ConSol CM ist DSGVO-konform

Die Datenschutzgrundverordnung (DSGVO)ist eine Verordnung auf europäischer Ebene und gilt vollumfänglich seit dem 25. Mai 2018. Die DSGVO regelt die Verarbeitung personenbezogener Daten von Einzelpersonen (genannt „Betroffenen“) durch Unternehmen oder öffentliche Stellen. 

Personenbezogene Daten kommen fast überall dort zum Einsatz, wo Dienstleistungen oder Produkte verkauft werden: Sei es bei

Finanzdienstleistern, Versicherern, E-Commerce oder auch in Behörden – für Bereiche wie den Customer Service oder allgemein die Abwicklung von Geschäften sind personenbezogene Daten notwendig. 

Unsere Prozessmanagement-Plattform ConSol CM ist seit Jahrzehnten erfolgreich in verschiedensten Branchen im Einsatz und garantiert Ihnen und Ihren Kunden zu jeder Zeit DSGVO-konformes Arbeiten & maximale Datensicherheit.

So nutzen & betreiben Sie ConSol CM DSGVO-konform

1. Verfahrensverzeichnis

Gem. Art 30 der DSGVO ist das Führen eines internen Verzeichnisses über sämtliche Verarbeitungstätigkeiten personenbezogener Daten Pflicht. Diese Dokumentation ist auch zur Erfüllung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO notwendig. Folglich ist davon auszugehen, dass ein solches bei Ihnen im Unternehmen bereits existiert oder in Entstehung ist.

Die Verarbeitung personenbezogener Daten durch die in ConSol CM hinterlegten Prozesse sind in dieses Verzeichnis aufzunehmen. Mit dem Eintrag ins Verfahrensverzeichnis wird insbesondere die Art und Dauer der Aufbewahrung von Daten sowie deren Zweckbindung definiert. Zusätzlich werden hier potentielle gesetzliche Haltefristen festgehalten. Diese Haltefristen sind ein wesentlicher Aspekt bei der Definition von Löschverfahren sowie der Bearbeitung von Löschanfragen.

2. TOM – Technisch organisatorische Maßnahmen 

In Anlehnung an Artikel 32 Absatz 1 der DSGVO gilt es im Kontext des Verfahrensverzeichnisses geeignete technische und organisatorische Maßnahmen zu definieren, welche sicherstellen, dass den besonderen Anforderungen an den Datenschutz für personenbezogene Daten Rechnung getragen wird. Für eine typische lokale Installation von ConSol CM sehen wir hierbei insbesondere die folgenden Aspekte als relevant.

Die Verarbeitung personenbezogener Daten durch die in ConSol CM hinterlegten Prozesse sind in dieses Verzeichnis aufzunehmen. Mit dem Eintrag ins Verfahrensverzeichnis wird insbesondere die Art und Dauer der Aufbewahrung von Daten sowie deren Zweckbindung definiert. Zusätzlich werden hier potentielle gesetzliche Haltefristen festgehalten. Diese Haltefristen sind ein wesentlicher Aspekt bei der Definition von Löschverfahren sowie der Bearbeitung von Löschanfragen.

Physische Zutrittskontrolle


Mit Sicherheit steht Ihr ConSol CM zusammen mit anderen Systemen in Ihrem eigenen Rechenzentrum oder bei einem entsprechenden Provider. Prüfen Sie, dass nur Mitarbeiter, welche für die physische Administration der Systeme verantwortlich sind, Zugang haben und dokumentieren Sie die Maßnahmen, welche hierfür getroffen wurden. Sollten Sie Hosting und/oder Betrieb an einen Provider ausgelagert haben, vergewissern Sie sich, dass ein entsprechender Auftrag zur Datenverarbeitung vorliegt.

Zugriffskontrolle


Stellen Sie sicher, dass zugreifende Mitarbeiter nur die für ihre konkrete Tätigkeit notwendigen Zugriffsberechtigungen haben. Prüfen Sie hierzu einerseits die Verteilung von Berechtigungen im Admin-Tool auf Korrektheit und dokumentieren Sie die regelmäßige Prüfung der erteilten Berechtigungen. Dokumentieren Sie darüber hinaus die Maßnahmen zur Verhinderung von unberechtigten Zugriffen direkt auf die Infrastruktur wie z.B. die Datenbank.

