Annemarie Heuschild 05.08.2019 13:40:29 7 min read

DSGVO mit Salesforce - so funktioniert das neue Consent Management

Schritt für Schritt hat Salesforce in den letzten Releases verschiedene Objekte umgesetzt, die dem Management von Einwilligungen Rechnung tragen sollen - nicht zuletzt auch, um ihren Kunden in Salesforce die Möglichkeit zu geben, Daten DSGVO-konform zu speichern. Salesforce selbst fasst diese Funktionen unter dem Begriff “Consent Management” , also Einwilligungs- oder Zustimmungsmanagement, zusammen.

Welche Objekte finden sich nun unter dem Begriff Consent Management bzw. Einwilligungsverwaltung?
Das zentrale Objekt Einzelperson („Individual“) haben wir bereits in unserem Blogpost zur DSGVO betrachtet:

Individual

“Seit dem Spring ‘18 Release gibt es für Sales und Service Cloud ein neue Möglichkeit, um Einverständnis und Widerspruch von Kontakten zu speichern: Im Objekt 'Individual' können zum einen die persönlichen Präferenzen zu Datenschutz und -verarbeitung für Leads und Kontakte dokumentiert werden.

 

Zum Anderen können so personenbezogene Daten in einen separaten Datensatz ausgelagert und ggf. verschlüsselt werden, ohne dass Lead und Kontakt in der Sichtbarkeit eingeschränkt werden müssen. Aktuell gibt es zwar noch keinen Automatismus, der bei jedem neuen Lead oder Kontakt auch ein Individual anlegt, aber mit Bordmitteln wie Process Builder oder Flow lässt sich diese Anforderung umsetzen.”

Das Individual wird erweitert um das Objekt “Contact Point Type Consent” oder auf Deutsch – etwas sperrig - Kontaktpunkttypeinwilligung. Hier können Sie dokumentieren, über und für welchen Kanal (E-Mail, postalisch, telefonisch, über Social Media oder per Web) eine individuelle Person ihr Einverständnis gegeben oder auch entzogen hat und zu welchem Zeitpunkt das geschehen ist. Kurzum: Hier ist dokumentiert, wie Sie als Unternehmen an eine Einzelperson herantreten können.

Aus welchem Anlass und auf welcher rechtlichen Basis Sie Kontakt zu einer Person aufnehmen dürfen, kann mittels der Objekte „Datenverwendungszweck" (“Data Use Purpose”) und „Rechtsgrundlage der Datenverwendung“ (“Data Use Legal Basis”) festgehalten werden. D. h. für jeden Anlass, aus dem Sie mit Ihren Kontakten sprechen möchten bzw. für den Sie ein Einwilligung nachverfolgen, können Sie einen “Data Use Purpose” anlegen. Das könnte z.B. Marketing sein oder Abrechnung. Die rechtliche Grundlage jedes Anlasses lässt sich über “Data Use Legal Basis” zuordnen. Hier können Sie für die Abrechnung z. B. „Vertrag“ hinterlegen, wenn es eine vertragliche Beziehung gibt, die die Kommunikation begründet.

Ein Datenverwendungszweck muss immer auch mit einer Rechtsgrundlage verknüpft sein. Folgt man der Denke der DSGVO, ist das auch nur logisch. Ohne Grundlage gibt es keinen gerechtfertigten Zweck eine Person zu kontaktieren. Datenverwendungszwecke und dazugehörigen rechtliche Grundlagen können außerdem auch genutzt werden, um Zustimmungen zu Autorisierungsformularen (“Authorization Forms”) zu dokumentieren.

Unter Autorisierungsformularen versteht Salesforce Nutzungsbedingungen, Datennutzungsvereinbarungen und andere Einwilligungsformulare. D.h. hier können Sie im Objekt Automatisierungsformular z.B. pro AGB Version einen eigenen Datensatz anlegen. Über die Verbindung Autorisierungsformluar - Einwilligung lässt sich dann dokumentieren, welcher Version der AGBs eine Person zugestimmt hat.

Zur Information z.B. für Mitarbeiter in einem Call Center kann man optional im Objekt Autorisierungsformulartext die konkreten Formulierungen von z.B. AGBs in verschiedenen Sprachen hinterlegen.

Fazit

Mit den Consent Management Objekten bringt Salesforce ein umfassendes Datenmodell mit, mit dem sich – je nach Anforderung – verschiedene Zustimmungen zur Kontaktierbarkeit einer Person im CRM hinterlegt werden können. Kurz zusammengefasst handelt es sich um folgende Objekte:

  • Individual - die einzelne Person
  • Kontaktpunkttypeinwilligung - wann und wie eine Person ihr OK zur Kontaktaufnahme über welchen Kanal gegeben hat
  • Datenverwendungszweck & Rechtsgrundlage der Datenverwendung - aus welchem Grund und in welchem rechtlichen Rahmen, sie mit einer Person in Kontakt treten dürfen
  • Autorisierungsformluar & Autorisierungsformluareinwilligung - welcher Version einer Nutzungsbedingung, AGB etc. eine Person zu welchem Zeitpunkt und wie zugestimmt hat

Wie alle Salesforce Objekte, lassen sich auch Consent Objekte mit zusätzlichen Feldern erweitern. D.h. auch für Anforderungen, die über dieses Datenmodell hinausgehen, lassen sich Möglichkeiten und Lösungen finden. Außerdem zählen diese Objekte nicht gegen den Dateispeicher in der CRM Plattform (Vgl. Saleforce Knowledge Base). Ein Aspekt, der gerade für Unternehmen im B2C Umfeld interessant sein dürfte.

Aktuell gibt es noch keine Automatisierungen oder Prozesse für die einzelnen Objekte. Das kann Vor- und Nachteil sein.

Als Vorteil ist zu sehen, dass so auch mehr Freiheiten bestehen, die individuelle Auslegung der DSGVO in Prozessen in Salesforce abzubilden. Denn auch die Datenschutzgrundverordnung bleibt an einigen Stellen wage und ist – je nach Rechtsansicht- interpretierbar. Somit können daraus auch verschiedene Anforderungen an Automatisierungen resultieren.

Allerdings besteht ohne Prozesse auch keine Grundlage, wie man es vielleicht von den Prozessschritten auf der Opportunity kennt, auf der man auf setzen könnte. Das bedeutet auch, dass sich Unternehmen sehr genau damit auseinander setzen müssen, wie Consent Management in Salesforce umgesetzt werden soll.

Last but not least, bringen die Consent Management Objekte noch einige weitere Nachteile mit sich: Aktuell lassen sich zwar Kontaktpunkttyp- und Autorisierungsformluareinwilligungen beispielsweise nicht als Grundlage für Berichte nutzen oder als Themenlisten auf der Einzelperson einblenden. Vielleicht ändert sich das auch mit den nächsten Releasen! Es bleibt also spannend und wir werden das Thema weiter verfolgen und Sie auf dem Laufenden halten.

Ausführliche Information zu diesem Thema können Sie hier nachlesen.

 

avatar

Annemarie Heuschild

Als Managerin im Core Consulting bei der factory42 begleite ich Kunden bei der Einführung und Optimierung der Salesforce CRM Plattform. Durch meine Erfahrung in verschiedensten Projekten in Vertrieb und Marketing verbinde ich Wissen über fachliche Prozesse und Anforderungen mit technischen Möglichkeiten in der Konfiguration und Nutzung der Salesforce Clouds. Dabei steht für mich im Vordergrund zu verstehen, welche Vision meine Kunden haben, um in Salesforce eine passende Lösung bereitzustellen, die sie auf dem Weg dahin unterstützt.