Genesys Cloud und GDPR-Konformität

Lesen Sie diesen Artikel, um zu erfahren, wie Genesys Cloud mit der GDPR umgeht und was Ihr Unternehmen über die GDPR-Implementierung von Genesys Cloud wissen muss. Einen allgemeinen Überblick über die Datenschutz-Grundverordnung finden Sie unter Überblick über die Datenschutz-Grundverordnung.

GDPR-Ausbildung

Die Allgemeine Datenschutzverordnung (GDPR) ist eine wichtige Änderung der Datenschutzbestimmungen. Genesys Cloud investierte viel Zeit in GDPR-Schulungen für das Sicherheits- und Compliance-Team. Die Schulung und Zertifizierung durch die International Association of Privacy Professionals (IAPP) begann Anfang 2017. Weitere Informationen über die GDPR finden Sie unter GDPR compliance.

GDPR-Projekt

Genesys Cloud hat ein GDPR-Projekt in Auftrag gegeben:

  • Vervollständigen Sie ein aktualisiertes Dateninventar und bestimmen Sie jeden Ort, an dem Genesys Cloud PII speichert/verarbeitet/übermittelt
  • Entwurf und Implementierung einer GDPR-API für unsere Kunden zur Umsetzung der Anfragen ihrer Kunden zur Ausübung ihrer grundlegenden Rechte als Datensubjekt
  • Durchführung einer Datenschutz-Folgenabschätzung

Ist Genesys Cloud GDPR-konform?

Die juristischen und technischen Fachleute von Genesys Cloud haben die GDPR geprüft und eine Schulung und Zertifizierung durch die International Association of Privacy Professionals (IAPP)absolviert.  In seiner Rolle als Datenverarbeiter hat Genesys Cloud Maßnahmen ergriffen, um die Anforderungen der Verordnungen zu erfüllen.

Die Datenschutz-Grundverordnung schreibt in Artikel 28 vor, dass die für die Verarbeitung Verantwortlichen "nur Auftragsverarbeiter heranziehen, die ausreichende Garantien für die Anwendung geeigneter technischer und organisatorischer Maßnahmen bieten" Genesys Cloud hat diese Maßnahmen umgesetzt. Unsere Fachleute können sie mit Ihnen besprechen.  Weitere Informationen erhalten Sie unter dataprivacy@genesys.com

Ist Genesys Cloud GDPR-zertifiziert?

Für einen Anbieter von Cloud-Diensten wie Genesys Cloud gibt es keine GDPR-Zertifizierung. Genesys Cloud hat sich jedoch mehreren unabhängigen Prüfungen unserer administrativen, physischen und technischen Kontrollen für andere Datenschutzbestimmungen unterzogen, wie HIPAA.

Als Datenverarbeiter setzt Genesys Cloud geeignete technische und organisatorische Maßnahmen um. Weitere Informationen finden Sie unter Über Sicherheit und Compliance.

Wo unterstützt Genesys Cloud die Einhaltung der GDPR?

Genesys Cloud unterstützt die Einhaltung der GDPR für alle von Genesys Cloud bereitgestellten Amazon Web Services (AWS) Regionen.

Muss ich die Einhaltung der GDPR gewährleisten?

Sie müssen nichts innerhalb von Genesys Cloud aktivieren oder konfigurieren, um die GDPR zu erfüllen. Die GDPR-API ist für alle Kunden verfügbar. Die GDPR kann jedoch eine Datenverarbeitungsvereinbarung (DPA) zwischen Ihnen und Genesys Cloud erfordern. Das Datenschutzgesetz gilt für die Verarbeitung personenbezogener Daten.

Was sind die GDPR-Anforderungen für Predictive Engagement?

Wenn Ihr Unternehmen plant, Predictive Engagement zu nutzen, um Daten über die Aktivitäten von Besuchern auf Ihrer Website zu sammeln, müssen Sie die Schritte zur Einhaltung der GDPR befolgen Weitere Informationen finden Sie unter Predictive Engagement und GDPR.

Was ist ein DPA oder ein Datenverarbeitungsabkommen?

