BERND FUHLERT | DATENSCHUTZEXPERTE
  • Ihr Kontakt zu mir:
    Ich rufe Sie auch gerne zurück!

      Name*

      Unternehmen

      Telefon*

      Wann möchten Sie zurückgerufen werden?


      Heute


      Morgen

      Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.

      Ihr Kontakt zu Bernd Fuhlert:

        Name*

        Unternehmen

        Email*

        Telefon

        Ihre Nachricht*

        Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.

        • +49 [0] 211 52 06 36 0
          Sprechen Sie mit mir: Mo - Fr: 09 - 18 Uhr
        • E-Mail
          Schreiben Sie mir. Ich antworte schnellstmöglich.
        • Rückruf-Service
          Sagen Sie mir, wann ich Sie erreichen kann.

        Datenschutz und CRM

        Ein Customer Relationship Managment System, kurz CRM, dient zur langfristigen und zielgerichteten Initiierung, Selektion, Steuerung und Kontrolle von Geschäftsbeziehungen. Im Mittelpunkt steht dabei die Kundenbeziehung.

        Um ein klares Bild von der Geschäftsbeziehung zu erhalten, werden alle Geschäftsbereiche einbezogen, also Marketing, Vertrieb und Service. Auch wenn je nach Branche oder Unternehmensvorgaben die gesammelten Daten unterschiedlich sind, werden die Systeme zur Kundenpflege, Kundenbetreuung, Kundenbindung und Verwaltung von Interessenten eingesetzt.

        Warum ein CRM-System einsetzen?

        Durch die Digitalisierung ist in den letzten Jahren die Datenmenge in den Unternehmen ständig gewachsen und wächst stetig weiter. Die dadurch bereitgestellten Informationen sind für jedes Unternehmen wichtig und geben Auskunft über das vorhandene Geschäftspotential. Um die Geschäftspotentiale gezielt ausnutzen zu können, möchten die Unternehmen den sogenannten 360°-Blick auf Ihre Interessenten oder Kunden.

        Allerdings werden die Informationen höchst unterschiedlich gesammelt. Mal auf einem Notizzettel notiert, meist in verschiedenen Datenbanken oder sogar ellenlangen Excel-Listen gespeichert. Durch Auflösen dieser unterschiedlichen Datenquellen ist es erst möglich, dass abteilungsübergreifend alle Informationen zur Kundenbeziehung sofort verfügbar sind. Und genau an dieser Stelle sollte der Datenschutzbeauftragte die Verantwortlichen und Mitarbeiter sensibilisieren.

        Zu welchen Zwecken werden die Daten genutzt?

        Die Informationen werden zu unterschiedlichen Zwecken genutzt. Im Marketing werden sie für das Kampagnenmanagement, Online- und E-Mail-Marketing sowie Leadmanagement, idealerweise über alle Kanäle, eingesetzt. Mit der Möglichkeit, diese Daten auszuwerten ist abzulesen, wofür sich er Kunde interessiert und ermöglicht eine gezielte Akquise. Aus welcher Quelle stammt der Kontakt, welche Marketingaktion hat den Kunden angesprochen, wann und an welcher Veranstaltung hat er teilgenommen, welche Produkte hat er im Einsatz, liegen ggf. Reklamationen vor oder gibt es Service-Einsätze? Der Vertrieb kann ohne lange Vorbereitungszeit Kontakt aufnehmen und die Verkaufschancen effektiv nutzen. Up-Selling- und Cross-Selling-Potentiale lassen sich leicht ermitteln. Das bietet dem Unternehmen natürlich einen erheblichen Mehrwert und kann die Kundenzufriedenheit steigern.

        Leistungsfähige CRM-Systeme bieten darüber hinaus automatisierte Workflows an. Diese Automatismen steigern die Produktivität und helfen Fehler zu vermeiden. Sie gewährleisten eine gleichbleibende Qualität die Kommunikation mit Kunden, unabhängig von dem jeweiligen Mitarbeiter. Aber ist den Kunden auch mitgeteilt worden, dass die Daten in dieser Form ausgewertet werden? Hier gilt es sich genau die Hinweise gemäß Artikel 13 DS-GVO zu überprüfen und festzustellen, ob die Datenverarbeitung eine Einwilligung der Betroffenen benötigt oder nicht! Das berechtigte Interesse gemäß Artikel 6 (1) lit. f DS-GVO wird bei einer detaillierten Profilerstellung als Grundlage zur Datenverarbeitung nicht herangezogen werden können.

        Hinweis: Die in einem CRM-System genutzten Daten unterliegen, wie bei anderen Verfahren auch, den Anforderungen der DS-GVO. Da die in einem CRM-System verwalteten Kundendaten auch personenbezogene Daten beinhalten, ist darauf zu achten, dass die Zweckbindung nach Art. 5 Abs. 1 lit. b) DS-GVO und Art. 5 Abs. 1 lit. c) DS-GVO berücksichtigt wird. Das bedeutet, dass nur Daten, die dem Zweck entsprechen, verarbeitet werden dürfen. Beispielsweise dürfen besondere personenbezogene Daten wie Religionszugehörigkeit oder Gesundheitsdaten nicht gespeichert werden.

