CallCenter Profi

Erfolgreich und rechtssicher dokumentieren im Kundendialog trotz MiFID und DSGVO

 –  powered by Onsoft

Das Jahr 2018 bringt umfangreiche Änderungen und Anpassungen im Kundendialog mit sich. Die zum Jahresanfang in Kraft getretene MiFID II-Verordnung stellte bereits alle im Finanzdienstleistungssektor tätigen Contact Center und Berater vor große Herausforderungen. Die ab Mai geltende DSGVO löst das nationale Datenschutzgesetz ab und gilt darüber hinaus für alle Unternehmen, die personenbezogene Daten erfassen und/oder verarbeiten. Sie sorgt – vor allem im Hinblick auf die drakonischen Strafen bei Nichtumsetzung – für erhebliche, branchen-übergreifende Verunsicherung.

Darüber hinaus erschreckt eine Studie der Bitkom aus dem September 2017. Demnach hat sich ein Großteil der deutschen Unternehmen bislang nicht oder nur unzureichend mit dem Thema DSGVO beschäftigt – nämlich fast 87 Prozent! Ihnen drohen ab dem 28. Mai 2018 empfindliche Strafen. Die Herausforderung besteht darin, Contact Centern kurzfristig und branchenneutral Rechtssicherheit zu ermöglichen, ohne den vertrieblichen Erfolg zu gefährden.

Sie müssen eine verbindliche Aufzeichnungslösung nutzen, die folgende Punkte erfüllt:

  • Rechtskonforme Verwaltung von Aufnahmen: In erster Linie gilt es, sensible Daten unter Einhaltung gesetzlicher Fristen, Compliance- und Revisionsvorschriften zu speichern und aufzubewahren.
  • Sofortige Auskunftsfähigkeit: Im Rahmen der DSGVO müssen Sie bei Anfragen von betroffenen Personen und der Behörden auskunftsfähig sein. Die Aufzeichnungslösung muss daher alle Informationen zu einer Aufnahme (gleich welchen Alters) unter Einhaltung gesetzlicher Vorgaben und interner Vorschriften jederzeit abrufbar bereithalten.
  • Transparente Prozesse: Um Datenschutzverstöße gemäß DSGVO Art. 33 an die zuständigen Behörden melden zu können, müssen sämtliche Änderungen an Tondokumenten und den zugehörigen Metadaten vollständig protokolliert und jederzeit nachvollziehbar gesichert werden. Unabhängig hiervon sollte eine automatisierte Meldung von verdächtigen Änderungen an den Datenschutzbeauftragten erfolgen können.
  • Anbindung an Drittsysteme: Bei der nicht ganz trivialen Anbindung an Drittsysteme (wie etwa Ihr CRM) muss mit Hilfe eines schlüssigen Sicherheitskonzeptes zwar eine nahtlose Einbindung erfolgen können und ein systemübergreifender Zugriff auf Aufnahmen und Eckinformationen ermöglicht werden. Es muss aber ebenfalls sichergestellt werden, dass die Regelungen der DSGVO und gegebenenfalls von MiFID II durch eine solche Systemverbindung nicht unterlaufen werden.

Wie die oben genannten vier Eckpfeiler zielführend und mit minimal zeitlichem und budgetärem Aufwand realisiert werden können, erläutert der folgende Abschnitt anhand eines fiktiven Szenarios mit Hilfe der Aufzeichnungslösung „CENTER FORCE 5“:

Ausgangssituation des Kunden
Ein großer deutscher Finanzdienstleister wünscht unter Berücksichtigung sämtlicher gesetzlicher Vorgaben (in diesem Fall die EU-Direktive 2014/65/EU) und unter Einbeziehung der nahenden DSGVO (EU-Verordnung 2016/679) die Umsetzung einer standortübergreifenden Aufzeichnungslösung inklusive der Einbindung in das unternehmenseigene Kundenmanagement-System. Der Kunde telefoniert aktuell an zwei lokal getrennten Standorten mit zwei eigenständigen Telefonanlagen. An beiden Standorten telefonieren jeweils 50 Mitarbeiter. Darüber hinaus gibt es Außendienstmitarbeiter, die mobile Gespräche führen, welche ebenfalls richtlinienkonform aufgezeichnet werden müssen.

Vorrangiges Ziel des Kunden ist es (neben der Erfüllung der gesetzlichen Vorgaben), die Produktivität der Mitarbeiter möglichst wenig zu behindern oder im optimalen Fall sogar zu steigern.

Rechtskonforme Verwaltung von Aufnahmen
Bevor die erste Aufzeichnung stattfinden kann, werden im Rahmen des Datenschutzmanagements wichtige Fragen zur Verwaltung der Aufnahmen geklärt. Wer darf und wer muss wann und was aufnehmen?

