Tecart BG dunkel
Adobe Stock 298116615 2mb
mesh

TecArt CRM Pro | DSGVO & Datenschutz Code Künstler schaffen DSGVO-konforme CRM Werke

Das TecArt® CRM Pro wird am malerischen Standort Erfurt - im grünen Herzen Deutschland - erschaffen. Jede Codezeile, das Hosting sowie der Support und Service sind "Made in Germany". Der Fokus bei der Erschaffung unseres CRM Kunstwerkes ist stets die Sicherheit Ihrer Daten und Kundenkontakte.

Deutsche CRM & ERP Software Sicherheitsgeprüft durch CloudComputingInsider, ISG Provider Lens, BITMI und Zerifikat Kompetenzzentrum Chemnitz

TecArt CRM Pro & Service Diese Leistungen erbringt TecArt für Ihre DSGVO Umsetzung

TecArt ist für Sie Lieferant von Software und IT-Dienstleistungen. Mit Einsatz unserer Softwarelösungen befähigen wir Sie DSGVO-konform zu arbeiten. Grundlage ist dafür die Zustimmung zum Vertrag zur Auftragsverarbeitung. Diesen haben wir zusammen mit dem Fachanwalt für IT-Recht, Dr. Jur. Steffen Böhm, erarbeitet. Zu Ihrer Sicherheit ist darin Folgendes geregelt:

  • Sichere und verschlüsselte Verbindung

    Der Zugriff auf Ihr System erfolgt immer über eine gesicherte und verschlüsselte Verbindung auf dem neusten Stand der Technik (VPN-Verbindungen bzw. über SSL/TLS). Damit ist die Datenübertragung zwischen uns und Ihnen geschützt.

  • Zutritts-, Zugriffs- und Zugangskontrollen

    Dritte und nicht autorisierte Personen werden durch Zutritts-, Zugriffs- und Zugangskontrollen ausgeschlossen. Dabei werden alle technischen und prozessualen Maßnahmen ergriffen, dies sicher zu stellen.

  • Deutsches sicheres Rechenzentrum

    Betrieb der Cloud-Software findet im eigenen sicheren Rechenzentrum in Deutschland statt. Das bedeutet, die Anforderungen des IT-Grundschutz werden stetig aufrechterhalten, umgesetzt und fortlaufend verbessert.

  • Umfassendes Datenschutz-Management

    TecArt hat ein umfassendes Datenschutz-Management. Das heißt, unser Datenschützer ist an der Entwicklung aller Prozesse und technischen Umsetzungen beteiligt. Unsere Verarbeitungstätigkeiten und Verzeichnisse werden stetig geprüft und angepasst.

  • Datenschutzfreundliche Voreinstellungen (Privacy by Default)

    TecArt stellt das System mit datenschutzfreundlichen Voreinstellungen (Privacy by Default) bereit. Das bedeutet bspw., wenn Sie einen Kunden anlegen, sind die Pflichtfelder auf ein Minimum beschränkt. Selbstverständlich können Sie mit wenigen Klicks die Voreinstellung auf Ihr notwendiges Datenschutzniveau individuell einstellen.

TecArt Software ist DSGVO-konform 13 einfache Schritte zum sicheren Arbeiten

Die TecArt-Software kann DSGVO-konform konfiguriert und genutzt werden. Der Gesetzgeber gibt keine bestimmten Funktionen in Softwaresystemen vor. Ebenso gibt es nach aktueller Rechtslage keine festgelegten Standards für technische Umsetzungen innerhalb einer Software. Die speziellen Anforderungen an die Software ergeben sich immer aus den individuellen Erklärungen und Vereinbarungen, die Sie in Bezug auf den Datenschutz mit Ihren Bezugsgruppen aushandeln. Die Umsetzung Ihrer individuellen Anforderungen nach DSGVO kann auf verschiedene Art und Weise technisch in unserer Software umgesetzt werden. Die folgenden 13 Schritte zeigen Ihnen wie Sie, anhand einfacher Beispiele, Ihren Datenschutz anpassen können.

