Datenschutz und CRM

Ein Customer Relationship Managment System, kurz CRM, dient zur langfristigen und zielgerichteten Initiierung, Selektion, Steuerung und Kontrolle von Geschäftsbeziehungen. Im Mittelpunkt steht dabei die Kundenbeziehung. Um ein klares Bild von der Geschäftsbeziehung zu erhalten, werden alle Geschäftsbereiche einbezogen, also Marketing, Vertrieb und Service. Auch wenn je nach Branche oder Unternehmensvorgaben die gesammelten Daten unterschiedlich sind, werden die Systeme zur Kundenpflege, Kundenbetreuung, Kundenbindung und Verwaltung von Interessenten eingesetzt.

Warum ein CRM-System einsetzen?
Durch die Digitalisierung ist in den letzten Jahren die Datenmenge in den Unternehmen ständig gewachsen und wächst stetig weiter. Die dadurch bereitgestellten Informationen sind für jedes Unternehmen wichtig und geben Auskunft über das vorhandene Geschäftspotential. Um die Geschäftspotentiale gezielt ausnutzen zu können, möchten die Unternehmen den sogenannten 360°-Blick auf Ihre Interessenten oder Kunden. Allerdings werden die Informationen höchst unterschiedlich gesammelt. Mal auf einem Notizzettel notiert, meist in verschiedenen Datenbanken oder sogar ellenlangen Excel-Listen gespeichert. Durch Auflösen dieser unterschiedlichen Datenquellen ist es erst möglich, dass abteilungsübergreifend alle Informationen zur Kundenbeziehung sofort verfügbar sind. Und genau an dieser Stelle sollte der Datenschutzbeauftragte die Verantwortlichen und Mitarbeiter sensibilisieren.

Zu welchen Zwecken werden die Daten genutzt?
Die Informationen werden zu unterschiedlichen Zwecken genutzt. Im Marketing werden sie für das Kampagnenmanagement, Online- und E-Mail-Marketing sowie Leadmanagement, idealerweise über alle Kanäle, eingesetzt. Mit der Möglichkeit, diese Daten auszuwerten ist abzulesen, wofür sich er Kunde interessiert und ermöglicht eine gezielte Akquise. Aus welcher Quelle stammt der Kontakt, welche Marketingaktion hat den Kunden angesprochen, wann und an welcher Veranstaltung hat er teilgenommen, welche Produkte hat er im Einsatz, liegen ggf. Reklamationen vor oder gibt es Service-Einsätze? Der Vertrieb kann ohne lange Vorbereitungszeit Kontakt aufnehmen und die Verkaufschancen effektiv nutzen. Up-Selling- und Cross-Selling-Potentiale lassen sich leicht ermitteln. Das bietet dem Unternehmen natürlich einen erheblichen Mehrwert und kann die Kundenzufriedenheit steigern. Leistungsfähige CRM-Systeme bieten darüber hinaus automatisierte Workflows an. Diese Automatismen steigern die Produktivität und helfen Fehler zu vermeiden. Sie gewährleisten eine gleichbleibende Qualität die Kommunikation mit Kunden, unabhängig von dem jeweiligen Mitarbeiter. Aber ist den Kunden auch mitgeteilt worden, dass die Daten in dieser Form ausgewertet werden? Hier gilt es sich genau die Hinweise gemäß Artikel 13 DS-GVO zu überprüfen und festzustellen, ob die Datenverarbeitung eine Einwilligung der Betroffenen benötigt oder nicht! Das berechtigte Interesse gemäß Artikel 6 (1) lit. f DS-GVO wird bei einer detaillierten Profilerstellung als Grundlage zur Datenverarbeitung nicht herangezogen werden können.

