Sie sind hier: HomeTelekommunikation

CRM-Systeme: Mit Blockchain DSGVO-konform?

Machen die neuen Datenschutzbestimmungen der EU klassische CRM-Systeme zum Auslaufmodell? Ralf Reich, Head of Continental Europe bei Mindtree, erklärt, zu welchen Problemen es kommen kann und zeigt mögliche Alternativen für den Umgang mit Daten auf.

Blockchain Bildquelle: © Fotolia, Sashkin

Nun ist es soweit: Die Übergangsfrist der EU-Datenschutzgrundverordnung (DSGVO) ist ausgelaufen. Seit dem 25. Mai müssen Unternehmen die neuen strengen Vorschriften erfüllen, ansonsten drohen drastische Strafen, bis zu 20 Millionen Euro oder vier Prozent des jährlichen Umsatzes. Wenn nicht schon geschehen, ist es spätestens jetzt höchste Zeit zu handeln und sich um die Einhaltung der Vorgaben zu kümmern. Das Customer-Relationship-Management-System (CRM) spielt dabei eine zentrale Rolle, laufen hier doch unterschiedlichste Informationen zusammen. Da natürlich auch diese automatisch verwalteten Kunden- und Unternehmensdaten unter die DSGVO fallen, muss die Compliance der Systeme sichergestellt werden.

CRM ohne böse Überraschungen
Damit die automatisierte Erfassung von Kundendaten auch weiterhin möglich ist, müssen viele verschiedene Vorgänge im CRM-System abgebildet werden. Beispielsweise sieht die neue Regelung vor, dass Nutzer immer ausdrücklich zustimmen müssen, bevor ihre persönlichen Daten verarbeitet werden dürfen. Unternehmen müssen also eine Erlaubnis ihrer Kunden zur Datennutzung einholen und als Beweis der Zustimmung speichern. Als konkretes Verfahren in Online-Formularen ist das sogenannte Double-Opt-In weit verbreitet. Der Kunde muss dabei aktiv ein Häkchen setzten. Ein bloßer Klick auf „OK“ bei vorausgefüllten Feldern ist nicht mehr zulässig. Anschließend muss die Transaktion noch durch das Aufrufen eines zugesandten Links final bestätigt werden.

Wie sieht es aber bei offline gewonnen Daten aus? Teilt ein Kunde etwa in einem Telefongespräch oder über eine Visitenkarte einem Unternehmen persönliche Daten mit, dürfen diese nicht ohne weiteres genutzt werden. Vorher müsste der Kunde die Datenschutzbestimmungen des Unternehmens kennen und akzeptieren. Diese vorzulesen ist natürlich nicht praktikabel. Sinnvoller ist es im Zuge des Follow-Up die Richtlinien schriftlich zu übermitteln und erst nach der bestätigten Kenntnisnahme durch den Transaktionspartner mit der weiteren Nutzung der Daten zu beginnen.

Besondere Vorsicht gilt auch bei der Verwendung von gekauften Daten. Unternehmen, die extern erworbene Adresspools nutzen möchten, müssen sicherstellen, dass der Verkäufer über die Nutzungseinwilligung der Dateneigentümer verfügt. Solche DSGVO-konformen Einwilligungen muss im Zweifelsfall jeder Datennutzer vorweisen können, nicht nur der, der die Daten ursprünglich erhoben hatte.

Über Alternativen nachdenken
Die neue EU-Verordnung offenbart Schwächen im bisherigen Umgang mit Daten. Auf kurze Sicht ist es sicherlich sinnvoll, bestehende Systeme bestmöglich anzupassen. Mittel- und langfristig sollte man sich jedoch Gedanken darüber machen, ob sich der Umgang mit Daten nicht grundlegend verändern muss. Bisher werden Daten zentral gespeichert und verarbeitet, sei es auf eigenen Servern oder in einer Cloud. In beiden Fällen muss dafür der Datenbesitzer die Hoheit über seine Informationen abtreten, was die komplizierten Einwilligungsprozeduren erst notwendig macht. Außerdem erhöht die zentrale Speicherung die Verwundbarkeit gegenüber Hacker-Angriffen. Die Blockchain-Technologie bietet mit der dezentralen Datenspeicherung eine innovative Alternative. Dadurch wird die Verwundbarkeit gegenüber Angriffen verringert. Das ist aber noch nicht der einzige Vorteil: Eine Blockchain ist unveränderbar und ihre Entstehung lässt sich immer zweifelsfrei nachvollziehen. Darüber hinaus bietet die Technologie besonders sichere kryptographische Methoden. Allerdings ist nicht klar, wer letztlich die Kontrolle über persönliche Daten hat, die in einer Blockchain gespeichert sind. Schließlich sind diese im Prinzip für jeden zugänglich. Ein Problem bereitet auch das Recht auf Löschung persönlicher Daten, das die DSGVO vorsieht. Dieses steht in direktem Konflikt mit der Unveränderbarkeit der Blockchain.

Datenschutz future-ready
Die DSGVO zeigt den immer weiter wachsenden Stellenwert des Datenschutzes in unserer Gesellschaft. Vor diesem Hintergrund sollte man langfristig über neue Ansätze der Datenspeicherung und -verarbeitung nachdenken. Mit Sicherheit werden Blockchains in irgendeiner Form Teil neuer Systeme sein. Daher muss man schon jetzt beginnen, die neue Technologie und Datenschutz in Einklang zu bringen.

Ralf Reich ist Head of Conintental Europe bei Mindtree