Gut gepflegte Kundendatenbanken sind für Angebote und damit Umsatz unerlässlich. Doch ist eine Kundenverwaltung in CRM-Systemen laut der DSGVO eigentlich noch erlaubt? Sie ist nicht nur erlaubt, sondern CRM kann für Unternehmen ein wichtiges Tool sein, um die Anforderungen der DSGVO zu erfüllen.
Betroffenenrechte in der DSGVO
Mit der Datenschutz-Grundverordnung haben Kunden eine
Reihe von Rechten erhalten, die jedes Unternehmen beachten muss. Dazu gehören:
- Recht auf Vergessenwerden,
- Recht auf Berichtigung,
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarbeit
- die Einhaltung von Transparenz und Informationspflichten,
- Datenminimierung,
- Zweckbindung
Außerdem müssen Unternehmen bei personenbezogenen
Daten dokumentieren, aufgrund welcher Rechtsgrundlage sie verarbeitet werden.
Eine Einwilligung, wie zum Beispiel für den Newsletterversand, ist dabei nur
eine von mehreren Möglichkeiten. Bei Daten von Kunden, mit denen ein
Unternehmen in einem Vertragsverhältnis steht, ist zum Beispiel keine
Einwilligung nötig.
Datenschutzfunktionen in CRM-Systemen
Gute CRM-Systeme bieten viele Funktionen, die bei der
Umsetzung von Datenschutzvorgaben unterstützen. Folgende Punkte sollte ein
CRM-System aus Datenschutzgeschichtspunkten bieten:
- Datenschutz und Datensicherheit: CRM-Systeme speichern Daten in der Regel verschlüsselt und sind durch Zugangskontrollen gesichert. Daher bieten sie guten Schutz gegen Eingriffe von außen.
- Benutzerrechte: Für die Datenbanken lässt sich festlegen, welche Mitarbeiter Zugriff auf welche Datensätze haben. Dadurch ist immer gewährleistet, dass nur diejenigen personenbezogene Daten verarbeiten, die dazu auch berechtigt sind. Voraussetzung ist dabei natürlich, dass ein Berechtigungs- und Rollenkonzept definiert und im CRM-System hinterlegt ist.
- Datenintegrität: In CRM-Systemen wird automatisch protokolliert, welcher Benutzer welche Daten geändert hat. Oft werden auch vorherige Versionen gespeichert, so dass sie bei einer fehlerhaften Änderung wiederhergestellt werden können.
- Datenvermeidung und Datensparsamkeit: Aus Datenbanken lassen sich die Daten nicht nur löschen. Auch eine Anonymisierung ist damit leicht zu bewerkstelligen.
- Transparenz: Gut gepflegte Kundendatenbanken bieten den Vorteil, dass Unternehmen einem Auskunftsersuchen eines Betroffenen leicht nachkommen kann. Denn alle Daten befinden sich im CRM-System und können so einfach exportiert und dem Kunden mitgeteilt werden.
- Löschfristen: Nach der DSGVO müssen Daten gelöscht werden, wenn es keine Rechtsgrundlage mehr gibt, sie zu speichern. Dazu zählen zum Beispiel die steuerrechtlichen Aufbewahrungsfristen. Diese Fristen können im CRM als Merkmal hinzugefügt werden, so dass Unternehmen ihrer Löschverpflichtung mit wenig Aufwand nachkommen können.
- Einwilligungen und Zweck: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage und ein konkreter Zweck vorliegen. Beides lässt sich im Datensatz speichern und dadurch einfach nachvollziehen, ob eine rechtmäßige Verarbeitung vorliegt.
Diese Funktionen sollte ein modernes CRM-System
unbedingt mitbringen bzw. ein Unternehmen bei der Entwicklung eines eigenen Systems
beachten. Greift ein Unternehmen zu einer CRM-Lösung in der Cloud, handelt es
sich bei dem Software-Anbieter um einen Auftragsverarbeiter, mit dem ein
AV-Vertrag abgeschlossen werden muss.