Hinweis: Die in einem CRM-System genutzten Daten unterliegen, wie bei anderen Verfahren auch, den Anforderungen der DS-GVO. Da die in einem CRM-System verwalteten Kundendaten auch personenbezogene Daten beinhalten, ist darauf zu achten, dass die Zweckbindung nach Art. 5 Abs. 1 lit. b) DS-GVO und Art. 5 Abs. 1 lit. c) DS-GVO berücksichtigt wird. Das bedeutet, dass nur Daten, die dem Zweck entsprechen, verarbeitet werden dürfen. Beispielsweise dürfen besondere personenbezogene Daten wie Religionszugehörigkeit oder Gesundheitsdaten nicht gespeichert werden.

Auf was muss ich im Datenschutz achten?
Der Grundsatz der Datensparsamkeit und Datenminimierung ist ebenfalls berücksichtigen. Werden personenbezogene Daten verarbeitet, die nicht der Vertragserfüllung oder dem zuvor angegebenen Zweck entsprechen drohen sanktionsrelevante Verstöße. Artikel 28 DS-GVO besagt, dass im Falle der Übermittlung an Dritte ein Auftragsverarbeitungsvertrag zu schließen ist. Darunter fallen auch CRM-Dienstleister bzw. Hersteller, das Betreiben eines CRM-Systems in einer Cloud oder Wartung durch IT-Dienstleister. Werden die Daten an einen Dienstleister außerhalb der EU weitergeleitet sind zusätzliche Besonderheiten zu berücksichtigen, die den Vorgaben des Art. 44 ff DS-GVO entsprechen. Die Betroffenenrechte aber auch die technisch-organisatorischen Maßnahmen, Art. 32 DS-GVO (Sicherheit der Verarbeitung) und Art. 25 DS-GVO (datenschutzfreundliche Voreinstellungen) sind einzuhalten. Zusätzlich zu den vorgenannten haben Betroffene das Recht
• auf Vergessenwerden (Löschung der Daten),
• auf Berichtigung,
• auf Einschränkung der Verarbeitung,
• auf Datenübertragbarbeit (z. B. Datenübertragung von einem CRM ins andere),
• die Einhaltung von Transparenz und Informationspflichten.

Es ist sinnvoll als Datenschutzbeauftragter vorab das Berechtigungs- und Löschkonzept zu überprüfen. Den Zugang zu den personenbezogenen Daten sollten nur Mitarbeiter erhalten, die diese Daten für ihre tägliche Arbeit benötigen. Im Löschkonzept ist definiert festgelegt, wann die personenbezogenen Daten zu löschen sind.

Hinweis: Funktionen wie ein Doubletten-Check sind hilfreich um Datenminimierung sicherzustellen.

Die wichtigen Funktionen in einem CRM-System, die den Datenschutz betreffen sind u. a. das Einholen und Dokumentieren von Einwilligungen, die Dokumentation der Datenstrukturen, -herkunft, Einwilligungserklärungen oder andere Rechtsgrundlagen und Verarbeitungszwecke. Dokumentation der Anfragen von Kunden oder Interessenten nach Herkunft ihrer Daten oder Löschwünsche. Funktionen für die Einschränkung der Verwendung, Löschung und Portierung der Daten sowie die Umsetzung von Lösch- und Anonymisierungsfristen mit Wiedervorlage.

Was bietet ein CRM-Systeme?
Die meisten Unternehmen haben ein CRM-System, eine CRM-Software oder CRM-Tools im Einsatz oder denken darüber nach. Dem entsprechend gibt es tausende von Anbietern. Je nach Branche, Unternehmensgröße, Geschäftsmodell sind entsprechende Systeme am Markt zu finden. Einer der bekannten Anbieter ist Salesforce. Salesforce arbeitet web-basiert und bietet Lösungen für jede Unternehmensgröße, für verschiedene Branchen und Geschäftsbereiche. Die Systeme sind skalierbar bis hin zu speziellen Anforderungen wie die Integration von Daten aus vorhandenen Systemen, z. B. SAP, Oracle etc.

