Pipedrive und der Datenschutz (DSGVO) Stand November 2022

Einige unserer Pipedrive-Schützlingen haben sehr strenge Datenschutzbeauftragte. Und jetzt Achtung, Spoiler: Bisher hat jeder Pipedrive durchgewunken. Nicht immer ganz ohne Diskussion, aber den Datenschutz und die DSGVO ernst zu nehmen ist ja auch ihr Job.

Zunächst müssen wir einmal unterscheiden zwischen:

  1. Was brauchen Sie, um mit Pipedrive zu arbeiten?
  2. Was dürfen Sie mit den Daten im CRM machen?

Zu Punkt 2 hat uns Hauke Gerdey von datenschutzexperte.de Rede und Antwort gestanden. Er erzählt zum Beispiel:

  • welche Daten überhaupt abgespeichert werden dürfen
  • was man mit den Daten machen darf

Im folgenden geht es aber eher um Punkt 1, also die Grundvoraussetzungen dafür, dass sie überhaupt mit Pipedrive arbeiten dürfen. Zeigen Sie ihrem Datenschutzbeauftragten diese Seite und er wird alles finden, was er braucht.

Interview:
Datenschutz im CRM

EU-Vertragspartner Pipedrive OÜ

Ganz grundsätzlich: Vertragspartner für alle EU-Kunden die Estländische Pipedrive OÜ. Und jetzt sicherheitshalber: Ja, Estland gehört auch zur EU und muss sich somit auch an die gemeinschaftlichen Datenschutzbestimmungen halten. Unter diesem Link finden Sie einen Beitrag von Pipedrive grundsätzlich zum Thema:
https://support.pipedrive.com/hc/de/articles/360000335129-Pipedrive-und-DSGVO

Und da ist ein Whitepaper mit einer Menge Informationen:

White Paper „Security & Privacy“ vom 28.8.2019Herunterladen


AVV

Auf jeden Fall brauchen Sie einen (vorunterschriebenen) Auftragsverarbeitungsvertrag:

https://www-cms.pipedriveassets.com/documents/Data-Processing-Addendum-Mar_2022.pdf

Das war früher die Auftragsdatenverarbeitungsvereinbarung (ADV).

Nutzungsbedingungen und Datenschutzrichtlinien

Pipedrive selbst verweist in Hinblick auf die DSGVO immer wieder auf seine Nutzungsbedingungen. Dort finden Sie auch die TOMs (technische und organisatorische Maßnahmen) und das Drittanbieterverzeichnis:
https://www.pipedrive.com/en/terms-of-service

https://www.pipedrive.com/en/subprocessors

Ebenfalls wichtig sind die Datenschutzrichtlinien:
https://www.pipedrive.com/en/privacy

Text für die Datenschutzerklärung

Wenn Sie Daten von der Website über die Webformulare direkt in Pipedrive spielen oder die Web Prospector-Funktion verwenden, sollten Sie ihre Websitebesucher in der Datenschutzerklärung darüber informieren. Hier ist ein Textvorschlag, den Sie aber noch von Ihrem Datenschutzbeauftragten prüfen lassen sollten. Sicherheitshalber: Wir können für die Richtigkeit und Vollständigkeit keine Haftung übernehmen.

Pipedrive

Wir nutzen Pipedrive als unser CRM-Tool zur Verarbeitung und Speicherung der Kontaktdaten.

Bei der Kontaktaufnahme mit uns (per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet. Um Ihr  Anliegen und Nachrichten schnellstmöglich bearbeiten und beantworten zu können, verwenden wir Kontaktformulare unseres Customer-Relationship-Management -Tool (“CRM-Tool”) Pipedrive. Die bei dem Ausfüllen des Formulars übermittelten Daten werden an Pipedrive gesendet und dort auf Servern von Pipedrive gespeichert.

Wir setzen das CRM-System Pipedrive des Anbieters Pipedrive OÜ auf Grundlage unserer berechtigten Interessen (effiziente und schnelle Bearbeitung von Nutzeranfragen, Bestandskundenmanagement, Neukundengeschäft) ein.

Pipedrive OÜ ist eine haftungsbeschränkte Firma nach estnischer Gesetzgebung (EU) mit der Anschrift Mustamäe tee 3a, 10615 Tallinn, Estland, registriert im Estonian Commercial Register unter dem Code 11958539. Die Datenschutzerklärung von Pipedrive können Sie hier abrufen: https://www.pipedrive.com/en/privacy.

Bis hier her sollten Sie sich die Daten irgendwo abspeichern. Alles was ab jetzt kommt, dient mehr oder weniger zur Information.

Hosting bei Rackspace in Deutschland

Gut zu wissen ist auch, dass Pipedrive seine Daten bei Rackspace in Deutschland hosted. Mehr zum Thema Datensicherheit finden sie hier, wie zum Beispiel auch wie Pipedrive mit Backups umgeht:
https://support.pipedrive.com/hc/de/articles/206760639-Wie-sicher-sind-meine-Daten-in-Pipedrive-

Zertifizierungen

Pipedrive ist ISO zertifiziert, und zwar nach der internationalen Norm ISO/IEC 27001 für Informationstechnik, genau genommen für IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen.

ISO/IEC 27001 2013 Certificate PipeDriveHerunterladen

Außerdem ist Pipedrive nach SOC2 und SOC3 zertifiziert. Damit wird bestätigt, dass die Sicherheit der Prozesse, Server und Daten vollständig mit allen Richtlinien und Vorschriften konform ist, die vom American Institute of Certified Public Accountants (AICPA) festgesetzt wurden.

Pipedrive-SOC2-Type-2-Certificate-2019 herunterladen
Pipedrive-SOC3-Certificate-2019 herunterladen

Die richtige Einstellung zum Datenschutz

Sie sollten noch an Ihrer Einstellung arbeiten. Also genau genommen an den Einstellungen ihrer Mails. Pipedrive bietet noch die Möglichkeit, das Verhalten ihrer Email-Empfänger zu tracken. In 2 Ausformungen:

  1. Öffnen der Emails
  2. Klick auf Links

Beides ist im Vertrieb natürlich super praktisch. Ob es datenschutzkonform ist, ist aber eine ganz andere Frage. Ihre Mailempfänger müssen nämlich theoretisch wissen können, welche Informationen Sie über sie abspeichern. Am besten Sie fragen Ihren Datenschutzbeauftragten, wie Sie das binbekommen. Wenn Sie auf Nummer sicher gehen wollen, deaktivieren Sie diese Optionen:

Datenschutz bei Emails

Kontakt

Sollte Ihnen dies Informationen nicht ausreichen, können Sie sich gerne an den Data Protection Officer von Pipedrive Juan Martin Sanchez und sein Team wenden. Sie erreichen Sie unter dpo@pipedrive.com.

Eigene ADV’s unterschreiben die Kollegen aber normaler Weise nicht. Das würde laut ihren Aussagen ihre Kapazitäten sprengen. Verstehe ich auch. Fragen Sie einmal bei Microsoft, ob die das für Ihr Online-Excel machen würden 😉