DSGVO im CRM

DSGVO im CRM: Kundenbeziehungen rechtssicher gestalten (Teil 2)

  |   CX Consulting

Willkommen im zweiten Teil unserer Beitragsreihe rund um die Datenschutzgrundverordnung (DSGVO) und den Datenschutz im CRM-Kontext. Im ersten Teil beschäftigten wir uns mit den datenschutzrechtlichen Anforderungen an ein CRM-System, den CRM-relevanten Rechtsgrundlagen für den Datenschutz und den Grundsätzen des Datenschutzes im CRM. Nun geht es um die konkrete Umsetzung der DSGVO im CRM-Umfeld – und um die Maßnahmen, die erforderlich sind, um die DSGVO-Konformität zu gewährleisten.

 

Klar ist: Die Umsetzung der DSGVO im CRM ist für Unternehmen unverzichtbar, um den Datenschutz zu gewährleisten und rechtliche Anforderungen zu erfüllen. Verantwortung tragen dabei sowohl die Anwendenden als auch die CRM-Anbieter. Entscheidende Voraussetzungen, um die Vorgaben der DSGVO im CRM zu erfüllen, sind bestimmte Anpassungen im CRM-System, die Bestandsaufnahme der Kundendaten und eine lückenlose Dokumentation.

Umsetzung der DSGVO im CRM-Umfeld

 

CRM-Systeme können und sollten die Umsetzung der DSGVO im CRM unterstützen. Wie bereits erwähnt tragen dabei nicht nur die Anwendenden Verantwortung, sondern auch die CRM-Anbieter. Angesichts der Verbreitung von Cloud-Services als gängiger Form von CRM-Lösungen müssen deshalb sowohl Anbieter als auch anwendende Unternehmen entsprechende Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO abschließen.

 

Seit der verbindlichen Einführung der DSGVO in der EU hat sich auf dem Markt für CRM-Lösungen vieles verändert. Kundenanforderungen hinsichtlich DSGVO-Konformität haben die Hersteller dazu bewegt, neue Datenschutz-Funktionen in ihre Lösungen zu integrieren, um die Einhaltung der Datenschutzvorgaben technologisch zu unterstützen. Dennoch reicht es für Unternehmen nicht aus, sich allein auf die Zusicherung der Hersteller zu verlassen, dass ihre CRM-Systeme DSGVO-konform sind.

 

Damit Unternehmen ihre CRM-Lösungen tatsächlich datenschutzkonform nutzen können, sind eine Reihe von Maßnahmen erforderlich. Hier die drei wichtigsten:

1-Icon

Bestandsaufnahme der Kundendaten und der Datenverarbeitungsprozesse

Eine maßgebliche Voraussetzung ist es, zunächst eine umfassende Bestandsaufnahme der vorhandenen Kundendaten und der damit verbundenen Datenverarbeitungsprozesse durchzuführen. Dabei müssen Unternehmen genau wissen, welche personenbezogenen Daten sie sammeln, wie sie diese nutzen und mit wem sie die Daten teilen. Durch diese Analyse lassen sich Datenverarbeitungsaktivitäten identifizieren und bewerten, die zu potenziellen Datenschutzrisiken werden können. Eine solide Bestandsaufnahme bildet also die Grundlage für die Implementierung angemessener Maßnahmen zur Umsetzung der DSGVO im CRM.

2-Icon

Anpassungen und Verbesserungen im CRM-System

Auf Basis dieser Bestandsaufnahme müssen nun Anpassungen und Verbesserungen vorgenommen werden, um den Anforderungen der DSGVO im CRM-System gerecht zu werden. Dazu zählt z. B. die Implementierung von Datenschutz-Funktionen wie etwa Datenverschlüsselung, Zugangskontrollen oder Datenlöschmechanismen. (Eine Übersicht sämtlicher Maßnahmen findet sich in Teil 1 dieser Reihe.) Darüber hinaus muss das Unternehmen seine Datenschutzerklärungen aktualisieren. Im Fokus steht dabei, die Kunden transparent über die Verwendung ihrer Daten zu informieren und ihre Einwilligung dazu einzuholen. Bei all dem müssen Unternehmen die Möglichkeiten ihrer CRM-Lösung genau kennen und für ihre Bedürfnisse nutzen.

