Am 25. Mai dieses Jahres erlangt die General Data Protection Regulation - kurz GDPR - Gesetzeskraft. Damit vereinheitlicht die EU nicht nur den Datenschutz innerhalb der Bündnispartner, sondern regelt auch den Umgang von personenbezogenen Daten.
Was die Inhalte von GDPR sind, was es für Unternehmen bedeutet, die Salesforce CRM nutzen und wie Salesforce Sie bei der Umsetzung unterstützt, ist Thema unseres heutigen Blogbeitrags.
Um auf GDPR - in Deutschland auch als EU-Datenschutzgrundverordnung (DSGVO) bezeichnet - vorbereitet zu sein, lohnt sich ein Blick zurück, denn die Verordnung ist kein Neuland im Gesetzes- und Regulariendschungel.
Hauptpfeiler des EU-Datenschutz
Viele inhaltliche Punkte der EU Datenschutzrichtline 95/46 aus dem Jahre 1995 werden übernommen und durch GDPR inhaltlich weiter ausgearbeitet und geschärft. Um sich einen Überblick zum geltenden Datenschutz zu verschaffen, sollte man sich mit folgenden Prinzipien auseinandersetzen:
- Einverständnis zum Umgang mit personenbezogenen Daten: Das typische Beispiel ist die Bestätigungs-E-Mail nach einer Newsletteranmeldung. Erst wenn der Empfänger in der E-Mail auf ein “Ja, ich möchte diesen Newsletter erhalten” klickt, darf das Abo gültig sein (Double-Opt-In-Verfahren). Genauso muss das Abo gestoppt werden, wenn der Empfänger sich abmeldet und damit sein Einverständnis entzieht.
- Datensparsamkeit: Spinnen wir den Newsletter-Fall weiter: Klar, dürfen Sie die E-Mail-Adresse abfragen, aber z.B. die postalische Adresse oder persönliche Interessen? Weiterhin nur dann, wenn es für den angebotenen Service klar notwendig ist.
- Zweckbindung: Ein Empfänger hat sich für einen bestimmten Newsletter angemeldet? Dann darf er auch nur zu diesem Zweck - und keinem anderen - angeschrieben werden. Eine Weitergabe der Daten, z.B. an andere Unternehmen ist nicht erlaubt.
- Transparenz / Informationspflicht: Sie möchten Newsletteranmeldungen nutzen, um Empfänger zu verschiedenen Themen anzuschreiben oder um weitere Produkte zu bewerben oder Nutzerprofile erstellen? Dann muss dem Nutzer bei Einverständnis in klarer und leicht verständlicher Sprache mitgeteilt werden, dass seine Anmeldung zum Newsletter auch das OK für weitere Emailnachrichten oder zum Erstellen eines Präferenzprofils darstellt.
- Datenaktualität (Recht auf Berichtigung): Teilt Ihnen ein Newsletterempfänger mit, dass sich seine E-Mail-Adresse ändert, muss diese Information in der Liste der Empfänger auch aktualisiert werden.
Zusätzliche zu diesen Prinzipien stärkt GDPR die Rechte der EU-Bürger, die sie im Bereich Datenschutz haben.
Erweiterungen durch GDPR
Ziel ist dabei, den Bürger aktiv bestimmen zu lassen, wer welche Daten von ihm speichert und verarbeitet werden. Umgesetzt wird dieses Ziel durch folgende Aspekte der/von GDPR:
- Recht auf Einsicht & Übertragung/Auskunft: Bleiben wir bei unserem Beispiel: Newsletterempfänger können zukünftig anfragen, welche Daten zu welchem Zweck Unternehmen von ihnen speichern. Des Weiteren können sie die gespeicherten Daten anfordern und an sich z.B. im PDF Format schicken lassen.
- Recht auf Einschränkung der Verarbeitung: Ihre Kontakte können zukünftig außerdem die Verarbeitung einschränken: D.h. Sie dürfen die Daten ihrer Newsletterempfänger weiterhin speichern, aber nicht mehr zur Verarbeitung nutzen. Dieses Prinzip findet auch Anwendung, wenn der Zweck nicht mehr gegeben ist, aber Ihr Unternehmen aus anderen Gründen, z.B. steuerrechtlich, verpflichtet sein, die Kundendaten eine bestimmte Frist aufzubewahren. Auch dann müssen die Daten eingeschränkt werden, sodass sie nicht mehr für weitere Anwendungen genutzt werden.
