gdpr-n-allo-800x400

Contact Center und Datenschutz

Contact-Center-GDPR-proofWie Sie Ihr Contact Center DSGVO-konform machen.

Die DSGVO enthält neue, detailliertere Richtlinien im Hinblick auf den Datenschutz. Angesichts der neuen Technologien und Direktmarketing-Anbietern, die in den letzten 10-20 Jahren in Erscheinung traten, war es höchste Zeit für eine Aktualisierung der einschlägigen Rechtsvorschriften. Denn die Gesetzgebung in diesem Bereich war seit 1995 (!) nicht mehr angepasst worden.

GDPR-timeline

Was ist in Bezug auf personenbezogene Daten eigentlich noch erlaubt?

Die sechs wichtigsten persönlichen Grundrechte sind:

  1. Recht auf Zugang zu den erworbenen Daten Eine Person behält das Recht, Daten, die in Bezug auf sie erhoben werden, jederzeit von einem Unternehmen anzufordern.
  2. Recht auf Einspruch Eine Person kann jederzeit Einspruch gegen die Verwendung ihrer personenbezogenen Daten erheben.
  3. Recht auf Berichtigung von Informationen Eine Person kann jederzeit darum ersuchen, personenbezogene Daten anzupassen oder zu berichtigen.
  4. Recht auf Einschränkung der Verarbeitung Eine Person kann jederzeit mitteilen, dass sie die weitere Verarbeitung ihrer Informationen nicht mehr gestattet. Die vorherige Zustimmung kann jederzeit widerrufen werden.
  5. Recht auf Datenübertragbarkeit Eine Person hat jederzeit das Recht, alle erhobenen personenbezogenen Daten in einem übertragbaren Format (pdf, csv, xlsx usw.) zu erhalten.
  6. Recht auf Löschung Dieses dem „Recht auf Vergessenwerden“ gleichgestellte Recht impliziert, dass eine Person eine Organisation jederzeit ersuchen kann, bestimmte oder alle zu ihr erhobenen Daten zu löschen. gdpr-n-allo-six-protections

Diese explizit festgelegten Rechte beinhalten gleichzeitig bestimmte implizite Einschränkungen.

Welche Rolle spielt ein Contact Center, wenn es auf Datenverwaltung ankommt?

Bei Contact Centern ist es häufig so, dass der Großteil der auf operationeller Ebene verarbeiteten Kundendaten nicht dem Contact Center gehört. Eigentümer sind vielmehr Ihre auftraggebenden Kunden. Infolgedessen sind verschiedene Rollen in Betracht zu ziehen. Geht es um die Verwaltung der Daten Ihrer Mitarbeiter und Kontaktdaten, sind Sie Dateneigentümer (Data Owner) und Verantwortlicher (Controller). Geht es jedoch um die Verwaltung der Kundendaten, die Sie von Ihren auftraggebenden Kunden erhalten haben, sind Sie Datenverarbeiter (Data Processor), während die Kunden die tatsächlichen Verantwortlichen und Eigentümer sind. Bleibt die Frage, wie es mit Informationen aussieht, für die Ihnen die Verarbeitung anvertraut wurde und die Sie mit Daten Ihrer Mitarbeiter wieder Ihrem auftraggebenden Kunden zurückgeben. In diesem Fall wird Ihr auftraggebender Kunde Datenverarbeiter Ihres Dateneigentums. Ein weites Feld …
gdpr-overview-contact-center

Unsere geplante Strategie

Wir beschäftigen uns bereits seit März 2017 ausgiebig mit dem Thema DSGVO. Um die Auswirkungen dieser neuen Rechtsvorschriften auf unsere Branche und insbesondere unsere Organisation zu ermitteln, erfolgten zahlreiche Gespräche und externe und interne Schulungen. Unser Team hat sich dabei lange Gedanken darüber gemacht, wie wir auf schlüssige Weise gewährleisten können, dass diese Rechte im Rahmen aller unserer Funktionen (Data Processor, Data Owner, Data Controller) gewahrt werden. Im Hinblick auf unsere auftraggebenden Kunden haben wir einen spezifischen DSGVO-Vertragszusatz entwickelt. Dieser gibt unseren Kunden die Gewissheit, dass wir die Daten ihrer Endnutzer (und der Kunden selbst) auf DSGVO-konforme Weise behandeln. Darüber hinaus haben wir dafür gesorgt, dass auch unsere Personalpolitik vollständig DSGVO-konform ist. So wie viele Menschen für unser Unternehmen arbeiten, arbeiten auch wir für viele Menschen. Dementsprechend gibt es sehr viele Daten, denen wir Rechnung tragen müssen, und viel zu planen und zu organisieren.Contact-Center-GDPR-proof

Die Herausforderung: Wie informieren und sensibilisieren Sie alle Ihre Mitarbeiter?

Da es in unserem Sektor üblich ist, dass Mitarbeiter innerhalb verschiedener Zeitfenster und häufig auch von zu Hause aus arbeiten, mussten wir eine (für uns) effizientere Methode entwickeln als beispielsweise die Veranstaltung von Workshops.

Demgemäß haben wir uns dafür entschieden, für alle Kolleginnen und Kollegen (auf allen Organisationsebenen)
E-Learning-Module zu konzipieren. In dem Video wird schrittweise erläutert, was im Kontext der DSGVO zulässig ist und was nicht. Im Anschluss an das E-Learning-Modul erfolgt ein Test, bei dem eine hohe Punktzahl zu erreichen ist. Beträgt das Ergebnis weniger als 90%, muss das E-Learning-Modul so lange vollständig wiederholt werden, bis der Test erfolgreich bestanden wird. Anschließend wird ein Verhaltenskodex (aus dem hervorgeht, dass Sie die DSGVO-Gesetzgebung durch und durch beherrschen) vorgelegt, der von uns allen unterzeichnet wird.

n-allo-gdpr-conclusion

 

Schlussbetrachtung

Als Contact Center sind Sie neben Data Owner und Controller auch Data Processor. In Bezug auf Kundendaten sind die Data Controller und Owner Ihre auftraggebenden Kunden, während Sie der Data Processor sind. Wenn Sie verarbeitete Daten wieder an Ihre auftraggebenden Kunden zurückgeben, sind Sie der Data Owner und die Kunden der Data Processor. Und wenn es auf Ihre interne Organisation selbst ankommt, sind Sie als Contact Center das vollständige Datenpaket.

Hieraus ergibt sich, dass eine enorme Anstrengung erforderlich ist, um zu gewährleisten, dass Ihr Contact Center vollständig DSGVO-konform arbeitet. Insbesondere ist klarzustellen, wer in welcher Situation welche Funktion wahrnimmt. Sobald dies festgelegt wurde, sind sämtliche Personen innerhalb Ihrer Organisation zu informieren und zu sensibilisieren. Im Anschluss müssen alle Mitarbeiter ihr Engagement zum Ausdruck bringen und verkörpern. Der nächste logische Schritt impliziert die Entwicklung einer Reihe (neuer) Reflexe im Rahmen Ihrer alltäglichen Arbeit. Beispielsweise ist beim Austausch von Datenbeständen ungeachtet der Richtung stets ordnungsgemäß zu dokumentieren, in welcher Weise und aus welchem Grunde diese Daten verwendet werden. Neben einer ebenenübergreifenden Sachkenntnis ist dabei ein gesunder Menschenverstand bereits die halbe Miete.

gdpr-logo-n-allo