Die DSGVO schreibt in Artikel 28 vor: "Die Verarbeitung durch einen Auftragsverarbeiter wird durch einen Vertrag oder einen anderen Rechtsakt nach dem Unionsrecht oder dem Recht der Mitgliedstaaten geregelt, der für den Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen verbindlich ist und in dem der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind."

Wenn Sie glauben, dass Sie der DSGVO unterliegen, ist Genesys Cloud bereit, eine DPA zu besprechen, die diese Anforderungen erfüllt. Um eine Genesys Cloud DPA zu erhalten, kontaktieren Sie dataprivacy@genesys.com.

Wie sollte ich auf GDPR-Datenanfragen reagieren?

Genesys Cloud bietet eine GDPR API als bevorzugte Self-Service-Lösung für Genesys Cloud-Kunden, um auf GDPR-Anfragen zu antworten. Die GDPR-API ermöglicht die Beantwortung von Anfragen betroffener Personen nach Zugang, Berichtigung oder Löschung ihrer personenbezogenen Daten in Genesys Cloud. 

Beschränkungen der GDPR-API

Die GDPR-API ist für Kunden gedacht, die auf individuelle Anfragen von Betroffenen reagieren müssen. Die GDPR-API ist nicht für die Beantwortung von Massenanfragen, wie z. B. die Massenlöschung von Daten, ausgelegt. Die GDPR-API unterliegt Tarifbeschränkungen, die in der API-Dokumentation beschrieben sind. Diese Ratenbeschränkungen können versuchte Massenoperationen einschränken, um die Verfügbarkeit der Plattform zu erhalten.

Wie funktioniert der Genesys Cloud GDPR-Service? 

Was Sie über die Genesys Cloud GDPR API wissen müssen.

GDPR-Dienst-Endpunkte

Der GDPR-Dienst stellt zwei Endpunkte zur Verfügung - einen ersten Endpunkt zur Identifizierung der Personen , auf die ein bestimmter Suchbegriff zutrifft, und einen zweiten Endpunkt für die eigentliche Einleitung von GDPR-Anfragen . Der Endpunkt subjects akzeptiert einen einzelnen Suchbegriff, der aus einem Namen, einer Adresse, einer Telefonnummer, einer E-Mail-Adresse oder einem Social-Media-Handle besteht, und gibt eine Liste mit 0 oder mehr übereinstimmenden Subjects zurück, die aus einer userId, externalContactId oder dialerContactId besteht. Der Endpunkt requests akzeptiert einen einzelnen Suchbegriff und einen Anfragetyp von Get, Export, Update oder Delete für die Beantwortung von Anfragen nach Artikel 15 (Zugang), Artikel 16 (Berichtigung) und Artikel 17 (Löschung). Der Anfragen-Endpunkt akzeptiert einen einzelnen Suchbegriff aus einem Namen, einer Adresse, einer Telefonnummer, einer E-Mail-Adresse, einem Social-Media-Handle, einer Benutzer-ID, einer externen Kontakt-ID oder einer Dialer-Kontakt-ID, um den angegebenen GDPR-Anfragetyp zu initiieren. Handelt es sich bei dem Begriff um eine ID, löst der Dienst sie zunächst in die entsprechende Ressource auf (Benutzer, externer Kontakt, Dialer-Kontakt) und fügt die bekannten Felder in die GDPR-Anfrage ein.

Der Endpunkt "Themen" identifiziert Themen und Übereinstimmungen mit dem Suchbegriff

Der Endpunkt subjects akzeptiert einen einzelnen Suchbegriff von vier Typen name, Adresse, Telefon oder E-Mail und gibt eine Liste aller Personen aus, die dem Suchbegriff entsprechen.  Ein Betreff kann eine userId, externalContactId oder dialerContactId sein. Die zurückgegebene Liste kann keine Themen, ein einziges Thema oder viele Themen enthalten. 