- Recht auf Löschung / Vergessenwerden: Entfällt der Zweck, zu dem ein Kontakt Ihnen seine Daten gegeben hat oder fordert er es explizit, müssen seine personenbezogenen Daten gelöscht werden.
- Recht auf Datenschutz: Kunden haben ein Recht darauf, dass ihre Daten sicher und vor unbefugten Zugriffen geschützt abgelegt sind. Zum Beispiel, in der sicheren Salesforce Datenbank, in der Profile und Berechtigungen den Zugang zu den Daten der Empfänger klar regeln und sensible Daten verschlüsselt werden können.
Nicht verwechseln darf man dabei Newsletterabmeldung und den expliziten Wunsch auf Löschung: Bei der Newsletterabmeldung ändert sich der Zweck, er entfällt nicht: Sie sollten z.B. die Email-Adresse bei Opt-Out speichern, um die Abmeldung zu dokumentieren. Somit ist ein Teil der Kundendaten an den neuen Zweck (“Dokumentation der Abmeldung”) gebunden.
Gültig für Unternehmen auch außerhalb der EU
Mit GDPR ergänzt die EU den Datenschutz nicht nur um einige neue Punkte, sondern erweitert auch die Gültigkeit der Verordnung. Die Regeln von GDPR finden Anwendung bei allen Datenverarbeitungen, die sich an EU-Bürger richten oder mit personenbezogenen Daten von EU-Bürgern arbeiten. Sie gelten somit auch für Unternehmen, die ihren Sitz nicht in der EU haben, aber an Kunden aus europäischen Ländern anbieten oder verkaufen.
Auswirkungen auch für B2B-Unternehmen
GDPR unterscheidet nicht zwischen B2C (Business to Consumer)- und B2B (Business to Business)-Daten, sondern definiert Regeln für beide Bereiche: Sobald im B2B-Umfeld personenbezogenen Daten wie Vorname, Nachname oder E-Mail-Adresse eines Kontaktes eines Unternehmens verwendet werden, finden die Gesetze Anwendung.
Das heißt, dass sich zukünftig auch Kontakte von Geschäftskunden, Zulieferern oder Partnerunternehmen auf ihre Rechte etwa zur Einsicht oder Löschung berufen können. Genauso gelten die Hauptpfeiler wie Einverständnis oder Zweckbindung des EU - Datenschutzes auch für den B2B-Kontakt.
Einzige Ausnahme: Es wird das Unternehmen ohne Bezug zu einer konkreten Person kontaktiert. Da aber auch im B2B-Marketing personalisierte Ansprache und auf den Empfänger zugeschnittene Inhalter immer wichtiger werden, dürfte diese Ausnahme nur für wenige B2B-Unternehmen interessant sein.
Unterstützung durch Salesforce
Was unternimmt nun Salesforce, um seine Kunden optimal auf die GDPR vorzubereiten? Neben der Information auf einer eigenen Homepage und einem eigenen Trail zu dem, was kommt, sind es vor allem Funktionen und Features, die die Plattform ihren Kunden zur Umsetzung von GDPR anbietet.
Neues Objekt “Individual” für Datenschutzpräferenzen
Seit dem Spring ‘18 Release gibt es für Sales und Service Cloud ein neue Möglichkeit, um Einverständnis und Widerspruch von Kontakten zu speichern: Im Objekt “Individual” können zum einen die persönlichen Präferenzen zu Datenschutz und -verarbeitung für Leads und Kontakte dokumentiert werden.
Zum Anderen können so personenbezogene Daten in einen separaten Datensatz ausgelagert und ggf. verschlüsselt werden, ohne dass Lead und Kontakt in der Sichtbarkeit eingeschränkt werden müssen. Aktuell gibt es zwar noch keinen Automatismus, der bei jedem neuen Lead oder Kontakt auch ein Individual anlegt, aber mit Bordmitteln wie Process Builder oder Flow lässt sich diese Anforderung umsetzen.
Genauso können die Präferenzen im Individual genutzt werden, um weitere Prozesse, wie das Löschen von Daten, auszulösen. Zur genauen Konfiguration und Aktivierung von Individuals schlägt man besten kurz in der Salesforce Dokumentation nach.
