Das GDPR-fähige Zoho CRM ist da.

Der Schutz der persönlichen Daten eines Kunden allein reicht nicht aus. Die GDPR verlangt, dass der Umgang mit seinen personenbezogenen Daten auf transparente und sichere Weise erfolgt. Mit Zoho CRM halten Sie bei der Datenerfassung und -verarbeitung die GDPR ein.

  • Funktionen
  • Häufig gestellte Fragen

Datenerfassung

Verfolgen Sie die Quellen Ihrer Kundendaten, und lassen Sie sich das Interesse Ihres Kunden an Ihrem Service bestätigen, bevor Sie mit der Verarbeitung seiner Daten beginnen.

Rückverfolgung der Datenquellen

Bei mehreren Quellen für Kundendaten (Webformulare, Importe, manuelle Erstellung, Programmierschnittstellen oder Integrationen von Drittanbietern) behalten Sie durch genaue Angaben im Datensatz des Kunden den Überblick. Im Fall von Webformularen werden zusätzliche Informationen wie der Formularname und die IP-Adresse erfasst.

Doppelte Einverständniserklärung

Aktivieren Sie die doppelte Einverständniserklärung für Webformulare, damit Kunden, die ihre Daten einsenden, diese Einsendung bestätigen müssen, bevor ihre Daten in das Zoho CRM übertragen werden. Mit der doppelten Einverständniserklärung erhalten Sie hochwertige Leads, und Sie können Zeit und Ressourcen auf die Personen konzentrieren, die von Ihnen hören möchten.

Datenverarbeitung

Stellen Sie sicher, dass die persönlichen Daten Ihrer Kunden auf rechtmäßige und sichere Weise verarbeitet werden. Achten Sie auf Nachvollziehbarkeit, indem Sie die Verarbeitung der Kundendaten dokumentieren.

Grundlage der Datenverarbeitung

Identifizieren, kategorisieren und kennzeichnen Sie Kunden, je nachdem, welche der sechs rechtmäßigen Grundlagen für die Datenverarbeitung vorliegt: berechtigtes Interesse, Einwilligung, Vertragserfüllung, rechtliche Verpflichtungen, lebenswichtige Interessen oder öffentliches Interesse.

Einwilligungserklärung

Je nach Art des Kunden und der verarbeiteten personenbezogenen Daten müssen Sie nach der Zustimmung der betroffenen Person fragen. Holen Sie die Zustimmung einfach durch ein individuell anpassbares Formular ein, das Sie per E-Mail an Ihre Kunden senden können. 

Kennzeichnung von personenbezogenen Feldern

Markieren Sie Felder, die personenbezogene Daten enthalten, und entscheiden Sie, ob die Informationen sensibel sind oder nicht. Auf Grundlage der Voreinstellungen unter den Compliance-Einstellungen können Sie die Daten in diesen Feldern von der Verarbeitung in Exporten, Programmierschnittstellen und zugehörigen Services ausschließen.  

Verschlüsselung im Ruhezustand (Encryption at Rest, EAR)

Zoho CRM setzt eines der stärksten und zuverlässigsten Chiffrierungsverfahren ein, um Ihre sensiblen Daten zu verschlüsseln: AES (Advanced Encryption Standard). Zusätzlich zum Schutz der Daten während der Übermittlung sichert Zoho CRM die Daten, die auf Servern gespeichert sind, mit dem Verschlüsselungsstandard AES 256, um im Fall eines Datenverlustes oder Datenschutzverstoßes die Anonymität der Kundendaten sicherzustellen.

Auditprotokoll

Überwachen Sie die Aktivitäten Ihres Teams mit Auditprotokollen, sodass Sie jederzeit im Blick haben, wer was wann erledigt hat. Zum Beispiel werden alle von Ihren Benutzern durchgeführten Aktionen im Zusammenhang mit dem Löschen oder Ändern von Datensätzen in einem Audit erfasst.

