Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit & Compliance

Salesforce Analytics für DSGVO-Compliance

DSGVO-Compliance kann für jede Menge Stress sorgen. Dieser Leitfaden zeigt anhand gängiger Anwendungsfälle, wie man Salesforce Analytics verwenden kann, um die Bestimmungen der DSGVO einzuhalten.
Renganathan Padmanabhan
4 minute gelesen
Letzte aktualisierung 5. Oktober 2023

Inhalt

    272 Millionen Euro.

    Das ist die Gesamtsumme an Bußgeldern, die von der Europäischen Union wegen Nichteinhaltung der DSGVO, Datenschutzverletzungen und Datenlecks seit der Einführung der DSGVO im Mai 2018 gegen Unternehmen verhängt wurden. Es überrascht also nicht, dass sowohl große als auch kleinere Unternehmen enorm viel Zeit und Ressourcen in ihre IT-Systeme investiert haben, um sicherzustellen, dass sie auch die strengsten DSGVO-Vorschriften erfüllen. Ein großer Teil dieser Investitionen wird darauf verwendet, die einzige „Source of Truth“, zu Dt. Quelle der Wahrheit, für Kundendaten im gesamten IT-System zu sichern und zu verwalten. Angesichts der Entwicklung der Märkte in den Jahren 2020 und 2021 handelt es sich dabei in der Regel um Salesforce.

    Wenn Sie Salesforce als CRM nutzen und nach Informationen dazu suchen, wie Sie Ihre DSGVO-Compliance im Jahr 2021 verbessern können, ist dieser Leitfaden genau das Richtige für Sie. Wir zeigen Ihnen, wie Salesforce Analytics Ihren Kunden Vertrauen bezüglich der verantwortungsbewussten Speicherung und Verarbeitung ihrer Daten vermitteln kann.

    Ist Salesforce DSGVO-konform?

    Die kurze Antwort: auf jeden Fall.

    Als designierter Verarbeiter von Kundendaten bietet Salesforce umfassende Kontrollen zur Bearbeitung von Datenanfragen und zur sicheren Verwaltung von Daten für alle Geschäftsprozesse während des gesamten Kundenlebenszyklus. Darüber hinaus bietet Salesforce einen robusten Zusatz zur Datenverarbeitung an, der die Rahmenbedingungen für die Datenübertragung für EU-genehmigte Datenschutzrichtlinien abdeckt.

    Aber obwohl Salesforce als Plattform all diese Zusicherungen zur DSGVO-Compliance bietet, liegt es letztendlich an Ihnen als Unternehmen, die Verantwortung für die Unantastbarkeit der Kundendaten zu tragen. Das bedeutet auch, dass sich Ihre Verantwortung auf alle Ihre IT-Systeme erstreckt, und ebenso darauf, wie Ihre verschiedenen Partner und Kundenteams ihre Geschäftsprozesse für den Umgang mit diesen Daten organisieren.

    Werfen wir nun einen eingehenden Blick auf die verschiedenen Aspekte der DSGVO-Compliance in Bezug auf die Kundendaten während der gesamten Journey bei einem Unternehmen. Es gibt drei Aspekte des Online-Erlebnisses eines Kunden, die Unternehmen ggf. benötigen, um Kundendaten zu verwalten:

    Als Besucher

    In dieser Phase möchte der Kunde mehr über ein Unternehmen erfahren. Die DSGVO schreibt vor, dass wir die folgenden Vorschriften einhalten:

    Einwilligung: Stellen Sie sicher, dass es eine formale Möglichkeit gibt, die Einwilligung eines Kunden zur Sammlung und Aufzeichnung von Kundendaten anzufordern und aufzuzeichnen.

    Sicherheit und Transparenz: Sorgen Sie dafür, dass ehrlich offengelegt wird, zu welchem Zweck und mit welchen Mitteln welche Kundendaten aufgezeichnet werden, mit sicheren Zugriffsmethoden für diese Daten.

    Als Kunde/wiederkehrender Besucher

    In dieser Phase interagiert der Kunde als regelmäßiger Besucher, als Interessent oder als Bestandskunde Ihres Unternehmens. Die DSGVO schreibt vor, dass wir die folgenden Vorschriften einhalten:

    Zugang zu Informationen: Kunden sollten das Recht haben, innerhalb eines Zeitfensters von 30 Tagen auf ihre Daten zuzugreifen und zu sehen, was aufgezeichnet und gespeichert wird.

