DSGVO im CRM

Welche Anforderungen muss ein DSGVO-konformes CRM-System erfüllen?


Datenschutz ist heute ein sensibles Thema. Die EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) regelt streng die Nutzung von personenbezogenen Daten (im Weiteren: Personendaten), deren Nichtbeachtung mitunter zu sehr hohen Geldstrafen führen kann.
DSGVO im CRM Wiki: Bild für Loading DSGVO, GEDYS-IntraWare
DSGVO im CRM 4

Eine repräsentative Umfrage des Digitalverbandes Bitkom im letzten Jahr ergab, dass bis September 2020 lediglich 20% der 500 befragten Unternehmen die DSGVO vollständig umgesetzt hatten. 56% gaben sogar an, dass innovative Geschäftsprojekte auf Grund der DSGVO gescheitert seien. Aber mehr als die Hälfte dachte auch, dass die DSGVO weltweit Maßstäbe für den Umgang mit Personendaten setze und Wettbewerbsvorteile bringe für EU-Unternehmen.

Für das Management erfolgreicher Kundenbeziehungen ist das Erfassen und Verarbeiten von Personendaten in einem CRM-System unabdingbar. Und das nicht nur im Interesse der Unternehmen, sondern auch in dem der Kunden und Interessenten.
Aus diesem Grund haben wir für Sie an dieser Stelle wichtige Informationen zu DSGVO im CRM kompakt zusammengetragen.

1. Die EU-DSGVO kompakt


Seit dem 25. Mai 2018 ist die EU-DSGVO europaweit in Kraft und regelt den Umgang von Unternehmen und öffentlichen Stellen mit Personendaten.

Grobes Ziel ist, die persönlichen Rechte auf informationelle Selbstbestimmung zu stärken. Die EU-DSGVO gilt für alle Unternehmen in der EU, die Personendaten speichern und verarbeiten. Aber Achtung: Auch Unternehmen außerhalb der EU müssen die DSGVO einhalten, wenn sie ihre Leistungen oder Produkte EU-Bürgern anbieten und dabei deren Daten erheben und nutzen!

2. Was sind Personendaten?


Mit Personendaten sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie z.B.:

DSGVO im CRM: Bild zu Personendaten erfassen, GEDYS-IntraWare
DSGVO im CRM 5
  • Vorname und Name
  • Adresse
  • Geschlecht
  • Telefonnummer
  • E-Mail-Adresse
  • IP-Adresse

Auch Informationen im geschäftlichen Umfeld können Personendaten sein, wie z.B.:

  • Kontaktdaten von Ansprechpartnern bei
    Kunden oder Lieferanten
  • IP-Adressen von Webseitenbesuchern
  • Liste von Newsletter-Empfängern

3. Was meint die „Verarbeitung von Personendaten“?


Die „Verarbeitung“ von Personendaten meint im Grunde jeden Umgang mit den unter Punkt 2 beschrieben Daten.

  • Erheben (z.B. per Fragebogen)
  • Erfassen (z.B. per Formular, Software oder Kamera)
  • Speichern (z.B. in einer Datenbank, Excel-Datei oder Akte)
  • Ändern (z.B. Aktualisieren)
  • Übermitteln (z.B. an eine Behörde oder ein verbundenes Unternehmen)
  • Abgleichen und Verknüpfen
  • Sperren oder Löschen

Beispiele aus der Alltagspraxis wären unter anderem die Speicherung von Kontaktdaten der Ansprechpartner Ihrer Kunden (B2B) in Ihrem CRM-System oder Adressen für den Newsletter-Versand zu sammeln oder einfach nur eine Bestellung aufzunehmen.

Genauso zählt hierzu übrigens auch die Aufnahme persönlicher Informationen von Bewerbern auf eine freie Stelle in Ihrem Unternehmen.

4. Personendaten im Unternehmen


Wofür brauchen Unternehmen Personendaten?

