Datenschutz mit CAS genesisWorld
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz mit
CAS genesisWorld
1Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden, soweit nichts anderes angegeben ist. Ohne ausdrückliche schriftliche Erlaubnis der CAS Software AG darf kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies geschieht. © 1999 - 2014 CAS Software AG. Alle Rechte vorbehalten. CAS-Weg 1 - 5, 76131 Karlsruhe, www.cas.de Sämtliche erwähnten Kennzeichen stehen ausschließlich den jeweiligen Inhabern zu. Einschränkung der Gewährleistung Für die Richtigkeit des Inhalts wird keine Garantie übernommen. Für Hinweise auf Fehler sind wir jederzeit dankbar. Stand: November 2014
Datenschutz mit
CAS genesisWorld • Inhalt
Inhalt
1 Einleitung ...................................................................................................................... 4
1.1 Datenschutz und CRM ....................................................................................................................4
2 Systematik des Datenschutzrechts ............................................................................. 5
2.1 Datenschutz vs. Datensicherheit .................................................................................................5
2.2 Personenbezogene Daten .............................................................................................................6
2.3 Welche Vorgänge sind umfasst...................................................................................................6
3 Rechte der Betroffenen ............................................................................................... 7
3.1 Recht auf Benachrichtigung..........................................................................................................7
3.2 Recht auf Auskunft ...........................................................................................................................8
3.3 Recht auf Berichtigung, Sperrung und Löschung.................................................................8
4 Grundprinzipien des Datenschutzes ........................................................................... 8
4.1 Verbot mit Erlaubnisvorbehalt .....................................................................................................8
4.2 Datensparsamkeit .............................................................................................................................9
4.3 Direkterhebung .............................................................................................................................. 10
4.4 Transparenz...................................................................................................................................... 10
4.5 Einwilligung ...................................................................................................................................... 10
4.6 Erforderlichkeit................................................................................................................................ 11
4.7 Zweckbindung ................................................................................................................................ 12
5 Unterstützung durch CAS genesisWorld ................................................................. 13
6 Datenerhebung und -speicherung ........................................................................... 14
7 Gezielte Kundenansprache ........................................................................................ 18
8 Rechte der Kunden ..................................................................................................... 27
9 Sicherheit .................................................................................................................... 29
10 Fazit ............................................................................................................................. 30
3Datenschutz mit
CAS genesisWorld • Einleitung
1 Einleitung
Das Datenschutzrecht ist aus Sicht von Unternehmen eine der unangenehmsten, aber
auch relevantesten Rechtsmaterien. Viele Programme verarbeiten Daten über Personen.
Die meisten Geschäftsmodelle und Geschäftsprozesse sind ohne die Verarbeitung solcher
Daten gar nicht denkbar. Dabei bewegen sich Anwender und Entwickler oft auf dünnem
Eis. Wissen über die genaue Rechtssituation ist rar. Die Verletzung von Datenschutzrecht
ist nicht nur mit Strafen verbunden, sondern sie kann gewachsenes Vertrauen zu Ihren
Kunden zerstören und einen beträchtlichen Imageschaden verursachen.
Dieser Leitfaden erklärt allgemeine Grundbegriffe und Prinzipien und soll Ihnen dabei
helfen, Konfliktsituationen zu erkennen.
Das Datenschutzrecht ist im Bundesdatenschutzgesetz (BDSG) geregelt.
1.1 Datenschutz und CRM
Firmen müssen bei allen personenbezogenen Daten dokumentieren, woher diese stam-
men. Darüber hinaus muss für jede Kontaktart (E-Mail, Postversand, Fax, Telefon) eine
entsprechende Einverständniserklärung des Kunden vorliegen. Ansonsten drohen die
Löschung der Adressdaten, Bußgelder durch Aufsichtsbehörden und Abmahnungen
durch Kunden und Konkurrenten.
Die Vorgaben des BDSG bringen für Unternehmen einige folgenreiche Änderungen mit
sich.
Unternehmen ohne CRM-System sind kaum mehr in der Lage, die Anforderungen des
BDSG gesetzeskonform umzusetzen.
CAS genesisWorld bietet die technischen Voraussetzungen und unterstützt bei weite-
ren organisatorischen Maßnahmen.
Technische und organisatorische Maßnahmen sind gleichermaßen notwendig, um den
Anforderungen aus dem BDSG zu entsprechen.
Beachten Sie, dass dieses Dokument keinen Anspruch auf Vollständigkeit erhebt. Auch
können wir für die Richtigkeit oder Aktualität der Aussagen keine Gewähr übernehmen.
Suchen Sie daher in jedem Fall den Kontakt zu einem/Ihrem Datenschutzbeauftragten
und/oder Rechtsanwalt, um die Situation in Ihrem Unternehmen individuell zu prüfen
und geeignete Maßnahmen abzuleiten.
Die Beispiele und Empfehlungen in diesem Dokument beziehen sich auf das Produktport-
folio auf Basis von CAS genesisWorld Version x6.
4Datenschutz mit
CAS genesisWorld • Systematik des Datenschutzrechts
2 Systematik des Datenschutzrechts
Neben dem Datenschutzgesetz existiert in Deutschland ein System von Gesetzen, die
Datenschutzregeln enthalten. Die meisten dieser Gesetze sind Spezialregelungen für
bestimmte Branchen oder Technologien. Bei Unternehmen sind z. B. das Telemedien-
gesetz (TMG) oder das Telekommunikationsgesetz (TKG) solche Spezialregelungen.
Die allgemeinsten und vollständigsten Vorschriften sind das Bundesdatenschutzgesetz
(BDSG) und die verschiedenen Landesdatenschutzgesetze, die inhaltlich sehr eng an das
BDSG angelehnt sind.
Spezielle Regelungen haben immer dann Vorrang, wenn der konkrete Fall unter das ent-
sprechende Gesetz fällt und die spezielle Regelung anwendbar ist. Wenn der Fall nicht in
den Spezialgesetzen geregelt ist, dient das BDSG als eine Art Auffangbecken. Ein Beispiel
hierfür ist die im BDSG verankerte schriftliche Einwilligung. Allgemein folgen die Spezial-
gesetze aber denselben Grundsätzen. Sie ersetzen also die schriftliche Einwilligung durch
eine Form, die unter den gegebenen Umständen praktikabel ist und denselben Effekt hat.
