Mit CRM-Systemen verwalten Unternehmen nicht nur die Kontaktdaten ihrer Kunden, sie helfen auch Kundenbeziehungen zu verbessern. Der Schutz personenbezogener Daten gilt deshalb als wichtiges Persönlichkeitsrecht und stellt Unternehmen vor die Herausforderung, diesen zu gewährleisten.
„Sind wir doch mal ehrlich: Wer Newsletter an seine Kunden verschickt, möchte nicht nur die Kundenbeziehungen verbessern, sondern auch Informationen über seine Kunden. Diese Informationen sind jedoch persönliche Daten. Um personenbezogene Daten DSGVO-konform zu verwalten, ist eine geeignete CRM-Software zwingend notwendig, denn sie gewährleistet nicht nur Rechte und die Sicherheit von Kundendaten, sondern bewahrt Unternehmen vor hohen Geldstrafen“, so Harald Krekeler. Geschäftsführer des Softwarebüros Krekeler.
CRM-Systeme, wie auch das von Krekeler entwickelte CRM-Modul in seinem Office Manager DMS, verarbeiten täglich eine große Menge an personenbezogenen Daten. Es ist deshalb von entscheidender Bedeutung, dass diese Systeme den Anforderungen der Datenschutzverordnung entsprechen. Für die Einhaltung der DSGVO-Vorgaben kann deshalb eine Vielzahl an Funktionen und abgestimmten Prozessen im CRM zu einer Erleichterung im Arbeitsalltag führen. Krekeler nennt die Kernfunktionen, die ein CRM-System zwingend bieten muss, um DSGVO-konform zu arbeiten und die gesetzlich geforderten Pflichten einzuhalten:
Auskunftsrecht
Da jede Person das Recht hat, auf Wunsch zu erfahren, welche personenbezogenen Daten über sie gespeichert werden und zu welchem Zweck sie verarbeitet werden, beispielsweise für Mailings und die Auswertungen mit Mailing-Programmen, muss ein CRM in der Lage sein, lückenlos darüber Auskunft zu geben – idealerweise per Knopfdruck.
Recht auf Datenübertragbarkeit
„Damit einhergehend müssen Personendaten in einem gängigen Format ausgehändigt werden. Aus einem CRM heraus kann dieses Recht gewahrt werden, indem die Datenübertragung beispielsweise über „Contact at a glance“ als Excel-Export erfolgt“, so Harald Krekeler.
Datensparsamkeit und Recht auf Vergessenwerden
Da Personendaten ausschließlich Zweckgebunden und auch nur so lange aufbewahrt werden dürfen, wie sie auch tatsächlich benötigt werden, ist die Implementierung eines Löschkonzeptes in ein CRM notwendig. In diesem Zusammenhang spielt auch das Recht auf Vergessenwerden eine Rolle. Gemäß DSGVO hat jede Person das Recht, dass ihre Personendaten gelöscht werden. „Jedoch darf das nur in dem Umfang möglich sein, dass dadurch andere Gesetze nicht verletzt werden. So schreibt beispielsweise das Steuerrecht oder auch Handelsrecht vor, bestimmt Personendaten für eine festgelegte Frist vorzuhalten und aufzubewahren“, mahnt Krekeler.
Protokollierung
Wann immer Personendaten erfasst, verändert, gelöscht, kombiniert oder verarbeitet werden, muss dieser Vorgang protokolliert werden. „In einem CRM geschieht dies automatisch über die Dokumenten-Historie, in der festgehalten wird wer wann was und warum getan hat“, verdeutlicht Harald Krekeler.
Einwilligung zur Datenspeicherung
Grundsätzlich gilt, dass Personendaten nur mit Einwilligung der beziehungsweise des Betroffenen gespeichert werden dürfen. Das Einverständnis dazu sollte schriftlich dokumentiert werden. In einem CRM kann dies beispielsweise per E-Mail, über eine gescannte Visitenkarte oder ein anderes gescanntes Schriftstück oder über ein Formular mit Double-Opt-in umgesetzt werden.
Recht auf Einschränkung der Datenverarbeitung
Auch wenn eine Einwilligung vorliegt, dürfen Personendaten zwar vorgehalten, aber nicht automatisch auch verarbeitet werden, mahnt Krekeler: „Das bedeutet, dass Personendaten nur im CRM gespeichert werden dürfen, ihre Nutzung jedoch erst erlaubt ist, wenn dazu eine Einwilligung vorliegt.“
Widerspruchsrecht
Jede Person hat das Recht, jederzeit Widerspruch gegen die Verarbeitung ihrer Daten einzulegen. „Im CRM muss es deshalb möglich sein, im Falle eines Widerspruchs Personendaten zu inaktivieren und eine automatische Verarbeitung zu untersagen“, so Harald Krekeler.
Zugriffskontrolle
Last but not least müssen Unternehmen gewährleisten, dass nur die Beschäftigten Zugang zu Personendaten im CRM erhalten, für die sie auch eine Zugangsberechtigung haben. „Im CRM wird dies über rollenbasierte Zugriffsrechte gewährleistet. Zu beachten ist grundsätzlich, dass alle Funktionen, um Daten einzusehen oder zu exportieren, geschützt sein sollten“, erklärt Krekeler.
Verstöße gegen die Regeln und Pflichten werden mit hohen Bußgeldbescheiden geahndet. „Damit es nicht so weit kommt, rate ich dazu, die DSGVO im CRM genauestens auf Funktion, Datenhaltung und Schnittstellen zu überprüfen. Wer in diesem Zusammenhang übrigens seine Kundendaten im eigenen Rechenzentrum hält und schützt, hat jederzeit die Datenhoheit und weiß, was mit ihnen passiert“, gibt Harald Krekeler noch einen Tipp.
www.officemanager.de