Genesys Cloud empfiehlt, für jede potenzielle GDPR-Anfrage den Subjekt-Endpunkt zu verwenden, um zu ermitteln, welche Person(en) von einem nachfolgenden Anfrage-Endpunkt betroffen sind.  Durch das Auffinden aller Personen, die einem Suchbegriff entsprechen, können Genesys Cloud-Kunden das Risiko unvorhergesehener Auswirkungen einer bestimmten GDPR-Anfrage verringern. Der Endpunkt "Subjects" kann auch verwendet werden, um die Ergebnisse zu disambiguieren, wenn ein bestimmter Suchbegriff mit mehreren Subjects übereinstimmt. Da der Subjects-Endpunkt alle übereinstimmenden Subjects für einen bestimmten Suchbegriff zurückgibt, kann ein API-Nutzer genauere Suchkriterien für eine nachfolgende GDPR-Anfrage entdecken. 

Für Daten, die von einigen Genesys Cloud-Funktionen und -Diensten gespeichert werden, müssen Sie die GDPR-API mit einem Subjekt verwenden.  Diese Dienste, bei denen ein Subjekt in die GDPR-API-Anfrage aufgenommen werden muss, sind:

Der Endpunkt für Anfragen akzeptiert einen einzelnen Suchbegriff und bestimmte Anfragetypen

Der Endpunkt requests akzeptiert einen einzelnen Suchbegriff beliebigen Typs (Name, Adresse, Telefon, E-Mail, Benutzer-ID, externe Kontakt-ID, Dialer-Kontakt-ID) und einen einzelnen Anfragetyp von Get, Export, Update oder Delete und gibt eine GDPR-Anfrage zurück, die erstellt und initiiert wurde. Exportieren entspricht einem Antrag nach Artikel 15 (Zugang), Aktualisieren entspricht einem Antrag nach Artikel 16 (Berichtigung) und Löschen entspricht einem Antrag nach Artikel 17 (Löschung). Bei der Anforderungsart "Löschen" können einige Dienste personenbezogene Daten anonymisieren, anstatt sie zu löschen. Die eigentliche Verarbeitung dieser Anfrage erfolgt asynchron.  Handelt es sich bei dem angegebenen Begriff um eine Benutzer-ID oder eine ID eines externen Kontakts, löst der GDPR-Dienst diese ID zunächst in den entsprechenden Benutzer, externen Kontakt bzw. Dialer-Kontakt auf und fügt alle bekannten Felder des Benutzers, externen Kontakts oder Dialer-Kontakts in die Anfrage ein, zusätzlich zu der angegebenen ID.

Kunden verwenden den Endpunkt für Anfragen, um eine tatsächliche GDPR-Anfrage zu erstellen. Sie sollten zuerst den Endpunkt "Subjects" verwenden, um sicherzustellen, dass der von ihnen verwendete Suchbegriff nur das beabsichtigte Datensubjekt betrifft. Wenn mehrere Kriterien bekannt sind, müssen sie mehrere Anträge stellen, einen pro Begriff. Es wird nachdrücklich empfohlen, dass die Kunden Anträge für alle bekannten Identifikatoren einer Person stellen.  Wenn zum Beispiel eine Person oder eine betroffene Person eine Anfrage an den Kunden stellt, sollte der Kunde den Namen, die Telefonnummer und die E-Mail-Adresse der Person erfassen und für jede dieser Angaben eine GDPR-Anfrage an Genesys Cloud senden.

Genesys Cloud GDPR API Tarifgrenzen

Während die GDPR für Datensubjekte in der Europäischen Union gilt, ist die Genesys Cloud GDPR API für Kunden in allen Genesys Cloud Regionen verfügbar. Die GDPR-API hat jedoch eine strenge Ratenbegrenzung, um die Leistung der Lösung aufrechtzuerhalten.

Was ist, wenn ich die Einzelkundenansicht verwende?  

Wenn Ihr Unternehmen die Einzelkundenansicht verwendet, können zwei oder mehr externe Kontakte zusammengeführt werden , wenn sie dieselbe Person repräsentieren. Dies hat zwei Auswirkungen auf die GDPR-API. 

Erstens könnte der Endpunkt subjects mehrere externe Kontakt-IDs aufzeigen, die derselben Person entsprechen (mit anderen Worten, zum selben Merge-Set gehören). Bei der Prüfung der Antwort des Endpunkts subjects sollte der Aufrufer die API für externe Kontakte verwenden, um festzustellen, welche der externen Kontakt-IDs zu demselben Zusammenführungssatz gehören. Rufen Sie dazu jeden Kontakt ab und ermitteln Sie, welche Kontakte denselben canonicalContact haben. 

