CRM und DSGVO: Was Sie wissen müssen

7 Minuten Lesezeit

CRM und DSGVO: Was Sie wissen müssen

Was bedeutet die DSGVO im Zusammenhang mit einem CRM-System und wie sorgt CentralStationCRM für eine reibungslose Umsetzung? Lesen Sie hier, wie wir uns bei CentralStationCRM auf die EU-Datenschutzgrundverordnung vorbereiten und worum Sie sich kümmern sollten.

Alle, die in irgendeiner Form personenbezogene Daten verarbeiten, sprechen derzeit nur über ein Thema: Die EU-Datenschutzgrundverordnung, kurz “DSGVO”. Anders als viele glauben, ist die DSGVO schon vor zwei Jahren in Kraft getreten, nämlich am 25. Mai 2016. Rechtsverbindlich für alle gilt Sie jedoch ab dem 25. Mai 2018. Wir bei der 42he GmbH haben uns natürlich viele Gedanken gemacht, wie wir die DSGVO sinnvoll für CentralStationCRM und unsere Kunden umsetzen können. Wir haben die entsprechenden Maßnahmen zusammen mit unserem Datenschutzbeauftragten umgesetzt und unsere Kunden können sich sicher sein, dass wir auch über die gesetzlich verpflichtenden Maßnahmen hinausgehend Hilfestellungen für unsere Kunden anbieten werden. Doch was bedeutet das im Detail?

Was bedeutet die DSGVO im Zusammenhang mit einem CRM-System und wie sorgt CentralStationCRM für eine reibungslose Umsetzung?

Bislang hatten unsere Kunden die Möglichkeit, eine ADV (Auftragsdatenvereinbarung) mit uns abzuschließen. Diese wurde dann sowohl vom Kunden als auch von uns unterschrieben und ausgetauscht. 

Rechtzeitig zum 25. Mai 2018 gibt es statt der bisherigen ADV einen sogenannten Auftragsverarbeitungs-Vertrag (AV-Vertrag) zur Bestätigung, jedoch für ausnahmslos alle Kunden (CRM-Nutzer gehen dazu in ihre Accounteinstellungen auf den Punkt "Auftragsdatenverarbeitung (DSGVO)") . Dieser regelt rechtssicher, dass wir die Daten im Auftrag unserer Kunden verarbeiten und wie das im Detail passiert. Die Schriftform ist für AV-Verträge übrigens nicht mehr nötig, so dass innerhalb des CentralStationCRM-Accounts die Vereinbarung zum AV-Vertrag erfolgt. In den Einstellungen können Sie jetzt festlegen, wessen Daten Sie speichern und welcher Art diese Daten sind. Auf Grundlage dieser Einstellungen wird dann der AV-Vertrag zum Download im PDF-Format bereitgestellt. 

Darüber hinaus wird es in unseren Webformularen zukünftig eine Klickbox geben, mit deren Anhaken der Seitenbesucher der Verwendung und Weiterverarbeitung seiner personenbezogenen Daten zustimmt. Denn dies ist eine weitere Stelle, über die personenbezogene Daten ins CRM-System gelangen. 

Mit den AV-Verträgen und Hinweisen in unseren Webformularen erfüllen wir datenschutzkonform die DSGVO. 

Habe ich als CRM-Kunde damit alles erledigt oder muss ich weitere Maßnahmen ergreifen, um im Sinne der DSGVO datenschutzkonform zu arbeiten?

Als Kunde von CentralStationCRM sind Sie für die Kontakte, die Sie im CRM-System verwalten, selbst verantwortlich. Dementsprechend müssen Sie selbst dafür Sorge tragen, dass Sie Ihre Kontakte datenschutzkonform nutzen. Wir als CRM-Anbieter können nicht beeinflussen, was unsere Kunden mit ihren eigenen Kundendaten machen, dementsprechend liegt dies im Verantwortungsbereich von Ihnen als Nutzer. Jeder Einzelne muss also prüfen, welche Daten er speichern und wie er diese nutzen darf und ob separate Vereinbarungen zur Datenverarbeitung getroffen werden müssen. 

Um Sie dabei zu unterstützen, Ihre Kontakte im Sinne der DSGVO zu verwenden, möchten wir zukünftig zusätzliche Funktionen in CentralStationCRM anbieten, die beim Thema “Datenportabilität”* (Recht auf Datenübertragbarkeit / Auskunft) und “Recht auf Vergessenwerden” (Löschung von Kundendaten nach einer bestimmten Frist) Hilfestellungen bieten werden.  

Was muss ich als Kunde also konkret tun?

Bezüglich CentralStationCRM müssen Sie einen Auftragsverarbeitungs-Vertrag mit CentralStationCRM abschließen (in den Accounteinstellungen unter "Auftragsdatenverarbeitung (DSGVO)").