Verschlüsselung


Sensitive und personenbezogene Daten sind jederzeit vor unbefugter Preisgabe zu schützen. Stellen Sie zur Absicherung der Transportwege sicher, dass auf allen Kommunikationskanälen zu ConSol CM Verschlüsselung (HTTPS, TLS) aktiviert ist. Für verschlüsselten Email-Versand sowie -Empfang unterstützt ConSol CM S/MIME Verschlüsselung. Verschlüsseln Sie zusätzlich die Speicherung der Daten, entweder über Standardmechanismen der Datenbank oder ein unterliegendes verschlüsseltes Filesystem.

3. Rechte der Betroffenen wahren 

Die DSGVO führt neue Rechte für betroffene Personen ein, welche es zu wahren gilt. Natürliche Personen können diese Rechte in Form von Gesuchen wahrnehmen, die Unternehmen unter Einhaltung entsprechender Fristen – im Regelfall innerhalb eines Monats nach Eingang des Antrags – zu bearbeiten haben. 

Anfragen zu Rechten der Betroffenen lassen sich übrigens wunderbar in ConSol CM über entsprechende Prozesse abbilden. Hiermit stellen Sie eine auf Ihr Unternehmen zugeschnittene und fristgerechte Bearbeitung sicher, die gleichzeitig dokumentiert ist.

ConSol CM enthält alle notwendigen Werkzeuge, um das Auskunftsrecht sowie das Recht für Datenübertragbarkeit abzubilden. Es stehen ein Set von Funktionalitäten sowie Erweiterungs-Mechanismen bereit, um eine Kopie der gespeicherten persönlichen Daten dem Anfragesteller oder einem anderen Verantwortlichen bereitzustellen.

  • Detailsuche mit entsprechenden Filtern – nutzen Sie die Detailsuche nach Kontakten und deren verknüpften Vorgängen, um alle die anfragende Person betreffenden Datensätze zu identifizieren.
  • Druckfunktion – die Druckfunktion eignet sich zur Erstellung eines PDF der wichtigsten persönlichen Daten des Kundendatensatzes bzw. der Vorgänge.
  • Attachments Download – laden Sie Attachments der Vorgänge herunter, falls diese dem Datensatz hinzugefügt werden sollen.
  • Export über Kundenaktionen – nutzen Sie das Action Framework für Kundendatensätze, um eine dedizierte Exportaktion zu implementieren, welche alle Kundendaten, Vorgänge sowie Attachments in einer dedizierten Datei bündeln kann.

Um dem Recht auf Berichtigung zu entsprechen, benötigt es insbesondere Funktionalitäten zur Identifizierung des korrekten Datensatzes sowie einer Bearbeitungsfunktion.

  • Detailsuche mit entsprechenden Filtern – nutzen Sie die Detailsuche nach Kontakten mit entsprechenden Kriterien, um den korrekten Kundendatensatz zu identifizieren.
  • Datensätze bearbeiten – über die Option „Bearbeiten“ können Sie die hinterlegten Daten eines Kundendatensatzes korrigieren. Die Bearbeitung von Kundendatensätzen kann hierbei über ein separates Recht geschützt werden.

Artikel 17 der DSGVO definiert ein „Recht auf Vergessenwerden“ für betroffene Personen. Trifft ein solches Löschgesuch ein, gilt es zunächst zu prüfen, ob die Zweckbindung, also der Zweck, für welchen die personenbezogenen Daten erhoben wurden, noch gegeben ist. Hierbei sollten die im Verfahrensverzeichnis (siehe Checkpoint 2) beschriebenen Haltefristen und -kriterien mit den konkreten gespeicherten Daten zum Verarbeitungszweck abgeglichen werden. Liegen keine vorrangig berechtigten Gründe zur weiteren Haltung der Daten vor, sind diese unverzüglich zu löschen. Hierfür stellt ConSol CM die notwendigen Funktionalitäten und Mechanismen bereit.

  • Detailsuche mit entsprechenden Filtern – nutzen Sie die Detailsuche nach Kontakten mit entsprechenden Kriterien, um den korrekten Kundendatensatz zu identifizieren.
  • Löschung des Datensatzes (ohne Vorgänge) – existieren zum Kundendatensatz keine Vorgänge oder weitere Relationen im System (zu anderen Kundendatensätzen oder Ressourcen), so können die Daten über die Standard-Löschfunktion entfernt werden.
  • Löschung von Vorgängen des Kunden – oft enthalten auch die Vorgänge eines Kunden personenbezogene Daten und müssen entsprechend entfernt werden. Nutzen Sie hierfür das Admin-Tool zur dauerhaften Löschung dieser.
  • Komfort-Löschfunktion – ConSol CM wird ab Version 6.11.1.6 eine Komfortfunktion zur Löschung eines Kunden zusammen mit all dessen direkt zugewiesenen Vorgängen direkt aus dem Webclient zur Verfügung stellen. Zusätzlich werden alle Vorkommen des Kunden in den Historien verbliebener Entitäten (Vorgänge, andere Kunden, Ressourcen) entsprechend anonymisiert.
  • Anonymisierungsfunktion – ConSol CM wird ab Version 6.11.1.7 eine Komfortfunktion zur Anonymisierung eines Kundendatensatzes als Alternative zur Löschung bereitstellen. Hierdurch bleiben die Kerndaten des Kundendatensatzes sowie direkt zugewiesener Vorgänge anonymisiert erhalten und können beispielsweise weiter zu Auswertungszwecken herangezogen werden. Lediglich die Historien des Kunden sowie der Vorgänge werden gelöscht.