 

Unabhängig vom Funktionsumfang, vom Preis und von den Marktanteilen der CRM-Lösung sind diese kundenindividuellen Anpassungen unabdingbar. In den letzten Jahren haben sich jedoch bewährte Best-Practice-Ansätze etabliert, auf die CRM-Beratungs- und Implementierungspartner zurückgreifen können.

3-Icon

Dokumentation der Maßnahmen zur DSGVO im CRM-Umfeld

Eine weitere Pflicht ist die sorgfältige und lückenlose Dokumentation aller Datenschutzmaßnahmen im CRM-Umfeld. Unternehmen müssen nachweisen können, dass sie die DSGVO-Anforderungen erfüllen und dass sie die Rechte der betroffenen Personen respektieren. Dazu gehört die Dokumentation der Einwilligungserklärungen, der Datenschutz-Folgenabschätzung (siehe Teil 1) sowie der technischen und organisatorischen Maßnahmen zur Datensicherheit. Auch hier gilt: „Man muss das Rad nicht neu erfinden.“ Erfahrene CRM-Beratungshäuser haben aus einer Vielzahl von CRM-Projekten adaptierbare und schnell nutzbare Best-Practice-Ansätze erarbeitet und als festen Bestandteil ihres Portfolios etabliert. Eine umfassende und transparente Dokumentation gewährleistet dabei nicht nur die Einhaltung der Datenschutzbestimmungen: Sie stärkt auch das Vertrauen der Kunden und Geschäftspartner in den verantwortungsvollen Umgang mit ihren Daten.

 

Die Umsetzung der DSGVO im CRM-Umfeld erfordert eine enge Zusammenarbeit von Datenschutzverantwortlichen, IT-Expert:innen und anderen relevanten Abteilungen im Unternehmen. Zudem ist es ratsam, regelmäßige Austauschtermine mit dem Hersteller der eingesetzten CRM-Lösung zum Thema Datenschutz zu etablieren – idealerweise alle 3 Monate. Außerdem empfiehlt es sich, auf einen erfahrenen CRM-Consultant mit dem Schwerpunkt “Datenschutz” als direkten Ansprechpartner zurückgreifen zu können. Eine solche Zusammenarbeit gewährleistet die kontinuierliche und umfassende Umsetzung der DSGVO im CRM-System und trägt dazu bei, mögliche Risiken frühzeitig zu identifizieren und zu minimieren.

Umgang mit Datenpannen im CRM-Umfeld

 

Durch die Umsetzung aller erforderlichen Maßnahmen lässt sich die Wahrscheinlichkeit von Datenschutzpannen entscheidend reduzieren. Doch es gibt keine absolute Garantie dafür, dass DSGVO-relevante Vorfälle vollständig ausgeschlossen werden können. Selbst bei der perfekten Durchführung der Maßnahmen und umfassenden Schulungen besteht immer noch ein gewisses Restrisiko.

 

Es ist jedoch wichtig zu verstehen, dass nicht jeder Datenschutzvorfall automatisch zu großer Sorge führen muss. Die DSGVO definiert eine Datenschutzpanne als Situation, in der der Schutz personenbezogener Daten verletzt wurde. Hierbei muss geprüft werden, ob es zu einer unbeabsichtigten oder einer unrechtmäßigen Offenlegung, Änderung, Zerstörung der Daten bzw. zu einem unbefugten Zugriff darauf gekommen ist.

Im Fall einer Datenschutzpanne müssen Unternehmen sofort handeln und die betroffenen Personen sowie die zuständige Datenschutz-Aufsichtsbehörde benachrichtigen. Die Meldung sollte innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne erfolgen – es sei denn, es ist unwahrscheinlich, dass die Datenpanne ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

 

Diese klare und schnelle Reaktion ist entscheidend, um das Risiko weiterer Schäden zu minimieren und die Datenschutzintegrität zu gewährleisten. Durch angemessene Vorkehrungen und regelmäßige Schulungen können sich Unternehmen auf solche Vorfälle vorbereiten und damit auch die Anforderungen der DSGVO erfüllen.

 

Dabei ist es ratsam, einen geeigneten Reaktionsplan zu erstellen und einen Datenschutzbeauftragten zu etablieren, der im Ernstfall angemessen handeln kann. Der Reaktionsplan sollte alle notwendigen technischen und organisatorischen Maßnahmen beinhalten, um die Datenschutzpanne zu bewältigen und die betroffenen Personen zu informieren.

