Sign In

Welcome, Login to your account.

Datenschutz, IT / Kommunikation, KMU & Freiberufler | Sa, 31.03.2018 11:00

Datenschutz: Auswirkungen der DSGVO auf CRM

Von: Thomas Fromm

Kundenbeziehungsmanagement ist für viele Unternehmen ein bedeutender strategischer bzw. operativer Faktor. Die Unternehmenswelt wird immer kundenbezogener, der Kunde steht im Mittelpunkt aller unternehmerischen Tätigkeiten. Ersichtlich wird dies auch in der Systemlandschaft. CRM-Systeme bzw. CRM-Funktionalitäten verbunden mit ERP-Software werden in immer mehr Unternehmen – auch in KMUs – eingesetzt. Diese Systeme zeigen die Geschäftsbeziehungen und Interaktionen mit bestehenden oder auch potenziellen Kunden auf. Ziel ist es mittels CRM gute Beziehungen zu Kunden aufzubauen und zu pflegen als auch einen guten Service leisten zu können. Prinzipiell geht es darum Kunden individuell behandeln zu können, wenn beispielsweise zum richtigen Zeitpunkt der gewünschte Service oder das Produktupdate angeboten wird.


Für eine gute Kundenorientierung bzw. -bindung werden in erster Linie Informationen über bestehende und potenzielle Kunden benötigt, die dann entsprechend analysiert werden können. Daten werden über unterschiedliche Kanäle hinweg gesammelt. Ein gutes CRM-System gibt Auskunft über alle Berührungspunkte mit dem Kunden. Das heißt es ist darüber zum Beispiel möglich herauszufinden, wann zuletzt und zu welchem Thema mit welchem Ansprechpartner telefoniert wurde. Alle Marketing-Aktivitäten lassen sich im CRM-System zurückverfolgen. Erfasst werden von immer mehr CRM-Systemen auch Social-Media-Interaktionen mit Kunden. Hinzu kommen die Informationen, welche die Geschäftsbeziehung widerspiegeln. Das sind z.B. Unternehmensdaten, Ansprechpartner, Kaufhistorie, Vorlieben und Interessen. Vereinfacht lässt sich aussagen, dass mit mehr Wissen über den Kunden auch besser seine Anforderungen getroffen und seine Bedürfnisse erfüllt werden können. Die Kundenzufriedenheit kann dadurch dauerhaft gesteigert werden.

CRM-Systeme stehen, wenn diese richtig eingesetzt werden, nicht nur einer Abteilung – klassischerweise dem Vertrieb –, sondern auch anderen Abteilungen zur Verfügung. Insbesondere das Marketing benötigt Informationen aus dem CRM, um entsprechende Maßnahmen zielgenau durchzuführen, beispielsweise Werbeinformationen nur bestimmten Zielgruppen zukommen zu lassen.

Deutlich wird, dass Daten und das zur Verfügung stellen dieser für operative, kommunikative und analytische Maßnahmen die Grundlage für Kundenbeziehungsmanagement sind. Genau deshalb kommt CRM mit dem Datenschutz, insbesondere der neuen Datenschutzgrundverordnung – die Übergangsfrist endet am 25. Mai 2018, in Konflikt. Prozesse im CRM müssen überdacht und angepasst werden, damit CRM-Aktivitäten konform zur DSGVO erfolgen.

Das Konfliktpotenzial offenbart sich in erster Linie in der umfangreichen Datensammlung durch CRM-Systeme. Dies geht so weit, dass durch die Auswertung dieser Daten relativ genaue Aussagen darüber getroffen werden können, welche Interessen, Bonität oder Zahlungsmoral ein Kunde hat. Auch lässt sich bei einer entsprechend großen Datengrundlage eine Prognose treffen, ob mit Rückläufern zu rechnen ist und bis wann der Kunde zahlt. Insbesondere im B2C-Bereich sind dies personenbezogene Daten, wobei dies aber auch bei Geschäftskunden häufig der Fall sein kann. Die Problematik einer sehr umfassenden Sammlung von Daten steht in Zusammenhang mit dem Grundsatz der Datenminimierung (Art. 5 EU-DSGVO). Werden beispielweise Leads automatisch generiert, wird es wohl schwierig dafür eine passende Rechtsgrundlage zu finden. Die Ausgangsbasis für alle Verarbeitungen im CRM muss in jedem Fall ein belastbarer Rechtsgrund sein. Einwilligungen sind darüber hinaus erforderlich. Es bietet sich auch an den Verarbeitungszweck zu kennen. Auf der sicheren Seite ist der, der auch den Ursprung des Kontaktes weiß und ein Ablaufdatum hinterlegt.