Das BDSG unterscheidet zwischen öffentlichen, staatlichen Stellen und nicht-öffentlichen
Stellen, zu denen Privatunternehmen gehören. Für private Unternehmen sind hauptsäch-
lich etwaige branchenspezifische Spezialregelungen und das BDSG relevant. Spezielle Re-
gelungen für öffentliche Stellen sind auf private Unternehmen nicht anwendbar, es sei
denn diese Unternehmen nehmen staatliche Aufgaben wahr.
Welche branchenspezifische Spezialregelungen für Sie gelten hängt davon ab, in wel-
cher Branche Ihr Unternehmen tätig ist bzw. in welchem technischen Umfeld Sie Daten
verarbeiten. Das sollten Sie stets als erstes prüfen, wenn Sie personenbezogene Daten
verarbeiten.
2.1 Datenschutz vs. Datensicherheit
Die Verwechslung oder Vermengung von Datenschutz und Datensicherheit gehört zu den
häufigsten Irrtümern, gerade unter Software-Experten. Immer wieder werben Dienstleis-
ter oder Softwarehäuser mit Datenschutz, meinen aber Datensicherheit. Das ist nicht das-
selbe, obwohl viele Mechanismen beiden Zwecken dienen können.
Datenschutz ist eine Rechtsmaterie, Datensicherheit betreiben Sie überwiegend in Ihrem
eigenen Interesse und im Interesse Ihrer Kunden und Geschäftspartner. In speziellen Be-
reichen existieren teilweise gesetzliche Verpflichtungen, das sind aber oft datenschutz-
rechtliche Vorschriften.
Ziel der Datensicherheit ist der Schutz der Daten vor Schaden, Verlust und Diebstahl. Ein
offener Zugriff auf personenbezogene Daten ermöglicht einen Missbrauch der Daten.
Wenn Sie keine Kontrolle mehr über den Zugriff haben, ist ein offener Zugriff auch aus
datenschutzrechtlicher Sicht kritisch. Somit besteht in dieser Situation zwischen Daten-
schutz und Datensicherheit ein direkter Zusammenhang.
5Datenschutz mit
CAS genesisWorld • Systematik des Datenschutzrechts
2.2 Personenbezogene Daten
Das Grundrecht auf informationelle Selbstbestimmung gilt ausschließlich für Menschen.
Der Datenschutz betrifft somit nur Informationen, die sich auf einen Menschen beziehen.
Das sind die personenbezogenen Daten.
Informationen über Unternehmen und Organisationen sind unkritisch. Auch Informati-
onen über Sachen sind ausgenommen.
Ein wichtiges Merkmal für personenbezogene Daten ist, dass die Daten sich auf eine Ein-
zelperson beziehen oder beziehen lassen. Statistische Angaben sind nicht umfasst, wenn
sie keine Aussage über einen Einzelnen enthalten oder die Daten anonymisiert sind.
Gerade im Relationship-Management geben Ansprechpartner häufig auch private In-
formationen über sich preis. Diese Informationen wie private Telefonnummer, Adresse,
Geburtstag, Angaben zur Familie, Hobbys und dergleichen sind personenbezogene
Daten.
2.3 Welche Vorgänge sind umfasst
Generell beinhaltet der Datenschutz alle Vorgänge mit personenbezogenen Daten. Das
Gesetz unterscheidet für spezielle Regelungen verschiedene Vorgänge wie die Erhebung,
Verarbeitung und Nutzung.
Die Erhebung ist die Sammlung personenbezogener Daten, z. B. per Direkterhebung.
Die Verarbeitung umfasst mehrere Vorgänge:
Daten speichern
Daten verändern, z. B. die Zusammenführung verschiedener Informationen über
dieselbe Person
Daten übermitteln, z. B. die Weitergabe der Daten an andere Personen
Daten löschen
Daten sperren
Die Nutzung personenbezogener Daten ist ein sogenannter Auffangtatbestand. Die
Nutzung umfasst nach § 3 Absatz 5 BDSG jede Verwendung personenbezogener Da-
ten, die keine Verarbeitung ist.
Daten übermitteln
Besondere Aufmerksamkeit sollte auf die Übermittlung gelegt werden. Eine Übermittlung
liegt dann vor, wenn Daten aktiv an andere weitergegeben werden oder wenn andere
passiv Zugriff auf die Daten erhalten.
6Datenschutz mit
CAS genesisWorld • Rechte der Betroffenen
Für eine Übermittlung ist die Grenze einer rechtlich selbstständigen Organisation oder
eines Unternehmens ausschlaggebend. Innerhalb ist die gemeinsame Nutzung von per-
sonenbezogenen Daten keine Übermittlung. Die verantwortliche Stelle ist das Unterneh-
men, das die personenbezogenen Daten für sich selbst erhebt, verarbeitet oder nutzt
oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG).
Eine Übermittlung liegt vor, wenn die Daten durch explizites Versenden oder eine ge-
meinsam genutzte Kundendatenbank nach außen an einen Dritten weiter gegeben wer-
den. Das gilt auch, wenn es sich um ein Tochterunternehmen oder ein anderes Unterneh-
men der Gruppe oder des Konzerns handelt. Dritter ist dabei jede Person oder Person
außerhalb der verantwortlichen Stelle. Dazu zählen nicht der Betroffene sowie Personen
oder Stellen, die im Inland, in einem anderen Mitgliedsstaat der Europäischen Union oder
in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum
personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen (§ 3 Abs. 8 BDSG).
Das Datenschutzrecht in Europa beruht auf der EU-Richtlinie 46/95/EG, die in allen Mit-
gliedsländern der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR)
ein Mindestschutzniveau festlegt. Werden personenbezogene Daten in Länder außerhalb
der Europäischen Union übermittelt, ist dieses Schutzniveau nicht gegeben. Daher ist die
Übermittlung ohne Einzelgenehmigung und Zustimmung des Betroffenen unzulässig.
Mit den USA gibt es mit dem Safe-Harbour-Abkommen eine Entscheidung der Europä-
ischen Kommission für Unternehmen, die sich zur Einhaltung europäischer Datenschutz-
standards verpflichtet haben. Dieses Abkommen ist aber in den letzten Jahren massiv in
die Kritik geraten, weil es im Wesentlichen eine Selbstverpflichtung ohne wirksame Kon-
trolle darstellt.
3 Rechte der Betroffenen
Die Rechte der Betroffenen sind gleichzeitig Pflichten, die von jedem Unternehmen erfüllt
werden müssen. Diese Rechte sind in §§ 33-35 BDSG geregelt.
