CRM

CRM und DSGVO: Customer Relationship Management als Datenschutzfalle?

Alexander Maletzki
CRMDSGVORatgeber

Customer Relationship Management (CRM) bringt System und Schwung ins Marketing. Kampagnen werden zielgenau geplant und durchgeführt, Kunden und Kontakte individuell mit gezielten Angeboten oder Hinweisen angesprochen. Der Erfolg von Maßnahmen lässt sich detailliert auswerten und damit kontinuierlich verbessern. Ein hervorragendes Instrument also.

Aus rechtlicher Sicht lauert allerdings ein Risiko: Gerade weil CRM-Systeme so mächtig sind, verstößt man mit ihrem Gebrauch leicht gegen die Datenschutzgrundverordnung (DSGVO) und andere Datenschutzvorschriften. Das kann teuer werden: Die Bußgelder erreichen eine empfindliche Höhe. Dazu kommt der Schaden fürs Marken- und Firmenimage.

Deshalb sollten die Anwender wissen, wo das Gesetz der Kundenansprache Grenzen setzt. Außerdem wird eine gute CRM-Lösung ihre Anwender so weit wie möglich vor Datenschutzverletzungen bewahren. Dieser Beitrag listet zu beiden Punkten wichtige Hinweise auf.

Datenschutz: Sechs wichtige Rechte von Kunden und Interessenten

Für den Umgang mit personenbezogenen Daten gelten eine Reihe datenschutzrechtlicher Einschränkungen. Sechs der wichtigsten Betroffenenrechte:

  • Personenbezogene Daten dürfen nur mit Kenntnis und Einwilligung der Betroffenen gespeichert und genutzt werden. Ausgenommen davon sind Situationen, in denen ein Gesetz die Speicherung erfordert oder dies zur Vertragserfüllung notwendig ist.
    Wenn Sie bei einer Bestellung die Daten des Kunden erfassen, damit Sie den Auftrag erfüllen und ihm eine ordnungsgemäße Rechnung ausstellen können, benötigen Sie keine Einwilligung. Dagegen schreibt Ihnen kein Gesetz Marketing vor. Darum ist zur Speicherung personenbezogener Daten für Marketingzwecke die ausdrückliche Einwilligung der Person notwendig. Sie muss später jederzeit nachweisbar sein! (Art 6, 7 DSGVO)
  • Diese Einwilligung kann jederzeit widerrufen werden. Dann müssen Sie den Datensatz der entsprechenden Person umgehend löschen. Ausnahmen von diesem Recht auf Löschung oder „Recht auf Vergessenwerden“ bestehen nur, wenn Sie wie beschrieben zur Datenspeicherung gesetzlich verpflichtet sind. Das gilt fürs CRM jedoch nicht. (17 DSGVO)
  • Die Betroffenen haben einen Anspruch, über die Art und Dauer der Datennutzung informiert zu werden. Dies muss beim Einholen der Einwilligung geschehen. Unter anderem sind Kontaktmöglichkeiten für Auskunfts- und Löschanfragen Teil der Informationspflicht. (13 DSGVO)
  • Sie haben eine Auskunftspflicht gegenüber den Betroffenen. Wen ein Kunde oder Interessent wissen möchte, was Sie über ihn an Daten speichern, kann er eine vollständige Auskunft verlangen. Der Auskunftsanspruch umfasst grundsätzlich alles, was Ihre Datenbank zu seiner Person enthält, also nicht nur die Stammdaten, sondern auch die Bestellgeschichte, Auswertungen zur Response und ähnliche im CRM-System enthaltene Informationen. (15 DSGVO)
  • Kunden dürfen ihre Daten mitnehmen. Der Anspruch auf Datenübertragung oder Datenportabilität bedeutet, dass Kunden, die zur Konkurrenz wechseln, die Daten mitnehmen dürfen, die Sie dem Unternehmen bereitgestellt haben. Ein Beispiel sind Leistungsdaten, aus denen ein Sportstudio Fitness-Profile seiner Kunden erstellt und in einer App darstellt. Wechselt der Kunde zur Konkurrenz, kann er verlangen, diese Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ ausgehändigt zu bekommen. (20 DSGVO)
  • Daten dürfen nicht einfach auf Vorrat gespeichert werden. Stattdessen gilt der Grundsatz der Datenminimierung. Eine Speicherung ohne konkreten Zweck und über das erforderliche Maß hinaus ist nicht erlaubt. Dieser Grundsatz gilt zusätzlich zur oben genannten Pflicht, Betroffene über die Verwendung ihrer Daten aufzuklären. (5 DSGVO)

