Kundendialog trotz MiFID II und DSGVO
Das Jahr 2018 bringt umfangreiche Änderungen und Anpassungen im Kundendialog mit sich. Die zum Jahresanfang in Kraft getretene MiFID II-Verordnung stellte bereits alle im Finanzdienstleistungssektor tätigen Contact Center und Berater vor große Herausforderungen. Die ab Mai geltende DSGVO hat das nationale Datenschutzgesetz abgelöst und gilt darüber hinaus für alle Unternehmen, die personenbezogene Daten erfassen und/oder verarbeiten. Sie sorgt – vor allem im Hinblick auf die drakonischen Strafen bei Nichtumsetzung – für erhebliche, branchenübergreifende Verunsicherung.
Die Herausforderung besteht darin, Unternehmen kurzfristig und branchenneutral Rechtssicherheit zu ermöglichen, ohne den vertrieblichen Erfolg zu gefährden.
Sie müssen eine verbindliche Aufzeichnungslösung nutzen, die folgende Punkte erfüllt:
- Rechtskonforme Verwaltung von Aufnahmen
In erster Linie gilt es, sensible Daten unter Einhaltung gesetzlicher Fristen, Compliance- und Revisionsvorschriften zu speichern und aufzubewahren.
- Sofortige Auskunftsfähigkeit
Im Rahmen der DSGVO müssen Sie bei Anfragen von betroffenen Personen und der Behörden auskunftsfähig sein. Die Aufzeichnungslösung muss daher alle Informationen zu einer Aufnahme (gleich welchen Alters) unter Einhaltung gesetzlicher Vorgaben und interner Vorschriften jederzeit abrufbar bereithalten.
- Transparente Prozesse
Um Datenschutzverstöße gemäß DSGVO Art. 33 an die zuständigen Behörden melden zu können, müssen sämtliche Änderungen an Tondokumenten und den zugehörigen Metadaten vollständig protokolliert und jederzeit nachvollziehbar gesichert werden. Unabhängig hiervon sollte eine automatisierte Meldung von verdächtigen Änderungen an den Datenschutzbeauftragten erfolgen können.
- Anbindung an Drittsysteme
Bei der nicht ganz trivialen Anbindung an Drittsysteme (wie z.B. Ihr CRM) muss mit Hilfe eines schlüssigen Sicherheitskonzeptes zwar eine nahtlose Einbindung erfolgen können und ein systemübergreifender Zugriff auf Aufnahmen und Eckinformationen ermöglicht werden. Es muss aber ebenfalls sichergestellt werden, dass die Regelungen der DSGVO und ggf. von MiFID II durch eine solche Systemverbindung nicht unterlaufen werden.
Wie die o.g. vier Eckpfeiler zielführend und mit minimal zeitlichem und budgetärem Aufwand realisiert werden können, erläutere ich Ihnen im folgenden Abschnitt anhand eines fiktiven Szenarios mit Hilfe der Aufzeichnungslösung CenterForce5:
Ausgangssituation des Kunden:
Ein großer deutscher Finanzdienstleister wünscht unter Berücksichtigung sämtlicher gesetzlicher Vorgaben die Umsetzung einer standortübergreifenden Aufzeichnungslösung inkl. der Einbindung in das unternehmenseigene Kundenmanagement-System.
Der Kunde telefoniert aktuell an zwei lokal getrennten Standorten mit zwei eigenständigen Telefonanlagen. An beiden Standorten telefonieren jeweils 50 Mitarbeiter. Darüber hinaus gibt es Außendienstmitarbeiter, die mobile Gespräche führen, welche ebenfalls richtlinienkonform aufgezeichnet werden müssen.
Vorrangiges Ziel des Kunden ist es, die Produktivität der Mitarbeiter möglichst wenig zu behindern oder im optimalen Fall sogar zu steigern.
Rechtskonforme Verwaltung von Aufnahmen
Bevor die erste Aufzeichnung stattfinden kann, werden im Rahmen des Datenschutzmanagements wichtige Fragen zur Verwaltung der Aufnahmen geklärt. Wer darf und wer muss wann und was aufnehmen?