Betroffene sind natürliche Personen, über die Daten bei öffentlichen oder nicht-öffent-
lichen Stellen gespeichert sind.
3.1 Recht auf Benachrichtigung
Wenn in einem CRM-System erstmals Daten über eine Person ohne deren Wissen ge-
speichert werden, dann muss diese Person aktiv informiert werden. Beschrieben werden
müssen der Zweck der Speicherung, die Art der Daten und die Identität des Unterneh-
mens, das die Daten gespeichert hat.
Ausnahmen zur Benachrichtigungspflicht stehen in § 33 Abs. 2 BDSG. Die häufigste Au-
snahme bei der Nutzung eines CRM-Systems ist die Datenerhebung aus allgemein zu-
7Datenschutz mit
CAS genesisWorld • Grundprinzipien des Datenschutzes
gänglichen Quellen, bei der durch die Vielzahl der betroffenen Fälle eine Benachrichti-
gung erheblicher Aufwand bedeuten würde.
Aus Gründen der Transparenz ist zu empfehlen, der Benachrichtigungspflicht immer
nachzukommen.
3.2 Recht auf Auskunft
Betroffene können jederzeit anfragen, welche personenbezogenen Daten über sie zu wel-
chen Zwecken gespeichert sind und woher diese Daten stammen. Alle Unternehmen sind
dazu verpflichtet, darüber Auskunft zu geben.
Ausnahmen zu dieser Vorschrift stehen in § 33 Abs. 2 BDSG.
3.3 Recht auf Berichtigung, Sperrung und Löschung
CRM-Nutzer sind verpflichtet, falsche Daten zu berichtigen. Außerdem müssen Daten ge-
löscht werden, wenn sie nicht (mehr) gespeichert werden dürfen oder der Zweck für die
Speicherung nicht mehr besteht.
Die Daten müssen gesperrt werden, wenn
eine gesetzliche Verpflichtung zur Aufbewahrung der Daten besteht,
eine Löschung dem Interesse der betroffenen Personen widerspricht oder
eine Löschung technisch zu aufwendig ist.
4 Grundprinzipien des Datenschutzes
Das Datenschutzgesetz baut auf Grundprinzipien auf. Diese sind teilweise eng miteinan-
der verflochten, weswegen die Anzahl und die konkrete Beschreibung zwischen verschie-
denen Autoren im Detail abweichen können. Die Grundprinzipien sind keine unmittelba-
ren Paragraphen, sondern abstrakte Leitsätze.
Die Leitsätze sollen Ihnen helfen, ein Gefühl dafür zu bekommen, wie das Gesetz vorgeht.
Generell gilt: Wer diese Leitsätze strikt einhält, macht nichts falsch. Allerdings verzichtet
er unter Umständen auf Möglichkeiten, die rechtlich zulässig wären.
4.1 Verbot mit Erlaubnisvorbehalt
Das Datenschutzgesetz ist ein Verbot mit Erlaubnisvorbehalt. Das bedeutet: im Bezug auf
personenbezogenen Daten ist alles verboten, was nicht ausdrücklich erlaubt ist. Diese
8Datenschutz mit
CAS genesisWorld • Grundprinzipien des Datenschutzes
Regelung ist in §4 Abs.1 BDGS festgelegt. Eine Erlaubnis kann gesetzlich geregelt sein
oder durch eine Einwilligung der Betroffenen vorliegen.
Gesetzliche Erlaubnis
Sie dürfen personenbezogene Daten erheben, verarbeiten oder nutzen, wenn ein Ge-
setz, eine Rechtsvorschrift oder eine Verordnung dies ausdrücklich erlaubt oder veror-
dnet.
Beispiele für die erlaubte Erhebung, Verarbeitung und Nutzung sind Aufbewahrungs-
und Dokumentationspflichten aus dem Steuerrecht.
Einwilligung
In einer Einwilligung ist genau festgelegt, in welchem Umfang und zu welchem Zweck
Sie die Daten erheben, verarbeiten oder nutzen dürfen.
Das Verbot mit Erlaubnisvorbehalt hat noch eine zweite Auswirkung: im Zweifel gilt das
Verbot.
Wenn Sie sich unsicher sind, ob Sie bestimmte personenbezogene Daten zu einem be-
stimmten Zweck erheben, verarbeiten oder nutzen dürfen, sollten Sie sich rechtlich ab-
sichern oder eine Einwilligung von den Betroffenen einholen.
4.2 Datensparsamkeit
Die Datensparsamkeit ist in §3a BDSG geregelt und ist ein Gebot.
Datensparsamkeit bedeutet, dass Sie so wenig personenbezogene Daten wie möglich er-
heben, verarbeiten oder nutzen. Wenn möglich, sollten Sie die Daten anonymisieren oder
pseudonymisieren.
Anonymisieren heißt, dass Sie identifizierende Merkmale eliminieren und damit den
Bezug zur Person möglichst vollständig entfernen.
Pseudonymisieren heißt, dass Sie identifizierende Merkmale durch nicht zuordenbare
Pseudonyme ersetzen.
Solche Techniken bieten sich insbesondere dann an, wenn Sie die Daten zu bestimmten
Zwecken auswerten möchten. Auch statistische Auswertungen kommen oft ohne Perso-
nenbezug aus.
In einem CRM ist es in vielen Fällen nicht möglich, auf den Personenbezug zu verzichten.
Aber auch hier sollten Sie zum Wohl Ihrer Kunden darauf achten, dass Ihr System nur un-
bedingt erforderlichen Daten sammelt. Je mehr Daten Sie haben, desto größer ist das Ri-
siko eines Datenmissbrauchs.
9Datenschutz mit
CAS genesisWorld • Grundprinzipien des Datenschutzes
4.3 Direkterhebung
Die Direkterhebung steht in § 4 Absatz 2 BDSG und ist ein Grundsatz.
Die Direkterhebung verpflichtet Sie, personenbezogene Daten grundsätzlich von den
Betroffenen selbst zu erfragen. Grundsätzlich bedeutet jedoch im Recht, dass es Ausnah-
men geben kann. Wenn es der Geschäftszweck erfordert oder wenn durch die Direkter-
hebung ein beträchtlicher Zusatzaufwand entstünde, dürfen Sie Daten anders beschaffen.
