©I.Szumska

Datenschutz im CRM-System


Was man in puncto Datenschutz im CRM-Sytem beachten muss, wenn man ein CRM-System einführt, erklärt Rechtsanwältin und Datenschutzexpertin Jutta Löwe im Interview mit der WordBridge Academy.

Frau Löwe, ab wann sprechen Datenschützer von einem CRM-System?

Jutta Löwe: Sobald Sie Kundendaten sortiert und wieder auffindbar abspeichern, sind sie datenschutzrechtlich relevant. Der gute alte Karteikasten fällt ebenso unter diese Definition wie die alphabetisch geordnete Excel-Liste oder das neu erworbene Computerprogramm zur Verwaltung von Kundendaten. Wir haben also relativ schnell mit Datenschutz im CRM zu tun.

Was müssen Firmen bei der Einführung eines CRM-Systems bezüglich Datenschutz beachten?

Jutta Löwe: Wichtig ist bei einem CRM-System, dass genau vermerkt werden kann, zu welchen Bereichen der Kunde Werbung mithilfe welcher Kanäle – beispielsweise Telefon oder E-Mail – bekommen darf oder ob er sich ausdrücklich gegen Werbung ausgesprochen hat.

Grundsätzlich unterscheiden Juristen, ob es sich um Daten von Unternehmen oder Privatkunden handelt. Im Business-to-Business-Bereich (B2B) dürfen Sie Daten in einem CRM-System speichern und Kunden anrufen, wenn das Einverständnis zu vermuten ist. Das ist zum Beispiel der Fall, wenn ein KFZ-Zuliefererbetrieb große Automobilhersteller kontaktiert, weil er sie als Neukunden gewinnen möchte.

Sie empfehlen Unternehmen vor der Einführung ein Datenschutzkonzept, um Datenschutz im CRM optimal umzusetzen.

Jutta Löwe: Jedes Unternehmen, ob mit oder ohne CRM-System, sollte sich Gedanken zum Schutz seiner Daten machen – eine gemeinsame Aufgabe von Geschäftsführung und Datenschutzbeauftragtem. Das Datenschutzkonzept kann regeln, welche Rechte und Pflichten Mitarbeiter haben, wenn sie auf Kundendaten zugreifen. Ist auch technisch sichergestellt, dass nur Befugte Zugriff auf Kundendaten haben? Welche Kundendaten dürfen gespeichert werden? Wissen die Kunden, zu welchem Zweck ihre Daten im CRM-System gespeichert werden? In verschiedenen Fällen müssen sie darüber informiert werden. Wichtig ist auch die Frage, ob ein Verfahrensverzeichnis existiert – eine Übersicht, die für jeden zugänglich sein muss. In ihr steht, zu welchen Zwecken welche Arten von personenbezogenen Daten gespeichert und verarbeitet werden.

Hier kommen die „8 Gebote des Datenschutzes“ ins Spiel.

Jutta Löwe: … insbesondere das Trennungsgebot: Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können. Ein Beispiel: Wer E-Mail-Adressen im CRM-System speichert, um Unterlagen zu verschicken, darf nicht automatisch auch Newsletter an diese Adressen senden.

Sie sollten zudem klären, was passiert, wenn ein Call-Center auf Ihre Kundendaten zugreift und sie bearbeitet. Hier ist die Eingabekontrolle entscheidend. Das heißt, dass nachträglich überprüft werden können muss, ob und von wem personenbezogene Daten ins CRM-System eingegeben, verändert oder entfernt wurden.

Laut Auftragskontrolle müssen Sie außerdem gewährleisten, dass personenbezogene Daten, die ein Dienstleister in Ihrem Auftrag verarbeitet, nur entsprechend Ihrer Weisungen behandelt werden.

Wie kann ich in meinem Unternehmen feststellen, ob Kundendaten im CRM-System sicher sind?

Jutta Löwe: Als Geschäftsführer können Sie zum Beispiel externe Dienstleister beauftragen – einige Firmen haben sich darauf spezialisiert, solche Prozesse unter die Lupe nehmen: Woher stammen die Kundendaten? Wer hat im CRM-System Zugriff darauf? Wie gut ist das Computersystem vor Angriffen von außen geschützt? Sie müssen bei einer Prüfung allerdings mit einer Startinvestition rechnen. Weitere monatliche Kosten entstehen für einen externen Datenschutzbeauftragten.

Ich warne vor Anbietern, die Datenschutzpakete zu kleinen Beträgen anbieten. Firmen können viel Geld sparen, wenn sie überlegen, an welchen Punkten es in ihrem Betrieb Schwachstellen gibt. Meistens hilft es schon, Mitarbeiter zu schulen und Zugriffsrechte im CRM-System zu beschränken. Mit relativ wenigen Maßnahmen steigern Sie Ihr Datenschutzniveau von 20 auf 80 Prozent.

Was habe ich als Unternehmen davon, wenn ich im CRM-System sauber mit Kundendaten umgehe?

Jutta Löwe: Sie sparen sich beispielsweise Abmahnungen. Denn wer seine Kunden mit unaufgeforderter Werbung belästigt, kann von ihnen unter Umständen auf Unterlassung in Anspruch genommen werden. Zudem entfallen teure Bußgelder der Aufsichtsbehörde. Zurzeit verschicken übrigens die Datenschutzbeauftragten der Länder Fragebögen zur datenschutzkonformen Nutzung von „Google Analytics“. In Bayern kursierten diese Schreiben vor einigen Wochen, aktuell ist Nordrhein-Westfalen dran.

Am wichtigsten ist jedoch der Image-Vorteil: Unternehmen können den Datenschutz, zu dem sie ohnehin verpflichtet sind, als Wettbewerbsfaktor nutzen. Weisen Sie schon am Telefon auf Ihren sorgfältigen Umgang mit Kundendaten im CRM-System hin. Das schafft Vertrauen – besonders im Bereich des E-Commerce ein wichtiger Werbefaktor. So generieren Sie im besten Fall Aufträge.

Einige Dienstleister haben sich auf Datenschutz-Zertifizierungen spezialisiert. Taugen solche Siegel etwas?

Jutta Löwe: Das sollten Sie im Einzelfall prüfen, denn sie sind meistens teuer. Die Bundesregierung plant eine „Stiftung Datenschutz“, die den Umgang von Firmen mit Kundendaten öffentlichkeitswirksam bewerten soll. Eine wenig erstrebenswerte Auszeichnung ist übrigens der „Big-Brother-Award“. Ihn erhalten Unternehmen, die besonders schäbig mit Daten umgehen.

Jutta Löwe
Jutta Löwe ist seit 2004 Rechtsanwältin mit den Schwerpunkten IT-, Datenschutz- und Wettbewerbsrecht. Seit 2011 ist sie TÜV®-geprüfte Datenschutzbeauftragte. Sie arbeitete unter anderem als Justiziarin in einem Fachverlag für digitale Medien.