Welche Datenschutzbestimmungen muss eine externe CRM-Lösung erfüllen?

In vielen Unternehmen gehören CRM-Systeme zur Standard-Software für die Kundenbetreuung. Sie ermöglichen, dass alle im Unternehmen auf dieselben Kunden-Daten zurückgreifen können. Diese stehen allerdings unter dem strengen Schutz der DSGVO. Daher ist bei der Auswahl des geeigneten Anbieters höchste Vorsicht geboten, auch die Herkunft und der Firmensitz des Anbieters spielen eine Rolle.

Fürs Vertriebsmeeting werden die Verkaufszahlen des vergangenen Quartals analysiert. Der Marketing-Chef verschafft sich vor dem nächsten Kunden-Newsletter mit ein paar Klicks einen Überblick darüber, welche Kundengruppe besonders empfänglich für die letzte Marketingaktion war. Und die Service-Mitarbeiterin macht sich während eines Reklamationsanrufs ein Bild vom Kundenkonto des Anrufers und stellt fest, dass hier noch etliche Rechnungen offen sind: Daten von Kunden in Echtzeit und großer Tiefe machen jeden Job im Unternehmen leichter. Externe, cloudbasierte CRM- und Kundenverwaltungs-Lösungen gehören daher in vielen Betrieben längst zum Software-Standard. Allerdings sind Kundendaten aus Datenschutz-Sicht mit größter Vorsicht zu behandeln. Hierbei handelt es sich nämlich oft um personenbezogene Daten, die nur zu definierten Zwecken verarbeitet werden dürfen und besonderen Schutz beim Speichern genießen.

CRM-Anbieter müssen sorgfältig geprüft werden

Software-Unternehmen, die CRM-Lösungen anbieten, ihren Sitz aber außerhalb der EU haben wie beispielsweise der Branchenprimus Salesforce, müssen unter Datenschutzerwägungen einer sorgfältigen Prüfung unterzogen werden. Deren Server stehen nämlich teilweise in den USA, was grundsätzliche Sicherheitsbedenken rechtfertigt. Bleiben wir beim Beispiel Salesforce: der weltweite Anbieter hat seinen Kunden inzwischen versichert, dass die Daten beispielsweise europäischer Kunden ausschließlich auf Servern mit Standorten in der EU gespeichert und verarbeitet werden. Vor der Entscheidung für einen Anbieter sollte ein Fragenkatalog definiert werden, um die relevanten Sicherheitsaspekte zu klären. Folgende Stichworte helfen bei der Erstellung eines solchen Skripts:

Wichtige Themen einer Dienstleister-Überprüfung:

• Wo stehen die Server, auf denen Kundendaten gespeichert werden sollen? Werden die Daten außerhalb der EU gespeichert, muss der Anbieter sogenannte Standardvertragsklauseln nachweisen, die sicherstellen, dass auch am Standort des Servers die Bestimmungen der DSGVO eingehalten werden. Standardvertragsklauseln sollte der Anbieter selbstständig vorlegen können.
• Meistens handelt es sich bei den Speicher-Lösungen um Cloud-Anwendungen. Cloud-Computing: Zu diesem Thema hat das Bundesamts für Sicherheit in der Informationstechnologie (BSI) einen Leitfaden verfasst, der eine gute Grundlage für den eigenen Anforderungskatalog darstellt. Dieser leitfaden wird regelmäßig aktualisiert und liefert wichtige Anhaltspunkte.
• Zertifikate werden immer marktüblicher. Security by Design: Seriöse Anbieter können durch Zertifikate nachweisen, dass sie nach dem Prinzip „Security by Design“ arbeiten. Das bedeutet, dass bereits bei der Entwicklung von Softwareprodukten alle sicherheitsrelevanten Elemente einer Software-Lösung den neusten Sicherheitsanforderungen entsprechen. Nachweise darüber sollte der Anbieter stets aktualisiert vorweisen können.
• Aktives Ansprechen gefordert: Anbieter, die von sich aus vorschlagen, einen Datenschutzbeauftragten vor, während und nach der Installation einer CRM-Lösung hinzuzuziehen, zeigen, dass sie das Thema Datenschutz ernstnehmen und plausible und praktikable Lösungen vorschlagen.
• Transparenz ohne wenn und aber: Die DSGVO definiert für die Bearbeitung von Kundendaten klare Standards. Der Anbieter sollte alle relevanten Bestimmungen in seiner Lösung garantieren können und plausibel machen, wie er die Bestimmungen einhält:
  • Löschungskonzept
  • Datensparsamkeit: Grundsätzlich gilt, dass nur gespeichert wird, was dem eigentlichen Zweck dient
  • Rechtmäßigkeit: klare Einverständnis-Regelung
  • Datensicherheit durch aktuelle Verschlüsselungs-Technik
  • Protokollierung: Alle Prozesse werden dauerhaft dokumentiert
  • Einspruchs-/Widerspruchsmöglichkeit

Fazit: Sowohl bei der Wahl eines Anbieters wie auch bei regelmäßigen Kontrollen muss der Datenschutz höchste Priorität genießen. Seriöse CRM-Software-Anbieter sprechen die Themen Datenschutz und DSGVO bewusst an und bieten in der Regel auch gesonderte Schulungen der Mitarbeiter dazu an. Kundendaten sind ein extrem wertvolles Gut jedes Unternehmens und verdienen nicht nur einen sorgsamen Umgang, sondern ein IT-Konzept, damit diese personenbezogenen Daten mindestens so effektiv geschützt werden, wie wichtige Firmeninterna. Geeignete Anbieter gehen von sich aus auf das Thema ein.