Bei der Einführung eines CRM-Systems gilt es zahlreiche Anforderungen der unterschiedlichen Stakeholder zu beachten. Dabei spielen auch rechtliche Anforderungen eine Rolle. Im nachfolgenden Artikel möchten wir Ihnen Anregungen geben, was bei CRM-Systemen aus Datenschutzsicht beachtet werden sollte. Viele der nachfolgenden Punkte hätten das Potenzial als eigener Beitrag dargestellt zu werden. Deshalb möchten wir die einzelnen Hinweise nur skizzenhaft ansprechen, stehen Ihnen aber natürlich für Fragen jeder Zeit zur Verfügung. 

Was wird als CRM bezeichnet? 

Als Customer Relationship Management (CRM) versteht man ein Kundenbeziehungsmanagementsystem, das in einer Organisation selbst oder über einen Cloudanbieter betrieben wird. Es dient der strategischen und systematischen Gestaltung von Kundenbeziehungen und damit dem Aufbau, der Pflege, der Verwaltung und Interaktion mit personenbezogenen Daten. 

Ziel eines CRM-Systems 

Das oberste Ziel eines CRM ist die Optimierung von Geschäftsprozessen, die in direkter Beziehung zu Interessenten und Kunden stehen. Diese, über das CRM dokumentierte, Optimierung zieht sich über den gesamten Zyklus einer Geschäftsbeziehung, von der Akquise bis zur langjährigen Kundenbindung. Kunden werden letztlich individualisiert, Kommunikationsprozesse auf die jeweiligen Kategorien verbessert und Angebote zugeschnitten, um die richtige Ansprache zum richtigen Zeitpunkt auszustreuen. (Aktion vor Reaktion durch den Kunden) 

Einbindung Dritter 

CRM-Projekte erfordern in der Regel immer die Einbindung dritter Stellen. Bereits bei der Auswahl eines Dienstleisters, der das Projekt begleitet bzw. Ihr CRM-System (weiter)entwickelt, können sensible Daten ausgetauscht werden.  An dieser Stelle erwartet man eine hohe Zuverlässigkeit und Vertraulichkeit des zukünftigen Partners. Daher sollte die Auswahl anhand eines Anforderungskatalogs (z.B. vorhandene Zertifikate wie ISO27001) erfolgen und bei Bedarf eine Verschwiegenheitsverpflichtung vorbereitet werden. Wurde eine Entscheidung getroffen, erweitert man die Vereinbarung auf einen Vertrag nach Art.28 DSGVO (Auftragsverarbeitungsvertrag). Beziehen Sie an dieser Stelle auch noch weitere externe Dienstleister ein, z.B. das Rechenzentrum, in dem das CRM-System zukünftig gehostet wird. Idealerweise versuchen Sie dabei alle Dienstleistungen und darauf basierende Datenverarbeitungen im EU-Raum bzw. in einem angemessenen Drittland zu belassen. 

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen 

Aus Sicht des Datenschutzes ist es ideal, wenn sich das Design Ihres CRM-Systems an Art.25 DSGVO orientiert.  Die genannten Anforderungen dieses Artikels beziehen sich auf den Anfang eines Projekts. Datenschutz soll also bereits in der Konzeption berücksichtigt und technische sowie organisatorische Datenschutzmaßnahmen in die Planung eingebracht werden. Damit vermeiden Sie nachträgliche Datenschutzanpassungen, die nur umständlich in das bestehende Produkt integriert werden können. Binden Sie Ihren Datenschutzberater möglichst früh in das Projekt ein. 

Erheben und Einspielen von personenbezogenen Daten 

Betrachtet man den Zyklus einer Geschäftsbeziehung, so werden im Akquisestadium  personenbezogene Daten erhoben, beispielsweise die Daten von Interessenten an einem Messestand. Durch das Interesse an Ihren Produkten und dem Wunsch darüber informiert zu werden, ergibt sich ein vorvertragliches Vertrauensverhältnis. Als rechtliche Grundlage für die Verarbeitung der Daten kann Art.6 Abs.1 lit.b DSGVO herangezogen werden. Dieser rechtfertigt die Datenverarbeitung im CRM-System. Möchten Sie den Interessenten mit Informationen bespielen, sollten Sie hierzu im besten Fall eine schriftliche Einwilligung vorliegen haben. Bleiben wir am Messestand, könnte ein Gesprächsprotokoll erstellt, die gewünschten Kommunikationskanäle zur Informationszustellung vermerkt und das Protokoll idealerweise durch den Interessenten unterschrieben werden. Damit liegt Ihnen eine schriftliche Einwilligung vor, die Sie dem Kundendatensatz im CRM zuordnen. 

Informationspflichten gegenüber Betroffenen – das Recht auf Information 

Sag was Du tust und tu was Du sagst. Nicht mehr oder weniger verbirgt sich hinter diesem Anspruch. Bezieht man die Aussage nun auf das CRM-System, so könnten Sie mit Aufnahme der personenbezogenen Daten in das System eine automatische E-Mail an den Interessenten auslösen. Diese beinhaltet zum einen die Bestätigung, dass die Daten in das CRM-System aufgenommen wurden und zum anderen relevante Datenschutzinformationen bzw. einen Link auf zentral hinterlegte Datenschutzinformationen z.B. auf der Homepage. Darin sollte transparent abgebildet sein,  

• Wer für die Datenverarbeitung verantwortlich ist 
• Wie die Datenverarbeitung abläuft 
• Wer für Datenschutzfragen kontaktiert werden kann 
• und wie Betroffenenrechte abgebildet werden können. 

