Wie Sie der Dokumentationspflicht mit dem CRM nachkommen
Wir zeigen Ihnen, wie Sie mit Ihrem CRM-System der gesetzlichen Dokumentationspflicht nachkommen und dabei auch noch sicherer arbeiten.
Die Datenschutzgrundverordnung – abgekürzt DSGVO – trat im Mai 2018 endgültig in Kraft. Sie ist maßgebend dafür, wann Unternehmen Daten erheben können, wie diese verarbeitet und gespeichert werden dürfen und wann diese zu löschen sind. Doch nach Art. 30 verpflichtet sie auch dazu,
„eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeiten werden.“ (vgl. dsgvo-gesetz.de).
Wir wollen uns an dieser Stelle einmal näher damit beschäftigen, wie CRM-Systeme Unternehmen bei der Erfüllung ihrer Dokumentationspflicht behilflich sein können. Zunächst muss jedoch definiert werden, was genau unter einem CRM-System zu verstehen ist.
Inhaltsverzeichnis
- Was ist ein CRM-System?
- DSGVO und die Dokumentationspflicht
- Besondere Datenkategorien
- Mit dem CRM-System den bürokratischen Aufwand minimieren
- Agile CRM-Systeme ermöglichen automatische Protokollierung
- Fazit: Dokumentationsanforderungen mit dem CRM-System erfüllen
Was ist ein CRM-System?
CRM steht für Customer Relationship Management. CRM – oder Kundenbeziehungsmanagement – beschäftigt sich mit allen Prozessen, die Kunden bzw. ihre Daten involvieren.
Ursprünglich dienten CRM-Systeme vornehmlich der bloßen Kontaktverwaltung. Heutzutage gibt es viele weitere Gründe für Einführung eines CRM-Systems. Moderne CRM-Systeme verfügen über weitaus mehr Funktionen. So lassen sich kundenspezifische Prozesse ganzheitlich im CRM-System abbilden und optimieren.
Hinzu kommt, dass CRM-Systeme heutzutage oftmals als Analyse-Tools zum Einsatz kommen. Die Systeme sind in der Lage, große Mengen an Kundendaten zu verarbeiten und auszuwerten. So können Unternehmen unter anderem über aktuelle Marktentwicklungen oder sich ändernde Kundenbedürfnisse Aufschluss gewinnen.
DSGVO und die Dokumentationspflicht
Laut Artikel 30 muss die Dokumentation wesentliche Angaben zur Datenverarbeitung beinhalten. Hierzu zählen unter anderem der Verarbeitungszweck, der Empfänger der Daten - beispielsweise auch im Falle einer Übermittlung der Daten an Dritte - die Datenkategorie und der Kreis der betroffenen Personen.
„Betroffene Personen“ bezieht sich innerhalb der DSGVO auf jene Personen, deren Daten erhoben werden.
Aufhebung der Dokumentationspflicht bei KMUs
Da dies besonders kleine Unternehmen vor einen großen bürokratischen Aufwand stellt, befreit die DSGVO Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern - also Unternehmen, welche nach Definition der EU-Kommission als KMUs eingestuft werden - von der Führung dieses Verzeichnisses von Verarbeitungstätigkeiten.
Befreiung von der Dokumentationspflicht an Bedingungen geknüpft
Die Befreiung ist jedoch an einige Bedingungen geknüpft. So kommt es beispielsweise nur zu einer Befreiung, wenn lediglich gelegentlich Daten erhoben und verarbeitet werden.
Zudem darf die Verarbeitung der Daten keine Gefährdung der Freiheit und Rechte der betroffenen Person darstellt. Grundsätzlich ist ausgeschlossen, dass es sich bei den durch das Unternehmen verarbeiteten Informationen um Daten sogenannter besonderer Datenkategorien handelt.
Besondere Datenkategorien
Hierbei handelt es sich um sensible, personenbezogene Daten, aus denen sich beispielsweise ethnische Herkunft, Religionszugehörigkeit oder Weltanschauung schließen lassen. Hinzu kommen auch genetische oder biometrische Daten zur eindeutigen Identifizierung einer Person oder Informationen zum Gesundheitszustand oder sexuellen Orientierung.
Grundsätzlich wird diese Befreiung von der Führung eines Verzeichnisses jedoch in der Praxis vermutlich nur vereinzelt zum Tragen kommen.
Zudem wird vom Gesetzgeber nicht näher erörtert, was genau unter einer „gelegentlichen Verarbeitung“ zu verstehen ist. Da dies im Zweifelsfall im Ermessen der zuständigen Aufsichtsbehörde liegt, ist es ratsam, die nötigen Schritte zur ordnungsgemäßen Dokumentation in die Wege zu leiten.
Denn neben der Pflicht auf Dokumentation der Verarbeitungstätigkeiten beschreibt Art. 5 Abs. 2 DSGVO zudem den Grundsatz der Rechenschaftspflicht. Dieser besagt, dass Unternehmen nicht nur dazu verpflichtet sind, ihre Daten gemäß der Datenschutz-Grundverordnung zu behandeln, sondern dies auch nachzuweisen bzw. nachweisen zu können.
Rechenschafts- und Dokumentationspflicht gehen Hand in Hand
Es wird offensichtlich, dass die Pflicht auf Dokumentation und die der Rechenschaft gemeinsam einher gehen. Wer seine Datenverarbeitungsprozesse gemäß der DSGVO dokumentiert, sollte mithilfe dieser Dokumente im Zweifelsfall auch die Rechtmäßigkeit der Datenverarbeitung belegen können.