Die Direkterhebung hat zum Ziel, dass Betroffene wissen, wer ihre Daten für welche Zwe-
cke hat. Daher schließt sich an dieses Prinzip die Pflicht an, die Betroffenen genau darü-
ber zu informieren. Wenn sich das aus dem Zusammenhang automatisch ergibt, ist eine
gesonderte Information nicht notwendig.
Nur wenn Betroffene Bescheid wissen, können sie ihre Rechte über die Daten ausüben.
4.4 Transparenz
Transparenz ist ein zentrales Prinzip des Datenschutzrechts. Betroffene sollen jederzeit
wissen oder erfahren können,
welche Informationen Sie über sie haben,
wozu diese Informationen verwendet werden,
wer diese Informationen außerdem haben darf usw.
Transparenz ist eine zentrale Richtschnur für jeden, der ein CRM-System einsetzt.
Generell haben Kunden das Recht, jederzeit über ihre persönlichen Daten Auskunft zu
verlangen. Seien Sie also transparent und zeigen Sie ihren Kunden, dass sie nichts zu ver-
heimlichen haben. Das schafft Vertrauen.
Bevor Sie um eine Einwilligung bitten, sollten Ihre Kunden genau darüber informiert wer-
den, wozu die Einwilligung dient. Davon hängt im Zweifel auch ab, ob diese Einwilligung
rechtlich Bestand hat.
Wenn Ihre Kunden Wahlmöglichkeiten haben oder die Daten selbst hinterlegen können,
sollten Sie standardmäßig die datenschutzrechtlich sicherste Form vorschlagen. Das kann
z. B. bedeuten, dass Sie bei Formularen nur die Felder als Pflichtfelder festlegen, die für
den konkreten Vorgang nötig sind. Erläutern Sie die Konsequenzen umfassend und he-
ben Sie die Auswahl klar hervor. Ihre Kunden können dann selbst entscheiden, ob sie mit
einem weniger restriktiven Umgang mit ihren Daten einverstanden sind.
4.5 Einwilligung
Die Einwilligung ist in §§ 4, 4a BDSG geregelt. Eine Einwilligung ist eine Erklärung, die nur
unter bestimmten Voraussetzungen wirksam ist.
10Datenschutz mit
CAS genesisWorld • Grundprinzipien des Datenschutzes
Transparenz
Die Informationspflichten müssen erfüllt sein. Das bedeutet, dass aus der Einwilligung
hervorgehen muss, welche Daten zu welchen Zwecken erhoben, verarbeitet oder
genutzt werden.
Freiwilligkeit
Die Einwilligung muss freiwillig erfolgen. Eine unter Zwang abgegebene Einwilligung
ist unwirksam.
Widerrufbarkeit
Die Betroffenen müssen darüber informiert werden, dass sie die Einwilligung jederzeit
widerrufen können.
Schriftform
Zum Schutz der Betroffenen muss die Einwilligung in Schriftform vorliegen. Die Einwil-
ligung schützt sowohl die Betroffenen als auch die Unternehmen, die so nachweisen
können, dass eine Einwilligung vorliegt.
Der Betroffene soll gewarnt werden, dass die Einwilligung rechtlich bindend ist.
Das Datum der Einwilligung zählt. Was vorher passiert, deckt sie nicht ab.
Der Betroffene soll den Inhalt der Einwilligung jederzeit einsehen können.
Die Echtheit der Einwilligung ist nachprüfbar.
Die Einwilligung muss immer separat erklärt werden. Die Trennung von anderen Einwil-
ligungen, wie z. B. der Zustimmung zu allgemeinen Geschäftsbedingungen, ist Folge des
sogenannten Kopplungsverbots. Die Einwilligung darf z. B. nicht Voraussetzung für eine
Leistung sein, die auch ohne die Daten erbracht werden könnte und die der Kunde ohne
Einwilligung nicht erhalten kann.
Eine Einwilligung sollte nur dann eingeholt werden, wenn keine gesetzliche Erlaubnis
vorliegt. So vermeiden Sie, dass die Betroffenen ständig Einwilligungen abgeben und
Einwilligungen somit ihre Warnfunktion verlieren.
4.6 Erforderlichkeit
Erforderlichkeit liegt dann vor, wenn ein Vertrag ohne die Erhebung, Verarbeitung oder
Nutzung personenbezogener Daten nicht zustande kommen, nicht erfüllt oder nicht be-
endet werden könnte. Ein Beispiel hierfür ist der Versandhandel: Ohne die Adresse eines
Kunden kann die Ware nicht verschickt werden. Das sind unmittelbar erforderliche Daten.
Erforderlichkeit liegt auch dann vor, wenn Ihnen als Geschäftspartner ohne diese Daten
ein erhebliches Risiko entstehen würde. Wenn Sie zum Beispiel bei Geschäften im erheb-
lichen Maße in Vorleistung treten, dürfen Sie auch eine Bonitätsauskunft einholen. Das
sind mittelbar erforderliche Daten. Allerdings sollten Sie auch in diesem Fall vorher eine
11Datenschutz mit
CAS genesisWorld • Grundprinzipien des Datenschutzes
Einwilligung vom Betroffenen einholen, da Sie personenbezogene Daten des Betroffenen
zur weiteren Verarbeitung an die Auskunftei geben.
Diese Einschränkung des Datenschutzes ist sinnvoll, da sich das Verbot gegen das Inte-
resse der Betroffenen selbst richten würde. Der Datenumfang muss allerdings auf ein ver-
nünftiges Maß beschränkt bleiben. Um zu prüfen, ob Daten tatsächlich erforderlich sind,
sollten Sie sich z. B. folgende Fragen stellen:
Sind die von Ihnen verlangten Daten geeignet, um das dahinter stehende Ziel zu errei-
chen?
Beispiel: Das Geburtsdatum eignet sich zur Prüfung, ob ein Kunde volljährig ist.
Sind diese Informationen am wenigsten detailliert?
Beispiel: Sie können anstelle des Geburtsdatums auch bestätigen lassen, dass ein Kun-
de 18 Jahre oder älter ist.
Ist die Datenerhebung angemessen, weil Ihnen die Frage ein Risiko oder Aufwand
erspart?
Beispiel: Die Frage nach Krankheiten ist für einen Lebensversicherungsvertrag notwen-
dig, für die meisten anderen Verträge wäre die Frage allerdings nicht angemessen und
teilweise nicht zulässig.
