Beratungstermin vereinbaren
Sie planen, eine unserer Lösungen neu einzuführen oder zu erweitern?
Wir beraten Sie gerne!
Datenschutz ist ein sensibles Thema. Die EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) regelt streng die Nutzung von personenbezogenen Daten (im Weiteren: Personendaten), deren Nichtbeachtung mitunter zu sehr hohen Geldstrafen führen kann.
Eine repräsentative Umfrage des Digitalverbandes Bitkom im Jahr 2020 ergab, dass bis September des Jahres lediglich 20% der 500 befragten Unternehmen die DSGVO vollständig umgesetzt hatten. 56% gaben sogar an, dass innovative Geschäftsprojekte auf Grund der DSGVO gescheitert seien.
Aber mehr als die Hälfte dachte auch, dass die DSGVO weltweit Maßstäbe für den Umgang mit Personendaten setze und Wettbewerbsvorteile bringe für EU-Unternehmen.
Im Jahr 2022 haben nach einer Umfrage von Statista zum Stand der Umsetzung der DSGVO in Deutschland noch immer 22% der befragten Unternehmen die DSGVO nicht vollständig und 33% erst teilweise umgesetzt. Das Thema CRM und DSGVO bleibt also weiterhin aktuell.
Für das Management erfolgreicher Kundenbeziehungen ist das Erfassen und Verarbeiten von Personendaten in einem CRM-System unabdingbar. Und das nicht nur im Interesse der Unternehmen, sondern auch in dem der Kunden und Interessenten. Aus diesem Grund haben wir für Sie an dieser Stelle wichtige Informationen zu DSGVO im CRM kompakt zusammengetragen.
Seit dem 25. Mai 2018 ist die EU-DSGVO europaweit in Kraft und regelt den Umgang von Unternehmen und öffentlichen Stellen mit Personendaten.
Grobes Ziel ist, die persönlichen Rechte auf informationelle Selbstbestimmung zu stärken. Die EU-DSGVO gilt für alle Unternehmen in der EU, die Personendaten speichern und verarbeiten. Aber Achtung: Auch Unternehmen außerhalb der EU müssen die DSGVO einhalten, wenn sie ihre Leistungen oder Produkte EU-Bürgern anbieten und dabei deren Daten erheben und nutzen!
Mit Personendaten sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auch Infos im Geschäftsumfeld können Personendaten sein.
Erfassen (z.B. per Formular, Software oder Kamera)
Speichern (z.B. in einer Datenbank, Excel-Datei oder Akte)
Ändern (z.B. Aktualisieren)
Übermitteln (z.B. an eine Behörde oder ein verbundenes Unternehmen)
Abgleichen und Verknüpfen
Sperren oder Löschen
Beispiele aus der Alltagspraxis wären unter anderem die Speicherung von Kontaktdaten der Ansprechpartner Ihrer Kunden (B2B) in Ihrem CRM-System oder Adressen für den Newsletter-Versand zu sammeln oder einfach nur eine Bestellung aufzunehmen.
Genauso zählt hierzu übrigens auch die Aufnahme persönlicher Informationen von Bewerbern auf eine freie Stelle in Ihrem Unternehmen.
Beim Verkauf von Produkten und Services müssen Sie potentielle Kunden von Ihrer Qualität überzeugen. Dazu müssen Sie über Ihre zukünftigen Kunden viel wissen, um dann die richtige Ansprache und richtigen Kommunikationswege zu wählen. Für jeden Kanal brauchen Sie Adressdaten Ihrer Empfänger, für E-Mail-Marketing und Newsletter z.B. benötigen Sie gleich ganze Empfängerlisten. Aber auch für kaufmännische Prozesse benötigen Sie Personendaten.
Als erstes denkt man da hauptsächlich an die Kaufabwicklung und die Buchhaltung. Aber tatsächlich arbeiten noch einige weitere Abteilungen vor oder nach dem Kauf mit den Personendaten Ihrer Kunden. Da ist beispielsweise Ihr Marketing auf der Jagd nach neuen Leads, Ihr Vertrieb beim Anwerben neuer Kunden oder aber auch Ihr Service, wenn er Ihre Kunden umsorgt.
