CRM RICHTLINIE
Offenlegung gem. Art. 13 und Art. 14 DSGVO


Wie es bei fast allen professionellen Servicediensten üblich ist, nutzt Postserver ein Customer Relation Managment System (CRM) für Großkunden-Kontakte.

Postserver achtet darauf, personenbezogene Daten in Einklang mit allen anwendbaren europäischen und österreichischen Rechtsvorschriften zu verarbeiten. Diese Seite beschreibt Art, Umfang, Zweck der Erhebung, Verwendung und Verarbeitung von personenbezogenen Daten im Rahmen des Postserver Kundenmanagments.

Verzeichnis CRM

ZWECK DER DATENVERARBEITUNG: Geschäftskontakt im CRM. Datenverarbeitungen zu vorvertraglichen Maßnahmen und zur Vertragserfüllung.

KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter

KATEGORIEN BETROFFENE PERSONEN: Kunde

TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: SSL, HSTS, Security HTTP Response Headers, CRFS Protection, Clickjacking Protection, kein Seiten-Caching, Honeypot Spam-Abwehr, zeitbasierte Filterung, max. Anzahl an Einsendungen, E-Mail Content-Filter gegenüber Bots, verschlüsselung Verzeichnis, Dedicated Server Systeme, sicherer Entsorgungsprozess, Backup Strategie, United Threat Management, automatische Updates (Firewall, Signaturen, CMS), Sicherung der aktuellen Firewall Konfiguration, Protokollierung, sicherer Umgang mit Sourcecode, Schutz vor Schadsoftware , Off-Site Backup, täglich inkrementelles Backup, Wöchentliche Full Backups, Getrenntes Accounting des Backuptraffics, Monitoring des Backups 24/7, Sicherer Entsorgungsprozess, Verwahrung von Backups in sicherer Umgebung, Verschlüsselung der Backups, Vier-Augen-Prinzip für Backup Wiederherstellung

ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Login, Zugriffsbeschränkung nach Rolle, Schulungen, Awareness Kampagnen, Leitfaden zur Verwendung von Daten, Compliance-Richtlinie, Verzeichnis Verkehrssicherung Postserver, Verzeichnis Verkehrssicherung auf Systemebene

LÖSCHFRIST: ergänzende Stammdaten ab Ende der Beziehung 1 Jahr


Verzeichnis Geschäftsdokumente

ZWECK DER DATENVERARBEITUNG: Filehosting und Archivierung von Geschäftsdokumenten.

KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter, Mitarbeiter, Infrastrukturadministrator Cloud

KATEGORIEN BETROFFENE PERSONEN: Kunde

ZERTIFIZIERUNGEN CLOUD: ISO 27001 Zertifizierung, ISO 27017 Zertifizierung, ISO 27018 Zertifizierung, ISO 22301 Zertifizierung, EU-US Privacy und Swiss-US Privacy Shield, Cloud Security Alliance (CSA Star), SOC-Berichte, BSI-Anforderungskatalog (C5)

ZERTIFIZIERUNGEN E-MAIL: ISO 27001 Zertifizierung, MCP-Zertifizierung, MCTS-Zertifizierung, MCSE-Zertifizierung, MCSD-Zertifizierung, ITIL-Zertifizierung, PMP-Zertifizierung, VCP-Zertifizierung, VTSP- Zertifizierung, VTSP- Zertifizierung, CAP-Zertifizierung, CCA-Zertifizierung, CSSA-Zertifizierung

TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Verschlüsselung Verzeichnis, Mehrschichtige Sicherheitsstruktur (Verschlüsselungs- und Anwendungsdienst, Speicherdienst, Metadatendienst, Benachrichtigungsdienst), Certificate Pinning, Perfect Forward Secrecy (PFS), dezentrale Schlüsselverwaltung, Leseberechtigungsmanagment, Kennwörter mit begrenzter Gültigkeit für freigegebene Dokumente, Zugriffskontrolle, Datenwiederherstellung und Versionslauf, Remote-Löschen, Aktivitätsberichte

ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Sicherheitsrichtlinien (Informationssicherheit, physische Sicherheit, Umgang mit Sicherheitsvorfällen, logischer Zugriff, Zutritt zur Produktionsumgebung, Änderungsmanagement, Support), Zutritt zu den Büroräumen nur durch oder in Begleitung von berechtigten Personen, Zentrale Zutrittsregelung für Büroräume, Brandmeldeanlage, Lagerung von vertraulichen Dokumenten ausschließlich unter Verschluss in abschließbaren und massiven Schränken, Verzeichnis Verkehrssicherung Postserver, Verzeichnis Verkehrssicherung auf Systemebene, Compliance-Richtlinie, Login, Zugriffsbeschränkung nach Rolle, Anwendungs-, Netzwerk- und andere Sicherheitstests und -Audits, Entwicklungs- und Testsysteme, mandantenfähige Software

LÖSCHFRIST GESCHÄFTSDOKUMENTE: Geschäftsfall ab Ende Vorgang 7 Jahre, Gewährleistung ab Ende Vorgang 4 Jahre, Schadenersatz ab Ende Vorgang 4 Jahre, Kaufpreisfordernis ab Ende Vorgang 4 Jahre, Kernstammdaten CRM ab Ende Beziehung 11 Jahre, Anspruch Arbeitsverhältnis leicht ab Ende Vorgang 1 Jahr, Anspruch Arbeitsverhältnis ab Ende Vorgang 4 Jahre, Lohnsteuer ab Ende Vorgang 7 Jahre, Sozialversicherung ab Ende Vorgang 7 Jahre, Pension ab Ende Vorgang 7 Jahre, Arbeitsunfälle ab Ende Vorgang 7 Jahre, Überlassung von Arbeitskräften ab Ende Vorgang 7 Jahre, Dienstzeugnis ab Ende Beziehung 30 Jahre, ergänzende Stammdaten ab Ende Beziehung 1 Jahr