Um darüber hinaus datenschutzkonform im Sinne der DSGVO zu arbeiten, gilt es folgende Punkte zu beachten:

  • eigene AV-Verträge mit Kunden abschließen, wenn Sie selbst auch im Auftrag Daten von Kunden verarbeiten
  • internes Verarbeitungsverzeichnis*** anlegen, das alle Standardverfahren in Ihrem täglichen Geschäft dokumentiert. Beispiel: ein Kunde ruft an und hat eine Frage zu einem Ihrer Produkte. 
  • Löschfristen beachten (“Recht auf Vergessenwerden”)
  • Auskunftsrecht beachten (“Recht auf Datenübertragbarkeit”)
  • Risikoprüfung & DSFA (Datenschutzfolgeabschätzung) beachten
  • Informationspflichten beachten
  • internes Anwendungsverzeichnis sowie Rollen- & Berechtigungskonzept anlegen
  • einen Datenschutzbeauftragten benennen, wenn Kriterien dafür erfüllt sind

Bitte beachten: Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit und stellt  keine Rechtsberatung dar, je nach Unternehmen und/oder Art des Geschäftsmodells können sich diese Punkte unterscheiden. Bitte sichten Sie für weitere Informationen die am Schluss des Artikels genannten weiterführenden Links und lassen sich von einem Datenschutzexperten beraten.

Mythos 1: “Wenn die DSGVO kommt, nutzen wir aus Sicherheitsgründen besser keine Internet/Cloudlösung mehr, sondern steigen wieder auf Aktenordner/Excel um.”

Unabhängig davon, ob man seine Kontakte mit einer Cloud-Lösung oder lokal (beispielsweise mit Excel) verwaltet, muss jeder, der personenbezogene Daten verarbeitet, seine Prozesse dokumentieren und mit seinen Kunden(Gruppen) über die Verarbeitung personenbezogener Daten entsprechende Vereinbarungen treffen, auch dann, wenn ein sogenanntes “berechtigtes Interesse”** vorliegt. Als Nutzer einer professionellen CRM-Software profitieren Sie sogar davon, dass sich die meisten CRM-Anbieter mit den Anforderungen der DSGVO seit Monaten sehr intensiv befassen und entsprechende Schutzmaßnahmen umsetzen.

Mythos 2: “Sobald die DSGVO verbindlich in Kraft tritt, darf man nichts mehr (so wie früher) machen” und/oder ”die DSGVO ändert alles.”

Diese Aussage werden Sie sicher in der ein oder anderen Form schon mal gehört haben, sie ist aber nicht zutreffend. Im Gegenteil: Wer bislang bereits nach Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG) und Gesetz gegen den unlauteren Wettbewerb (UWG) gearbeitet hat, ist bereits recht gut aufgestellt. Das Ziel der DSGVO ist nämlich nicht, bestehende Gesetze “über den Haufen zu werfen” sondern im Gegenteil zu ergänzen und zu optimieren, um ein europaweit einheitliches Regelwerk zu schaffen. 

Im Zentrum stehen dabei die deutlich stärkeren Nutzerrechte. Zukünftig sollen Nutzer einen einfacheren Zugang zu ihren Daten haben und Anspruch auf klare und leicht verständliche Informationen darüber, wer ihre Daten zu welchem Zweck wie und wo verarbeitet. Auch haben Nutzer zukünftig ein “Recht auf Vergessenwerden”. Löschfristen und Bestimmungen dazu gab es in den Datenschutzgesetzen in Deutschland zwar bisher auch schon, die DSGVO wird hier jedoch konkreter und räumt dem Thema Datenlöschung mit einem eigenen Artikel einen besonderen Stellenwert ein.

Fazit: Es ist also auch in kleinen Unternehmen zwingend notwendig sich mit dem Thema Datenschutz- und Sicherheit sowie der DSGVO intensiv auseinander zu setzen. Irrationale Befürchtungen oder gar Panik sind jedoch keinesfalls angebracht, denn wer die wichtigsten Neuerungen beachtet und umgesetzt hat sowie bereits bisher nach den bestehenden deutschen Datenschutzgesetzen gearbeitet hat, ist gut aufgestellt für Mai 2018 und natürlich auch darüber hinaus. 

Übrigens...

Möchten Sie auch im DSGVO-Zeitalter E-Mail-Marketing betreiben und fragen sich, ob Sie dafür das Opt-In Ihrer Newsletter-Empfänger erneuern müssen? Über den Sinn und Unsinn sogenannter Re-Opt-In Mails sprechen wir in dieser Podcast-Folge!


