Am 25. Mai dieses Jahres erlangt die General Data Protection Regulation - kurz GDPR - Gesetzeskraft. Damit vereinheitlicht die EU nicht nur den Datenschutz innerhalb der Bündnispartner, sondern regelt auch den Umgang von personenbezogenen Daten.
Was die Inhalte von GDPR sind, was es für Unternehmen bedeutet, die Salesforce CRM nutzen und wie Salesforce Sie bei der Umsetzung unterstützt, ist Thema unseres heutigen Blogbeitrags.
Um auf GDPR - in Deutschland auch als EU-Datenschutzgrundverordnung (DSGVO) bezeichnet - vorbereitet zu sein, lohnt sich ein Blick zurück, denn die Verordnung ist kein Neuland im Gesetzes- und Regulariendschungel.
Viele inhaltliche Punkte der EU Datenschutzrichtline 95/46 aus dem Jahre 1995 werden übernommen und durch GDPR inhaltlich weiter ausgearbeitet und geschärft. Um sich einen Überblick zum geltenden Datenschutz zu verschaffen, sollte man sich mit folgenden Prinzipien auseinandersetzen:
Zusätzliche zu diesen Prinzipien stärkt GDPR die Rechte der EU-Bürger, die sie im Bereich Datenschutz haben.
Ziel ist dabei, den Bürger aktiv bestimmen zu lassen, wer welche Daten von ihm speichert und verarbeitet werden. Umgesetzt wird dieses Ziel durch folgende Aspekte der/von GDPR:
Nicht verwechseln darf man dabei Newsletterabmeldung und den expliziten Wunsch auf Löschung: Bei der Newsletterabmeldung ändert sich der Zweck, er entfällt nicht: Sie sollten z.B. die Email-Adresse bei Opt-Out speichern, um die Abmeldung zu dokumentieren. Somit ist ein Teil der Kundendaten an den neuen Zweck (“Dokumentation der Abmeldung”) gebunden.
Mit GDPR ergänzt die EU den Datenschutz nicht nur um einige neue Punkte, sondern erweitert auch die Gültigkeit der Verordnung. Die Regeln von GDPR finden Anwendung bei allen Datenverarbeitungen, die sich an EU-Bürger richten oder mit personenbezogenen Daten von EU-Bürgern arbeiten. Sie gelten somit auch für Unternehmen, die ihren Sitz nicht in der EU haben, aber an Kunden aus europäischen Ländern anbieten oder verkaufen.
GDPR unterscheidet nicht zwischen B2C (Business to Consumer)- und B2B (Business to Business)-Daten, sondern definiert Regeln für beide Bereiche: Sobald im B2B-Umfeld personenbezogenen Daten wie Vorname, Nachname oder E-Mail-Adresse eines Kontaktes eines Unternehmens verwendet werden, finden die Gesetze Anwendung.
Das heißt, dass sich zukünftig auch Kontakte von Geschäftskunden, Zulieferern oder Partnerunternehmen auf ihre Rechte etwa zur Einsicht oder Löschung berufen können. Genauso gelten die Hauptpfeiler wie Einverständnis oder Zweckbindung des EU - Datenschutzes auch für den B2B-Kontakt.
Einzige Ausnahme: Es wird das Unternehmen ohne Bezug zu einer konkreten Person kontaktiert. Da aber auch im B2B-Marketing personalisierte Ansprache und auf den Empfänger zugeschnittene Inhalter immer wichtiger werden, dürfte diese Ausnahme nur für wenige B2B-Unternehmen interessant sein.
Was unternimmt nun Salesforce, um seine Kunden optimal auf die GDPR vorzubereiten? Neben der Information auf einer eigenen Homepage und einem eigenen Trail zu dem, was kommt, sind es vor allem Funktionen und Features, die die Plattform ihren Kunden zur Umsetzung von GDPR anbietet.
Seit dem Spring ‘18 Release gibt es für Sales und Service Cloud ein neue Möglichkeit, um Einverständnis und Widerspruch von Kontakten zu speichern: Im Objekt “Individual” können zum einen die persönlichen Präferenzen zu Datenschutz und -verarbeitung für Leads und Kontakte dokumentiert werden.
Zum Anderen können so personenbezogene Daten in einen separaten Datensatz ausgelagert und ggf. verschlüsselt werden, ohne dass Lead und Kontakt in der Sichtbarkeit eingeschränkt werden müssen. Aktuell gibt es zwar noch keinen Automatismus, der bei jedem neuen Lead oder Kontakt auch ein Individual anlegt, aber mit Bordmitteln wie Process Builder oder Flow lässt sich diese Anforderung umsetzen.
