Oft ist es sinnvoll, bestimmte Tätigkeiten an spezialisierte Dienstleister zu vergeben – wenn es sich dabei auch um pesonenbezogene Daten handelt, sprechen wir von Auftragsdatenverarbeitung. In diesem Beisplel ist dies ein relevanter Punkt.
1. Die Ist-Situation
Das Autohaus beschäftigt am Hauptsitz insgesamt 20 Mitarbeiter, weitere 8 in einer Niederlassung 30 km entfernt. Als Auftragsdatenverarbeiter hat das Unternehmen einen Lettershop beauftragt. Das Angebot: Neu-/Gebrauchtwagen, Werkstattservice und Mietfahrzeuge. Im CRM-System sind Kunden und Interessenten gespeichert. Alle Mitarbeiter haben nahezu uneingeschränkten Zugriff auf die Daten.
Marketing & Auftragsdatenverarbeitung
Mehrmals im Jahr führt die Marketing-Abteilung Direktmail-Kampagnen durch, um über neue Modelle zu informieren, an den nächsten TÜV-Termin und Abgasuntersuchung zu erinnern und um zu Veranstaltungen einzuladen. Dabei werden die im CRM-System gespeicherten Personen und Firmen verwendet. Ein beauftragter Lettershop (Auftragsdatenverarbeiter) druckt und versendet die Werbebriefe.
Vertrieb
- der Vertrieb bearbeitet konsequent Potenziallisten. Privat- und Firmenkunden werden regelmäßig angerufen
- die Mitarbeiter speichern dabei Im CRM-System alle Gesprächsnotizen ab sowie, wenn möglich, Geburtsdaten der Kunden, um Ihnen zum Geburtstag zu gratulieren
- Buchhaltung, Rechnungswesen und die IT haben uneingeschränkten Zugriff auf alle o.g. Daten
- Die Personaldaten können nur von Mitarbeitern der Personalabteilung eingesehen werden
Werkstatt und Autovermietung
- Viele Kunden benötigen einen Mietwagen wenn ihr Fahrzeug in der Werkstatt ist. Dafür werden am Counter Führerschein und Personalausweis kopiert und mit den Mietpapieren abgeheftet.
- Die Kunden werden nach Ihrer Handy-Nummer gefragt, damit sie per SMS benachrichtigt werden können, wenn das Fahrzeug fertig ist. Die Handy-Nummern werden gespeichert.
2. Datenschutz im Autohaus
Datenschutz-relevant | Maßnahme |
Die Kundendaten werden bisher ohne Einverständniserklärung des Kunden erfasst. Dies ist aber notwendig. Bei der Erfassung von Kundendaten im CRM- und Buchhaltungssystem ist ein Einverständnis des Kunden erforderlich. | Ab sofort unterzeichnen alle Kunden eine Einverständniserklärung zur Nutzung ihrer Daten – auch zu Werbezwecken. Das Geburtsdatum wird nicht mehr gespeichert, außer der Kunde willigt explizit schriftlich dazu ein. |
Die Datenweitergabe an externe Dienstleister wie den Lettershop muss vertraglich geregelt werden. | Abschluss eines Vertrag zur Auftragsdatenverarbeitung. |
Für pro-aktive Werbeanrufe („Outbound“) liegen bisher keine expliziten Einverständniserklärungen vor. | Die Kunden und Interessenten werden schriftlich um Ihr Einverständnis zur telefonischen Kontaktaufnahme, auch zu Werbezwecken, gebeten. Ihnen wird Widerspruchsmöglichkeit gegeben. Zukünftig geschieht dies bereits vorher. |
Zugriffsrechte des CRM-Systems wurden bisher nicht geregelt. | Die IT erarbeitet in Abstimmung mit SIX DATENSCHUTZ einen Plan, wer welche Zugriffsrechte benötigt. |
Personal: Die Mitarbeiter, die mit personenbezogenen Daten arbeiten, haben bisher keinerlei Verpflichtungserkärungen abgegeben und sind bzgl. Datenschutz nicht geschult. | Der Datenschutzbeauftragte erarbeitet die notwendigen Verpflichtungserklärungen und führt Datenschutzschulungen für Mitarbeiter durch. |
Datenschutzbeauftragter | Die Geschäftsführung hat einen externen Datenschutzbeauftragen bestellt, beauftragt und erfüllt die gesetzlichen Bestimmungen. |
3. Vorteile
- Höhere Datensicherheit
- mehr Kundenzufriedenheit durch Image- und Vertrauensgewinn
- dadurch höhere Umsatzstabilität u.a. durch Kundenbindung
- Erfüllung der gesetzlichen Vorgaben u.s. durch Einhaltung der Grundsätze zur Datenvermeidung und Datensparsamkeit nach § 3a BDSG sowie zur Auftragsdatenverarbeitung
- Reduziert das Risiko, dass Daten verloren gehen oder in falsche Hände geraten auch durch eine höhere Sensibilität der Angestellten (u.a. durch Vereinbarung zur Auftragsdatenverarbeitung mit den Dienstleistern)