Artikel 18 der DSGVO beschreibt das Recht auf Einschränkung der Verarbeitung unter bestimmten Bedingungen – wenn beispielsweise der Zweck der Verarbeitung hinfällig ist, die Daten allerdings zur Geltendmachung von Rechtsansprüchen notwendig sind. Hierbei dürfen die Kundendaten im System verbleiben, müssen jedoch von jedweder Verwendung ausgeschlossen werden. Verwalten Sie beispielsweise eine Anmeldung zu Newslettern oder Kampagnen in ConSol CM, so sind diese Anmeldungen in diesem Schritt zu löschen, wenn ein Kunde der Verarbeitung widerspricht. Hierbei helfen Ihnen die folgenden Funktionalitäten und Mechanismen in ConSol CM:

  • Detailsuche mit entsprechenden Filtern – nutzen Sie die Detailsuche nach Kontakten mit entsprechenden Kriterien, um den korrekten Kundendatensatz zu identifizieren.
  • Datenfelder anlegen – wir empfehlen die Anlage eines neuen Checkbox-/Boolean-Feldes zur Markierung der Einschränkung an Kundendatensätzen. Dies gibt den weiter verarbeitenden Prozessen die Gelegenheit, auf die Markierung entsprechend zu reagieren.
  • Datensätze bearbeiten – nutzen Sie die Bearbeitungsfunktion für Kundendatensätze, um alle die Verarbeitung steuernden Attribute (wie z.B. Newsletter-Anmeldung) auf entsprechende Werte zu setzen bzw. die Einschränkung über ein separates Feld zu hinterlegen.
  • Einschränkung über Kundenaktionen – nutzen Sie das Action Framework für Kundendatensätze, um eine dedizierte Aktion als Komfortfunktion zu implementieren, welche alle notwendigen Datenänderungen zur Einschränkung der Verarbeitung automatisiert vornimmt. Diese Aktion kann über ein separates Recht geschützt werden.

4. Voreinstellung Privacy as Default 

Gemäß Artikel 25 DSGVO sind Voreinstellungen dahingehend zu prüfen, dass personenbezogene Daten nicht ohne Eingreifen der Person anderen Personen zugänglich gemacht werden. ConSol CM unterstützt Privacy by Default über die folgenden Standardmechanismen:

  • Trennung von Rollen und Benutzern – einzelnen Benutzern sind niemals einzelne benutzerspezifische Zugriffsrechte zugewiesen. Rechte werden ausschließlich über Rollen explizit zugewiesen. Gemäß Artikel 25 DSGVO sind Voreinstellungen dahingehend zu prüfen, dass personenbezogene Daten nicht ohne Eingreifen der Person anderen Personen zugänglich gemacht werden. ConSol CM unterstützt Privacy by Default über die folgenden Standardmechanismen:
  • Separate Rechte auf Kunden(-gruppen) und Vorgänge – Zugriffe auf Kundendatensätze und Vorgänge sind über getrennte Rechte abgebildet. Hiermit können Zugriffe auf Vorgänge ohne Einsicht in die Kundendaten abgebildet werden.
  • Datenschutzfreundliche Voreinstellungen – sowohl neue Benutzer als auch neue Rollen im System besitzen ohne manuelle explizite Zuweisung keinerlei Berechtigungen.

Lernen Sie ConSol CM unverbindlich kennen!

Wir freuen uns sehr, dass Sie unsere Software kennenlernen möchten! Dazu steht Ihnen eine individuelle Testumgebung zur Verfügung. Oder wir sehen uns in einem Demo-Termin und können dort ganz spezifisch auf Ihre Beispiele & Fragen eingehen.

Kostenlos testenWeb-Demo vereinbaren

Florian Fiessmann

Ihr Ansprechpartner

Florian Fiessmann

Tel.: +49-89-45841-120

cm-vertrieb@~@consol.de

Free Trial Kostenlos testen
+49-89-45841-120