Die DSGVO schützt nicht nur Kundendaten, sondern auch Daten von Arbeit-nehmern – von der Bewerbung bis zum Beschäftigungsende.
Die DSGVO legt fest, dass personenbezogene Daten, also auch Mitarbeiter-Daten, nur dann verarbeitet werden dürfen, wenn dies durch eine bestimmte Rechtsgrundlage oder eine Einwilligung des Mitarbeiters erlaubt ist. Diese Rechtsgrundlage findet sich im Bundesdatenschutzgesetz (BDSG). Das besagt, dass Arbeitgeber auch ohne Einwilligung solche personenbezogenen Daten verarbeiten dürfen, die zur Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich sind.
Die wichtigsten Mitarbeiterdaten werden heute meistens in einer digitalen Personalakte gesammelt. Diese Akte muss der Arbeitgeber vor dem Zugriff von außen schützen. Daneben werden Mitarbeiterdaten für Benutzerverwaltungen benötigt, um die Zugriffsrechte auf digitale Anwendungen und Kundendaten sicher zu regeln.
Für die DSGVO-konforme Verwaltung von Personendaten benötigen Sie eine CRM-Software, die die Rechte und die Sicherheit Ihrer Kunden gewährleistet und Sie damit gleichzeitig davor bewahrt, bei Prozessfehlern hohe Geldstrafen zu riskieren. Transparenz, optimal abgestimmte Prozesse und eine zentrale Datenhaltung für vollen Überblick unterstützen die Regelungen der DSGVO im CRM besser als eine Ansammlung über diverse Server verteilter Excel-Sheets.
Das Fundament kundenorientierter Unternehmensführung
Customer Centricity, oder Kundenzentrierung, bildet das Herzstück jeder erfolgreichen CRM-Strategie. Dieses Konzept dreht sich um die essentielle Frage: Was bewegt unsere Kunden heute und morgen? Indem Unternehmen ihre Produkte und Dienstleistungen an den gegenwärtigen und zukünftigen Wünschen ihrer Kunden ausrichten, rücken sie diese in den Mittelpunkt all ihrer Aktivitäten. Ein leistungsfähiges CRM-System fungiert als zentraler Knotenpunkt für diese kundenorientierte Ausrichtung. Es dient nicht nur als Schatzkammer für wertvolle Kundendaten, sondern ermöglicht auch die strategische Planung, Aufgabendefinition sowie die teilautomatisierte Umsetzung kundenzentrierter Maßnahmen. Im CRM werden sämtliche Berührungspunkte – die sogenannten Touchpoints – zwischen Kunden und Unternehmen erfasst und analysiert.
Von der Customer Journey zum Customer Experience Management
Diese umfassende Dokumentation erlaubt es, die gesamte Customer Journey nachzuvollziehen – von der ersten Begegnung bis zum finalen Kaufabschluss. Je detaillierter diese Reise des Kunden erfasst wird, desto präziser können maßgeschneiderte und personalisierte Inhalte für zukünftige Interaktionen entwickelt werden. Ziel ist es, dem Kunden durchweg positive Erlebnisse mit dem Unternehmen, seinen Produkten und Dienstleistungen zu bieten – ein Ansatz, der als Customer Experience Management bekannt ist und die Kundenbindung nachhaltig stärkt.
5.1 Rechtmäßigkeit
zur Verarbeitung von Personendaten ist gegeben, wenn die DSGVO sie erlaubt. Dazu muss eine „Rechtsgrundlage“ für die Verarbeitung wie folgt vorliegen:
5.2 Zweckbindung:
Daten nur für die Zwecke verwenden, für die sie ursprünglich gesammelt wurden oder die mit diesen ursprünglichen Zwecken kompatibel sind.
