Datenschutz verstehen – CRM-Systeme und DSGVO – Datenschutz 2020
- Ein CRM-System (Customer Relationship Management System) ist eine Softwarelösung zur Betreuung und Verwaltung von personenbezogenen Kundendaten und fällt damit unter die Regelungen der DSGVO und des BDSG-neu.
- Greifen Dienstleister in Form von Auftragsverarbeitern auf das CRM-System zu, ist ein Auftragsverarbeitungsvertrag zu schließen.
- Für den datenschutzkonformen Betrieb eines CRM-Systems müssen die Grundsätze der Datenverarbeitung ebenso wie die technischen und organisatorischen Maßnahmen beachtet und erfüllt werden.
- Ist die Verarbeitung der personenbezogenen Daten nicht mehr nötig oder wird das Recht auf Vergessenwerden in Anspruch genommen, muss ein Löschkonzept innerhalb des CRM-Systems definiert und etabliert sein.
- Bei Verstößen gegen den Datenschutz können Bußgelder von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.
In nahezu jedem Unternehmen wird ein sog. Customer-Relationship-Management (CRM) System eingesetzt. Ein CRM-System ist eine Software-Lösung, mit der Unternehmen die Kundenbeziehungen verwalten können. Die CRM-Software wird für die Betreuung der eigenen Kunden eingesetzt, wodurch zwangsläufig kundenspezifische Daten, inkl. personenbezogener Daten, verarbeitet werden. Welche Anforderungen die DSGVO an eine derartige Datenverarbeitung via CRM-Systeme stellt und welche Risiken ein CRM-System birgt, erfahren Sie im folgenden Beitrag.
CRM-Systeme werden in vielen Unternehmen eingesetzt. Durch die eingesetzte Software werden umfangreiche Informationen von Kunden verarbeitet. Insbesondere seit der Anwendbarkeit der DSGVO seit dem 25.05.2018 gelten besondere datenschutzrechtliche Vorgaben, die selbstverständlich und insbesondere auch für CRM-Software gilt. Genau genommen sind die Vorgaben der DSGVO bei CRM-Software dann relevant, wenn durch die CRM-Software personenbezogene Daten erhoben und verarbeitet werden. Dies ist regelmäßig im B2C- als auch im B2B-Segment der Fall, denn selbst im B2B-Bereich werden Ansprechpartner von Kunden in Form von z.B. Vor- und Nachnamen, E-Mail-Adresse und Telefonnummer verarbeitet.
Was bedeutet CRM?
Der Begriff CRM (Customer Relationship Management) lässt sich in die deutsche Sprache mit Kundenbeziehungsmanagement bzw. Kundenpflegemanagement übersetzen. Nicht jedes Unternehmen setzt ein CRM-System ein, allerdings ist es heutzutage der Regelfall. Regelmäßig wird das CRM-System in das ERP (Enterprise Ressource Planning)-System eines Unternehmens integriert, um Redundanzen im Daten-Management auszuschließen und die Qualität der Daten zu verbessern, da die Daten im CRM-System auf Echtzeit-Informationen basieren. Das CRM-System dient der Kundenbetreuung und Kundenpflege und gleichzeitig auch der Verwaltung von Interessenten.
Wie funktionieren CRM-Systeme?
Die gesammelten Daten in einem CRM-System sind je nach Branche und eingesetzter Software bzw. Vorgaben des jeweiligen Unternehmens gänzlich unterschiedlich. Zu den erfassten Daten gehören beispielsweise neben dem jeweiligen Kundennamen und der Anschrift die Kundennummer, Kundenart, Kontakthistorie oder die Vertragsdaten. Hinzu kommen (personenbezogene) Daten wie Name und Vorname (auch im B2B-Bereich als Ansprechpartner) und E-Mail-Adresse und Telefonnummer. Die gesammelten Daten im CRM-System sind regelmäßig Kunden und Interessenten zuzuordnen. Ziel des CRM-Systems ist es, langfristig Kunden zu binden und in diesem Zusammenhang eine umfassende Kundenbetreuung mit der jeweiligen Software-Lösung zu gewährleisten.
Welche Risiken birgt CRM für den Datenschutz?
Der Einsatz eines CRM-Systems birgt aus datenschutzrechtlicher Sicht diverse Risiken. Insbesondere die Grundsätze der Zweckbindung in Art. 5 Abs. 1 lit. b) DSGVO und Art. 5 Abs. 1 lit. c) DSGVO muss bei der Verwendung eines CRM-Software-Systems berücksichtigt werden. Das heißt, dass die ursprünglich erhobenen Daten nur dem zuvor angegeben Zweck gemäß verarbeitet werden dürfen. Nach dem Grundsatz der Datensparsamkeit dürfen Daten nur in dem für den jeweiligen Zweck erforderlichen Umfang erhoben und verarbeitet werden. Wenn im B2B-Bereich beispielsweise Kontaktdaten von Ansprechpartnern verarbeitet werden, dürfen andere, z.B. besondere personenbezogene Daten wie die Religionszugehörigkeit oder Gesundheitsdaten, nicht erfasst und verarbeitet werden.