In der Regel erhalten Sie passende Textinhalte durch den CRM-Entwickler oder über Standardtexte aus Datenschutzerklärungsgeneratoren, die Sie manuell anpassen können. Informationspflichten können sich auch gegenüber Mitarbeitern ergeben, wenn Sie beispielsweise Abfragen zu Erfolgsstatistiken von Kundenbetreuern durchführen. 

Weitere Rechte von Betroffenen 

Die DSGVO sieht eine Reihe von weiteren unabdingbaren Betroffenenrechten vor.   

Recht auf Auskunft 

Betroffene haben das Recht zu erfahren, welche Daten von Ihnen gespeichert werden. Das CRM-System sollte eine personenbezogene Datendarstellung erlauben, um diese gegenüber den Betroffenen beauskunften zu können. Über das CRM sollte für Sie transparent dargestellt sein, wie die Daten erhoben, in das System aufgenommen und weiterverarbeitet wurden. (Datenweitergabe)  

Recht auf Berichtigung 

Natürlich sollten personenbezogene Daten fehlerfrei im CRM-System hinterlegt sein. Wird durch einen Betroffenen im Rahmen eines Auskunftsersuchens festgestellt, dass Daten unrichtig sind, kann das Recht auf Berichtigung in Anspruch genommen werden. Deshalb sollten alle Datenfelder zu einer Person über eine manuelle Selektion berichtigt werden können. 

Recht auf Widerspruch 

Betroffene haben das Recht einer Datenverarbeitung zu widersprechen z.B. der werblichen Ansprache. Sie sollten über das CRM-System in der Lage sein, die vom Kunden bewilligten Kommunikationskanäle (z.B. Tel., E-Mail, Post) aus- bzw. abzuwählen. 

Recht auf Löschung 

Das System sollte das Löschen von Datensätzen ermöglichen, wenn beispielsweise personenbezogene Daten zu Unrecht erhoben wurden, oder kein Zweck mehr vorhanden ist, um die Datenspeicherung weiter zu rechtfertigen.  

Recht auf Datenübertragbarkeit 

Das Recht auf Datenübertragbarkeit ist ein Recht, das eher selten zur Anwendung kommt, aber trotzdem nicht vergessen werden sollte. Betroffene können verlangen, ihre hinterlegten personenbezogenen Daten in einem maschinenlesbaren Format ausgehändigt zu bekommen. Idealerweise berücksichtigt Ihr CRM-System diese Anforderung. 

Technische und organisatorische Maßnahmen 

Mit Einführung eines CRM-Systems ergeben sich zahlreiche technische und organisatorische Maßnahmen. Einige wichtige sind hier aufgeführt. Abhängig von der Notwendigkeit des Systems auf Ihre Geschäftsprozesse ergibt sich die Kritikalität in Bezug auf die nachfolgenden Punkte. 

Aktualität der Systeme 

Die Systeme, über die Ihr CRM betrieben wird, sollten auf technisch aktuellem Stand gehalten werden. Dies erfordert klare Verantwortlichkeiten in Bezug auf das Patchmanagement. 

Verfügbarkeit 

Die Anforderungen an die Verfügbarkeit ergeben sich zum einen direkt aus der Erreichbarkeit Ihres Systems. Falls Sie eine Cloudlösung nutzen, sollten Sie hier auch die Internetverfügbarkeit berücksichtigen. Ist der Ausfall der Leitung denkbar, sollte über eine Backupleitung nachgedacht werden. 

Neben der direkten Erreichbarkeit bezieht sich die Verfügbarkeit auch auf die Datensicherung. Das CRM-System sollte in den Sicherungszyklus aufgenommen werden. Weitere Anforderungen finden Sie im Beitrag “Backup-Konzept – Wie Sie die Risiken von Datenverlust minimieren“.

Sicherer Zugang 

Ihr CRM-System wird in Zukunft eine Vielzahl an Daten beinhalten. Damit ergibt sich der Auftrag, den Zugang auf das System besonders zu schützen. Ein starkes Passwort verknüpft mit einer Mehr-Faktor-Authentisierung wird als Stand der Technik angenommen und sollte für die Zugänge, gerade wenn diese auch aus dem Internet möglich sind, berücksichtigt werden. Mehrere Falscheingaben sollten eine Zugangssperre auslösen. Personenbezogene Accounts erleichtern die Verwaltung und das Monitoring von Logfiles. 

Zugriffsrechte 

Grundsätzlich sind nur die Zugriffsrechte zu vergeben, die für die Erledigung der Arbeitsaufgaben unbedingt erforderlich sind. Im CRM-System werden Sie verschiedene Rollen hinterlegen. Entscheiden Sie bewusst, wer welche Rechte erhalten wird. Alleine die Position in einer Organisation sollte keine erweiterten Zugriffsrechte erlauben. Die getrennte Vergabe von Lese- Schreib- und Adminrechten wird als selbstverständlich angenommen.  

Protokollierung

Ihr CRM-System sollte eine systemseitige Protokollierung beinhalten. Eine Nachvollziehbarkeit darüber, wer wann welche Änderung vorgenommen hat, unterstützt bei der Fehlersuche, oder im Fall eines unberechtigten Zugriffs. 

Fazit

Mit Start eines CRM-Projekts ergeben sich zahlreiche Anforderungen aus Datenschutzsicht. Es wird empfohlen die Datenschutzaspekte zu Beginn und über die gesamte Laufzeit eines CRM-Projekts zu berücksichtigen.