CRM-Systeme und DSGVO

Für eine Kundenverwaltung sind CRM-Systeme aus dem Geschäftsalltag nicht mehr wegzudenken. Diese Anforderungen müssen sie erfüllen.

Gut gepflegte Kundendatenbanken sind für Angebote und damit Umsatz unerlässlich. Doch ist eine Kundenverwaltung in CRM-Systemen laut der DSGVO eigentlich noch erlaubt? Sie ist nicht nur erlaubt, sondern CRM kann für Unternehmen ein wichtiges Tool sein, um die Anforderungen der DSGVO zu erfüllen.

Betroffenenrechte in der DSGVO

Mit der Datenschutz-Grundverordnung haben Kunden eine Reihe von Rechten erhalten, die jedes Unternehmen beachten muss. Dazu gehören:

  • Recht auf Vergessenwerden,
  • Recht auf Berichtigung,
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarbeit
  • die Einhaltung von Transparenz und Informationspflichten,
  • Datenminimierung,
  • Zweckbindung

Außerdem müssen Unternehmen bei personenbezogenen Daten dokumentieren, aufgrund welcher Rechtsgrundlage sie verarbeitet werden. Eine Einwilligung, wie zum Beispiel für den Newsletterversand, ist dabei nur eine von mehreren Möglichkeiten. Bei Daten von Kunden, mit denen ein Unternehmen in einem Vertragsverhältnis steht, ist zum Beispiel keine Einwilligung nötig.

Datenschutzfunktionen in CRM-Systemen

Gute CRM-Systeme bieten viele Funktionen, die bei der Umsetzung von Datenschutzvorgaben unterstützen. Folgende Punkte sollte ein CRM-System aus Datenschutzgeschichtspunkten bieten:

  • Datenschutz und Datensicherheit: CRM-Systeme speichern Daten in der Regel verschlüsselt und sind durch Zugangskontrollen gesichert. Daher bieten sie guten Schutz gegen Eingriffe von außen.
  • Benutzerrechte: Für die Datenbanken lässt sich festlegen, welche Mitarbeiter Zugriff auf welche Datensätze haben. Dadurch ist immer gewährleistet, dass nur diejenigen personenbezogene Daten verarbeiten, die dazu auch berechtigt sind. Voraussetzung ist dabei natürlich, dass ein Berechtigungs- und Rollenkonzept definiert und im CRM-System hinterlegt ist.
  • Datenintegrität: In CRM-Systemen wird automatisch protokolliert, welcher Benutzer welche Daten geändert hat. Oft werden auch vorherige Versionen gespeichert, so dass sie bei einer fehlerhaften Änderung wiederhergestellt werden können.
  • Datenvermeidung und Datensparsamkeit: Aus Datenbanken lassen sich die Daten nicht nur löschen. Auch eine Anonymisierung ist damit leicht zu bewerkstelligen.
  • Transparenz: Gut gepflegte Kundendatenbanken bieten den Vorteil, dass Unternehmen einem Auskunftsersuchen eines Betroffenen leicht nachkommen kann. Denn alle Daten befinden sich im CRM-System und können so einfach exportiert und dem Kunden mitgeteilt werden.
  • Löschfristen: Nach der DSGVO müssen Daten gelöscht werden, wenn es keine Rechtsgrundlage mehr gibt, sie zu speichern. Dazu zählen zum Beispiel die steuerrechtlichen Aufbewahrungsfristen. Diese Fristen können im CRM als Merkmal hinzugefügt werden, so dass Unternehmen ihrer Löschverpflichtung mit wenig Aufwand nachkommen können. 
  • Einwilligungen und Zweck: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage und ein konkreter Zweck vorliegen. Beides lässt sich im Datensatz speichern und dadurch einfach nachvollziehen, ob eine rechtmäßige Verarbeitung vorliegt.

Diese Funktionen sollte ein modernes CRM-System unbedingt mitbringen bzw. ein Unternehmen bei der Entwicklung eines eigenen Systems beachten. Greift ein Unternehmen zu einer CRM-Lösung in der Cloud, handelt es sich bei dem Software-Anbieter um einen Auftragsverarbeiter, mit dem ein AV-Vertrag abgeschlossen werden muss.

Tags
  • DSGVO
  • Datenschutz
  • CRM
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649