Beim Verkauf von Produkten und Services müssen Sie potentielle Kunden von Ihrer Qualität überzeugen. Dazu müssen Sie über Ihre zukünftigen Kunden viel wissen, um dann die richtige Ansprache und richtigen Kommunikationswege zu wählen. Für jeden Kanal brauchen Sie Adressdaten Ihrer Empfänger, für E-Mail-Marketing und Newsletter z.B. benötigen Sie gleich ganze Empfängerlisten. Aber auch für kaufmännische Prozesse benötigen Sie Personendaten.

Welche Abteilungen arbeiten mit den Personendaten?

Als erstes denkt man da hauptsächlich an die Kaufabwicklung und die Buchhaltung. Aber tatsächlich arbeiten noch einige weitere Abteilungen vor oder nach dem Kauf mit den Personendaten Ihrer Kunden. Da ist beispielsweise Ihr Marketing auf der Jagd nach neuen Leads, Ihr Vertrieb beim Anwerben neuer Kunden oder aber auch Ihr Service, wenn er Ihre Kunden umsorgt.

Ist auch der Umgang mit Mitarbeiterdaten in der DSGVO geregelt?

Die DSGVO schützt nicht nur Kundendaten, sondern auch Daten von Arbeit-nehmern – von der Bewerbung bis zum Beschäftigungsende.

Die DSGVO legt fest, dass personenbezogene Daten, also auch Mitarbeiter-Daten, nur dann verarbeitet werden dürfen, wenn dies durch eine bestimmte Rechtsgrundlage oder eine Einwilligung des Mitarbeiters erlaubt ist. Diese Rechtsgrundlage findet sich im Bundesdatenschutzgesetz (BDSG). Das besagt, dass Arbeitgeber auch ohne Einwilligung solche personenbezogenen Daten verarbeiten dürfen, die zur Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich sind.

Die wichtigsten Mitarbeiterdaten werden heute meistens in einer digitalen Personalakte gesammelt. Diese Akte muss der Arbeitgeber vor dem Zugriff von außen schützen.

Daneben werden Mitarbeiterdaten für Benutzerverwaltungen benötigt, um die Zugriffsrechte auf digitale Anwendungen und Kundendaten sicher zu regeln.

Welche Software brauchen Sie für die Verwaltung von Personendaten?

Für die DSGVO-konforme Verwaltung von Personendaten benötigen Sie eine CRM-Software, die die Rechte und die Sicherheit Ihrer Kunden gewährleistet und Sie damit gleichzeitig davor bewahrt, bei Prozessfehlern hohe Geldstrafen zu riskieren. Transparenz, optimal abgestimmte Prozesse und eine zentrale Datenhaltung für vollen Überblick unterstützen die Regelungen der DSGVO im CRM besser als eine Ansammlung über diverse Server verteilter Excel-Sheets.

5. Wann ist die Verarbeitung von Personendaten
im CRM gestattet?


5.1 Rechtmäßigkeit
zur Verarbeitung von Personendaten ist gegeben, wenn die DSGVO sie erlaubt. Dazu muss eine „Rechtsgrundlage“ für die Verarbeitung wie folgt vorliegen:

  • Vertragsdurchführung: Die Verarbeitung ist zur Abwicklung eines Vertrags mit der Person erforderlich, wie z.B. die Anschrift des Kunden zum Versand des bestellten Produkts zu verwenden.
  • Erfüllung von Gesetzen: Zur Erfüllung von rechtlichen Verpflichtungen ist die Datenverarbeitung erforderlich, wie z.B. die Identifikationsdaten von Vertragspartnern gemäß des Geldwäschegesetzes abzufragen und zu speichern.
  • Berechtigte Interessen: Das Unternehmen verfolgt mit der Verarbeitung ein legitimes Interesse. Es bestehen keine weniger einschneidenden Alternativen. Die entgegenstehenden Interessen der Betroffenen überwiegen nicht. Wie z.B. die Geschäftsbriefe eines erkrankten Mitarbeiters einzusehen, um dringende Kundenanfragen zu bearbeiten.
  • Einwilligung: Der Betroffene hat sich informiert und eindeutig der Datennutzung zugestimmt, wie z.B. ein Kunde, der sich zum Newsletter anmeldet.