Rechte der betroffenen Person

Kunden können jederzeit verschiedene Rechte ausüben, die sie laut GDPR haben. Nehmen Sie diese Anfragen entgegen, und bearbeiten Sie sie zeitnah.

  • Zugriff (Recht auf Zugriff) 

    Lassen Sie Ihre Kunden über das Kundenportal auf ihre Daten zugreifen. Oder lassen Sie sie wissen, dass sie darauf zugreifen können, indem Sie eine E-Mail versenden, die Sie durch automatisches Befüllen der erforderlichen Vorlagenfelder erstellen können. 

  • Korrektur (Recht auf Korrektur)

    Sie können ganz einfach Kundendaten exportieren, zur Korrektur senden und in CRM aktualisieren. Wenn Kunden Zugriff auf das Kundenportal haben, können sie ihre Informationen dort anzeigen und gegebenenfalls aktualisieren.

  • Export (Recht auf Datenübertragbarkeit)  

    Exportieren Sie Kundendaten als CSV-Datei, die direkt an eine E-Mail angehängt und dann an den Kunden gesendet wird. Dieser Export stellt sicher, dass keine Daten auf externen Geräten gespeichert werden.

  • Verarbeitung stoppen (Recht auf Einschränkung der Bearbeitung)

    Wenn dieses Recht ausgeübt wird, wird der Kundendatensatz automatisch gesperrt, um eine weitere Verarbeitung der Daten zu verhindern.

  • Löschen (Recht auf Löschung) 

    Sie können die Daten eines Kunden ganz einfach aus Zoho CRM löschen, wenn das „Recht auf Vergessen“ eingefordert wird. Nach dem Löschen wird der Datensatz auf eine Sperrliste verschoben, damit Benutzer gewarnt werden, wenn derselbe Datensatz erneut in das System aufgenommen wird.

