CRM-Software & DSGVO

Richtiger Einsatz von CRM-Software gem. Datenschutz

CRM-Software, Datenschutz & DSGVO - medienkraft.at

CRM-Software DSGVO konform einsetzen

Laut DSGVO 2018 kommt personenbezogenen bzw. sensiblen Daten ein besonderer Schutz zu. Die Besonderheit dieser Verordnung, diese gilt EU weit und betrifft alle EU-Bürger, auch wenn sie sich in nicht EU-Staaten aufhalten und auf Ihre Website zugreifen. Ausschlaggebend ist, dass der Hauptwohnsitz in einem EU-Staat ist.

Für Unternehmen kann eine Missachtung dieser Verordnung nicht nur teuer, sondern auch existenzbedrohend werden. Die Strafzahlungen können die horrende Summe von bis zu 20 Millionen Euro bilden oder 4% des weltweiten Jahresumsatzes bedeuten. Natürlich je nachdem was mehr ausmacht.

Dieses Strafmaß sorgt einerseits für mehr Motivation bezüglich der Umsetzung und auf der anderen Seite verbreitet es derzeit eine gewisse panische Stimmung unter Unternehmen.

Aus dem einfachen Grund, da manche Bestimmungen für Unternehmen verschärft wurden und es für große Unternehmen zusätzlich ein paar Vorgaben gibt.

DSGVO – Bestimmungen

  • Datenschutzbeauftragten bestimmen (bitte beachten, dass dieser in Österreich nur unter bestimmten Voraussetzungen zu bestimmen ist)
  • Genaue Datenabbildung  – Wann bzw. wie lange, wie und warum werden diese erhoben? (Kundendaten als auch interne Daten)
  • Prozess der Datenverarbeitung abbilden und definieren (+ Prozesshandbuch erstellen)
  • Datenschutz-Maßnahmen dokumentieren (Fortbildungsmaßnahmen, Software-Updates, Firewalls und zuständige bzw. involvierte Personen)
  • Informationspflichten beachten (betroffene Personen müssen in Kenntnis gesetzt werden können, wenn ihre Daten gelöscht, bearbeitet oder in einer anderen Weise gebraucht werden)

Lesen Sie diese Punkte durch, wird schnell klar, viele dieser Bestimmungen betrifft CRM-Systeme.

Viele Unternehmen nutzen CRM-Software, und die wenigsten verwenden diese gem. der DSGVO-Bestimmungen.

Vielleicht denken Sie sich auch, da Sie das CRM-Programm lediglich anwenden, hat der Anbieter bzw. der Entwickler des Programmes Sorge zu tragen, dass es Datenschutz konform funktioniert.

Dem ist aber nicht so, wir wollen erklären, wie die Situation laut DSGVO betrachtet wird.

Grundsätzlich wird zwischen einem Auftragsverarbeiter und einem Verantwortlichen unterschieden.

Der Verantwortliche

Der Verantwortliche ist eine natürliche oder juristische Person, Behörde, Agentur oder Körperschaft, welche die Zwecke und Mittel der Verarbeitung persönlicher Daten bestimmt. Dabei ist es gleich ob die Sammlung persönlicher Daten direkt oder indirekt veranlasst wurde.

Daten können gesammelt und verarbeitet werden wenn, bei dem Betrieb einer Website, bei Marketing-Kampagnen, Newsletter oder anderen Varianten, wo sich Nutzer mit Ihren Daten anmelden (registrieren) müssen.

Der Auftragsverarbeiter

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Agentur oder Körperschaft, die persönliche Daten aufgrund eines Auftrages des Verantwortlichen verarbeitet. Das betrifft alle Personen oder Organisationen die einen Service oder ein System anbieten, wobei persönliche Kundendaten involviert sind.

Darunter fallen beispielsweise Anbieter von CRM-Programmen, Marketing-Agenturen, Marktforschungs-Institute, externe Personalverarbeiter oder andere externe Dienstleister, die Kundendaten erheben, sammeln und oder verarbeiten.

Wichtig: Sobald Sie mit einem externen Dienstleister zusammen arbeiten, der Zugriff auf personenbezogene Daten hat, muss ein Auftragsverarbeitungsvertrag (z.B. DSGVO und Google Analytics) abgeschlossen werden.

Hier finden Sie einen Muster-Vertrag zur Auftragsverarbeitung.

Wieder zurück zum CRM-Programm, laut DSGVO sind Sie als Unternehmen verantwortlich, dass personenbezogene bzw. sensible Daten Ihrer Kunden ordnungsgemäß gehandhabt werden.

Da bei den meisten Nutzern eines CRM-Systems das nicht der Fall ist, empfehlen wir folgende Schritte, damit Sie einen aktuellen Überblick über Ihre Ausgangssituation erhalten.

