272 Millionen Euro.
Das ist die Gesamtsumme an Bußgeldern, die von der Europäischen Union wegen Nichteinhaltung der DSGVO, Datenschutzverletzungen und Datenlecks seit der Einführung der DSGVO im Mai 2018 gegen Unternehmen verhängt wurden. Es überrascht also nicht, dass sowohl große als auch kleinere Unternehmen enorm viel Zeit und Ressourcen in ihre IT-Systeme investiert haben, um sicherzustellen, dass sie auch die strengsten DSGVO-Vorschriften erfüllen. Ein großer Teil dieser Investitionen wird darauf verwendet, die einzige „Source of Truth“, zu Dt. Quelle der Wahrheit, für Kundendaten im gesamten IT-System zu sichern und zu verwalten. Angesichts der Entwicklung der Märkte in den Jahren 2020 und 2021 handelt es sich dabei in der Regel um Salesforce.
Wenn Sie Salesforce als CRM nutzen und nach Informationen dazu suchen, wie Sie Ihre DSGVO-Compliance im Jahr 2021 verbessern können, ist dieser Leitfaden genau das Richtige für Sie. Wir zeigen Ihnen, wie Salesforce Analytics Ihren Kunden Vertrauen bezüglich der verantwortungsbewussten Speicherung und Verarbeitung ihrer Daten vermitteln kann.
- Ist Salesforce DSGVO-konform?
- Verwendung von Salesforce Analytics für DSGVO-Compliance
- Salesforce DSGVO-Compliance: Aktive Verantwortung
Ist Salesforce DSGVO-konform?
Die kurze Antwort: auf jeden Fall.
Als designierter Verarbeiter von Kundendaten bietet Salesforce umfassende Kontrollen zur Bearbeitung von Datenanfragen und zur sicheren Verwaltung von Daten für alle Geschäftsprozesse während des gesamten Kundenlebenszyklus. Darüber hinaus bietet Salesforce einen robusten Zusatz zur Datenverarbeitung an, der die Rahmenbedingungen für die Datenübertragung für EU-genehmigte Datenschutzrichtlinien abdeckt.
Aber obwohl Salesforce als Plattform all diese Zusicherungen zur DSGVO-Compliance bietet, liegt es letztendlich an Ihnen als Unternehmen, die Verantwortung für die Unantastbarkeit der Kundendaten zu tragen. Das bedeutet auch, dass sich Ihre Verantwortung auf alle Ihre IT-Systeme erstreckt, und ebenso darauf, wie Ihre verschiedenen Partner und Kundenteams ihre Geschäftsprozesse für den Umgang mit diesen Daten organisieren.
Werfen wir nun einen eingehenden Blick auf die verschiedenen Aspekte der DSGVO-Compliance in Bezug auf die Kundendaten während der gesamten Journey bei einem Unternehmen. Es gibt drei Aspekte des Online-Erlebnisses eines Kunden, die Unternehmen ggf. benötigen, um Kundendaten zu verwalten:
Als Besucher
In dieser Phase möchte der Kunde mehr über ein Unternehmen erfahren. Die DSGVO schreibt vor, dass wir die folgenden Vorschriften einhalten:
Einwilligung: Stellen Sie sicher, dass es eine formale Möglichkeit gibt, die Einwilligung eines Kunden zur Sammlung und Aufzeichnung von Kundendaten anzufordern und aufzuzeichnen.
Sicherheit und Transparenz: Sorgen Sie dafür, dass ehrlich offengelegt wird, zu welchem Zweck und mit welchen Mitteln welche Kundendaten aufgezeichnet werden, mit sicheren Zugriffsmethoden für diese Daten.
Als Kunde/wiederkehrender Besucher
In dieser Phase interagiert der Kunde als regelmäßiger Besucher, als Interessent oder als Bestandskunde Ihres Unternehmens. Die DSGVO schreibt vor, dass wir die folgenden Vorschriften einhalten:
Zugang zu Informationen: Kunden sollten das Recht haben, innerhalb eines Zeitfensters von 30 Tagen auf ihre Daten zuzugreifen und zu sehen, was aufgezeichnet und gespeichert wird.
Datenwidersprüche und -änderungen: Kunden können Widersprüche dagegen einreichen, wie ihre Daten verwendet werden, und von Ihnen verlangen, dass fehlerhafte Informationen korrigiert werden.
Benachrichtigungen: Kunden müssen benachrichtigt werden, wenn ihre Daten im Rahmen eines Datenlecks offengelegt wurden, und zwar innerhalb von 72 Stunden nach Bestätigung des Datenlecks.
Als ehemaliger/inaktiver Kunde
Recht auf Vergessenwerden: Kunden haben die Möglichkeit, ihre Kundendaten auf eigenen Wunsch, Ihre Verbindung mit dem Unternehmen zu beenden, löschen zu lassen.
Datenportabilität: Kunden könnten das Unternehmen auffordern, alle ihre Daten in Form von Anfragen zu exportieren.
Verwendung von Salesforce Analytics für DSGVO-Compliance
Im vorherigen Abschnitt haben wir die verschiedenen Aspekte der DSGVO-Compliance für den Zugriff, die Speicherung und die Verwaltung von Kundendaten über die gesamte Journey hinweg betrachtet. Schauen wir uns nun an, wie Salesforce Analytics uns helfen kann, die DSGVO-Vorschriften für jeden dieser Schritte einzuhalten.
