Neueste Beiträge
DSGVO-Readiness: CRM

DSGVO in SAP CRM: Erfahrungsbericht Teil 2

  |   SAP CRM

Die DSGVO geht alle an? Wir sagen: Im ersten Step vor allem die Verantwortlichen für CRM-Systeme und -Prozesse. Nirgendwo ist das Sammeln von Kundeninformationen und Verarbeiten in diversen Prozessen so relevant wie im Customer Relationship Management. Auch für uns als IT-Experten steht die Umsetzung der europäischen Datenschutzgrundverordnung im CRM-System im Fokus. Unsere Erfahrungen mit DSGVO in SAP CRM aus den Kundenprojekten: Die Herangehensweise ist ähnlich und unabhängig von Branche oder Firmengröße. So muss anstelle von großen Projekten zunächst mit der gezielten Umsetzung der Kernanforderungen begonnen werden. Was bedeutet das im Detail?

 

 

DSGVO in SAP CRM

 

Die drei relevantesten Themen für die Umsetzung der DSGVO im CRM sind:

  • Auskunft der personenbezogenen Daten
  • Löschen der personenbezogenen Daten
  • Marketing-Einwilligungen

 

Nach einer kurzen Analyse-Phase des CRM-Systems sowie der vorliegenden Daten und Prozesse lässt sich jedes dieser drei Arbeitspakete mit einem Umfang unter 40 Personentagen DSGVO-konform umsetzen. Das gilt beispielsweise auch für das CRM-System von SAP. Vor allem im SAP CRM 7.0 System, welches trotz des Trends der letzten Jahre in die Cloud zu gehen immer noch in vielen großen deutschen und internationalen Unternehmen genutzt wird, müssen die drei genannten Anforderungen individuell umgesetzt werden. Fakt ist: Mit den vorhandenen Customizing-Möglichkeiten innerhalb des Standards lassen sich diese Anforderungen nicht umsetzen. Bei einem so komplexen und undurchschaubaren Thema wie „DSGVO in SAP CRM“ ist der pragmatische Ansatz und das schrittweise Vorgehen entscheidend.

 

 

1. Auskunft zu personenbezogenen Daten

 

Das erste Arbeitspaket „Auskunft zu personenbezogenen Daten“ muss zunächst unter dem Aspekt fachlicher Prozess beleuchtet werden. Der Kunde möchte wissen, welche seiner personenbezogenen Daten beim Unternehmen gespeichert werden. Das heißt solche Anfragen werden im Customer Service zentral gesammelt und müssen innerhalb von wenigen Tagen bearbeitet werden. Folgende Punkte werden aus technischer Sicht benötigt, um dies im SAP CRM zu realisieren:

 

  • Kundensuche
  • Button „Datenauskunft“
  • Übersichtliche Ausgabe der relevanten Informationen
  • Versenden der angefragten Information an den Kunden
  • Dokumentation der Bearbeitung dieser Anfrage

 

Für die Kundensuche empfehlen wir die Standard-Kundensuchmaske im SAP CRM WebUI. In der Kunden-Detailansicht wird ein neuer Button platziert, hinter welchem die Funktionalität der Datenauskunft implementiert wird. Klickt ein User auf diesen Button, sammelt der implementierte Algorithmus alle relevanten personenbezogenen Kundendaten im CRM System und liefert diese zurück. Aufgrund des Datenschutzes darf diese Funktionalität nicht jedem Anwender zur Verfügung gestellt werden. Die Verwendung des Buttons lässt sich sehr gut durch eine individuelle Berechtigungsgruppe mit speziellen Authorisations steuern.

 

Um die Daten in einer geeigneten und übersichtlichen Form zu verschicken, wird ein SAP-Formular verwendet. An dieser Stelle kann man auch den Account-Factsheet-Formular nehmen und mit etwas Anpassung verwenden. Somit stehen alle notwendigen und relevanten Informationen in einem PDF Dokument zur Verfügung. Welche Informationen in das Dokument aufgenommen werden hängt von den im CRM System gesammelten Daten ab. Die genauen Datenfelder werden in einem gemeinsamen Workshop bestimmt so wie das entsprechende Layout des Dokumentes festgelegt.

 

Das PDF-Dokument lässt sich direkt an den Kunden verschicken, wobei wir einen Mailversand direkt aus dem CRM-System empfehlen. In diesem Fall wird die Aktivität im CRM System hinterlegt und kann bei Bedarf zu Reportingzwecken verwendet werden.

 

 

2. Löschen der personenbezogenen Daten

 

Nachdem der Kunde eine Auskunft über die gespeicherten personenbezogenen Daten erhalten hat, kann er die Löschung seiner Daten anfordern. Hierfür verwenden  wir im System wieder die gleiche Berechtigungsgruppe und steigen in diesen Prozess ebenfalls auf der Kunden-Detailmaske im WebUI ein. Hier wird ein neuer Button definiert, hinter welchem sich der entsprechende Algorithmus befindet. Wir empfehlen die Daten nicht zu löschen, sondern zu anonymisieren. Dabei sollte man nur die Daten verfremden, mit welchen sich die Identität der Person feststellen lässt.  Zum Beispiel müssen Postleitzahl und Ort nicht geändert werden, wenn man die Straße und die Hausnummer anonymisiert hat. Denn ohne Straße und Hausnummer lässt sich keine eindeutige und personenbezogene Adresse feststellen. Auch bei den anderen Angaben ist die Vorgehensweise vergleichbar. Löscht man den Vornamen und den Nachnamen, so muss das Geschlecht nicht entfernt werden. Auch das Geburtsdatum wird vor dem Löschen in das Alter umgewandelt und als Merkmal geschrieben, denn ohne weitere Angaben ist das Alter einer Person nicht personenbezogen.

