Tecart BG dunkel

Ticketsysteme im Brennpunkt des Datenschutzes

jacob-mejicanos-1132363-unsplash Foto: Jacob Mejicanos auf Unsplash

Eine performante Internetanbindung gehört - neben der Anbindung an das örtliche Strom- und Wassernetz - heutzutage quasi zur Grundversorgung. Auch wenn der Ausbau eines schnellen Internets in ländlichen Regionen aktuell noch eher lückenhaft ist.

Unsere Daten sind im Zuge dieser fortschreitenden Digitalisierung unserer Lebenswelt zu einem sehr wertvollen Gut geworden. Ein so persönliches Gut, das es unbedingt zu schützen gilt. So stehen die neuen Datenschutzrichtlinien klar im Fokus der Öffentlichkeit. Und das sollten sie auch!

Greifen wir uns ein Bruchstück aus dem großen Ganzen heraus und schärfen unsere Linse für den "Brennpunkt Ticketsysteme"!

Was ist ein Ticketsystem und wozu braucht man es? 

Ein Trouble Ticket Systems (TTS) ist eine Software, um Kundenanfragen im Rahmen eines CRM oder ERP Systems zu bearbeiten. Für eine All-in-One Lösung sind Schnittstellen zu den unterschiedlichsten Datenbanken, wie z.B. einem Online-Kundenportal oder Telefonanlagen üblich. Ziel ist es, alle Informationen zentral und übersichtlich in einer Datenbank zu haben. Nur so können Sie auf die Wünsche des Kunden zeitnah reagieren. Da in einem Ticketsystem personenbezogene Daten verarbeitet werden, sind die Belange des Datenschutzes zu beachten.

Wie also gehen TTS-Nutzung und Datenschutz einher? 

Für die Verarbeitung personenbezogener Daten ist eine aktive Zustimmung (Opt-In) der Betroffenen erforderlich. Auch ein späterer Widerspruch der Datenerfassung sowie eine Löschung bereits erfasster Daten muss möglich sein, soweit dies nicht anderen, höher einzustufenden Pflichten widerspricht. 

Grundsätze des Datenschutzes und das Verarbeitungsverzeichnis 

Zur Rechtmäßigkeit der Datenerfassung hat sich der Gesetzgeber im Detail geäußert. In der Praxis bleibt hier noch viel Interpretationsspielraum. Grundsatz ist jedoch, dass nur nach Einwilligung, zu den bewilligten Zwecken, so lange notwendig sowie nur die wirklich notwendigen Daten erfasst werden. Tatsächlich ist die Einwilligung so zu gestalten, dass dem Betroffenen Sinn und Inhalt auch wirklich klar sind. Im Rahmen eines Verarbeitungsverzeichnisses muss der Datenverarbeiter auflisten, an welche externen Partner er gegebenenfalls personenbezogene Daten zur Verarbeitung weitergibt. Soweit DSGVO-relevante Daten gelöscht werden, darf die Revisionssicherheit, etwa in Bezug auf Archivierungspflichten, dadurch nicht beeinträchtigt werden. 

Sicheres und gesetzeskonformes Tickethandling 

Das Tickethandling muss zwingend über gesicherte Datenverbindungen erfolgen. Eine intensive Schulung involvierter Mitarbeiter ist dabei unerlässlich. Besondere Achtsamkeit gilt bei sensiblen personenbezogenen Daten zur Gesundheit, Religion oder den Finanzen. Sofern Auswertungen auf Ebene einzelner Datensätze erfolgen, kann statt einer vollständigen Löschung auch eine Pseudonymisierung angebracht sein. 

Professioneller Kunden-Service und -Support durch Software-Verschmelzung  Das Trouble Ticket System verschafft ein ganzheitliches Kundenbild mit nur wenigen Klicks. Die zunehmende Zahl an Schnittstellen zu Drittsystemen verbessert in immer höherem Maße moderne Serviceprozesse. Die Einhaltung des Datenschutzes ist aber zwingend erforderlich, nicht nur um Strafen zu entgehen, sondern auch um das Kundenvertrauen zu stärken. 

