Datenschutz im CRM

Datenschutz im CRM: Kundenbeziehungen rechtssicher gestalten (Teil 1)

  |   CX Consulting

Während die Technologien immer raffinierter werden, wächst auch die Verantwortung, personenbezogene Kundendaten angemessen zu schützen. Der verantwortungsbewusste Umgang mit diesen Daten ist nicht nur gesetzlich vorgeschrieben: Er ist auch ein entscheidender Faktor, um das Vertrauen der Kunden zu gewinnen und zu erhalten.

 

In diesem Artikel steht der Datenschutz im CRM im Mittelpunkt. Doch keine Sorge: Es handelt sich hier nicht um eine weitere Anleitung zur Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO). Hier geht es vielmehr darum, das Bewusstsein für dieses essenzielle Thema zu schärfen: Wie können Unternehmen den schwierigen Balanceakt zwischen einer effektiven CRM-Nutzung und dem Datenschutz erfolgreich bewältigen?

 

Zum Einstieg ein bemerkenswerter Fall aus der CRM-Praxis. Stellen Sie sich folgende Situation vor: Mit nur einem einzigen Klick werden über 80% der langjährig gepflegten Kontakte in Ihrem CRM-System unwiederbringlich gelöscht. Ein absoluter Albtraum? Tatsächlich ereignete sich genau das kurz vor dem Inkrafttreten der EU-DSGVO im Mai 2018 bei einem unserer Kunden, einem weltweit agierenden Unternehmen der Bauzulieferer-Industrie. Doch es handelte sich hier weder um einen Fehler noch um ein Versehen. Das Unternehmen löschte die Kundendaten ganz bewusst. Denn sie entsprachen nicht den strengen Anforderungen der DSGVO.

 

Nach etwa zweieinhalb Jahren hatte das CRM-System endlich die ursprüngliche Anzahl an Kontakten wieder erreicht. Der Unterschied war jedoch enorm: Alle Daten waren nicht nur aktuell und relevant, sondern auch zu 100 Prozent datenschutzkonform. In den beiden Folgejahren verdoppelte sich jeweils die Datenmenge im CRM-System – wobei ihre Qualität weiterhin auf einem sehr hohen Niveau blieb. Entsprechend hoch waren auch die Response- und Konvertierungsraten in Marketing und Vertrieb.

 

 

Datenschutzrechtliche Anforderungen an das CRM-System

 

Moderne automatisierte CRM-Lösungen sind für erfolgreiche und kundenorientierte Unternehmen unverzichtbar geworden. Sie fungieren als zentrale Datenbanken für verschiedene Kundeninformationen. Auf dieser Basis ermöglichen sie es Unternehmen, personalisierte Produkte und Dienstleistungen anzubieten sowie Geschäftsabläufe zu optimieren. Angesichts der wertvollen und oft sensiblen Daten, die hier gespeichert werden, müssen die Anforderungen des Datenschutzes im CRM konsequent umgesetzt werden. Auf diese Weise werden nicht nur die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten gewährleistet: Die Maßnahmen stellen auch den Schutz der Privatsphäre der Kunden sicher.

1-Icon

Erforderliche Maßnahmen zum Datenschutz im CRM

Datenbasiertes Kundenbeziehungsmanagement bietet Unternehmen zweifellos einen unverzichtbaren Mehrwert. Doch gleichzeitig stellen sie Unternehmen vor oft unterschätzte Herausforderungen in puncto Datensicherheit und Datenschutz. So werden sie angesichts der schier unermesslichen Menge an Informationen, die in diesen Systemen gespeichert sind, zunehmend zum Ziel von Cyberangriffen und anderen Datenschutzverletzungen. Um diesen Risiken vorzubeugen, müssen Unternehmen eine Vielzahl an Maßnahmen zur Datensicherheit und zum Datenschutz im System ergreifen.

 

Die folgende Abbildung zeigt einen Überblick mit den zentralen Maßnahmen zur Datensicherheit und zum Datenschutz im CRM. Sie bilden eine solide Grundlage für ein sicheres CRM-System.

