Wenn Ihr Contact-Center in der EU tätig ist oder wenn Sie mit Kunden in der EU arbeiten, haben Sie wahrscheinlich schon eine Menge über die DSGVO gehört – die Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft tritt. Als eine der wichtigsten Änderungen im Datenschutz der letzten 20 Jahre verschärft die DSGVO die Anforderungen an Firmen, was den Umgang mit personenbezogenen Daten von Kunden betrifft. Sobald die neue Regelung in Kraft tritt, riskieren Unternehmen, die sich nicht daran halten, empfindliche Strafen.
Im Gegensatz zur bisherigen Richtlinie 95/46/EC (Datenschutzrichtlinie), die von der DSGVO abgelöst wird, ist die neue Regelung eine Verordnung. Der Unterschied besteht darin, dass eine Verordnung ein bindender Rechtsakt ist, der EU-weit in vollem Umfang umgesetzt werden muss, während eine Richtlinie ein Rechtsakt ist, der ein Ziel vorgibt, das zwar von allen EU-Ländern erreicht werden muss, der es aber den Ländern selbst überlässt, wie sie dies tun.
Einerseits gibt es viele Missverständnisse und Schauermärchen über die Bestimmungen der DSGVO. Gleichzeitig hat eine alarmierend hohe Anzahl an Organisationen keinerlei konkrete Pläne für die DSGVO-Compliance.
„Gartner schätzt, dass über 50% aller Unternehmen, die von der DSGVO betroffen sind, deren Anforderungen bis Ende 2018 nicht erfüllen werden.“ Gartner
In diesem Artikel sehen wir uns an, wie Contact-Center von den Bestimmungen der DSGVO betroffen sind, was Contact-Center gezielt tun sollten, um die neue Regelung zu erfüllen, und wie sie ihre Compliance mit den neuen gesetzlichen Anforderungen zu ihrem Vorteil nutzen können.
Es ist wichtig zu verstehen, dass die DSGVO keine Revolution, sondern eine Evolution im Kundendatenschutz darstellt. Aber auch so manche evolutionäre Geschäftsanforderung kann in technischer Hinsicht schnell zu einer Revolution werden. Der Großteil der Software, die Organisationen verwenden, muss einem Re-Design unterzogen werden, um vollen Support der DSGVO zu gewährleisten. Wir haben gesehen, dass einige US-amerikanische Cloud-Systeme bereits eingestellt wurden, nachdem sie verkündeten, dass sie die DSGVO aufgrund technischer Herausforderungen nicht unterstützen werden (zum Beispiel hat Salesforce angekündigt, die DSGVO für das SalesforceIQ (ehemals RelateIQ) CRM-System nicht zu unterstützen und den Kunden empfohlen, auf Sales Cloud umzusteigen; später wurde das Produkt dann komplett eingestellt).
Wichtig ist jedoch, dass die DSGVO nicht nur die Technologie, sondern auch etliche weitere Geschäftsbereiche betrifft.
Die Datenschutz-Grundverordnung (DSGVO) ist eine neue Regelung, die an die Stelle der Datenschutzrichtlinie tritt, den räumlichen Anwendungsbereich des Gesetzes erweitert, persönliche Rechte stärkt und die Anforderungen an jene Unternehmen erhöht, die personenbezogene Daten von EU-Bürgern sammeln und verarbeiten.
Im Gegensatz zu früheren Standards betrifft die DSGVO nicht nur Organisationen, die ihren Sitz in Europa haben, sondern auch Unternehmen in anderen Regionen. Wenn eine Organisation Daten von EU-Bürgern kontrolliert, sammelt und/oder verarbeitet, ist sie für die DSGVO-Compliance verantwortlich, unabhängig von einer physischen Präsenz in der Europäischen Union.
Die DSGVO schreibt Rechte von EU-Bürgern fest, und zwar das Auskunftsrecht, das Recht auf Dateneinsichtnahme, das Recht auf Berichtigung, das Recht auf Vergessenwerden, das Recht, die Verarbeitung einzuschränken, das Recht auf Benachrichtigung, das Recht auf Datenübertragbarkeit, das Recht, nicht auf Grundlage automatisierter Verarbeitung personenbezogener Daten (ML, AI) evaluiert zu werden und das Recht, Sammelklagen einzureichen.