5.2 Zweckbindung:
Daten nur für die Zwecke verwenden, für die sie ursprünglich gesammelt wurden oder die mit diesen ursprünglichen Zwecken kompatibel sind.

5.3 Datenminimierung: 
Nicht mehr Daten erfassen und nutzen als für den konkreten Zweck nötig sind (keine Speicherung auf Vorrat). Beispiel: Die Abfrage von Namen und Arbeitgeber für die Zusendung von Newslettern ist nicht nötig.

5.4 Speicherbegrenzung: Personendaten löschen, wenn sie nicht mehr benötigt werden. Zum Beispiel nach Ablauf der gesetzlichen
Aufbewahrungsfrist nach 10 Jahren.

5.5 Richtigkeit: 
Unrichtige oder unvollständige Daten korrigieren.

5.6 Datensicherheit: 
Daten ausreichend vor Zugriff durch Unbefugte, vor Verlust und Verfälschung schützen. Die Einhaltung der Datensicherheit nach DSGVO im CRM wird z. B. durch Rollenkonzepte, Passwörter, Verschlüsselungen und eine Firewall gewährleistet.

Achtung: Verarbeitungsverbot für sensible Daten

In einigen Fällen stellt die DSGVO ergänzende Anforderungen an den Datenumgang. Die gelten ebenso für die DSGVO im CRM:
Bei sensiblen Daten gilt ein generelles Verarbeitungsverbot. Das trifft zum Beispiel bei Daten zu Gesundheit, zur Religion, zu politischen Meinungen, zur Gewerkschaftszugehörigkeit oder zum Sexualleben zu. Nur bei gerechtfertigten Ausnahmen und unter besonders strengen Vorgaben ist eine Verarbeitung erlaubt, wie beispielsweise bei Einwilligung, Arbeitsrecht und Sozialversicherungspflichten, etc.

6. DSGVO im CRM

Das muss Ihr CRM funktional für die DSGVO-konforme Daten-Verarbeitung bieten


Für die Einhaltung der DGSVO-Vorgaben kann natürlich eine ganze Vielzahl an Funktionen und abgestimmten Prozessen zu einer Erleichterung in Ihrem Arbeitsalltag führen. Wir haben hier die Kernfunktionalitäten gesammelt, die Ihr CRM-System auf jeden Fall bieten muss, um DGSVO-konform arbeiten zu können.

Recht auf Information/Auskunft

Eine Person möchte wissen, welche Personendaten über sie gespeichert sind. Vielleicht fragt sie auch nach, zu welchem Zweck die Daten verarbeitet oder bei welcher Verarbeitung die Personendaten genutzt werden. Sie sind verpflichtet diese Fragen zu beantworten.

Das betrifft z.B. Mailings und Auswertungen mit Mailing-Programmen, Nutzung in Kampagnen, im Service-Desk, in Drittsystemen

Recht auf Vergessen

Eine Person möchte, dass ihre Personendaten gelöscht werden. Das ist nur möglich, wenn andere Gesetze nicht vorschreiben, dass die Personendaten vorzuhalten sind oder ein anderes Interesse vorschreibt, diese Daten zu bewahren.

Andere Gesetze sind z.B. Handelsgesetz, Steuerrecht, Strafrecht

Protokollierung

Immer wenn Personendaten erfasst, verändert, gelöscht, vermischt bzw. kombiniert oder verarbeitet werden, muss dieses protokolliert werden.

Im CRM über Dokumenten-Historie mit: Wer hat was, wann und warum getan?

Nachweispflicht

Das Speichern von Personendaten setzt das Einverständnis der betreffenden Person voraus. Das Einverständnis muss schriftlich dokumentiert sein.

Im CRM z.B. über gescannte Visitenkarte, per E-Mail, Anmeldeformular mit Double-Opt-in

Datensparsamkeit

Personendaten sind nur so lange aufzuheben, wie sie benötigt werden.

Implementierung eines Löschkonzeptes ist notwendig

Recht auf Datenübertragbarkeit

Personen haben ein Recht darauf, sich ihre Personendaten in einem gängigen Format aushändigen zu lassen.