4.7 Zweckbindung
Jede Erlaubnis zur Verwendung von personenbezogenen Daten ist fest an einen bes-
timmten Verwendungszweck gebunden. Bei einer gesetzlichen Erlaubnis ist der Verwen-
dungszweck durch die Vorschrift fest vorgegeben. Auch eine Einwilligung muss sich
immer auf konkret beschriebene Verwendungszwecke beziehen.
Im deutschen Datenschutzrecht existiert keine Pauschalerlaubnis zur Verarbeitung von
personenbezogenen Daten. Jede Verarbeitung oder Nutzung für andere Verwendungs-
zwecke ist ein unabhängiger Vorgang. Sie brauchen für jeden Verwendungszweck eine
gesetzliche Erlaubnis oder Einwilligung.
Wenn der Verwendungszweck wegfällt, dann erlischt auch die Erlaubnis. In diesem Fall
müssen Sie die Daten löschen oder mindestens sperren. Gleiches gilt, wenn eine Ein-
willigung widerrufen wird.
Wenn Sie die Daten aus anderen gesetzlichen Gründen aufbewahren müssen, dann müs-
sen Sie die Daten für alle anderen Verwendungszwecke sperren. Solche Gründe können
z. B. die Buchhaltung oder die Personalverwaltung sein.
12Datenschutz mit
CAS genesisWorld • Unterstützung durch CAS genesisWorld
5 Unterstützung durch CAS genesisWorld
Die Anforderungen, die sich aus den Gesetzen für Unternehmen ergeben, lassen sich
ohne Einsatz professioneller CRM-Systeme quasi nicht mehr bewältigen. CAS genesis-
World bietet Ihnen die technische Voraussetzung und unterstützt Sie bei weiteren orga-
nisatorischen Maßnahmen. Dabei sind gleichermaßen technische und organisatorische
Maßnahmen notwendig, um den Anforderungen aus dem BDSG zu entsprechen und im
Unternehmen entsprechend umzusetzen.
Sicherheitsmechanismen an verschiedenen Stellen in CAS genesisWorld verhindern, dass
Daten aus dem System abfließen. Dies gilt insbesondere für personenbezogene Adress-
daten. Diese Sicherheitsmechanismen betreffen:
Im- und Export über den Im-/Exportassistenten
Adress-Assistent
Copy & Paste und Drag & Drop
Serienbriefe & Etikettendruck
Berichte
Export in Sonderformate (GTF, vCard)
Listendruck
Benutzer benötigen die entsprechenden Rechte, um Funktionen nutzen zu können. Ein
100%iger Schutz vor Datendiebstahl kann technisch nicht gewährleistet werden.
Dem Sicherheitsgedanken steht gegenüber:
der Wunsch nach Anpassbarkeit des Systems,
der flexible Zugriff auf Daten von unterwegs über Schnittstellen und
das effiziente Arbeiten durch komfortable Funktionen wie Drag & Drop.
Letztlich kann es potenziellen Angreifern nur erschwert werden, auf einfache Art und
Weise Daten aus dem System zu entwenden.
Funktionen wie Copy & Paste sind in CAS genesisWorld an spezielle Rechte gekoppelt.
Durch diese Rechte kann der Administrator Funktionen komplett abschalten oder nur für
einzelne Mitarbeiter gezielt freigeben. Ergänzt werden müssen diese technischen Maß-
nahmen aber in jedem Fall mit weiterführenden organisatorischen Maßnahmen.
Lassen Sie eine Datenschutzerklärung von Ihren Mitarbeitern unterschreiben, aus der
klar hervorgeht, dass personenbezogene Daten Eigentum des Unternehmens sind und
nur in definierten Anwendungsfällen und zu bestimmten Zwecken in bestimmtem
Umfang verwendet werden dürfen.
Erstellen Sie Anweisungen und Prozessbeschreibungen für Ihre Mitarbeiter und schulen
Sie diese, wie Datensätze zu erstellen, zu ändern und zu löschen sind.
13Datenschutz mit
CAS genesisWorld • Datenerhebung und -speicherung
In den nachfolgenden Kapiteln werden anhand von vier ausgesuchten Bereichen wichtige
Herausforderungen beschrieben und deren Umsetzung mit CAS genesisWorld gezeigt.
6 Datenerhebung und -speicherung
Herausforderungen im Bereich Datenerhebung und -speicherung sind unter anderem:
Wie kann ich Daten korrekt erfassen?
Welche Daten darf ich speichern?
Welche Daten muss ich speichern?
Welche Daten sollte ich besser nicht speichern?
14Datenschutz mit
CAS genesisWorld • Datenerhebung und -speicherung
Stichwörter sind Datensparsamkeit und Datenvermeidung. Nur die Daten sollen erfasst
und gespeichert werden, die zur korrekten Abwicklung eines Rechtsgeschäfts erforderlich
sind. Die Datenherkunft und -weitergabe müssen protokolliert und z. B. 1 bis 2 Jahre
gespeichert werden, um Auskunft geben zu können.
In CAS genesisWorld
Wer die Daten als erstes erhebt, muss diese protokollieren.
Legen Sie in CAS genesisWorld alle wichtigen Felder als Pflichtfelder fest. So stellen Sie
sicher, dass Felder wie Adressherkunft, Datum, Erstkontakt durch usw. ausgefüllt wer-
den. Erfassen Sie in weiteren benutzerdefinierten Feldern, wann welche Daten an wen
weitergegeben wurden.
Protokollieren Sie die Weitergabe entsprechend, um den Betroffenen auf Nachfrage Aus-
kunft geben zu können.
Außerdem sollten Sie speichern,
woher Sie eine bestimmte Adresse haben: Quelle mit Datum,
ob eine Einverständniserklärung des Kunden vorliegt, ebenfalls mit Datum.
Tipp vom Profi
Beim Erfassen einer neuen Adresse werden Sie beim Speichern gefragt, ob die erfassten
Kontaktdaten als erlaubte Kontaktart gesetzt werden sollen.
Um zu verhindern, dass Sie diese Option ohne Einwilligung bejahen, gehen Sie wie folgt
vor:
Setzen Sie den Haken, damit der Hinweis in Zukunft nicht mehr angezeigt wird.
Klicken Sie auf Nein. Auf diese Weise bleibt das Feld Erlaubte Kontaktart leer, bis
eine Einwilligung vorliegt.
15Datenschutz mit
CAS genesisWorld • Datenerhebung und -speicherung
Wenn der Hinweis nicht angezeigt wird, dann können Sie prüfen, welcher Wert eingestellt
ist und die Einstellung ggf. korrigieren:
Klicken Sie in CAS genesisWorld auf Einstellungen.
