Binotel WIRE Benutzerhandbuch
Dies ist ein kurzer Leitfaden, der Ihnen helfen soll, sich in einem komplexen Feld von Datenschutzgesetzen zurechtzufinden. Er ist keineswegs eine Rechtsberatung, wir wollten Ihnen nur ein paar Hinweise geben, wo Sie mit der Suche beginnen können.

Die GDPR ist eine wichtige Gesetzgebung der Europäischen Union, die sich mit dem Datenschutz beschäftigt und für alle Unternehmen gilt, die mit persönlichen Informationen europäischer Bürger umgehen. Es geht vor allem darum, die Rechte des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten zu stärken. Sie ist in den Menschenrechten verwurzelt und ist wahrscheinlich die bekannteste Gesetzgebung der Europäischen Union.

Unter der GDPR ist die Definition von personenbezogenen Daten recht weit gefasst und kann alle Informationen umfassen, die eine Person auf die eine oder andere Weise identifizieren, einschließlich Name, E-Mail-Adresse, Telefonnummer, Wohnort, Geschlecht, Geburtsdatum, Beruf, Nationalität, die in einem Lebenslauf enthaltenen Informationen usw..

Die GDPR legt mehr Wert auf die Rechenschaftspflicht und Organisationen müssen in der Lage sein, nachzuweisen, dass sie die Gesetzgebung einhalten.
Was passiert im Falle einer Nichteinhaltung?

Die Bußgelder für die Nichteinhaltung der GDPR können für ein riesiges, multinationales Unternehmen ein sehr kostspieliger Fehler sein und für viele kleine und mittlere Unternehmen sicherlich das Ende bedeuten. Die Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen. Die Nichteinhaltung der GDPR schafft auch ein anderes Risiko, das schwieriger abzuschätzen ist, aber ebenso schwerwiegend für ein Unternehmen - ein schlechter Ruf.

Der Reputationsschaden wird eine Kernfolge jeder GDPR-bezogenen Geldstrafe oder Strafe sein, ähnlich wie die Folgen von Datenschutz- oder Cyber-Sicherheitsvorfällen, über die in der Regel in den Medien berichtet wird und die unweigerlich zum Verlust von Kunden und Vertrauen führen.


Haftungsausschluss


Gesetze zum Schutz personenbezogener Daten wie die GDPR sind sehr komplex. Es ist unmöglich, alle wichtigen Details in einem kurzen Leitfaden abzudecken. Er ist nicht als Rechtsberatung gedacht, sondern lediglich als Referenzpunkt für Ihre Bemühungen zur Einhaltung des Datenschutzes.


Bestimmungsgemäße Verwendung und Ihre Rolle

Alle unsere Dienstleistungen, einschließlich der Funktionen zur Registrierung, Statistik und Aufzeichnung von Gesprächen, zur Bestimmung des Standorts eines Anrufs/Mitarbeiters, sind ausschließlich für geschäftliche Zwecke bestimmt. Sie sind nicht für den persönlichen Gebrauch bestimmt.

Unter verschiedenen Gesetzen, wie z. B. der Allgemeinen Datenschutzverordnung (GDPR), werden Sie höchstwahrscheinlich als Verantwortlicher für die personenbezogenen Daten Ihrer Mitarbeiter, die die App nutzen, sowie der Kunden, die mit ihnen in Kontakt treten, eingestuft.

Ein Verantwortlicher zu sein bedeutet, dass Sie eine Verantwortung für den Schutz personenbezogener Daten haben.



Benutzerrechte berücksichtigen

Die GDPR als spezifisches Beispiel für eine Datenschutzregulierung befasst sich weitgehend damit, Menschen bestimmte Rechte einzuräumen. Einer der wichtigsten Aspekte der GDPR-Compliance ist die Ermöglichung der Ausübung der Rechte der betroffenen Personen. Nachfolgend finden Sie eine Liste der Rechte mit Erklärungen und Tipps zur Umsetzung.


Recht, informiert zu werden


Das Recht, informiert zu werden, ist das Recht eines Nutzers zu wissen, wie Sie seine personenbezogenen Daten verarbeiten, indem Sie eine Datenschutzrichtlinie umsetzen. Es zielt darauf ab, Vertrauen zwischen den Verbrauchern und Ihrem Service aufzubauen. Sie muss klar und prägnant formuliert sein und eine transparente Sprache verwenden. Sie müssen erklären, warum und wie Sie ihre Daten verarbeiten. Am wichtigsten ist, dass die Person, von der Sie Daten sammeln, zum Zeitpunkt des Sammelns der Daten darüber informiert wird.


