Per CRM-Lösung EU-DSGVO umsetzen: Clever machbar – aber es gibt keine Out-of-the-Box-Lösung

Die EU-Daten­schutz­grund­ver­ordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Zur Realisierung der Anforderungen ist eine Rund­um­be­trach­tung aller Systeme erforderlich, die Daten mit Personenbezug verarbeiten. Ein möglicher Weg, um die neuen Vorgaben und Anforderungen smart und strukturiert realisieren zu können, ist die Nutzung einer intelligenten Customer-Relationship-Management-Lösung.

von Stefan-Markus Eschner, Vorstand Technik und Innovation bei Cursor

Es ist nicht mehr lange hin, dann tritt die neue DSGVO inklusive verschärfter Regeln in Kraft (25. Mai). Das hat für Banken und Finanzdienstleister gravierende Folgen. Denn bei Verstößen drohen den betroffenen Unternehmen empfindliche Strafen. Diese können sich auf bis zu 20 Millionen Euro oder vier Prozent des weltweit erwirtschafteten Konzernergebnisses belaufen. Auch persönliche Haftungen kommen in Betracht.

Für die Finanzbranche bedeutet dies, Fahrt aufzunehmen und die EU-Verordnung mit Vollgas umzusetzen.”

Drei Kernbereiche im Visier der DSGVO

Konkret geht es bei der Umsetzung der europäischen Datenschutzgrundverordnung zum Schutz personenbezogener Daten um drei Kernbereiche:

1. Rechenschaftspflicht hinsichtlich der ordnungsgemäßen Datenverarbeitung
2. Auskunftspflicht gegenüber betroffenen Personen
3. Berichtigungs- und Löschpflicht von personenbezogenen Daten, sofern der Zweck ihrer Speicherung hinfällig geworden ist

Unternehmen, die die Anforderungen des aktuellen Bundesdatenschutzgesetzes erfüllen, sind für die Umsetzung der DSGVO-Vorgaben grundsätzlich gut gerüstet. Dennoch verschärfen sich eine Reihe gesetzlicher Anforderungen, so dass die Firmen und Banken ihre aktuellen Datenschutzmaßnahmen unter Berücksichtigung juristischer Aspekte im Detail auf den Prüfstand stellen und anpassen sollten. Dazu zählen unter anderem die im Unternehmen auftretenden Datenverarbeitungstätigkeiten im Zusammenhang mit den jeweiligen Datenkategorien und den Einwilligungen der betroffenen Personen. Hinzu kommt der pro Kategorie zu beachtende Löschtrigger plus zugehörige Löschfrist.

Relevante Informationen im CRM-System hinterlegen

Wer die Erfüllung der EU-DSGVO-Vorgaben über eine Customer-Relationship-Management-Lösung managt, muss all diese Informationen im CRM-System hinterlegen. Daneben ist es erforderlich, dort die notwendigen Prozesse anzulegen. Um kostbare Zeit zu sparen, empfiehlt es sich, erfahrene Consultants an Bord zu holen. Unverzichtbar hinsichtlich der Klärung von Fragen des verschärften Datenschutzes ist das Konsultieren eines entsprechenden Fachanwaltes. Nur aufgrund des juristischen Hintergrundes lassen sich die individuellen Verarbeitungstätigkeiten und Folgen hinreichend beurteilen und beeinflussen. Die umgesetzten Prozesse selbst müssen erkennen, dass eine bestimmte Datenverarbeitungstätigkeit startet, beziehungsweise, dass weitere Datenelemente zu einer laufenden DV-Aktivität hinzukommen. Sie haben zudem zu identifizieren, dass die Löschung der Daten einer bestimmten Verarbeitungstätigkeit einzuleiten ist und müssen die Löschung geeignet ausführen. Außerdem sind Vorkehrungen für die Auskunftserteilung zu treffen. Dazu sind die Verantwortlichen angehalten, geeignete Reports zu erstellen und einen Datenauskunftsprozess aufzusetzen. Hierzu bietet sich ein digitaler Geschäftsprozess (BPM) an, um den Prozessablauf zu automatisieren.

Verzeichnis von Verarbeitungstätigkeiten in CRM-Lösung anlegen

Um die rechtskonforme Verarbeitung der Daten nachweisen zu können, besteht die Verpflichtung, für jeden Prozess, der personenbezogene Daten verarbeitet, eine Beschreibung anzufertigen. Alle Beschreibungen dieser Art gehen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) ein. Dies ist nach der EU-DSGVO als prozessorientierte Übersicht der Verarbeitungen zu verstehen. Entscheidend ist, dass über dieses Verzeichnis der einzelne Verarbeitungsprozess zu identifizieren ist. Es umfasst unter anderem den Namen und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung und eine Kategorisierung der betroffenen Daten. Dabei setzt sich das VVT aus dem Hauptblatt und den Anlagen zusammen. Letztere enthalten Informationen zur Verarbeitungstätigkeit und zur Verantwortlichkeit für jeden betroffenen Fachprozess. Das Hauptblatt macht Angaben zum Verantwortlichen. Es bezieht sich auf das datenverarbeitende Unternehmen, seine Vertreter, den bestellten Datenschutzbeauftragten, etc.

