linkedin-pixel

Kontakt +49 661 9642-0


DSGVO IM CRM

Welche Anforderungen muss ein DSGVO-konformes CRM-System erfüllen?


Datenschutz ist heute ein sensibles Thema. Die EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) regelt streng die Nutzung von personenbezogenen Daten (im Weiteren: Personendaten), deren Nichtbeachtung mitunter zu sehr hohen Geldstrafen führen kann.

Eine repräsentative Umfrage des Digitalverbandes Bitkom im Jahr 2020 ergab, dass bis September des Jahres lediglich 20% der 500 befragten Unternehmen die DSGVO vollständig umgesetzt hatten. 56% gaben sogar an, dass innovative Geschäftsprojekte auf Grund der DSGVO gescheitert seien.

Aber mehr als die Hälfte dachte auch, dass die DSGVO weltweit Maßstäbe für den Umgang mit Personendaten setze und Wettbewerbsvorteile bringe für EU-Unternehmen.

DSGVO im CRM Wiki: Bild für Loading DSGVO, GEDYS-IntraWare
DSGVO im CRM 4

Im Jahr 2022 haben nach einer Umfrage von Statista zum Stand der Umsetzung der DSGVO in Deutschland noch immer 22% der befragten Unternehmen die DSGVO nicht vollständig und 33% erst teilweise umgesetzt. Das Thema CRM und DSGVO bleibt also weiterhin aktuell.

Für das Management erfolgreicher Kundenbeziehungen ist das Erfassen und Verarbeiten von Personendaten in einem CRM-System unabdingbar. Und das nicht nur im Interesse der Unternehmen, sondern auch in dem der Kunden und Interessenten. Aus diesem Grund haben wir für Sie an dieser Stelle wichtige Informationen zu DSGVO im CRM kompakt zusammengetragen.

1. Die EU-DSGVO kompakt


Seit dem 25. Mai 2018 ist die EU-DSGVO europaweit in Kraft und regelt den Umgang von Unternehmen und öffentlichen Stellen mit Personendaten.

Grobes Ziel ist, die persönlichen Rechte auf informationelle Selbstbestimmung zu stärken. Die EU-DSGVO gilt für alle Unternehmen in der EU, die Personendaten speichern und verarbeiten. Aber Achtung: Auch Unternehmen außerhalb der EU müssen die DSGVO einhalten, wenn sie ihre Leistungen oder Produkte EU-Bürgern anbieten und dabei deren Daten erheben und nutzen!

2. Was sind Personendaten?


Mit Personendaten sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auch Infos im Geschäftsumfeld können Personendaten sein.

DSGVO im CRM: Bild zu Personendaten erfassen, GEDYS-IntraWare
DSGVO im CRM 5
  • Vorname und Name
  • Adresse
  • Geschlecht
  • Telefonnummer
  • E-Mail-Adresse
  • IP-Adresse
  • Kontaktdaten von Ansprechpartnern bei
    Kunden oder Lieferanten
  • IP-Adressen von Webseitenbesuchern
  • Liste von Newsletter-Empfängern

3. Was meint die „Verarbeitung von Personendaten“?


Die „Verarbeitung“ von Personendaten meint im Grunde jeden Umgang mit den unter Punkt 2 beschrieben Daten.

  • Erheben (z.B. per Fragebogen)
  • Erfassen (z.B. per Formular, Software oder Kamera)
  • Speichern (z.B. in einer Datenbank, Excel-Datei oder Akte)
  • Ändern (z.B. Aktualisieren)
  • Übermitteln (z.B. an eine Behörde oder ein verbundenes Unternehmen)
  • Abgleichen und Verknüpfen
  • Sperren oder Löschen

Beispiele aus der Alltagspraxis wären unter anderem die Speicherung von Kontaktdaten der Ansprechpartner Ihrer Kunden (B2B) in Ihrem CRM-System oder Adressen für den Newsletter-Versand zu sammeln oder einfach nur eine Bestellung aufzunehmen.

Genauso zählt hierzu übrigens auch die Aufnahme persönlicher Informationen von Bewerbern auf eine freie Stelle in Ihrem Unternehmen.

