Überblick

Neue Datenschutzgesetze und bewährte Verfahren mit Odoo

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft, die eine neue Ära des Datenschutzes und der Privatsphäre für jedermann einläutet. Sicherlich haben Sie schon viel über die DSGVO gehört und gelesen, aber es kann schwierig sein, genau zu verstehen, was sie für Ihr Unternehmen in der Praxis bedeutet und was Sie tun sollten, um die neuen Vorschriften einzuhalten.

Bei Odoo haben wir uns verpflichtet, bewährte Verfahren in Bezug auf Sicherheit und Datenschutz zu befolgen. Wir bemühen uns, allen Benutzern und Kunden das gleiche Maß an Schutz zu bieten, unabhängig von ihrem Standort oder ihrer Staatsangehörigkeit. Und wir wenden diese bewährten Verfahren auf alle Daten an, nicht nur auf personenbezogene.

Odoo und seine Niederlassungen halten sich an die DSGVO.

Was Sie über die DSGVO wissen müssen

Hinweis
Um die DSGVO zu verstehen, lesen Sie am besten den offiziellen Text.
Er ist etwas lang (99 Artikel über 88 Seiten), aber auch für Leute, die keine Experten sind, gut lesbar.

Es handelt sich um eine EU-Verordnung, die darauf abzielt, bestehende Rechtsvorschriften zum Schutz der Privatsphäre, wie die EU-Datenschutzrichtlinie, die sie ersetzt, zu harmonisieren und zu modernisieren. Sie legt Regeln für den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und für den freien Verkehr personenbezogener Daten in Europa fest.

Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, ist sie in allen EU-Mitgliedstaaten sofort anwendbar, ohne dass sie in das innerstaatliche Recht der einzelnen Länder umgesetzt werden muss. Die EU-Länder haben einen begrenzten Auslegungsspielraum für die Feinheiten, aber die grundlegenden Regeln werden für alle gleich sein, überall in der EU.

Die DSGVO bringt die Gesetzgebung auch in das nächste Jahrtausend und berücksichtigt soziale Medien, Cloud-Computing, Cyberkriminalität und die großen Herausforderungen, die sie im Hinblick auf den Schutz und die Sicherheit personenbezogener Daten mit sich bringen.

Kurz gesagt: Keine Panik

Die DSGVO ist keine bahnbrechende neue Rechtsvorschrift und sie ist grundsätzlich eine gute Sache für Bürger und Unternehmen.

Sie ist etwas Positives!

Wir möchten betonen, dass die DSGVO für Sie und Ihre Kunden von großem Nutzen sein kann. Die Einhaltung der DSGVO mag anfangs eine Menge Arbeit bedeuten, aber die neuen Regeln haben auch ihre Vorteile:

  • Mehr Vertrauen seitens Ihrer Kunden und Benutzer
  • Vereinfachung: Dieselben Regeln werden in allen EU-Ländern angewandt
  • Rationalisierung und Zentralisierung Ihrer organisatorischen Prozesse

Der Zweck der DSGVO ist es, Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten zu geben. Wenn Ihr Unternehmen die richtigen Strategien und Systeme einführt, werden sie in den kommenden Jahren einfacher zu verwalten, sicherer und geschützer sein.

Welche Risiken enstehen, wenn Sie die Vorschriften nicht einhalten?

Die Höchststrafe für Verstöße ist ein Bußgeld von 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für kleinere Verstöße gilt ein geringerer Höchstbetrag von 10 Millionen Euro oder 2 % Ihres weltweiten Jahresumsatzes.

Diese Höchststrafen sollen für Unternehmen jeder Größenordnung abschreckend sein, aber die DSGVO verlangt auch, dass die Bußgelder verhältnismäßig sind.

