„Better safe than sorry“. Diese griffige Redewendung der Briten trifft es viel besser als „Vorsicht ist besser als Nachsicht“. Was dahintersteckt, dürfte klar sein: Wer unangenehme Überraschungen vermeiden will, sollte sich auf manche Dinge rechtzeitig vorbereiten. Erst recht, wenn sie mit Ansage kommen.
Wie zum Beispiel die neue EU-Datenschutzgrundverordnung, kurz EU-DSGVO. Die ist zwar schon seit dem Mai 2016 in Kraft, wird aber erst am 25. Mai wirksam. Die Wortwahl erst ist an dieser Stelle allerdings etwas zu entspannt. Denn genau genommen sind es nur noch 108 Tage, bis das Gesetz „live“ geht. Bis dahin haben viele Unternehmen noch Hausaufgaben zu erledigen. Das gilt nicht nur für IT-Verantwortliche oder Datenschutzbeauftragte, sondern vor allem auch für diejenigen, die im Unternehmen die Kundendaten managen.
EU-Gesetz zur Stärkung des Verbraucherschutzes
Im Kern geht es beim EU-DSGVO darum, die Transparenz in punkto Verarbeitung und Nutzung personenbezogener Daten zu verbessern – und das in allen Mitgliedsländern der EU. Damit soll vor allem der Verbraucherschutz gestärkt werden. Deshalb gelten beim Datenschutz künftig strengere Vorschriften, die mit neuen Pflichten bei Dokumentation, Datensicherung und Meldungen einhergehen.
„Es ist elementar, dass die Unternehmen in den nächsten Monaten die entsprechenden Prozesse aufsetzen, um gerade den neuen Betroffenenrechten nachkommen zu können“, betont dazu die auf IT-Recht spezialisierte Juristin Sabine Heukrodt-Bauer. „Es ist künftig zu dokumentieren, auf welcher Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertragserfüllung usw.) und zu welchem Zweck die Datenspeicherung erfolgt. Dazu gehört dann automatisch auch die Herkunft der Daten und die Festlegung der erforderlichen Speicherfrist.“
Was müssen CRM-Verantwortliche in Unternehmen in punkto EU-DSGVO jetzt beachten?
Wir haben die wichtigsten Punkte für Sie im Überblick.
Zustimmung der Nutzer einholen:
Für das Verarbeiten von personenbezogenen Daten ist ab Mai die Einwilligung der Betroffenen notwendig. Laut Sabine Heukrodt-Bauer ist es ratsam, diese „elektronisch einzuholen und im System zu protokollieren“. Dabei sollten Unternehmen „ausschließlich mit dem Double-Opt-In arbeiten und einen Bestätigungslink versenden, bevor ein Einverständnis im System protokolliert wird.“ Zudem müssen persönliche Daten auf Wunsch gelöscht werden.
Umgang mit Kundendaten transparent machen:
Wo liegen die Kundendaten? In der Regel in den CRM- und/oder ERP-Systemen des Unternehmens. Doch was geschieht mit diesen Daten und wie werden sie im Einzelnen genutzt? Das muss jetzt transparent gemacht werden. Reichen diese Aktivitäten beispielsweise bis hin zur regelmäßigen Beobachtung einzelner Kunden (Stichwort Profiling), brauchen Unternehmen zukünftig laut Gesetz einen Datenschutzbeauftragten.
Rollen- und Berechtigungskonzept im CRM einrichten:
Um den neuen Anforderungen des EU-DSGVO gerecht zu werden, sollte die CRM-Lösung nicht nur ein fixes Rollen- und Berechtigungskonzept für den Zugriff, das Löschen und den Export von Daten bieten. Dieses sollte auch beliebig an zukünftige neue Anforderungen anpassbar sein. Der Vorteil: Über das Rechtemanagement lässt sich genau definieren, welcher Anwender auf welche Daten zugreifen darf. Nur so können Sie kontrollieren, wohin Ihre Daten gehen.
Privacy by Design und Privacy by Default beachten:
Die EU-DSGVO verlangt von den Anbietern, Privacy-by-Design- und Privacy-by-Default-Prinzipien anzuwenden. Privacy by Design bedeutet Datenschutz durch Technikgestaltung. Das heißt: Die Technik, die bei Datenverarbeitungsprozessen zum Einsatz kommt, soll so gestaltet werden, dass sie bestimmte Datenverarbeitungen gar nicht erlaubt. Privacy by Default steht für datenschutzfreundliche Voreinstellungen.