Häufig gestellte Fragen

1. Was ist die GDPR, und wie wirkt sie sich auf Organisationen aus?
Die Datenschutzgrundverordnung (oder GDPR) ist eine neue Verordnung, die von der Europäischen Union (EU) entwickelt wurde und den Schutz und den freien Datenverkehr und die Rechte von Personen (auch von Kindern) umfasst. Es handelt sich um eine Reihe von Regeln, die die vorhandene Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen und in der EU durchgesetzt werden. Die GDPR gibt EU-Einwohnern die Möglichkeit, direkt zu kontrollieren, wie ihre Daten verarbeitet werden sollen, und schützt die Vertraulichkeit ihrer persönlichen Daten. 
2. Für wen gilt die GDPR?
Die GDPR gilt für Unternehmen in der EU und für Unternehmen, deren Kunden in der EU ansässig sind, unabhängig vom Standort des Unternehmens.
3. Für welche Art von Daten gilt die GDPR?
Die GDPR gilt ausschließlich für personenbezogene Daten. Personenbezogene Daten sind hier „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person oder eine betroffene Person beziehen“. Dies beinhaltet den Namen der betroffenen Person (des Kunden), seine E-Mail-Adresse, seinen Standort und andere Online-Daten wie IP-Adresse, Social-Media-Profil und manche Arten von Website-Cookies. 
4. Gilt für alle Module in Zoho CRM die Einhaltung der GDPR-Bestimmungen?
Die Einhaltung der GDPR gilt nur für die personenbezogenen Module in der Organisation. In Zoho CRM bezieht sich die GDPR auf Leads, Kontakte, Lieferanten und benutzerdefinierte Module. 
5. Wer sind die wichtigsten Beteiligten an der GDPR?
  • Betroffene Person - jede Person, deren persönliche Daten erfasst oder verarbeitet werden.
  • Datenverantwortlicher - die Person, die den Verarbeitungszweck und die Verarbeitungsmethode der Daten bestimmt.
  • Gemeinsame Datenverantwortliche - zwei oder mehr Datenverantwortliche, die gemeinsam die Verarbeitungszwecke und Verarbeitungsmethoden für die Daten bestimmen.
  • Datenverarbeiter - die Person oder Firma, die Daten im Namen des Datenverantwortlichen verarbeitet.
  • Unterauftragsverarbeiter - ein Drittanbieter oder ein Unternehmen, der/das die Datenverarbeitung für andere Unternehmen durchführt und für die Datenverarbeitung verantwortlich ist.
  • Aufsichtsbehörden – öffentliche Behörden, die die Anwendung der GDPR überwachen.
6. Welche rechtlichen Grundlagen kann ein Datenverantwortlicher bei der Verarbeitung von Kundendaten geltend machen?
Der Datenverantwortliche kann aus sechs Grundlagen für die Verarbeitung wählen. Diese sind:
  • 1. Vertrag - Dies gilt, wenn Sie die persönlichen Daten des Kunden verarbeiten müssen, um Ihre vertraglichen Verpflichtungen zu erfüllen oder um eine bestimmte Aktion aufgrund der Anfrage eines Kunden (z. B. Senden eines Angebots oder einer Rechnung) durchzuführen.
  • 2. Rechtliche Verpflichtung – Dies gilt, wenn Sie gemäß geltendem Recht eine Verpflichtung erfüllen müssen (z. B. aufgrund einer berechtigten Anfrage, wie bei einer Untersuchung durch eine Behörde, Daten bereitstellen). 
  • 3. Lebenswichtige Interessen - Dies gilt für dringende Angelegenheiten, bei denen es um Leben und Tod geht, insbesondere im Hinblick auf Gesundheitsdaten.
  • 4. Öffentliches Interesse - Dies gilt für Aktivitäten staatlicher Behörden. 
  • 5. Berechtigte Interessen - Zu den berechtigten Interessen können beispielsweise kommerzielle Interessen wie Direktmarketing, individuelle Interessen oder das allgemeine Gesellschaftswohl zählen. Der Datenverantwortliche muss Aufzeichnungen über Entscheidungen hinsichtlich berechtigter Interessen in Form einer Bewertung der Berechtigung dieser Interessen führen.
  • 6. Einwilligung – Eine Einwilligung ist ebenfalls eine gesetzlich zulässige Verarbeitungsgrundlage. Eine Einwilligung einer betroffenen Person ist eine „freiwillig gegebene, konkrete, informierte und eindeutige Angabe der betroffenen Person, bei der er oder sie durch eine Aussage oder durch eine klare, bestätigende Aktion seine/ihre Zustimmung zur Verarbeitung seiner/ihrer personenbezogener Daten ausdrückt.“
7. Was ist LIA?
LIA steht für „Legitimate Interests Assessment“, eine Bewertung der Berechtigung bestimmter Interessen. Sie gibt den Grund an, warum ein Unternehmen die personenbezogenen Daten eines Kunden verarbeiten möchte. Das Unternehmen muss außerdem eine LIA durchführen, um zu zeigen, dass die Verarbeitung erforderlich ist.
  • Eine Beurteilung, ob ein berechtigtes Interesse besteht.
  • Ein Nachweis der Notwendigkeit der Verarbeitung.
  • Die Ausführung einer Abwägungsprüfung.
 
