Cloud-Regularien im Contact Center

Cloud-Regularien

Cloud im Contact Center – ohne diese Regularien geht’s nicht! Das Schlagwort Cloud ist aus der Kundenservice-Landschaft inzwischen nicht mehr wegzudenken. Funktionen werden in kürzeren Release-Zyklen bereitgestellt, Großprojekte zum Versionswechsel gehören der Vergangenheit an und flexiblere Bezahlmodelle erlauben eine auf den Kundennutzen abgestimmte Kostenstruktur… Durch unsere langjährige Projekterfahrung erleben wir aber auch immer wieder Diskussionen rund um den Cloud-Einsatz.

In diesem Artikel wollen wir auf die wichtigsten Regularien aus unserer Projekterfahrung eingehen, ohne aber Anspruch auf Vollständigkeit zu erheben oder Rechtsberatung zu leisten!

Vom Datenschutz zur Datensicherheit

Das heikle Thema der personenbezogenen Daten… Über eine Cloud-Contact-Center-Lösung laufen immerhin Daten verschiedener Colour, als da seien:

  • Verbindungsdaten der Mitarbeiter und Kunden (wer kommuniziert mit wem?)
  • Verbindungsinhalte der Mitarbeiter und Kunden (was wurde besprochen?)
  • Nutzungsdaten der Mitarbeiter (Login-Zeiten, und damit indirekt auch Arbeitszeiten)
    • Gegebenenfalls Nutzungsdaten von externen Dienstleistern, wenn der Auftraggeber die Plattform stellt
  • Gesprächsaufzeichnungen (siehe dazu auch unser vorheriger Blogartikel)
  • Unter Umständen auch weitere Daten, wie Kundenprofile, etc.

Beim Datenschutz geht es um die Frage: „Darf ich gewisse Daten zu einem bestimmten Zweck verarbeiten?“ Bei der Datensicherheit jedoch um die Frage: „Wie schütze ich Daten vor unerlaubtem Zugriff bzw. Verlust?“ – sowohl Datensicherheit als auch Datenschutz sind wichtig im Kundenservice! Aber fangen wir mal mit dem Datenschutz an:

DSGVO und Kundenservice

Wir ersparen uns jetzt die Auflistung aller relevanten Teilbereiche. Wichtig ist bei Cloud-Anbietern aber: Die DSGVO gilt nicht nur innerhalb der EU, sondern weltweit, überall dort, wo Daten aus der EU hin transferiert werden bzw. wenn von dort ein Datenzugriff auf Daten in der EU möglich ist. Als Unternehmen ist man verpflichtet, Datenschutz sicherzustellen – insbesondere bei internationalen Anbietern. Der EuGH hat am 16. Juli 2020 (ECLI:EU:C:2020:559) festgelegt, dass der

„Verantwortliche (…), in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen (hat), ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der (…) übermittelten personenbezogenen Daten gewährleistet (…)“.

Kurz: Jedes Unternehmen muss alle sensiblen Daten selbst schützen. Und das auch in den Ländern, in denen die Daten liegen oder liegen werden bzw. aus denen ein Zugriff – auch nur im Entferntesten – möglich ist.

Auftragsverarbeitung

In allen Fällen, in denen personenbezogene Daten im Rahmen von Cloud-Computing outgesourct werden, liegt eine typische Auftragsverarbeitung vor. Und ein Auftragsverarbeitungsvertrag nach §28 muss abgeschlossen werden – zwischen Unternehmen und Lösungsanbieter. Dieser Anwendungsfall gehört aber auch in den Vertrag zwischen dem eigenen Unternehmen und dem outgesourcten Contactcenter, welches die Cloud nutzt. Daten wie die Login-Zeiten (und damit Arbeitszeiten der Mitarbeiter des Outsourcers) liegen beim externen Cloud-Contact-Center-Anbieter nämlich im Auftrag des Auftraggebers. Wichtig ist eine Definition, ob der Anbieter Kundendaten zur Verbesserung seines Dienstes nutzen und verarbeiten darf.