Die wichtigsten Bestimmungen der DSGVO

für CRM-Software & Ähnlicher Software

Artikel 6: Rechtmäßigkeit der Verarbeitung

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 12: Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Artikel 16: Recht auf Berichtigung

Artikel 18: Recht auf Einschränkung der Verarbeitung

Artikel 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Artikel 20: Recht auf Datenübertragbarkeit

Artikel 21: Widerspruchsrecht

Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die wichtigsten Maßnahmen für CRM-Programme

für einen DSGVO konformen Einsatz

IST-Analyse

Damit Sie überhaupt Kenntnis über einen möglichen Handlungsbedarf erhalten, starten Sie mit einer IST-Analyse.

Dabei sollten folgende wichtige Fragen beantwortet werden:

  • Welche personenbezogenen Daten werden derzeit erhoben?
  • Wofür bzw. wozu werden diese Daten verwendet?
  • Wie werden diese erhoben?
  • Welche Mitarbeiter haben einen Zugriff auf diese Daten?
  • Gibt es einen verantwortlichen Mitarbeiter für den Datenschutz?
  • Wird dokumentiert, wann ein Zugriff erfolgt?
  • Gibt es eine Zustimmung des Kunden, wie wird diese erhoben?
  • Wird der Kunde genau darüber informiert, wieso dessen Daten erhoben werden und wozu diese von wem Bearbeitet werden?
  • Hat der Kunde die Möglichkeit, von dessen Widerspruchssrecht Gebrauch zu machen?

Checkliste – 10 Dinge die nach DSGVO berücksichtigt werden müssen

Technische Adaption

Wenn Sie die Schwächen Ihres CRM-Programmes identifiziert haben, sollten Sie mit den Anbietern überlegen, welche Prozesse innerhalb des Systems optimiert werden können.

  • Welche Vorgehensweisen bzw. zusätzlichen Infos könnten automatisch gespeichert werden? (z.B. Quelle, Bearbeitungsprozesse, Bearbeitungsdatum, usw.)
  • Welche Daten werden redundant gespeichert, wo dies vermieden werden könnte?
  • Welche Daten sind gespeichert, mit denen aber schon lange keine Handlung mehr durchgeführt wurde?
  • Die Verteilung der Zugriffsrechte
  • Automatische Berichtserstellung
  • Automatische Prüfung der Datensätze nach Vorgaben der DSGVO

Datenschutz Check-Liste

Wir raten zu einer Checkliste, wo Sie alle DSGVO Bestimmungen erfassen und bei Umsetzung abhacken. Dazu können Sie auch gleich hinzufügen, wer welchen Punkt bearbeiten soll und wann dieser von wem Umgesetzt wurde.

Für eine gute Checkliste empfehlen wir zu folgender Strukturierung:

  • Bestimmungen/Vorgaben
  • Erhoben von
  • Erhoben am
  • Umgesetzt am
  • Umgesetzt von
  • Unterschrift
  • Zukünftig verantwortlich

Unser Fazit

Gerade in den letzten Jahren hat man viel über den 360 Grad Blick auf einen Kunden gehört und gelesen. Damit gemeint ist, dass ein Kundenprofil erstellt wird, wo alle Informationen diesen Kunden entsprechend zu finden sind. Darunter fallen dessen Stammdaten wie etwa Name, Anschrift und Kontakt plus Einträge zu einzelne Kontaktpunkte wie Gespräche auf Messen, Telefonanrufen, E-Mails oder Social Media Interaktionen. Um diesen 360 Grad Blick zu erreichen, haben einige Unternehmen viele Tools im Einsatz und einiges investiert, um jeden Kontaktpunkt mit dem Kunden auf einen Blick zu erfassen.

Rein vom Gefühl her, wenn man die DSGVO kennt, erkennt man, dass an dieser Stelle wahrscheinlich ein großer Handlungsbedarf gegeben ist. Das soll nicht einmal heißen, dass mit den Daten Schindluder getrieben wurde, aber nach DSGVO nachlässig damit umgegangen wird. So ist in den meisten Fällen die genaue Dokumentation und Nachvollziehbarkeit, welche Person oder Personen Zugriff auf die Datensätze haben, wann genau Zugriffe erfolgten und was geändert wurde, nicht gegeben.

Um ein Beispiel zu nennen: Würd ein Kunde anrufen und genau nachfragen, was mit seinen Kontaktdaten passiert wurde. Kann dem Kunden wahrscheinlich Auskunft gegeben werden, wann dieser einen Newsletter erhalten hat, eventuell wann dieser von wem angerufen wurde und welche E-Mail-Kommunikation passierte. Jedoch ist es meistens rückwirkend schwierig nachzuvollziehen von wem die einzelnen Newsletter erstellt wurden, wann welche Person dessen Daten bearbeitet hat und welche Änderungen vorgenommen wurden.

Doch gibt es in diesem Fall eine Lösung. Wer ein CRM-Software seinem Unternehmen im Einsatz hat, sollte prüfen wie der derzeitige Stand ist, was nicht DSGVO konform läuft und welche Lösungen der CRM Anbieter dafür parat hat und was man innerhalb der Unternehmensstruktur für eine rechtskonforme Datennutzung tun kann.

Sollten die neuen Anforderungen für Verwirrung sorgen,
melden Sie sich – wir helfen gerne!

Ähnliche Beiträge