Weitere Informationen

Diese Liste ist längst nicht abschließend. Weitere Informationen zu Datenschutzvorschriften finden sich beispielsweise in der „Orientierungshilfe Direktwerbung“, dem Kurzpapier „Datenverarbeitung für Werbung“ und anderen Info-Materialien der Datenschutzkonferenz.

Datenschutz-Anforderungen an CRM-Systeme und Marketing-Software

Eine gute CRM-Lösung und ihre Module zur Kundenansprache unterstützen die Anwender beim Einhalten der Rechtslage:

  • Die Einwilligung in die Datenspeicherung und die Kontakte muss rechtssicher eingeholt und so lange nachweisbar sein, wie die personenbezogenen Daten vorgehalten werden. Das hat eine ganze Reihe praktischer Folgen für CRM-Software. Dazu gehören:
    • Das System sollte kein Newsletter-Abonnement ohne Double-Opt-In zulassen, d. h. ohne zusätzliche Bestätigung.
    • Das CRM-System sollte die relevanten Angaben zur erteilten Einwilligung abspeichern, und ihr Vorliegen abfragen, bevor Anwender neue Empfänger oder Kunden anlegen können. So sollte das Anlegen eines neuen SMS-Kontakts die Betätigung voraussetzen, dass dafür die Einwilligung des Kunden vorliegt.
    • Bevor die bei einer Bestellung erhobenen Kundendaten ins CRM-System importiert werden, sollte vom Kunden oder Interessenten deutlich wahrnehmbar und gesondert von anderen Aktionen die Einwilligung abgefragt werden. Dabei dürfen das „Ja“ oder das „Häkchen“ nicht schon vorausgewählt sein.
    • Bei jedem Push-Werbekontakt sollte automatisch eine Abmelde-Möglichkeit integriert werden.
    • Verwaltet das CRM-System verschiedene Kontaktformen, ist ein differenziertes Einwilligungs-Management erforderlich. Außerdem sollte der Nutzer jederzeit erkennen können, welche Person im System für welche Zwecke Einwilligungen erteilt hat.
  • Ein gutes CRM-System macht die Reaktion auf Auskunfts- und Löschungsanträge Idealerweise können die über eine Person gespeicherten Daten direkt in zusammenhängender Form exportiert und auch gelöscht werden. Wurde die Einwilligung nur befristet abgefragt und erteilt, etwa im Rahmen eines Preisausschreibens, sollte die Löschung nach Ablauf automatisierbar sein.
  • Ob die Datenportabilität im CRM-Kontext relevant ist, hängt von den konkreten Umständen ab. Das kann der Fall sein, wenn Nutzungsprofile oder vom Nutzer angelegte Präferenzen wie etwa Playlists als Teil der Kundendaten abgelegt werden. Betroffene haben grundsätzlich Anspruch darauf, von ihnen bereitgestellte Daten in einem strukturierten Format mitnehmen zu dürfen. Dazu sollte eine Exportfunktionalität bestehen. Bei einer rein auf Kontaktverwaltung begrenzten CRM-Software ist die Datenmitnahme dagegen wohl kein Thema.
  • Für CRM-Systeme gelten wie für jede Software zur Verarbeitung personenbezogener Daten allgemeine technische und rechtliche Voraussetzungen. Dazu gehört der Schutz vor Hackern und Datenverlust auf aktuellem technischen Niveau. Zum Beispiel sollte ein angemessener Verschlüsselungsstandard zum Einsatz kommen. Außerdem sollte die Speicherung der Daten nur dort erfolgen, wo die DSGVO es zulässt – idealerweise innerhalb der EU einschließlich der EFTA-Staaten.

Ist der Betrieb in Sachen Datenschutz korrekt aufgestellt?