Tecart Software Dsgvo Verfahrenzverzeichnis Overlay 01 Png Laptop Shadow Png
Erstellung Ihres Verarbeitungsverzeichnis
Tecart Software Dsgvo Avv Overlay 01 Png Laptop Shadow Png
Vertrag zur Auftragsverarbeitung
Tecart Software Dsgvo Admin Overlay 01 Png Laptop Shadow Png
Einstellung der Nutzer- & Gruppenrechte
Tecart Software Dsgvo Dokumentenmanagement Overlay 01 Png Laptop Shadow Png
Einstellung der Dokumentenrechte
Tecart Software Dsgvo Admin Overlay 01 1 Png Laptop Shadow Png
Festlegen der Pflichtfelder
Tecart Software Dsgvo Protokolle Overlay 01 Png Laptop Shadow Png
Protokollierung der Aktivitäten & Datenfelder
Tecart Software Dsgvo Papierkorb Overlay 01 Png Laptop Shadow Png
Löschen von Daten
Tecart Software Dsgvo Dokumentenmanagement Overlay 02 Png Laptop Shadow Png
Versionierung von Dokumenten
Tecart Software Dsgvo Loeschfristen Overlay 01 Png Laptop Shadow Png
Einhaltung von Löschfristen
Tecart Software Dsgvo Datenexport Overlay 01 Png Laptop Shadow Png
Datenexport
Tecart Software Dsgvo Loeschfristen Overlay 01 Png Laptop Shadow Png
Erfüllung der Auskunftspflicht
Tecart Software Dsgvo Ds Hinweise Xl 01 Png Laptop Shadow Png
Hinterlegen von Datenschutzhinweisen
Tecart Software Dsgvo Vertraege Xl 01 Png Laptop Shadow Png
Pflege aller Verträge
Bitte beachten Sie, dass aufgrund der vielfältigen Einstellungsmöglichkeiten jeder Schritt im Einzelnen mit Ihrem Datenschutzbeauftragten und dem Systemadministrator abzustimmen ist. Weitere Hinweise zur Einstellung der TecArt Software erhalten Sie im Handbuch im Kundenbereich.

Beratung zur Umsetzung Ihrer DSGVO mit TecArt

Sie nutzen TecArt bereits als Kunde oder suchen als Interessent eine DSGVO-konforme Softwarelösung? Ganz egal, wo Sie stehen: Wir helfen Ihnen gern bei weiteren Fragen oder benötigter Unterstützung bei der Umsetzung Ihrer Datenschutzanforderungen. Sie erreichen uns jederzeit unter:

Jens Stolze Tec Art Support Brown Tinypng
Jens Stoltze
Datenschutzbeauftragter
Frank Panser Tec Art Marketing Tinypng
Frank Panser
Digital Marketing

Essentielle Begrifflichkeiten im Klartext

Sie suchen eine echte Orientierungsgrundlage im Dschungel des Datenschutzes? Datenschutzgrundsätze & Co. helfen dabei, sich zurechtzufinden. Doch was besagen die einzelnen Begrifflichkeiten im Detail?

Auf den ersten Blick wirken die DSGVO und die technischen und organisatorischen Maßnahmen (TOM) einschüchternd, aber bei genauerem Betrachten sind dies alles Maßnahmen, die zum größten Teil bereits zu Ihrem Standardrepertoire gehören und durch die Datenschutzgrundverordnung besser dokumentiert und aufgeschlüsselt werden. Natürlich bedeutet dies im ersten Moment mehr Dokumentationsarbeit, aber wenn Sie den Blickwinkel von Unternehmen zu Kunde wechseln, dann möchten Sie vielleicht auch nicht, dass jeder Ihre Abschlussnote bei der Diplom- bzw. Masterarbeit sieht und in der Kaffeeecke diskutiert.

Wer CRM Datenschutz umsetzen will, muss die EU-DSGVO zuerst verstehen

Zuerst sollten Sie die grundlegenden Anforderungen des Datenschutzes im Unternehmen klären, beschreiben und - ganz wichtig - dokumentieren. Doch was sagen diese eigentlich aus? Was ist im Umgang und bei der Verarbeitung personenbezogener Daten zu beachten? Welche Bedürfnisse des Einzelnen decken die Datenschutzgrundsätze ab?

