CRM-Richtlinie

CRM-RICHTLINIE

Offenlegung gem. Art. 13 und Art. 14 DSGVO

Diese Seite informiert Sie, wie das Customer Relation Managment System (CRM) auf zentara.work verwendet wird
Letzte Aktualisierung: 1. Juli 2019
Verzeichnis CRM

ZWECK DER DATENVERARBEITUNG: Geschäftskontakt im CRM. Datenverarbeitungen zu vorvertraglichen Maßnahmen und zur Vertragserfüllung.

KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter

KATEGORIEN BETROFFENE PERSONEN: Kunde

TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: SSL, HSTS, Security HTTP Response Headers, CRFS Protection, Clickjacking Protection, kein Seiten-Caching, Honeypot Spam-Abwehr, zeitbasierte Filterung, max. Anzahl an Einsendungen, E-Mail Content-Filter gegenüber Bots, verschlüsselung Verzeichnis, Dedicated Server Systeme, sicherer Entsorgungsprozess, Backup Strategie, United Threat Management, automatische Updates (Firewall, Signaturen, CMS), Sicherung der aktuellen Firewall Konfiguration, Protokollierung, sicherer Umgang mit Sourcecode, Schutz vor Schadsoftware , Off-Site Backup, täglich inkrementelles Backup, Wöchentliche Full Backups, Getrenntes Accounting des Backuptraffics, Monitoring des Backups 24/7, Sicherer Entsorgungsprozess, Verwahrung von Backups in sicherer Umgebung, Verschlüsselung der Backups, Vier-Augen-Prinzip für Backup Wiederherstellung

ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Login, Zugriffsbeschränkung nach Rolle, Schulungen, Awareness Kampagnen, Leitfaden zur Verwendung von Daten, Compliance-Richtlinie, Verzeichnis Verkehrssicherung zentara.work, Verzeichnis Verkehrssicherung auf Systemebene

LÖSCHFRIST: ergänzende Stammdaten ab Ende der Beziehung 1 Jahr

Verzeichnis Geschäftsdokumente

ZWECK DER DATENVERARBEITUNG: Archivierung von Geschäftsdokumenten.

KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter

KATEGORIEN BETROFFENE PERSONEN: Kunde

TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Verschlüsselung Verzeichnis, Mehrschichtige Sicherheitsstruktur (Verschlüsselungs- und Anwendungsdienst, Speicherdienst, Metadatendienst, Benachrichtigungsdienst), Certificate Pinning, Perfect Forward Secrecy (PFS), dezentrale Schlüsselverwaltung, Leseberechtigungsmanagment, Kennwörter mit begrenzter Gültigkeit für freigegebene Dokumente, Zugriffskontrolle, Datenwiederherstellung und Versionslauf, Remote-Löschen, Aktivitätsberichte

ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Sicherheitsrichtlinien (Informationssicherheit, physische Sicherheit, Umgang mit Sicherheitsvorfällen, logischer Zugriff, Zutritt zur Produktionsumgebung, Änderungsmanagement, Support), Zutritt zu den Büroräumen nur durch oder in Begleitung von berechtigten Personen, Zentrale Zutrittsregelung für Büroräume, Brandmeldeanlage, Lagerung von vertraulichen Dokumenten ausschließlich unter Verschluss in abschließbaren und massiven Schränken, Verzeichnis Verkehrssicherung zentara.work, Verzeichnis Verkehrssicherung auf Systemebene, Compliance-Richtlinie, Login, Zugriffsbeschränkung nach Rolle, Anwendungs-, Netzwerk- und andere Sicherheitstests und -Audits, Entwicklungs- und Testsysteme, mandantenfähige Software

LÖSCHFRIST GESCHÄFTSDOKUMENTE: Geschäftsfall ab Ende Vorgang 7 Jahre, Gewährleistung ab Ende Vorgang 4 Jahre, Schadenersatz ab Ende Vorgang 4 Jahre, Kaufpreisfordernis ab Ende Vorgang 4 Jahre, Kernstammdaten CRM ab Ende Beziehung 11 Jahre, Anspruch Arbeitsverhältnis leicht ab Ende Vorgang 1 Jahr, Anspruch Arbeitsverhältnis ab Ende Vorgang 4 Jahre, Lohnsteuer ab Ende Vorgang 7 Jahre, Sozialversicherung ab Ende Vorgang 7 Jahre, Pension ab Ende Vorgang 7 Jahre, Arbeitsunfälle ab Ende Vorgang 7 Jahre, Überlassung von Arbeitskräften ab Ende Vorgang 7 Jahre, Dienstzeugnis ab Ende Beziehung 30 Jahre, ergänzende Stammdaten ab Ende Beziehung 1 Jahr

LÖSCHFRIST E-MAILS: E-Mail Spam ab Ende Vorgang sofort, E-Mail Notizen ab Ende Vorgang 42 Tage, E-Mail Arbeitsunterlagen ab Ende Vorgang 1 Jahr