Verwalten von Einwilligungen in Salesforce
Mit Salesforce können Sie die Anfragen von Personen bezüglich der Verwendung ihrer Daten durch Ihr Unternehmen erfüllen. Die Salesforce-Plattform unterstützt die DSGVO und länderspezifische Datenschutzgesetze wie CCPA in den Vereinigten Staaten oder CASL in Kanada. Die häufigsten Anwendungsfälle sind die Implementierung von Datenschutzeinstellungen zur Verwaltung des Kundendatenschutzes in Form von Consent Management Objects (zu Dt. Objekte zur Einwilligungsverwaltung).
Mithilfe dieser Objekte können wir Details zur Autorisierungsprüfung festlegen und Kommunikationsmethoden für Kunden verwalten, über die sie Einwilligungsgenehmigungen und Kommunikationspräferenzen übermitteln können. Anhand dieser Objekte können dann z. B. die spezifischen Kundeneinstellungen den Versand von E-Mails oder die Weitergabe von Kundendaten unterbinden.
Einschränkung der Datenverarbeitung für die Salesforce-Plattform
Salesforce Analytics kann Ihnen dabei helfen, die Anzahl der Aktionen einzuschränken, die Sie zum Schutz und zur Aufbewahrung von Kundendaten durchführen müssen, um die DSGVO einzuhalten. Als Unternehmen können Sie Kundendaten exportieren, sichern und mit Anmerkungen versehen, um die Verarbeitung von Änderungen an diesen Daten anzuhalten, falls die Situation es erfordert. Die Salesforce-Plattform ermöglicht dies in Form von Datenexportoptionen und auch programmatisch in Form von Restrict Contact APIs (zu Dt. Kontaktbeschränkungs-APIs).
Praktisch gebraucht wird das beispielsweise bei juristischen Verfahren und bei Ungenauigkeiten in den Daten seitens des Kunden, die uns daran hindern, mit diesen Daten zu arbeiten, bis diese Probleme gelöst wurden.
Ändern und Löschen von Kundendaten
Mit Salesforce können Sie überall dort DSGVO-Konformität wahren, wo Sie per Mandat verpflichtet sind, Daten auf Kundenanfrage bzw. wenn Sie sie nicht mehr benötigen, zu ändern und zu löschen. Typische Anwendungsfälle sind Datensätze von vergangenen Benutzern oder Mitarbeitern, alte Sitzungsdetails, Logs und Empfehlungsdaten.
Salesforce kann Ihr Unternehmen bei der Compliance in diesen Szenarien unterstützen, indem es die REST-APIs aktiviert, um alle solchen Kontexte, Orchestrationen und Empfehlungsreaktionen aus den Kundendaten zu finden und entsprechende Maßnahmen zu ergreifen, indem diese Daten exportiert oder gelöscht werden. Salesforce bietet eine Vielzahl von Aktionen zum Ändern und Löschen von Daten in folgenden Szenarien:
- Löschen aller sensiblen Daten aus der Produktionsorganisation und der Sandbox
- Deaktivierung von Community- oder Chatter-Benutzerkonten auf Anfrage
- Löschen von Orchestrierungsinstanzen, die Kundendaten enthalten
- Löschung aller mit einem Kunden oder Admin verbundenen Daten ermöglichen
Datenportabilität in Salesforce ermöglichen
Die DSGVO verlangt von Unternehmen, dass sie ihren Kunden die Möglichkeit bieten, alle ihre Daten zu exportieren. Die Salesforce-Plattform bietet Datenübertragbarkeit in Form einer Portabilitäts-API, die alle mit dem Kunden verbundenen Objekte erkennt und anzeigt, einschließlich Objekte, die Daten mit personenbezogenen Informationen (PII) repräsentieren. Sobald wir diese Richtlinie aktiviert haben, bietet die API Links, über die Ihre Kunden ihre Daten sicher herunterladen und exportieren können.
Um automatische Löschungen über Richtliniendurchsetzung zu aktivieren, können Sie mit der neuesten Plattformversion (Frühjahr 2021) auch rechtzeitig Erinnerungen empfangen und Kundendaten, die von dieser API generiert wurden, nach 60 Tagen automatisch löschen.
Salesforce DSGVO-Compliance: Aktive Verantwortung
Diese Kontrollmöglichkeiten auf der Salesforce-Plattform sind nur eine von vielen Maßnahmen, um den Datenschutz für Ihre Kunden zu gewährleisten. Wir wissen, dass die Einhaltung strenger Vorschriften in Bezug auf die DSGVO-Compliance oftmals sehr anspruchsvoll ist. Diese Kontrollen sind jedoch ein wesentlicher Schritt, um die Compliance zu gewährleisten und den wichtigsten Bestandteil Ihres Unternehmens zu schützen: Ihre Kunden.
In einer Welt, in der jeden Tag Datenlecks auftreten und durch den Diebstahl von Kundendaten Millionen von Dollar an Schäden anfallen können, ist guter Datenschutz eine absolute Notwendigkeit. Varonis ist führend bei der Gewährleistung von Datenschutz und -sicherheit, mit fundiertem Fachwissen bei der Bereitstellung umfassender Compliance-Lösungen für die DSGVO.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.