Klicken Sie im Register Allgemein auf Ausgeschaltete Meldungen.
Module
Nutzen Sie die Möglichkeiten des Moduls Form & Database Designer, um die Felder
übersichtlich auf einem eigenen Register darzustellen.
Mit dem Modul Survey steht Ihnen eine weitere Möglichkeit zur Verfügung, alle rele-
vanten Daten schnell zu erfassen. Ein Fragebogen leitet den Anwender durch die einzel-
nen Fragen.
Selbstverständlich können verschiedene Fragebögen zur Auswahl angeboten werden.
Somit ist für jeden Anwendungsfall ein entsprechender Fragebogen verfügbar, wie z. B.
16Datenschutz mit
CAS genesisWorld • Datenerhebung und -speicherung
für Adresse erfassen oder Kontaktwünsche abklären. Die Antworten auf die einzelnen
Fragen können ausgewertet und für die weitere Kundenkommunikation genutzt werden.
Aufgrund der Datensparsamkeit und Datenvermeidung dürfen nur absolut notwendige
Daten erhoben und gespeichert werden. Nach Ablauf gesetzlicher Aufbewahrungsfristen
müssen personenbezogene Daten gelöscht werden.
Nutzen Sie Filter, Ansichten, Cockpits und den Benachrichtigungs- und Aktionsdienst
zur Prüfung von Adressen. Zentral administrierbare Ansichtsformate und Navigatoren so-
wie öffentliche Bausteine in Cockpits stellen sicher, dass allen Anwendern wichtige An-
sichten bereitgestellt werden.
17Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
7 Gezielte Kundenansprache
Nachdem eine Adresse korrekt erfasst und gespeichert wurde, geht es darum, den Kun-
den gezielt anzusprechen. Dabei gelten folgende Regeln:
nur wenn eine Einwilligung vorliegt: Opt-In bzw. bei E-Mails Double-Opt-In
nur über den erlaubten Informationskanal
nur zum zugestimmten Zweck
Was ist Double-Opt-In?
Das Thema Double-Opt-In spielt im Marketing eine wichtige Rolle. Um Ärger und Miss-
verständnisse zu vermeiden, wird das vom Gesetzgeber vorgeschriebene einfache Opt-In
in der Praxis häufig durch das Double-Opt-In-Verfahren ersetzt. Hierbei muss der Interes-
sent eine Anmeldung zu einem Newsletter in einem zweiten Schritt bestätigen. In den
meisten Fällen geschieht dies per E-Mail.
Wikipedia definiert Double-Opt-In wie folgt:
„Beim 'Double-Opt-in'“ muss der Eintrag der Abonnentenliste in einem zweiten Schritt
bestätigt werden. Meist wird hierzu eine E-Mail-Nachricht mit Bitte um Bestätigung an
die eingetragene Kontaktadresse gesendet. Handelt es sich um ein echtes, das heißt er-
wünschtes Opt-in, bekommt der Abonnent eine Bestätigung seiner angegebenen Kon-
taktdaten. Handelt es sich dagegen um einen missbräuchlich erfolgten Eintrag, kann sich
der unfreiwillige Abonnement-Kandidat vor einem Eintrag in die Abonnementliste schüt-
zen, indem er auf die Bestätigungsanfrage nicht reagiert. Eine Registrierung beim „Dou-
ble-Opt-in“ wird erst dann wirksam, wenn sie bestätigt wird. Dieses Verfahren hat sich
mittlerweile im Direktmarketing durchgesetzt und wird auch im Wege der Adressgenerie-
rung fast ausschließlich verwendet. Außerdem dürfen bei der Anmeldung mittels „Dou-
ble-Opt-in“ als Pflichtfelder lediglich die für den Empfang notwendigen Daten des Emp-
fängers (die E-Mail-Adresse) erhoben werden.
Als Bestätigung kommen neben oben genanntem Weg Verfahren in Frage, bei denen die
Bestätigung zum Beispiel schriftlich auf dem Postweg, telefonisch oder per Banküber-
weisung erfolgt.
Dieses Verfahren wird für seriöses E-Mail-Marketing von verschiedenen Organisationen,
wie zum Beispiel dem Deutschen Dialogmarketing Verband (DDV), empfohlen."
(Quelle: http://de.wikipedia.org/wiki/Opt-in siehe http://de.wikipedia.org/wiki/opt-in -
http://de.wikipedia.org/wiki/opt-in; Letzter Abruf: 26.09.14)
18Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Verschiedene Werbeformen
Werbung per E-Mail
Hier ist besondere Vorsicht geboten: Die Einwilligung des Kunden durch das Opt-In-
Verfahren ist mittlerweile generell erforderlich, im Unterschied zur früheren Opt-Out-
Regelung. Ausgenommen davon sind nur Kundendaten, die durch einen bereits er-
folgten Verkauf eines ähnlichen Gutes erfasst wurden.
Empfehlenswert ist das Double-Opt-In-Verfahren, das das einfache Opt-In-Verfahren
erweitert und zusätzlichen Schutz vor Missbrauch bietet.
Der Verbraucher muss bei jeder Nutzung seiner Daten auf sein Widerspruchsrecht
aufmerksam gemacht werden und aufgezeigt bekommen, wie er seinen Widerspruch
umsetzen kann.
Werbung per Telefon
Im B2C-Bereich ist Werbung per Telefon nur noch nach dem Opt-In-Verfahren gestat-
tet. Im B2B-Bereich bleibt es bei der alten Regelung der konkludenten oder mutmaß-
lichen Einwilligung (vermutetes Interesse). Die Rufnummer muss immer übertragen
werden.
Werbung per Telefax
Bei Werbung per Telefax gilt bei B2C und B2B das Opt-In-Prinzip gleichermaßen. Eine
Zustimmung ist immer erforderlich.
Printwerbung
Printwerbung bietet die meisten Möglichkeiten, um an potenzielle Kunden heranzu-
treten. Bei adressierter Werbung gilt das Opt-In-Prinzip außer in den folgenden Fällen:
Bestandskunden
Allgemein zugängliche Verzeichnisse, das Internet zählt allerdings nicht dazu.
Im B2B-Bereich bei Bezug auf berufliche Tätigkeit
Spenden
Transparente Übermittlung und Nutzung. Das bedeutet, dass die ursprüngliche
Quelle der Adresse genannt wird. Übermittler und Empfänger müssen die Daten-
weitergabe protokollieren, u. a. wegen den Auskunftsansprüchen.
19Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Was ist erlaubt?
Art der Werbung Verbraucher (B2C) Unternehmer (B2B)
Prospektwerbung Erlaubt, falls kein Aufkleber am Briefkasten
(nicht adressiert oder
teiladressiert)
Adressierte Erlaubt, falls Opt-In Erlaubt, falls
Briefwerbung vorliegt Opt-In vorliegt
Zu beachten ist in jedem Bestandskunde
Fall die Robinsonliste
Adresse aus allgemein
zugänglichen Verzeichnissen
Spenden
Transparente Übermittlung
Transparente Nutzung
Markt- und Meinungsforschung
Widerspricht der Kunde aktiv, ist
der Datensatz ausnahmslos zu
sperren
Telefonwerbung Nur mit Opt-In Erlaubt, falls zumindest vermutetes
Einverständnis aufgrund Interes-
senbereich oder geschäftlicher
Tätigkeit vorliegt (mutmaßliche
Einwilligung)
Faxwerbung Nur mit Opt-In
E-Mail-Werbung Nur mit Opt-In
Empfehlung: Double-Opt-In
E-Mail-Werbung Erlaubt, wenn alle der folgenden Bedingungen zutreffen:
an Kunden für eigene, Die Adressen wurden im Zusammenhang mit dem Verkauf
ähnliche Waren oder einer eigenen Ware oder Dienstleistung gespeichert
Dienstleistungen
20Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Die Adressen werden zur Werbung für eigene ähnliche
Waren oder Dienstleistungen verwendet
Ein Widerspruchshinweis bei Erhebung und jeder weiteren
Verwendung liegt vor
Wie Sie Einwilligungen verwalten können und Ihre Kunden gemäß ihren Wünschen an-
sprechen, wird im Folgenden anhand eines Beispiels beschrieben.
In CAS genesisWorld
Beispiel: Korrekte Kundenansprache mit Double-Opt-In
In der Adresse legen Sie ein neues Feld Produktinteresse an. Das ist ein Eingabefeld
mit Mehrfachauswahl ohne Eingabemöglichkeit. Dazu legen Sie die Auswahloptionen
fest, z. B. Produktneuheiten.
Legen Sie zwei Verteiler an: Produktneuheiten und Produktneuheiten-Prüfung.
Wenn sich ein Interessent auf Ihrer Website für einen bestimmten Newsletter einträgt,
dann legen Sie diese Adresse in CAS genesisWorld an. Beispiel: Anne Bruser meldet
sich mit der E-Mail-Adresse a.bruser@kahrmann.de für den Newsletter Produktneu-
heiten an.
Im Adressfeld Datensatzherkunft tragen Sie Webformular ein und im Adressfeld
Erstkontaktdatum das aktuelle Datum. Optimalerweise sind diese beiden Felder als
Pflichtfelder angelegt, damit die vom BDSG vorgeschriebenen Werte lückenlos erfasst
werden.
Im Feld Produktinteresse wählen Sie Produktneuheiten aus.
21Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Fügen Sie die neue Adresse dem Verteiler Produktneuheiten-Prüfung hinzu.
Verwenden Sie diesen Verteiler nicht für aktive Mailings.
Erzeugen Sie für alle Adressen in diesem Verteiler einen Fragebogen, der für das Dou-
ble-Opt-In verwendet werden kann.
Verwenden Sie die Feldanbindung für den Fragebogen, damit die Antworten
automatisch im entsprechenden Datensatz eingetragen werden. In unserem Beispiel
wurden folgende Felder mit Feldanbindung festgelegt: Vorname, Name, E-Mail-Ad-
resse und Produktinteresse. Zusätzlich enthält der Fragebogen eine Checkbox zur
ausdrücklichen Einwilligung zum Newsletterversand.
22Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Veröffentlichen Sie den Fragebogen über Survey online und senden Sie ihn an die
Interessenten.
Die Interessenten sehen alle über sie gespeicherten Angaben und können diese auf
Wunsch anpassen.
Wenn ein Interessent nicht reagiert oder die Checkbox nicht aktiviert, dann wird die
Adresse wieder aus dem Prüf-Verteiler entfernt. Wenn ein Interessent dem Newsletter-
Versand zustimmt, wird die Adresse dem Verteiler Produktneuheiten zugeordnet und
aus dem Prüf-Verteiler entfernt.
Der positiv beantwortete Fragebogen dient als Legitimation für das Direktmarketing.
Weitere Einstellungsmöglichkeiten in CAS genesisWorld
Verwenden Sie eigene Verknüpfungsarten, um schriftliche Einverständniserklärungen
eindeutig zu einem Kunden zu erfassen und zu verknüpfen.
23Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Legen Sie z. B. die Verknüpfungsart Einwilligung zwischen Adressen und Dokumenten
an. Mithilfe der Verknüpfungssuche können Sie Kunden identifizieren, die noch keine
Einwilligung abgegeben haben.
Lassen Sie sich mithilfe einer übersichtlichen Report-Ansicht zeigen, welche Kunden wo-
rüber informiert werden möchten.
24Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Erstellen Sie einen Verteiler und/oder verwenden Sie Kampagnen, um Ihre Kunden ge-
mäß ihren Wünschen anzusprechen. Das Modul Marketing bietet umfangreiche Mög-
lichkeiten um mehrstufige Kampagnen zu planen, durchzuführen und auszuwerten.
Die Zuordnung der Kunden zu den einzelnen Kanälen Post, E-Mail usw. erfolgt auto-
matisch basierend auf den Feldern Bevorzugte Kontaktart bzw. Erlaubte Kontaktart.
Wenn eine bestimmte Kontaktart nicht erlaubt ist, erhalten Sie einen entsprechenden
Hinweis.
25Datenschutz mit
CAS genesisWorld • Gezielte Kundenansprache
Ein weiterer Vorteil der Kampagne: Befindet sich ein Kunde in einer laufenden Kampagne,
wird das automatisch in der Adresse angezeigt. Der Bearbeiter kann entsprechend re-
agieren und ggf. auf die Kampagne Bezug nehmen.
Das E-Mail-Marketing-Tool Inxmail bietet eine komfortable und leistungsstarke Möglich-
keit der Kundenansprache. Adressverteiler werden dabei in CAS genesisWorld verwaltet
und zur Durchführung des Mailings an Inxmail übertragen. An-/Abmeldungen und Boun-
ces werden von Inxmail erfasst und nach CAS genesisWorld übertragen, damit der Ver-
teiler bzw. die Adressen entsprechend angepasst werden können.