Die Aufzeichnung der Gesprächskanäle erfolgt grundsätzlich getrennt. Bereits mit Beginn eines Telefonats wird in Rücksprache mit dem Betriebsrat der telefonierende Berater einseitig aufgezeichnet. Dies dient vor allem internen Gründen zur Erhöhung der Beratungsqualität. Die DSGVO regelt ausschließlich den Datenschutz im Außenverhältnis. Aufgrund einer Betriebsvereinbarung mit dem Betriebsrat ist die Aufzeichnung der eigenen Mitarbeiter somit möglich. Die Kundenseite wird zu diesem Zeitpunkt nicht aufgezeichnet.

Sobald sich in einem Telefongespräch abzeichnet, dass es sich um ein Beratungsgespräch handelt, welches auf einen Abschluss hinführen könnte, muss der Berater die beidseitige Aufzeichnung an seinem Desktop initiieren. Nachdem der Kunde über die Aufzeichnung informiert wurde, startet der Berater die Aufzeichnung aktiv.

In unserem fiktiven Szenario liegt die erste Herausforderung in der Aufzeichnung und Zusammenführung von Gesprächen, welche inhouse, aber auch mobil geführt werden. Diese werden zentral auf einem Server in Verbindung mit Gesprächsmetadaten gespeichert. Der Archiv-Server kann sich dabei lokal beim Kunden oder aber in der Cloud befinden. Bei der Nutzung der Cloud ist durch den Finanzdienstleister allerdings immer im Sinne von Art. 28 DSGVO zu prüfen, inwieweit der Cloud-Anbieter den Vorgaben der DSGVO genügt.

Als nächste Herausforderung werden in unserem Beispiel Gespräche zunächst lokal an zwei getrennten Standorten aufgezeichnet. Die Daten von beiden Standorten müssen zentral zusammengeführt und gespeichert werden. Für das Datenschutzkonzept ist es daher unerlässlich zu klären, wann und auf welchem Weg die Daten synchronisiert werden. In unserem Beispiel erfolgt die Synchronisierung einmal täglich nachts. Es erfolgt eine ausschließliche Speicherung aller Daten auf dem Archiv-Server.

Eine der größten Herausforderungen bildet aktuell die gesetzeskonforme Aufzeichnung von Mobilgesprächen beziehungsweise Gesprächen an externen Anschlüssen, welche on demand eingeleitet werden sollen, sobald der Kunde ein Opt-In erteilt hat. Die einfachste Umsetzung wäre über eine anlageninterne ONS-Lösung (One Number Service) möglich. Ist diese nicht verfügbar, besteht zum Beispiel über eine Aufzeichnungslösung wie „CENTER FORCE“ die Möglichkeit der Umsetzung über eine Mobile-Recording-Lösung. Hierbei stellt der Berater über sein Mobiltelefon für die Aufzeichnung eine manuelle Verbindung mit dem Aufzeichnungsserver her. In beiden Fällen werden Gespräche DSGVO- und MiFID-II-konform on demand über die Anlage geroutet und entsprechend aufgezeichnet.

Die aufgezeichneten Beratergespräche beinhalten sensible Kunden- und Mitarbeiter-Daten. Ohne eine mehrstufige Benutzerverwaltung können die aufgezeichneten Informationen nur sehr schwierig innerhalb der Unternehmensprozesse für die Weiterverarbeitung genutzt werden. Jeder Zugriff und jede Berechtigung muss die internen Betriebsratsanforderungen und Datenschutzauflagen erfüllen und sind in der Benutzerverwaltung abzubilden.

Unternehmenskritische Funktionen dürfen nur von ausgewählten Personen angefragt und erfordern eine Prüfung und Erlaubnis durch eine zweite unabhängige Instanz. Erst die Erlaubnis durch eine zweite Person führt die angefragte Funktion aus. Das System dokumentiert dabei jeden Zugriff über den angemeldeten Benutzer, PC-Rechnername und IP-Adresse, ausgeführte Funktion und auch die angefragten / geprüften / erlaubten Funktionen.

Sofortige Auskunftsfähigkeit
Auskunftsersuchen von betroffenen Personen und Behörden müssen kurzfristig beantwortet werden können (Auskunft nach Art. 15 DSGVO). In unserem Fall kann der Finanzdienstleister mit wenigen Klicks eine übersichtliche Darstellung erzeugen, aus der alle relevanten Informationen hervorgehen. Die Auskunftsfähigkeit ist auch für bereits gelöschte Datensätze gegeben.