Aus dem CRM heraus z.B. über Excel-Export, „Contact at a glance“

Recht auf Einschränkung der Verarbeitung

Personendaten dürfen vorgehalten aber NICHT mehr automatisch verarbeitet werden.

Dürfen nur im CRM gespeichert sein, aber nicht genutzt werden

Widerspruchsrecht

Eine Person kann Widerspruch gegen die Verarbeitung ihrer Personendaten einlegen.

Auch hier gilt: Personendaten dürfen NICHT mehr automatisch verarbeitet werden.

Zugriffskontrolle

Alle Funktionen, um Daten einzusehen oder sie zu exportieren, werden durch Zugriffsbeschränkungen geschützt.

Im CRM über rollenbasierte Zugriffsrechte

7. Wo werden die Personendaten laut DSGVO sicher verwahrt?


In einigen Fällen stellt die DSGVO ergänzende Anforderungen an den Datenumgang. Beim Datenexport muss auch dann ein angemessenes Datenschutzniveau sichergestellt sein, wenn Daten an Stellen außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt werden.

Für bestimmte Länder hat die EU-Kommission entschieden, dass deren Datenschutzgesetze ausreichend sind (z.B. für Japan, Israel, Schweiz). Bei allen anderen Ländern müssen in der Regel besondere Verträge mit den Datenempfängern geschlossen werden. Unternehmen in den USA konnten sich bis vor Kurzem nach dem Privacy Shield zertifizieren und so das Datenschutzniveau sicherstellen. Achtung! Die Vereinbarung Privacy Shield ist vom europäischen Gerichtshof für ungültig erklärt worden. Eine neue Vereinbarung oder ähnliches gibt es zurzeit nicht.

Lesen Sie dazu auch den Blogartikel: CRM-Hosting in Deutschland

8. Wer haftet für Verstöße?


Im Falle eines Verstoßes ist das Unternehmen haftbar. Einige Firmen haben mittlerweile extrem hohe Bußgeldbescheide erhalten. Damit es nicht so weit kommt, müssen Sie in Ihrem Unternehmen die DSGVO im CRM genauestens auf Funktion, Datenhaltung und Schnittstellen überprüfen.

Wenn Sie die Daten im eigenen Rechenzentrum schützen, haben Sie die Hoheit und wissen stets was mit ihnen passiert. Und auch Hosting-Anbieter in Deutschland und Europa sind verpflichtet nach der DSGVO zu arbeiten. Für Verstöße von Plattformen außerhalb Europas haften dagegen Sie selbst.

Die Besonderheit der Datenhaltung zu den jeweiligen CRM-Angeboten (On-Prem, Cloud, SaaS, Schnittstellen) wird auch in den folgenden Blogartikeln behandelt:

9. Fazit: Das passende CRM hilft Ihrem Unternehmen enorm bei der Umsetzung der EU-DSGVO


Mit dem Einsatz eines DSGVO-konformen CRM-Systems vereinfachen Sie sich die Anpassung an die EU-Verordnung um einiges. So sind Ihre Mitarbeiter im Handumdrehen datenschutzfit! Denn Sie ersparen sich den Aufwand, Ihre Arbeitsabläufe einzeln anzupassen, nur um zu gewährleisten, dass Ihre Mitarbeiter nach den neuen Richtlinien arbeiten. Nebenbei stärken Sie das Vertrauen Ihrer Kunden und Interessenten in Ihr Unternehmen und Sie verlieren keine wichtigen Kundeninformationen, die Ihrem Unternehmen als Wachstums- und Innovationsgrundlage dienen.

Beobachten Sie die Entwicklungen der EU-Kommisson. Es werden bereits weitere Gesetzesvorschläge diskutiert: Der Ende 2020 vorgelegte Data Governance Act ist ein weiterer Schritt der Kommission, um die EU als Datenschutz-Vorreiter aufzustellen und das Thema Datenschutz zu einem Wettbewerbsvorteil auszubauen.