Datensparsamkeit

Ebenfalls wichtig: Welche Daten müssen wirklich beim Anbieter liegen, um eine Leistung zu erbringen? Wie kann das sparsam und effizient gelöst werden? Alle Telefongespräche über eine Cloud zu routen, nur damit der als Kernleistung beispielsweise 1% der Gespräche aufzeichnen und analysieren kann, ist sicherlich keine optimale Lösung…

Information Security

Es empfiehlt sich, eine Schutzbedarfsanalyse durchzuführen und dabei die technischen und organisatorischen Maßnahmen des Verarbeiters/Cloud-Providers im Detail zu prüfen, zu bewerten und auch eigene Vorgaben zu machen. Spezifische für das Projekt relevante Fälle sind auch unbedingt zu berücksichtigen: Beispielsweise, dass die Mitarbeiter des Cloud-Anbieters mobil arbeiten bzw. Support-Mitarbeiter aus aller Welt auf die Daten zugreifen.

Cloud Act

Beim US CLOUD Act handelt es sich um ein US-amerikanisches Gesetz von 2018. US-Behörden haben damit rechtmäßig Zugriff auf Daten US-amerikanischer IT-Unternehmen und Cloud-Provider auf der ganzen Welt – auch wenn diese außerhalb der USA und z.B. in Deutschland gespeichert sind. „CLOUD“ steht hier für „Clarifying Lawful Overseas Use of Data Act“. Das bedeutet, dass amerikanisch kontrollierte Unternehmen (inkl. der deutschen Tochter-GmbH, die eigentlich die Daten verarbeitet) die Daten an amerikanische Behörden herausgeben müssen. Ein Rechtsschutz der Betroffenen besteht nicht! Per se ist damit die Nutzung eines amerikanischen Cloud-Anbieters bzw. amerikanisch kontrollierter Rechenzentren mit der DSGVO nicht vereinbar.

Verschlüsselung

Da diese Thematik den Cloud-Providern auch bewusst ist, setzen sie verstärkt auf Verschlüsselungsmechanismen, damit sie selbst nicht auf die Daten zugreifen können. Die Daten müssen also in jedem Status verschlüsselt sein:

  • Data in Transit (eine Transportverschlüsselung wie TLS etc. muss eingesetzt werden)
  • Data in Rest (gespeicherte Daten müssen verschlüsselt werden)
  • Data in Process (Daten während der Verarbeitung müssen verschlüsselt bleiben)

Confidential Computing

Für die Verschlüsselung wurden und werden Technologien unter dem Überbegriff „Confidential Computing“ eingeführt und je nach Anbieter unterschiedlich umgesetzt. Einen verwandten Ansatz verfolgen vor allem deutsche Software-Unternehmen: Dass die Daten zwar beim Cloud-Anbieter gespeichert, dort aber verschlüsselt werden. Die Ver- und Entschlüsselung erfolgt nur im Client. Inwieweit die Anbieter bei solchen Ansätzen nicht mehr auf die Daten zugreifen können, ist immer noch Vertrauenssache, allemal aber besser, als die Daten unverschlüsselt ins Nicht-DSGVO-Ausland zu übertragen.

Recht auf Löschung

Das Recht auf Löschung (DSGVO §17) ist eines der wichtigsten zentralen Werkzeuge zur Durchsetzung datenschutzrechtlicher Selbstbestimmung. Daten müssen aus verschiedenen Gründen gelöscht werden – nicht nur Inhouse beim Unternehmen, sondern auch bei entsprechenden Cloud-Providern. Gründe für die Löschung mögen sein:

  • Eine Datenspeicherung ist nicht mehr notwendig (Beispiel: Der Kunde hat gekündigt und die Vorhaltefristen der Daten sind abgelaufen)
  • Die Verarbeitung der Daten war nicht rechtmäßig. Oder: die Einwilligung zur Verarbeitung wurde widerrufen bzw. der Kunde hat gegen die Verarbeitung Widerspruch eingelegt. Denn dann kann das Unternehmen keine schützenswerten Gründe geltend machen