 

Die wichtigsten Fakten im Überblick:

  1. Bei der Verfremdung der Daten geht es darum, dass man die verbliebenen Informationen weiterhin für gewisse Analysezwecken nutzen kann.
  2. Das Anonymisieren der Daten kann auch über die Systemgrenzen hinaus erfolgen. Dies kann über diverse Webservices oder RFC-Aufrufe implementiert werden.
  3. Die Verfremdung der personenbezogenen Daten eines Accounts wird ebenfalls in einem entsprechenden Vorgang festgehalten und kann nachvollzogen werden. Dabei ist es wichtig, dass im Anschluss auch die History-Daten verfremdet werden sollen.
  4. Als Information Richtung Kunde empfehlen wir eine Mail, welche vor dem Verfremden der Daten verschickt wird. Als Inhalt dieser Mail sollte der Kunde darauf hingewiesen werden, dass seine personenbezogenen Daten wunschgemäß in den nächsten X Tagen vollständig gelöscht werden.
  5. An dieser Stelle ist zu erwähnen, dass man zusätzlich eine systemweite Verfremdung der personenbezogenen Daten implementieren sollte. Dieser Report soll nach jeder System-Kopie im Entwicklungssystem oder Testsystem ausgeführt werden. Denn die Verfremdung der Daten bezieht sich nicht nur auf das Produktivsystem, sondern davon sind alle System-Instanzen betroffen.
  6. Für die Verfremdung der Vornamen und Nachnamen sowie der E-Mail-Adressen greifen wir mit Random-Prinzip auf die hinterlegten Listen mit den häufigsten Vor- und Nachnamen. Am Ende wird der Datensatz zum Archivieren vorgemerkt und für die nächste Datenarchivierung eingeplant.

 

 

3. Marketing-Einwilligungen

 

Im SAP CRM System lassen sich die Marketing Einwilligungen im Standard hinterlegen, wobei nicht alle notwendigen Felder für die Speicherung der Informationen zur Verfügung stehen. Die Erweiterung der entsprechenden Tabelle und WebUI-View lässt sich ohne größere Aufwände realisieren. Die Implementierung des Double-Opt-In Prozesses ist dagegen etwas aufwändiger. Existiert bereits ein Double-Opt-In Prozess im Unternehmen, kann dieser mit SAP CRM technisch integriert werden. Dabei werden die Einwilligungen in SAP CRM abgelegt und in den Segmentierung- und Kampagnenmanagement-Prozessen berücksichtigt. Da weder SAP CRM On-Premise noch SAP Cloud for Customer einen Douple-Opt-In-Prozess im Standard abbildet, müssen einige Prozess-Schritte außerhalb von SAP realisiert werden. Die nachfolgende Skizze zeigt eine grobe Übersicht:

 

DSGVO in SAP CRM

 

 

Wir empfehlen, die personenbezogenen Daten erst nach einer vorliegenden Marketing-Einwilligung im SAP CRM System zu speichern. Alle notwendigen Zusatzinformationen zu der Einwilligung, wie Timestamp, Channel, E-Mail, etc., um die Daten DSGVO-konform verarbeiten zu dürfen, sollen ebenfalls zentral in SAP CRM gespeichert werden. In den Folgeprozessen des Kampagnenmanagements und bei der Segmentierung werden die vorliegenden Einwilligungen standardmäßig berücksichtigt.

 

 

DSGVO in SAP CRM: Fazit

 

Mit der Umsetzung dieser drei Kernpunkte aus der europäischen Datenschutzgrundverordnung (EU-DSGVO) sind zwar noch nicht alle Vorgaben in Detail erfüllt, jedoch die wichtigsten Anforderungen für eine DSGVO-Konformität des CRM-Systems umgesetzt. So kann nicht nur auf die Anfragen zur Auskunft innerhalb kürzester Zeit reagiert, sondern auf Wunsch die personenbezogenen Daten mit einem Klick innerhalb des CRM-Systems gelöscht werden. Mit einem sauberen DoI-Prozess und einer zentralen Speicherung sowie Verarbeitung der Marketingeinwilligungen im CRM-System wird auch der Eingang sowie die Nutzung der personenbezogenen Daten systemseitig DSGVO-konform unterstützt.

 

Mit der Umsetzung dieser drei zentralen Anforderungen der europäischen Datenschutzvorordnung sollte jedes Unternehmen beginnen. Die drei Themen lassen sich gut voneinander trennen und können auch separat angegangen werden.

 

Kontaktieren Sie uns für weitere Fragen und vereinbaren Sie noch heute einen Termin zu diesem Thema.

 

Ihr Ansprechpartner

Sergej Plovs

Managing Director
M +49 151 4612 4767

sergej.plovs@visioneleven.com

 

Weitere Posts zum Thema DSGVO

 

DSGVO-Readiness: Erfahrungsbericht Teil 1