Die entscheidendsten gesetzlichen Änderungen wurden hinsichtlich der folgenden Persönlichkeitsrechte gemacht: das Recht auf Benachrichtigung bei Verstößen, das bedeutet, die datenverarbeitenden Unternehmen werden verpflichtet sein, ihre Kunden unverzüglich über jegliche Verletzung der Datensicherheit zu informieren; das Recht auf Datenübertragbarkeit (z. B. das Recht von Einzelpersonen, die sie betreffenden personenbezogenen Daten zu erhalten); das Recht auf Dateneinsichtnahme, das bedeutet, dass Einzelpersonen mehr Freiheit haben, Auskunft darüber zu erhalten, ob und zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden, sowie auch die Möglichkeit, eine kostenlose Kopie ihrer persönlichen Daten anzufordern; das Recht auf Vergessenwerden, was die betroffenen Personen dazu berechtigt, ihre personenbezogenen Daten löschen und für eine zukünftige Bearbeitung sperren zu lassen.
Eine weitere wichtige Ergänzung ist, dass die DSGVO hohe Strafen für Organisationen einführt, die ihren Verpflichtungen nicht nachkommen. Die Strafen betragen theoretisch bis zu 4% des weltweiten Umsatzes der Organisation oder 20 Mio. Euro, je nachdem, was höher liegt. Wichtig ist anzumerken, dass diese Regelungen sowohl für „Verantwortliche“ als auch für „Auftragsverarbeiter“ gelten.
Es ist wichtig, einer betroffenen Person (EU-Bürger/in) klar zu kommunizieren, von wem oder was, weshalb und wie auf ihre personenbezogenen Daten zugegriffen wird und wie lange diese gespeichert werden.
Einzelpersonen haben das Recht, auf ihre personenbezogenen Daten zuzugreifen. Das stellt für viele Branchen eine wesentliche technische Herausforderung dar, da die meisten Systeme nicht darauf angelegt wurden, Kunden Zugriff auf ihre Daten zu gewähren.
Kunden sollten das Recht haben, sie betreffende personenbezogenen Daten zu berichtigen; dazu gehört auch das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen – je nach Verarbeitungszweck auch durch ergänzende Erklärungen.
Eine Person hat nicht nur das Recht, ihre Daten zu berichtigen, sondern auch zu löschen. Nach der DSGVO sollte eine Person in der Lage sein zu verlangen, dass sie betreffende personenbezogene Daten gelöscht oder nicht länger verarbeitet werden, wenn diese nicht mehr für den ursprünglich vorgesehenen Zweck notwendig sind, für den sie erhoben oder verarbeitet wurden, wenn die betroffene Person ihre Einwilligung zur Verarbeitung widerrufen hat oder wenn die Verarbeitung der personenbezogenen Daten nicht mit den Bestimmungen der DSGVO konform geht. Um diese Bestimmung einzuhalten, müssen Organisationen eine Analyse durchführen, wo und wie Kundendaten gespeichert werden. Nicht jedes System erlaubt das spurenlose Löschen von Kundendaten, was zusätzliche Herausforderungen für Organisationen bedeutet, die personenbezogene Daten sammeln oder verarbeiten. Natürlich müssen Daten in jenen Fällen aufgehoben und dürfen nicht gelöscht werden, wo der Gesetzgeber Organisationen dazu verpflichtet, wie etwa im Fall von Finanztransaktionen; dies muss der betroffenen Person jedoch klar kommuniziert werden.
Kunden haben das Recht, den Zweck der Datenverarbeitung einzuschränken. Zum Beispiel kann der Kunde verlangen, dass die Verwendung seiner Daten auf Direktmarketing oder andere, ähnliche Zwecke beschränkt wird.
Es gibt im Zusammenhang mit der Nutzung personenbezogener Daten zwei Arten von Benachrichtigungen: Richtlinien- und Statementaktualisierungen und Benachrichtigungen über die Verletzung der Datensicherheit (siehe den Absatz zur Benachrichtigung bei Verstößen).
Einzelpersonen haben das Recht, ihre Zustimmung zu widerrufen, und das muss genauso einfach sein, wie die Zustimmung zu erteilen.
Zum Beispiel: Wenn eine Zustimmung durch Anklicken einer Checkbox erteilt wurde, kann vom Kunden nicht verlangt werden, dass er das datenverarbeitende Unternehmen anruft, 20 Minuten wartet und mehrere Dokumente ausfüllt, um die erteilte Zustimmung zu widerrufen; der Vorgang muss transparent und genauso einfach sein, wie die Erteilung der Zustimmung.
Ein Kunde kann alle gespeicherten personenbezogenen Daten in einem „üblichen, computerlesbaren Format“ wie PDF oder Textformat anfordern.
Das Recht, nicht auf Grundlage automatisierter Verarbeitung evaluiert zu werden
Dieses Recht erlaubt es betroffenen Personen, die Verwendung ihrer personenbezogenen Daten für maschinelles Lernen, AI etc. einzuschränken. Darüber hinaus sollten Organisationen transparent machen, in welchen Bereichen sie AI und maschinelles Lernen zur Verarbeitung personenbezogener Daten einsetzen.