Die Aufsichtsbehörden (auch bekannt als Datenschutzbehörden) müssen die Umstände jedes einzelnen Falles berücksichtigen, einschließlich der Art, Schwere und Dauer des Verstoßes. Die Datenschutzbehörden sind auch befugt, Untersuchungen durchzuführen und Abhilfemaßnahmen zu verhängen, zu denen auch die Einschränkung unrechtmäßiger Aktivitäten gehört, ohne dass unbedingt eine Geldstrafe verhängt werden muss.

Ein weiteres Risiko, das Sie eingehen, wenn Sie die Vorschriften nicht einhalten, ist der Verlust des Vertrauens Ihrer Kunden und Interessenten, denen die Art und Weise, wie Sie ihre Daten verarbeiten, wichtig ist!

Schließlich haben viele Datenschutzbehörden angedeutet, dass sie 2018 noch keine Bußgelder verhängen werden, aber sie erwarten, dass die Unternehmen nachweisen, dass sie auf die Einhaltung der Vorschriften hinarbeiten.

Die wichtigsten Grundsätze der DSGVO

Umfang

Die Verordnung gilt für jede Verarbeitung personenbezogener Daten durch jede Organisation:

  1. Wenn die verantworliche oder verarbeitende Organsiation in der EU ansässig
  2. Wenn die Organisation nicht in der EU ansässig ist, aber die Verarbeitung personenbezogene Daten von betroffenen Personen, die in der EU ansässig sind, betrifft und im Zusammenhang mit kommerziellen Angeboten oder Verhaltensüberwachung steht.

Der Umfang umfasst daher auch Unternehmen außerhalb der EU, was bei den vorherigen Rechtsvorschriften nicht der Fall war.

Rollen

Die Verordnung unterscheidet zwei Haupttypen von juristischen Personen:

  • Datenverantwortlicher: jegliche Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Jede Organisation ist der Verantwortliche für ihre eigenen Daten.
  • Auftragsverarbeiter: jegliche Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Wenn Ihr Unternehmen beispielsweise eine Datenbank besitzt, die in der Odoo Cloud gehostet wird, sind Sie der Verantwortliche für diese Datenbank und Odoo SA ist nur ein Auftragsverarbeiter. Wenn Sie stattdessen Odoo on premise nutzen, sind Sie sowohl Verantwortlicher als auch Auftragsverarbeiter der Daten.

Personenbezogene Daten

Die DSGVO enthält eine weitgefasste Definition für personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, mittels ihrer Namen, E-Mails, Telefonnummer, biometrischer Informationen, Standortdaten, finanzieller Daten usw. identifiziert werden kann. Online-Kennungen (IP-Adressen, Geräte-IDs ...) fallen ebenfalls in diesen Bereich.

Dies gilt auch für Geschäftskontexte: info@odoo.com gilt nicht als personenbezogen, aber john.smith@odoo.com schon, da sie zur Identifizierung einer natürlichen Person innerhalb eines Unternehmens verwendet werden kann.

Die DSGVO verlangt auch ein höheres Schutzniveau für sensible Daten, zu denen besondere Kategorien personenbezogener Daten wie Informationen über Gesundheit, Genetik, Rasse oder Religion gehören.

Grundsätze der Datenverarbeitung

Um die Vorschriften einzuhalten, müssen bei der Verarbeitung die folgenden Regeln beachtet werden:
(wie in Artikel 5 der DSGVO aufgeführt)

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: zur Datenerhebung muss eine Rechtsgrundlage und ein klarer Zweck vorliegen und die betroffene Person muss darüber informiert werden.

    • Erstellen Sie eine einfache und klare Datenschutzrichtlinie und verweisen Sie bei jeder Datenerhebung darauf.
    • Überprüfen Sie die Rechtsgrundlage für jede Ihrer Datenverarbeitungsaktivitäten.
  2. Zweckbindung: Wenn Sie Daten für bestimmte Zwecke erhoben haben, müssen Sie die Erlaubnis erfragen, wenn Sie diese für andere Zwecke nutzen wollen.

    z. B. - Sie können nicht entscheiden, die Daten Ihrer Kunden zu verkaufen, wenn sie nicht für diesen Zweck erhoben wurden.