Im Endeffekt reicht eine einfache Löschfrist der Daten (nach beispielsweise sechs Monaten, zwei Jahren oder fünf Jahren) je nach Thema nicht aus. Die Daten einzelner Datenpunkte müssen ganz genau betrachtet und auf Einzelfallbasis gelöscht werden können. Man sollte hierbei bedenken, dass die Löschanforderung nicht nur von Kunden, sondern auch von Agenten/Usern kommen kann. Etwa dann, wenn ein Mitarbeiter das Unternehmen verlassen hat. Leider ist das eine Anforderung, die auch einige in Deutschland sehr häufig genutzte ContactCenter-Lösungen nicht ausreichend umgesetzt haben – sowohl von deutschen als auch außereuropäischen Anbietern. Verwunderlich, da die Regularien ja schon vor vier Jahren (Stand Februar/März 2022) in Kraft getreten sind…

Sogenannte „Litigation Hold“-Funktionen sollten in diesem Zusammenhang auch nicht unerwähnt bleiben: Daten, die länger gespeichert werden dürfen, sollte es etwa zu einem Streitfall kommen und diese Daten relevant werden.

Backup & Sicherungen

Aus Sicherheitsgründen ist es geboten, Backups zu erstellen und vorzuhalten, um sie bei Bedarf zurückzuspielen. Das soll dem Verlust von Daten vorgebeugen. Allerdings gelten auch für Backups die gleichen Regeln wie für die Live-Daten. Was nützt das Recht auf Löschen, wenn ein zwei Jahre altes Backup die bereits gelöschten Daten wiederherstellt? In der Regel wird daher der Zugriff eines Backups und die Speicherfrist des Backups auf das Allernotwendigste limitiert: Zum Beispiel hat nur der IT-Admin für sieben Tage und im Vier-Augen-Prinzip Zugriff (im Notfall), danach werden Backups gelöscht. Auch dies sollte mit dem Cloud-Anbieter entsprechend vereinbart werden.

PCI-Compliance für sichere Kreditkartenzahlung

Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk im Zahlungsverkehr. Es bezieht sich auf die Abwicklung von Kreditkartentransaktionen und wird von allen wichtigen Kreditkartenorganisationen unterstützt. Relevant für Contact Center-Lösungen ist der Anwendungsfall, da sie Kreditkarten-Daten über die Lösung abwickeln. Entsprechende Sicherheitsmaßnahmen sind einzuleiten: Typischerweise müssen beispielsweise Aufzeichnungen pausiert werden, wenn Kreditkartendaten im Gespräch vorkommen. Auch bei Transkripten müssen diese Daten entfernt/anonymisiert werden. Die Speicherung von Kreditkartendaten im System erfordern weitere Schutzmechanismen.

TKG und verbraucherfreundliches Telemarketing

Auch das TKG gibt für Cloud-Lösungen gewisse Vorgaben. Auszugsweise:

§120 Abs. 4:Sämtliche an der Verbindung beteiligte Anbieter öffentlich zugänglicher Telekommunikationsdienste müssen sicherstellen, dass als Rufnummer des Anrufers nur dann eine national signifikante Rufnummer des deutschen Nummernraums angezeigt wird, wenn die Verbindung aus dem öffentlichen deutschen Telefonnetz übergeben wird. Wird eine Verbindung, bei der eine national signifikante Rufnummer des deutschen Nummernraums angezeigt wird, aus dem ausländischen Telefonnetz übergeben, haben die Anbieter sicherzustellen, dass netzintern der Eintrittsweg der Verbindung in das deutsche Netz eindeutig gekennzeichnet wird; die Rufnummernanzeige ist zu unterdrücken“.