8. Wer/Was ist ein DPO?
Ein Data Protection Officer (DPO) unterstützt Sie bei der Überwachung der internen Compliance, informiert und berät Sie über Ihre Datenschutzverpflichtungen, bietet Beratung zu Datenschutz-Auswirkungsbeurteilungen (DPIAs) und fungiert als Kontaktstelle zwischen betroffenen Personen und der Aufsichtsbehörde.
Ein DPO dient auch als Ansprechpartner zwischen dem Unternehmen und allen Aufsichtsbehörden, die Aktivitäten im Zusammenhang mit der Datenverarbeitung überwachen. Es wird allen Unternehmen empfohlen, einen DPO zu ernennen. 
9. Wie kann die GDPR auf bestehende Kunden angewendet werden?
Sie können die GDPR für bestehende Kunden aktivieren, indem Sie auf Setup > Benutzer und Kontrolle > Compliance-Einstellungen klicken, die Compliance-Einstellungen aktivieren und die Module auswählen, für die die Einhaltung der Bestimmungen gilt.   
10. Was geschieht mit meinen vorhandenen Daten in Zoho CRM, nachdem die GDPR in Kraft tritt?
Nachdem die GDPR am 25. Mai in Kraft tritt, müssen alle vorhandenen Datensätze in Ihrem Zoho-CRM-Konto der jeweiligen rechtmäßigen Verarbeitungsgrundlage entsprechend gekennzeichnet werden. Sie können dies über:
  • die Übersichtsseite
  • die Listenansicht des entsprechenden Moduls
  • oder einzelne Datensätze durchführen.
11. Wie unterstützt Sie Zoho CRM bei der Einhaltung der GDPR?
So hilft Ihnen Zoho CRM:

Datenquellenverfolgung - Zoho CRM nennt die Quelle der Daten (direkte Quellen wie Webformulare und indirekte Quellen wie die Benutzeroberfläche, Importe, Programmierschnittstellen und andere Integrationen von Drittanbietern) sowie gegebenenfalls zusätzliche Details (z. B. URL, IP-Adresse) auf der Detailseite des Datensatzes. Diese Informationen werden auf Anfrage an den Kunden weitergegeben.

Kennzeichnung persönlicher Felder - Benutzer haben die Möglichkeit, Felder mit persönlichen Daten und auch Felder mit sensiblen Informationen zu markieren.