EU-DSGVO Grundsatz Datenschutz Anforderung Beispiele CRM Umsetzung
Rechtmäßigkeit: Privat - Unbefugtes Betreten verboten! Es gilt ein grundsätzliches Verbot mit Erlaubnisvorbehalt, heißt ohne die Erlaubnis zur Datenverarbeitung geht gar nichts. Ihre Interessenten und Kunden müssen bewusst zur Speicherung und Verarbeitung ihrer personenbezogenen Daten einwilligen. Im CRM müssen z.B. bei Anrufen die Sales- oder Servicemitarbeiter den Datenschutzhinweis dokumentieren können.
Einwilligung: Ja, ich will! Oder doch nicht? Die Einholung bzw. Erteilung einer ausdrücklichen Erlaubnis (Opt-In) ist genauso zwingend notwendig wie die Widerspruchsoption (Opt-Out). Der Grund und Zweck für die Sammlung personengebundener Daten muss zum jeweiligen Datensatz gespeichert werden. Für Kontaktformulare bedeutet es, dass nicht grundsätzlich zum Newsletter für das Marketing eingewilligt wurde, sondern nur eine Anrufbitte angefordert wurde.
Zweckbindung: Ich bin doch kein offenes Buch! Es gilt die Beschränkung der Datenverarbeitung stets in Abhängigkeit zu einem bestimmten, vorab definierten Zweck. Es muss klar übermittelt benannt werden, welche Daten z.B. ein Webformular ins CRM-System überträgt. Neben den offensichtlich eingetragenen Daten, werden gern IP-Adresse oder Serverdomain zur späteren Webseitenpersonalisierung genutzt.
Datensparsamkeit: Bitte etwas Zurückhaltung! Es gilt das Prinzip der Datenminimierung. Je nach Erforderlichkeit, heißt das es werden nur Daten im tatsächlich notwendigen Umfang und für eine festgeschriebene Dauer gespeichert. Im CRM-System muss es Templates für die einzelnen Anforderungen und Aktivitäten geben. In den Templates werden durch Pflichtfelder nur die notwendigen Daten gesammelt.
Transparenz: Das nehme ich genau unter die Lupe! Die Betroffenenrechte sowie Pflichten aller beteiligten Parteien sind klar und offen zugänglich geregelt, was eine entsprechende Verhaltenskontrolle im Umgang mit den Daten sowie einen tatsächlichen Verwendungs- und Bearbeitungsnachweis zulässt. In der CRM Software ist ein mehrstufiges Berechtigungskonzept notwendig. Beispielsweise muss eingestellt sein, wer Daten sehen und bearbeiten darf. Anfragen zu Produkten benötigen weder Zugriff auf das Alter noch buchhalterische Vorgänge.
Datensicherheit: Bis hierher und nicht weiter! Dieser Bereich umfasst alle technische Maßnahmen für den Schutz von Daten hinsichtlich der klassischen Schutzziele der Informationssicherheit. 1. Vertraulichkeit & Anwenderbeschränkung: Wer braucht wirklich welche Informationen 2. Verfügbarkeit & Anforderungserfüllung: Wer braucht wann welche Informationen? 3. Korrektheitscheck: Wer darf welche Informationen tatsächlich bearbeiten?
Datenkontrolle: Wer schreibt, der bleibt! Im Rahmen einer kontinuierlichen Protokollierung werden alle Zugriffe und Verarbeitungsschritte inklusive finaler Löschprozesse und -fristen dokumentiert. Für den Datenschutzbeauftragen muss im CRM System die Herkunft (z.B. Anruf, Formular oder Ticketsystem) samt Zeitpunkt der Verarbeitung und Änderungen zu sehen sein. Individuelle Filter müssen auf Datensatzebene durch das Verarbeitungsverzeichnis festgelegte Zeiträume für die Löschung ermöglichen.
  • Benutzer- und Gruppenrechten
  • SSL verschlüsselte Verbindung
  • 4096 Bit Dokumentenverschlüsselung
  • Verwaltung von E-Mail Zertifikaten
  • Mehrfaktor-Authentifizierung für Nutzer
  • Grade-A-Verschlüsselung für Web-Zugriffe
  • Revisionssichere Protokollierung

Diese Vereinbarung wird dann gebraucht, wenn ein Unternehmen im Rahmen der eigenen Datenverarbeitung mit der Datenbank eines Dritten (z.B. des Kunden) interagiert. Ein typisches Beispiel hierfür ist ein Fernwartungsauftrag. Der AVV definiert die Rechte und Pflichten der Vertragsparteien, konkrete Verantwortlichkeiten und Ansprechpartner, die Bearbeitungsdauer, evtl. weitere Subauftragnehmer sowie die technisch organisatorischen Maßnahmen kurz TOM der Unternehmen.