Zweitens, wenn Sie eine Anfrage an den Endpunkt Anfragen stellen, stellen Sie nur eine einzige Anfrage pro Merge-Set für die kanonische Kontakt-ID in diesem Merge-Set. Die GDPR-API dupliziert die Anfrage für jede externe Kontakt-ID in der Zusammenführungsgruppe dieses Kontakts und gibt die zugehörigen Anfragen im Feld "relatedRequests" im Antwortkörper zurück. 

Die entsprechenden Anträge sind unabhängig, vollwertige Anträge. Jede zusammenhängende Anfrage wird unabhängig von den anderen erfolgreich sein oder fehlschlagen, und das Ergebnis jeder zusammenhängenden Anfrage muss einzeln überprüft werden. Wenn eine der zugehörigen Anfragen fehlschlägt, warten Sie, bis alle zugehörigen Anfragen beendet sind, bevor Sie die Anfrage erneut versuchen. Dadurch bleiben die Anfragen während des Fluges leicht verständlich. Wenn Sie den Vorgang wiederholen, bevor alle zugehörigen Anfragen abgeschlossen sind, sollte die Dublettenprüfung verhindern, dass das System doppelte Anfragen erzeugt, wenn Anfragen für andere Kontakte in der Zusammenführungsgruppe noch in Bearbeitung sind. 

Weitere Informationen zum Kontaktdatenmodell, zu kanonischen Kontakten und Zusammenführungssätzen finden Sie unter Kontaktzusammenführung im Developer Center.

Leitet die Suche Suchvorgänge auf Grundlage von Daten innerhalb eines externen Kontakts weiter?

NEIN. Kunden können eine externe Kontakt-ID als Betreff verwenden. Ein Kontakt mit einer übereinstimmenden externalContactID kann eine oder mehrere zusätzliche Arten personenbezogener Daten enthalten, beispielsweise eine geschäftliche Telefonnummer, eine Mobiltelefonnummer oder Informationen zu einem Social-Media-Kanal. Beim Antworten auf eine DSGVO-API-Anfrage mit dem Betreff „externalContactID“ durchsucht Genesys Cloud die Plattform nicht automatisch nach personenbezogenen Daten, die mit diesem Kontakt verknüpft sind und in diesen Feldern gefunden werden. In diesem Szenario empfiehlt Genesys Cloud den Kunden, einen übereinstimmenden Kontakt und alle im Kontakt enthaltenen personenbezogenen Daten zu überprüfen und alle weiteren DSGVO-API-Anfragen mit diesen Betreff zu übermitteln. Wie oben erwähnt, empfiehlt Genesys Cloud, den Subjekt-Endpunkt für jede potenzielle DSGVO-Anfrage zu verwenden, um zu ermitteln, welche Person(en) von einem nachfolgenden Anfrage-Endpunkt betroffen sind. Durch die Suche nach allen Themen, die einem Suchbegriff entsprechen, können Genesys Cloud-Kunden das Risiko unvorhergesehener Auswirkungen einer bestimmten DSGVO-Anfrage reduzieren.

Durchsucht die GDPR-API auch Dateianhänge?

ACD-Interaktionen, wie z. B. E-Mail-Interaktionen und Nachrichteninteraktionen (Nachrichtenplattformen von Drittanbietern, wie Facebook Messenger, WhatsApp und Twitter Direct Message, Genesys Cloud Web Messaging und Open Messaging) können personenbezogene Daten in Form von Dateianhängen erhalten. Genesys Cloud durchsucht den Inhalt solcher Anhänge nicht nach persönlichen Daten. Stattdessen arbeitet eine GDPR-Anfrage mit einer externen ID, und wenn diese spezifische ID in der Anfrage verwendet wird, werden die Konversation und alle zugehörigen Dateianhänge gefunden. Später werden die zugehörigen Dateianhänge in eine GDPR-API-Antwort auf eine nachfolgende Anfrage der betroffenen Person aufgenommen und/oder entfernt.