4. Personendaten im Unternehmen


4.1 Wofür brauchen Unternehmen Personendaten?

Beim Verkauf von Produkten und Services müssen Sie potentielle Kunden von Ihrer Qualität überzeugen. Dazu müssen Sie über Ihre zukünftigen Kunden viel wissen, um dann die richtige Ansprache und richtigen Kommunikationswege zu wählen. Für jeden Kanal brauchen Sie Adressdaten Ihrer Empfänger, für E-Mail-Marketing und Newsletter z.B. benötigen Sie gleich ganze Empfängerlisten. Aber auch für kaufmännische Prozesse benötigen Sie Personendaten.

4.2 Welche Abteilungen arbeiten mit den Personendaten?

Als erstes denkt man da hauptsächlich an die Kaufabwicklung und die Buchhaltung. Aber tatsächlich arbeiten noch einige weitere Abteilungen vor oder nach dem Kauf mit den Personendaten Ihrer Kunden. Da ist beispielsweise Ihr Marketing auf der Jagd nach neuen Leads, Ihr Vertrieb beim Anwerben neuer Kunden oder aber auch Ihr Service, wenn er Ihre Kunden umsorgt.

4.3 Ist auch der Umgang mit Mitarbeiterdaten in der DSGVO geregelt?

Die DSGVO schützt nicht nur Kundendaten, sondern auch Daten von Arbeit-nehmern – von der Bewerbung bis zum Beschäftigungsende.

Die DSGVO legt fest, dass personenbezogene Daten, also auch Mitarbeiter-Daten, nur dann verarbeitet werden dürfen, wenn dies durch eine bestimmte Rechtsgrundlage oder eine Einwilligung des Mitarbeiters erlaubt ist. Diese Rechtsgrundlage findet sich im Bundesdatenschutzgesetz (BDSG). Das besagt, dass Arbeitgeber auch ohne Einwilligung solche personenbezogenen Daten verarbeiten dürfen, die zur Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich sind.

DSGVO im CRM: Benutzerverwaltung, GEDYS-IntraWare
DSGVO im CRM: Benutzerverwaltung, GEDYS-IntraWare

Die wichtigsten Mitarbeiterdaten werden heute meistens in einer digitalen Personalakte gesammelt. Diese Akte muss der Arbeitgeber vor dem Zugriff von außen schützen. Daneben werden Mitarbeiterdaten für Benutzerverwaltungen benötigt, um die Zugriffsrechte auf digitale Anwendungen und Kundendaten sicher zu regeln.

4.4 Welche Software brauchen Sie für die Verwaltung von Personendaten?

Für die DSGVO-konforme Verwaltung von Personendaten benötigen Sie eine CRM-Software, die die Rechte und die Sicherheit Ihrer Kunden gewährleistet und Sie damit gleichzeitig davor bewahrt, bei Prozessfehlern hohe Geldstrafen zu riskieren. Transparenz, optimal abgestimmte Prozesse und eine zentrale Datenhaltung für vollen Überblick unterstützen die Regelungen der DSGVO im CRM besser als eine Ansammlung über diverse Server verteilter Excel-Sheets.

5. Wann ist die Verarbeitung von Personendaten
im CRM gestattet?


5.1 Rechtmäßigkeit
zur Verarbeitung von Personendaten ist gegeben, wenn die DSGVO sie erlaubt. Dazu muss eine „Rechtsgrundlage“ für die Verarbeitung wie folgt vorliegen:

  • Vertragsdurchführung: Die Verarbeitung ist zur Abwicklung eines Vertrags mit der Person erforderlich, wie z.B. die Anschrift des Kunden zum Versand des bestellten Produkts zu verwenden.
  • Erfüllung von Gesetzen: Zur Erfüllung von rechtlichen Verpflichtungen ist die Datenverarbeitung erforderlich, wie z.B. die Identifikationsdaten von Vertragspartnern gemäß des Geldwäschegesetzes abzufragen und zu speichern.
  • Berechtigte Interessen: Das Unternehmen verfolgt mit der Verarbeitung ein legitimes Interesse. Es bestehen keine weniger einschneidenden Alternativen. Die entgegenstehenden Interessen der Betroffenen überwiegen nicht. Wie z.B. die Geschäftsbriefe eines erkrankten Mitarbeiters einzusehen, um dringende Kundenanfragen zu bearbeiten.
  • Einwilligung: Der Betroffene hat sich informiert und eindeutig der Datennutzung zugestimmt, wie z.B. ein Kunde, der sich zum Newsletter anmeldet.