  3. Minimierung: Sie dürfen nur die für Ihren Zweck erforderlichen Daten erheben.

  4. Richtigkeit: Es sollten angemessene Schritte unternommen werden, um sicherzustellen, dass die Daten im Hinblick auf den Zweck auf dem neuesten Stand gehalten werden.

    z. B. - Stellen Sie sich, dass nichtzugestellte E-Mails behandelt sowie berichtigt oder gelöscht werden.

  5. Speicherbegrenzung: Personenbezogene Daten sollten nur so lange gespeichert werden, wie es für den grundlegenden Zweck, erforderlich ist.

    Bestimmen Sie Fristen für die Löschung oder Überprüfung der von Ihnen verarbeiteten personenbezogenen Daten, je nach Zweck.

  6. Integrität und Vertraulichkeit: Auftragsverarbeiter müssen je nach Art und Umfang der verarbeiteten Daten geeignete Maßnahmen zur Zugangskontrolle, Sicherheit und Verhinderung von Datenverlusten ergreifen.

    z. B. - Achten Sie darauf, dass Ihr Backup-System funktioniert, dass Sie angemessene Sicherheitskontrollen durchführen und Veschlüsselungen zum Schutz sensibler Daten wie Passwörter nutzen.

  7. Rechenschaftspflicht: Datenverarbeiter sind für die Einhaltung aller oben genannten Verarbeitungsgrundsätze verantwortlich und müssen dies auch nachweisen können.

    • Erstellen und pflegen Sie eine Datenzuordnungsreferenz für Ihre Organisation, in der die Einhaltung Ihrer Verarbeitungsaktivitäten beschrieben wird.
    • Informieren Sie Ihre Kunden mithilfe einer klaren Datenschutzrichtlinie.
Rechtsgrundlage

Um nach der DSGVO rechtmäßig zu sein (erster Grundsatz), muss die Verarbeitung personenbezogener Daten auf eine der sechs möglichen Rechtsgrundlagen gestützt sein, die in Artikel 6 (1) aufgeführt sind:

  1. Einwilligung. Gültig, wenn die betroffene Person ihre Einwilligung ausdrücklich und freiwillig gegeben hat, nachdem Sie darüber informiert wurde, einschließlich eines klar angegebenen und bestimmten Zwecks. Die Beweislast für all dies liegt bei dem Verantwortlichen.
  2. Erforderlich für die Erfüllung eines Vertrags oder zur Erfüllung von Anfragen der betroffenen Person in Vorbereitung eines Vertrags.
  3. Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt.
  4. Schutz lebenswichtiger Interessen. Wenn die Verarbeitung notwendig ist, um ein Leben zu retten.
  5. Öffentliches Interesse oder öffentlicher Gewalt.
  6. Berechtigtes Interesse. Anwenbar, wenn der Verantwortliche ein berechtigtes Interesse hat, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Eine wichtige Änderung, die die DSGVO im Vergleich zu früheren Datenschutzvorschriften mit sich bringt, sind die strengeren Anforderungen an die Einholung einer gültigen Einwilligung.

Rechte der betroffenen Person

Bestehende Datenschutzrechte für Einzelpersonen werden durch die DSGVO weiter ausgebaut. Organisationen müssen bereit sein, Anfragen von betroffenen Personen zeitnah (innerhalb eines Monats) und kostenlos zu bearbeiten:

