Autor: Tobias Mirwald, Geschäftsführer ADITO Software GmbH
Die neue EU-Datenschutzgrundverordnung, kurz EU-DSGVO, für mehr Verbraucherschutz gilt ab dem 25. Mai. Unternehmen sollten sich jetzt mit den Auswirkungen auf ihre CRM-Strategie befassen und sich entsprechend auf die neue Gesetzgebung vorbereiten. Was müssen CRM-Verantwortliche in Unternehmen in punkto EU-DSGVO jetzt beachten?
- Holen Sie die Zustimmung der Nutzer ein
Die Einwilligung der Betroffenen ist ab Mai für das Verarbeiten von personenbezogenen Daten notwendig (DSGVO Art. 5-11). Unternehmen sollten diese künftig elektronisch, idealerweise über einen Double-Opt-in einholen. So können sie auch eine automatisierte Protokollierung im CRM leicht umsetzen. Auch in Fällen, in denen ein elektronisches Einverständnis nicht möglich oder sinnvoll ist – etwa bei Kontakt über einen Messebesuch – sollten Sie die Herkunft der Einwilligung und den Grund dokumentieren. In ADITO können dazu alle Datensätze bei Bedarf über Attribute mit einem Kennzeichen versehen werden. So bilden Sie die rechtliche Grundlage zur Verarbeitung der Daten effizient ab (z. B. Vertrag, Einwilligung, Unternehmens-Interesse).
- Machen Sie den Umgang mit Kundendaten transparent
Die Kundendaten in den Unternehmen liegen in der Regel in den CRM- und/oder ERP-Systemen. Doch was geschieht mit diesen Daten und wie werden sie im Einzelnen genutzt? Welche Daten werden in welchem System für was verwendet? Das müssen Unternehmen grundsätzlich dokumentieren. Bei der Projektimplementierung sollten Unternehmen außerdem darauf achten, dass sie hier die Datenschutzangaben einhalten. Um keine Überraschungen zu erleben, beziehen Sie den Datenschutzbeauftratgen Ihres Unternehmens frühzeitig in die Abstimmungen ein. Grundsätzlich gilt es hier eine gesunde Abwägung zwischen dem Datenschutz und dem Unternehmensinteresse zu finden.
- Richten Sie ein Rollen- und Berechtigungskonzept im CRM ein
Um den Anforderungen der EU-DSGVO gerecht zu werden, sollte die CRM-Lösung nicht nur ein fixes Rollen- und Berechtigungskonzept (DS-GVO Art. 25, 32) für das Zugreifen, Löschen und Exportieren von Daten bieten. Dieses sollte auch an neue Anforderungen anpassbar sein. Der Vorteil: Welcher Anwender auf welche Daten zugreifen darf, lässt sich über das Rechtemanagement genau definieren. Nur so können Sie kontrollieren, wohin Ihre Daten gehen.
Im Sinne der Datenminimierung (DSGVO Art. 5, Art. 25, Art 32) können Berechtigungen und Zugriffsrechte bei ADITO für unterschiedliche Rollen bis auf Feldebene vergeben werden. Das heißt Unternehmen können detailliert festlegen, wer aus welchem Team etwa aus Vertrieb, Marketing oder Controlling, welche Informationen über einen Kunden einsehen kann.
- Beachten Sie Privacy by Design und Privacy by Default
Die EU-DSGVO verlangt von Software-Anbietern, Privacy-by-Design- und Privacy-by-Default-Prinzipien anzuwenden (DSGVO Art. 5, Art. 32). Privacy by Design bedeutet Datenschutz durch Technikgestaltung. Das heißt: Die Technik, die bei Datenverarbeitungsprozessen zum Einsatz kommt, soll so gestaltet sein, dass sie bestimmte Datenverarbeitungen gar nicht erlaubt. Privacy by Default steht für datenschutzfreundliche Voreinstellungen. ADITO empfiehlt auch hier den Datenschutzbeauftragten früh mit in den Prozess einzubeziehen.
Auch Regelungen zur Vergabe von Passwörtern und zur Verschlüsselung von Daten werden in der ab Mai gültigen EU-DSGVO erwähnt (DSGVO Art. 32). In der Realität sind diese Angaben zur Sicherheit der Verarbeitung Standard und werden von den Software-Anbietern längst umgesetzt.
- Stellen Sie Daten bereit und halten Fristen ein
Daten, die Unternehmen von Nutzern erhalten, müssen sie diesen zukünftig in strukturierter und maschinenlesbarer Form wieder zukommen lassen (DSGVO Art 12 – 23). Fordern Verbraucher bei Ihrem Unternehmen Informationen zu den über sie gespeicherten Daten an, müssen Sie diese sofort, aber auf jeden Fall innerhalb eines Monats bereitstellen. Verlängert sich diese Frist, müssen Sie künftig den Betroffenen darüber sowie über die Gründe informieren. Wer sich nicht an diese Auflagen hält, dem drohen hohe Bußgelder. So können Unternehmen mit Strafen von bis zu vier Prozent ihres Jahresumsatzes belangt werden.
Wie dieser Austausch in der Praxis aussehen könnte? Aktuell ist noch kein einheitliches Format definiert – auf jeden Fall hilft Ihnen hier ein flexibles System, das Sie an entsprechende Änderungen beliebig anpassen können. Wichtig ist, dass Sie auch durch Customizing individuell hinzugefügte Informationen flexibel exportieren können.
Auch wenn die Zahl der dringenden Appelle steigt: Panikmache ist bei der EU-DSGVO nicht angebracht. Nicht zuletzt, weil diese viele Öffnungsklauseln enthält, über die nach wie vor nationales Recht umgesetzt werden kann. Derzeit ist noch unklar, wie der deutsche Gesetzgeber dies im Einzelfall gestalten wird. Auch wie zwischen dem Interesse an der Datenverarbeitung in einem CRM und dem Interesse des Kunden am Datenschutz abzuwägen ist, ist noch offen.
Dennoch tickt die Uhr weiter. Wer sich also bis zum 25. Mai ohne Stress und Hektik auf die EU-DSGVO vorbereiten will, sollte das Thema jetzt anpacken und alle nötigen Vorbereitungen treffen.
Checkliste ADITO CRM-Datenschutz nach EU-DSGVO – hier downloaden
– – – –
Bildquellen:
- Tobias Mirwald (Bild: ADITO)
- Schlösser (Bild: CCO-Lizenz / ADITO)
Auch interessant: CAS: EU-DSGVO – CRM unterstützt bei der Umsetzung