< Datenschutz-Konformität beim Cloud Computing
07.06.2011 13:11 Kategorie: Aktuelles DE

Salesinformationen und Datenschutz

UIMC fragt: Ist Ihr Salesinformationssystem datenschutzordnungsgemäss?


Der Einsatz von Salestools mit dem Zweck Salesinformationen multinational zu nutzen und eine einheitliche Toolunterstützung zu erreichen, ist grundsätzlich datenschutzkonform gestaltbar, meint die UIMC. Um diese Rechtskonformität sicherzustellen, sind jedoch einige gravierende Herausforderungen zu lösen. Grundsätzlich werden in solchen Systemen sowohl Kundendaten als auch Daten der Mitarbeiter verarbeitet. Hierbei sind auf Seiten der Mitarbeiterdaten zwei grundsätzliche Datenkategorien zu unterscheiden, die Inhaltsdaten der Vertriebsmitarbeiter, die zum Zwecke der Vertriebs-steuerung und -potenzialsnutzung verarbeitet werden, sowie die im Rahmen der Nutzung des Systems anfallenden Protokollierungsdaten über die Nutzer. Bei den Kundendaten handelt es sich primär um Informationen über Ansprechpartner spezifischer institutioneller Kunden, die oft aus allgemein zugänglichen Quellen beschafft werden können. Darüber hinaus sind aber auch eigene Informationen wie Telefon-Durchwahlen oder E-Mail-Adressen, gegebenenfalls auch Endkundenadressen mit einem stärker vertraulichen Charakter zu betrachten. Nach den Erfahrungen der UIMC ist bei den Lösungsansätzen zur Herstellung einer datenschutzgerechten Lösung von Bedeutung, dass ein Großteil der Anforderungen nicht grundsätzlich auf spezifisch deutschen Datenschutzregelungen basieren sollte, sondern eine Rechtssituation widerzuspiegeln hat, wie sie in allen Ländern der EU gilt. Wenn vorgesehen ist, Länder außerhalb der EU einzubinden - besonders häufig dürfte dies bei den USA der Fall sein, insbesondere wenn die Muttergesellschaft eines internationalen Konzerns dort ihren Sitz hat - hat dieses weitere rechtliche Folgen für die Konstruktion einer datenschutzgerechten Lösung. Folgende datenschutzrechtliche Fragestellungen sollen im Focus einer Betrachtung stehen:
  • Zulässigkeit der Datenerhebung/-verarbeitung
  • Zulässigkeit des Datentransfers
  • Aspekte der technischen und organisatorischen Maßnahmen, insbesondere des Berechtigungskonzeptes.
Diese Fragestellungen sind für beide der genannten Datenkategorien von Bedeutung. Mit diesen drei Punkten werden die wichtigsten Fragestellungen betrachtet, wobei es dabei nicht Ziel ist, alle datenschutzrechtlichen Fragestellungen umfassend abzuhandeln. Als Empfehlung lässt sich festhalten, dass insbesondere die folgenden Punkte einer unternehmensspezifischen Regelung bedürfen, um ein salesunterstützendes System ordnungsgemäß betreiben zu können:
  • Es sind gegebenenfalls Vereinbarungen mit der Mitarbeitervertretung zu treffen, die die Rechtmäßigkeit der notwendigen Datenerhebung, -verarbeitung und des vorgesehenen Datentransfers sicherstellen.
  • Es ist notwendig, konzernübergreifende Lösungen zu entwickeln, die einen Datentransfer von personenbezogenen Daten aus Europa in die USA gestatten.
  • Es sind vertragliche Lösungen für die Datenverarbeitungsbestandteile mit Auftragsdatenverarbeitungscharakter zu gestalten. (§ 11 BDSG)
  • Es sind organisatorische Regelungen zu erarbeiten, die den Ausgleich von verbleibenden technischen Schwachstellen ermöglichen. Hierzu gehört auch die Entwicklung von Organisationsanweisungen zur Durchsetzung der Ordnungsmäßigkeitsanforderungen in verschiedenen europäischen Ländern.