Genauso können die Präferenzen im Individual genutzt werden, um weitere Prozesse, wie das Löschen von Daten, auszulösen. Zur genauen Konfiguration und Aktivierung von Individuals schlägt man besten kurz in der Salesforce Dokumentation nach.
Eine wichtige Anforderung zur GDPR-Konformität ist auch, die Möglichkeit bereitzustellen, personenbezogene Daten bei Bedarf löschen zu können: Hier stellt Salesforce ebenfalls im Spring ‘18 Release im Bereich der Marketing Cloud eine neue Funktion zur Verfügung. Marketing Cloud Nutzer kennen vielleicht die “All Subscribers“ Liste, aus der bisher keine Kontakte gelöscht werden konnten. Des Weiteren gibt es in der Marketing Cloud z.B. im Email Studio verschiedene Trackings zu E-Mail Öffnungen & Klicks, die durch die Zuordnung zu einer Empfängeradresse personenbezogen sind.
Hier hilft nun das “Contact Deletion Framework”, das das Löschen erleichtert und automatisiert. Es wird aktuell durch Salesforce auf Anfrage für das betreffende Marketing Cloud System freigeschaltet.
Für Sales und Service Cloud helfen die verfügbaren Standardfunktionen zum Löschen und damit z.B. zur Umsetzung des Rechts auf Vergessenwerden: So empfiehlt Salesforce Berichte, um sich einen Überblick darüber zu verschaffen, in welchen Objekten personenbezogene Daten eines Kontakts stecken. Anschließend kann man so einen Bericht nutzen, um die einzelnen Datensätze zu löschen.
Dabei nicht vergessen - die Daten sind über die Classic Oberfläche noch einige Zeit im “Recycle Bin” verfügbar. Um sofort vollständig zu löschen, sollte man also auch den virtuellen Papierkorb leeren.
Out-of-the-box gilt auch für den Datenexport: Hier können ebenfalls die Salesforce Berichte genutzt werden, um Daten im CSV- oder Excel Format Kunden auf Anfrage bereitzustellen.
Etwas versteckt ist der Datenexport in der Marketing Cloud: In dieser Cloud muss für die meisten Accounts erst die Aktivität “Data Extract” über den Marketing Cloud Support aktiviert werden. Anschließend kann auch auf Tracking Daten aus z.B. Email Studio zugegriffen werden, um sie so dem Kontakt bereitzustellen.
Zur Umsetzung der Einschränkung der Verarbeitung bietet sich für Sales und Service Cloud das Profil- und Rollenmanagement an: Wird der Haken “Don’t Process” im Individual aktiviert, kann ein separater Prozess den Datensatztyp der Informationen für diese eine Person ändern, sodass nur noch der Admin die Daten sieht.
Mit diesen vier einfachen Möglichkeiten zur Dokumentation, zum Export und zum Löschen von personenbezogenen Daten, lassen sich die typischen Anwendungsfälle bei der Umsetzung von GDPR sehr gut abdecken. Welche Funktion für welchen Anwendungsfall konkret genutzt werden soll, hat Salesforce übersichtlich zusammengestellt: Im Bereich “Data Protection and Privacy” der Dokumentation sind - geordnet nach Cloud - typische Anfragen und Empfehlungen zur Umsetzung zusammengetragen. Hier lohnt sich ein Blick auch, bevor ein Kontakt von seinen Rechten nach GDPR Gebrauch macht!
Was bleibt uns also im Gedächtnis nach diesem kurzen Exkurs in die Gesetzeswelt zum Thema Datenschutz? Sicher entsteht für viele Unternehmen auf den ersten Blick der Eindruck, dass GDPR mit Einschränkungen beim Umgang mit Kundendaten oder mit Aufwänden bei der Umsetzung der Gesetze verbunden ist. Und ohne Frage kostet es Zeit und Ressourcen, sich mit dem Thema und der Umsetzung in Unternehmen auseinanderzusetzen. Der Gesetzessammlung schafft aber auch Chancen: Für viele Bereiche, in denen bislang keine eindeutigen Regelungen zum Thema Datenschutz zu finden waren, gibt es nun eine klare Rechtsgrundlage. Solange Ihr Unternehmen dieser Grundlage entspricht, können Sie auch trotz - oder gerade wegen - GDPR eine Menge mit personenbezogenen Daten im CRM - Umfeld unternehmen. Dabei kann der Umgang mit personenbezogenen Daten gemäß der neuen Gesetze auch ein gutes Argument für Ihr Unternehmen sein: Denn dann wissen Ihre Kunden, dass ihre Daten bei Ihnen sicher sind.
Wenn Sie konkrete Fragen zur Umsetzung von GDPR mit Hilfe von Salesforce in Ihren Unternehmen haben, kontaktieren Sie uns gern!