Offengelegt werden die Daten regelmäßig dem CRM-Dienstleister bzw. Hersteller und den jeweiligen Beschäftigten des Unternehmens, inkl. der Geschäftsleitung. Auch Auftragsverarbeiter, z.B. in Form von IT-Dienstleistern, die Support für das CRM-System leisten und ggfs. auch via Fernwartung auf die IT-Systeme zugreifen, gehören zu den weiteren potentiellen Stellen, die Einsicht in die Daten erhalten. Bei der Weiterleitung der Daten an Dienstleister außerhalb der EU, z.B. USA, sind weitere Besonderheiten zu berücksichtigen. Insbesondere die Vorgaben der Art. 44 ff. DSGVO sind zu berücksichtigen.
Löschen bei CRM-Systemen
Problematisch bei dem Einsatz von CRM-Systemen ist ferner die erforderliche Löschung von personenbezogenen Daten, wenn die Verarbeitung dieser Daten nicht mehr erforderlich ist oder betroffene Personen von ihrem Recht auf Vergessenwerden gem. Art. 17 DSGVO Gebrauch machen. Dann müssen u.a. spezifische gesetzliche Löschfristen beachtet und besondere Regelungen bezüglich des Rechts auf Vergessenwerden, z.B. in § 35 BDSG-neu, berücksichtigt werden. In diesem Zusammenhang muss ein Löschkonzept etabliert werden, damit personenbezogene Daten nicht über die gesetzlichen Fristen hinaus weiter verarbeitet, obwohl beispielsweise die Kundenbeziehung gar nicht mehr besteht.
Das Gebot der Datenvermeidung und Datensparsamkeit wird oft bei dem Einsatz von CRM-System nicht berücksichtigt. So werden personenbezogene Daten von Kunden gespeichert, die nicht für die Vertragserfüllung erforderlich sind und daher von dem angegeben Zweck nicht mehr gedeckt sind. Gerade im Kundenverhältnis ist darauf zu achten, Daten nur im Einzelfall erforderlichen Umfang zu erheben und zu verarbeiten.
Mit einem CRM ist auf eine gewisse Art und Weise auch die Kontrolle der eigenen Mitarbeiter möglich, da aus dem Anlegen, Verändern oder Löschen von Datensätzen erkennbar wird, welcher Mitarbeiter wann, was und wie bearbeitet hat.
Anforderungen an DSGVO konforme CRM-Systeme
CRM-Systeme müssen die Vorgaben der DSGVO einhalten. Dies gilt sowohl für technisch-organisatorische Maßnahmen nach Art. 32, 25 DSGVO als auch für die Betroffenenrechte. Auch die Regelungen zur Auftragsverarbeitung gem. Art. 28 ff. DSGVO müssen berücksichtigt werden.
Zunächst sollte ein Berechtigungs- und Löschkonzept für das CRM-System definiert und festgelegt werden. Beschäftigte dürfen nur in dem Umfang Einsicht in personenbezogene Daten haben, wie sie es für die tägliche Erledigung ihrer Aufgaben benötigen. Darüber hinaus muss festgelegt werden, wann personenbezogene Daten aus dem CRM-System gelöscht werden.
CRM-Dienstleister bieten ferner in der Regel auch Support für die Software, beispielsweise in Form der Fernwartung, weshalb sie regelmäßig Auftragsverarbeiter nach der überwiegenden Ansicht der deutschen Aufsichtsbehörden sind. Dieser Support kann auch durch Drittanbieter, z.B. IT-Dienstleister, erfolgen. Auch diese sind dann im Regelfall Auftragsverarbeiter.
Im Fall von Cloud-Software (z.B. Saas) liegt ebenfalls eine Auftragsverarbeitung vor. In diesem Fall sind die gesetzlichen Vorgaben gem. Art. 28 ff. DSGVO zu berücksichtigen, weshalb beispielsweise entsprechende Auftragsverarbeitungsverträge mit den jeweiligen Dienstleistern abgeschlossen werden müssen.
