CRM-Systeme sind für Unternehmer ein wertvolles Werkzeug zur Kundengewinnung- und Pflege. Hierfür werden viele personenbezogene Daten im CRM gesammelt. Das kann, muss aber kein Problem sein, wenn Sie dabei einige wenige wichtige Punkte beachten.
Auswahl eines geeigneten Anbieters
CRM-Lösungen werden meist als SaaS angeboten oder sie können auf einem eigenen Server installiert werden. Da die meisten KMUs jedoch keine eigenen Server betreiben, wird auch beim eigenen Hosting in der Regel ein Dienstleister (Hoster) zwischengeschaltet. In beiden Fällen ist mit dem Anbieter ein Vertrag über Auftragsverarbeitung zu schließen. Da auch Auftragsverarbeiter die Anforderungen der DSGVO erfüllen müssen, sollten Server und Bertreiber (auch Muttergesellschaften) des CRM sich innerhalb der EU oder sicherer Drittstaaten befinden. Zusätzlich muss der Anbieter geeignete Maßnahmen zum Schutz der Daten getroffen haben. Das kann z.B. durch Zertifizierungen wie die ISO 27001 nachgewiesen werden.
Schnittstellen und Erweiterungen
Für viele CRM-Systeme gibt es verschiedene Erweiterungen oder Schnittstellen, durch die nützliche externe Software eingebunden werden kann. Auch diese externe Software muss den datenschutzrechtlichen Anforderungen entsprechen. Denn nur, weil das CRM an sich datenschutzkonform betrieben werden kann, muss das für die Software, die eingebunden werden kann, nicht gelten. Hier gilt es, als Verwender besonders gut aufzupassen, denn dem Betreiber des CRM kann es egal sein, ob die externe Software datenschutzkonform ist: Wenn Sie diese selbst einbinden, sind nämlich im Zweifel Sie allein für die Verarbeitung und damit auch für eventuelle Datenschutzverstöße verantwortlich.
Datenminimierung und Zweckbindung beachten
Ein CRM ist so aufgebaut, dass möglichst viele Daten für möglichst viele Zwecke genutzt werden können, um den maximalen Nutzen aus den Daten zu ziehen. Die DSGVO setzt hier jedoch gewisse Schranken, die beachtet werden müssen. Beim CRM gilt das besonders für die Grundsätze der Datenminimierung und der Zweckbindung: Es dürfen nur diejenigen Daten erfasst werden, die für den jeweiligen Zweck tatsächlich benötigt werden. Sollen die Daten später für einen anderen Zweck weiterverwendet werden, muss es dafür eine rechtliche Grundlage geben. Oft wird das nur mit der Einwilligung des Betroffenen möglich sein. In Einzelfällen, z.B. bei der Bestandskundenwerbung, kann aber auch ein berechtigtes Interesse bestehen.
Fazit
Ein CRM datenschutzkonform zu betreiben, kann eine Herausforderung sein. Es ist jedoch absolut machbar und empfehlenswert: Wer einen datenschutzkonformen Betreiber auswählt, nur datenschutzkonforme externe Erweiterungen verwendet und die Grundsätze Datenminimierung und Zweckbindung beachtet, kann die Vorzüge eines CRM ohne Sorge vor Bußgeldern und Reputationsverlust genießen.