Zum Rechtstext mal ein Beispiel aus der Praxis: Ein Cloud-Anbieter mit Sitz in Amsterdam kann bei ausgehenden Anrufen zu deutschen Kunden aus Amsterdam keine deutsche Anrufer-Nummer übertragen, da beispielsweise die Telekom diese entfernen muss, sodass der Anruf als „Anonym“ beim Anrufer ankommt – was im B2B-Umfeld ungünstig, im B2C-Outbound rechtswidrig ist. Dafür findet man sicherlich Lösungen. Diese unterscheiden sich aber je nach Anbieter. Richtig komplex wird es insbesondere bei internationalen Unternehmen mit vielen lokalen Niederlassungen, einer zentralen Cloud-Lösung und der Maßgabe, dass ausgehende Anrufe jeweils die lokale Rufnummer übertragen müssen.

Erschwerend kommen hier die Verhaltensregeln für verbraucherfreundliches Telemarketing hinzu: Etwa Absprache der Verbände wie Bitkom, DDV mit der BNetzA, welche bei Werbeanrufen immer die Übertragung einer rückrufbaren Nummer fordert. Spannend ist ebenfalls §175: Der Paragraph verpflichtet Anbieter von Telekommunikationsleistungen zur Speicherung von Verkehrsdaten, unter Umständen im Zusammenhang mit §176 ausschließlich im Inland (!). Insbesondere für Telcos ist die Nutzung einer Cloud, wenn dabei Verkehrsdaten ins Spiel kommen, recht schwierig. Was dabei aber Verkehrsdaten sind, wird aus unserer Erfahrung unterschiedlich ausgelegt. Für einzelne Telcos fällt hierunter aber bereits ein einzelner „Call Data Record“ in einer Callcenter- oder Sprachanalyse-Lösung. Im Rahmen der oben genannten Absprachen der Verbände mit der BNetzA ist auch die Pflicht zur Speicherung von Dialerlogs fürs Telemarketing mitzuberücksichtigen.

Die Arbeitnehmervertretung hat Mitspracherecht

Immer wenn eine „technische Einrichtung“ das Verhalten oder die Leistung der Arbeitnehmer überwachen kann, bzw. eine mobile Arbeit ermöglicht, ist diese mitbestimmungspflichtig (BetrVG §87 Abs. 6). Wichtig ist hierbei das Wort kann und nicht die tatsächliche Nutzung der Daten. Es reicht, dass das Überwachen grundsätzlich möglich wäre. Im Rahmen seiner allgemeinen Aufgaben hat der Betriebsrat darüber zu wachen, dass die für den Betrieb anzuwendenden Bestimmungen des Bundesdatenschutzgesetzes durchgeführt werden (Betrvg §Art 80 Abs. 1). Dementsprechend ist auch bei Cloud-Lösungen der Betriebsrat miteinzubeziehen. Hierzu möchten wir gerne auf unseren vorherigen Blogartikel verweisen. Es hilft in solchen Diskussionen sicherlich, wenn das Berechtigungskonzept des Anbieters sehr granular definiert ist. Also, dass beim Reporting etwa genau definiert werden kann, wer auf welche Kennzahlen zugreifen darf – und wer nicht.

Datenschutzbeauftragte & Juristen kennen sich aus

Die schöne neue Welt bringt neue Herausforderungen zu Tage. Dieser Artikel soll keine Rechtsberatung darstellen und die oben genannten Punkte geben nur einen kleinen Auszug und eine Interpretation der Anforderungen wieder. Gewiss muss man jeden Fall einzeln anschauen, klar wird aber, dass viele Regularien zu berücksichtigen sind. Wir empfehlen daher, unbedingt einen Datenschützer/Juristen vor Beauftragung einer Cloud im Contact Center hinzuzuziehen.

Wir haben entsprechende Expertise im Netzwerk und unterstützen gerne – kontaktieren Sie uns einfach!

Roland Ruf – RUF Beratung

Nach oben scrollen