Nehmen Sie die Wünsche und Bedürfnisse Ihrer Kunden erst! Eines ist sicher: Das "Grundrecht auf informationelle Selbstbestimmung" gehört schon lange selbstverständlich dazu und hat einen hohen Stellenwert in unserer Gesellschaft. Stellen Sie sich den Datenschutzgesetzen, denn sie haben ihren Sinn und Zweck und werden ganz bestimmt nicht einfach so wieder von der Bildfläche verschwinden.

TOM - technische und organisatorische Maßnahmen

Die neue Datenschutzgrundverordnung erfordert ein erweitertes Verarbeitungsverzeichnis. Neben den Standardangaben zu Verantwortlichkeit und Datenschutzbeauftragten werden u.a. Datenkategorien, Übermittlung, Löschfristen und auch die technischen und organisatorischen Maßnahmen (kurz TOM) aufgenommen. In diesem Beitrag werde ich einige dieser Maßnahmen vorstellen.

Um die DSGVO zu verstehen, ist es wichtig zu wissen, dass die Grundlage die Sicherheit der Verarbeitung ist. Das Bundesministerium für Sicherheit (BSI) hat dafür den sogenannten IT Grundschutz entwickelt. Aufgeteilt in fünf System- (Anwendungen, Systeme, industrielle Systeme, Netzwerkkomponenten, Infrastruktur) und drei Prozessbausteine (Konzepte, Operationen, Organisation und Personal). Es werden Gefährdungen und Maßnahmen betrachtet. Diese bilden ein Informationssicherheitsmanagementsystem (ISMS), dass zur Abbildung Ihres Standard-Datenschutz-Modells (SDM) genutzt werden kann.

Standard Datenschutzmodell der TOM

Grundlage des SDM bilden die sieben Gewährleistungsziele :

  • Verfügbarkeit: wird durch Sicherheitskopien und Spiegelung von Dateien, Prozesszuständen, Konfigurationen und Historien erzeugt. Schutz vor äußerem Einflüssen, Dokumentationen, Redundanzen von Hard- und Software sind weitere Maßnahmen die Verfügbarkeit zu erhöhen.
  • Integrität: betrifft die Korrektheit/Unversehrtheit der Daten. Erreicht wird diese bspw. durch die Einschränkung und Dokumentation von Schreib-, Änderungs- und Löschrechten, Einsatz von Prüfsummen, Aktualität der Daten und Prozesse.
  • Vertraulichkeit: bedeutet die Offenlegung der Daten lediglich an einen eingegrenzten Personenkreis. U.a. durch die Festlegung einem Rechte- und Rollenkonzept, sichere Authentifizierungsverfahren, Kontrolle der Kommunikationskanäle, Verschwiegenheitserklärungen und Nutzung von Verschlüsselung kann ein hohes Vertraulichkeitsniveau erreicht werden.
  • Datenminimierung: meint es werden nur die Attribute der betroffenen Personen erfasst, die für die Erfüllung des Prozesses benötigt werden. Auch die Reduzierung der Prozessschritte und Verarbeitungsoptionen, eine Pseudonymisierung bzw. Anonymisierung und automatischer Sperr- und Löschroutinen unterstützen die Datenminimierung.
  • Nichtverkettung: ist die getrennte Verarbeitung von Information und wird z.B. erreicht mit Hilfe von Einschränkungen der Verarbeitungs-, Nutzungs- und Übermittlungsrechte, programmtechnische Unterlassung bzw. Schließung von Schnittstellen und Verarbeitung pseudonymer bzw. anonymisierter Daten.
  • Transparenz: als Nachvollziehbarkeit von Prozessen und Abläufen, kann u.a. durch Dokumentation von Verfahren insbesondere mit den Bestandteilen Geschäftsprozesse, Datenbestände, Datenflüsse, dafür genutzte IT-Systeme, Betriebsabläufe, Verfahrensbeschreibungen, Zusammenspiel mit anderen Verfahren, Dokumentation von Tests und Nachweis von Datenquellen (Authentizität) ermöglicht werden.
  • Intervenierbarkeit: wird u.a. durch differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten, Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen, Benachrichtigungen, Einwilligungen, Widersprüche und Gegendarstellungen, Implementierung standardisierter Abfrage- und Dialogschnittstellen für Betroffene und Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Wie an diesem sehr einfach dargestellten Beispiel überschneiden sich die Prozesse der Gewährleistungsziele. Das heißt mit einer Maßnahme erfüllen Sie bereits mehrere Ziele.