Neben hohen Strafen können Organisationen, die die DSGVO brechen, von Sammelklagen betroffen sein. Es gibt bereits gemeinnützige Organisationen, die versuchen, aus dem Recht, individuelle zu kollektiven Forderungen bzw. Sammelklagen zu machen, Kapital zu schlagen.
Wie sind Contact-Center von den Bestimmungen der DSGVO betroffen?
Ein zentrales Konzept der DSGVO ist die Transparenz, die sie zwischen Contact-Centern und Einzelpersonen einfordert. Das bedeutet, dass jeder Zweck der Sammlung und Speicherung personenbezogener Daten den betroffenen Personen klar kommuniziert werden muss. Darüber hinaus ist es wichtig, dass das Contact-Center auch über das Sammeln der Daten hinaus offen und transparent über den Prozess des Datenmanagements informiert. Idealerweise sollte es ein automatisiertes Gate geben, das Einzelpersonen den Zugang zu ihren persönlichen Daten gewährt und die Option „Vergessenwerden“ anbietet.
Datensparsamkeit. Viele Organisationen versuchen, möglichst viele Daten über ihre Kunden zu sammeln und verwenden diese für Marketing- und andere Zwecke, oder verkaufen diese sogar weiter. Das ist zwar nicht verboten, muss aber auf ein Minimum reduziert werden, dem Zweck der Sammlung angemessen, relevant und auf ihn limitiert sein. Contact-Center sollten ihre Kunden bereitwillig Erklärungen anbieten, warum sie eine bestimmte personenbezogene Information anfragen.
Wenn ein Contact-Center zum Beispiel einen Online-Store betreibt, kann es Einzelpersonen im ihren Namen und ihre Telefonnummer bitten. Es muss aber nicht unbedingt notwendig sein, auch nach dem Arbeitsgeber und der Anzahl der Kinder zu fragen.
Die Konditionen für Zustimmungserklärungen wurden verschärft, Unternehmen können sich nicht länger auf „lange, unleserliche Geschäftsbedingungen im Juristenjargon“ verlassen. Gerade für Contact-Center, die eine Menge personenbezogener Daten für verschiedenste Zwecke sammeln, wird es unerlässlich sein, spezielle Tools zu verwenden, die es ihnen ermöglichen, ihre Kunden über die Datenerfassung zu benachrichtigen und es diesen erlauben, fundierte Entscheidungen über den Gebrauch ihrer Daten zu treffen. Die Bitte um Zustimmung muss eindeutig und in einer verständlichen und leicht zugänglichen Form angeboten werden und in klarer, einfacher Sprache formuliert sein. Eine Zustimmungserklärung zu widerrufen muss genau so einfach sein, wie sie zu erteilen.
Eine Anrufaufzeichnung muss durch einen der folgenden Gründe begründet sein: 1) ein Kunde/eine Kundin erteilt seine/ihre Zustimmung, aufgezeichnet zu werden; 2) die Aufzeichnung dient dem Schutz der Interessen einer der beiden Parteien; oder 3) die Aufzeichnung ist gesetzlich vorgeschrieben. Contact-Center müssen ihre Aufzeichnungspraktik kritisch hinterfragen und analysieren, wie sie die Erlaubnis zur Aufzeichnung ihrer Kunden bekommen (über Agentenskript, IVR oder andere Tools).
Die Agentenskripten und der IVR-Workflow sollten dementsprechend angepasst werden. Wenn Sie Kundendaten sammeln (einschließlich Sprach- und Kameraaufnahmen), sollte die Kundin/der Kunde Ihnen für die Aufzeichnung des Anrufs ihre/seine Zustimmung erteilen und es muss einfach sein, Sie zu bitten, die Aufnahme zu löschen oder ihr/ihm die aufgezeichnete Datei zur Verfügung zu stellen.
Ist es notwendig, alle Kundendaten in Europa zu lagern?
Es ist ein weitverbreitetes Missverständnis zu glauben, dass Kundendaten in der EU gelagert sein müssen, um mit der DSGVO konform zu gehen. Die DSGVO hält fest, dass personenbezogene Daten ins Ausland gebracht werden dürfen, solange sie „angemessen geschützt“ sind.
Die Liste der angemessen geschützten Länder inkludiert die Vereinten Staaten (abgedeckt durch das EU-US-Datenschutzschild) und Länder wie Argentinien, Kanada, Island, Neuseeland, Norwegen, Schweiz und andere. Die vollständige Liste aller autorisierten Länder finden Sie unter https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en.
