CRM-RICHTLINIE
Offenlegung gem. Art. 13 und Art. 14 DSGVO
Diese Seite informiert Sie, wie das Customer Relation Managment System (CRM) auf zentara.work verwendet wird
Letzte Aktualisierung: 1. Juli 2019
Verzeichnis CRM
ZWECK DER DATENVERARBEITUNG: Geschäftskontakt im CRM. Datenverarbeitungen zu vorvertraglichen Maßnahmen und zur Vertragserfüllung.
KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter
KATEGORIEN BETROFFENE PERSONEN: Kunde
TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: SSL, HSTS, Security HTTP Response Headers, CRFS Protection, Clickjacking Protection, kein Seiten-Caching, Honeypot Spam-Abwehr, zeitbasierte Filterung, max. Anzahl an Einsendungen, E-Mail Content-Filter gegenüber Bots, verschlüsselung Verzeichnis, Dedicated Server Systeme, sicherer Entsorgungsprozess, Backup Strategie, United Threat Management, automatische Updates (Firewall, Signaturen, CMS), Sicherung der aktuellen Firewall Konfiguration, Protokollierung, sicherer Umgang mit Sourcecode, Schutz vor Schadsoftware , Off-Site Backup, täglich inkrementelles Backup, Wöchentliche Full Backups, Getrenntes Accounting des Backuptraffics, Monitoring des Backups 24/7, Sicherer Entsorgungsprozess, Verwahrung von Backups in sicherer Umgebung, Verschlüsselung der Backups, Vier-Augen-Prinzip für Backup Wiederherstellung
ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Login, Zugriffsbeschränkung nach Rolle, Schulungen, Awareness Kampagnen, Leitfaden zur Verwendung von Daten, Compliance-Richtlinie, Verzeichnis Verkehrssicherung zentara.work, Verzeichnis Verkehrssicherung auf Systemebene
LÖSCHFRIST: ergänzende Stammdaten ab Ende der Beziehung 1 Jahr
Verzeichnis Geschäftsdokumente
ZWECK DER DATENVERARBEITUNG: Archivierung von Geschäftsdokumenten.
KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter
KATEGORIEN BETROFFENE PERSONEN: Kunde
TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Verschlüsselung Verzeichnis, Mehrschichtige Sicherheitsstruktur (Verschlüsselungs- und Anwendungsdienst, Speicherdienst, Metadatendienst, Benachrichtigungsdienst), Certificate Pinning, Perfect Forward Secrecy (PFS), dezentrale Schlüsselverwaltung, Leseberechtigungsmanagment, Kennwörter mit begrenzter Gültigkeit für freigegebene Dokumente, Zugriffskontrolle, Datenwiederherstellung und Versionslauf, Remote-Löschen, Aktivitätsberichte
ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Sicherheitsrichtlinien (Informationssicherheit, physische Sicherheit, Umgang mit Sicherheitsvorfällen, logischer Zugriff, Zutritt zur Produktionsumgebung, Änderungsmanagement, Support), Zutritt zu den Büroräumen nur durch oder in Begleitung von berechtigten Personen, Zentrale Zutrittsregelung für Büroräume, Brandmeldeanlage, Lagerung von vertraulichen Dokumenten ausschließlich unter Verschluss in abschließbaren und massiven Schränken, Verzeichnis Verkehrssicherung zentara.work, Verzeichnis Verkehrssicherung auf Systemebene, Compliance-Richtlinie, Login, Zugriffsbeschränkung nach Rolle, Anwendungs-, Netzwerk- und andere Sicherheitstests und -Audits, Entwicklungs- und Testsysteme, mandantenfähige Software
LÖSCHFRIST GESCHÄFTSDOKUMENTE: Geschäftsfall ab Ende Vorgang 7 Jahre, Gewährleistung ab Ende Vorgang 4 Jahre, Schadenersatz ab Ende Vorgang 4 Jahre, Kaufpreisfordernis ab Ende Vorgang 4 Jahre, Kernstammdaten CRM ab Ende Beziehung 11 Jahre, Anspruch Arbeitsverhältnis leicht ab Ende Vorgang 1 Jahr, Anspruch Arbeitsverhältnis ab Ende Vorgang 4 Jahre, Lohnsteuer ab Ende Vorgang 7 Jahre, Sozialversicherung ab Ende Vorgang 7 Jahre, Pension ab Ende Vorgang 7 Jahre, Arbeitsunfälle ab Ende Vorgang 7 Jahre, Überlassung von Arbeitskräften ab Ende Vorgang 7 Jahre, Dienstzeugnis ab Ende Beziehung 30 Jahre, ergänzende Stammdaten ab Ende Beziehung 1 Jahr
LÖSCHFRIST E-MAILS: E-Mail Spam ab Ende Vorgang sofort, E-Mail Notizen ab Ende Vorgang 42 Tage, E-Mail Arbeitsunterlagen ab Ende Vorgang 1 Jahr
Kontakt
Verantwortliche
Carola Zentara
Handelskai 206/EG/Atelier, 1020 Wien, Österreich
Kontakt: https://zentara.work/kontakt
Website: https://zentara.work
Wie zentara.work personenbezogene Daten im CRM verwendet
Daten im CRM wurden erlangt durch:
- Berechtigtes Interesse - Visitenkarte
Übergabe einer Visitenkarte zur Kontaktaufnahme - Berechtigtes Interesse - E-Mail / Schriftverkehr
E-Mail oder Schriftverkehr des Betroffenen zur Übermittlung der Daten - Berechtigtes Interesse - persönliches Gespräch
Persönliches Gespräch (Meeting, Telefonat) mit der betroffenen Person - Zuverlässige Veröffentlichung - Webseite / Publikation
Xing, LinkedIn, Webseite des Unternehmens oder Publikation des Unternehmens - Zuverlässige Veröffentlichung - Kontaktliste
Teilnehmerliste einer B2B Veranstaltung, BBG Kundenliste, Ausschreibung, Direktempfehlung
Im CRM wird die Herkunft der Daten dokumentiert.