Recht auf Zugang

Das Auskunftsrecht schafft ein Recht, nach dem eine Person herausfinden kann, ob ihre persönlichen Daten verarbeitet werden und wenn ja, eine Kopie aller Daten, die Sie über sie besitzen, anfordern kann.

Nach der Anfrage müssen Sie zunächst prüfen, ob die Organisation die personenbezogenen Daten der Person verarbeitet und eine Antwort geben. Wenn die Antwort ja lautet, müssen Sie dem Anfragenden die Daten und die folgenden Informationen zur Verfügung stellen, die in der Regel in Ihrer Datenschutzrichtlinie enthalten sind:

· Verarbeitungszwecke;

· Kategorien der verarbeiteten Daten;

· Empfänger der personenbezogenen Daten;

· Die geplante Dauer der Speicherung;

· Informationen über die Rechte des Anfragenden;

· Informationen über die Möglichkeit, eine Beschwerde bei einer Aufsichtsbehörde einzulegen;

· Herkunft der Daten (wenn sie von einem Dritten stammen);

· Informationen über Profiling (falls zutreffend);

· Sicherheitsvorkehrungen für den Fall einer Datenübermittlung in ein Drittland.

Schließlich sollten Sie der betroffenen Person eine Kopie aller ihrer Daten, die Sie haben, in einem strukturierten Format (z. B. CSV) zur Verfügung stellen.


Recht auf Übertragbarkeit

Nach diesem Recht kann die betroffene Person (Nutzer):

· Die sie betreffenden personenbezogenen Daten in einem klaren, allgemein gebräuchlichen Format erhalten können;

· Verlangen, dass die Daten an eine andere Partei übertragen werden (von einem Datenverantwortlichen zu einem anderen).

Während der erste Teil dem Auskunftsrecht recht ähnlich ist, kann der zweite Teil problematisch erscheinen. Es ist unwahrscheinlich, dass jemand versuchen wird, von diesem Recht Gebrauch zu machen, um die Daten an einen anderen Datenverantwortlichen zu übertragen, aber wir empfehlen dennoch, die Daten zumindest so zu speichern, dass eine Übertragung in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format möglich ist.

· Strukturiert - Strukturierte Daten ermöglichen eine einfache Übertragung und Benutzerfreundlichkeit. Es handelt sich um Daten, bei denen die strukturelle Beziehung zwischen den Elementen in der Art und Weise, wie die Daten auf einer Computerfestplatte gespeichert sind, explizit ist. Die Software muss in der Lage sein, bestimmte Elemente der Daten zu extrahieren. Ein Beispiel für ein strukturiertes Format ist eine Tabellenkalkulation - die Daten sind in Zeilen und Spalten organisiert (strukturiert);

· Weit verbreitet - Einfach ausgedrückt, das gewählte Format muss weit verbreitet und etabliert sein. Es muss jedoch auch strukturiert und maschinenlesbar sein;

· Maschinenlesbar - Daten in einem Format, das von einem Computer automatisch gelesen und verarbeitet werden kann. Es ist ein Format, aus dem Softwareanwendungen bestimmte Daten identifizieren, erkennen und extrahieren können.

Die an den häufigsten verwendeten Formaten, die die oben genannten Anforderungen erfüllen, sind CSV, XML und JSON.

Ähnlich wie beim Auskunftsrecht, sollten Sie dem Anfragenden innerhalb eines Monats, der auf zwei Monate verlängert werden kann, eine Kopie seiner Daten zur Verfügung stellen.


Recht auf Widerruf der Einwilligung

Dieses Recht ist für Sie relevant, wenn Sie Einwilligungen einholen, was typischerweise erforderlich ist, wenn Sie Marketing-E-Mails an Nutzer senden oder Cookies von Drittanbietern verwenden (z. B. für Analytics oder Retargeting). Die GDPR stellt klare Anforderungen an die Einholung der Einwilligung - sie muss klar, spezifisch, frei gegeben, eindeutig usw. sein. Die Verordnung sieht auch vor, dass eine Person ihre Zustimmung jederzeit zurückziehen kann, ohne dass sie ihre Entscheidung begründen muss.


Recht auf Berichtigung

Wenn personenbezogene Daten, über die Sie verfügen, veraltet oder falsch sind, hat die betroffene Person das Recht, diese zu berichtigen. Das Hauptziel hierbei ist es, die Richtigkeit der Daten der Person in Ihrem System sicherzustellen.

