DSGVO und CRM
Viele Unsicherheiten bei der CRM-Datenhaltung
Fortsetzung des Artikels von Teil 1
Felder mit personenbezogenen Daten definieren
CRM lebt von kundenspezifischen Daten: Durch eine persönliche und zielgerichtete Ansprache soll die Kundenbindung gestärkt werden. Um DSGVO-Konformität zu gewährleisten, müssen Unternehmen aber genau wissen, welche Felder und Datensätze personenbezogene Daten enthalten. Im Idealfall kann ein CRM- oder ERP-System die Information „personenbezogenes Feld“ als Metadatum an ein Tabellenfeld anfügen. Wollen Kunden wissen, welche personenbezogenen Daten gespeichert sind, lassen sich alle geforderten Informationen mit einem Klick zusammenstellen. Dabei ist jedoch zu beachten, dass etwa eine Arztpraxis andere personenbezogene Daten speichert als ein Onlineshop eines Modelabels. Die Entscheidung, welche Information DSGVO-relevant ist, bleibt somit abhängig vom Verwendungszweck. Somit müssen die Daten auch individuell geschützt werden.
Idealerweise lässt sich ein Bericht für den Kunden automatisch anpassen: Wird ein neues personenbezogenes Feld erstellt, muss dieses umgehend seinen Weg in die Kundenauskunft finden. Bei manueller Berichterstellung wird dies leicht übersehen. Deshalb sollte dieser Prozess automatisiert sein, damit stets alle relevanten Daten an den Kunden berichtet werden. Personen haben das Recht, dass ihre Daten an einen Mitbewerber weitergegeben werden, beispielsweise beim Wechsel des Stromanbieters. Deshalb sollten Unternehmen mindestens in der Lage sein, personenspezifische Daten auf Anfrage in einem aktuellen Format als Datei an den Kunden zu versenden. Das heißt: Die persönlichen Daten müssen so herausgegeben werden, dass sie sich maschinell verarbeiten lassen.
Daten auf den Prüfstand stellen
Generell müssen alle kundenspezifischen Anpassungen an Datenbanken wie ERP oder CRM auf den Prüfstand: Handelt es sich bei dieser Information um personenbezogene Daten? Sind sie wirklich geschäftsrelevant? Habe ich eine gesetzliche Grundlage oder benötige ich eine Einverständniserklärung, um die Informationen zu verarbeiten? Wenn der Kunde seine Daten anfordert, welche Angaben muss ich ihm schicken – und wie schütze ich diese Daten angemessen? Es ist empfehlenswert, solche Fragen gemeinsam mit Experten und dem Datenschutzbeauftragten des eigenen Unternehmens zu beantworten. Im Zweifelsfall sollte man einen Fachanwalt hinzuziehen.
Der Vorteil bei ERP-Systemen
ERP-Systeme bieten den Vorteil, dass viele Prozesse schon immer gesetzliche Vorschriften und Nachweispflichten einhalten mussten, etwa, dass Rechnungen zehn Jahre aufzubewahren sind. Einen entsprechenden Beleg zu löschen ist in solchen Fällen nicht möglich. Bei Standardfeldern eines ERP-Systems können Unternehmen davon ausgehen, dass diese den rechtlichen Rahmenbedingungen bereits entsprechen. Häufig werden unternehmensspezifische Anpassungen vorgenommen, beispielsweise werden Felder für kundenspezifische Informationen in Tabellen eingefügt. Dann ist zu prüfen, ob deren Inhalt tatsächlich gespeichert werden muss oder darf. Darüber hinaus sollte sichergestellt werden, dass diese neuen personenbezogenen Daten ebenfalls in dem Bericht an die Kunden auftauchen.
DSGVO als Chance nutzen
Obwohl die DSGVO von vielen Unternehmen als Einschränkung ihrer Datenhaltung wahrgenommen wird, bringt sie auch Chancen mit sich: Unternehmen müssen nun bewusster mit den Daten ihrer Kunden umgehen. Die Einverständniserklärung von Kunden, die Unternehmen mittlerweile einholen müssen, ist auch ein Beleg dafür, dass der Nutzer tatsächlich mit dem jeweiligen Unternehmen zusammenarbeiten möchte. Wird diese Einverständniserklärung verweigert oder eine bestimmte Information nicht ausgehändigt, gilt das als klare Aussage. Insbesondere kleine und mittelständische Betriebe können so durchaus von der DSGVO profitieren. Wer mit seinem CRM professionelles Marketing und Kundenanalyse betreiben möchte, benötigt professionelle Unterstützung.
Themen wie Anonymisierung und Randomisierung von Kundendaten ermöglichen weitreichende Auswertungen, ohne personenbezogene Daten zu speichern. Letztendlich werden die ursprünglichen Daten so umgewandelt, dass Einzelpersonen nicht mehr erkennbar sind. So ist es für einen Verkäufer von Tierprodukten hilfreich, wenn er weiß, wie viele Hunde und Katzen seine Kunden haben, um sie passgenau bedienen zu können. Dazu reicht eine anonymisierte Zählung. Personenbezogene Daten, wie Name oder Wohnort, sind nicht notwendig.
Jochen Schimmel ist Product Development Lead CRM & Software Engineering Lead Business Software bei Konica Minolta
- Viele Unsicherheiten bei der CRM-Datenhaltung
- Felder mit personenbezogenen Daten definieren
Lesen Sie mehr zum Thema