Die Aufzeichnung der Gesprächskanäle erfolgt grundsätzlich getrennt. Bereits mit Beginn eines Telefonats wird in Rücksprache mit dem Betriebsrat der telefonierende Berater einseitig aufgezeichnet. Dies dient vor allem internen Gründen zur Erhöhung der Beratungsqualität. Die DSGVO regelt ausschließlich den Datenschutz im Außenverhältnis. Aufgrund einer Betriebsvereinbarung mit dem Betriebsrat ist die Aufzeichnung der eigenen Mitarbeiter somit möglich. Die Kundenseite wird zu diesem Zeitpunkt nicht aufgezeichnet.
Sobald sich in einem Telefongespräch abzeichnet, dass es sich um ein Beratungsgespräch handelt, welches auf einen Abschluss hinführen könnte, muss der Berater die beidseitige Aufzeichnung an seinem Desktop initiieren. Nachdem der Kunde über die Aufzeichnung informiert wurde, startet der Berater die Aufzeichnung aktiv.
In unserem fiktiven Szenario liegt die erste Herausforderung in der Aufzeichnung und Zusammenführung von Gesprächen, welche inhouse, aber auch mobil geführt werden. Diese werden zentral auf einem Server in Verbindung mit Gesprächsmetadaten gespeichert. Der Archiv-Server kann sich dabei lokal beim Kunden oder aber in der Cloud befinden. Bei der Nutzung der Cloud ist durch den Finanzdienstleister allerdings immer im Sinne von Art. 28 DSGVO zu prüfen, inwieweit der Cloudanbieter den Vorgaben der DSGVO genügt.
Als nächste Herausforderung werden in unserem Beispiel Gespräche zunächst lokal an zwei getrennten Standorten aufgezeichnet. Die Daten von beiden Standorten müssen zentral zusammengeführt und gespeichert werden. Für das Datenschutzkonzept ist es daher unerlässlich zu klären, wann und auf welchem Weg die Daten synchronisiert werden. In unserem Beispiel erfolgt die Synchronisierung einmal täglich nachts. Es erfolgt eine ausschließliche Speicherung aller Daten auf dem Archiv-Server.
Eine der größten Herausforderungen bildet aktuell die gesetzeskonforme Aufzeichnung von Mobilgesprächen bzw. Gesprächen an externen Anschlüssen, welche on demand eingeleitet werden sollen, sobald der Kunde ein Opt-In erteilt hat. Die einfachste Umsetzung wäre über eine anlageninterne ONS-Lösung (One Number Service) möglich. Ist diese nicht verfügbar, besteht z.B. über eine Aufzeichnungslösung wie CenterForce die Möglichkeit der Umsetzung über eine Mobile-Recording-Lösung. Hierbei stellt der Berater über sein Mobiltelefon für die Aufzeichnung eine manuelle Verbindung mit dem Aufzeichnungsserver her. In beiden Fällen werden Gespräche DSGVO- und MiFID-II-konform on demand über die Anlage geroutet und entsprechend aufgezeichnet.
Die aufgezeichneten Beratergespräche beinhalten sensible Kunden- und Mitarbeiter-Daten. Ohne eine mehrstufige Benutzerverwaltung können die aufgezeichneten Informationen nur sehr schwierig innerhalb der Unternehmensprozesse für die Weiterverarbeitung genutzt werden.
Jeder Zugriff und jede Berechtigung muss die internen Betriebsratsanforderungen und Datenschutzauflagen erfüllen und sind in der Benutzerverwaltung abzubilden.
Unternehmenskritische Funktionen dürfen nur von ausgewählten Personen angefragt und erfordern eine Prüfung und Erlaubnis durch eine zweite unabhängige Instanz.
Erst die Erlaubnis durch eine zweite Person führt die angefragte Funktion aus.
Das System dokumentiert dabei jeden Zugriff über den angemeldeten Benutzer, PC-Rechnername und IP-Adresse, ausgeführte Funktion und auch die angefragten / geprüften / erlaubten Funktionen.
Sofortige Auskunftsfähigkeit
Auskunftsersuchen von betroffenen Personen und Behörden müssen kurzfristig beantwortet werden können (Auskunft nach Art. 15 DSGVO). In unserem Fall kann der Finanzdienstleister mit wenigen Klicks eine übersichtliche Darstellung erzeugen, aus der alle relevanten Informationen hervorgehen.
Die Auskunftsfähigkeit ist auch für bereits gelöschte Datensätze gegeben.