Rechte der betroffenen Person -Ihre Kunden haben außerdem das Recht, einen Zugriff oder Export sowie eine Korrektur, Löschung oder eine Beschränkung der Verarbeitung ihrer Daten zu verlangen. Als Datenverantwortlicher müssen Sie diese Aktionen ausführen. 
12. Welche Rechte haben die betroffenen Personen laut der GDPR in Zoho CRM?
Betroffene Personen haben laut der GDPR in Zoho CRM fünf von acht grundlegenden Rechten:
  • Das Recht auf Zugriff - Kunden haben das Recht, genau zu wissen, welche Informationen über sie gespeichert werden und wie sie verarbeitet werden. (GDPR, Artikel 15)
  • Das Recht auf Korrektur - Einzelpersonen/Kunden haben das Recht, ihre persönlichen Daten zu korrigieren, falls sie ungenau oder unvollständig sind. (Artikel 16)
  • Das Recht auf Datenübertragbarkeit - Kundenspezifische Informationen können exportiert, an eine E-Mail angehängt und in einem maschinenlesbaren Format (CSV) an Kunden gesendet werden, ohne dabei auf Ihr Gerät heruntergeladen zu werden (Artikel 20).
  • Das Recht auf Einschränkung der Bearbeitung - Einzelpersonen haben das Recht, die Zwecke zu beschränken, für die der Datenverantwortliche ihre Daten verarbeiten darf. (Artikel 18)
  • Das Recht auf Löschung - Auch bekannt als „das Recht, vergessen zu werden“. Einzelpersonen haben das Recht, ihre persönlichen Daten jederzeit löschen oder entfernen zu lassen. (Artikel 17)
13. Wie können Sie die Einwilligung des Kunden einholen?
Sie können die Einwilligung des Kunden entweder per E-Mail (in Textform oder mit einem angehängten Einwilligungsformular), über Portale oder mündlich per Telefon einholen.
14. Was geschieht, wenn Unternehmen die GDPR nicht einhalten?
Unternehmen können für die schwerwiegendsten Datenschutzverletzungen oder -verstöße, darunter fehlende Zustimmung des Kunden zur Verarbeitung von Daten oder die Verletzung des Prinzips des eingebauten Datenschutzes, mit Geldstrafen von bis zu 4 % ihres jährlichen globalen Umsatzes oder 20 Millionen Euro (höherer Betrag gilt) belegt werden. 
Sie können für nicht ordnungsgemäße Nachweise, nicht erfolgte Meldungen an Aufsichtsbehörden oder Kunden über Datenschutzverletzungen oder nicht korrekt durchgeführte LIAs mit Geldstrafen von bis zu 2 % ihres jährlichen globalen Umsatzes oder 10 Millionen Euro (höherer Betrag gilt) belegt werden. 
15. Mein Unternehmen ist nicht in der EU ansässig. Ich habe auch keine Kunden aus der EU. Muss ich trotzdem die GDPR einhalten?
Die GDPR ist nicht verpflichtend, wenn Sie kein Unternehmen in der EU haben und nicht mit in der EU ansässigen Kunden arbeiten. Wenn Sie jedoch eine erhöhte Sicherheit und einen besseren Schutz der Kundendaten gewährleisten möchten, wird empfohlen, die GDPR-Compliance zu aktivieren. Klicken Sie dazu auf Setup > Benutzer und Kontrolle > Compliance-Einstellungen, und schalten Sie sie ein.
16. Ist die Verschlüsselung der Daten unter der GDPR obligatorisch? 
Nein, die GDPR schreibt die Verschlüsselung der Kundendaten nicht vor. Mit Zoho CRM können Sie Felder jedoch manuell auf der Eigenschaftenseite des jeweiligen Felds verschlüsseln.
17. Kann ich das verschlüsselte Feld in einem Webformular verwenden?
Ja, Sie können ein verschlüsseltes Feld im Webformular verwenden. 
18. Ich habe die Compliance ausgeschaltet. Wie wirkt sich dies auf die vorhandene Grundlage für die Verarbeitung meiner Datensätze aus?
Wenn Sie auf der Seite „Compliance-Einstellungen“ die Compliance deaktivieren, werden die Verarbeitungsaktivitäten, die Sie zuvor an den Daten der betroffenen Person durchgeführt haben, unwirksam gemacht, und die Daten werden ohne Grundlage verarbeitet. 
19. Können Kunden ihre Daten von Zoho CRM löschen oder entfernen?
Kunden können das Recht auf Löschung (auch bekannt als das Recht, vergessen zu werden – Artikel 17) ausüben, um zu verlangen, dass ihre persönlichen Daten aus CRM gelöscht oder entfernt werden. Als Datenverantwortlicher müssen Sie die Daten löschen, wenn Kunden dies verlangen, es sei denn, Sie unterliegen rechtlichen Verpflichtungen zur Aufbewahrung der Daten, die überwiegen (siehe Artikel 17 der EU-GDPR). 
20. Wie kann der Datenverantwortliche die verschiedenen Datenverarbeitungsaktivitäten verfolgen, die in Zoho CRM stattgefunden haben?
Der Datenverantwortliche kann die vorhandene Zeitachsenansicht in Zoho CRM aufrufen und die Aktualisierungen und Änderungen an den Datenverarbeitungsaktivitäten einzelner Datensätze verfolgen. 
21. Ist für die Datenverarbeitung eine doppelte Einverständniserklärung erforderlich?
Nein, für die Datenverarbeitung ist keine doppelte Einverständniserklärung erforderlich. Die doppelte Zustimmung wird jedoch empfohlen, um sicherzustellen, dass Kunden das Produkt wirklich interessiert. Bei einer doppelten Einverständniserklärung erhalten Kunden eine zusätzliche E-Mail, um ihre Identität zu bestätigen, wenn sie sich über Webformulare angemeldet haben.
22. Was geschieht mit den Daten, wenn der Kunde innerhalb eines bestimmten Zeitraums nicht auf eine Einwilligungs-E-Mail reagiert? 
Wenn der Kunde nicht auf eine Einwilligungs-E-Mail antwortet, können die Datenverantwortlichen entscheiden, wie lange sie auf eine Antwort warten möchten. Sobald dieser Zeitraum überschritten ist, wird der Status der Datensätze in „nicht beantwortet“ geändert, und die Daten werden nicht verarbeitet. 
23. Wie kann der Datenverantwortliche Datenfelder in Zoho CRM klassifizieren?  
Der Datenverantwortliche hat in Zoho CRM die Möglichkeit, die Felder des Benutzers als personenbezogene und sensible Felder zu markieren. Der Verantwortliche kann auch entscheiden, diese Felder von Aktivitäten wie Exporten, Programmierschnittstellen und anderen verbundenen Services von Zoho CRM auszuschließen. (Books, Finance, Campaigns usw.) 
24. Kann ich Leads und Kontakte nach Grundlage der Datenverarbeitung filtern? 
Ja, Sie können Leads und Kontakte nach Grundlage der Datenverarbeitung filtern.
25. Können betroffene Personen ihre eigenen Daten bearbeiten oder löschen, bevor sie den Datenverantwortlichen ihre Zustimmung geben?  
Ja, betroffene Personen können ihre persönlichen Daten bearbeiten und aktualisieren, indem sie das Recht auf Korrektur (Artikel 16) und das Recht auf Löschung (Artikel 17) ausüben. 
26. Wer kann auf die Compliance-Einstellungen in Zoho CRM zugreifen?
Alle Nutzer mit Administratorprofil können auf die Compliance-Einstellungen in Zoho CRM zugreifen. 
27. Wie oft kann ich die rechtmäßige Grundlage der Datenverarbeitung prüfen? 
Als Datenverantwortlicher sollten Sie regelmäßig die rechtmäßige Grundlage überprüfen, laut der Sie Daten verarbeitet haben. Dies liegt daran, dass sich die rechtmäßige Grundlage, laut der Sie ursprünglich persönliche Daten verarbeitet haben, und der Zweck der Datenerfassung im Laufe der Zeit ändern können.  
28. Meine Daten befinden sich derzeit im US-Rechenzentrum. Wie kann ich, um die GDPR einzuhalten, diese Daten in das EU-Rechenzentrum migrieren? 
Die GDPR legt nicht fest, dass Daten nur innerhalb der Grenzen der EU gespeichert werden dürfen. Sie bietet hervorragende Übertragungsmechanismen für den freien Datenfluss in und aus Ländern außerhalb der EU.
 