    Datenwidersprüche und -änderungen: Kunden können Widersprüche dagegen einreichen, wie ihre Daten verwendet werden, und von Ihnen verlangen, dass fehlerhafte Informationen korrigiert werden.

    Benachrichtigungen: Kunden müssen benachrichtigt werden, wenn ihre Daten im Rahmen eines Datenlecks offengelegt wurden, und zwar innerhalb von 72 Stunden nach Bestätigung des Datenlecks.

    Als ehemaliger/inaktiver Kunde

    Recht auf Vergessenwerden: Kunden haben die Möglichkeit, ihre Kundendaten auf eigenen Wunsch, Ihre Verbindung mit dem Unternehmen zu beenden, löschen zu lassen.

    Datenportabilität: Kunden könnten das Unternehmen auffordern, alle ihre Daten in Form von Anfragen zu exportieren.

    Verwendung von Salesforce Analytics für DSGVO-Compliance

    Im vorherigen Abschnitt haben wir die verschiedenen Aspekte der DSGVO-Compliance für den Zugriff, die Speicherung und die Verwaltung von Kundendaten über die gesamte Journey hinweg betrachtet. Schauen wir uns nun an, wie Salesforce Analytics uns helfen kann, die DSGVO-Vorschriften für jeden dieser Schritte einzuhalten.

    Verwalten von Einwilligungen in Salesforce

    Mit Salesforce können Sie die Anfragen von Personen bezüglich der Verwendung ihrer Daten durch Ihr Unternehmen erfüllen. Die Salesforce-Plattform unterstützt die DSGVO und länderspezifische Datenschutzgesetze wie CCPA in den Vereinigten Staaten oder CASL in Kanada. Die häufigsten Anwendungsfälle sind die Implementierung von Datenschutzeinstellungen zur Verwaltung des Kundendatenschutzes in Form von Consent Management Objects (zu Dt. Objekte zur Einwilligungsverwaltung).

    Mithilfe dieser Objekte können wir Details zur Autorisierungsprüfung festlegen und Kommunikationsmethoden für Kunden verwalten, über die sie Einwilligungsgenehmigungen und Kommunikationspräferenzen übermitteln können. Anhand dieser Objekte können dann z. B. die spezifischen Kundeneinstellungen den Versand von E-Mails oder die Weitergabe von Kundendaten unterbinden.

    Optionen für die Erfassung von Einwilligungen innerhalb eines Salesforce-Ablaufs

    Einschränkung der Datenverarbeitung für die Salesforce-Plattform

    Salesforce Analytics kann Ihnen dabei helfen, die Anzahl der Aktionen einzuschränken, die Sie zum Schutz und zur Aufbewahrung von Kundendaten durchführen müssen, um die DSGVO einzuhalten. Als Unternehmen können Sie Kundendaten exportieren, sichern und mit Anmerkungen versehen, um die Verarbeitung von Änderungen an diesen Daten anzuhalten, falls die Situation es erfordert. Die Salesforce-Plattform ermöglicht dies in Form von Datenexportoptionen und auch programmatisch in Form von Restrict Contact APIs (zu Dt. Kontaktbeschränkungs-APIs).

    REST-API-Beispiel zur Einschränkung der Verarbeitung bestimmter Kontakt-IDs

    Praktisch gebraucht wird das beispielsweise bei juristischen Verfahren und bei Ungenauigkeiten in den Daten seitens des Kunden, die uns daran hindern, mit diesen Daten zu arbeiten, bis diese Probleme gelöst wurden.

    Ändern und Löschen von Kundendaten

    Mit Salesforce können Sie überall dort DSGVO-Konformität wahren, wo Sie per Mandat verpflichtet sind, Daten auf Kundenanfrage bzw. wenn Sie sie nicht mehr benötigen, zu ändern und zu löschen. Typische Anwendungsfälle sind Datensätze von vergangenen Benutzern oder Mitarbeitern, alte Sitzungsdetails, Logs und Empfehlungsdaten.

