Den Anforderungen der Datenschutzgrundverordnung (EU-DSGVO) mit einem leistungsfähigen CRM-System begegnen

Europa-Flagge
Erstellt von Jan Stachura, 23.04.2018

Am 25. Mai 2018 tritt in der EU die neue Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die zahlreiche Neuerungen mit sich bringt und bei Nichteinhaltung zu hohen finanziellen Strafen führen kann. Haben Sie bereits geprüft, ob Ihr Unternehmen den Erfordernissen der EU-DSVGO gerecht wird? Sind die personenbezogenen Daten Ihrer Kunden und Geschäftspartner in einem leistungsfähigen und sicheren System abgelegt oder gibt es Zweifel, ob relevante Datenschutzerfordernisse in Zukunft noch eingehalten werden können?

Die EU-DSGVO im Überblick!

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist eine vom Europäischen Parlament bzw. Europäischen Rat verabschiedete Verordnung, die dem Schutz personenbezogener Daten von EU-Bürgern dient. Sie wurde im Mai 2016 erlassen und tritt am 25. Mai 2018 in Kraft.

Es ist nicht das erste mal, dass in der EU ein Gesetz zum Schutz personenbezogener Daten erlassen wurde, doch mit Wirksamkeit der EU-DSGVO treten nun Regelungen zum Schutz der Privatsphäre von Kunden und Geschäftspartnern in Kraft, die dramatische Auswirkungen haben. Die Verordnung gilt für jedes Unternehmen bzw. jede Einrichtung in der EU, aber gleichwohl weltweit für alle Unternehmen oder Einrichtungen, die mit personenbezogenen Daten von EU-Bürgern arbeiten. Die EU-DSGVO legt zudem hohe Geldbußen für Verstöße fest - bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem welcher Wert im konkreten Fall höher liegt. Wie bei fast jedem Gesetz zum Schutz der Privatsphäre, benötigt die EU-DSGVO einen ganzheitlichen Ansatz zum Schutz personenbezogener Daten von Kunden und Geschäftspartnern. Dies umfasst die Beachtung von Organisationsstrukturen und -prozessen ebenso, wie technische Schutzmaßnahmen bei Infrastruktur und verwendeter Software.

Weitere Informationen zur EU-DSGVO finden Sie im GDPR-Portal der Europäischen Union sowie in den Informationsportalen der IT- und Digital-Bundesverbände BVDW und Bitkom.

Doch was genau müssen Sie als Unternehmen jetzt tun?

Zunächst stehen Unternehmen mit der neuen EU-DSGVO in einer erweiterten Dokumentations- und Rechenschaftspflicht. Wo bisher Behörden den Unternehmen einen Verstoß gegen geltende Datenschutzgesetze nachweisen mussten, sind Unternehmen nun selbst in der Verantwortung nachzuweisen, dass die Datenschutzregelungen eingehalten werden. Eine Vielzahl dieser Erfordernisse beziehen sich explizit auf Prozesse und Daten, die in enger Verbindung zu kundenbezogenen Aktivitäten in Marketing, Vertrieb sowie in Bezug auf spezifische digitale Geschäftsmodelle stehen.

Doch genau hier liegt in der Praxis das Problem. Nach einer aktuellen Studie der Gartner Inc. (Capterra) nutzt derzeit nur jedes fünfte Unternehmen ein CRM-System zur Verwaltung von Kundendaten und dem ganzheitlichen Management von Kundenprozessen. Oftmals sind noch manuelle Tools wie Excel-Listen oder einfache Werkzeuge zur Kontaktverwaltung von gängigen E-Mail-Clients im Einsatz. Neben der Problematik, dass so Kundendaten nur mühsam gepflegt und aktuell gehalten werden können und deshalb die Gefahr mit sich bringen, veraltet oder vollkommen falsch zu sein, ergeben sich insbesondere aus Sicht der EU-DSGVO erhebliche Probleme.