Weiterführende Informationen:

https://www.bmwi.de/Redaktion/... 
https://www.lda.bayern.de/de/d...
Handreichungen für kleine Unternehmen und Vereine: 

https://www.lda.bayern.de/de/k... 
https://www.bitkom.org/Themen/... 
https://www.bitkom.org/Presse/... (Der Bitkom-Verband stellt umfangreiches Material, FAQs und Musterverträge zur Verfügung)
https://www.e-recht24.de/daten...
Was beim Newsletterversand zu beachten ist:
https://www.newsletter2go.de/d...  

Anmerkungen:

*) “Datenportabilität” Art. 20 EU-DSGVO:
“Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (...)”  

**) “berechtigtes Interesse”:
Art. 6 EU-DSGVO Absatz f) “die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (...)”

*** Verarbeitungsverzeichnis
Unternehmen müssen gemäß DSGVO ein sogenanntes “Verarbeitungsverzeichnis” anlegen, in dem alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, genau dokumentiert werden. Dieses Verzeichnis ersetzt das bisherige Verfahrensverzeichnis nach BDSG. Das Verzeichnis wird nicht veröffentlicht wie z.B. AGBs, sondern dient zu internen Dokumentationszwecken und im Bedarfsfall für Nachfragen von Behörden.

von Simon Böffgen über CentralStationCRM, Datenschutz und DSGVO

Es gibt 4 Kommentare zu diesem Artikel.

Lt. DSGVO Pseudonym Sabine am Freitag, 25.05.2018

Bedauerlicherweise weist Ihr Text Übereinstimmungen mit anderen Aussagen, Anpreisungen und Rechtfertigungen sowie Erklärungen zur DS-GVO auf.

Und daher erklärt sich wohl auch warum nur Lobpreisungen auftauchen, obwohl Fachjuristen bereits jetzt erkannt haben, dass eine wirkliche Stärkung des Verbrauchers und seiner Daten-Schutz-Rechte nicht wirklich gegeben ist.

Tatsache ist, dass bereits jetzt Unternehmen wie MAZDA Motors Deutschland GmbH jeden Kniff anwenden um weiterehin mit personenbezogenen Daten BHetroffener hemmungslos Werbung, Direktwerbung, Scoring, Profiling etc betreiben können. Sogar sich nicht an den Grundsatz von Datenminderung oder "Nur die Daten zum Zwecke und Erfüllung eines Vertrages" zu erfassen wird igneriert.
Gleiches konnte auch bei anderen Unternehmen festgestellt werden - und die Schlupflöcher sind ind er DS-GVO auch drin, man muß nur richtig lesen

Sven Sester (CentralStationCRM Team Mitglied) am Dienstag, 29.05.2018

Es soll an dieser Stelle weniger um Lobpreisungen gehen, als um Inhalte, mit denen man sich als Unternehmen wohl oder übel befassen muss, ganz gleich ob es einem gefällt oder nicht. Unsere Einschätzung ist bisher, dass sicherlich in einigen Bereichen die Rechte der Verbraucher gestärkt werden, man jedoch an einigen Stellen übers Ziel hinaus geschossen ist und nur selten vor allem die "trifft" die es treffen sollte: Datensammelwütige Konzerne und Unternehmen, die aus wirtschaftlichen Interessen Grundrechte verletzen. Stattdessen müssen sich viele KMU mit einem bürokratischen Konstrukt rumschlagen, welches sie oftmals überfordert. Wie effektiv und sinnvoll sich die neue DSGVO erweisen wird, bleibt daher abzuwarten. So oder so, in dem Artikel ging es mehr um eine Hilfestellung, als um eine Meinung oder einen Kommentar.

Mario Grummt am Mittwoch, 27.06.2018

Hi, vielen Dank für eure Informationen. Wo speichert ihr eigentlich euer System bzw. die Daten die wir darin eingeben. Deutschland? EU? Drittland?
LG, Mario Grummt

Sven Sester (CentralStationCRM Team Mitglied) am Mittwoch, 27.06.2018

Kundendaten, sprich alles was die CRM-Nutzer eingeben (Adressen, Mails, Notizen, etc.) speichern wir ausschließlich auf unseren eigenen Servern in Süddeutschland. Aus unterschiedlichen Gründen speichern wir Dateien (PDF, Bilder, etc.) jedoch separat auf Servern in Irland (Republik, sprich EU). Weitere Server-Standorte gibt es Stand heute nicht. Das wird so auch in unserer AVV erläutert.

Sagen Sie uns die Meinung. Was denken Sie?

Schreiben Sie einen neuen Kommentar. Wir freuen uns auf Ihren Beitrag.

Wer steckt dahinter?

CentralStationCRM ist ein einfaches und webbasiertes CRM System für die Adressverwaltung und das Kontaktmanagement in kleinen und mittlere Unternehmen. Erfahren Sie mehr über unsere webbasierte CRM Software in der Tour oder lernen Sie unser Team kennen.