Transparente Prozesse
Alle Aufzeichnungen müssen so verarbeitet, gelöscht und protokolliert werden, dass sie den Vorgaben der DSGVO genügen. Das interessante an der Kombination von MiFID II und DSGVO liegt vor allem in den unterschiedlichen Anforderungen an die Aufbewahrungsfristen. Während die DSGVO eine Reduktion auf das absolute Minimum fordert und eine Speicherung nicht über die tatsächliche Nutzungsdauer hinaus zulässt, fordert die MiFID II-Verordnung eine Aufbewahrung aller Unterlagen über einen Zeitraum von mindestens 5 Jahren (nach Auflage sogar bis zu 7 Jahren). Um hier beiden Verordnungen gerecht zu werden, muss in jedem Fall eine Aufzeichnungs-Lösung gewählt werden, welche einem Missbrauch z.B. durch ein restriktives Zugriffssystem Einhalt gebietet. In unserem fiktiven Beispiel kommt, neben der verschlüsselten Speicherung aller Daten auch das sogenannte Fraud Information-System (FIS) zum Einsatz, welches an den Datenschutzbeauftragten im Falle einer Manipulation von Daten oder Unregelmäßigkeiten in der Struktur Meldung erstattet. In diesem Fall kann der Datenschutzbeauftragte nach individueller Prüfung Meldungen von Datenschutzverstößen gemäß DSGVO Art. 33 veranlassen.
Zu guter Letzt löscht das System automatisiert alle personenbezogenen Daten, sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist und dokumentiert diese revisionssicher.
Anbindung an Drittsysteme
Um alle Informationen zu einem Kunden zentralisiert zur Verfügung zu haben, möchte der Kunde eine Anbindung der Kundengespräche an das bestehende CRM-System inklusive einer Verschriftung. Nach einer Erstellung eines umfangreichen Sicherheitskonzeptes zur Zusammenführung der Systeme durch den Datenschutzbeauftragten des Kunden erfolgt die Umsetzung unkompliziert über eine entsprechende SOAP-Schnittstelle. Das Sicherheitskonzept gab in diesem Fall vor, dass den Vorgaben der DSGVO entsprechend, Gesprächsdaten nur von dem betreffenden Berater angehört bzw. gelesen werden dürfen. Eine Ausnahme bildete hier das bereits in der rechtskonformen Verwaltung beschriebene 4-Augen-Prinzip für einen abweichenden Zugriff. Diese Einschränkungen wurden über die Zugriffskontrolle des CRM-Systems umgesetzt.
Um eine fristgerechte Löschung der Gesprächsdaten und der Verschriftlichung zu gewährleisten, erfolgt die Einbindung ausschließlich via Streaming-Link. Um ein unerlaubtes Kopieren zu verhindern, wurde auf Kundenseite durch entsprechende Sicherheitsmaßnahmen Cut-And-Paste auf den Beraterrechnern deaktiviert.
Die Aufzeichnungslösung CenterForce5
CenterForce5 ist eine moderne Aufzeichnungs- und Auswertungssoftware für jede Contact Center Größe. Die Aufzeichnung kann betriebsratskonform erfolgen und entspricht den Vorgaben der aktuellen MiFID II- und DSGVO-Richtlinien. Aufgrund ihrer Kompatibilität mit den meisten Telefonanlagen und der redundanten, revisions- und ausfallsicheren Speichermöglichkeiten mit der dank 256-Bit Verschlüsselung höchsten Sicherheit am deutschen Markt ist sie gerade bei vielen Unternehmen mit hochsensiblen Daten beliebt. CenterForce5 ist eine deutsche Entwicklung.
Bei Fragen zur Software freuen wir uns auf Ihre Kontaktaufnahme.
Der Autor:
René Th. Nowaczyk startete seine vertriebliche Laufbahn 1998 in der TK-Branche. Neben Local Carriern, arbeitete er auch bei bundesweit und international agierenden Telekommunikations- und Energieunternehmen. Er lernte den Vertrieb von der Pike auf, sowohl im B2B, als auch um B2C-Bereich und war bereits viele Jahre in verschiedenen Führungspositionen tätig. Ab dem 01.03.2018 ist er als CSO verantwortlich für den vertrieblichen Erfolg der onsoft technologies GmbH.
Kontakt:
onsoft technologies GmbH
Einsteinufer 63-65
10587 Berlin
Telefon: +49 30 390 408 107
Mail: r.nowaczyk@onsoft.de
Tipp:
Download eBook HERAUSFORDERUNGEN KUNDENDIALOG 2018