Kundendaten sind zudem äußerst wertvolle und zumeist geschäftskritische Informationen, aber je mehr solcher Daten in einer Organisation mit ungenügender technischer Infrastruktur erfasst und verarbeitet werden, desto wahrscheinlich ist es, dass ein Risiko im Sinne der Erfordernisse der EU-DSGVO entsteht. Dies kann zum Beispiel aufgrund fehlender Zustimmung seitens Ihrer Kunden zur Verwendung personenbezogener Daten im Kontext von Marketung- und Vertriebsaktivitäten der Fall sein. Unklare Zugriffsregelungen können zudem die Gefahr des Datenmissbrauchs nach sich ziehen. Und auch für den Vertrieb entstehen so allgemeine (EU-DSGVO-unabhängige) Schwierigkeiten, beispielsweise bei der kontinuierlichen Verfolgung von Leads oder hoher Zeitaufwand für Vorbereitung und Durchführung von Marketingaktionen. Die Interaktion mit Kunden, die heute auf vielen verschiedenen Kanälen (Off- und Online) erfolgt und ein zentraler Teil einer erfolgreichen Unternehmensstrategie sein muss, bleibt so schwer verfolgbar und unter den Regelungen der EU-DSGVO potentiell risikobehaftet. Daher sollten sich Unternehmen, die bisher keine CRM-Lösung im Einsatz haben, mit dem ThemaCRM-Entwicklung und EU-DSGVO auseinandersetzen und so auch die technischen Voraussetzungen schaffen, um zukünftig erfolgreich und sicher agieren zu können.

EU-DSGVO und CRM: was gibt es zu beachten?

Die neue Datenschutzverordnung impliziert verschiedene Anforderungen an die Verwaltung von Kundendaten, der Ausgestaltung von Kundenprozessen und allgemeiner Informationspflichten. Diese lassen sich in der Regel nur über ein leistungsfähiges CRM-System, wie bspw. OroCRM, sinnvoll abbilden. Nachfolgend sind einige wichtige Aspekte und Implikationen aufgeführt:

Rechtmäßigkeit der Verarbeitung

Ihr Unternehmen muss die Fähigkeit besitzen, erteilte Kundeneinwilligungen zur Datenverarbeitung und -verwendung zu erfassen und zuzuordnen sowie die Möglichkeit bieten, einen Nachweis der rechtmäßigen Verarbeitung aufgrund einer rechtlichen oder vertraglichen Verpflichtung oder Begründung zu gewähren.

Bedingungen für die Einwilligung

Ihr Unternehmen muss nachweisen können, dass Kunden und Geschäftspartner mit der Verarbeitung personenbezogenen Daten einverstanden sind. Entsprechende Einwilligungen sind zu dokumentieren und - falls eine betroffene Person die Einwilligung zurückzieht - wieder zu löschen. Diese Einwilligungen sind insbesondere für gängige Marketingaktivitäten relevant. Unternehmen dürfen natürlich weiterhin E-Mail-Marketing betreiben und werbliche Informationen versenden. Dafür ist (nach wie vor) ein explizites Einverständnis des Empfängers notwendig, i.d.R. mittels Double-Opt-In-Verfahren. Neu ist hingegen, das sogenannte Kopplungsverbot. Kunden müssen freiwillig Ihre Einwilligung erklären. In der Praxis dürfen dann Vertragsschlüsse beispielsweise nicht mehr mit einem Newsletter-Empfang gekoppelt werden. Zudem sind beispielsweise Einwilligungen von Personen unter 16 Jahren nicht mehr ohne Einverständnis ihrer Eltern wirksam. Ab dem 25. Mai 2018 verlieren diese Erklärungen ihre Wirksamkeit.

Verarbeitung besonderer Kategorien personenbezogener Daten

Personenbezogene Daten, die von spezifischer Qualität sind, müssen gekennzeichnet werden. Der Zugriff auf diese Daten muss durch ein dezidiertes Rechte- und Rollensystem beschränkt werden.

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte betroffener Person

Kunden und Geschäftspartner müssen Informationen über ihre personenbezogenen Daten auf Anforderung hin in einfacher Weise bereitgestellt bekommen können. Das Unternehmen muss dazu in der Lage sein, entsprechende Anfragen in geeigneter Weise und Frist zu bearbeiten und zu dokumentieren.

Recht auf Berichtigung

Die Berichtigung unrichtiger Informationen muss auf Anfrage von Kunden und Geschäftspartnern möglich sein. Das Unternehmen muss einem entsprechenden Nachweis über die erfolgte Korrektur liefern, sowie die betroffene Person über die Berichtigung benachrichtigen.

Recht auf Löschung

Kunden und Geschäftspartner haben das Recht, dass personenbezogene Daten auf Anforderung hin unverzüglich gelöscht werden, vorausgesetzt, dass keine anderen rechtlichen Regelungen eine Speicherung dieser Daten erfordern (bspw. Vorschriften aus dem Bereich Steuerrecht, Aufbewahrungsfristen, etc.). Verantwortliche Personen im Unternehmen müssen Daten zudem auch löschen, wenn die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr existieren.

