Das Europäische Parlament
CC BY 2.0, via Wikimedia/jeffowenphotosNach fast vierjähriger Debatte haben sich im April Europäischer Rat, Europäisches Parlament und Europäische Kommission über den endgültigen Inhalt der neuen EU-Datenschutz-Grundverordnung geeinigt. Mit Inkrafttreten der neuen Datenschutzregelungen haben Unternehmen nur zwei Jahre Zeit, die Einhaltung der neuen Vorschriften sicherzustellen.
Doch welche Folgen für das CRM hat die EU-Datenschutzgrundverordnung? Wir geben Ihnen einen Überblick.
Folgen für das CRM durch die EU-Datenschutzgrundverordnung
Der erste und wichtigste Schritt für alle Unternehmen ist es, zu prüfen, in welchen Systemen sie die von der Gesetzgebung betroffenen Daten vorhalten. Beim Thema Kundendaten liegt die Antwort auf der Hand: In CRM- und ERP-Systemen. Dann muss verlässlich nachvollzogen werden können, was mit diesen Daten gemacht wird, wenn sie beispielsweise das System verlassen oder die Nutzer darauf zugreifen. Unternehmen, die ein sehr detailliertes Profiling im CRM-System machen und Personen systematisch und regelmäßig beobachten, müssen einen Datenschutzbeauftragten benennen.
Die Datentschutzgrundverordnung will den Verbraucherschutz stärken. Deshalb müssen Unternehmen sichergehen, dass Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird und der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen. Für die Verarbeitung dieser personenbezogenen Daten müssen sie sich eine ausdrückliche Zustimmung dieser einholen. Die Anforderungen an Einwilligungen werden in den Erwägungsgründen der Verordnung teilweise an Hand von Beispielen erläutert. Des Weiteren gilt nun für alle Unternehmen: Persönliche Daten müssen auf Wunsch der Betroffenen gelöscht werden.
Ferner entfällt das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen. Hierfür ist künftig die ausdrückliche Genehmigung der betroffenen Personen erforderlich. Für Konzerne gibt es aber eine Art Konzernprivileg, die die Weitergabe innerhalb eines Konzerns vereinfacht.
Geeignete CRM-Software schützt vor Strafe
Verstoßen Unternehmen gegen die neuen Regeln, können sie mit Strafen von bis zu vier Prozent ihres Jahresumsatzes belangt werden. Der Haken an der Sache ist, dass hier die Beweislast umgekehrt wurde und im Zweifelsfall die Unternehmen nachweisen müssen, dass sie ordnungsgemäß gehandelt haben.
Die datenschutzkonforme Verarbeitung personenbezogener Daten ohne geeignete CRM-Software dürfte kaum möglich sein. Allerdings gibt es auch bei den CRM-Systemen Qualitätsunterschiede.
Zunächst einmal sollte das CRM-System Berechtigungskonzepte für den Zugriff, das Löschen und den Export von Daten vorweisen. Nur so kann kontrolliert werden, wohin die Daten gehen. Anwender von Wice CRM haben es hier leicht, denn die CRM-Software arbeitet mit einer zentralen Datenbank für alle Module. Einmal gelöscht, sind die Kundendaten überall entfernt. Lokale Replikationen, z. B. auf den Notebooks der Mitarbeiter, müssen nicht berücksichtigt werden. Über das Rechtemanagement lässt sich sehr genau einstellen, welcher Anwender auf welche Daten zugreifen darf. Dies betrifft auch den Export.
Des Weiteren sollte das CRM-System Möglichkeiten zur Dokumentation der Einwilligung der Datenverarbeitung bei der betroffene Person anbieten. In Wice CRM lassen sich hierfür Ansprechpartner-Kategorien einrichten und Notizen beim Ansprechpartner oder in den Vorgängen dokumentieren die Einwilligung.
Ganz besondere Beachtung gilt der CRM-Software aus der Cloud. Die Verordnung verbietet datenschutzrechtliche Beschränkungen für den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten. Anders ist es bei Cloud CRM von Anbietern außerhalb der Europäischen Union, insbesondere den USA. Diese gilt als nicht-sicherer Drittstaat. Wie bereits geschrieben, ist das Safe Harbor-Vertragswerk unwirksam. Die Nachfolge tritt der EU-US Privacy Shield an. Ob dies rechtlich stichhaltig ist, bleibt aber offen. Unternehmen, die sichergehen wollen, sollten deshalb einen innereuropäischen Cloud-Anbieter auswählen. Wice CRM wird ausschließlich in Deutschland gehostet.
Die Grundverordnung gilt unmittelbar, tritt aber erst in zwei Jahren in Kraft. Bis dahin gilt in Deutschland noch das Bundesdatenschutzgesetz. Firmen sollten die einzelnen Phasen der Umsetzung der neuen Anforderungen in der Praxis nun zügig planen. Gerade im CRM-Bereich dürfte nahezu überall Handlungsbedarf bestehen. Sprechen Sie uns ruhig an, wir beraten Sie gerne!