Nicht bei der betroffenen Person erst-erhobene Daten sind bei der ersten Kontaktaufnahme oder spätestens binnen eines Monats mitzuteilen. Die übermittelten Informationen entsprechen einer Beauskunftung.
Betroffen sind hiervon CRM Einträge, die durch einer „zuverlässige Veröffentlichung” erstmalig erstellt werden:
- Zuverlässige Veröffentlichung - Webseite / Publikation
- Zuverlässige Veröffentlichung - Kontaktliste
Rechtsgrundlagen für die Verarbeitung
Datenerfassung im CRM
- Rechtmäßigkeit der Verarbeitung nach Art. 6, Absatz 1 DSGVO
- Rechtmäßigkeit der Verarbeitung aufgrund eines berechtigten Interesses nach Erwägungsgrund 47 DSGVO
- Rechtmäßigkeit der Verarbeitung aufgrund einer vertraglichen Verpflichtung nach § 9 DSG 2000 und Art. 7 EU-DSRL
- Rechtmäßigkeit der Verarbeitung aufgrund von Veröffentlichung nach § 8 Abs. 2 DSG 2000
- Dokumentation Herkunft der Daten nach Art. 15, Abs. 1g DSGVO
Nicht erlaubte Datenerfassung im CRM
- Verbot der Erfassung sensibler Daten nach § 9 DSG 2000
- Verbot der Erfassung von privaten und geheimen Daten nach § 1 und § 7 DSG 2000
- Verbot der Datenverwendung für andere Zwecke nach § 6 Abs. 1 Z. 1 bis 3 DSG 2000
- Gebot der Datenkorrektur nach § 6 Abs. 1 Z. 4 DSG 2000
- Gebot der Datenlöschung nach § 6 Abs. 1 Z. 5 DSG 2000
Informationspflichten
- Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 Abs. 3 DSGVO
- Informationspflicht, wenn Daten bei der betroffenen Person erhoben wurden nach Art. 13 DSGVO
Aufbewahrungspflicht
- 7 Jahre Aufzeichnungs- und Aufbewahrungspflichten nach §§ 190, 212 UGB
- 10 Jahre Aufzeichnungs- und Aufbewahrungspflichten hinsichtlich Haftungsansprüche nach § 13 PHG
- Entfall des Rechts auf Löschung (Recht auf Vergessenwerden) nach Art. 17, Absatz 3 DSGVO
Personenbezogene Daten, die im CRM erfasst werden
Ergänzende Kundenstammdaten (personenbezogene Daten / CRM Kontakte) werden in einer gesonderten Datenbank verspeichert und sind somit von den Kundenkernstammdaten (Unternehmensdaten / CRM Organisationen) sorgfältig getrennt.
Daten-Kategorie | Datenart und Datenobjekte | |
---|---|---|
Ergänzende Kundenstammdaten | Mitarbeiter | Ausprägung
|
Fristen für die Löschung der erhobenen Daten
Verarbeitungs-Kategorie | Löschklasse | Löschroutine | Startzeitpunkt | Frist |
---|---|---|---|---|
Vertragswesen | ergänzende Stammdaten | Löschung der ergänzenden Stammdaten und damit in Verbindung stehende Geschäftsdokumente. | Ab Ende Beziehung | 1 Jahr |
Kostenersatz
Verarbeitungs-Kategorie | Datenbestand | Kostenersatz |
---|---|---|
ergänzende Stammdaten | aktueller Datenbestand | unentgeltlich |
archivierter Datenbestand | Mindest-Kostenersatz: EUR 18,89 |