Recht auf Datenübertragbarkeit

Mit dem Recht auf Datenübertragbarkeit müssen Unternehmen sicherstellen, dass Kunden und Geschäftspartner auf Anfrage hin all ihre beim Unternehmen erfassten Daten erhalten. Diese Datenbereitstellung muss in einem gängigen maschinenlesbaren Format erfolgen (z.B. als CSV-Datei).

Widerspruchsrecht

Werden im Unternehmen automatische Entscheidungsverfahren benutzt, zum Beispiel um Kunden das nächstbeste Produkt oder Angebot zu empfehlen, eine Risikobewertung vorzunehmen oder das Käuferpotential zu bestimmen, werden dabei personenbezogene Daten verwendet. Widersprechen Kunden oder Geschäftspartner der Nutzung dieser Informationen, müssen Unternehmen sicherstellen, dass diese personenbezogenen Daten von der Nutzung durch ein automatisiertes Entscheidungsverfahren zukünftig ausgenommen werden.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Durch eine datenschutzfreundliche Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) soll dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen werden. Die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten soll damit möglichst schon präventiv verhindert werden. Zum Beispiel sollte sichergestellt werden, dass im Rahmen der unternehmensweiten Datenverarbeitung nur notwendige Daten sichtbar gemacht werden, die für eine Bearbeitung einer konkreten Aufgabe erforderlich sind. Unternehmen müssen weiterhin dokumentieren, welche Nutzer bzw. Nutzergruppen Zugang zu welchen personenbezogenen Daten haben und diese Informationen auf Verlangen als Report bereitstellen können.

Benachrichtigung bei Datenschutzverstößen

Wird der Datenschutz einer betroffenen Person verletzt und besteht dadurch eine hohe Wahrscheinlichkeit für ein Risiko, dass die Rechte und Freiheiten der Person betroffen sind, so muss die betroffene Person unverzüglich über diese Verletzung informiert werden. Datenschutzverstöße müssen deshalb unternehmensweit erfasst und dokumentiert werden.

EU-DSGVO: ein CRM-System ist unabdingbar!

Die Verwaltung aller relevanten kundenbezogenen Prozesse ist wesentliche Aufgabe eines CRM-Systems. Ein modernes Kundendatenmanagement sollte nicht nur den Erfordernissen der EU-DSGVO gerecht werden, sondern einen 360-Grad-Blick auf alle Kundendaten ermöglichen. So lassen sich bestehende Datensilos auflösen und die Entstehung neuer Insellösungen vermeiden. Ein CRM-System, dass alle relevanten kundenbezogenen Daten zentral erfasst und die unternehmensweiten Kundenprozesse verwaltet, dient damit nicht nur den gesetzlichen Erfordernissen der EU-DSGVO. Es ermöglicht zudem eine personalisierte Kundenansprache entlang der individuellen Customer Journey und schafft so einen erheblichen Wettbewerbsvorteil.

Am Markt existiert eine Vielzahl möglicher CRM-Lösungen. Wir empfehlen eine genaue Prüfung der Funktionen und Kosten in Hinblick auf die eigenen Bedürfnisse. Weiterhin macht es bei der Einführung einer CRM-Lösung Sinn, nach dem Prinzip der agilen Softwareentwicklung vorzugehen und das CRM-System schrittweise einzuführen. In einer ersten Phase wäre es beispielsweise denkbar, zunächst sehr schnell eine zentrale Datenhaltung zu etablieren, die den Erfordernissen der EU-DSGVO gerecht wird. In darauffolgenden Projektschritten könnte das CRM-System dann flexibel an spezifische Vertriebs- und Marketingprozesse im Unternehmen angebunden werden.

OroCRM bietet hierzu sowohl in der Community Edition als auch im Besonderen in der lizenzkostenpflichtigen Enterprise Version einen geeigneten Basis-Funktionsumfang und besitzt große Flexibilität in der Individualisierung der CRM-Plattform für das jeweilige Geschäftsmodell.

Gerne sprechen wir mit Ihnen über Ihre Herausforderungen bezüglich der neuen EU-DSGVO und stellen Ihnen OroCRM im Detail vor. Nehmen Sie gern mit uns Kontakt auf!

Zurück

Kontaktieren Sie uns