    Salesforce kann Ihr Unternehmen bei der Compliance in diesen Szenarien unterstützen, indem es die REST-APIs aktiviert, um alle solchen Kontexte, Orchestrationen und Empfehlungsreaktionen aus den Kundendaten zu finden und entsprechende Maßnahmen zu ergreifen, indem diese Daten exportiert oder gelöscht werden. Salesforce bietet eine Vielzahl von Aktionen zum Ändern und Löschen von Daten in folgenden Szenarien:

    • Löschen aller sensiblen Daten aus der Produktionsorganisation und der Sandbox
    • Deaktivierung von Community- oder Chatter-Benutzerkonten auf Anfrage
    • Löschen von Orchestrierungsinstanzen, die Kundendaten enthalten
    • Löschung aller mit einem Kunden oder Admin verbundenen Daten ermöglichen

    REST-API-Beispiel zum Abrufen und Löschen von Empfehlungsreaktionsdaten

    Datenportabilität in Salesforce ermöglichen

    Die DSGVO verlangt von Unternehmen, dass sie ihren Kunden die Möglichkeit bieten, alle ihre Daten zu exportieren. Die Salesforce-Plattform bietet Datenübertragbarkeit in Form einer Portabilitäts-API, die alle mit dem Kunden verbundenen Objekte erkennt und anzeigt, einschließlich Objekte, die Daten mit personenbezogenen Informationen (PII) repräsentieren. Sobald wir diese Richtlinie aktiviert haben, bietet die API Links, über die Ihre Kunden ihre Daten sicher herunterladen und exportieren können.

    Beispiel zum Anzeigen und Auswählen von identifizierbaren Feldern im Kontaktobjekt

    Um automatische Löschungen über Richtliniendurchsetzung zu aktivieren, können Sie mit der neuesten Plattformversion (Frühjahr 2021) auch rechtzeitig Erinnerungen empfangen und Kundendaten, die von dieser API generiert wurden, nach 60 Tagen automatisch löschen.

    Salesforce DSGVO-Compliance: Aktive Verantwortung

    Diese Kontrollmöglichkeiten auf der Salesforce-Plattform sind nur eine von vielen Maßnahmen, um den Datenschutz für Ihre Kunden zu gewährleisten. Wir wissen, dass die Einhaltung strenger Vorschriften in Bezug auf die DSGVO-Compliance oftmals sehr anspruchsvoll ist. Diese Kontrollen sind jedoch ein wesentlicher Schritt, um die Compliance zu gewährleisten und den wichtigsten Bestandteil Ihres Unternehmens zu schützen: Ihre Kunden.

    In einer Welt, in der jeden Tag Datenlecks auftreten und durch den Diebstahl von Kundendaten Millionen von Dollar an Schäden anfallen können, ist guter Datenschutz eine absolute Notwendigkeit. Varonis ist führend bei der Gewährleistung von Datenschutz und -sicherheit, mit fundiertem Fachwissen bei der Bereitstellung umfassender Compliance-Lösungen für die DSGVO.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Renganathan Padmanabhan

    Renga ist Produktmanager und Digital Experience Leader mit 15 Jahren Erfahrung in der Technologiebranche. Er schreibt ausschließlich über Produkte, Design, Technologie und Inhalte auf www.rengawrites.com. Die Inhalte und Ansichten, die er äußert, sind seine eigenen und spiegeln nicht unbedingt die Ansichten seines Arbeitgebers wider.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    was-ist-data-governance?-framework-und-best-practices
    Was ist Data Governance? Framework und Best Practices
    was-ist-data-governance?-framework-und-best-practices
    David Harrington
    22. Juli 2022
    Data Governance unterstützt die Organisation, Sicherung und Standardisierung von Daten für verschiedene Organisationen. Erfahren Sie hier mehr über Data-Governance-Frameworks.
    was-ist-das-nist-framework-für-cybersecurity?
    Was ist das NIST-Framework für Cybersecurity?
    was-ist-das-nist-framework-für-cybersecurity?
    Josue Ledesma
    13. Juni 2022
    Erfahren Sie, wie Sie das NIST-Framework für Cybersecurity in Ihrer eigenen Organisation umsetzen können.
    einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
    Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen
    einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
    David Harrington
    20. Oktober 2021
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
    Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste
    die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
    David Harrington
    29. September 2021
    Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) tritt bald in Kraft. Bereiten Sie sich mit unserer PCI-DSS-Compliance-Checkliste vor.