5.3 Datenminimierung:
Nicht mehr Daten erfassen und nutzen als für den konkreten Zweck nötig sind (keine Speicherung auf Vorrat). Beispiel: Die Abfrage von Namen und Arbeitgeber für die Zusendung von Newslettern ist nicht nötig.
5.4 Speicherbegrenzung: Personendaten löschen, wenn sie nicht mehr benötigt werden. Zum Beispiel nach Ablauf der gesetzlichen
Aufbewahrungsfrist nach 10 Jahren.
5.5 Richtigkeit:
Unrichtige oder unvollständige Daten korrigieren.
5.6 Datensicherheit:
Daten ausreichend vor Zugriff durch Unbefugte, vor Verlust und Verfälschung schützen. Die Einhaltung der Datensicherheit nach DSGVO im CRM wird z. B. durch Rollenkonzepte, Passwörter, Verschlüsselungen und eine Firewall gewährleistet.
In einigen Fällen stellt die DSGVO ergänzende Anforderungen an den Datenumgang. Die gelten ebenso für die DSGVO im CRM:
Bei sensiblen Daten gilt ein generelles Verarbeitungsverbot. Das trifft zum Beispiel bei Daten zu Gesundheit, zur Religion, zu politischen Meinungen, zur Gewerkschaftszugehörigkeit oder zum Sexualleben zu. Nur bei gerechtfertigten Ausnahmen und unter besonders strengen Vorgaben ist eine Verarbeitung erlaubt, wie beispielsweise bei Einwilligung, Arbeitsrecht und Sozialversicherungspflichten, etc.
Für die Einhaltung der DGSVO-Vorgaben kann natürlich eine ganze Vielzahl an Funktionen und abgestimmten Prozessen zu einer Erleichterung in Ihrem Arbeitsalltag führen. Wir haben hier die Kernfunktionalitäten gesammelt, die Ihr CRM-System auf jeden Fall bieten muss, um DGSVO-konform arbeiten zu können.
Eine Person möchte wissen, welche Personendaten über sie gespeichert sind. Vielleicht fragt sie auch nach, zu welchem Zweck die Daten verarbeitet oder bei welcher Verarbeitung die Personendaten genutzt werden. Sie sind verpflichtet diese Fragen zu beantworten.
Das betrifft zum Beispiel Mailings und Auswertungen mit Mailing-Programmen, Nutzug in Kampagnen, im Service-Desk oder in Drittsystemen
Eine Person möchte, dass ihre Personendaten gelöscht werden. Das ist nur möglich, wenn andere Gesetze nicht vorschreiben, dass die Personendaten vorzuhalten sind oder ein anderes Interesse vorschreibt, diese Daten zu bewahren.
Andere Gesetze sind beispielsweise
– Handelsgesetz
– Steuerrecht
– Strafrecht
Immer wenn Personendaten erfasst, verändert, gelöscht, kombiniert oder verarbeitet werden, muss dieses protokolliert werden.
Im CRM möglich über die Dokumenten-Historie. Hier wird festgehalten: Wer hat was, wann und warum getan. Alle Historien sind jederzeit abrufbar.
Das Speichern von Personendaten setzt das Einverständnis der betreffenden Person voraus. Das Einverständnis muss schriftlich dokumentiert sein.
Im CRM zum Beispiel über eine gescannte Visitenkarte, per E-Mail oder über ein Formular mit Double-Opt-in.
Erhobene Personendaten müssen dem Zweck angemessen und auch auf ein notwendiges Maß beschränkt sein. Sie zudem sind nur so lange aufzuheben, wie sie tatsächlich benötigt werden.
Die Implementierung eines Löschkonzeptes im CRM ist notwendig.
Personen haben ein Recht darauf, sich ihre Personendaten in einem gängigen Format aushändigen zu lassen.
Aus dem CRM heraus ist das zum Beispiel über „Contact at a glance“ als Excel-Export möglich.
Personendaten dürfen vorgehalten aber NICHT mehr automatisch verarbeitet werden.