Wenn zum Beispiel eine betroffene Person ein Bild über den Facebook Messenger hochlädt, verwendet Genesys Cloud die externe ID, um die Konversation und alle damit verbundenen Dateianhänge zu finden und lädt sie hoch. Wenn die betroffene Person später einen Antrag auf Löschung ihrer Daten gemäß Artikel 17 stellt, wird die Genesys Cloud API alle von der betroffenen Person hochgeladenen Dateien unabhängig von ihrem Inhalt löschen.  In diesem Beispiel würde Genesys Cloud auf die GDPR-API-Anfrage reagieren und das von der betroffenen Person über Facebook Messenger hochgeladene Bild entfernen, unabhängig vom tatsächlichen Inhalt des Bildes. 

Alle ACD-Interaktionen, die personenbezogene Daten in Form von Dateianhängen enthalten, müssen mit einem Kontaktprofil verbunden sein, das in Externe Kontaktegespeichert ist Es gibt keine Methode, um nach persönlichen Daten zu suchen, die in ACD-Interaktionen unabhängig von externen Kontakten gespeichert sind. Wenn personenbezogene Daten in einer ACD-Interaktion über eine benutzerdefinierte Variable gespeichert sind, können sie nicht über die GDPR-API gefunden werden, es sei denn, die Interaktion ist mit einem Kontaktprofil verbunden.

Können Sie ein Beispiel für eine Antwort auf eine GDPR-Anfrage der betroffenen Person geben?

Dieses Beispiel veranschaulicht eine effektive Antwort auf eine GDPR-Anfrage unter Verwendung der Genesys Cloud GDPR API

Anfrage

Sie erhalten von einer betroffenen Person einen gültigen Antrag auf Löschung ihrer Daten. Die betroffene Person hat ihren Namen und ihre E-Mail-Adresse angegeben.  

Antwort

  1. Führen Sie zwei separate Betreff-API-Aufrufe mit den zwei separaten Identifikatoren (Name und E-Mail-Adresse) durch, die die betroffene Person angegeben hat.
  2. Überprüfen Sie die Ergebnisse der Endpunktanfragen, um die Ergebnisse zu disambiguieren und passende Themen zu finden. Als übereinstimmende Subjekte gelten nur die Subjekte, die mit den von der betroffenen Person angegebenen Identifikatoren korreliert werden können.
  3. Führen Sie für jedes in Schritt 2 ermittelte übereinstimmende Thema individuelle API-Aufrufe durch. Wenn Ihre zwei Betreff-Endpunktaufrufe mehrere Objekte zurückgegeben haben, stellen Sie sicher, dass Sie mehrere Anfrage-API-Aufrufe durchführen, einen für jeden passenden Betreff. Andernfalls wird Ihre Antwort unvollständig sein.
  4. Prüfen Sie, ob die GDPR-API entsprechende Anfragen generiert hat, wie in "Was ist, wenn ich die Einzelkundenansicht verwende?" beschrieben.

Was ist, wenn ich die Genesys Cloud GDPR API nicht nutzen kann?

Genesys Cloud empfiehlt die Nutzung der GDPR-API als Self-Service-Option für die Beantwortung von GDPR-Anfragen. Wenn bei der Verwendung der GDPR-API ein Fehler auftritt, reichen Sie bitte einen Fall über das MySupport Portalein. Wenn Sie die GDPR-API nicht verwenden können und auf eine GDPR-Anfrage reagieren müssen, kann Ihnen unser Professional Services-Team helfen. Wenden Sie sich an Ihren Customer Success Manager, um einen Arbeitsplan für diesen Aufwand zu erstellen.

Wie lange dauert es, bis Genesys Cloud auf eine Anfrage einer betroffenen Person nach der DSGVO reagiert?

Die typische Antwortzeit für Genesys Cloud, um alle personenbezogenen Daten als Antwort auf einen Antrag auf Zugang oder Übertragbarkeit abzurufen, beträgt 1-2 Tage. Was einen Antrag auf Löschung oder "Vergessen Sie mich" im Rahmen der DSGVO betrifft, so benötigt Genesys Cloud nicht länger als 14 Tage, um personenbezogene Daten zu entfernen oder sie auf Antrag zu anonymisieren.