Grundsätzlich darf das VVT elektronisch geführt werden, muss aber aufgrund der Vorlagepflicht gegenüber der Aufsichtsbehörde und der Auskunftspflicht gegenüber den betroffenen Personen in einem elektronischen Format oder als Druckexemplar zur Verfügung stehen. Daher macht es unter Umständen Sinn, das VVT direkt im CRM zu führen. Dazu ist es erforderlich, neue Entitäten zu schaffen, deren Inhalte das von der EU-DSGVO geforderte VVT abbilden. Dementsprechend sind etwa unter der Entität „Dokumente“ Daten zu verantwortlichen Personen auf Seiten des Unternehmens zu subsummieren. Außerdem ist eine weitere Schlüsselgruppe zum Kategorisieren der personenbezogenen Daten zu definieren. Die Schlüsselgruppe „Datenkategorien“ erlaubt dabei die semantische Gruppierung von Daten. Entsprechende Schlüsselausprägungen sind etwa die Anschrift, Kontaktdaten oder Bankverbindungsdaten.

PDF ist bevorzugtes Dokumentenformat

Aus pragmatischen Gründen empfiehlt sich die Ablage des Hauptblatts, beispielsweise als PDF-File, in der Dokumenten-Entität. Für die prozessbezogenen Anlagen wird eine neue Entität „Verarbeitungstätigkeiten“ erstellt. Diese enthält die Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit für jeden betroffenen Fachprozess. Die DV-Tätigkeit wird sich in der Regel über mehrere Datenkategorien erstrecken, deren Regellöschfristen pro Kategorie anzugeben sind.

Auskunftsrecht der betroffenen Person

Jede natürliche Person hat das Recht, die bei einem Unternehmen oder einer Organisation verarbeiteten personenbezogenen Daten, den Zweck ihrer Speicherung und die Art der Verarbeitungsprozesse anzufordern und einzusehen. Um das zu gewährleisten, empfiehlt sich sich die Gestaltung eines Selbstauskunfts-Reports. Im Idealfall wird dieser Report über ein Kundenportal an die Endkunden ausgegeben.

Neben dem Selbstauskunfts-Report lassen sich über diesen Kanal auch die mit der betroffenen Person in Verbindung stehenden Verarbeitungstätigkeiten ausweisen. Grundsätzlich haben personenbezogene Daten im CRM-System einen Bezug zur Entität „Person“. Dabei kann jede Person unterschiedliche Rollen wie Mitarbeiter, Ansprechpartner und Geschäftspartner bekleiden. Für diese gelten uneinheitliche Verarbeitungsprozesse beziehungsweise -tätigkeiten. Um einer internen Person (Mitarbeiter) oder externen Person (Ansprechpartner) die von ihr gespeicherten Daten und deren Verarbeitungstätigkeiten darzustellen zu können, bedarf es gezielter Verknüpfungen zwischen den personenbezogenen Entitäten und den betroffenen Verarbeitungstätigkeiten. Diese Verkettungen können sowohl durch zuvor individuell erstellte BPM-Prozesse automatisiert, als auch manuell erstellt werden.

Recht auf Vergessenwerden

Die von einem beliebigen Datenverarbeitungsprozess verarbeiteten personenbezogenen Daten können an diversen Stellen im Prozess auftreten und sich in unterschiedlichsten Entitäten befinden. Um die Daten zu gegebener Zeit wieder löschen oder anonymisieren zu können, bedarf es der Definition einer identifizierbaren Verarbeitungsinstanz beziehungsweise eines “Ankers”, der die Daten einer bestimmten Verarbeitungstätigkeit gemäß VVT zusammenhält. CRM-Systeme führen diese Instanzen in einer eigenen Entität z.B. „Datenverarbeitungsinstanzen“ (DVI). Sobald eine neue Datenverarbeitungstätigkeit startet, die ihrerseits personenbezogene Daten verarbeitet, entsteht eine neue Datenverarbeitungsinstanz, die durch einen Eintrag in der DVI-Tabelle repräsentiert wird. Sämtliche Daten, die von dieser Verarbeitungstätigkeit zur Laufzeit des Prozesses erzeugt werden und zu einem späteren Zeitpunkt automatisch zu entfernen sind, müssen mit dieser DVI verknüpft werden.

Der eigentliche Löschprozess beginnt, sobald das Enddatum der Löschfrist erreicht ist. Neben der Regellöschfrist müssen unter Umständen weitere individuelle Regeln (zum Beispiel aufgrund der Anforderungen des Handelsgesetzbuches) und Abhängigkeiten überprüft werden, bevor die Löschung startet.

Geht es dabei um einen kompletten Datensatz, bietet sich ein zweistufiges Verfahren (Two-Phase-Delete) über einen sogenannten Löschmandanten an. Das kann man sich als unternehmensübergreifende Papierkorb-Funktion vorstellen. Dabei verschieben die Löschprozesse die zu löschenden Datensätze zunächst in den Löschmandanten. Alle Daten, die sich dort befinden, sind für unbefugte User nicht sichtbar und unerreichbar. Im Löschmandaten werden sie dann in regelmäßigem Abstand physikalisch gelöscht. Dieser Prozess läuft auf Wunsch eigenständig im Hintergrund und entlastet auf diese Weise das Tagesgeschäft.

Fazit

Der Countdown läuft. Am 25. Mai 2018 tritt die neue EU-DSGVO in Kraft. Um die neuen Vorgaben smart umsetzen zu können, bietet sich unter anderem die Nutzung einer intelligenten Customer-Relationship-Management-Software an. Da die Anforderungen an die Unternehmen hoch individuell sind, gibt es keine Out-of-the-Box-Lösung. Es bedarf vielmehr einer sorgfältigen Analyse der Fachprozesse und Datenstrukturen, um geeignete Löschprozesse implementieren zu können. Mit einer modernen CRM- und BPM-Lösung ist dies kein Hexenwerk. Zur Analyse und Umsetzung der erforderlichen Prozesse sollte jedoch auf die Expertise professioneller Consultants nicht verzichtet werden. Dazu zählt auch das Hinzuziehen eines auf IT-Recht spezialisierten Fachanwalts, der die passende Rechtsberatung übernimmt.aj