Personendaten dürfen also nur im CRM gespeichert sein, die Nutzung ist erst erlaubt, wenn dazu eine Einwilligung vorliegt.
Eine Person kann Widerspruch gegen die Verarbeitung ihrer Personendaten einlegen. Sie muss bereits zum Zeitpunkt der ersten Kommunikation auf Ihr Widerspruchsrecht hingewiesen werden.
Nach Widerspruch einer Person müssen ihre Daten im CRM inaktiv sein & dürfen nicht automatisch verarbeitet werden.
User eines Personendaten verarbeitenden Systems dürfen nur zu den Daten Zugang haben, die ihrer Zugangsberechtigung entsprechen. Alle Funktionen, um Daten einzusehen oder sie zu exportieren, müssen entsprechend geschützt sein.
Dies wird im CRM über rollenbasierte Zugriffsrechte gewährleistet.
In einigen Fällen stellt die DSGVO ergänzende Anforderungen an den Datenumgang. Beim Datenexport muss auch dann ein angemessenes Datenschutzniveau sichergestellt sein, wenn Daten an Stellen außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt werden.
Für bestimmte Länder hat die EU-Kommission entschieden, dass deren Datenschutzgesetze ausreichend sind (z.B. für Japan, Israel, Schweiz). Bei allen anderen Ländern müssen in der Regel besondere Verträge mit den Datenempfängern geschlossen werden. Unternehmen in den USA konnten sich bis vor Kurzem nach dem Privacy Shield zertifizieren und so das Datenschutzniveau sicherstellen. Achtung! Die Vereinbarung Privacy Shield ist vom europäischen Gerichtshof für ungültig erklärt worden. Eine neue Vereinbarung oder ähnliches gibt es zurzeit nicht.
Lesen Sie dazu auch den Blogartikel: CRM-Hosting in Deutschland
Im Falle eines Verstoßes ist das Unternehmen haftbar. Einige Firmen haben mittlerweile extrem hohe Bußgeldbescheide erhalten. Damit es nicht so weit kommt, müssen Sie in Ihrem Unternehmen die DSGVO im CRM genauestens auf Funktion, Datenhaltung und Schnittstellen überprüfen.
Wenn Sie die Daten im eigenen Rechenzentrum schützen, haben Sie die Hoheit und wissen stets was mit ihnen passiert. Und auch Hosting-Anbieter in Deutschland und Europa sind verpflichtet nach der DSGVO zu arbeiten. Für Verstöße von Plattformen außerhalb Europas haften dagegen Sie selbst.
Die Besonderheit der Datenhaltung zu den jeweiligen CRM-Angeboten (On-Prem, Cloud, SaaS, Schnittstellen) wird auch in den folgenden Blogartikeln behandelt:
Mit dem Einsatz eines DSGVO-konformen CRM-Systems vereinfachen Sie sich die Anpassung an die EU-Verordnung um einiges. So sind Ihre Mitarbeiter im Handumdrehen datenschutzfit! Denn Sie ersparen sich den Aufwand, Ihre Arbeitsabläufe einzeln anzupassen, nur um zu gewährleisten, dass Ihre Mitarbeiter nach den neuen Richtlinien arbeiten. Nebenbei stärken Sie das Vertrauen Ihrer Kunden und Interessenten in Ihr Unternehmen und Sie verlieren keine wichtigen Kundeninformationen, die Ihrem Unternehmen als Wachstums- und Innovationsgrundlage dienen. Deutsche CRM-Anbieter werden die Umsetzung der DSGVO unterstützen.
Beobachten Sie die Entwicklungen der EU-Kommisson. Es werden bereits weitere Gesetzesvorschläge diskutiert: Der Ende 2020 vorgelegte Data Governance Act ist ein weiterer Schritt der Kommission, um die EU als Datenschutz-Vorreiter aufzustellen und das Thema Datenschutz zu einem Wettbewerbsvorteil auszubauen.