  1. Auskunftsrecht - Einzelpersonen haben das Recht, zu wissen, welche ihrer und wie ihre personenbezogenen Daten verarbeitet werden, und zwar in voller Transparenz.
  2. Recht auf Berichtigung - Einzelpersonen haben das Recht auf Berichtigung oder Vervollständigung ihrer personenbezogenen Daten.
  3. Recht auf Löschung - Einzelpersonen haben das Recht auf Löschung ihrer personenbezogenen Daten aus legitimen Gründen (Einwilligung widerufen, nicht länger für die Zwecke notwendig usw.).
  4. Recht auf Einschränkung - Einzelpersonen können von dem Verantwortlichen die Einstellung der Verarbeitung ihrer personenbezogenen Daten verlangen, wenn sie keine vollständige Löschung wünschen oder verlangen können.
  5. Widerspruchsrecht - Einzelpersonen haben das Recht, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen, wie z. B. zu Direktmarketingzwecken.
  6. Datenübertragbarkeit - Einzelpersonen haben das Recht zu verlangen, dass ihnen personenbezogene Daten, die ein Verantwortlicher verwaltet, bereitgestellt werden oder dass diese Daten einem anderen Verantwortlichen übermittelt werden.

Wie Sie sich für die DSGVO vorbereiten sollten

Disclaimer
Wir können keine Rechtsberatung anbieten, dieser Abschnitt dient nur zu Informationszwecken. Bitte wenden Sie sich an Ihren Rechtsbeistand, um genau zu bestimmen, wie die DSGVO Ihr Unternehmen betrifft.

Hier sind die wichtigsten Schritte, die wir für einen Umsetzungsplan für die Einhaltung der DSGVO vorschlagen:

  1. Erstellen Sie eine Datenzuordnung der Datenverarbeitungsaktivitäten Ihrer Organisation, um sich ein klares Bild von der Situation zu machen. Die Datenschutzbehörden stellen häufig Vorlagen für Tabellenkalkulationen zur Verfügung, die bei dieser Aufgabe helfen. Dokumentieren Sie für jeden Vorgang die Art der personenbezogenen Daten, und wie sie erhoben wurden, den Zweck, die Rechtsgrundlage und die Löschungsrichtlinien der Verarbeitung, die technischen und organisatorischen Sicherheitsmaßnahmen sowie die beteiligten Unterauftragnehmer (Auftragsverarbeiter).

    Sie müssen diese Datenzuordnung regelmäßig pflegen, wenn sich Ihre Prozesse weiterentwickeln.
  2. Wählen Sie auf der Grundlage von Schritt 1 eine Abhilfestrategie für alle Verarbeitungen, für die Sie keine Rechtsgrundlage haben (z. B. fehlende Einwilligung) oder für die Sie keine geeigneten Sicherheitsmaßnahmen ergriffen haben. Passen Sie Ihre Prozesse, Ihre internen Verfahren, Ihre Zugangskontrollregeln, Backups, Überwachung usw. an.
  3. Aktualisieren und veröffentlichen Sie eine klare Datenschutzrichtlinie auf Ihrer Website. Erläutern Sie, welche personenbezogenen Daten Sie verarbeiten, wie Sie dies tun und welche Rechte Einzelpersonen in Bezug auf ihre Daten haben.
  4. Überprüfen Sie Ihre Verträge mit einem Rechtsbeistand und passen Sie sie an die DSGVO an.
  5. Entscheiden Sie, wie Sie die unterschiedlichen Arten von Anfragen betroffener Personen beantworten.
  6. Bereiten Sie Ihr Vorfallreaktionsverfahren im Falle einer Datenverletzung vor.

Je nach Ihrer Situation könnten weitere Elemente in die Liste aufgenommen werden, z. B. die Ernennung eines Datenschutzbeauftragten. Konsultieren Sie Ihre internen Datenverarbeitungsexperten und Ihren Rechtsbeistand, um weitere relevante Maßnahmen zu bestimmen.

Achtung!
Die Erstellung einer klaren Abbildung Ihrer Prozesse wird Ihnen den Weg zur Einhaltung der Vorschriften ebnen!

Wie Odoo die DSGVO einhält

Bei Odoo ist die Einführung von bewährten Verfahren für Datenschutz und Sicherheit keine Neuheit. Als Cloud-Hosting-Unternehmen überarbeiten und verbessern wir ständig unsere Systeme, Tools und Prozesse, um eine großartige und sichere Plattform bereitzustellen.

