Datenschutzkonforme Nutzung von CRM-Systemen

Der Vertrieb ist ein wichtiger Bestandteil jedes Unternehmens. Einzelne Maßnahmen können verschiedene Einzelziele verfolgen, aber das große Ziel ist immer, den Unternehmensprofit zu steigern. Ein wichtiger Bestandteil dessen sind CRM-Systeme. Kommen diese zum Einsatz, darf ein Verantwortlicher den Datenschutz nicht aus den Augen lassen.

CRM-Systeme

CRM ist die Abkürzung für Customer Relationship Management. Es umfasst alle Prozesse im Zusammenhang mit Kunden von der Akquisition bis zur Kundenbindung nach einem Kauf, inklusive aller Vertriebs- und Marketing-Maßnahmen. Natürlich kann ein Unternehmen dies analog durchführen. Heutzutage nutzen Firmen dafür aber überwiegend CRM-Systeme. Diese können sich entweder als Software auf dem Computer selbst befinden oder online.

Herkömmliches Marketing und althergebrachter Vertrieb

Vor dem 25. Mai 2018 betrieben viele Unternehmen ihr Marketing und Vertrieb mithilfe von CRM-Systemen in herkömmlicher Weise. Zum Teil mutete dies fast schon aggressiv an: Unternehmen verfolgten jegliche Bewegung einer Person im Internet. Demnach wollten diese wissen, welche Artikel auf welcher Seite ein Nutzer sich ansieht oder welche Themen eine Person interessieren. Dies sind nicht alle Daten, die durchgängig gesammelt wurden. Gleich, welche Informationen gesammelt wurden, man versuchte, mit diesen ein umfassendes Benutzerprofil zu erstellen. Darauf aufbauend startete man dann die genau abgestimmte Werbekampagne. Dies geschah bei allen möglichen Szenarien: vor dem Kauf und nach dem Kauf, um einen weiteren zu fördern. Die Werbung selbst fand oftmals übrigens ohne Zustimmung des Nutzers selbst statt.

Der Vertrieb ging nicht weniger aufdringlich vor. Die Kaltakquise beispielsweise ist vielen Personen sicherlich ein Begriff. Man bekam regelmäßig aus dem Blauen heraus einen Anruf mit dem Ziel, dass ein Unternehmen etwas verkaufen wollte. Wenn die betroffene Person angab, solche Anrufe wären nicht erwünscht, wurde dies oftmals ignoriert.

Einführung der DSGVO

Die DSGVO selbst gibt es seit 2016, aber seit dem 25. Mai 2018 ist sie in allen EU-Staaten anzuwenden. Um Abmahnungen, Bußgelder und Schadensersatzansprüche zu vermeiden, bedeutete dies für Unternehmen eine Umstellung im Marketing- und Vertriebsbereich. Plötzlich mussten die jeweiligen Abteilungen die Rechte betroffener Personen beachten, sichergehen, dass sie nötige Einwilligungen vorliegen hatten usw.

DSGVO-Konformität des CRM-Systems

CRM-Systeme können weiterhin betrieben werden, man muss jedoch weitere Schritte dabei beachten.

Rechtsgrundlagen

Jegliche Verarbeitung personenbezogener Daten muss der DSGVO gemäß auf einer Rechtsgrundlage beruhen. Im Fall von Marketing- bzw. Werbemaßnahmen ist es empfehlenswert, die Verarbeitung auf Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung) zu stützen. Natürlich könnte ein Unternehmen Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse) als Rechtsgrundlage angeben. Hierbei ist es wahrscheinlich, dass die Interessen der betroffenen Person schwerer wiegen. Des Weiteren besteht die Gefahr, dass das werbende Unternehmen bei fehlender Zustimmung gegen § 7 Abs. 2 UWG (unzumutbare Belästigungen) verstößt.

Rechte betroffener Personen

Kapitel III DSGVO geht näher auf die Rechte ein, die einer betroffenen Person zukommen. Genaue Informationen hierzu findet man unter anderem hier. Es ist wichtig, dass ein Unternehmen sicherstellt, dass es die Pflichten nach Kapitel III DSGVO einhalten kann.

Datenminimierung

Ein CRM-System hat nicht nur einen Nutzen für Werbemaßnahmen, sondern auch für die Vertragsabwicklung. Nun kann es vorkommen, dass ein Kunde von den Dienstleistungen oder Produkten einer Firma Gebrauch macht, ohne dass man dieser Person explizit hat Werbung zukommen lassen. Möglicherweise hat hat man auch nicht die Einwilligung dazu. Das heißt, der Verantwortliche darf nur so viele Daten erheben, wie zur Vertragserfüllung nötig sind. Dabei verweisen wir auf Art. 5 Abs. 1 lit. c) DSGVO (Datenminimierung).

Data Protection by Design & Data Protection by Default

In dem Fall, dass ein Unternehmen Kundenmanagement mithilfe eines CRM-Systems durchführen möchte, sollte es sichergehen, dass Art. 25 Abs. 1 & 2 DSGVO dabei beachtet und entsprechend umgesetzt wird. Was heißt das? Mit Data Protection by Design ist gemeint, dass ein Hersteller ein Programm oder eine Software so kreiert, erstellt und programmiert, dass es Datenschutz-konform angewendet werden kann. Data Protection by Default weist auf die Grundeinstellungen hin, die mit dem Schutz personenbezogener Daten im Sinn eingestellt sein müssen. Das heißt, jegliche Art von Verarbeitung muss deaktiviert sein. Ist die betroffene Person mit der Verarbeitung einverstanden, kann sie es selbst aktivieren.

Technische und organisatorische Maßnahmen

Aufgrund der in einem CRM-System gesammelten Daten sollten Unternehmen darauf achten, sowohl technische als auch organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Solche können neben den oben genannten auch folgende sein:

1)    Verwaltung der Zugriffsrechte,

2)    Minimierung der Administratorrechte für das CRM-System,

3)    Erstellung separater Profile für Beschäftigte,

4)    Regelmäßigkeit des Daten-Back-Ups,

5)    individuelle Einstellungen für betroffen Personen und

6)    Abschluss eventueller Verträge zur gemeinsamen Verantwortlichkeit oder Auftragsverarbeitung etc.

Fazit

CRM-Systeme können für Unternehmen von hoher Wichtigkeit sein, besonders wenn es sich um ein Großunternehmen handelt. Beim Einsatz solcher Systeme sollte ein Unternehmen als Verantwortlicher den Datenschutz jedoch nicht aus den Augen verlieren. Verstößt man gegen die Regelungen der DSGVO und findet dies eine Person heraus, drohen Bußgelder, Abmahn- oder sogar Schadenersatzanspruchsverfahren. Dies möglichst zu vermeiden, dabei können wir helfen. Kontaktieren Sie uns ganz einfach. Wir erstellen gern ein unverbindliches Angebot für Sie.