Wie CRM-Systeme die DSGVO umsetzen
Hohe Anforderungen an CRM-Systeme
Die Angst vor möglichen Sanktionen bei Datenschutzverletzung motiviert viele Unternehmen, sich weiterhin ausführlich mit der Datenschutz-Grundverordnung zu befassen. Aber auch die Kunden und deren Erwartungen an den Datenschutz eines Unternehmens spielen eine Rolle.
Der Schutz von Kundendaten erfordert, die Betroffenenrechte dauerhaft umzusetzen. Dazu gehören
- das Recht auf Vergessenwerden,
- das Recht auf Berichtigung,
- das Recht auf Einschränkung der Verarbeitung,
- das Recht auf Datenübertragbarkeit,
- die Einhaltung von Transparenz und Informationspflichten,
- Datenminimierung,
- Zweckbindung,
- und nicht zuletzt: die DSGVO-konforme Umsetzung von Einwilligung und anderen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten.
Die Unternehmen sind angehalten, die Anforderungen der DSGVO in allen entsprechenden Verfahren zu realisieren. Im Fall von Kundendaten insbesondere im genutzten CRM-System (Customer-Relationship-Management-System).
Dabei sind aber nicht nur die Anwender gefordert, sondern auch die Anbieter solcher Lösungen und Tools (Artikel 25 DSGVO).
Wichtige Datenschutz-Funktionen für eine CRM-Lösung
CRM-Tools können und müssen bei der Umsetzung der DSGVO unterstützen. Möglich wird dies durch Funktionen wie
- Einholung und Dokumentation der rechtskonformen Einwilligung
- Dokumentation der Datenstrukturen für personenbezogene Daten, der Datenherkunft, der Einwilligungserklärungen oder anderer Rechtsgrundlagen und der Verarbeitungszwecke
- Dokumentation von Anfragen betroffener Personen, wie beispielsweise Auskunft, Löschwünsche
- Funktionen für die Einschränkung der Verwendung, Löschung und Portierung der Daten
- Umsetzung von Lösch- und Anonymisierungsfristen mit Wiedervorlage
Was verschiedene CRM-Lösungen anbieten
Die folgenden Beispiele zeigen, was Hersteller von CRM-Lösungen gegenwärtig anbieten:
- Die Brainformatik GmbH hat ein Add-on für das CRM+ System auf den Markt gebracht, das die Umsetzung der DSGVO erleichtern soll.
Aktivieren Nutzer das Add-on „DS-GVO“, legt das Programm neue Pflichtfelder mit umfangreichen Dokumentationspflichten in allen personenbezogenen Modulen wie Kontakte, Leads oder Partner an.
Anhand von Auswahllisten fragt die Software Überprüfungen wie „Zweck der Verarbeitung“ und weitere wichtige Informationen ab. Werden die Pflichtfelder nicht ausgefüllt, ist es nicht möglich, einen personenbezogenen Datensatz abzuschließen.
Ebenfalls spielen die Betroffenenrechte eine Rolle. So kann laut Anbieter ein kompletter Auszug der gespeicherten Daten einer Person als PDF-Datei erfolgen, um schnelle Auskünfte gegenüber Anspruchsberechtigten zu geben.
- Auch Step Ahead hat seine Unternehmenslösung mit weiteren Funktionen ausgestattet.
Es ist möglich, in der Einwilligungsverwaltung in den Oberflächen „Kontakt, Kunden und Mitarbeiter“ zu vermerken, zu welchem Zweck die Daten verwendet werden dürfen, so der Anbieter.
Zudem gibt es Felder mit Sperr- und Anonymisierungsfunktionen. Weiterhin besteht die Möglichkeit, im Falle einer Anfrage nach gespeicherten personenbezogenen Daten den neuen Report „DSGVO Datenauskunft“ unmittelbar als Auskunftsbeleg zu erstellen.
- In der cobra CRM Version 2018 lassen sich personenbezogene Daten kennzeichnen und konfigurieren. Nutzer haben die Möglichkeit, entsprechende Quellenangaben oder Verwendungszwecke personenbezogen zuzuordnen und ggf. zur Erfüllung von Nachweispflichten aufzurufen, so der Anbieter.
Macht eine betroffene Person von ihrem Recht auf Auskunft Gebrauch, gibt die Software die jeweiligen personenbezogenen Daten auf Knopfdruck aus.
Zur Löschung vorgesehene Datensätze lassen sich sofort oder anhand des integrierten Löschplans zeitlich versetzt löschen, zum Beispiel nachdem der Verwendungszweck erloschen ist. Nach der Löschung ist es möglich, Sperrvermerke zu setzen und Adressen auf eine Sperrliste zu verschieben, um einen wiederholten Import der Adresse zu verhindern.
- Der Softwarehersteller combit hat eine DSGVO-Lösung für die CRM-Software combit Relationship Manager entwickelt, die laut Anbieter den gesamten Lebenszyklus von personenbezogenen Daten steuert.
Mit combit CRM protokollieren Unternehmer, wie personenbezogene Daten in ihren Besitz oder in ihr CRM-System gelangt sind und für welchen Zweck sie erhoben wurden. Auch Einverständniserklärungen, zum Beispiel für den Erhalt eines Newsletters, lassen sich dokumentieren. Somit kommen die Verantwortichen der Dokumentationspflicht laut DSGVO nach.
Zudem bietet die combit CRM Software eine individuell einstellbare Löschfunktion. Einmal eingerichtet, filtern Anwender damit die Datensätze heraus, deren Frist zur Aufbewahrung überschritten ist, prüfen sie und löschen sie aus der Datenbank. Ein spezielles DSGVO-Center sorgt für Übersicht bei konkurrierenden Löschplänen mit unterschiedlichen Fristen.
Im combit CRM-System steht eine Vorlage zur Umsetzung des Auskunftsrechts bereit. Mit einem Klick lässt sich damit ein Word-Dokument erstellen, das alle zum Kontakt gespeicherten Informationen enthält, so der Anbieter.
- Die neuen Features von SugarCRM umfassen die Einführung des Data Privacy Managers (DPM).
SugarCRM hat eine neue Rolle hinzugefügt, die Anfragen prüfen und Datensätze zur Löschung markieren kann, das „Personal Information Log“ (PI Log), das die Quellen von Kundendaten-Eingaben und Änderungen festhält, die Markierung von Kunden, die der Datenverarbeitung widersprechen (wird als ein Filter für Kampagnen und Reports verwendet), die Verwaltung von Einwilligungen sowie die Einschränkung der Datenerhebung auf nötige Informationen.
CRM-Lösungen aus der Cloud: An Auftragsverarbeitung denken
Achtung: Bei CRM-Lösungen in Form von Cloud-Services haben Anbieter und Nutzer die Verträge auf die Anforderungen an eine Auftragsverarbeitung nach DSGVO (Artikel 28 DSGVO) anzupassen.
Insgesamt zeigt sich, dass der Markt für CRM-Lösungen reagiert und eine Reihe von neuen Datenschutz-Funktionen bei verschiedenen Lösungen eingeführt hat. Damit kommen Anwender-Uunternehmen nicht umhin, diese auch zu nutzen.