Unsere DSGVO-Rollen

Unsere Verantwortlichkeiten in Bezug auf den Schutz personenbezogener Daten hängen von unseren verschiedenen Datenverarbeitungsaktivitäten ab:

Unsere Rollen Datenverarbeitung Art der Daten
Datenveranwortlicher & Auftragsverarbeiter Auf Odoo.com Personenbezogene Daten, die uns von unseren direkten Kunden und Interessenten, unseren Partnern und allen direkten Benutzern von Odoo.com zur Verfügung gestellt werden (Namen, E-Mails, Adressen, Passwörter ...).
Auftragsverarbeiter Auf Odoo Cloud
(Odoo Online, Odoo.sh und andere Odoo-Enterprise-Dienste)
Alle personenbezogenen Daten, die in den Datenbanken unserer Kunden gespeichert sind, die in der Odoo Cloud gehostet werden oder die uns zum Zweck der Nutzung einer unserer Dienstleistungen übermittelt werden. Der Eigentümer der Datenbank ist der für die Datenverarbeitung Verantwortliche.
Keine Rolle On-Premise Alle Daten, die sich in Odoo-Datenbanken befinden, die vor Ort oder in einem nicht von uns betriebenen Hosting gehostet werden.

Unsere DSGVO-Dokumente

Als für die Datenverarbeitung Verantwortlicher werden unsere Aktivitäten in unserer Datenschutzrichtlinie behandelt, die für die DSGVO aktualisiert wurde. Diese Richtlinie erläutert so deutlich wie möglich, welche Daten wir verarbeiten, warum wir sie verarbeiten und wie wir dies tun. In engem Zusammenhang damit steht unsere Sicherheitsrichtlinie , die bewährte Sicherheitsverfahren erläutert, die wir bei Odoo auf allen Ebenen (technisch und organisatorisch) implementieren, um sicherzustellen, dass Ihre Daten auf sichere und geschütze Weise verarbeitet werden.

Zusätzlich zu diesen Richtlinien unterliegen unsere Tätigkeiten als Auftragsverarbeiter der Einwilligung in unsere Odoo-Enterprise-Abonnementvereinbarung. Diese Vereinbarung wurde aktualisiert, um die notwendigen Datenschutzklauseln (oft als „Datenverarbeitungsvereinbarung“ bezeichnet) hinzuzufügen, wie sie von der DSGVO gefordert werden.
Als Kunde von Odoo S.A. müssen Sie nichts tun, um diese Änderungen zu akzeptieren. Sie profitieren bereits von den neuen Gewährleistungen und wir gehen davon aus, dass Sie einverstanden sind, wenn wir nichts von Ihnen hören!

Zusätzlich zu diesen Dokumenten haben wir auch unsere Website aktualisiert und an allen relevanten Stellen Hinweise zum Datenschutz eingefügt, um unsere Benutzer jederzeit auf dem Laufenden zu halten.

Wie Odoo Ihnen bei der Implementierung der bewährten Verfahren der DSGVO hilft

Die Nutzung von Odoo für die Verwaltung Ihres Unternehmenskann für die Einhaltung der DSGVO nicht ausreichen, da die Verordnung für Ihr gesamtes Unternehmen gilt. Da Odoo jedoch Ihre Daten zentralisiert, Datenredundanz reduziert und granulare Zugriffsrechte und Sicherheitskontrollen implementiert, kann es eine große Hilfe bei der Einhaltung der DSGVO sein.

Im Folgenden finden Sie einige Möglichkeiten, wie Odoo Ihnen im Zusammenhang mit der DSGVO helfen kann, und zwar für Odoo-Datenbanken, die vor Ort oder in der Cloud gehostet werden.