Use Case: Ein Anschauungsszenario im Kundenservice

Ein Kunde hat sich einen neuen, internetfähigen Fernseher gekauft. Nach dem Aufbau hat er vergeblich versucht, den Fernseher in seinem Heimnetzwerk einzurichten. Im Handbuch sowie auf der Internetseite des Herstellers findet der Kunde leider nur veraltete Informationen.

ticketsystem-prozess-dsgvo-verarbeitungsverzeichnis Abb.: Kundenservice-Prozess mit DSGVO-Verarbeitungsverzeichnis

Prozessablauf im Ticketsystem

  1. Der Kunde schreibt über ein Kontaktformular der Webseite den Kundenservice des Elektronikanbieters an.
  2. Der Customer-Agent erstellt aus der E-Mail ein Ticket. Darin werden die Daten und Angaben aus der E-Mail aufgenommen.
  3. Um dem Kunden die entsprechende Antwort senden zu können, wird das Ticket an den Kollegen aus der Fachabteilung TV weitergeben.
  4. Dieser kann auch keine Antwort geben und fragt beim Hersteller des Gerätes an. Dazu leitet er die E-Mail weiter.
  5. Der Gerätehersteller antwortet dem Mitarbeiter der Fachabteilung. Dieser prüft die Anleitung auf Richtigkeit und gibt sein OK.
  6. Das Ticket ist nun wieder in der Zuständigkeit des Customer-Agents. Er soll die Übernahme der Herstelleranleitung in die FAQ veranlassen. Diese Anpassungen sollen zudem auf der Webseite des Elektronikanbieters veröffentlicht werden.
  7. Der Customer-Agent gibt das Ticket intern an den Webseitenverantwortlichen weiter, um die FAQ anzupassen und die Webseitenänderung durchzuführen.
  8. Im Anschluss erhält der Customer-Agent das Ticket zurück und informiert den Kunden mit einem Link zu den angepassten FAQ.
  9. Das Ticket wird geschlossen.

Dieser Prozess muss nun auf die Datenschutzgrundsätze hin überpüft werden.

Erarbeitung des Verarbeitungsverzeichnisses

  • Rechtmässigkeit, Transparenz und Einwilligung: Die Daten gibt der Kunden freiwillig über die Webseite. Das Kontaktformular muss einen Opt-In haben, der über die Verarbeitung und Speicherung der Daten informiert. Zudem muss darauf hingewiesen werden, dass die Einwilligung jederzeit zurückgenommen werden kann.
  • Zweckbindung und berechtigtes Interesse: Die Angaben des Kunden dienen einzig und allein seiner Frage, wie sein TV im Heimnetzwerk eingerichtet werden kann. Er gibt keine Einwilligung dafür, andere Produktempfehlungen (wie z.B. zu einem WLAN-Router) zu erhalten. Diesbezüglich ist eine gesonderte Einwilligung einzuholen.
  • Berechtigungen und Datensparsamkeit: Damit der Vorgang im Sinne des Kunden bearbeitet werden kann, brauchen der Hersteller sowie die Mitarbeiter aus Fachabteilung und Marketing keinen Zugriff auf den Namen und die E-Mail-Adresse des Kunden.
  • Protokollierung: Im Ticketsystem muss nachvollziehbar sein, wann genau welche personengebundene Daten durch wem erhoben und verändert wurden.
  • Löschfristen: Nachdem das Ticket geschlossen wurde und ein festgelegter Zeitraum vergangen ist, sind die personengebundenen Daten im Ticket zu anonymisieren oder zu löschen.

Der Umgang mit personenbezogenen Daten muss klar geregelt sein. Es ist wichtig, dass ein geschützter Bereich für die Daten eines jeden Einzelnen existiert, in den er jederzeit eintreten und diesen selbstbestimmt anpassen kann. Ein Vorhaben, das sich ohne Frage sehr umfangreich gestaltet. Das zeigt auch dieser Beitrag, der sich Ticketsysteme als kleinen Baustein aus dem Architekturgiganten „Datenschutz“ herausgepickt hat.