Zum Hauptinhalt springen
Version: 2026.4.1

Datenschutzkonformität sicherstellen

Damit Sales Executives im Rahmen der Stammdatenerfassung sicher sein können, dass Daten datenschutzkonform erfasst werden, sind folgende Funktionen umgesetzt:

Wichtig

Die hier enthaltenen Informationen stellen keine Beratung zur DSGVO dar und sind somit keine rechtsverbindlichen Vorlagen und Vorgaben seitens ADITO.

Bitte sprechen Sie mit dem für Ihr Unternehmen zuständigen Datenschutzbeauftragten, wenn Sie planen, die Funktionalität in Ihrem System einzusetzen.


Datenschutzrelevante Daten begründet speichern

Wenn datenschutzrelevante Daten erfasst werden, wird dokumentiert

Somit sind die Anforderungen der DSGVO erfüllt und eine transparente und regelkonforme Datenverarbeitung sichergestellt.

Wichtig

Sobald ein Kontakt neu erfasst oder geändert wird, gibt das System einen Hinweis aus, dass datenschutzrelevante Informationen hinterlegt bzw. aktuell gehalten werden müssen.

Hinweis

Systemhinweis in ADITO xRM beim Speichern eines Kontakt-Datensatzes, der darauf hinweist, datenschutzrelevante Informationen zu hinterlegen oder aktuell zu halten

Die Angaben werden in der Hauptansicht im Tab "Datenschutz" erfasst.

Tab "Datenschutz" in der Hauptansicht eines Kontakt-Datensatzes in ADITO xRM mit der Tabelle der datenschutzrelevanten Nutzerdaten

Datenschutzrelevante Daten

Datenschutzrelevante Daten sind:

  • 🪪 Namen (Anrede, Vor- u. Nachname)
  • 📫 Adresse (i.d.R. Privatadresse, nicht die Firmenadresse)
  • ☎️ Kommunikation (E-Mail, Telefon, Handy)
  • 🎂 Geburtstag
  • 🏷️ Eigenschaften, die als datenschutzrelevant gekennzeichnet sind
  • 📝 Datenschutzerklärung, zur Erfassung einer Datenschutzerklärung

Alle datenschutzrelevanten Daten, die an einem Kontaktdatensatz erfasst werden können, werden in der Hauptansicht im Tab "Datenschutz" aufgelistet. Pro Information müssen nun Rechtsgrundlage, Verwendungszweck und Gültigkeitsdauer erfasst werden.

Bearbeitungszeile im Datenschutz-Tab in ADITO xRM mit Eingabefeldern für Datenschutzrecht, Verwendungszweck und Gültigkeitsdauer je datenschutzrelevantem Dateneintrag

Rechtsgrundlage

Die Rechtsgrundlage (siehe DSGVO Art. 6) bildet die Grundlage einer datenschutzkonformen Datenerfassung. Sie wird im Feld "Datenschutzrecht" erfasst.

Best Practice
  • "Zustimmung" - Es wird dokumentiert, ob die Person der Datenverarbeitung zu einem bestimmten Zweck zugestimmt hat.
  • "Kaufvertrag" - Es wird dokumentiert, ob die personenbezogenen Daten zur Abwicklung eines Kaufvertrags benötigt werden.

Verwendungszweck

Mit dem Verwendungszweck (bspw. Interessensausgleich, Newsletterversand, Werbeeinwilligung) wird dokumentiert, warum die Informationen erfasst wurden, und dass diese nur im Rahmen dessen verwendet werden darf. Erfasst wird der Verwendungszweck im Feld "Datenschutz anwenden".

Gültigkeitsdauer

Personenbezogene Daten dürfen gemäß DSGVO nur so lange gespeichert werden, wie dies für den jeweiligen Zweck erforderlich ist.

Somit können z.B. auch Aufbewahrungsfristen dokumentiert werden, wenn es erforderlich ist, dass personenbezogene Daten so lange gespeichert werden dürfen/müssen, um Löschfristen bzw. Aufbewahrungspflichten einzuhalten (z.B. müssen Bewerbungsunterlagen eines erfolgreichen Bewerbers 3 Jahre aufbewahrt werden).

"Werte für alle Informationen übernehmen"

Damit bei der Dokumentation datenschutzrelevanter Informationen doppelte Pflegeaufwände reduziert werden, können Änderungen auch auf andere Informationen übertragen werden.

Um dies mit einem Klick abzubilden, verwendet man den Toggle-Button "Änderungen für alle übernehmen". Wird dieser aktiviert, werden die aktuell erfasste Rechtsgrundlage, der Verwendungszweck und die Gültigkeitsdauer auf alle datenschutzrelevanten Daten in der Tabelle "Nutzerdaten" übertragen.