Contact Deletion Framework in Marketing Cloud
Eine wichtige Anforderung zur GDPR-Konformität ist auch, die Möglichkeit bereitzustellen, personenbezogene Daten bei Bedarf löschen zu können: Hier stellt Salesforce ebenfalls im Spring ‘18 Release im Bereich der Marketing Cloud eine neue Funktion zur Verfügung. Marketing Cloud Nutzer kennen vielleicht die “All Subscribers“ Liste, aus der bisher keine Kontakte gelöscht werden konnten. Des Weiteren gibt es in der Marketing Cloud z.B. im Email Studio verschiedene Trackings zu E-Mail Öffnungen & Klicks, die durch die Zuordnung zu einer Empfängeradresse personenbezogen sind.
Hier hilft nun das “Contact Deletion Framework”, das das Löschen erleichtert und automatisiert. Es wird aktuell durch Salesforce auf Anfrage für das betreffende Marketing Cloud System freigeschaltet.
Standardfunktionen nutzen
Für Sales und Service Cloud helfen die verfügbaren Standardfunktionen zum Löschen und damit z.B. zur Umsetzung des Rechts auf Vergessenwerden: So empfiehlt Salesforce Berichte, um sich einen Überblick darüber zu verschaffen, in welchen Objekten personenbezogene Daten eines Kontakts stecken. Anschließend kann man so einen Bericht nutzen, um die einzelnen Datensätze zu löschen.
Dabei nicht vergessen - die Daten sind über die Classic Oberfläche noch einige Zeit im “Recycle Bin” verfügbar. Um sofort vollständig zu löschen, sollte man also auch den virtuellen Papierkorb leeren.
Out-of-the-box gilt auch für den Datenexport: Hier können ebenfalls die Salesforce Berichte genutzt werden, um Daten im CSV- oder Excel Format Kunden auf Anfrage bereitzustellen.
Etwas versteckt ist der Datenexport in der Marketing Cloud: In dieser Cloud muss für die meisten Accounts erst die Aktivität “Data Extract” über den Marketing Cloud Support aktiviert werden. Anschließend kann auch auf Tracking Daten aus z.B. Email Studio zugegriffen werden, um sie so dem Kontakt bereitzustellen.
Zur Umsetzung der Einschränkung der Verarbeitung bietet sich für Sales und Service Cloud das Profil- und Rollenmanagement an: Wird der Haken “Don’t Process” im Individual aktiviert, kann ein separater Prozess den Datensatztyp der Informationen für diese eine Person ändern, sodass nur noch der Admin die Daten sieht.
Mit diesen vier einfachen Möglichkeiten zur Dokumentation, zum Export und zum Löschen von personenbezogenen Daten, lassen sich die typischen Anwendungsfälle bei der Umsetzung von GDPR sehr gut abdecken. Welche Funktion für welchen Anwendungsfall konkret genutzt werden soll, hat Salesforce übersichtlich zusammengestellt: Im Bereich “Data Protection and Privacy” der Dokumentation sind - geordnet nach Cloud - typische Anfragen und Empfehlungen zur Umsetzung zusammengetragen. Hier lohnt sich ein Blick auch, bevor ein Kontakt von seinen Rechten nach GDPR Gebrauch macht!
GDPR als Chance
Was bleibt uns also im Gedächtnis nach diesem kurzen Exkurs in die Gesetzeswelt zum Thema Datenschutz? Sicher entsteht für viele Unternehmen auf den ersten Blick der Eindruck, dass GDPR mit Einschränkungen beim Umgang mit Kundendaten oder mit Aufwänden bei der Umsetzung der Gesetze verbunden ist. Und ohne Frage kostet es Zeit und Ressourcen, sich mit dem Thema und der Umsetzung in Unternehmen auseinanderzusetzen. Der Gesetzessammlung schafft aber auch Chancen: Für viele Bereiche, in denen bislang keine eindeutigen Regelungen zum Thema Datenschutz zu finden waren, gibt es nun eine klare Rechtsgrundlage. Solange Ihr Unternehmen dieser Grundlage entspricht, können Sie auch trotz - oder gerade wegen - GDPR eine Menge mit personenbezogenen Daten im CRM - Umfeld unternehmen. Dabei kann der Umgang mit personenbezogenen Daten gemäß der neuen Gesetze auch ein gutes Argument für Ihr Unternehmen sein: Denn dann wissen Ihre Kunden, dass ihre Daten bei Ihnen sicher sind.
Wenn Sie konkrete Fragen zur Umsetzung von GDPR mit Hilfe von Salesforce in Ihren Unternehmen haben, kontaktieren Sie uns gern!