 

Im schlimmsten Fall kann eine Datenschutzpanne nicht nur zu erheblichen Bußgeldern führen, sondern auch zu hohen Schadensersatzansprüchen seitens der betroffenen Personen. Es ist jedoch wichtig zu betonen, dass das bloße Auftreten einer Datenpanne dafür nicht ausreicht. Damit ein Anspruch auf Schadensersatz besteht, muss tatsächlich ein materieller oder immaterieller Schaden eingetreten und nachzuweisen sein.

 

Kommt es tatsächlich zu Bußgeldern oder Schadensersatzansprüchen, liegt die Verantwortung übrigens nicht beim Datenschutzbeauftragten. Dieser hat lediglich eine beratende und unterstützende Funktion im Unternehmen. Stattdessen liegt sie beim Unternehmen als juristischer Person oder direkt bei der Geschäftsführung als natürlicher Person. Nicht zuletzt deshalb ist es entscheidend, dass die Geschäftsführung die Anforderungen der DSGVO im CRM ernst nimmt und angemessene Vorkehrungen trifft. Es wäre fahrlässig und unverantwortlich, sich dabei allein auf den Datenschutzbeauftragten oder den Hersteller der eingesetzten CRM-Lösung zu verlassen.

DSGVO im CRM: Fazit und Ausblick auf künftige Entwicklungen

 

Bevor wir hier ein Fazit ziehen und einen Ausblick in die Zukunft wagen, lohnt es sich, einen Blick in die im Juli 2023 veröffentlichten  Travorit-Studie „CRM in der Praxis 2023/2024“ zu werfen. Im Mittelpunkt der Studie stand die Frage nach den wichtigsten CRM-Trends aus Sicht der Anwender:innen. An der Spitze: Datensicherheit, rechtliche Vorgaben und Compliance.

CRM-Trends

Quelle: Vision11 nach Travorit

Künftig werden diese Themen im CRM-Bereich noch weiter in den Fokus rücken. Denn mit der zunehmenden Digitalisierung und dem Einsatz von Künstlicher Intelligenz im CRM werden neue datenschutzrechtliche Fragen aufkommen. DSGVO-konforme Datenanalysen und -vorhersagen, transparente Algorithmen sowie datenschutzfreundliche CRM-Lösungen und Customer-Experience-Plattformen werden zunehmend an Bedeutung gewinnen. Unternehmen müssen sich darauf einstellen und frühzeitig in entsprechende Maßnahmen investieren.

 

Auch die Verwendung von ChatGPT ist aus Datenschutzsicht eine Herausforderung. Ein Blick in Richtung Süden zeigt, wie aktuell dieses Thema bereits ist: Als erstes Land in Europa hat Italien ChatGPT aus datenschutzrechtlichen Gründen gesperrt. Es ist zu erwarten, dass weitere Länder diesem Beispiel folgen werden, solange die Nutzung solcher KI-Tools datenschutzrechtlich nicht geklärt ist.

 

Generell gilt: Solange in Unternehmen Datensilos existieren, keine konsolidierten Systeme genutzt werden, Daten nicht zentral, sondern verteilt gespeichert werden und manuelle Tätigkeiten bei der Datenverarbeitung nicht automatisiert werden, bleibt das Risiko für Verstöße gegen die geltenden Datenschutzverordnungen weiterhin hoch.

 

Stattdessen müssen Unternehmen künftig eine personenzentrierte Sicht auf die Daten entwickeln. Viele von ihnen haben in den vergangenen Jahren erkannt, wie wichtig es ist, sich kundenzentriert aufzustellen und alle internen Prozesse auf die Bedürfnisse der Kunden auszurichten. Der nächste logische Schritt ist es nun, personenbezogene Daten in den Mittelpunkt aller Compliance-Prozesse zu stellen.

Haben Sie Interesse an unserem Vorgehen, an Projektreferenzen oder an Best Practice Use Cases?

 

Gerne rufe ich Sie für ein weiterführendes Gespräch zurück.

Sergej Plovs

Sergej Plovs

+4915146124767

Während die Technologien immer raffinierter werden, wächst auch die Verantwortung, personenbezogene Kundendaten angemessen zu schützen. Der verantwortungsbewusste Umgang mit diesen Daten ist nicht nur gesetzlich vorgeschrieben: Er ist auch ein entscheidender Faktor, um das Vertrauen der Kunden zu gewinnen und zu erhalten.