Ab dem 25. Mai 2018 tritt die EU Datenschutz Grundverordnung (DSGVO) in Kraft. Das betrifft alle Unternehmen, die personenbezogene Daten erheben und verarbeiten. Denn: Wer sich nicht an die gesetzlichen Vorgaben hält, dem drohen Bußgelder von bis zu 20 Mio. Euro oder 4 % des gesamten weltweiten Jahresumsatzes.
Was bedeutet das für Vertrieb und Marketing?
Bislang mussten die Aufsichtsbehörden einen Verstoß gegen das Bundesdatenschutzgesetz (BDSG) nachweisen. Mit der DSGVO wird die Beweislast umgekehrt: Unternehmen müssen darlegen, dass sie Datenschutz konform arbeiten.
Technisch-organisatorische Maßnahmen
In Konsequenz müssen technisch-organisatorische Maßnahmen getroffen werden, um Personenbezogene Daten bestmöglich zu schützen und transparent zu pflegen.
Auf den Prüfstand ihres CRM Systems sollte hier:
- Benutzer- und Zugriffsrechte:
Wer darf welche Daten lesen bzw. verändern? - Protokollierung Datenänderungen
Gibt es eine automatische Protokollierung von Änderungen an den Daten, so das nachvollziehbar ist, welcher Anwender welche Daten wie geändert hat? - Werden durch die DSGVO notwendige Zusatzinformationen gepflegt?
– Wann wurde der Datensatz erstmalig ins CRM aufgenommen?
– Herkunft: eigene Erhebung oder die Quelle des externen Dritten
Mit der DSGVO einher gehen neue Informationspflichten. Werden die Daten selbst erhoben, besteht die Informationspflicht bereits bei d er Datenerhebung. Stammen die Daten von Dritten, muss der Betroffene bei der ersten Ansprache informiert werden.
– Zweck und Rechtsgrundlage der Datenerhebung
Entfällt der Zweck der Datenerhebung, sind die Daten zu löschen oder anonymisieren. Andernfalls ist der Betroffene über die Zweckänderung zu informieren. In diesem Fall kann die Person der Verwendung widersprechen.
– Löschdatum Löschregeln, nach denen Personenbezogene Daten wieder gelöscht werden
– Art der Einwilligung: Wie dürfen diese Daten genutzt werden?
Umsetzung Betroffenenrechte
Die Betroffenen (= Personen, deren Daten sie speichern) stehen weitere Rechte zu. Dazu zählen:
- Informationspflicht
bei Erhebung der Daten bzw. erstmaliger werblichen Ansprache, wenn die Daten durch Dritte erhoben wurden. - Einwilligung
in die Speicherung und Verarbeitung Personenbezogener Daten. Diese Einwilligung sollte an zentraler Stelle, z.B. dem CRM System, verwaltet werden. - Löschung
Recht auf Vergessen: Betroffene können jederzeit die Löschung ihrer Daten verlangen, sofern keine sonstige gesetzliche Regelung dem entgegensteht. - Datenportabilität
Unternehmen müssen auf Wunsch des Betroffenen gespeicherte Daten in allgemein gültigen Datenformat an Dritte übertragen. Unterstützt ihr CRM System das? - Auskunftsrecht
Betroffene können Auskunft über alle über sie gespeicherten Daten verlangen. Dazu sollte die CRM Software auf Knopfdruck eine Auskunft z.B. als PDF erzeugen können. - Berichtigung
Betroffene können Korrektur, der über sie gespeicherten Informationen fordern. Wurden Daten an Dritte weitergegeben, sind diese ebenso zu berichtigen. Deshalb ist es wichtig zu wissen, von wem die Daten erhoben wurden. Es empfiehlt sich, Datenänderungen automatisch über die CRM Software zu protokollieren (Wer hat wann in welchem Feld welchen Wert wie geändert?) - Eingeschränkte Verarbeitung
Betroffene können die Verarbeitung der Personenbezogenen Daten einschränken. - Mitteilungspflicht an Dritte
Wurden die Daten durch Dritte erhoben oder weitergegeben, müssen Lösch- oder Korrekturanfragen ebenso an Dritte weitergegeben werden. Deshalb ist es wichtig je Datensatz im CRM zu hinterlegen, von wem die Daten erhoben wurden.
Diese Prozesse sind im Unternehmen einzuführen und die Mitarbeiter entsprechend zu schulen. Datenänderungen im CRM System sollten deshalb automatisch protokolliert und ggf. an einen Verantwortlichen gemeldet werden, wenn Dritte betroffen sind.
Die CRM Software AG-VIP unterstützt diese Prozesse und ermöglicht z.B. die Beauskunftung auf Knopfdruck oder Protokollierung von Datenänderungen.
Verzeichnis von Verarbeitungstätigkeiten in CRM Lösung anlegen
Um die rechtskonforme Verarbeitung der Daten nachweisen zu können, besteht die Verpflichtung, für jeden Prozess, der personenbezogene Daten verarbeitet, eine Beschreibung anzufertigen. Alle Beschreibungen gehen in das Verzeichnis von Verarbeitungstätigkeiten ein. Dies ist nach der DSGVO als prozessorientierte Übersicht der Verarbeitungen zu verstehen. Es umfasst unter anderem den Namen und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung und eine Kategorisierung der betroffenen Daten. Das Verzeichnis der Verarbeitungstätigkeiten ist als Anlage für das Verfahrensverzeichnis notwendig. Darin finden sich Informationen zum datenverarbeitenden Unternehmen, seinem Vertreter, dem bestellten Datenschutzbeauftragten, etc.
Mehr Informationen zum Thema DSGVO und CRM finden Sie im kostenlosen eBook „Datenschutz 2018 – die DSGVO in der vertrieblichen Praxis“.
Sprechen Sie uns an, wenn Sie an einem DSGVO konformen CRM System Interesse haben.