Wichtig ist dabei, dass Sie mit Kunden, deren Daten Sie verarbeiten, auch dann transparent über die Daten kommunizieren müssen, wenn diese in „angemessen geschützte“ Länder transferiert werden.
Ein Contact-Center sollte einen Reaktionsplan für jegliche Verletzungen des Schutzes personenbezogener Daten haben, der klar festlegt, wie auf den Verstoß reagiert wird, wie Einzelpersonen darüber informiert werden und welche Schritte gesetzt werden. Wird eine Organisation auf eine Datenschutzverletzung aufmerksam, sollte sie die Aufsichtsbehörden und betroffenen Personen (Kunden) innerhalb von 72 Stunden benachrichtigen.
Manche Organisationen schweigen jahrelang zu Verstößen, aber die Datenschutzbehörden wollen jetzt über solche Unfälle informiert werden, sobald sie eingetreten sind.
Große Organisationen sind verpflichtet, einen eigenen Datenschutzbeauftragten zu ernennen und diese Person mit entsprechenden Ressourcen auszustatten, die es ihr ermöglichen, ihre Aufgaben zu erfüllen und ihre Expertise auf dem neuesten Stand zu halten.
Nach Artikel 4 der DSGVO ist Verantwortlicher jene Einheit, die über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, während der Auftragsverarbeiter die Einheit ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies bedeutet, dass Sie auch im Fall, dass Sie Ihr Contact-Center outsourcen, als Datenverantwortlicher gelten und sicherstellen müssen, dass Ihr Serviceanbieter zu 100% DSGVO-konform ist.
Datensicherheit ist eines der zentralen Konzepte der DSGVO, deshalb soll bei allen organisatorischen und technologischen Änderungen auf die Verschlüsselung und Sicherheit personenbezogener Daten geachtet werden.
Sicherheitsmaßnahmen, die Sie als empfohlen in Erwägung ziehen könnten:
Selbst wenn Sie nicht vom ersten Tag an alle Bestimmungen erfüllen können, sollten Sie Schritte zur vollen Compliance planen. Wenn Sie die Absicht erkennen lassen, die DSGVO vollständig zu erfüllen, reduziert das Ihr Risiko von unangenehmen Konsequenzen signifikant.
Eine Überprüfung Ihrer Prozesse, Grundsätze und Technologie ist ein hervorragender Ausgangspunkt, der es Ihnen erleichtert, die Prozesse und Grundsätze schneller an die neuen Anforderungen anzupassen.
Als gute Alternative für eine kosteneffektive Umstellung können Sie eine Lösung verwenden, die sowohl Cloud, als auch In-House-Installationen unterstützt.
SoftBCom bietet seinen Contact-Centern in Deutschland mit der SoftBCom Contact-Center Software eine mit der DSGVO 100% kompatible Technologie für den Omnichannel-Kundenservice.
Wenn die DSGVO-Compliance richtig umgesetzt wird, kann sie Sie darin unterstützen, das Vertrauen von Einzelpersonen zu stärken, neue Türen für den Datengebrauch öffnen, eine bessere Informationsanalyse ermöglichen und zu einem Wettbewerbsvorteil werden.
Schritte, die sie setzen können, um besser für die DSGVO gerüstet zu sein:
Ziel der DSGVO ist es, EU-Bürger in einer zunehmend datengesteuerten Welt vor Datenschutzverletzungen zu schützen. Da das Betreiben eines Contact-Centers unmittelbar mit der Verarbeitung großer Mengen personenbezogener Daten verbunden ist, sind diese einem hohen Risiko an solchen Verletzungen ausgesetzt. Compliance mit dem neuen Datenschutz erlaubt es Contact-Centern, solche Risiken zu minimieren und eine höhere Verantwortung für den Schutz ihrer Kunden zu übernehmen, während die Aufgabe moderner Technologien es ist, es den Unternehmen leicht zu machen, mit den Bestimmungen konform zu gehen.
Haftungsausschluss: Dieser Artikel stellt keine Rechtsberatung dar, die auf die Compliance ihres Unternehmens mit EU-Datenschutzrichtlinien wie die DSGVO anzuwenden ist. Er bietet Hintergrundinformationen und unsere Interpretation der Änderungen, die die DSGVO einführt. Diese rechtliche Information entspricht nicht einer Rechtsberatung durch einen Anwalt, der das Gesetz auf Ihre spezifischen Umstände anwendet. Wir fordern Sie deshalb auf, einen Anwalt zu konsultieren, wenn sie Rat zu Ihrer Interpretation dieser Information oder ihrer Richtigkeit wünschen.