Disclaimer: Wie immer sollten Sie Ihren Rechtsbeistand konsultieren, um festzustellen, wie Sie die DSGVO und die Anfragen betroffener Personen erfüllen sollten. Denken Sie immer daran, dass Sie möglicherweise auch außerhalb von Odoo personenbezogene Daten verarbeiten.

Auskunftsrecht (Art. 15) und Recht auf Datenübertragbarkeit (Art. 20)

  • Odoo bietet der betroffenen Person einige Tools, um auf ihre personenbezogenen Daten im Self-Service-Modus zuzugreifen und diese zu aktualisieren:
    • Das Kundenportal ermöglicht es Benutzern, Vertragsdokumente zu durchstöbern: Adresse und Kontakte, Rechnungen, Angebote, Bestellungen, Aufgaben, Kundendiensttickets, Einkäufe, Abonnements, Lieferaufträge, Zahlungen sowie Kommunikation über diese Dokumente.
    • Die Mailinglistenseite ermöglicht Benutzern, ihre Abonnements zu überprüfen und zu verwalten. (Beispiel für odoo.com: https://www.odoo.com/groups)
    • Das Forumsprofil ermöglicht es Forumbenutzern alle ihre Aktivitäten auf einen Blick zu sehen.
  • Wenn Sie alle Daten exportieren oder private Daten übermitteln möchten, die nicht über das Portal zugänglich sind, sind einige manuelle Schritte erforderlich.
    In der Regel können Sie alle relevanten Dokumente direkt über die obere Leiste des Benutzerkontaktformulars erreichen, wo sie verlinkt sind. Sie können dann alle Informationen mit der „Als PDF drucken“-Funktion Ihres Browsers oder mit dem Menü „Aktion>Exportieren“ aus der Kontaktliste oder der Liste ihrer Dokumente exportieren.
    Beide Optionen bieten DSGVO-konforme elektronische Formate.
  • Darüber hinaus könnten Sie über Informationen verfügen, die nicht mit dem Kontaktformular verknüpft sind und die die betroffene Person in einem anderen Zusammenhang eingegeben hat. Auch diese sollten Sie überprüfen, indem Sie nach Namen oder E-Mail-Adresse suchen, zum Beispiel:
    • Veranstaltungsabonnements
    • Leads & Verkaufschancen in Ihrem CRM

Zur Erinnerung: Odoo bietet nicht nur die Möglichkeit, Dokumente über Ihren Browser als PDF zu exportieren, sondern auch ein Tool, mit dem Sie jeden Eintrag oder eine Liste von Einträgen in eine CSV- oder Excel-Datei exportieren können, zusammen mit den zugehörigen Dokumenten, die mit diesem Eintrag verknüpft sind. Gehen Sie dazu in die Listenansicht eines beliebigen Bildschirms, wählen Sie den Eintrag oder die Einträge aus und klicken Sie auf „Aktion > Exportieren“, dann wählen Sie „Alle Daten exportieren“. Mit dem Tool können Sie dann die Felder auswählen, die Sie exportieren möchten.

Recht auf Vergessenwerden (Art. 17)

Die DSGVO gewährt der betroffenen Person das Recht, die Löschung seiner personenbezogenen Daten unter bestimmten Bedingungen zu verlangen, wie:

  • Die Daten sind nicht mehr notwendig für denZweck;
  • Sie widerrufen ihre Einwilligung zu einer Verarbeitung, die nur auf Einwilligung beruhte;
  • Die Verarbeitung ist ansonstenunrechtmäßig.

Wenn Sie feststellen, dass die Anfrage legitim ist und Sie die Identität der Person bestätigt haben, können Sie versuchen, den entsprechenden Kontakt in Odoo zu löschen. Eins ist sicher: Das System wird den Vorgang blockieren, wenn sich ein Geschäftsdokument noch auf den Kontakt bezieht (Rechnung, Kontakt, Lieferauftrag, Forumsbeitrag usw.). In diesem Fall sollten Sie entscheiden, ob Sie andere Verpflichtungen haben, diese Dokumente aufzubewahren, und müssen die Löschanfrage ablehnen.