Mit dem CRM-System den bürokratischen Aufwand minimieren
Die akribische, manuelle Dokumentation sämtlicher datenschutzrelevanter Prozesse stellt vorstellbar einen enormen bürokratischen Aufwand dar. Dieser ist wiederum unternehmsintern mit einem immensen Ressourcenaufwand verbunden.
Besonders kleinere Unternehmen sehen sich oftmals mit der Erfüllung bürokratischer Auflagen überfordert. Regelmäßige, händische Kontrollen der Kühlkette stellen bereits seit Jahren viele Kleinstbetriebe vor große Hindernisse – zumal in kleinen Firmen meist zeitaufwendige, manuelle Dateneintragungen stattfinden.
Ein zentrales, technisch automatisiertes System der Datenaufnahme kann in diesem Fall Abhilfe schaffen.
Agile CRM-Systeme ermöglichen automatische Protokollierung
Dies gilt auch für die Einhaltung der Dokumentationspflicht mit Hilfe eines CRM Systems. Um die Daten DSGVO-konform zu verarbeiten, müssen im CRM sämtliche Prozesse, welche personenbezogene Informationen beinhalten, lückenlos dokumentiert werden.
So manches CRM kann hier sein Limit erreichen. In diesen Fällen ist die Implementierung neuer CRM Funktionen und Prozesse ratsam. Vor allem agile CRM-Systeme, welche Änderungen an Daten beispielsweise automatisch protokollieren, sind hier von Vorteil.
Rechenschaftspflicht im CRM-System
Auch der Rechenschaftspflicht kann mittels bestimmter Funktionen innerhalb des CRM Systems nachgekommen zu werden. Verlangt eine betroffene Person Auskunft über die vom Unternehmen verarbeiteten personenbezogenen Daten, so müssen sie in einem Format bereitgestellt werden, welches für die betroffene Person adäquat und importierbar ist.
Manche CRM-Systeme ermöglichen zu diesem Zweck den Export der Dokumentation sämtlicher personenbezogener Daten einer bestimmten Privatperson.
Dokumentation der technischen und organisatorischen Maßnahmen im CRM-System
Neben Rechenschafts- und Dokumentationspflicht existiert gemäß DSGVO ebenfalls eine Dokumentationspflicht zur Sicherheit der Datenverarbeitung.
Demnach muss nicht nur dokumentiert werden, wie und zu welchem Zweck personenbezogene Daten verarbeitet und gespeichert werden, sondern auch, welche technischen und organisatorischen Maßnahmen (TOM) das Unternehmen erhoben hat, um die Sicherheit der Daten zu gewährleisten.
Die sogenannten TOM gewinnen vor allem dann an Bedeutung, wenn es widererwartend zu einem Datenleck oder einem Verstoß gegen die DSGVO kommen sollte. In diesem Fall lässt sich mittels korrekter Dokumentation aller getroffenen Sicherheitsmaßnahmen belegen, was das Unternehmen im Vorfeld unternommen hat, um einem solchen Szenario vorzubeugen.
Technische und organisatorische Maßnahmen im CRM
In der Dokumentation der TOM sollte vor allem aufgeführt werden, welche Maßnahmen sie innerhalb des CRM getroffen haben, um den Schutz der Daten betroffener Personen zu gewährleisten. Hier unterscheidet man im allgemeinen zwischen
- Privacy by Default und
- Privacy by Design.
Privacy by Default
Privacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen, welche innerhalb des CRM-Systems getroffen wurden. So ist beispielsweise ratsam, dass ausschließlich Daten, welche zwangsläufig benötigt werden, standardisiert vom System erfasst werden.
Willigt die betroffene Person einer erweiterten Datenverarbeitung ein, so kann dies im Nachhinein im CRM-System geändert werden.
Privacy by Design
Privacy by Design bezieht sich unmittelbar auf die Wahl eines geeigneten CRM-Systems. So muss gewährleistet sein, dass die Software, welche zur Verarbeiten personenbezogener Daten ausgewählt wird, auch einen ausreichenden Datenschutz ermöglicht.
Fazit: Dokumentationsanforderungen mit dem CRM-System erfüllen
Die in Artikel 30 DSGVO definierte Dokumentationspflicht mag zunächst wie eine weitere, bürokratische Auflage scheinen.
Es sollte jedoch nicht übersehen werden, dass Dokumentationspflicht und Rechenschaftspflicht Hand in Hand gehen.
Eine ordnungsgemäße Dokumentation ist also auch durchaus im Interesse der Unternehmen, die personenbezogene Daten verarbeiten. Wichtig ist, dass Unternehmen sich nicht gegen eine Dokumentation wehren oder mit einer aufwendigen händischen Dokumentation wertvolle Ressourcen vergeuden.
Moderne CRM-Systeme sind in der Lage, diverse Änderungen automatisch zu protokollieren. Somit entsteht für Unternehmen bei der Nutzung eines adäquaten CRM-Systems kein unnötiger Aufwand.
Starten Sie Ihre CRM-Auswahl
Finden Sie heraus, welche CRM-Systeme am besten zu Ihrem Unternehmen passen
Contextual Targeting: Die ultimative Marketingstrategie
Die Kunst des ‘perfekten Contents’: Ort, Zeit und Zielgruppe vereint ergeben die beste Marketingstrategie in 2024.
Lesen Sie weiter5 Tipps, um das Beste aus Ihrem CRM-System herauszuholen
Mit diesem Leitfaden haben Sie die Chance, das Beste aus Ihrem neuen CRM-System zu holen, vom ersten Tag der Implementierung.
Lesen Sie weiter