Die einfachste und unkomplizierteste Lösung zur Umsetzung dieses Rechts ist es, den Benutzern die Möglichkeit zu geben, ihre Daten in Echtzeit auf der Website zu ändern. Die Benutzer sollten auch die Möglichkeit haben, dieses Recht per Post/Telefon/E-Mail auszuüben. Es ist eine gute Idee, diese Möglichkeit in die Datenschutzrichtlinie aufzunehmen

Wenn eine Person dieses Recht per Post/Telefon/E-Mail ausübt, müssen Sie die Anfrage innerhalb eines Monats erfüllen, oder zwei Monate, wenn Sie eine legitime Rechtfertigung für die Verzögerung haben.


Recht auf Einschränkung der Verarbeitung

Das Recht, die Verarbeitung einzuschränken, gibt einer Person das Recht, die Art und Weise, wie Sie ihre Daten verwenden, einzuschränken. Dies ist vergleichbar mit dem Einfrieren oder Sperren der Daten. Betroffene Personen benötigen jedoch einen triftigen Grund, um dieses Recht auszuüben. Ein solcher Grund kann z. B. sein, dass die gespeicherten Daten unrichtig sind, dass die Daten unrechtmäßig verarbeitet werden/wurden, dass die betroffene Person Probleme damit hat, wie Sie die Daten verarbeiten, usw.

Sie müssen sicherstellen, dass Sie über Prozesse verfügen, mit denen Sie personenbezogene Daten einschränken können. Diese können sein: vorübergehende Verlagerung der Daten in ein anderes System, vorübergehendes Entfernen der Daten von der Website/Datenbank usw.. Als Nächstes muss sichergestellt werden, dass eine weitere Verarbeitung der Daten nicht stattfindet. Denn solange die Einschränkung besteht, können die Daten nicht verändert werden. Wichtig ist auch, dass eine versehentliche Verarbeitung der eingeschränkten Daten verhindert wird - die eingeschränkten Daten sollten im System entsprechend gekennzeichnet werden.

Wie bei den meisten anderen Rechten müssen Sie dem Antrag innerhalb von 1 Monat nach Erhalt nachkommen.


Recht auf Löschung

Auch bekannt als das "Recht auf Vergessenwerden". Der Nutzer kann Sie, den für die Verarbeitung Verantwortlichen, auffordern, seine Daten zu löschen, wenn sie für den Zweck, für den sie ursprünglich erhoben wurden, nicht mehr benötigt werden. Die EU hat diesem Recht in der Vergangenheit viel Aufmerksamkeit geschenkt und erleidet keine Unternehmen, die berechtigten Anträgen auf Löschung ihrer Daten nicht nachkommen.

Wenn es darum geht, die Ausübung dieses Rechts zu ermöglichen, müssen Sie sicherstellen, dass Sie in der Lage sind, die Daten einer Person aus allen Ihren Systemen zu löschen. Sie sollten der Aufforderung innerhalb eines Monats, in begrenzten Fällen auch innerhalb von zwei Monaten, nachkommen.


Wie Sie sich vorbereiten sollten:
Beschränken Sie den Zugriff auf die Daten

Stellen Sie sicher, dass auf personenbezogene Daten nur dann zugegriffen wird, wenn es notwendig ist. Setzen Sie technische Maßnahmen ein, um den Zugriff für Mitarbeiter und Auftragnehmer einzuschränken, es sei denn, er ist für deren Aufgaben notwendig.

In der Regel können Sie dies über eine entsprechende Einstellung im CRM Ihrer Wahl und über Ihre Netzwerk- und Kontoeinstellung im System erreichen.


Überprüfen Sie Ihre Dienstanbieter

WIRE kann mit dem CRM-Dienstleister Ihrer Wahl integriert werden. Unter verschiedenen Datenschutzgesetzen würden WIRE und dieser Anbieter höchstwahrscheinlich als Auftragsverarbeiter betrachtet werden. Das bedeutet, dass Sie als Verantwortlicher die Pflicht haben, sicherzustellen, dass sie die Daten nur auf der Grundlage Ihrer Anweisungen verarbeiten und dass die Daten ordnungsgemäß gesichert sind.

Hier sind einige der Maßnahmen, die Sie ergreifen können:

· eine Vereinbarung zur Datenverarbeitung unterzeichnen

· einen Fragebogen zum Datenschutz ausfüllen

· Überprüfen Sie die Zertifizierungen und Compliance-Standards etc.