Datenschutz-Tab in ADITO xRM mit aktiviertem Toggle-Button "Änderungen für alle übernehmen" zur einheitlichen Übernahme von Rechtsgrundlage und Zweck


Datenschutzerklärung dokumentieren

Es wird eine unterschriebene Datenschutzerklärung im System hinterlegt, damit der schriftliche Nachweis am Kontakt dokumentiert ist.

Die Datenschutzerklärung wird im Tab "Datenschutz" hochgeladen. Datenschutz-Tab eines Kontakt-Datensatzes in ADITO xRM mit hervorgehobenem Upload-Bereich zum Hochladen einer unterschriebenen Datenschutzerklärung

Datenschutzerklärung initial hochladen

Initial erhält der Kontakt für den Typ "Datenschutzerklärung" den Wert "Zustimmung ausstehend". Wird die Datenschutzerklärung hochgeladen und mit den Informationen bzgl. Rechtsgrundlage, Zweck und Gültigkeit gespeichert, so wird der Wert auf "Zustimmung" gesetzt.

Das hochgeladene Dokument ist im Tab "Dokumente" zu finden. Dabei wird für das Dokument automatisch das Kennzeichen „In Vorschau anzeigen“ auf JA gesetzt und kann durch den Anwender nicht editiert werden.

Datenschutzerklärung aktualisieren

Um die Datenschutzerklärung zu aktualisieren, kann ein neues Dokument über den gleichen Weg hochgeladen werden.

Die alte Datenschutzerklärung verbleibt im Tab "Dokumente", bei dem das Kennzeichen „In Vorschau anzeigen" auf NEIN gesetzt wurde und nun wieder editierbar ist.

Die neue Datenschutzerklärung wird mit dem nicht editierbaren auf JA gesetzten Vorschau-Kennzeichen abgelegt.


Informationsbericht ausgeben

Damit der Informationspflicht nach DSGVO nachgekommen werden kann, erzeugt man sobald ein Kontakt erfasst wurde, einen Informationsbericht und stellt ihn der betroffenen Person zu. Eine transparente Kommunikation an die Person, welche Daten von ihr erfasst wurden. Die Information soll dabei auch maschinenlesbar vorliegen.

Der Informationsbericht zur Datenerhebung bildet alle relevanten Daten einer Kontaktperson zur Auskunft nach dem Art. 13 DSGVO ab.
Es soll zudem dokumentiert sein, ob die Kontaktdaten aus einer externen Quelle stammen oder nicht und ggf. ob die Kontaktdaten an Dritte weitergegeben wurden.

Informationsbericht erstellen

Best Practice

Werden bspw. im Rahmen eines Telefonats, die Kontaktdaten einer Privatperson im System gespeichert, so besteht die Pflicht, dem Kontakt einen Informationsbericht zu schicken.

Um den Informationsbericht zu erstellen, findet man im Tab "Datenschutz" über der Tabelle "Nutzerdaten" die Aktion "Informationsbericht".

Datenschutz-Tab eines Kontakt-Datensatzes in ADITO xRM mit hervorgehobener Aktion "Informationsbericht" über der Tabelle "Nutzerdaten"

Abfrage bzgl. Datenweitergabe an Dritte

Im Rahmen der Erstellung des Informationsberichts wird abgefragt, ob Daten an Dritte weitergegeben wurden. Für folgende drei Optionen kann der Informationsbericht erstellt werden:

  • Die Daten wurden nicht an Dritte weitergegeben.

    • Im Feld "Übermittlung" wird der Wert "Keine" erfasst.
    • (Die Felder "Empfänger" und "Garantien" bleiben inaktiv.)
  • Die Daten wurden an Empfänger aus dem Inland weitergegeben.

    • Im Feld "Übermittlung" wird der Wert "Inland" erfasst.
    • Im Feld "Empfänger" wird der Empfänger ausgewählt, an den die Daten übermittelt wurden.
    • (Das Feld "Garantien" bleibt inaktiv.)
  • Die Daten wurden an Empfänger aus dem Ausland weitergegeben.

    • Im Feld "Übermittlung" wird der Wert "Ausland" erfasst.
    • Im Feld "Empfänger" wird der Empfänger ausgewählt, an den die Daten übermittelt wurden.
    • Im Feld "Garantien" wird dokumentiert, ob ein Datenschutzabkommen oder ausreichende Garantien mit dem Zielland vereinbart sind.

Abfrage bzgl. Datenherkunft

Falls Kontaktdaten aus externen Datenquellen stammen, wird im Feld "Externe Datenquelle" die Herkunft der Daten angegeben.

Informationsbericht übermitteln

Im PDF Format

Der Informationsbericht wird als PDF ausgegeben. Somit kann er per E-Mail versendet oder heruntergeladen werden, um ihn in einem Drittsystem zu verwenden.