5.2 Zweckbindung:
Daten nur für die Zwecke verwenden, für die sie ursprünglich gesammelt wurden oder die mit diesen ursprünglichen Zwecken kompatibel sind.

5.3 Datenminimierung: 
Nicht mehr Daten erfassen und nutzen als für den konkreten Zweck nötig sind (keine Speicherung auf Vorrat). Beispiel: Die Abfrage von Namen und Arbeitgeber für die Zusendung von Newslettern ist nicht nötig.

5.4 Speicherbegrenzung: Personendaten löschen, wenn sie nicht mehr benötigt werden. Zum Beispiel nach Ablauf der gesetzlichen
Aufbewahrungsfrist nach 10 Jahren.

5.5 Richtigkeit: 
Unrichtige oder unvollständige Daten korrigieren.

5.6 Datensicherheit: 
Daten ausreichend vor Zugriff durch Unbefugte, vor Verlust und Verfälschung schützen. Die Einhaltung der Datensicherheit nach DSGVO im CRM wird z. B. durch Rollenkonzepte, Passwörter, Verschlüsselungen und eine Firewall gewährleistet.

Achtung: Verarbeitungsverbot für sensible Daten

In einigen Fällen stellt die DSGVO ergänzende Anforderungen an den Datenumgang. Die gelten ebenso für die DSGVO im CRM:
Bei sensiblen Daten gilt ein generelles Verarbeitungsverbot. Das trifft zum Beispiel bei Daten zu Gesundheit, zur Religion, zu politischen Meinungen, zur Gewerkschaftszugehörigkeit oder zum Sexualleben zu. Nur bei gerechtfertigten Ausnahmen und unter besonders strengen Vorgaben ist eine Verarbeitung erlaubt, wie beispielsweise bei Einwilligung, Arbeitsrecht und Sozialversicherungspflichten, etc.

6. DSGVO im CRM

Das muss Ihr CRM funktional für die DSGVO-konforme Daten-Verarbeitung bieten


Für die Einhaltung der DGSVO-Vorgaben kann natürlich eine ganze Vielzahl an Funktionen und abgestimmten Prozessen zu einer Erleichterung in Ihrem Arbeitsalltag führen. Wir haben hier die Kernfunktionalitäten gesammelt, die Ihr CRM-System auf jeden Fall bieten muss, um DGSVO-konform arbeiten zu können.

Recht auf Information/ Auskunft

Eine Person möchte wissen, welche Personendaten über sie gespeichert sind. Vielleicht fragt sie auch nach, zu welchem Zweck die Daten verarbeitet oder bei welcher Verarbeitung die Personendaten genutzt werden. Sie sind verpflichtet diese Fragen zu beantworten.

Das betrifft zum Beispiel Mailings und Auswertungen mit Mailing-Programmen, Nutzung in Kampagnen, im Service-Desk oder in Drittsystemen

Recht auf Vergessen

Eine Person möchte, dass ihre Personendaten gelöscht werden. Das ist nur möglich, wenn andere Gesetze nicht vorschreiben, dass die Personendaten vorzuhalten sind oder ein anderes Interesse vorschreibt, diese Daten zu bewahren.

Andere Gesetze sind beispielsweise
– Handelsgesetz
– Steuerrecht
– Strafrecht

Protokollierung

Immer wenn Personendaten erfasst, verändert, gelöscht, kombiniert oder verarbeitet werden, muss dieses protokolliert werden.

Im CRM möglich über die Dokumenten-Historie. Hier wird festgehalten: Wer hat was, wann und warum getan. Alle Historien sind jederzeit abrufbar.

Nachweispflicht

Das Speichern von Personendaten setzt das Einverständnis der betreffenden Person voraus. Das Einverständnis muss schriftlich dokumentiert sein.

Im CRM zum Beispiel über eine gescannte Visitenkarte, per E-Mail oder über ein Formular mit Double-Opt-in.

Datensparsamkeit

Erhobene Personendaten müssen dem Zweck angemessen und auch auf ein notwendiges Maß beschränkt sein. Sie zudem sind nur so lange aufzuheben, wie sie tatsächlich benötigt werden.

Die Implementierung eines Löschkonzeptes im CRM ist notwendig.

Recht auf Datenübertragbarkeit

Personen haben ein Recht darauf, sich ihre Personendaten in einem gängigen Format aushändigen zu lassen.

Aus dem CRM heraus ist das zum Beispiel über „Contact at a glance“ als Excel-Export möglich.

