Was macht ein CRM DSGVO-konform? Leitfaden für EU-Organisationen

Ein DSGVO-konformes CRM ist ein System zur Verwaltung von Kundenbeziehungen, das die Datenschutzanforderungen der Datenschutz-Grundverordnung erfüllt. Für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, gilt dies unabhängig vom Standort des Unternehmens als gesetzliche Pflicht. Bei Verstößen drohen Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes, und die Behörden gehen zunehmend auch gegen mittelständische Unternehmen vor, nicht nur gegen Großkonzerne.

In Ihrem CRM liegen einige der sensibelsten Daten, die Ihre Organisation verwaltet: Namen, E-Mail-Adressen, Telefonnummern, Berufsbezeichnungen und vollständige Interaktionsverläufe. Unter der DSGVO gilt das alles als personenbezogene Daten, also unterliegt jeder Datensatz in Ihrer Pipeline den Regeln zur Erhebung, Speicherung, Verarbeitung und Löschung.

Was die DSGVO von einem CRM verlangt

Die DSGVO stellt vier Anforderungen, die unmittelbar regeln, wie Ihr CRM personenbezogene Daten erhebt, speichert und verarbeitet: eine dokumentierte Rechtsgrundlage für jeden Kontakt, Werkzeuge zur Wahrung von Betroffenenrechten, festgelegte Aufbewahrungsfristen und die Möglichkeit, eine Datenpanne innerhalb von 72 Stunden einzugrenzen und zu melden.

1. Rechtsgrundlage für die Speicherung von Kontaktdaten

Für jede personenbezogene Information, die Ihr CRM enthält, müssen Sie eine dokumentierte Rechtsgrundlage für die Verarbeitung vorweisen können. Für die meisten Vertriebsteams sind die maßgeblichen Grundlagen das berechtigte Interesse (bei der B2B-Akquise), die Einwilligung (beim Direktmarketing gegenüber Privatpersonen) oder die Vertragserfüllung (bei aktiven Kunden). Ohne eine je Kontakt erfasste Grundlage fehlt Ihren CRM-Daten jede rechtliche Basis, unabhängig davon, wie sicher sie gespeichert sind.

2. Betroffenenrechte: Auskunft, Löschung und Datenübertragbarkeit

Jede Person, deren Daten Ihr CRM enthält, kann nach Artikel 15, 17 und 20 der DSGVO einen Auskunftsantrag (Subject Access Request, SAR), einen Löschantrag oder einen Antrag auf Datenübertragbarkeit stellen. Ihr CRM muss in der Lage sein, alle einer bestimmten Person zugeordneten Daten zu finden, in einem maschinenlesbaren Format zu exportieren und vollständig zu löschen, einschließlich aus Sicherungskopien. Wenn das ohne manuelle Umgehungen nicht möglich ist, tragen Sie mit jedem neu angelegten Kontaktdatensatz ein Compliance-Risiko.

3. Datensparsamkeit und Aufbewahrungsfristen

Die DSGVO verlangt, dass Sie nur die personenbezogenen Daten speichern, die für den angegebenen Zweck erforderlich sind, und diese löschen, sobald der Zweck entfallen ist. Veraltete Kontakte, d. h. Leads, die sich nicht mehr gemeldet haben und für die keine Rechtsgrundlage mehr besteht, müssen nach einem festgelegten Zeitplan aus Ihrer Pipeline entfernt werden, anstatt unbegrenzt gespeichert zu bleiben.

4. Pflicht zur Meldung von Datenpannen

Werden personenbezogene Daten offengelegt, verlangt die DSGVO, dass Sie Ihre Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Artikel 33) und in bestimmten Fällen auch die betroffenen Personen direkt informieren. Ein CRM mit Datenzugriffsprotokollen und kontrollierter Speicherung erleichtert es erheblich, eine Datenpanne präzise einzugrenzen und zu melden.

CRM-Funktionen, die die DSGVO-Konformität unterstützen

Fünf Funktionen entscheiden darüber, ob ein CRM die Anforderungen der DSGVO operativ erfüllen kann, und sie sind bei jeder Anbieterprüfung genau unter die Lupe zu nehmen.

1. Rollenbasierte Zugriffskontrolle

Rollenbasierte Zugriffskontrolle schränkt ein, welche Teammitglieder Kontaktdatensätze einsehen, bearbeiten, exportieren oder löschen dürfen. Das entspricht dem Grundsatz der Zugriffsbeschränkung nach Artikel 5 Absatz 1 Buchstabe f der DSGVO. Ohne diese Funktion kann jeder Nutzer auf die gesamte Kontaktdatenbank zugreifen, was es schwer macht, einer Aufsichtsbehörde gegenüber nachzuweisen, dass personenbezogene Daten verhältnismäßig behandelt werden.

2. Auditprotokolle und Aktivitätsverfolgung

Ein Auditprotokoll zeichnet auf, wer wann auf einen Datensatz zugegriffen, ihn geändert oder exportiert hat. Fragt eine Behörde, ob auf personenbezogene Daten ohne Berechtigung zugegriffen wurde, oder bestreitet eine Person, dass ihre Daten gelöscht wurden, sind Auditprotokolle der Nachweis, auf den Sie verweisen können.