Was geschieht, wenn ein Arbeitnehmer einen Antrag auf Löschung nach Artikel 17 stellt? 

Die Verwendung von Genesys-Produkten erfordert die Verarbeitung personenbezogener Daten der Mitarbeiter (Name des Benutzers, berufliche Telefonnummer und berufliche E-Mail-Adresse), um das ordnungsgemäße Funktionieren der Genesys-Lösung zu gewährleisten. Ohne die Speicherung dieser personenbezogenen Daten eines Mitarbeiters könnte Genesys Cloud seine Funktion nicht mehr erfüllen. Für die derzeitigen Mitarbeiter ist die Verarbeitung ihrer personenbezogenen Daten daher zur Wahrung der berechtigten Interessen des Kunden erforderlich. Darüber hinaus kann der Kunde verpflichtet sein, Aufzeichnungen über die Interaktion mit den Mitarbeitern zu führen, um andere gesetzliche Anforderungen zu erfüllen. Aufgrund der Rechtmäßigkeit dieser Verarbeitung und der Konzeption der Genesys-Produkte empfiehlt Genesys nicht, personenbezogene Daten, die mit einem laufenden Nutzer verbunden sind, zu löschen.

Können Kunden angeben, ob personenbezogene Daten gelöscht oder anonymisiert werden sollen?

Nein. Einige Genesys Cloud-Dienste löschen personenbezogene Daten auf Anfrage. Andere Dienste anonymisieren personenbezogene Daten auf Wunsch.

Habe ich irgendwelche Verantwortlichkeiten für die Nutzung von Genesys Cloud in einer GDPR-konformen Weise?

Ja. Sie können bestimmte Dienste, die personenbezogene Daten speichern, falsch konfigurieren. Dies hindert Genesys Cloud daran, diese Daten zu suchen, darauf zuzugreifen oder sie zu entfernen.

  • Genesys Cloud-Plattform  Speichern Sie keine persönlichen Daten in benutzerdefinierten Attributschlüsseln. Dieses Feld wird von der GDPR-API-Funktionalität nicht durchsucht, aktualisiert oder entfernt.
  • Architect Speichern Sie keine persönlichen Daten in Ablaufnamen, Ablaufbeschreibungen, Zustandsnamen, Aufgabennamen, Aktionsnamen oder Prompt-Text-to-Speech-Werten.
  • Verzeichnis Speichern Sie keine persönlichen Daten im persönlichen Status.
  • Messaging-Integrationen anzeigen Alle Web-Messaging-Interaktionen, die personenbezogene Daten enthalten, müssen mit einem Kontaktprofil verbunden sein, das in Externe Kontaktegespeichert ist Es gibt keine Methode, um unabhängig von externen Kontakten nach persönlichen Daten zu suchen, die in Web-Messaging-Interaktionen gespeichert sind. Wenn personenbezogene Daten in einer Web-Messaging-Interaktion über eine benutzerdefinierte Variable gespeichert werden, können sie nicht über die GDPR-API gefunden werden, es sei denn, die Web-Messaging-Interaktion ist mit einem Kontaktprofil verbunden.
  • Web-Chat-Interaktionen: Alle Web-Chat-Interaktionen, die personenbezogene Daten enthalten, müssen mit einem Kontaktprofil verbunden sein, das in Externe Kontaktegespeichert ist Es gibt keine Methode zur Suche nach persönlichen Daten, die in Web-Chat-Interaktionen unabhängig von externen Kontakten gespeichert sind. Wenn personenbezogene Daten in einem Webchat über eine benutzerdefinierte Variable gespeichert werden, können sie nicht über die GDPR-API gefunden werden, es sei denn, die Webchat-Interaktion ist mit einem Kontaktprofil verknüpft.

GDPR-Rollen bei Genesys

Genesys-Mitarbeiter mit Aufgaben im Zusammenhang mit GDPR:

  • Datenschutzbeauftragter - William Dummett
  • Europäischer Datenschutzbeauftragter - Shahzad Muhammad Naveed Ahmad 
  • Genesys Cloud-App Direktor für Sicherheit und Einhaltung von Vorschriften - Eric Cohen CISSP, CIPM, CIPP/E