        Auf was muss ich im Datenschutz achten?

        Der Grundsatz der Datensparsamkeit und Datenminimierung ist ebenfalls berücksichtigen. Werden personenbezogene Daten verarbeitet, die nicht der Vertragserfüllung oder dem zuvor angegebenen Zweck entsprechen drohen sanktionsrelevante Verstöße. Artikel 28 DS-GVO besagt, dass im Falle der Übermittlung an Dritte ein Auftragsverarbeitungsvertrag zu schließen ist. Darunter fallen auch CRM-Dienstleister bzw. Hersteller, das Betreiben eines CRM-Systems in einer Cloud oder Wartung durch IT-Dienstleister. Werden die Daten an einen Dienstleister außerhalb der EU weitergeleitet sind zusätzliche Besonderheiten zu berücksichtigen, die den Vorgaben des Art. 44 ff DS-GVO entsprechen.

        Die Betroffenenrechte aber auch die technisch-organisatorischen Maßnahmen, Art. 32 DS-GVO (Sicherheit der Verarbeitung) und Art. 25 DS-GVO (datenschutzfreundliche Voreinstellungen) sind einzuhalten. Zusätzlich zu den vorgenannten haben Betroffene das Recht

        • auf Vergessenwerden (Löschung der Daten),
        • auf Berichtigung,
        • auf Einschränkung der Verarbeitung,
        • auf Datenübertragbarbeit (z. B. Datenübertragung von einem CRM ins andere),
        • auf die Einhaltung von Transparenz und Informationspflichten.

        Es ist sinnvoll als Datenschutzbeauftragter vorab das Berechtigungs- und Löschkonzept zu überprüfen. Den Zugang zu den personenbezogenen Daten sollten nur Mitarbeiter erhalten, die diese Daten für ihre tägliche Arbeit benötigen. Im Löschkonzept ist definiert festgelegt, wann die personenbezogenen Daten zu löschen sind.

        Hinweis: Funktionen wie ein Doubletten-Check sind hilfreich um Datenminimierung sicherzustellen.

        Die wichtigen Funktionen in einem CRM-System, die den Datenschutz betreffen sind u. a. das Einholen und Dokumentieren von Einwilligungen, die Dokumentation der Datenstrukturen, -herkunft, Einwilligungserklärungen oder andere Rechtsgrundlagen und Verarbeitungszwecke. Dokumentation der Anfragen von Kunden oder Interessenten nach Herkunft ihrer Daten oder Löschwünsche. Funktionen für die Einschränkung der Verwendung, Löschung und Portierung der Daten sowie die Umsetzung von Lösch- und Anonymisierungsfristen mit Wiedervorlage.

        Was bietet ein CRM-Systeme?

        Die meisten Unternehmen haben ein CRM-System, eine CRM-Software oder CRM-Tools im Einsatz oder denken darüber nach. Dem entsprechend gibt es tausende von Anbietern. Je nach Branche, Unternehmensgröße, Geschäftsmodell sind entsprechende Systeme am Markt zu finden. Einer der bekannten Anbieter ist Salesforce. Salesforce arbeitet web-basiert und bietet Lösungen für jede Unternehmensgröße, für verschiedene Branchen und Geschäftsbereiche. Die Systeme sind skalierbar bis hin zu speziellen Anforderungen wie die Integration von Daten aus vorhandenen Systemen, z. B. SAP, Oracle etc.

        Fazit: Ein CRM-System ist hilfreich, wenn das passende System ausgewählt wurde. Bevor es jedoch soweit ist, müssen Sie als Datenschutzbeauftragter die verschiedenen Aspekte bedenken. Zuerst sollten Sie abstimmen, welche Anforderungen das Unternehmen hat und wo die Schwerpunkte liegen. Unterteilen Sie die Funktionen nach unbedingt erforderlich und wünschenswert. Stellen Sie sicher das nur die vorhandenen Daten in das neue System übernommen werden zu denen Sie auch eine Rechtmäßigkeit der Verarbeitung sicherstellen können. Achten Sie dabei auf die Vorgaben der DS-GVO, damit das neue System Datenschutzkonform ist. Dazu müssen Sie die Zugriffsberechtigungen festlegen, die technisch-organisatorischen Maßnahmen prüfen wie Vertraulichkeit (u. a. Zugriffskontrolle), Integrität (u. a. Weitergabekontrolle), Verfügbarkeit und Belastbarkeit..


        Der Autor

        Bernd Fuhlert


         DATENSCHUTZEXPERTE
        GESCHÄFTSFÜHRER • REVOLVERMÄNNER

        Bernd Fuhlert kontaktieren