Kontakt
Verantwortliche

Carola Zentara
Handelskai 206/EG/Atelier, 1020 Wien, Österreich

Kontakt: https://zentara.work/kontakt
Website: https://zentara.work

Wie zentara.work personenbezogene Daten im CRM verwendet

Daten im CRM wurden erlangt durch:

  • Berechtigtes Interesse - Visitenkarte
    Übergabe einer Visitenkarte zur Kontaktaufnahme
  • Berechtigtes Interesse - E-Mail / Schriftverkehr
    E-Mail oder Schriftverkehr des Betroffenen zur Übermittlung der Daten
  • Berechtigtes Interesse - persönliches Gespräch
    Persönliches Gespräch (Meeting, Telefonat) mit der betroffenen Person
  • Zuverlässige Veröffentlichung - Webseite / Publikation
    Xing, LinkedIn, Webseite des Unternehmens oder Publikation des Unternehmens
  • Zuverlässige Veröffentlichung - Kontaktliste
    Teilnehmerliste einer B2B Veranstaltung, BBG Kundenliste, Ausschreibung, Direktempfehlung

Im CRM wird die Herkunft der Daten dokumentiert.

Nicht bei der betroffenen Person erst-erhobene Daten sind bei der ersten Kontaktaufnahme oder spätestens binnen eines Monats mitzuteilen. Die übermittelten Informationen entsprechen einer Beauskunftung.
Betroffen sind hiervon CRM Einträge, die durch einer „zuverlässige Veröffentlichung” erstmalig erstellt werden:

  • Zuverlässige Veröffentlichung - Webseite / Publikation
  • Zuverlässige Veröffentlichung - Kontaktliste
Rechtsgrundlagen für die Verarbeitung

Datenerfassung im CRM

  • Rechtmäßigkeit der Verarbeitung nach Art. 6, Absatz 1 DSGVO
  • Rechtmäßigkeit der Verarbeitung aufgrund eines berechtigten Interesses nach Erwägungsgrund 47 DSGVO
  • Rechtmäßigkeit der Verarbeitung aufgrund einer vertraglichen Verpflichtung nach § 9 DSG 2000 und Art. 7 EU-DSRL
  • Rechtmäßigkeit der Verarbeitung aufgrund von Veröffentlichung nach § 8 Abs. 2 DSG 2000
  • Dokumentation Herkunft der Daten nach Art. 15, Abs. 1g DSGVO

Nicht erlaubte Datenerfassung im CRM

  • Verbot der Erfassung sensibler Daten nach § 9 DSG 2000
  • Verbot der Erfassung von privaten und geheimen Daten nach § 1 und § 7 DSG 2000
  • Verbot der Datenverwendung für andere Zwecke nach § 6 Abs. 1 Z. 1 bis 3 DSG 2000
  • Gebot der Datenkorrektur nach § 6 Abs. 1 Z. 4 DSG 2000
  • Gebot der Datenlöschung nach § 6 Abs. 1 Z. 5 DSG 2000

Informationspflichten

  • Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 Abs. 3 DSGVO
  • Informationspflicht, wenn Daten bei der betroffenen Person erhoben wurden nach Art. 13 DSGVO

Aufbewahrungspflicht

  • 7 Jahre Aufzeichnungs- und Aufbewahrungspflichten nach §§ 190, 212 UGB
  • 10 Jahre Aufzeichnungs- und Aufbewahrungspflichten hinsichtlich Haftungsansprüche nach § 13 PHG
  • Entfall des Rechts auf Löschung (Recht auf Vergessenwerden) nach Art. 17, Absatz 3 DSGVO
Personenbezogene Daten, die im CRM erfasst werden

Ergänzende Kundenstammdaten (personenbezogene Daten / CRM Kontakte) werden in einer gesonderten Datenbank verspeichert und sind somit von den Kundenkernstammdaten (Unternehmensdaten / CRM Organisationen) sorgfältig getrennt.

Daten-KategorieDatenart und Datenobjekte
Ergänzende KundenstammdatenMitarbeiterAusprägung
  • Position, Titel, Name
  • Telefon
  • E-Mail
  • Link
  • Notiz
  • Herkunft der Daten
Fristen für die Löschung der erhobenen Daten
Verarbeitungs-KategorieLöschklasseLöschroutineStartzeitpunktFrist
Vertragswesenergänzende StammdatenLöschung der ergänzenden Stammdaten und damit in Verbindung stehende Geschäftsdokumente.Ab Ende Beziehung1 Jahr
Kostenersatz
Verarbeitungs-KategorieDatenbestandKostenersatz
ergänzende Stammdatenaktueller Datenbestandunentgeltlich
archivierter DatenbestandMindest-Kostenersatz: EUR 18,89

ZURÜCK ZUR DATENSCHUTZ-SEITE