Bezüglich der Betroffenenrechte ist zu berücksichtigen, dass das Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO, also der Transfer aus dem aktuellen CRM in ein anderes CRM, sichergestellt werden kann. Auch das Recht auf Löschung muss entsprechend umgesetzt werden können, wenn eine betroffene Personen dieses Recht geltend macht. In diesem Zusammenhang sollten Unternehmen gemeinsam mit dem Datenschutzbeauftragten ein Verfahren für die Bearbeitung von Betroffenenrechten entwickeln.
Technische Maßnahmen müssen insbesondere in Form von datenschutzfreundlichen Voreinstellungen gem. Art. 25 Abs. 2 DSGVO innerhalb des CRM-Systems konfiguriert werden. Weiterhin müssen auch bei dem Einsatz eines CRM-Systems die maßgeblichen technisch-organisatorischen Maßnahmen(TOM) im Unternehmen eingerichtet sein. Hierzu gehören u.a. die Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle und Eingabekontrolle. Weitere Informationen zu technisch-organisatorischen Maßnahmen erfahren Sie hier.
Datenschutzkonforme Anbieter von CRM-Software
Keyed stellt für eine Vielzahl an Software-Unternehmen den externen Datenschutzbeauftragten, vor diesem Hintergrund werden täglich Dienstleister aus dem Bereich der CRM-Software überprüft. Wie in dem vorherigen Absatz erläutert sind die Anforderungen an eine DSGVO-konforme CRM-Software maßgeblich durch die technischen und organisatorischen Maßnahmen definiert. Bei dem Abschluss eines Auftragsverarbeitungs-Vertrages mit dem Anbieter für CRM-Software, werden oft die Stärken und Schwächen einer CRM-Software transparent. Nachfolgend listen wir Ihnen Anbieter für CRM-Lösungen auf, welche unsere Prüfungen erfolgreich bestanden haben.
weclapp SE
weclapp ist eine Cloud-basierte ERP-Software, die zu den beliebtesten Lösungen am Markt zählt und bereits 3 Mal in Folge als ERP-System des Jahres ausgezeichnet wurde. Die ISO 27001- und GoBD-zertifizierte Software stellt leistungsstarke CRM- und ERP-Funktionalitäten bereit und begeistert mit einfacher Bedienung und intuitiver Nutzerführung. Statt parallel eine CRM-Software, ein Warenwirtschaftssystem und eine Buchhaltungssoftware von unterschiedlichen Anbietern einzusetzen, lassen sich im vollintegrierten ERP-System von weclapp alle Informationen zu Kunden, Projekten, Angeboten, Rechnungen, Artikeln, Bestellungen, etc. spielend einfach innerhalb einer Software verwalten. Diese Vorgehensweise hat datenschutzrechtliche Vorteile, da auch nur an einem Ort ein zentrales Löschkonzept eingesetzt werden kann. Sämtliche Daten werden unter strengen Sicherheitsbestimmungen im ISO 27001-zertifizierten Rechenzentrum in Frankfurt am Main gespeichert.
Pipedrive Inc.
2010 von ehemaligen Vertriebsmitarbeitern gegründet, ist Pipedrive die einzige CRM Plattform aus der Sicht des Vertriebs. Das Tool legt Wert auf eine einfache wie umfangreiche Handhabe und vereint diverse Funktionen, von der Kundenrecherche über die Qualifikation der potenziellen Leads bis zum Management und der Pflege von Bestandskunden, in einem Tool. Heutzutage nutzen bereits über 90.000 Unternehmen weltweit Pipedrive. Und mit Büros in Dublin, Lissabon, London, New York, Prag, Riga, Tampa/St. Pete, Tallinn, Tartu sowie mit einem Rechenzentrum in Frankfurt am Main steht das Unternehmen seinen Kunden global mit Rat und Tat zur Seite. Pipedrive wurde darüber hinaus von Software Reviews als branchenführendes Unternehmen bei den 2019 Customer Relationship Management Data Quadrant Awards prämiert.
Strafen bei Verstößen gegen die DSGVO
Bei Verstößen gegen die DSGVO und das BDSG-neu drohen Unternehmen empfindliche Strafen in Form von Bußgeldern. Ein Verstoß gegen die Pflicht, gem. Art. 25, 32 DSGVO geeignete technisch-organisatorische Maßnahmen zu treffen, kann gem. Art. 83 Abs. 4 DSGVO mit einem Bußgeld in der Höhe von 10 Mio. Euro oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, nach sich ziehen.
Ein Verstoß gegen die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO, z.B. gegen den Grundsatz der Datensparsamkeit oder der Zweckbindung, kann sogar mit einem Bußgeld i.H.v. 20 Mio. Euro oder von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, geahndet werden.
Mehr zum Thema DSGVO – Strafen und Bußgelder lesen Sie in diesem Blogbeitrag.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
