Wie CRM-Systeme die DSGVO umsetzen

Hohe Anforderungen an CRM-Systeme

Werden Kundendaten unzureichend geschützt, drohen Sanktionen bei Datenschutzverletzung. Doch auch das Unternehmensimage kann unter Datenpannen leiden, denn Kunden haben hohe Erwartungen an den Datenschutz eines Unternehmens.

Der Schutz von Kundendaten erfordert unter anderem, die Betroffenenrechte dauerhaft umzusetzen. Dazu gehören

• das Recht auf Vergessenwerden,
• das Recht auf Berichtigung,
• das Recht auf Einschränkung der Verarbeitung,
• das Recht auf Datenübertragbarkeit,
• die Einhaltung von Transparenz und Informationspflichten,
• Datenminimierung,
• Zweckbindung,
• und nicht zuletzt: die DSGVO-konforme Umsetzung von Einwilligung und anderen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten.

Unternehmen müssen die Anforderungen der DSGVO in allen Verfahren der Verarbeitung personenbezogener Daten umsetzen. Im Fall von Kundendaten insbesondere im genutzten CRM-System (Customer-Relationship-Management-System).

Dabei sind aber nicht nur die Anwender gefordert, sondern auch die Anbieter solcher Lösungen und Tools (Artikel 25 DSGVO).

Wichtige Datenschutz-Funktionen für eine CRM-Lösung

CRM-Tools können und müssen bei der Umsetzung der DSGVO unterstützen. Möglich wird dies durch Funktionen wie

• Einholung und Dokumentation der rechtskonformen Einwilligung
• Dokumentation der Datenstrukturen für personenbezogene Daten, der Datenherkunft, der Einwilligungserklärungen oder anderer Rechtsgrundlagen und der Verarbeitungszwecke
• Dokumentation von Anfragen betroffener Personen, wie beispielsweise Auskunft, Löschwünsche
• Funktionen für die Einschränkung der Verwendung, Löschung und Portierung der Daten
• Umsetzung von Lösch- und Anonymisierungsfristen mit Wiedervorlage

Was verschiedene CRM-Lösungen anbieten

Die folgenden Beispiele zeigen, was Hersteller von CRM-Lösungen gegenwärtig anbieten:

• Die Brainformatik GmbH bietet ein Add-on für das CRM+ System , das die Umsetzung der DSGVO erleichtern soll. Aktivieren Nutzer das Add-on „DS-GVO“, legt das Programm neue Pflichtfelder mit umfangreichen Dokumentationspflichten in allen personenbezogenen Modulen wie Kontakte, Leads oder Partner an. Anhand von Auswahllisten fragt die Software den „Zweck der Verarbeitung“ und weitere wichtige Informationen ab. Werden die Pflichtfelder nicht ausgefüllt, ist es nicht möglich, einen personenbezogenen Datensatz abzuschließen. Ebenfalls spielen die Betroffenenrechte eine Rolle. So kann laut Anbieter ein kompletter Auszug der gespeicherten Daten einer Person als PDF-Datei erfolgen, um schnelle Auskünfte gegenüber Anspruchsberechtigten zu geben.

• Auch Step Ahead hat seine Unternehmenslösung mit weiteren Funktionen ausgestattet. Zu nennen sind der Stammdaten-Report für Mitarbeiter, Kunde und Kontakt für die Auskunftspflicht sowie die Einwilligungsverwaltung für Mail- und Telefonkontaktierung von Interessenten. Es ist möglich, in der Einwilligungsverwaltung in den Oberflächen „Kontakt, Kunden und Mitarbeiter“ zu vermerken, zu welchem Zweck die Daten verwendet werden dürfen, so der Anbieter. Zudem gibt es Felder mit Sperr- und Anonymisierungsfunktionen. Weiterhin besteht die Möglichkeit, im Falle einer Anfrage nach gespeicherten personenbezogenen Daten den Report „DSGVO Datenauskunft“ unmittelbar als Auskunftsbeleg zu erstellen.

• Bei cobra CRM lassen sich personenbezogene Daten kennzeichnen und konfigurieren. Nutzer haben die Möglichkeit, entsprechende Quellenangaben oder Verwendungszwecke zuzuordnen und ggf. zur Erfüllung von Nachweispflichten aufzurufen, so der Anbieter. Macht eine betroffene Person von ihrem Recht auf Auskunft Gebrauch, gibt die Software die jeweiligen personenbezogenen Daten auf Knopfdruck aus. Zur Löschung vorgesehene Datensätze lassen sich sofort oder anhand des integrierten Löschplans zeitlich versetzt löschen, zum Beispiel nachdem der Verwendungszweck erloschen ist. Nach der Löschung ist es möglich, Sperrvermerke zu setzen und Adressen auf eine Sperrliste zu verschieben, um einen wiederholten Import der Adresse zu verhindern.

• Der Softwarehersteller combit hat eine DSGVO-Lösung für die CRM-Software combit CRM entwickelt, die laut Anbieter den gesamten Lebenszyklus von personenbezogenen Daten steuert. Mit combit CRM protokollieren Unternehmer, wie personenbezogene Daten in ihren Besitz oder in ihr CRM-System gelangt sind und für welchen Zweck sie erhoben wurden. Auch Einverständniserklärungen, zum Beispiel für den Erhalt eines Newsletters, lassen sich dokumentieren. Somit kommen die Verantwortlichen der Dokumentationspflicht laut DSGVO nach. Zudem bietet die combit CRM Software eine individuell einstellbare Löschfunktion. Einmal eingerichtet, filtern Anwender damit die Datensätze heraus, deren Frist zur Aufbewahrung überschritten ist, prüfen sie und löschen sie aus der Datenbank. Ein spezielles DSGVO-Center sorgt für Übersicht bei konkurrierenden Löschplänen mit unterschiedlichen Fristen. Im combit CRM-System steht eine Vorlage zur Umsetzung des Auskunftsrechts bereit. Mit einem Klick lässt sich damit ein Word-Dokument erstellen, das alle zum Kontakt gespeicherten Informationen enthält, so der Anbieter.

• Die Features von SugarCRM umfassen zum Beispiel den Data Privacy Manager (DPM). SugarCRM verfügt über eine spezielle Rolle, die Anfragen prüfen und Datensätze zur Löschung markieren kann, das „Personal Information Log“ (PI Log), das die Quellen von Kundendaten-Eingaben und Änderungen festhält, die Markierung von Kunden, die der Datenverarbeitung widersprechen (wird als ein Filter für Kampagnen und Reports verwendet), die Verwaltung von Einwilligungen sowie die Einschränkung der Datenerhebung auf nötige Informationen.

CRM-Lösungen aus der Cloud: An Auftragsverarbeitung denken

Achtung: CRM-Lösungen werden zunehmend in Form von Cloud-Services angeboten. Dann müssen die Verträge die Anforderungen an eine Auftragsverarbeitung nach DSGVO (Artikel 28 DSGVO) berücksichtigen.

Insgesamt zeigt sich, dass der Markt für CRM-Lösungen eine Reihe von  Datenschutz-Funktionen bietet. Doch Anwender-Unternehmen müssen diese auch nutzen.

Oliver Schonschek