3. Werkzeuge für Datenexport und Datenlöschung

Ihr CRM muss alle einem bestimmten Kontakt zugeordneten Daten in einem maschinenlesbaren Format exportieren und vollständig löschen können, ohne verwaiste Datensätze in verknüpften Tabellen zu hinterlassen. Wenn für eine Löschung ein Support-Ticket beim Anbieter nötig ist, lässt sich die gesetzliche 30-Tages-Frist für Auskunftsanfragen (SAR) nicht einhalten, sobald Ihre Kontaktdatenbank wächst.

4. Datenspeicherort und Serverstandort

Die DSGVO schränkt die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ein, es sei denn, es gelten besondere Schutzmaßnahmen (Kapitel V). Prüfen Sie, wo Ihr Anbieter die Daten speichert und ob ein unterzeichneter Auftragsverarbeitungsvertrag (AVV) vorliegt, der grenzüberschreitende Übermittlungen abdeckt.

5. Dokumentierter SAR-Prozess und Datenschutzerklärung

Ein Anbieter, der einen dokumentierten Prozess für Auskunftsanfragen (SAR) betreibt, alle Datenspeicherorte einschließlich Backups erfasst und eine vollständige Datenschutzerklärung veröffentlicht, liefert Ihnen belegbare Nachweise für ein behördliches Audit. Fordern Sie vor der Entscheidung für eine Plattform die Datenschutzerklärung an und prüfen Sie, ob darin Betroffenenrechte, Aufbewahrungsfristen und Rechtsgrundlagen für die Verarbeitung geregelt sind.

So bleiben Sie DSGVO-konform beim Einsatz eines CRM

Die Wahl eines DSGVO-konformen CRM ist der erste Schritt. Dauerhaft konform zu bleiben erfordert operative Abläufe, die Ihr Team konsequent einhält.

1. Erfassen Sie, welche personenbezogenen Daten Ihr CRM speichert: Listen Sie jedes Feld auf, bestimmen Sie die Kategorie der personenbezogenen Daten und dokumentieren Sie den Zweck der Erhebung.

2. Erfassen Sie für jede Datenkategorie eine Rechtsgrundlage: Ordnen Sie berechtigtes Interesse, Einwilligung oder Vertragserfüllung zu und tragen Sie dies in Ihr Verarbeitungsverzeichnis ein.

3. Legen Sie Aufbewahrungsfristen fest und planen Sie vierteljährliche Überprüfungen: Definieren Sie, wie lange jeder Kontakttyp gespeichert wird, und weisen Sie eine Person zu, die Datensätze nach Ablauf der Frist entfernt.

4. Schulen Sie Ihr Team zu Auskunftsanfragen (SAR): Alle Personen, die mit CRM-Daten arbeiten, müssen wissen, wie sie die Daten eines Kontakts innerhalb von 30 Tagen finden, exportieren und löschen.

5. Fordern Sie einen unterzeichneten AVV von Ihrem CRM-Anbieter an: Prüfen Sie diesen gemeinsam mit Ihrem Rechtsteam, bevor Sie das System in Betrieb nehmen, und stellen Sie sicher, dass er Schutzmaßnahmen für grenzüberschreitende Datenübermittlungen enthält, falls Ihr Anbieter Daten außerhalb des EWR speichert.

6. Bestätigen Sie, wo Ihr Anbieter EU-Daten speichert: Server innerhalb der EU machen zusätzliche Schutzmaßnahmen für grenzüberschreitende Übermittlungen nach Kapitel V überflüssig.

CRM as a Service: DSGVO-Konformität auf einen Blick

CRM as a Service speichert EU-Kundendaten auf sicheren Servern in Deutschland, betreibt einen dokumentierten Prozess für Auskunftsanfragen (SAR) und verfolgt alle Datenspeicherorte einschließlich Backups.

Erfahren Sie, wie CRM as a Service für die DSGVO entwickelt wurde.

Bei TeamsWork ist DSGVO-Konformität ein fester Bestandteil von CRM as a Service. EU-basierte Datenspeicherung, ein dokumentierter SAR-Prozess und eine veröffentlichte Datenschutzerklärung stehen Ihrem Compliance-Team zur Überprüfung bereit. Wir nehmen unsere Verantwortung für den Umgang mit den personenbezogenen Daten Ihrer Organisation ernst und handeln vollständig im Einklang mit der Verordnung. Testen Sie CRM as a Service 30 Tage lang kostenlos.

TeamsWork ist Mitglied des Microsoft Partner Network und spezialisiert auf die Entwicklung von Produktivitäts-Apps, die die Leistungsfähigkeit der Microsoft Teams-Plattform und ihres dynamischen Ökosystems nutzen. Ihre SaaS-Produkte wie CRM as a Service, Ticketing as a Service und Checklist as a Service werden von Nutzern hochgeschätzt. Sie überzeugen durch eine benutzerfreundliche Oberfläche, nahtlose Integration in Microsoft Teams und erschwingliche Preismodelle. TeamsWork legt Wert darauf, innovative Softwarelösungen zu entwickeln, die die Produktivität von Unternehmen steigern und für jedes Budget erschwinglich sind.