Am 25. Mai 2018 wird die Datenschutzgrundverordnung (EU-DSGVO) europaweit wirksam. Um keine hohe Strafe zu riskieren, müssen Unternehmen nachweisen können, was mit erhobenen Kundendaten geschieht. Michael Märtin, Geschäftsführer der atlantis dx GmbH, erklärt, wie Unternehmen auf der sicheren Seite sind.
Viele kleine und mittlere Unternehmen sind verunsichert, ob ihr Datenschutzmanagement den Anforderungen genügt. Bei der Vielzahl an Prozessen und Strukturen ist es schwierig, den Überblick zu behalten. Hilfreich ist, Best-Practices bei der Umsetzung des eigenen Datenschutzkonzepts zu befolgen. Beginnen Sie dort, wo es den größten Handlungsbedarf gibt: Das CRM-System ist Dreh- und Angelpunkt aller Kundendaten, die die DSGVO vor Missbrauch schützen soll. Jeder Kunde hat das Recht zu wissen, welche Daten Sie über ihn sammeln und darf über den Verwendungszweck entscheiden.
Lückenlose Dokumentation aller Vorgänge
Um die rechtskonforme Datenverarbeitung nachzuweisen, müssen Sie jeden Prozess mit personenbezogenen Informationen dokumentieren und ein Verzeichnis der Verarbeitungstätigkeiten führen. Ihr CRM-System sollte geeignete Möglichkeiten zur Dokumentation und Hinterlegung dieser Informationen bieten. Um weiterführende Details, wie etwa das Aufnahmedatum des Datensatzes ins CRM-System und seine Herkunft zu speichern, können neue Prozesse und veränderte Handlungsanweisungen erforderlich sein. Durch die Dokumentationspflicht entstehen möglicherweise neue Workflows, die ergänzende CRM-Funktionen brauchen. Von Vorteil sind flexible und agil entwickelbare CRM-Lösungen, die eine Datenerfassung und die Abbildung der Prozesse unterstützen sowie Änderungen an Daten automatisch protokollieren.
Informationspflicht und Einwilligung
Sie haben die Pflicht, Ihre Kunden unmittelbar über die Erhebung personenbezogener Daten zu informieren. Da sich die DSGVO auf die Rechte natürlicher Personen bezieht, sind alle Geschäftsverkehrsdaten im B2B-Umfeld betroffen, was vor allem die Datenerfassung bei der Neukundenaquise erschwert. Ihr CRM-System sollte bereits bei der Leadgenerierung über Art, Umfang und Zweck der Datenverarbeitung informieren. Zur Speicherung und Verarbeitung der Daten müssen Sie eine ausdrückliche Einwilligung nachweisen, zum Beispiel durch Double-Opt-In-Verfahren. Mit einem Archivierungsprozess im CRM-System können Sie die Einwilligungen zentral verwalten und so die Nachweispflicht erfüllen. Sind Freigabe- oder Verbotsvermerke bei unterschiedlichen Kontaktkanälen wie E-Mail, Telefon oder Rundschreiben hinterlegbar, werden nur Kunden mit erteilter Einwilligung kontaktiert.
Auskunftspflicht, Korrektur und Löschung
Ihre Kunden dürfen sich erkundigen, ob und welche personenbezogenen Daten Sie verarbeiten. Dann müssen Sie über Datenerheber, Verarbeitungszweck, Erhebungsort und Speicherungsdauer Auskunft erteilen. Eine Funktion, mit der Sie alle Informationen zu einem Kunden zusammenstellen und als PDF generieren können, ist sehr hilfreich. Weiterhin können Ihre Kunden die Einwilligung widerrufen, eine Korrektur oder Löschung ihrer Daten verlangen und die Datenübertragung an ein anderes Unternehmen einfordern. Darum muss Ihr CRM-System ein Rechte- und Rollenkonzept für den Zugriff, die Änderung und das Löschen von Daten bieten. Auch hier ist ein automatisch erzeugtes Änderungsprotokoll sinnvoll.
CRM-Software aus der Cloud
Nutzt Ihr Unternehmen CRM-Software aus der Cloud, müssen Sie das Datenschutzniveau Ihres Cloud-Service-Providers überprüfen. Als sicherer gilt es, einen europäischen Cloud-Anbieter mit Rechenzentrum in der EU zu wählen.
Die DSGVO stellt hohe Anforderungen an Ihr CRM-System. Überprüfen Sie, welche Vorgaben es bereits erfüllt und wo es anzupassen ist. Ein datenschutzkonformes CRM-System ist keinesfalls gleichzusetzen mit einem datenschutzkonformen Unternehmen. Die Anforderungen sind hoch individuell, sodass es keine Standard-Lösungen gibt. Es braucht eine sorgfältige Analyse aller Geschäftsprozesse und Systeme, um echte Datensicherheit garantieren zu können. Nutzen Sie die DSGVO als Chance: Mit einer agilen, innovativen CRM-Software kann es gelingen, auch die DSGVO-Anforderungen anderer IT-Systeme zentral zu konsolidieren. Das kann zu einem echten Wettbewerbsvorteil werden.