  • Unternehmen, die ein CRM nutzen, müssen unter Umständen einen internen oder externen Datenschutzbeauftragten Das ist spätestens dann notwendig, wenn insgesamt 20 Personen im Betrieb mit personenbezogenen Daten zu tun haben. Dazu zählen alle Mitarbeiter, die das CRM nutzen, einschließlich von Auszubildenden und Praktikanten, aber auch die Mitarbeiter aus der Buchhaltung oder im Support.
    Ein Datenschutzbeauftragter ist außerdem dann Pflicht, wenn das Unternehmen eine Datenschutz-Folgeabschätzung (DSFA) erstellen muss. In einer „DSFA-Pflichtliste“ der Datenschutzkonferenz werden die „Big-Data-Analyse von Kundendaten“ und die „Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten“ genannt. Zumindest die zweite Definition kommt einer typischen CRM-Funktion sehr nahe.
  • Außerdem muss das CRM-Programm ins vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden, das alle Unternehmen anlegen müssen, die personenbezogene Daten verarbeiten. Der Bundesdatenschutzbeauftragte bietet ein Musterverzeichnis
  • Wenn das CRM-Programm von einem Dienstleister betrieben wird, oder auf Cloud-Speicher eines externen Dienstleisters zurückgreift, ist ein rechtskonformer Auftragsverarbeitungsvertrag mit diesen Unternehmen notwendig. Ein solches AVV-Muster stellt der Bayerische Landesdatenschutzbeauftragte bereit.

Datenschutzverstöße können teuer werden

Verstöße gegen die DSGVO sind keine Lappalie. Die Verordnung erlaubt Bußgelder gegen Unternehmen in Höhe von bis zu zwei Prozent des weltweiten, jährlichen Umsatzes. In schweren Fällen können es sogar vier Prozent sein.

Selbst wenn das die Obergrenze des Bußgeldrahmens darstellt: die laufend verhängten Strafen sind ebenfalls von empfindlicher Höhe. Davon kann man sich auf der englischsprachigen Website GDPR Enforcement Tracker überzeugen, die seit Jahren die von den Datenschutz-Aufsichtsbehörden verhängten Bußgelder aus ganze Europa sammelt. Auch in Deutschland sind fünf- und sechsstellige Beträge an der Tagesordnung.

 

Diesen Beitrag teilen

Artikel zu ähnlichen Themen

Differenzbesteuerung: Ein umfassender Leitfaden für Unternehmer
19.04.2024

Differenzbesteuerung: Ein umfassender Leitfaden für Unternehmer

Customer Relationship Management (CRM) bringt System und Schwung ins Marketing. Kampagnen werden zielgenau geplant und durchgeführt, Kunden ...
Weiterlesen
Pflicht zur elektronischen Zeiterfassung: Das müssen Arbeitgeber wissen
12.04.2024

Pflicht zur elektronischen Zeiterfassung: Das müssen Arbeitgeber wissen

Customer Relationship Management (CRM) bringt System und Schwung ins Marketing. Kampagnen werden zielgenau geplant und durchgeführt, Kunden ...
Weiterlesen
Wachstumschancengesetz: Was sich für Selbstständige tatsächlich ändert
03.04.2024

Wachstumschancengesetz: Was sich für Selbstständige tatsächlich ändert

Customer Relationship Management (CRM) bringt System und Schwung ins Marketing. Kampagnen werden zielgenau geplant und durchgeführt, Kunden ...
Weiterlesen

Newsletter abonnieren

Gerne informieren wir Sie regelmäßig per E-Mail über spannende Themen und Neuigkeiten für Ihre Selbstständigkeit.
WISO MeinBüro Web
  • Im Browser und per App arbeiten
  • Vorlagen für Dokumente
  • Vorbereitende Buchhaltung
  • Dokumentenverwaltung
  • Lagerbestandsführung
Jetzt kostenlos testen

Testphase endet automatisch - keine Kündigung nötig.

WISO MeinBüro Desktop
  • Lokal unter Windows arbeiten
  • Dokumente frei gestaltbar
  • Buchhaltung und Steuern per ELSTER
  • Dokumentenablage
  • Warenwirtschaft inkl. Inventur
Jetzt kostenlos herunterladen & testen

Testphase endet automatisch - keine Kündigung nötig.

Noch unentschlossen? Jetzt beide Produkte vergleichen

Beide Produkte sind nicht miteinander kompatibel.