Quelle: Vision11

 

Um die Integrität der Daten langfristig zu gewährleisten, müssen Unternehmen den Datenschutz als kontinuierlichen Prozess betrachten. Denn, um den ständig neuen Bedrohungen gerecht zu werden, sind regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsmaßnahmen unerlässlich. Indem Unternehmen z. B. starke Zugriffskontrollen etablieren, Daten verschlüsseln, regelmäßige Sicherheits-Updates durchführen und ihre Netzwerke schützen, stellen sie sicher, dass sensible Kundeninformationen vor unbefugtem Zugriff und Missbrauch geschützt sind. Abgerundet werden diese Sicherheitskonzepte durch sorgfältige Mitarbeiterschulungen und die Implementierung einer effektiven Notfallvorsorge. Die Umsetzung dieser Maßnahmen stärkt das Vertrauen der Kunden und Geschäftspartner in das Unternehmen – und sie minimieren das Risiko von Datenschutzverletzungen, die sich verheerend auf das Image und den Geschäftserfolg auswirken können.

2-Icon

Rechte der betroffenen Personen im CRM-Umfeld

Entsprechend der EU-DSGVO verfügen betroffene Personen – also jene, deren personenbezogene Daten in einem CRM-System verarbeitet werden – über spezifische Rechte hinsichtlich der Datenspeicherung und Datennutzung im CRM-Umfeld. Diese Rechte sollen in erster Linie sicherstellen, dass betroffene Personen die Kontrolle über ihre persönlichen Daten behalten. Zudem verpflichten sie Unternehmen und Organisationen zu einem transparenten und verantwortungsbewussten Umgang mit den Daten ihrer Kunden und Geschäftspartner.

 

Diese Rechte geben betroffenen Personen die Möglichkeit, Auskunft über die Verarbeitung ihrer Daten zu erhalten, eventuelle Unrichtigkeiten korrigieren zu lassen und unter bestimmten Umständen eine Löschung oder Einschränkung der Datenverarbeitung zu beantragen. Außerdem haben sie das Recht, ihre personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format zu erhalten, um sie bei Bedarf einem anderen Verantwortlichen zu übermitteln. Die folgende Abbildung stellt die wichtigsten Rechte betroffener Personen in Bezug auf den Datenschutz im CRM-Umfeld übersichtlich dar.

Quelle: Vision11

 

Diese Datenschutzrechte tragen dazu bei, das Vertrauen in den Umgang mit persönlichen Informationen zu stärken und die Privatsphäre der betroffenen Personen zu schützen. Sie gewähren den betroffenen Personen eine gewisse Mitsprache und Kontrolle über ihre eigenen Daten, unabhängig davon, wo und von wem diese verarbeitet werden. Unternehmen sind somit in der Pflicht, diese Rechte zu respektieren und sicherzustellen, dass sie den Anforderungen des Datenschutzes im CRM-Bereich in vollem Umfang gerecht werden.

3-Icon

Datenschutz-Folgenabschätzung (DSFA) im Rahmen des CRM

Die DSGVO bringt nicht nur neue Pflichten für Unternehmen mit sich: In Folge entstanden auch neue Lösungen und Instrumente, um den Datenschutz im CRM zu gewährleisten. Eines dieser Instrumente ist die Datenschutz-Folgenabschätzung (DSFA), auch bekannt als Privacy Impact Assessment (PIA). Die Datenschutz-Folgenabschätzung unterstützt Datenschutzverantwortliche dabei, die neuen Verpflichtungen gemäß der DSGVO einzuhalten. Es ist jedoch nicht immer offensichtlich, wann und wie genau eine DSFA durchgeführt werden muss.

 

Die Umsetzung einer Datenschutz-Folgenabschätzung kann selbst für erfahrene Datenschützer herausfordernd sein, da klare Regelungen und Vorgaben fehlen. Zur Orientierung dienen jedoch zahlreiche Rechtsprechungen sowie veröffentlichte Checklisten verschiedener Datenschutz-Behörden. Wichtig ist zu wissen, dass eine Datenschutz-Folgenabschätzung nicht für jede Datenverarbeitungstätigkeit erforderlich ist, sondern nur für besonders kritische Verarbeitungen. Dazu zählen etwa Verarbeitungen mit automatisierter Systematik oder sensiblen personenbezogenen Daten.

 

In Bezug auf CRM-Systeme erfüllen die genannten Bedingungen in der Regel die Voraussetzungen für eine Datenschutz-Folgenabschätzung. Somit kann mit einiger Gewissheit gesagt werden: Wenn ein Unternehmen eine CRM-Lösung einsetzt, ist die Durchführung einer Datenschutz-Folgenabschätzung erforderlich.