Transparente Prozesse
Alle Aufzeichnungen müssen so verarbeitet, gelöscht und protokolliert werden, dass sie den Vorgaben der DSGVO genügen. Das interessante an der Kombination von MiFID und DSGVO liegt vor allem in den unterschiedlichen Anforderungen an die Aufbewahrungsfristen. Während die DSGVO eine Reduktion auf das absolute Minimum fordert und eine Speicherung nicht über die tatsächliche Nutzungsdauer hinaus zulässt, fordert die MiFID-II-Verordnung eine Aufbewahrung aller Unterlagen über einen Zeitraum von mindestens fünf Jahren (nach Auflage sogar bis zu sieben Jahren). Um hier beiden Verordnungen gerecht zu werden, muss in jedem Fall eine Aufzeichnungs-Lösung gewählt werden, welche einem Missbrauch zum Beispiel durch ein restriktives Zugriffssystem Einhalt gebietet. In unserem fiktiven Beispiel kommt, neben der verschlüsselten Speicherung aller Daten auch das so genannte Fraud Information-System (FIS) zum Einsatz, welches an den Datenschutzbeauftragten im Falle einer Manipulation von Daten oder Unregelmäßigkeiten in der Struktur Meldung erstattet. In diesem Fall kann der Datenschutzbeauftragte nach individueller Prüfung Meldungen von Datenschutzverstößen gemäß DSGVO Art. 33 veranlassen.

Zu guter Letzt löscht das System automatisiert alle personenbezogenen Daten, sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist und dokumentiert diese revisionssicher.

Anbindung an Drittsysteme
Um alle Informationen zu einem Kunden zentralisiert zur Verfügung zu haben, möchte der Kunde eine Anbindung der Kundengespräche an das bestehende CRM-System inklusive einer Verschriftung. Nach einer Erstellung eines umfangreichen Sicherheitskonzeptes zur Zusammenführung der Systeme durch den Datenschutzbeauftragten des Kunden erfolgt die Umsetzung unkompliziert über eine entsprechende SOAP-Schnittstelle. Das Sicherheitskonzept gab in diesem Fall vor, dass den Vorgaben der DSGVO entsprechend, Gesprächsdaten nur von dem betreffenden Berater angehört beziehungsweise gelesen werden dürfen. Eine Ausnahme bildete hier das bereits in der rechtskonformen Verwaltung beschriebene Vier-Augen-Prinzip für einen abweichenden Zugriff. Diese Einschränkungen wurden über die Zugriffskontrolle des CRM-Systems umgesetzt.

Um eine fristgerechte Löschung der Gesprächsdaten und der Verschriftlichung zu gewährleisten, erfolgt die Einbindung ausschließlich via Streaming-Link. Um ein unerlaubtes Kopieren zu verhindern, wurde auf Kundenseite durch entsprechende Sicherheitsmaßnahmen Cut-And-Paste auf den Beraterrechnern deaktiviert.

Unser Gastautor:
René Th. Nowaczyk startete seine vertriebliche Laufbahn 1998 in der TK-Branche. Neben Local Carriern, arbeitete er auch bei bundesweit und in-ternational agierenden Telekommunikations- und Energieunternehmen. Er lernte den Vertrieb von der Pike auf, sowohl im B-to-B-, als auch um B-to-C-Bereich und war bereits viele Jahre in verschiedenen Führungspositionen tätig. Ab dem 01.03.2018 ist er als CSO verantwortlich für den vertrieblichen Erfolg der onsoft technologies GmbH.

Kontakt:
onsoft technologies GmbH
Einsteinufer 63-65
10587 Berlin
Telefon: +49 30 390 408 107
Mail: r.nowaczyk@onsoft.de

Über die Aufzeichnungslösung "CENTER FORCE 5":
CENTER FORCE 5 ist eine moderne Aufzeichnungs- und Auswertungssoftware für jede Contact Center-Größe. Die Aufzeichnung kann betriebsratskonform erfolgen und entspricht den Vorgaben der aktuellen MiFID II- und DSGVO-Richtlinien. Aufgrund ihrer Kompatibilität mit den meisten Telefonanlagen und der redundanten, revisions- und ausfallsicheren Speichermöglichkeiten mit der dank 256-Bit Verschlüsselung höchsten Sicherheit am deutschen Markt ist sie gerade bei vielen Unternehmen mit hochsensiblen Daten beliebt. CENTER FORCE 5 ist eine deutsche Entwicklung.
Bei Fragen zur Software freut sich Onsoft auf Ihre Kontaktaufnahme.

Passende Inhalte

Aktualität
Aufrufe

Passend im Marktplatz

Business