Sie sind hier: HomeTelekommunikation

DSGVO und CRM: Viele Unsicherheiten bei der CRM-Datenhaltung

In vielen CRM-Systemen sind Informationen gespeichert, die nicht geschäftsrelevant sind und aufgrund der DSGVO nicht mehr vorgehalten werden dürften. Was diesbezüglich zu klären ist und wie Unternehmen vorgehen sollten.

DSGVO CRM Bildquelle: © Bartolomiej Pietrzyk / 123rf

Am 25. Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) der Europäischen Union verbindlich in Kraft. Mit ihr schuf die EU einen einheitlichen Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten. Anfang dieses Jahres wurden nun die ersten Bußgelder wegen Verstößen verhängt. Das ist erst der Anfang, denn noch immer herrscht in vielen Unternehmen große Unsicherheit, wie mit gespeicherten personenbezogenen Daten umzugehen ist – auch in CRM-Systemen. So sind in vielen Systemen unzählige Informationen aus der Vergangenheit gespeichert. Aufgrund der neuen Verordnung dürfen Firmen jedoch nur diejenigen Daten vorhalten, die für ihr Geschäft relevant sind. Deshalb stehen Unternehmen vor der Herausforderung, ihre bestehenden Datenspeicher und CRM-Systeme anzupassen. Dazu müssen sie klären, welche Daten in Abhängigkeit von ihrer Nutzung und Geschäftstätigkeit gespeichert werden dürfen und welche zu löschen sind. Die Praxis zeigt, dass die neue Datenschutzgrundverordnung mittlerweile in den meisten Unternehmen angekommen ist, die tatsächlichen Fachkenntnisse aber noch Lücken aufweisen. Ein konkretes Beispiel für die Unsicherheit gibt der Immobilienverband „Haus & Grund“, der alle Namensschilder seiner Mietwohnungen anonymisieren wollte.

In einem anderen Fall machte eine Kindertagesstätte die Gesichter der Kinder auf der Webseite unkenntlich – aus Angst vor einem Regelverstoß. Gleichzeitig ist die Anzahl der Datenschutzbeschwerden seit der Einführung der DSGVO in die Höhe geschossen: Laut einem Bericht der Datenschutzbeauftragten im Dezember 2018 sind bis Ende Oktober 2018 rund 3.700 konkrete Beschwerden über Verletzungen des Datenschutzes sowie mehr als 4.600 Meldungen mit Datenschutzverstößen eingegangen. Für die ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Andrea Voßhoff ist dies ein Beleg dafür, dass die DSGVO angenommen wird und Bürger ihre Rechte wahrnehmen. Die Digitalwirtschaft hingegen wurde von der neuen Verordnung regelrecht ausgebremst: So haben einige US-amerikanische Unternehmen aus Angst vor Verstößen europäische Nutzer einfach blockiert.

Zustimmung zur Datenspeicherung erforderlich
Laut Definition sind personenbezogene oder personenbeziehbare Daten alle Daten zu einer natürlichen Person: Name, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den sozialen Medien, Angaben zum Wohnort, medizinische Daten oder IP-Adressen. Unternehmen dürfen diese Daten nur dann speichern und verarbeiten, wenn es eine Rechtsgrundlage dafür gibt, beziehungsweise die betreffende Person ihre Zustimmung dafür erteilt hat. Diese Zustimmung kann allerdings jederzeit widerrufen werden. Darüber hinaus hat jede Person das Recht zu erfahren, wie die Daten erfasst wurden, wo sie gespeichert sind und für welche Zwecke sie genutzt werden. Gehört jemand nicht mehr zum Kundenkreis, müssen seine personenbezogenen Daten auf Anfrage gelöscht werden. Bei falschen Informationen kann auf Korrektur der gespeicherten Daten bestanden werden. Darüber hinaus darf eine Person verlangen, dass ihre Daten von einem Serviceanbieter auf einen anderen übertragen werden, beispielsweise beim Anbieterwechsel.

Die Krux liegt in der Historie
Viele Unternehmen besitzen eine über Jahre gewachsene IT-Landschaft. Typischerweise sind Daten – und eben auch Kundendaten – über die unterschiedlichsten Systeme verteilt. Insbesondere CRM-Systeme sind eng mit anderen Systemen vernetzt und greifen regelmäßig auf deren Daten zu. So kommuniziert das CRM beispielsweise mit der ERP-Lösung, um zu wissen, welcher Kunde seine Rechnung bezahlt hat oder nicht. Darüber hinaus werden Dokumenten-Management-Systeme (DMS) für die digitale Ablage von Belegen, Verträgen und anderen Dokumenten genutzt.

Erfahrungsgemäß nutzen viele Unternehmen neben ERP, CRM und DMS noch mehrere weitere vernetzte Peripheriesysteme. Gerade persönliche Daten werden oftmals sorglos von einem zum nächsten System geschickt. Fordert ein Nutzer die Löschung seiner personenbezogenen Daten, erweist es sich als schwierig, tatsächlich alle Ablage-Orte zu identifizieren. Einen unternehmensweiten Löschprozess zu etablieren, oder diesen gar vollständig zu automatisieren, ist somit eine Herausforderung. Bislang sind nur wenige Unternehmen in der Lage, diese Anforderungen zu erfüllen.