DSGVO umsetzen: CRM ist Dreh- und Angelpunkt
Durch die neue Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 in Kraft tritt, haben die Mitarbeiter in den Bereichen Vertrieb, Service und Marketing in Zukunft die Aufgabe mit den anfallenden Kundendaten sorgfältiger umzugehen und Transparenz für den Kunden in Bezug auf seine Daten zu schaffen. Diese Regelung gilt dabei nicht nur für die Interaktion mit potenziellen Neukunden, sondern auch für bereits bestehende Kunden und ist für alle Unternehmen verbindlich. Andernfalls drohen hohe Strafen, die Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens nach sich ziehen können.
Das Customer-Relationship-Management-System oder kurz CRM-System bildet den Kern der Kundendaten ab und stellt eine gute Grundlage dar, um die Anforderungen der DSGVO zu erfüllen. Um die Einhaltung der DSGVO sicher zu stellen, müssen jedoch zahlreiche Prozesse im CRM-System neugestaltet werden. Diese sollten so gestaltet sein, dass sämtliche Maßnahmen, die für den Datenschutz erforderlich sind, bereits bei der Aufnahme und Verarbeitung der Daten beachtet werden. Hierzu müssen die folgenden Themenbereiche Berücksichtigung finden:
Identifikation der personenbezogenen Daten
Der erste Schritt beinhaltet die Überprüfung aller Systeme und Unternehmensprozesse, um herauszufinden, welche von der Gesetzgebung betroffenen personenbezogenen Daten erfasst, gespeichert und verarbeitet werden. In diesem Zusammenhang sollte das Unternehmen auch dokumentieren, wie die vorhandenen Daten beschaffen sind, wie ihr Verwendungszweck ist und wie sie gesammelt wurden. Der Vorteil dieser Datenaufnahme besteht darin, dass die Informationen immer zur Verfügung stehen, wenn Kunden beispielsweise einen Nachweis ihrer erhobenen Daten wünschen.
Ist bereits ein CRM-System im Einsatz, sind die Kundendaten dort erfasst. Jedoch muss darauf geachtet werden, dass auch an vielen anderen Stellen im Unternehmen personenbezogene Daten gesammelt werden, wie bei der Zahlungsabwicklung, in Supportsystemen oder im Marketingsystem. Gegebenenfalls sind Anpassungen an bereits bestehenden Systemen vorzunehmen, die die Änderungen der Daten automatisch erfassen und protokollieren.
Informationspflichten
Laut DSGVO hat ein Unternehmen die Pflicht, die Kunden über die Erfassung, Verarbeitung und Nutzung von personenbezogenen Daten zu informieren. Diese Informationspflicht bezieht sich auf alle natürlichen Personen, was zur Folge hat, dass sämtliche Daten aus dem B2C-Bereich betroffen sind. Das CRM-System sollte so konzipiert sein, dass bereits bei der Gewinnung von Interessenten, der sogenannten Leadgenerierung, die Kunden über den Umfang, die Art der Verwendung und den Zweck der Erfassung ausführlich informiert werden. Hierzu sollte im CRM-System ein Berechtigungskonzept angelegt werden, das den Zugriff auf die Daten, deren Löschung und den Export regelt, da nur so nachvollzogen werden kann, was mit den Daten passiert.
Für die Erhebung von personenbezogenen Daten gilt, dass alle Daten, die ein Unternehmen für die Abwicklung eines Vertrages benötigt, auch zu diesem Zweck erfasst werden dürfen. Das Aufnehmen von Daten über diesen Zweck hinaus, ist jedoch nicht ohne Weiteres möglich. Hierzu müssen Unternehmen eine förmliche datenschutzrechtliche Belehrung vornehmen, die von den Kunden zu akzeptieren ist. Dies kann beispielsweise durch das Double-Opt-In-Verfahren sichergestellt werden. Weiterhin sollte das CRM-System auch die Möglichkeit bieten, die Einwilligungen der Kunden zentral zu verwalten.
Auskunftspflichten
Damit die Kunden auf Anfrage ihre personenbezogenen Daten zeitnah erhalten, muss das CRM-System die erforderlichen Informationen direkt zur Verfügung stellen. Darüber hinaus muss für den Kunden die Möglichkeit bestehen, seine Einwilligung zur Datennutzung zu widerrufen sowie eine Löschung der Daten oder deren Korrektur zu verlangen. Das CRM-System sollte daher auch diesen Prozess unterstützen.
Insgesamt sollte darauf geachtet werden, dass die Verfahren zur Bearbeitung der Anfragen zukünftig eine bessere Dokumentation benötigen und jeder der dabei anfallenden Schritte aufgezeichnet wird.