Einige dieser Übertragungsmechanismen sind die Binding Corporate Rules (unternehmensweit geltende Richtlinien, Artikel 47), das Privacy Shield und Modellvertragsklauseln. Wenn Sie also über Daten in den USA verfügen (zoho.com) und das Data Processing Addendum (DPA) unterzeichnet haben, sind Ihre Daten sicher. 
 
Das DPA, das auf die EU-Modellvertragsklauseln verweist, unterstützt Sie zudem bei der Übertragung von Daten aus Nicht-EU-Ländern. Wenn Sie uns Ihr aktualisiertes DPA senden möchten, schreiben Sie eine E-Mail an gdpr-compliance@zohocorp.com und geben Sie deutlich an, ob Sie sich bei zoho.com oder zoho.eu angemeldet haben.

Wenn Sie jedoch wirklich Ihre Daten in das EU-Rechenzentrum migrieren möchten, senden Sie eine E-Mail an security@zohocorp.com und nennen Sie alle Dienstleistungen, die Sie gerade verwenden. Diese E-Mail wird dann an die zuständigen Produktteams weitergeleitet.
29. Wo finde ich zusätzliche Ressourcen zur GDPR? 
Hier finden Sie einige Links, die weitere Informationen zur GDPR enthalten.
  • bsi-assurance
  • EU-US-Privacy Shield
  • TRUSTe
  • SOC

Haftungsausschluss: Der hier dargestellte Inhalt darf nicht als Rechtsberatung ausgelegt werden. Wenden Sie sich an Ihren Rechtsberater, um zu erfahren, wie sich die GDPR auf Ihr Unternehmen auswirkt und was Sie tun müssen, um die GDPR einzuhalten.