 

Die Bezeichnung „Datenschutz-Folgenabschätzung“ ist zwar ein juristisches Wortungetüm, in der Praxis ist sie jedoch weniger kompliziert, als der Begriff vermuten lässt. Der Fokus dieser Bewertung liegt nicht auf demjenigen, der die Daten verarbeitet, sondern auf den betroffenen Personen. Die Grundlage für die Abschätzung des Risikos basiert auf einer Prognose, bei der die Verantwortlichen versuchen, einen möglichen Schaden vorherzusagen. Dafür werden zwei Faktoren berücksichtigt: die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens. Aus dem Verhältnis dieser beiden Faktoren ergibt sich dann das Gesamtrisiko.

 

Dieser Ansatz versetzt Unternehmen in die Lage, frühzeitig potenzielle Risiken für die Datenschutzrechte der Betroffenen zu erkennen und angemessene Schutzmaßnahmen zu ergreifen. Somit stellt die DSFA ein wirksames Werkzeug dar, um den Anforderungen der DSGVO gerecht zu werden und den Datenschutz im CRM sicherzustellen.

 

Was aber kann passieren, wenn ein Unternehmen keine DSFA durchführt, obwohl diese erforderlich wäre? Die Konsequenzen können ernsthaft sein. Im mildesten Fall muss das Unternehmen mit Abmahnungen rechnen. Bereits diese können einen negativen Einfluss auf das Unternehmens-Image haben. Im schlimmsten Fall drohen jedoch erhebliche Bußgelder durch die Datenschutz-Aufsichtsbehörden. Diese können bis zu 10 Mio. Euro oder 2 % des gesamten weltweit erwirtschafteten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen – je nachdem, welcher Betrag größer ist. Bußgelder in dieser Höhe können die finanzielle Situation eines Unternehmens erheblich beeinträchtigen und seine Geschäftstätigkeit gefährden.

Rechtsgrundlagen für den Datenschutz im CRM

 

Die systematische Nutzung von personenbezogenen Daten und Customer Insights ist die unumstrittene Voraussetzung für erfolgreiches CRM im Unternehmen. Um das volle Potenzial moderner CRM-Lösungen ausschöpfen zu können, müssen dabei die geltenden Datenschutzgesetze, insbesondere die DSGVO, strikt eingehalten werden. Die legitime Verarbeitung von Kundendaten im CRM beruht auf verschiedenen Rechtsgrundlagen. Hier die drei wichtigsten:

1-Icon

Einwilligung der betroffenen Personen

Eine der zentralen Rechtsgrundlagen für die Verarbeitung von Kundendaten ist die Einwilligung der betroffenen Personen. Das heißt: Ein Unternehmen muss deren ausdrückliche Zustimmung einholen, bevor es deren Daten verarbeitet. Dabei muss die Einwilligung freiwillig, informiert, spezifisch und eindeutig sein. Die betroffene Person hat das Recht, die Einwilligung jederzeit zu widerrufen. Eine ordnungsgemäß eingeholte Einwilligung stellt sicher, dass die Datenverarbeitung rechtskonform und transparent erfolgt und die Privatsphäre der betroffenen Personen respektiert wird.

2-Icon

Vertragserfüllung und vorvertragliche Maßnahmen

Eine weitere Rechtsgrundlage ist die Verarbeitung von Kundendaten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen. Ein Unternehmen kann beispielsweise die Daten eines Kunden verwenden, um Bestellungen abzuwickeln oder Dienstleistungen gemäß Vertragsvereinbarungen zu erbringen. In solchen Fällen ist die Verarbeitung der Kundendaten rechtlich legitimiert, da sie für die Vertragserfüllung oder die Vorbereitung eines Vertragsabschlusses notwendig ist. Diese Rechtsgrundlage ermöglicht es dem Unternehmen, die Geschäftsbeziehung mit dem Kunden effizient und rechtskonform zu gestalten sowie die vereinbarten Leistungen zu erbringen. Dabei ist es wichtig sicherzustellen, dass nur die für die Vertragserfüllung relevanten Daten verarbeitet werden und die Kundendaten gemäß den geltenden Datenschutzbestimmungen geschützt werden.

