CRM Systeme unter der Datenschutzgrundverordnung

Customer Relationship Management (CRM) Systemen dienen dazu Kundendaten eines Unternehmens zu verarbeiten, zu analysieren und für Werbemaßnahmen zu verwenden. Dadurch können Kunden besser an das Unternehmen gebunden und in ihrem Wert gesteigert werden. Die DSGVO stellt CRM Systeme jedoch vor eine neue Herausforderung. Um Strafzahlungen zu entgehen, müssen Unternehmen nun nachweisen können, was mit Kundendaten geschieht. Auch die Frage danach wer die Verantwortung für die ermittelten personenbezogenen Daten (siehe Artikel personenbezogene Daten) trägt, muss berücksichtigt werden. Erhebt ein Unternehmen die Daten selbst, liegt die Verwaltung dieser Daten auch in dessen Aufgabenbereich. Die folgenden sieben Grundsätze der DSGVO müssen bei der Verwaltung der personenbezogenen Daten eingehalten werden.

Da CRM System personenbezogene Daten verarbeiten, gelten die rechtlichen Grundlagen zur Verarbeitung personenbezogener Daten laut DSGVO.

Kunden, deren Daten in einer CRM Datenbank abgelegt wurden, haben dank der rechtlichen Grundlagen der DSGVO das Recht zu erfahren, wofür ihre Daten konkret gesammelt werden und was mit ihnen geschieht. Ihnen steht also laut DSGVO das Ankunftsrecht zu. Weiterhin können sich die Kontakte auf das “Recht auf Vergessenwerden” berufen, wodurch Kunden die personenbezogene Daten löschen lassen können, welche nicht weiter benötigt werden. Durch das “Recht auf Einschränkung der Verarbeitung” ist es Kunden möglich, die Verarbeitung auf Grundlage bestimmter Aspekte (Richtigkeit der Daten wird in Frage gestellt, Verarbeitung ist unrechtmäßig, etc.) zu begrenzen. Ändern sich die Daten eines Kunden, kann dieser über das Berichtigungsrecht die Korrektur seiner Daten verlangen. Zusätzlich ist der Übertrag der personenbezogenen Daten durch das Übertragsrecht möglich. Zwei weitere essentielle Rechte der Kunden stellen das Widersrpuchsrecht, welches den Widerruf der vorherigen Einwilligung zur Datenverarbeitung erlaubt, und das Informationsrecht, welches den Kunden darüber informiert, wer für die Verarbeitung seiner Daten verantwortlich ist.

Man unterscheidet hier zwischen “Privacy by Default” und “Privacy by Design”. Unter “Privacy by Design” wird der Datenschutz durch Technikgestaltung verstanden. Der Gedanke dahinter ist die bestmögliche Einhaltung des Datenschutzes über die direkte Integration in Vorgänge der Datenverarbeitung. “Privacy by Default” hingegen regelt die Einhaltung des Datenschutzes über datenschutzfreundliche Voreinstellungen. Der Nutzer kann diese Voreinstellungen verändern und anpassen.

Mehr dazu erfahren Sie in unserem Artikel „Privacy by Design & Privacy by Default?“.

Nutzt ein Unternehmen ein CRM System aus der Cloud, muss sichergestellt werden, dass der Cloud Service Provider die Datenschutzanforderungen der DSGVO erfüllt. Anbieter und Nutzer müssen hierfür die Verträge gemäß Artikel 28 der DSGVO anpassen. Dieser regelt die Durchführung geeigneter technischer und organisatorischer Maßnahmen so, “dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet”.

Da CRM Systeme Kundendaten und damit personenbezogene Daten verarbeiten, gelten für diese auch die Grundsätze nach Artikel 6 DSGVO. Demnach müssen für die Erhebung und Speicherung der Kundendaten Einwilligungen vorliegen und dürfen nur unter einem bestimmten Zweck verarbeitet werden. Es gelten die Rechte nach Artikel 13-21 DSGVO auf die der Kunde hinsichtlich der Verarbeitung seiner Daten zurückgreifen kann.

• Privacy by Design & Privacy by Default?
• 7 Kriterien einer DSGVO-konformen Einwilligung
• Kriterien zur Wahl einer CMP
• So gestalten Sie die Customer Journey DSGVO-konform
• So einfach wechseln Sie den CMP-Anbieter

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.