgelaufen ist, anonymisiert ein weiterer Cronjob auch diese.
Sperren Personenbezogene Daten bleiben unverändert erhalten, können aber nicht mehr bearbeitet oder exportiert werden. Diese Aktion kann auch wieder aufgehoben werden. Die Löschfristen für die Daten eines Objekts sind noch nicht abgelaufen. Die Daten sollen noch für statistische Auswertungen verwendet, aber nicht mehr bearbeitet oder nach außen weitergegeben werden.
Maskieren Nur ein Teil der personenbezogenen Daten wird anonymisiert (zum Beispiel Ersetzen der ersten vier Buchstaben des Vornamens durch "XXXX"; "Barbara" würde so zu "XXXXXara") Die Person soll nur noch für Mitarbeiter identifizierbar sein, die den Kunden / Vertriebspartner betreuen. Dies kann sinnvoll sein, wenn auch Externe auf das System Zugriff haben oder wenn es sich um ein Testsystem handelt.
Keep Das Datenobjekt, für das diese Aktion durchgeführt wurde, kann nicht mehr (partiell) anonymisiert oder maskiert werden. Die Aktion kann auch wieder aufgehoben werden. Ein Vertrag wurde gekündigt, allerdings darf er aufgrund eines laufenden Gerichtsverfahrens nicht anonymisiert werden. Wenn für den Vertrag zuvor die Aktion "Keep" durchgeführt wurde, wird er nicht vom Anonymisierungscronjob erfasst.

Nun stellt sich aber die Frage, wann welche Aktionen angestoßen werden sollen? Dafür erarbeiten wir gemeinsam mit Ihnen eine Löschkonzeption. Das heißt: Sie bestimmen in Absprache mit uns, wann und unter welchen Bedingungen für welche Daten welche Aktion ausgeführt wird. Das Ziel dieser Löschkonzeption ist die Konformität mit der DSGVO. Entsprechend der Konzeption nehmen wir dann die Einstellungen im Plugin vor. Da alle Aktionen von Cronjobs automatisch ausgeführt werden, müssen Sie sich nach Einrichtung des Plugins keine Sorgen mehr um den Datenschutz in Ihrem System machen.

Das Plugin ist sichtbar in Form des Menü-Abschnitts "DSGVO". Dieser enthält drei Seiten:

  • Aktionen: Eine Liste aller Aktionen. Hier können auch neue Aktionen angelegt und bestehende konfiguriert werden (siehe Screenshot unten).
  • Jobs: Eine Liste der Cronjobs, die die Aktionen durchführen. Neue Cronjobs können hinzugefügt und bestehende geändert werden.
  • Fälle: Eine Liste aller durchgeführten und durchzuführenden Aktionen, angelegt in Form von Fallakten. Eine Fallakte enthält alle Datensätze zu einer Person, für die eine Aktion durchgeführt werden muss. Eine solche Akte kann von einem der Cronjobs angelegt werden, aber auch manuell oder von einem Drittservice über die API. Somit können Sie zum einen manuelle Aktionen ausführen (zum Beispiel "Keep" für einen Vertrag), zum anderen können über die API Aktionen von externer Seite aus gestartet werden.

In einem Satz: Nach dem Setup bring das Plugin Ihre Daten automatisch in Einklang mit der DSGVO, ohne dass Sie sich darum kümmern müssen. Sie werden keine Lösch- oder Aufbewahrungsfrist überschreiten und keinen Datensatz übersehen. Wenden Sie sich an Ihren Ansprechpartner bei eins+null oder vereinbaren Sie ein Webinar, um auf der sicheren Seite zu sein. Denn wenn Sie wollen, sind die Cookie-Hinweise auf Webseiten in Zukunft auch Ihr einziger Berührungspunkt mit der DSGVO.

Geht es Ihnen da genauso? Oder sehen Sie das anders?

Hinterlassen Sie uns einen Kommentar

eins+null BLOG

Unsere vorherigen Blogbeiträge

Endlich eine Dokumentation für Joules!

2020 war die Zeit, unsere technischen Schulden in Bezug auf eine umfassende Dokumentation von Joules endlich zu bezahlen. So lesen Sie ab sofort Anleitungen zu den gängigen Vorgängen in Joules, Erklärungen der verschiedenen Funktionen und eine Einordnung von Joules in die Energiebranche an einem Ort, dem Handbuch von Joules.

#eins+null
#Featured
Lukas Ebner
Jan 2021

Website-Relaunch: Compera in neuem Gewand

Nicht nur eins+null hat 2020 seinen neuen Brand gefunden, auch das Vergleichsportal compera erstrahlt seit August in einem neuen Stil.

#Digitaler Energievertrieb
Lukas Ebner
Oct 2020

Automatisch auf der sicheren Seite

Die DSGVO stellt Unternehmen innerhalb der Europäischen Union vor eine gewaltige Herausforderung. Für jeden einzelnen verarbeiteten Datensatz ist eine Unmenge an Vorschriften einzuhalten. Viele sind sich im Unklaren über die genauen Regeln und Einige kommen mit der Umsetzung der DSGVO nicht hinterher. Sie müssen nicht dazu gehören.

#Digitaler Energievertrieb
Christoph Huber
Oct 2020