3-Icon

Berechtigtes Interesse des Verantwortlichen

Die Verarbeitung von Kundendaten kann auch aufgrund eines berechtigten Interesses des Unternehmens erfolgen. Diese Rechtsgrundlage ermöglicht es Unternehmen, bestimmte Kundendaten zu verarbeiten, sofern dabei die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Um sicherzustellen, dass die Rechte der betroffenen Person angemessen geschützt werden, ist hier eine sorgfältige Interessenabwägung erforderlich. Die Datenverarbeitung muss im Einklang mit den gesetzlichen Bestimmungen stehen und das Recht der betroffenen Personen auf Datenschutz muss respektiert werden. Unternehmen sollten dabei sicherstellen, dass sie eine klare und nachvollziehbare Begründung für das berechtigte Interesse haben und die Auswirkungen auf die Privatsphäre der betroffenen Person angemessen berücksichtigen. Die Einhaltung dieser Grundsätze gewährleistet eine verantwortungsvolle und transparente Verarbeitung von Kundendaten im Rahmen des CRM.

Grundsätze des Datenschutzes im CRM

 

Um den rechtmäßigen Umgang mit Kundendaten im CRM zu gewährleisten, müssen Unternehmen generell die vom Gesetzgeber festgelegten Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten einhalten. Dazu gehören die Prinzipien Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Diese sind in Artikel 5 der EU-DSGVO festgelegt und gelten selbstverständlich auch für den Datenschutz im CRM. Darauf näher einzugehen, würde den Rahmen dieses Beitrags sprengen. Im Netz lassen sich jedoch zahlreiche Erläuterungen aus den Händen von Jurist:innen finden.

 

Ein entscheidender Punkt ist bei alldem jedoch immer zu berücksichtigen: Obwohl sich Unternehmen bei der Verarbeitung von Kundendaten im CRM auf Rechtsgrundlagen wie die oben beschriebenen beziehen können, gehören personenbezogene Daten immer der betroffenen Person selbst. Der individuelle Kunde steht also auch beim Datenschutz im CRM immer im Mittelpunkt.

 

 

 

Fazit: Datenschutz im CRM als unverzichtbare Voraussetzung

 

Der Datenschutz im CRM ist von grundlegender Bedeutung, um rechtliche Anforderungen zu erfüllen, das Vertrauen der Kunden in das Unternehmen zu stärken und es vor schweren Image-Schäden oder gar hohen Geldbußen zu schützen. Dabei sollten sich Unternehmen bewusst sein, dass Datenschutz ein kontinuierlicher Prozess ist, der regelmäßige Anpassungen und Überprüfungen erfordert. Um diesen Herausforderungen gerecht zu werden, sind zahlreiche Maßnahmen erforderlich.

 

Im Mittelpunkt stehen dabei immer die betroffenen Personen und ihre u. a. in der DSGVO festgelegten Rechte. Ein effektives Instrument, um die Anforderungen des Datenschutzes im CRM zu erfüllen, ist die Datenschutz-Folgenabschätzung (DSFA). Eine in DSGVO-Projekten erfahrene CRM-Beratung kann Unternehmen dabei unterstützen, die Maßnahmen zur Datensicherheit zu implementieren, eine DSFA zuverlässig durchzuführen und die Verarbeitung von Kundendaten auf soliden Rechtsgrundlagen sicherzustellen.

 

 

 

Ausblick auf Teil 2:
Wie lässt sich Datenschutz im CRM solide umsetzen?

 

Bei diesem Beitrag handelt es sich um den ersten Teil einer zweiteiligen Reihe mit dem Schwerpunkt DSGVO und Datenschutz im CRM. Im nächsten Blogbeitrag beschäftigen wir uns mit der konkreten Umsetzung der DSGVO im CRM-Umfeld: Wie lassen sich potenzielle Datenschutzrisiken erkennen? Was müssen Unternehmen bei ihren CRM-Systemen anpassen? Wie erfolgt die sorgfältige Dokumentation von Datenschutzmaßnahmen? Und was, wenn es trotz allem zu einer Datenpanne kommt? Außerdem werfen wir einen Blick auf die weitere Entwicklung: Wo liegen künftige Risiken? Und warum ist eine noch stärkere personenbezogene Sicht auf die Daten notwendig? Bleiben Sie gespannt!

Haben Sie Interesse an unserem Vorgehen, an Projektreferenzen oder an Best Practice Use Cases?

 

Gerne rufe ich Sie für ein weiterführendes Gespräch zurück.

Sergej Plovs

Sergej Plovs

+4915146124767

Während die Technologien immer raffinierter werden, wächst auch die Verantwortung, personenbezogene Kundendaten angemessen zu schützen. Der verantwortungsbewusste Umgang mit diesen Daten ist nicht nur gesetzlich vorgeschrieben: Er ist auch ein entscheidender Faktor, um das Vertrauen der Kunden zu gewinnen und zu erhalten.