Fazit
Es wird deutlich, dass ein modernes CRM-System den Arbeitsaufwand zur Erfüllung der DSGVO minimieren kann und dabei nicht nur die einmaligen Anforderungen unterstützt, sondern auch die wiederkehrenden.
Das Customer-Relationship-Management-System oder kurz CRM-System bildet den Kern der Kundendaten ab und stellt eine gute Grundlage dar, um die Anforderungen der DSGVO zu erfüllen. Um die Einhaltung der DSGVO sicher zu stellen, müssen jedoch zahlreiche Prozesse im CRM-System neugestaltet werden. Diese sollten so gestaltet sein, dass sämtliche Maßnahmen, die für den Datenschutz erforderlich sind, bereits bei der Aufnahme und Verarbeitung der Daten beachtet werden. Hierzu müssen die folgenden Themenbereiche Berücksichtigung finden:
Identifikation der personenbezogenen Daten
Der erste Schritt beinhaltet die Überprüfung aller Systeme und Unternehmensprozesse, um herauszufinden, welche von der Gesetzgebung betroffenen personenbezogenen Daten erfasst, gespeichert und verarbeitet werden. In diesem Zusammenhang sollte das Unternehmen auch dokumentieren, wie die vorhandenen Daten beschaffen sind, wie ihr Verwendungszweck ist und wie sie gesammelt wurden. Der Vorteil dieser Datenaufnahme besteht darin, dass die Informationen immer zur Verfügung stehen, wenn Kunden beispielsweise einen Nachweis ihrer erhobenen Daten wünschen.
Ist bereits ein CRM-System im Einsatz, sind die Kundendaten dort erfasst. Jedoch muss darauf geachtet werden, dass auch an vielen anderen Stellen im Unternehmen personenbezogene Daten gesammelt werden, wie bei der Zahlungsabwicklung, in Supportsystemen oder im Marketingsystem. Gegebenenfalls sind Anpassungen an bereits bestehenden Systemen vorzunehmen, die die Änderungen der Daten automatisch erfassen und protokollieren.
Informationspflichten
Laut DSGVO hat ein Unternehmen die Pflicht, die Kunden über die Erfassung, Verarbeitung und Nutzung von personenbezogenen Daten zu informieren. Diese Informationspflicht bezieht sich auf alle natürlichen Personen, was zur Folge hat, dass sämtliche Daten aus dem B2C-Bereich betroffen sind. Das CRM-System sollte so konzipiert sein, dass bereits bei der Gewinnung von Interessenten, der sogenannten Leadgenerierung, die Kunden über den Umfang, die Art der Verwendung und den Zweck der Erfassung ausführlich informiert werden. Hierzu sollte im CRM-System ein Berechtigungskonzept angelegt werden, das den Zugriff auf die Daten, deren Löschung und den Export regelt, da nur so nachvollzogen werden kann, was mit den Daten passiert.
Für die Erhebung von personenbezogenen Daten gilt, dass alle Daten, die ein Unternehmen für die Abwicklung eines Vertrages benötigt, auch zu diesem Zweck erfasst werden dürfen. Das Aufnehmen von Daten über diesen Zweck hinaus, ist jedoch nicht ohne Weiteres möglich. Hierzu müssen Unternehmen eine förmliche datenschutzrechtliche Belehrung vornehmen, die von den Kunden zu akzeptieren ist. Dies kann beispielsweise durch das Double-Opt-In-Verfahren sichergestellt werden. Weiterhin sollte das CRM-System auch die Möglichkeit bieten, die Einwilligungen der Kunden zentral zu verwalten.
Auskunftspflichten
Damit die Kunden auf Anfrage ihre personenbezogenen Daten zeitnah erhalten, muss das CRM-System die erforderlichen Informationen direkt zur Verfügung stellen. Darüber hinaus muss für den Kunden die Möglichkeit bestehen, seine Einwilligung zur Datennutzung zu widerrufen sowie eine Löschung der Daten oder deren Korrektur zu verlangen. Das CRM-System sollte daher auch diesen Prozess unterstützen.
Insgesamt sollte darauf geachtet werden, dass die Verfahren zur Bearbeitung der Anfragen zukünftig eine bessere Dokumentation benötigen und jeder der dabei anfallenden Schritte aufgezeichnet wird.
Fazit
Es wird deutlich, dass ein modernes CRM-System den Arbeitsaufwand zur Erfüllung der DSGVO minimieren kann und dabei nicht nur die einmaligen Anforderungen unterstützt, sondern auch die wiederkehrenden.