Daten bereitstellen:
Firmen und Behörden erhalten laufend Informationen von Nutzern. Diese müssen sie den Nutzern zukünftig in strukturierter und maschinenlesbarer Form wieder zukommen lassen. Aktuell ist noch kein einheitliches Format definiert, wie dieser Austausch in der Praxis aussehen könnte. Auf jeden Fall hilft Ihnen hier ein flexibles System, welches sich an entsprechende Änderungen beliebig anpassen lässt.
Gesetzliche Fristen einhalten:
Wenn Verbraucher bei einem Unternehmen Informationen zu den über sie gespeicherten Daten anfordern, müssen diese sofort, aber auf jeden Fall innerhalb eines Monats bereitgestellt werden. Sollte sich diese Frist verlängern, muss der Betroffene darüber und auch über die Gründe dafür informiert werden. Wer sich nicht an diese Auflagen hält, dem drohen hohe Bußgelder.
Im Zusammenhang mit der EU-DSGVO ist immer wieder von Bußgeldern die Rede. So können Unternehmen den Angaben zufolge mit Strafen von bis zu vier Prozent ihres Jahresumsatzes belangt werden, wenn sie sich nicht an die Vorgaben des neuen Gesetzes halten.
EU-DSGVO und die Cloud
Auch für den Einsatz cloudbasierter CRM-Lösungen hat das EU-DSGVO eine nicht unerhebliche Bedeutung. Das veranlasst manche Unternehmen sogar dazu, ihre Cloud-Strategie zu überdenken, berichtet etwa die Com Professional. Denn wer „einen Cloud-Dienst nutzt und damit sensible Daten bearbeitet, etwa Kundeninformationen oder Gesundheitsdaten, muss prüfen, ob sein Provider die Datenschutz- und Datensicherheitsregeln einhält“. Viele Unternehmen fragten sich, ob das bei einem ausländischen Cloud-Service-Anbieter gewährleistet sei. Anbieter von Cloud-Lösungen sollten sich daher vertraglich mit ihren Auftraggebern einigen, damit die notwendige Compliance für die neue EU-weite Datenschutzgrundverordnung gewährleistet ist.
Kein Grund zur Panik, aber Zeit zum Handeln
Auch wenn die Zahl der dringenden Appelle steigt: Panikmache ist bei der EU-DSGVO nicht angebracht. Nicht zuletzt, weil diese laut Expertinnen wie Sabine Heukrodt-Bauer „sehr viele Öffnungsklauseln enthält, über die nach wie vor nationales Recht umgesetzt werden kann. Es ist derzeit aber noch unklar, wie der deutsche Gesetzgeber dies im Einzelfall gestalten wird.“ Auch seien „der Rahmen und die Grenzen der dazu erforderlichen Abwägung zwischen dem Interesse an der Datenverarbeitung in einem CRM und dem Interesse des Kunden am Datenschutz (…) noch nicht abgesteckt“.
Dennoch tickt die Uhr weiter. Wer sich also bis zum 25. Mai ohne Stress und Hektik auf die EU-DSGVO vorbereiten will, sollte das Thema jetzt anpacken und alle nötigen Vorbereitungen treffen.
Weitere nützliche Hintergrundinformationen zum Thema EU-DSGVO erhalten Sie auch in diesem Blogbeitrag der Rechtsanwältin Nina Diercks.
Mit intelligenten Daten-Analysen holen Sie mehr aus Ihrem CRM und verschaffen sich geschäftliche Vorteile. Erfahren Sie hier mehr.
Hallo, vielen Dank für diese hilfreiche Zusammenfassung.
Wie Sie in Ihrem Artikel auch schreiben, müssen Kundendaten auf Wunsch ggf. komplett gelöscht werden. Wie ist das denn in einem CRM-System möglich, dass zwar Daten auf inaktiv setzt, aber nie darauf ausgerichtet war, Daten auch endgültig zu löschen?
Danke bereits im voraus für Ihre Antwort zu diesem spannenden Thema.
Hallo Frau Bose,
das Löschen von Datensätzen und Datenfeldern ist in ADITO selektiv manuell und durch kundenspezifische Regeln vollständig möglich. Automatische Regeln zum Löschen können auf Anfrage implementiert werden. Automatisierte Prozesse zum Löschen von Daten passen wir im Customizing individuell an. Unser Consultant Alexander Hägler meldet sich dazu gerne bei Ihnen.
Danke für Ihren Kommentar zu diesem in der Tat spannenden Thema!