Im CSV Format

Die Kontaktperson hat nach Art. 20 Abs. 1 DSGVO das Recht, ihre gespeicherten Daten "in einem strukturierten, gängigen und maschinell lesbaren Format zu erhalten", sodass die Datenportabilität gewährleistet ist.

Es kann ein Export aller DSGVO-relevanten Daten in eine CSV-Datei erstellt werden.

Best Practice

Dieser CSV Export wird erstellt mit der Aktion "CSV exportieren".

  1. Tab "Datenschutz" im Kontakt öffnen.
  2. Aktion "CSV exportieren" ausführen.
  3. Der Download der CSV-Datei wird gestartet.

Datenschutz-Tab eines Kontakt-Datensatzes in ADITO xRM mit hervorgehobener Aktion "CSV exportieren" zum Herunterladen aller DSGVO-relevanten Daten


Kontakte manuell zur Löschung kennzeichnen

Sollte eine Person von ihrem Recht auf Löschung nach DSGVO gebrauch machen, kann manuell ein Löschkennzeichen am Kontaktdatensatz gesetzt werden. Damit ist sichergestellt, dass der Kontakt zur Löschung vorgemerkt ist.

Im Tab "Datenschutz" findet sich die Aktion "Füge manuelles Löschkennzeichen hinzu".
Dokumentiert wird das Setzen des Löschkennzeichens (wer und wann) ebenfalls hier im Tab "Datenschutz" und im Tab "Logs".

Datenschutz-Tab eines Kontakt-Datensatzes in ADITO xRM mit hervorgehobener Aktion "Füge manuelles Löschkennzeichen hinzu"

Best Practice

Ein Kontakt ruft an und verlangt, dass seine Daten gelöscht werden und er zukünftig nicht mehr kontaktiert wird.

Mögliches Vorgehen:

  • Die Hauptansicht des Kontakts öffnen und dort den Tab "Datenschutz".

  • Die Aktion "Füge manuelles Löschkennzeichen hinzu" ausführen.

  • Ggf. die Aktion auch für die weiteren Funktionen des Kontakts ausführen.

    Wichtig

    Hat ein Kontakt mehrere weitere Funktionen, so wird darauf hingewiesen, dass nur diese Funktion des Kontakts gelöscht/anonymisiert wird.

    Hinweisdialog in ADITO xRM beim Setzen eines Löschkennzeichens, der darauf hinweist, dass der Kontakt weitere Funktionen besitzt, die einzeln gekennzeichnet werden müssen

    Ist es erforderlich, dass alle Funktionen des Kontakts gelöscht werden, muss ggf. bei jeder Funktion das Löschkennzeichen manuell gesetzt werden, um alle Daten des Kontakts dem Löschprozess zuzuführen.


Kontakte automatisiert zur Löschung kennzeichnen

Um sicherzustellen, dass personenbezogene Daten nach Ablauf ihrer Aufbewahrungsfrist oder bei fehlender Rechtsgrundlage ohne manuellen Aufwand DSGVO-konform zur Löschung vorgemerkt werden, kann das System definierte Löschkennzeichen automatisch setzen.

Diese Löschkennzeichen werden von einem Prozess an den Kontakten gesetzt, bei denen die Bedingung zutrifft.

Dokumentiert wird das Setzen des Löschkennzeichens (welches Löschkennzeichen und wann) im Tab "Datenschutz" und im Tab "Logs".

Hinweis

Löschkennzeichen, die vom System gesetzt werden, können von Usern mit der Rolle "DSGVO" definiert werden.

📖 → Anlage von Löschkennzeichen


Interaktion mit dem Kontakt einschränken, wenn dieser zur Löschung vorgesehen ist

Die Interaktionsmöglichkeiten (z.B. Aktion "E-Mail schreiben") an einem Kontaktdatensatz werden eingeschränkt, wenn dieser Kontakt zur Löschung vorgesehen ist. Damit ist sichergestellt, dass in der Zeit bis zur Löschung nur DSGVO-konforme Interaktionen mit dem Datensatz durchgeführt werden können.

Ist ein Löschkennzeichen gesetzt,
➡️ wird der Status auf "Für Löschung vorgesehen" gesetzt und
➡️ die Aktionen zur Interaktion werden inaktiv, sodass keine Kommunikation mehr stattfinden kann.

Der Kontakt wird gelöscht/anonymisiert, sobald der Lösch-Prozess nach Ablauf der Löschverzögerung das nächstenmal ausgeführt wird (manuell oder intervall gesteuert). Die Löschverzögerung ist eine Frist, die abgelaufen sein muss, ab dem Setzen des Löschkennzeichens, bevor der Kontakt gelöscht werden kann. Innerhalb dieser Frist könnte das Löschkennzeichen wieder gelöscht werden, falls erforderlich.

Weitere Informationen