Hier ein kleiner Test für Sie: Ich beschreibe Ihnen zehn Situationen in der Personalabteilung und Sie entscheiden, ob das Gewährleistungsziel Vertraulichkeit und/oder Verfügbarkeit erfüllt wurde. Die Lösung gibt es am Ende der Seite.

  • Um die Gehaltstabellen Ihrer Mitarbeiter auszudrucken, müssen Sie am Drucker Ihren persönlichen PIN eingeben. Lösung: Vertraulichkeit erfüllt
  • Jeder Mitarbeiter kann auf die Bewerberdatenbank zugreifen. Lösung: Besser Berechtigungskonzept einführen.
  • Personalakten von ehemaligen Mitarbeitern werden in einem IKEA Regal im unverschlossenen Archiv aufbewahrt. Lösung: Prüfen, ob diese Akten aufgrund von Zahlungsnachweisen noch benötigt werden, wenn nicht vernichten. Wenn sie weiterhin benötigt werden, besser in einem abschließbaren feuerfesten Schrank aufbewahren im verschlossenen Archiv.
  • Ein verschlüsseltes Backup der Datenbank wird täglich durchgeführt und im Safe in einem anderen Brandabschnitt aufbewahrt. Lösung: Verfügbarkeit und Vertraulichkeit erfüllt
  • Der Hauptdatenbankserver befindet sich in einer unbenutzten Sanitäranlage ohne Klimaanlage. Lösung: Brand- und Diebstahlschutz sind nicht erfüllt. Weiterhin ist davon auszugehen, dass die Hauptwasserleitung in der Nähe ist und die Tür keine Brandschutztür ist.
  • Lohndaten werden per Ende-zu-Ende-Verschlüsselung dem Steuerbüro übertragen. Lösung: Vertraulichkeit erfüllt
  • Die Namen der Mitarbeiter in der Krankenstatistik werden durch einen wechselnden Zahlencode ersetzt. Lösung: Vertraulichkeit erfüllt
  • Sie können sich an jedem PC im Unternehmen mit Ihrem persönlichen monatlich wechselnden Kennwort anmelden und weiterarbeiten. Lösung: Verfügbarkeit und Vertraulichkeit erfüllt
  • Nicht mehr benötigte Bewerbungen werden im Papierkorb neben den Drucker entsorgt. Lösung: Besser in den Aktenvernichter oder die Datentonne werfen.
  • Im verschlossenen Serverraum werden neben den Personalakten im offenen Stahlschrank auch Schnittchen für Unternehmensgäste aufbewahrt. Lösung: Administration, Sekretariat und Personalabteilung haben Zugang zum Server, den Akten und den Schnittchen. Besser ist alles voneinander zu trennen. Entweder Serverschrank und Stahlschrank abschließen oder die Personalakten in einem anderen Büro ebenfalls abschließen. Und Schnittchen gehören in den Kühlschrank in der Küche (den kann man durchaus auch abschließen)

Manifestation CRM Datenschutz und DSGVO Umsetzung

Wieso ist die EU-DSGVO im CRM Datenschutz wichtig?

Sie fragen sich, was sich hinter den Begrifflichkeiten verbirgt? Der Integrität und Konsistenz von Daten sowie der Verhinderung ihrer unautorisierten Modifikation kommt eine wachsende Bedeutung zu. Zudem rücken Datenverfügbarkeit und -vertraulichkeit mehr und mehr in den Fokus. Diese klassischen Ziele der Informationssicherheit gehen einher mit den neuen gesetzlichen Regelungen zu Datenschutz und -sicherheit. Neben der Datenkonsistenz muss auch der Revisionssicherheit genüge getan werden. Hierunter versteht man die gesetzlich geregelte Ablage aufbewahrungspflichtiger Dokumente in einem Datenarchiv für einen vorgegeben Zeitraum.