Tipp vom Profi
Pflegen Sie alle Informationen zum Einstufen von Kunden im Adressdatensatz selbst.
Wenn Sie ein Anschreiben oder eine Kampagne planen, können Sie diese Kriterien aus-
werten. Dadurch stellen Sie sicher, dass Sie keine neue Adresse vergessen oder eine erst
vor kurzem deaktivierte Adresse fälschlicherweise ansprechen.
Deaktivierte Adressen werden in CAS genesisWorld durchgestrichen dargestellt.
26Datenschutz mit
CAS genesisWorld • Rechte der Kunden
8 Rechte der Kunden
Die Rechte der Kunden werden ausdrücklich durch den Gesetzgeber gestärkt. Ein Kunde
hat z. B. das Recht auf Berichtigung, Sperrung und Löschung seiner Adressdaten. Außer-
dem hat er das Recht, unentgeltlich Informationen über alle gespeicherten personenbe-
zogenen Daten zu erhalten. Für allgemeine Informationen zu den Rechten der Kunden
siehe Kapitel "Rechte der Betroffenen" auf Seite 7.
Die Auskunftspflicht stellt Unternehmen vor große Herausforderungen, insbesondere
wenn Daten verteilt vorliegen und erst zusammengesucht werden müssen. Hier ist unbe-
dingt effizientes Handeln erforderlich, um schnell und einfach Auskunft geben zu können.
Das gesteigerte Datenschutzbewusstsein bei den Verbrauchern kann die Anzahl der
Anfragen steigern.
Im folgenden Beispiel wird gezeigt, wie Sie mit CAS genesisWorld einfach Berichte mit
allen zu einem Kunden gespeicherten Daten erstellen.
In CAS genesisWorld
Nutzen Sie aussagekräftige Report-Ansichten, um dem Wunsch Ihrer Kunden nach Aus-
kunft zu entsprechen. Auf diese Weise selektieren Sie z. B. schnell alle Kunden, die eine
Auskunft per Post wünschen.
Mit der Berichtsfunktion erstellen Sie auf Knopfdruck zu jeder Adresse einen Bericht, der
alle zur Person gespeicherten Daten auflistet. Mit dem Zusatzmodul Report sowie dem
Crystal Reports Designer passen Sie bestehende Berichte schnell und einfach an oder er-
stellen einfach neue Berichte. Diese Berichte lassen sich gezielt für einzelne Kollegen er-
stellen. Auch benutzerdefinierte Felder stehen in den Berichten zur Verfügung.
27Datenschutz mit
CAS genesisWorld • Rechte der Kunden
Die betroffene Person hat das Recht, die Berichtigung, Löschung und/oder Sperrung ihrer
Adresse zu verlangen. Auch kann sie die Weitergabe der eigenen Adresse untersagen.
Durch das Journal wird sichergestellt, dass alle Änderungen am Adressdatensatz lücken-
los protokolliert werden. Über das Verteilerjournal lässt sich erkennen, wann die Adresse
dem Verteiler hinzugefügt wurde.
In einer Adresse können Sie im Journal prüfen, wann sie zu welchen Verteilern hinzuge-
fügt oder aus Verteilern gelöscht wurde.
28Datenschutz mit
CAS genesisWorld • Sicherheit
9 Sicherheit
Zur Sicherheit von Kundendaten gehören:
Schutz vor Datendiebstahl
Schutz vor Missbrauch
Schutz vor unberechtigtem Zugriff
Zu den Zielen einer Software gehört die Vereinfachung der Arbeit für Anwender. Eine
Software bietet dafür viele nützliche Funktionen. Solche Funktionen können aber auch
Probleme bereiten, insbesondere wenn sie missbräuchlich eingesetzt werden.
Insbesondere in sensiblen Bereichen ist es wichtig, leistungsstarke und anpassbare Funk-
tionen anzubieten.
Im Beispiel sehen Sie, wie Sie in CAS genesisWorld einen missbräuchlichen Export von
personenbezogenen Daten unterbinden können.
In CAS genesisWorld
Beschränken oder deaktivieren Sie Exportrechte, so dass keine Adressdaten aus dem
System exportiert werden können. Administratoren können in der Management Konsole
für jeden Benutzer die Berechtigungen festlegen.
Sorgen Sie mit Kennwörtern und Richtlinien für eine wirkungsvolle Zugriffskontrolle.
Schaffen Sie klare Rechtestrukturen und sorgen Sie für deren Einhaltung. Eine ausführ-
liche Dokumentation sorgt für Klarheit und Transparenz. CAS genesisWorld bietet alle
notwendigen Möglichkeiten durch ein ausgereiftes Rechtekonzept. Mögliche Variationen:
Rechte für Benutzergruppen
29Datenschutz mit
CAS genesisWorld • Fazit
Individuelle Rechte auf Datensatz-Typen
Individuelle Rechte auf Feldebene
Verschiedene Rechte von Lesen bis Vollständige Rechte
Die Rechte mehrerer Benutzer können gleichzeitig geändert werden. Beim Duplizieren
werden alle Rechteeinstellungen inklusive der Exportrechte übernommen. Auch für das
Löschen von Datensätzen ist ein spezielles Recht einstellbar, damit keine Daten mutwillig
oder aus Versehen permanent gelöscht werden können.
Das Journal gibt Auskunft, wer wann welche Daten eingegeben, verändert oder entfernt
hat.
10 Fazit
In diesem Leitfaden wurden Möglichkeiten aufgezeigt, wie mithilfe von CAS genesis-
World wichtige Anforderungen der Datenschutzgesetze und weiterer Gesetze umgesetzt
werden können.
Beschäftigen Sie sich intensiv mit diesem Thema. Jedes Unternehmen muss sich selbst
damit auseinandersetzen, die eigenen Prozesse prüfen und geeignete Maßnahmen ab-
leiten.
Sprechen Sie mit Ihrem Datenschutzbeauftragten und erarbeiten Sie ein Handbuch für
den Datenschutz in Ihrem Unternehmen.
Unternehmen ohne CRM haben es schwer, dem Datenschutz gerecht zu werden. Nutzen
Sie CAS genesisWorld und profitieren Sie von den umfangreichen Möglichkeiten.
30Sie können auch lesen