Recht auf Einschränkung der Verarbeitung

Personendaten dürfen vorgehalten aber NICHT mehr automatisch verarbeitet werden.

Personendaten dürfen also nur im CRM gespeichert sein, die Nutzung ist erst erlaubt, wenn dazu eine Einwilligung vorliegt.

Widerspruchsrecht

Eine Person kann Widerspruch gegen die Verarbeitung ihrer Personendaten einlegen. Sie muss bereits zum Zeitpunkt der ersten Kommunikation auf Ihr Widerspruchsrecht hingewiesen werden.

Nach Widerspruch einer Person müssen ihre Daten im CRM inaktiv sein & dürfen nicht automatisch verarbeitet werden.

Zugriffskontrolle

User eines Personendaten verarbeitenden Systems dürfen nur zu den Daten Zugang haben, die ihrer Zugangsberechtigung entsprechen. Alle Funktionen, um Daten einzusehen oder sie zu exportieren, müssen entsprechend geschützt sein.

Dies wird im CRM über rollenbasierte Zugriffsrechte gewährleistet.

7. Wo werden die Personendaten laut DSGVO sicher verwahrt?


In einigen Fällen stellt die DSGVO ergänzende Anforderungen an den Datenumgang. Beim Datenexport muss auch dann ein angemessenes Datenschutzniveau sichergestellt sein, wenn Daten an Stellen außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt werden.

Für bestimmte Länder hat die EU-Kommission entschieden, dass deren Datenschutzgesetze ausreichend sind (z.B. für Japan, Israel, Schweiz). Bei allen anderen Ländern müssen in der Regel besondere Verträge mit den Datenempfängern geschlossen werden. Unternehmen in den USA konnten sich bis vor Kurzem nach dem Privacy Shield zertifizieren und so das Datenschutzniveau sicherstellen. Achtung! Die Vereinbarung Privacy Shield ist vom europäischen Gerichtshof für ungültig erklärt worden. Eine neue Vereinbarung oder ähnliches gibt es zurzeit nicht.

Lesen Sie dazu auch den Blogartikel: CRM-Hosting in Deutschland

8. Wer haftet für Verstöße?


Im Falle eines Verstoßes ist das Unternehmen haftbar. Einige Firmen haben mittlerweile extrem hohe Bußgeldbescheide erhalten. Damit es nicht so weit kommt, müssen Sie in Ihrem Unternehmen die DSGVO im CRM genauestens auf Funktion, Datenhaltung und Schnittstellen überprüfen.

Wenn Sie die Daten im eigenen Rechenzentrum schützen, haben Sie die Hoheit und wissen stets was mit ihnen passiert. Und auch Hosting-Anbieter in Deutschland und Europa sind verpflichtet nach der DSGVO zu arbeiten. Für Verstöße von Plattformen außerhalb Europas haften dagegen Sie selbst.

Die Besonderheit der Datenhaltung zu den jeweiligen CRM-Angeboten (On-Prem, Cloud, SaaS, Schnittstellen) wird auch in den folgenden Blogartikeln behandelt:

9. Fazit:
Das passende CRM hilft Ihrem Unternehmen enorm bei der Umsetzung der EU-DSGVO


Mit dem Einsatz eines DSGVO-konformen CRM-Systems vereinfachen Sie sich die Anpassung an die EU-Verordnung um einiges. So sind Ihre Mitarbeiter im Handumdrehen datenschutzfit! Denn Sie ersparen sich den Aufwand, Ihre Arbeitsabläufe einzeln anzupassen, nur um zu gewährleisten, dass Ihre Mitarbeiter nach den neuen Richtlinien arbeiten. Nebenbei stärken Sie das Vertrauen Ihrer Kunden und Interessenten in Ihr Unternehmen und Sie verlieren keine wichtigen Kundeninformationen, die Ihrem Unternehmen als Wachstums- und Innovationsgrundlage dienen. Deutsche CRM-Anbieter werden die Umsetzung der DSGVO unterstützen.

Beobachten Sie die Entwicklungen der EU-Kommisson. Es werden bereits weitere Gesetzesvorschläge diskutiert: Der Ende 2020 vorgelegte Data Governance Act ist ein weiterer Schritt der Kommission, um die EU als Datenschutz-Vorreiter aufzustellen und das Thema Datenschutz zu einem Wettbewerbsvorteil auszubauen.