Im Kontext des Datenschutz stehen die oftmals als Kundendatenbank genutzten bzw. eigentlich eher zweckentfremdeten Microsoft-Lösungen wie Excel & Co. als klare Verlierer da. Tatsächliche Abhilfe in Sachen DSGVO-konformes Datenhandling schafft nur ein echtes CRM System. Noch besser wird dieses im Hinblick auf das Marketing für den Kunden, wenn bspw. die Tabellenkalkulation via Word und Excel fest in das CRM integriert wird und beide Tools kombiniert zum Einsatz kommen.

Die Handlungsempfehlung geht also klar hin zu einer CRM-Software und dank der Cloud lässt sich diese auch für kleine Unternehmen relativ schnell und einfach implementieren. Bei der Auswahl eines geeigneten Tools sollte man jedoch darauf achten, wo der Anbieter seinen Sitz hat und welchen gesetzlichen Regelwerken er verpflichtet ist. CRM Lösungen geben es technisch betrachtet meist her DSGVO-konform zu arbeiten. Allerdings muss das Unternehmen selbst auf Grundlage der Prozesse seines Verarbeitungsverzeichnisses den Datenschutz in den Systemen umsetzen. Es ist streng zu dokumentieren, wie und wann welche konkreten Daten zu welchem Zweck gesammelt werden. Besonders Marketing und Vertrieb müssen hier stark zwischen dem Zweck und dem Informationsbedürfnis zur Gestaltung der Customer Journey abwägen.

Entstehung und Gründe der EU-DSGVO

Oftmals verändern einzelne Menschen das Schicksal aller. Sie schaffen es, Großartiges zu bewegen und Dinge in die Wege zu leiten, die für nachfolgende Generationen selbstverständlich zum Leben dazugehören. Kennen Sie z.B. Otto Suhr und Ernst Reuter? Wer waren diese Beiden und was führte sie so Wichtiges im Jahr 1949 zusammen?

Der deutsche SPDler Suhr war Mitglied des Parlamentarischen Rates in Berlin und Stadtverordneten-Vorsteher. Kommunalwissenschaftler Reuter galt als ein wichtiger Politiker in der Phase der deutschen Zerrissenheit und Spaltung Berlins. Damals regierte er als Oberbürgermeister die Westseite der heutigen deutschen Hauptstadt.

Am 23. Mai 1949 kamen beide zu einer besonders feierlichen Sitzung des Parlamentarischen Rates zusammen. Gemeinsam mit den Minister- und Landtagspräsidenten manifestierten sie mit ihrer Unterschrift einen politischen Meilenstein: das Grundgesetz [GG] und damit auch die Gründung der Bundesrepublik Deutschland. Gleichzeitig legten Sie den Grundstein zu einem weiteren historischen Ereignis. Denn mit der Wiedervereinigung wurde das GG am 3. Oktober 1990 die heute noch geltende Verfassung aller Deutschen.

Bleiben wir noch etwas beim Historischen, bevor wir zum eigentlichen Kern unseres Themas vordringen:

Wie kam es eigentlich zur EU-DSGVO?

Im Grundgesetz ist das Recht von natürlichen Personen mit Rechtsfähigkeit verankert, selbstbestimmt über die Offenlegung und Verwendung seiner persönlichen Daten zu bestimmen. 1983 verabschiedete das Bundesverfassungsgericht auf dieser Grundlage das "Grundrecht auf informationelle Selbstbestimmung". Und hierauf wiederum basieren das deutsche Bundesdatenschutzgesetz [BDSG] sowie die Landesdatenschutzgesetze.

Am 28. Mai 2018 wurde nun das neueste Manifest als Resultat der bisher geschilderten Geschehnisse verabschiedet: die aktuell so viel diskutierte Datenschutz-Grundverordnung der Europäischen Union [EU-DSGVO]. Sie regelt konkrete Vorschriften im Umgang und der Verarbeitung personenbezogener Daten zum Schutz der persönlichen Grundrechte - besonders der persönlichen Daten eines jeden Einzelnen. Und so schließt sich der Kreis zu Suhr und Reuter und dem Jahr 1949.