· Überprüfen Sie die Sicherheitsmaßnahmen des Dienstanbieters.


Löschen Sie unnötige Daten


Manchmal rufen Benutzer mit irrelevanten Fragen bei Ihnen an. Manchmal geben sie mehr Informationen heraus, als notwendig waren. Irgendwann werden die Informationen zu alt und im Grunde genommen nutzlos.

Versuchen Sie einen Prozess zu erstellen, um solche unnötigen Daten sicher aus Ihren Systemen zu entfernen.


Daten richtig sichern

Stellen Sie sicher, dass Sie Best Practices in Bezug auf die Sicherheit von persönlichen Daten befolgen.

Es gibt zahlreiche Maßnahmen, mit denen Sie das erreichen können - erstellen Sie interne Richtlinien, verwenden Sie, wo möglich, Verschlüsselung, erstellen Sie Zugriffskontrollen, verwenden Sie Anonymisierung und Pseudonymisierung, Backups, Cloud-Sicherheit usw.

Die Sicherheitsmaßnahmen sind zu zahlreich, um sie alle aufzuzählen, daher sollten Sie sich am besten an Ihren Sicherheitsdienstleister wenden.


Seien Sie transparent mit Ihren Endnutzern

Wenn Ihre Nutzer Ihre Mitarbeiter anrufen, sollten sie Bescheid wissen, dass sie aufgezeichnet werden. Sie sollten auch informiert werden über ihre Rechte in Bezug auf persönliche Daten.

Es gibt viele Möglichkeiten, wie Sie Klarheit und Transparenz gegenüber Ihren Anwendern schaffen können, z. B. indem Sie sie während des Anrufs darüber informieren, eine Datenschutzrichtlinie oder kurze Datenschutzhinweise bereitstellen, in denen Sie die Gründe für die Aufzeichnung des Anrufs erläutern.

Sie müssen sich überlegen, ob es angemessen ist, die Zustimmung der Benutzer für die Aufzeichnung von Anrufen einzuholen und wie Sie dies handhaben können.


Seien Sie transparent Ihren Mitarbeitern gegenüber

Die persönlichen Daten Ihrer Mitarbeiter sind genauso wichtig wie die persönlichen Daten Ihrer Benutzer.

Wenn Sie Wire Plus in Ihre Geschäftsprozesse integrieren, stellen Sie sicher, dass Ihre Mitarbeiter verstehen, dass ihre Anrufe aufgezeichnet werden und ihre Rechte in Bezug auf diese Aufzeichnung kennen.


Befolgen Sie bei der Verfolgung Ihres Standorts das Prinzip der Transparenz

Bei Verwendung von WIRE können Sie die Standortverfolgung aktivieren.

Diese Funktion ist standardmäßig deaktiviert.

Um Ihren Standort zu verfolgen, müssen Sie das Prinzip der Transparenz einhalten. Holen Sie insbesondere die ausdrückliche Zustimmung der Mitarbeiter zur Verarbeitung dieser Daten ein.

In WIRE kann ein Mitarbeiter die Verfolgung seines Standorts zulassen oder verweigern. Sie müssen jedoch sicherstellen, dass der Mitarbeiter die Datenverfolgung ohne Druck zugelassen hat.

Wenn Sie eine andere Rechtsgrundlage für die Verarbeitung verwenden, müssen Sie entsprechende Garantien geben.


Erstellen Sie eine Mitarbeiterdatenschutzrichtlinie
Es ist oft eine gute Idee, Ihre internen Datenerfassungspraktiken sowie die relevanten lokalen und internationalen Datenschutzgesetze zu überprüfen und eine interne Richtlinie zu erstellen, die Ihren Ansatz zum Mitarbeiterdatenschutz und die dafür verantwortlichen Personen beschreibt.


Prüfen Sie lokale Gesetze und Gerichtsurteile

Es kann viele Besonderheiten und Komplexitäten in Bezug auf lokale Datenschutzgesetze und Gerichtsurteile geben, die diese interpretieren, insbesondere im Hinblick auf Daten, die als sensibel angesehen werden könnten, wie z. B. Bank- oder medizinische Informationen, politische Zugehörigkeit usw.

Sie sollten lokale Anwälte konsultieren, wenn Sie solche Verarbeitungen vornehmen.

Gültig ab 01.10.2019
Letzte Überarbeitung: 28.04.2021