Wenn Sie keinen rechtlichen Grund haben, die personenbezogenen Daten zu behalten, aber ein Dokument oder einen Kontakt nicht löschen können oder wollen, sollten Sie diese stattdessen anonymisieren. Sie können den Kontakt umbenennen und seine erkennbaren Daten (E-Mail, Adresse usw.) ändern oder Sie können Dokumente einem generischen anonymen Kontakt zuordnen. Nach der Anonymisierung sind diese Daten keine personenbezogenen Daten mehr.

Einschränkung der Verarbeitung (Art. 18) und Widerruf der Einwilligung (Art. 7)

Die Benutzer werden oft darum bitten, von kommerziellen E-Mails abgemeldet zu werden. Wenn Ihre Mailings über Odoo verschickt wurden, können die Benutzer dies selbst über den Abmeldelink in der Fußzeile tun. Sie können aber auch manuell das „Abmelden“-Feld bei einem Kontakt, einem Lead oder einer Verkaufschance ankreuzen. Als „Abmelden“ markierte Einträge werden automatisch von Massenmailingkampagnen ausgeschlossen, können aber weiterhin direkte Nachrichten von Benutzern erhalten (z. B. Angebote, Rechnungen).

Recht auf Berichtigung (Art. 16) und Datenrichtigkeit (Art. 5 (1) d)

Ungültige/geänderte E-Mail-Adressen sind eine häufige Quelle für Datenfehler. Wenn die E-Mail-Integration ordnungsgemäß konfiguriert ist (standardmäßig in Odoo Cloud), verarbeitet Odoo E-Mail-Bounces in Ihren Massensendungen und erhöht ein Bounce-Feld um die Anzahl der nichtzugestellten Nachrichten. Sie können Ihre Kontakte oder potenziellen Kunden regelmäßig mit einer benutzerdefinierten Suche nach „Bounce“ größer als 0" überprüfen und sie bereinigen/löschen.

Follower von Odoo-Dialog-Kanälen werden nach 10 Bounces automatisch abgemeldet.

In Bezug auf Berichtigung können Benutzer und Kunden ihre eigenen personenbezogenen Daten (Name, E-Mail, Adresse) über ihr Odoo-Portal berichtigen.

Einwilligung (Art. 7)

Wenn Sie personenbezogene Daten über die Standardmechanismen von Odoo erfassen (z. B. Kontaktformular, Mailinglistenabonnement, Veranstalungsabonnements), müssen Sie einen Zweck und eine Rechtsgrundlage für die Verarbeitung festlegen. Dies hängt stark davon ab, wie Sie die Daten verwenden werden.

Wenn der Zweck spezifisch und offensichtlich ist (z. B. Speicherung von registrierten Veranstaltungsteilnehmern, um sie über die Dauer der Veranstaltung auf dem Laufenden zu halten; Eintragung in die von ihnen gewählte Mailingliste), müssen Sie nicht um deren ausdrückliche Einwilligung bitten (die personenbezogenen Daten sind für einen Vertrag erforderlich - Art. 6 (1) b). Dennoch müssen Sie dem Benutzer den Zweck der Datenverarbeitung deutlich machen und auf Ihre Datenschutzrichtlinie verweisen, in der Sie weitere Informationen geben. Sie können den Website-Builder von Odoo verwenden, um die Formulare zu bearbeiten und die erforderlichen Angaben hinzuzufügen.