LÖSCHFRIST E-MAILS: E-Mail Spam ab Ende Vorgang sofort, E-Mail Notizen ab Ende Vorgang 42 Tage, E-Mail Arbeitsunterlagen ab Ende Vorgang 1 Jahr


Kontakt
Verantwortlicher

Alexander Mittag-Lenkheym
Postserver Onlinezustelldienst GmbH, Mariahilfer Straße 123, 1060 Wien, Österreich

Datenschutzbeauftragte

Der Datenschutzbeauftragte von Postserver ist Carola Zentara, CMO
E-Mail: datenschutz@postserver.com


Wie Postserver personenbezogene Daten im CRM verwendet

Daten im CRM wurden erlangt durch:

  • Berechtigtes Interesse – Visitenkarte
    Übergabe einer Visitenkarte zur Kontaktaufnahme
  • Berechtigtes Interesse – E-Mail / Schriftverkehr
    E-Mail oder Schriftverkehr des Betroffenen zur Übermittlung der Daten
  • Berechtigtes Interesse – persönliches Gespräch
    Persönliches Gespräch (Meeting, Telefonat) mit der betroffenen Person
  • Zuverlässige Veröffentlichung – Webseite / Publikation
    Xing, LinkedIn, Webseite des Unternehmens oder Publikation des Unternehmens
  • Zuverlässige Veröffentlichung – Kontaktliste
    Teilnehmerliste einer B2B Veranstaltung, BBG Kundenliste, Ausschreibung, Direktempfehlung

Im CRM wird die Herkunft der Daten dokumentiert.

Nicht bei der betroffenen Person erst-erhobene Daten sind bei der ersten Kontaktaufnahme oder spätestens binnen eines Monats mitzuteilen. Die übermittelten Informationen entsprechen einer Beauskunftung.
Betroffen sind hiervon CRM Einträge, die durch einer „zuverlässige Veröffentlichung“ erstmalig erstellt werden:

  • Zuverlässige Veröffentlichung – Webseite / Publikation
  • Zuverlässige Veröffentlichung – Kontaktliste


Rechtsgrundlagen für die Verarbeitung

Datenerfassung im CRM

  • Rechtmäßigkeit der Verarbeitung nach Art. 6, Absatz 1 DSGVO
  • Rechtmäßigkeit der Verarbeitung aufgrund eines berechtigten Interesses nach Erwägungsgrund 47 DSGVO
  • Rechtmäßigkeit der Verarbeitung aufgrund einer vertraglichen Verpflichtung nach § 9 DSG 2000 und Art. 7 EU-DSRL
  • Rechtmäßigkeit der Verarbeitung aufgrund von Veröffentlichung nach § 8 Abs. 2 DSG 2000
  • Dokumentation Herkunft der Daten nach Art. 15, Abs. 1g DSGVO

Nicht erlaubte Datenerfassung im CRM

  • Verbot der Erfassung sensibler Daten nach § 9 DSG 2000
  • Verbot der Erfassung von privaten und geheimen Daten nach § 1 und § 7 DSG 2000
  • Verbot der Datenverwendung für andere Zwecke nach § 6 Abs. 1 Z. 1 bis 3 DSG 2000
  • Gebot der Datenkorrektur nach § 6 Abs. 1 Z. 4 DSG 2000
  • Gebot der Datenlöschung nach § 6 Abs. 1 Z. 5 DSG 2000

Informationspflichten

  • Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden nach Art. 14 Abs. 3 DSGVO
  • Informationspflicht, wenn Daten bei der betroffenen Person erhoben wurden nach Art. 13 DSGVO

Aufbewahrungspflicht

  • 5 Jahre Aufbewahrungspflicht nach Punkt 11.2.3, Absatz 1 WKÖ-Rulebook System private E-Zustellung in Österreich, Version 1.2 2015
  • 7 Jahre Aufzeichnungs- und Aufbewahrungspflichten nach §§ 190, 212 UGB
  • 10 Jahre Aufzeichnungs- und Aufbewahrungspflichten hinsichtlich Haftungsansprüche nach § 13 PHG
  • Entfall des Rechts auf Löschung (Recht auf Vergessenwerden) nach Art. 17, Absatz 3 DSGVO

Personenbezogene Daten, die im CRM erfasst werden

Ergänzende Kundenstammdaten (personenbezogene Daten / CRM Kontakte) werden in einer gesonderten Datenbank verspeichert und sind somit von den Kundenkernstammdaten (Unternehmensdaten / CRM Organisationen) sorgfältig getrennt.

Daten-Kategorie Datenart und Datenobjekte
Ergänzende Kundenstammdaten Mitarbeiter Ausprägung
  • Position, Titel, Name
  • Telefon
  • E-Mail
  • Link
  • Notiz
  • Herkunft der Daten

Fristen für die Löschung der erhobenen Daten

Verarbeitungs-Kategorie Löschklasse Löschroutine Startzeitpunkt Frist
Vertragswesen ergänzende Stammdaten Löschung der ergänzenden Stammdaten und damit in Verbindung stehende Geschäftsdokumente. Ab Ende Beziehung 1 Jahr

Kostenersatz

Verarbeitungs-Kategorie Datenbestand Kostenersatz
ergänzende Stammdaten aktueller Datenbestand unentgeltlich
archivierter Datenbestand Mindest-Kostenersatz: EUR 18,89