Anwendertreffen 2018/Ausblick/DSGVO Erweiterung
- Artikelpflegecockpit
- Status Lieferantenanbindungen
- Livefilter
- IMAP
- Multisteuer
- Anbindung Exchange
- erweiterte Logistiklösung mit DHL
- Ladelisten
- Automatische Auswertungen
- Vorgangsmail mit eigener Betreffzeile
- Listenfelder selber hinzufügen
- Anbindung Leitz Icon
- Erweiterte Rechnungskreise
- Vorgänge einer Auswertung hinzufügen
- E-Mail Regel-Assistent
- Terminaldrucker nun problemlos
- Allgemeine Einstellungen für Benutzer
- PDF-Versionen
- Retourengründe/-filter
- Filter Aufgabenliste
- Faxliste überarbeitet
- Gerätebaum
- Krankheit und Urlaub in OBS verwalten
- Farbliche Kennzeichnung von Aufträgen
Neuerungen aufgrund des Inkrafttretens der DSGVO
Ab 25.05. ist die DSGVO nach 2jähriger Übergangsphase in Kraft getreten.
Wie viele Unternehmen mussten auch wir uns in dem wenig geordneten Informationsdschungel unsere Position suchen.
Wir wollen für alle, die noch im Findungsprozess sind, eine kleine Übersicht geben, was wir dabei im Alltag für wichtig empfunden haben.
1. Definition zuerst: was sind personenbezogene Daten?
Kurz gesagt alle, die auf eine Person schließen lassen, d.h. Name, Adresse, Geburtsdatum, Ansprechpartner
aber auch E-Mail-Adressen, Telefonnummern, IP-Adressen, Bankverbindungen (nicht abschließend aufgezählt)
2. Wichtig ist zunächst: nicht alles braucht ab jetzt die Zustimmung des Kunden:
neben dessen Interessen gilt es auch gesetzliche Interessen und das berechtigte Interesse des Unternehmens abzuwägen.
Insbesondere das berechtigte Interesse des Unternehmens aufgrund der von ihm selbst definierten Zwecke,
für die es personenbezogene Daten sammelt und verarbeitet, führt in der Praxis dazu, dass von einer generellen
Zustimmungseinholung beim Kunden per Serienmail abzuraten ist. Die Rücklaufquote dort ist durchschnittlich
bei 5%, alle Kunden, die sich nicht melden wären streng genommen aus den Datenbeständen zu entfernen.
Darum: Zustimmung nur im konkreten Vertragsfall und nur da einholen, wo es erforderlich ist.
3. Streckengeschäft(sog. Dropshipping)
Auch ohne gesonderte Einwilligung des Kunden ist die Datenverarbeitung personenbezogener Daten im Rahmen des
Kaufvertrags gem. Art. 6 Abs. 1b DSGVO erlaubt, wenn sie im Rahmen der Vertragsabwicklung vonnöten ist.
Das betrifft auch die Weitergabe der Kundendaten an einen Lieferanten.
Problematisch ist jedoch, wenn der Kunde nicht seine Adresse als Lieferadresse angibt, sondern z.B. die eines Nachbarn.
Hier greift Art. 6 Abs. 1b DSGVO nicht. Allerdings kann Abhilfe geschaffen werden mithilfe des Arguments des
berechtigten Interesses gem. Art. 6 Abs. 1f DSGVO.
Hier kann davon ausgegangen werden, dass keine gegenstehenden Interessen der betroffenen Person überwiegen,
insbesondere da der Nachbar wohl in der Regel vorher gefragt wurde, ob er die Lieferung annimmt.
Achtung: die so erlangten Daten des Nachbarn dürfen aber nicht z.B. für Werbezwecke benutzt werden,
da hier kein berechtigtes Interesse des Unternehmens mehr begründet werden kann.
4. Flyer und andere nicht direkt adressierte Werbung
ist ebenfalls unproblematisch. Nur wenn Newsletter verschickt werden sollen oder Werbung direkt mit
Namensansprache versehen ist, sollte die Zustimmung des Kunden eingeholt werden.
Slogans mit dem Unternehmensnamen wie z.B. „Ihr Partner in der Kopiertechnik“ unter E-Mails oder
Rechnungen sind zwar in einer Grauzone aber wahrscheinlich nicht als belästigende Werbung zu interpretieren.
5. Auf jeden Fall sollten die Kunden in nächster Zeit bei Vertragsabschluss noch einmal
auf die AGB und Ihre neue Datenschutzerklärung hingewiesen werden. Ein Aushang im Laden,
ein entsprechender Satz am Telefon mit Hinweis wo das nachlesbar ist und der Frage,
ob der Kunde dem (gern auch mündlich) zustimmt, reicht aus. Wir haben bei unseren Kunden sog. Eigenschaften hinterlegt.
Hier reicht auch das einmalige Einverständnis für alle folgenden Kaufverträge.
6. Sobald Sie Support geben oder ansonsten mit den Daten Ihrer Kunden in Kontakt kommen,
z.B. Wartungsverträge bei Kopierern, empfehlen wir Ihnen, einen Auftragsverarbeitungsvertrag abzuschließen.
Ein Muster haben wir in der Wiki-Hilfe hinterlegt. Hier können Sie sich ggfs. Inspiration holen.
7. Cookies: hier gilt es, zu prüfen, ob Sie tatsächlich Cookies benutzen, die personenbezogene Daten sammeln und verarbeiten.
Sollte das nicht der Fall sein, genügt ein Hinweis darauf, dass Cookies zwar verwendet werden, aber keine,
die personenbezogene Daten sammeln. Den Kommentar ganz weg zu lassen, könnte Nachfragen provozieren.
Sollten die von Ihnen verwendeten Cookies personenbezogene Daten verwenden, kommen Sie um eine sog. Opt-in Abfrage nicht herum.
Wichtig ist hier, dass ohne Zustimmung zu deren Benutzung kein Weiterkommen mehr auf der Webseite gegeben sein darf.
8. Ihre Webseite sowie Ihre E-Mails müssen mindestens SSL-verschlüsselt sein. Sollten Ihre E-Mails nicht
SSL-verschlüsselt sein, müssten Sie Ihre Kunden unter Hinweis auf die Gefahren, die ein unverschlüsselter Datenaustausch
mit sich bringt um die schriftliche Einwilligung des Kunden bitten. Wie bei allen anderen Einwilligungen sollte auch ein Hinweis darauf,
dass die Einwilligung jederzeit zurückgezogen werden darf, nicht fehlen.
9. Bitte die internen Maßnahmen nicht vergessen:
Auch wenn Sie für Ihre Außendarstellung alles getan haben, bitte vergessen Sie nicht, eine Vertraulichkeitsvereinbarung mit
Ihren Mitarbeitern zu treffen und auch sie im Umgang mit den neuen Regeln einzuweisen. Wir hatten einige Unsicherheiten zu beheben.
Des Weiteren sollten Sie für Ihre Dokumentation ein sog. Verarbeitungsverzeichnis erstellen und
die sog. TOM (Technisch-organisatorische Maßnahmen) definieren. Hier sind bereits etliche frei herunterladbare Muster im Umlauf.