Fazit: Ein CRM-System ist hilfreich, wenn das passende System ausgewählt wurde. Bevor es jedoch soweit ist, müssen Sie als Datenschutzbeauftragter die verschiedenen Aspekte bedenken. Zuerst sollten Sie abstimmen, welche Anforderungen das Unternehmen hat und wo die Schwerpunkte liegen. Unterteilen Sie die Funktionen nach unbedingt erforderlich und wünschenswert. Stellen Sie sicher das nur die vorhandenen Daten in das neue System übernommen werden zu denen Sie auch eine Rechtmäßigkeit der Verarbeitung sicherstellen können. Achten Sie dabei auf die Vorgaben der DS-GVO, damit das neue System Datenschutzkonform ist. Dazu müssen Sie die Zugriffsberechtigungen festlegen, die technisch-organisatorischen Maßnahmen prüfen wie Vertraulichkeit (u. a. Zugriffskontrolle), Integrität (u. a. Weitergabekontrolle), Verfügbarkeit und Belastbarkeit..

Veröffentlicht unter Datenschutz | Schreib einen Kommentar

Datenschutz für Kinder – auch Eltern in der Pflicht!

Ein Blick ins Kinderzimmer, der sollte Eltern, Freunden und Spielkameraden vorbehalten bleiben. Und die meisten Heranwachsenden sind durchaus scheu, wenn es um ihre Privatsphäre geht und lassen Mutter und Vater kaum oder nur unwillig in ihren ganz privaten Lebensraum. Rasch wird dies, oft in vorausschauender Erwartung einer elterlichen Bemerkung oder gar Ermahnung, als Eindringen verwehrt. Weiterlesen

Veröffentlicht unter Datenschutz, Privatsphäre, Verbraucherschutz | Verschlagwortet mit , , , , | Schreib einen Kommentar

Gesichtserkennung – ein schmaler (ethischer) Grad bei Konsum und Kontrolle?

Die Forschung bezüglich Gesichtserkennung inklusive der daraus resultierenden Fortschritte im Bereich der Einsatzgebiete erscheinen auf den ersten Blick opportun – lassen sich doch daraus nicht zuletzt auch Maßnahmen umsetzen, die zur Erhöhung der Sicherheit beitragen können. Ob diese Euphorie im Weiteren durchgängig gerechtfertigt ist, soll im Rahmen des Artikels diskutiert werden. Weiterlesen

Veröffentlicht unter Datenschutz, Privatsphäre, Verbraucherschutz | Verschlagwortet mit , , , | Schreib einen Kommentar

Was ist OSINT?

OSINT steht für Open Source Intelligence und beschreibt die systematische Informationsgewinnung aus unterschiedlichen, frei verfügbaren Quellen (vor allem im Web), um durch Analyse dieser Informationen verwertbare Erkenntnisse über eine Person oder Unternehmen zu gewinnen. Bei sog. OSINT-Verfahren werden Informationen nicht mit illegalen Mitteln erhoben, was dazu führt, dass durch die Anwendung auch grundsätzlich keine rechtlichen Konsequenzen zu befürchten sind. Weiterlesen

Veröffentlicht unter Datenschutz, Internet, Privatsphäre, Sonstige Fragen | Schreib einen Kommentar

Autonomes Fahren – aber mit Sicherheit!

Künstliche Intelligenz ist mittlerweile zu einem der beherrschenden Themen in der Gesellschaft avanciert. Durch die Technologie soll sich vieles zum Besseren wenden (lassen), so lautet allgemein das implizite Versprechen. Insbesondere Industrieunternehmen sind hier sehr zuversichtlich – nicht nur in Bezug auf das Generieren von Wettbewerbsvorteilen, sondern auch bezüglich ihrer Innovationsfähigkeit. Doch beim richtigen Umgang mit Künstlicher Intelligenz müssen manche Sachverhalte vollständig geklärt und andere noch grundsätzlich überdacht werden. Zum Beispiel die Datensicherheit! Weiterlesen

Veröffentlicht unter Datenschutz, Software, Sonstige Fragen | Verschlagwortet mit , , , , | Schreib einen Kommentar