CRM-Systeme bzw. CRM-Prozesse müssen im Zusammenhang mit der neuen Datenschutzgrundverordnung so gestaltet sein, dass sie auch das Auskunftsrecht Betroffener (Art. 15 EU-DSGVO) berücksichtigen. Werden Kundendaten zentral in einem CRM-System gespeichert, so lassen sich diese Auskunftsinformationen schnell erstellen. Hier offenbart sich, dass der Einsatz von CRM-Systemen auch einen Vorteil hinsichtlich der DSGVO bieten können. Ein Export zu einer möglichen Datenübertragung kann mittels eines geeigneten CRM-Systems ebenfalls realisiert werden.

Was CRM-Systeme bisher nicht unbedingt berücksichtigen, ist die komplette Löschung von Datensätzen. Dies widerspricht an sich schon dem CRM-Gedanken, stellen doch gespeicherte Kontakte evtl. zukünftiges Umsatzpotenzial dar. Doch verlangt Art. 17 EU-DSGVO, dass personenbezogene Daten von natürlichen Personen unverzüglich zu löschen sind, so dies verlangt wird und nicht mit anderen Rechten kollidiert. So sind beispielsweise Rechnungen solange es das Gesetz verlangt aufzubewahren. Wohl kaum ist es dafür erforderlich die Kundendaten dafür auch noch im CRM-System bereitzuhalten.

Außerdem müssen Unternehmen auch Art. 18 der Datenschutzgrundverordnung beachten. Dieser sieht vor, dass Betroffene die Einschränkung der Verarbeitung verlangen können. Mit modernen CRM-Systeme kann dies realisiert werden. So könnte z.B. verhindert werden, dass der Kunde bei Marketing-Aktionen berücksichtigt wird. Zudem verlangt Art. 5 DSGVO auch die Richtigkeit personenbezogener Daten. Demzufolge müssen auch Prozesse implementiert werden, die eine schnelle Änderung personenbezogener Daten sicherstellen.

Was unbedingt auch beachtet werden muss ist, dass nicht nur Kundendaten von CRM-Systemen betroffen sind, sondern auch Arbeitnehmerdaten. CRM-Systeme zeichnen die Aktivitäten der Benutzer auf, Zugriffe werden genauso wie Änderungen protokolliert. Demnach können CRM-Systeme auch als effektive Leistungskontrolle eingesetzt werden. Hier sind entsprechende Einwilligungen bzw. Arbeitnehmervereinbarungen erforderlich, um eine rechtskonforme Verarbeitung sicherzustellen. In jedem Fall sind Beschäftigtenrechte zu berücksichtigen. Die Einbindung des Betriebsrats, so vorhanden, bietet sich an.

Bei der Prüfung des Kundenbeziehungsmanagements müssen aber noch weitere Punkte berücksichtigt werden. Das Berechtigungskonzept sollte einer Überprüfung unterzogen werden, greifen in der Regel doch verschiedene Abteilungen und unterschiedliche Funktionsträger auf das CRM-System zu. Hier sollte sehr gewissenhaft vorgegangen werden, um zu verhindern, dass Daten unerwünscht verwendet werden. Sicherheitsmaßnahmen sind auch erforderlich um zu verhindern, dass Daten unerlaubt exportiert werden können. Die IT-Sicherheit spielt in diesem Rahmen auch eine nicht zu vernachlässigende Größe, schließlich stellen CRM-Systeme oft das Herzstück der Datenspeicherung in einem Unternehmen dar. Demzufolge ist es notwendig bei der IT-Sicherheit den Stand der Technik zu berücksichtigen. Wird ein CRM-System neu implementiert oder weiterentwickelt sollten unbedingt auch weitere Grundsätze der DSGVO berücksichtigt werden, insbesondere die Privacy-by-Design- und Privacy-by-Default-Prinzipien (Art. 25 DSGVO). Eine datenschutzfreundliche Technikgestaltung bzw. Voreinstellungen sind vorzusehen.

Mitunter werden cloudbasierte CRM-Systeme verwendet. Salesforce hat z.B nach eigenen Angaben bereits 150.000 Unternehmen in der Sales Cloud. Auch Vtiger CRM oder Sugar CRM setzen auf cloudbasierte Dienste. Kleinere Unternehmen haben ihre CRM-Software häufig bei Providern gehostet. Grundsätzlich spricht nichts dagegen IT-Prozesse auszulagern, überprüft werden muss aber, ob der Provider oder Cloud-Anbieter sich an Datenschutz- bzw. Datensicherheitsregeln hält. Auftragsverarbeitungsverträge sind notwendig. Gerade bei ausländischen Anbietern ist Vorsicht geboten.

Abschließend ist jedem Unternehmen, das CRM-Funktionalität einsetzt, anzuraten seine Prozesse und Systeme zu überprüfen und an die Vorgaben der DSGVO anzupassen. Es wird sehr deutlich, dass die DSGVO erheblichen Einfluss auf die Verwendung von CRM-Systemen hat.