Tecart BG dunkel

Ein Fahrradhelm für Ihre Daten (2) - DSGVO-konformes Datenhandling in Ticketsystemen

Ticketsysteme und die Brille des Datenschutzes

Unterliegt ein TTS den geltenden Datenschutzregelungen? Ein klares "Ja"! Denn unabhängig von der Zielgruppe - also egal ob Endkunde (B2C) oder Geschäftskunde (B2B) - handelt es sich um ein Verfahren aus der IT, bei dem automatisiert personenbezogene Daten gespeichert und verarbeitet werden. Es werden Personen, Tätigkeiten und Zeitstempel miteinander verkettet.

  • Auf der Seite des Bearbeiters heißt es: Wer hat was wann wie getan oder nicht?
  • Kundenseitig wird die Frage gestellt: Wer hat was wann wie gemeldet bzw. beauftragt?

Diese Speicherung und Verwaltung personenbezogener Daten unterliegt der europäischen Datenschutzgrundverordnung (DSGVO) sowie den Regelungen der Landesbehörden für Datenschutz. Dementsprechend muss auch ein TTS folgende Anforderungen des Datenschutzes erfüllen.

Wichtige Orientierungsgrundlagen: Datenschutzgrundsätze und Verarbeitungsverzeichnis

In einem ersten Schritt erfolgt die grundlegende Klärung sowie genaue Dokumentation und Beschreibung der wichtigsten Anforderungen im Hinblick auf:

  • A. Rechtmäßigkeit
  • B. Einwilligung
  • C. Zweckbindung
  • D. Erforderlichkeit und Datensparsamkeit
  • E. Transparenz und Betroffenenrechte
  • F. Datensicherheit und Kontrolle

Daran anschließend erfolgt eine konkrete (Über)Prüfung dieser Grundsätze für jeden einzelnen Prozess im Unternehmen, der mit personenbezogenen Daten in Berührung kommt. Hieraus resultiert am Ende das sogenannte "Verzeichnis der Verarbeitungstätigkeiten" bzw. kurz Verarbeitungsverzeichnis oder VV .

Doch Vorsicht: Auch die beiden Grundsätze Revisionssicherheit und Datenkonsistenz müssen gewahrt bleiben! Aufbewahrungspflichtige Dokumente sind (je nach gesetzlichen Vorgaben) für einen bestimmten Zeitraum revisionssicher in einem Datenarchiv abzulegen!

Datenschutzanforderungen im Umgang mit Tickets

Ein Ticketsystem kommt heutzutage einfach nicht mehr ohne genaue Verfahrensdokumentation aus.

  • Doch wie gelingt ein den Datenschutz- und Sicherheitsrichtlinien entsprechendes Tickethandling?
  • Und was ist in Rücksprache mit dem Datenschutzbeauftragten abzuklären?

Ganz einfach! Sie müssen zu Ihren einzelnen Prozessschritten die folgenden Datenschutzanforderungen dokumentieren:

1. Aktive Einwilligung zur Datenverarbeitung

Der Kunde muss proaktiv einwilligen, dass seine personenbezogenen Daten gespeichert und verarbeitet werden. Das bedeutet, dass z.B. bei Anrufen die Servicemitarbeiter über diesen Vorgang informieren müssen.

2. Berechtigtes Interesse und Zweckbindung

Der Kunde muss über den Grund bzw. Zweck der Datenverarbeitung informiert werden. Fragt ein Kunde also bspw. per Mail eine Produktspezifikation an, ist das kein Einverständnis zum Newsletter.

3. Bestätigung der Transparenzhinweise

Dem Kunden muss mitgeteilt werden, welche personenbezogenen Daten ermittelt werden. Übermitteln Sie z.B. über ein Webformular neben den offensichtlich eingetragenen Daten auch den Klickpfad des Kunden, müssen Sie dies mitteilen.

4. Berechtigungskonzept

Im Ticketsystem muss eingestellt sein, wer Daten sehen und bearbeiten darf. Für die Beantwortung einer Produktanfrage per Mail muss der Mitarbeiter keinen Zugriff auf Daten der Buchhaltung haben.

5. Protokollierung

Neben den personenbezogenen Daten an sich, muss die Software auch die Herkunft (z.B. Webformular, Anruf oder Ticketsystem) sowie den Zeitpunkt der Speicherung dokumentieren. Auch Änderungen der Daten müssen stets nachvollziehbar sein.

6. Löschfristen

In einem Bearbeitungsvorgang muss anhand der Zweckbindung ebenfalls der Zeitraum der Datenspeicherung definiert sein. Kündigt ein Kunde und hat alle Rechnungen beglichen, sind die personenbezogenen Daten in den Tickets zu anonymisieren oder zu löschen.

Exkurs: Der Auftragsverarbeitungsvertrag

Könnten Sie durch die Bearbeitung eines Tickets mit der eigenen Datenbank Ihres Kunden in Berührung kommen (z.B. durch Fernwartung) sollten Sie vorher einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser enthält u.a. Ansprechpartner, Verantwortlichkeiten, Dauer, Pflichten, Subauftragnehmer und technisch organisatorische Maßnahmen (TOM).