Wenn Sie jedoch planen, die erhobenen Daten für andere Zwecke zu verwenden, müssen Sie für jeden Zweck die ausdrückliche Einwilligung des Benutzers einholen. Am besten fügen Sie Ihrem Formular Kontrollkästchen hinzu, um die Einwilligung für jeden spezifischen Zweck einzuholen (z. B. „Bitte senden Sie mir Rabatte und Sonderangebote für ähnliche Produkte per E-Mail“). Mit Odoo können Sie dies wie folgt tun:

  1. Verwenden Sie Odoo Studio, um ein Kontrollkästchenfeld (boolesch) auf dem Dokument zur Erhebung personenbezogener Daten (z. B. Leads/Verkaufschancen) einzufügen, um die Einwilligung für diesen Zweck darzustellen.
  2. Fügen Sie das Kontrollkästchen mithilfe von Odoos Website-Builder in Ihr Websiteformular ein.
  3. Verwenden Sie dieses Feld bei der Datenverarbeitung für diesen Zweck, zum Beispiel im Segmentierungsfilter Ihrer Marketingkampagnen.

Datenschutz durch Technikgestaltung (Art. 25)

Datenschutz durch Technikgestaltung ist das Herzstück unserer F&E-Arbeit bei Odoo und wir wenden bewährte Sicherheitspraktiken an, damit unsere Software für jeden sicher, robust und belastbar ist.

Zugriffskontrolle - Der standardmäßige gruppenbasierte Zugriffskontrollmechanismus von Odoo ermöglicht es Ihnen, den Zugriff auf personenbezogene Daten entsprechend der Rolle und den Bedürfnissen der einzelnen Benutzer zu beschränken (z. B.: ein Projektmanager benötigt möglicherweise keinen Zugriff auf Stellenbewerbungen). Wenn Sie die Zuweisung von Benutzergruppen überprüfen und bei einem Rollenwechsel in Ihrem Unternehmen ordnungsgemäß beibehalten, verfügen Sie über eine solide Datenschutzgrundlage. Sie können leicht Benutzergruppen hinzufügen oder ändern, um sie an Ihr Unternehmen anzupassen.

Datensatzregeln - Zur Feinabstimmung des Zugriffs auf personenbezogene Daten können Sie das Konzept der Datensatzregeln verwenden, mit denen Sie den Zugriff auf Dokumente nach beliebigen Kriterien auf der Grundlage von Feldwerten einschränken können. Datensatzregeln können Lese- und/oder Schreibvorgänge blockieren und sie funktionieren auf Grundlage eines einzelnen Dokuments. Weitere Informationen finden Sie in unserer Dokumentation.

Passwörter - Odoo speichert Benutzerpasswörter mit einem sicheren, dem Industriestandard entsprechenden Hash. Es ist auch möglich, externe Authentifizierungssysteme wie OAuth 2.0 oder LDAP zu verwenden, um die Speicherung von Benutzerpasswörtern ganz zu vermeiden.

Mitarbeiterdaten - Ein Bereich, in dem Odoo-Datenbanken sensible personenbezogene Daten enthalten können, ist der Reiter Private Informationen des Mitarbeiterformulars und ihrer Verträge. Dieser Teil des Mitarbeiterverzeichnisses ist nur für die Mitarbeiter der Personalabteilung (Gruppe „Personalverantwortlicher“) sichtbar, die diese Daten für ihre Arbeit benötigen. Diesen Schutz bezieht sich auf die persönlichen Adressen der Mitarbeiter: für Odoo 12 bis Odoo 17 wird sie als Kontakt vom Typ „Privat“ gespeichert, der nur für die Personalabteilung sichtbar ist. Ab Odoo 17.0 wird sie direkt im Mitarbeiterdatensatz gepeichert.

Sicherheit der Verarbeitung (Art. 25 & 32)

Wenn Sie Dienstleistungen von Odoo Online oder Odoo.sh nutzen, implementieren wir bewährte Verfahren für Sicherheit und Datenschutz auf allen Ebenen. Weitere Einzelheiten finden Sie in unserer Sicherheitsrichtlinie.
Wenn Sie Odoo on-premise verwenden, sind Sie für die Befolgung bewährter Sicherheitsverfahren verantwortlich. Sie können mit den Sicherheitsempfehlungen unserer Implementierungsdokumentation beginnen.