Für die bevorstehende DSGVO bietet SugarCRM, Sugar Entwicklern ein Framework und ein Best-Practice um die Zustimmung der Datensubjekte zuverlässig zu erfassen und datenschutzrechtlich relevante Vorgänge umzusetzen.
Die DSGVO hat strenge Vorgaben was die Handhabungen der Einwilligungen betrifft, Sie benötigen zur Speicherung und Verarbeitung personenbezogener Daten eine explizite Zustimmung der Datensubjekte, sollten Sie nicht eine andere zuständliche Rechtsgrundlage (z.B. eine aufrechte Geschäftsbeziehung) dafür haben. Diese zulässigen Rechtsgrundlagen ergeben sich aus den Bestimmungen der DSGVO, weiterem Unionsrecht sowie der gesetzlichen Bestimmungen der einzelnen Mitgliedsstaaten. [note]VERORDNUNG 2016/679 – (40)
Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder — wann immer in dieser Verordnung darauf Bezug genommen wird — aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, welche der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.[/note]
Daher ist zu berücksichtigen, dass unabhängig von der DSGVO auch die bereits jetzt, teils strengen und restriktiven Datenschutzgesetze, der einzelnen Länder zu beachten und einzuhalten sind.
Einholen von Einwilligungserklärungen
Das Einholen von Einwilligungen ist insbesondere für Marketing Kampagnen und die Entwicklung von Geschäftsfeldern wichtig. Für weitere typische Anwendungsbereiche eines CRMs ist es sehr wahrscheinlich, dass sie bereits eine zulässige Rechtsgrundlage haben.
Die DSGVO sieht vor, dass die Zustimmung freiwillig gegeben werden muss und das in voller Kenntnis der Sachlage geschieht, dazu brauchen Sie eine in klarer und einfacher Sprache vorformulierte Einwilligungserklärung. [note]VERORDNUNG 2016/679 – (42)
Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung, sollten sie sicherstellen, dass die betroffene Person weiß, in welchem Umfang sie ihre Einwilligung erteilt. Gemäß der Richtlinie 93-13-EWG des EU Rates sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit die betroffene Person in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte Sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Es kann nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.[/note] Die Einwilligung kann über ein entsprechend gestaltetes Web Formular erfolgen, aber auch telefonisch, oder schriftlich.
Best Practice für das Einholen von Einwilligungen ist es ein Double Opt-In Verfahren zu implementieren. Hintergrund zu diesem Verfahren ist, dass man bei Daten aus offenen Web Formularen immer mit Skepsis agieren muss. Ein Benutzer kann sich vertippt haben, oder sich nicht völlig im Klaren gewesen sein wofür er sich im Formular angemeldet hat. Schlimmstenfalls kann die Eingabe von einem Dritten in böser Absicht erfolgt sein (z.B. Anmeldung zu mehreren Newslettern).
Um nun sicher zu stellen, dass der Besitzer der E-Mail-Adresse sich auch wirklich selber angemeldet hat, muss er dies zweimal Bestätigen, einmal beim Anmelden, und danach über einen Link der ihm an seine E-Mail-Adresse gesandt wir. Damit wird auch überprüft ob er der tatsächliche Besitzer der E-Mail-Adresse ist.
Um in Sugar ein solches Verfahren umzusetzen beschreibt SugarCRM in ihrem Developer Blog wie man über Anpassungen im Studio und im Code ein Double Opt-In Verfahren implementiert.
Dabei wird eine Lead automatisch im System angelegt sobald er ein Web2Lead Formular ausfüllt. Erst wenn das Double-Opt-In Email bestätigt wurde, wird die E-Mail-Adresse für das Marketing freigegeben. Durch die Umsetzung eines solchen Double-Opt-In Verfahrens, protokollieren Sie automatisch auch die Rechtmäßigkeit der Speicherung und verifizieren die Anmeldung über das Double-Opt-In Verfahren im Sugar.
Haben Sie fragen zur DSGVO, zum Double-Opt-In Verfahren oder wollen Sie einfach nur wissen wie Sie am besten die neue Richtlinie in Ihrem CRM umsetzen, dann kontaktieren Sie uns einfach über das folgende Kontaktformular:
Geben Sie Ihre Nachricht und Ihre E-Mail-Adresse an und wir melden uns bei Ihnen.