Nahezu jedes Unternehmen pflegt die Daten seiner Kunden heutzutage in einem sogenannten CRM-System (Customer Relationship Management System). Hintergrund solcher Systeme ist die Ausrichtung eines Unternehmens auf seine Kunden und die systematische Gestaltung der Kundenbeziehungsprozesse. Beim Einsatz eines solchen Systems sind allerdings auch viele Faktoren zu beachten.
Solange der eventuelle Angemessenheitsbeschluss für die USA nicht in Kraft getreten ist, ist es weiterhin faktisch unzulässig, US-Anbieter wie Salesforce und Co. zu nutzen, um die sensiblen Daten von Kunden aus der EU zu verwalten. Derzeit ist kein DSGVO-konformer Einsatz solcher Anbieter möglich.
Allgemein machen die Datenschutzbehörden eine ganze Reihe von Vorgaben, welche Anforderungen ein CRM-System erfüllen muss, wie z.B.:
– Ausübbarkeit von Betroffenenrechten
– Integrität, technische Sicherheit
– Datenminimierung, Speicherbegrenzung, Transparenz, Zweckbindung
– Vertraulichkeit / Rechtemanagement
– abgestuftes Berechtigungskonzept
– Dokumentation der Datenherkunft
– Dokumentation von Einwilligungen
– keine Zusammenführung von Datensätzen, die getrennt erhoben wurden (Nichtverkettbarkeit), kein Profiling
– Datenschutz durch Technikgestaltung (Privacy by design / by default)
– Anonymisierung, Pseudonymisierung
– Verschlüsselung, VPN (auch mobil)
– Zertifizierungen des Systems
– Archivierungs-/Löschkonzepte
– Berücksichtigung der Rechtslage
Vor kurzem haben wir einen Anbietervergleich im Bereich der CRM-Systeme gemacht, der zum Ergebnis hatte, dass es zumindest für KMU durchaus datenschutzfreundlichere Alternativen aus der EU und Deutschland gibt.
Die wichtigsten Aspekte in Bezug auf den Datenschutz waren dabei u.a.:
– Serverstandort
– Hosting
– Subdienstleister
– Datenweitergabe
– Datenschutz durch Technikgestaltung des Systems
– AV-Verträge, rechtliche Grundlagen, technisch-organisatorische Maßnahmen
– individuelle Besonderheiten
Der Vorteil eines Anbieters aus der EU oder aus Deutschland ist in jedem Fall, dass Sie sich als Unternehmen unabhängig von den alle Jahre mal wieder wechselnden Entscheidungen zum Thema Datenübertragung in ein Drittland zwischen dem EuGH, der EU-Kommission und Max Schrems machen.
Haben Sie Fragen zum Thema „CRM-System“ oder Interesse an unseren Ergebnissen des Anbietervergleichs?
Dann kommen Sie gern auf uns zu.
