Löschfristen von Kundendaten im CRM
Wir zeigen Ihnen, wie ein CRM-System dabei helfen kann, Löschfristen einzuhalten. Keine Versäumnisse mehr bei gesetzlichen Vorgaben.
Der Trend ist eindeutig. Immer mehr Unternehmen setzen auf ganzheitliche CRM Systeme, um all ihre Kundendaten zentral zu speichern und verwalten. Mit endgültigem Inkrafttreten der DSGVO im Mai 2018 ist die sichere Verwaltung und Verarbeitung sensibler Daten vehement in die öffentliche Aufmerksamkeit gerückt.
In Anbetracht der nun geltenden Datenschutzrichtlinien mögen CRM-Systeme auf den ersten Blick ein großes Sicherheitsrisiko darstellen, da bei unzureichendem Datenschutz durch sie potenziell eine große Anzahl hochsensibler Daten in die falschen Hände geraten kann. Doch es geht auch anders – durch spezielle Funktionen innerhalb eines CRM-Systems ist es möglich, das Unternehmen bei der Einhaltung der Datenschutzrichtlinien zu unterstützen.
Inhaltsverzeichnis
- Das „Recht auf Vergessenwerden“
- Löschfristen
- Umsetzung in Unternehmen
- Bußgeld bei Verstößen
- Rolle der CRM-Software
- Verantwortung von Anbietern & Nutzern
- Fazit
Art. 17 DSGVO – Das „Recht auf Vergessenwerden“
Im Mittelpunkt der Debatte um die Datenschutzgrundverordnung (DSGVO) stand unter anderem auch Kapitel 3 Artikel 17 – Das Recht auf Löschung. Im umgangssprachlichen Gebrauch ist dieser Artikel auch als „Recht auf Vergessenwerden“ bekannt. Kap. 3 Art. 17 der seit Mai 2018 verbindlich geltenden DSGVO besagt, dass eine betroffene Person das Recht hat
„(…) von dem Verantwortlichen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: (…)“ (vgl. dsgvo-gesetz.de).
Im Weiteren werden als mögliche Gründe beispielsweise genannt, dass die Daten für den Zweck, aus dem sie ursprünglich erhoben wurden, redundant geworden sind, sie zu unrechtmäßigen Zwecken genutzt wurden oder die betroffene Person rückwirkend Widerspruch gegen die weitere Verarbeitung einlegt.
Löschfristen: Wann müssen Daten entfernt werden?
Bei der Löschung der Daten gelten gesetzliche Fristen. So ist das Unternehmen beispielsweise verpflichtet, die betreffenden Daten nach Eingang eines entsprechenden Antrags der betroffenen Person unverzüglich, d.h. mit anderen Worten ohne schuldhaftes Verzögern zu löschen.
Vorgesehene Frist für die Löschung
Geht keine entsprechende Anfrage ein, gelten dennoch gesetzliche Fristen. So wird bei personenbezogenen Daten im CRM-System nach einem Ablauf von zwei Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sofern keine Erforderlichkeit besteht, sollten die Daten gelöscht werden. Hiervon sind buchungsrelevante Daten bzw. Daten, die im Sinne des Handelsgesetzbuches (HGB) als Geschäftsbriefe einzuordnen sind, ausgenommen (vgl. datenschutz-guru.de).
Aufbewahrungsfristen
Grundsätzlich sollten sich die Löschfristen an den gesetzlichen Aufbewahrungsfirsten orientieren. Bei Rechnungen beträgt diese beispielsweise gemäß Abgabenordnung 10 Jahre. Sofern keine direkte Aufbewahrungsfirst besteht, sollten die Daten dann gelöscht werden, wenn ihr Zweck erfüllt ist; sprich, wenn sie nicht mehr benötigt werden (vgl. dsgvo-vorlagen.de).
Umsetzung in Unternehmen
Dies mag so manches Unternehmen, welches seine Kundendaten dezentral verwaltet, vor Probleme stellen, da im Zweifelsfall keine einheitliche, für alle zuständigen Mitarbeiter zugängliche Übersicht darüber besteht, welche Anträge bereits verarbeitet worden sind. So kann es zu internen Verzögerungen bei der ordnungsgemäßen Löschung kommen, welches im Zweifelsfall ein Nachspiel für das Unternehmen haben kann.
Welche Strafen drohen bei Verstößen?
Gemäß Art. 25 Abs. 2 ist das Unternehmen, welches die Daten verarbeitet, sogar dazu verpflichtet, Maßnahmen in Form von technischen Voreinstellungen zu treffen.
Höhe des Bußgeldes bei DSGVO-Verstoß
Ein Verstoß kann im Ernstfall mit einem Bußgeld in Hohe von 10 Mio. Euro bzw. 2% des Jahresumsatzes des Vorjahres geahndet werden – je nachdem, welcher Betrag höher ist. Bei einem Verstoß gegen einen oder mehrere der in Art. 5 aufgeführten Punkte – wie beispielsweise der Zweckbindung der verarbeiteten Daten – kann das Bußgeld sogar bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes des vergangenen Geschäftsjahres betragen (vgl. keyed.de).
Letzten Endes wird die Höhe des Bußgeldes von den zuständigen Aufsichtsbehörden des jeweiligen Bundeslandes beschlossen. Welche Maßnahmen kann ein Unternehmen also im Detail veranlassen, um sich vor Verstößen gegen die DSGVO und möglichen Bußgeldern zu schützen?
Rolle der CRM-Software: Datenschutz und die DSGVO
Ein Unternehmen, welches seine Kundendaten mittels CRM-Systemen verwaltet, hat diverse Möglichkeiten, Anpassungen im System selbst vorzunehmen, um eine Konformität mit der DSGVO zu gewährleisten. Vorschläge für generelle Maßnahmen, welche Unternehmen treffen können, werden unter anderem in Erwägungsgrund 78 DSGVO aufgeführt.
- Minimierung der Verarbeitung personenbezogener Daten
- Schnelle Pseudonymisierung der Daten
- Transparenz bzgl. Funktion der Datenverarbeitung
- Der betroffenen Person eine Überwachung der Verarbeitung ermöglichen
- Schaffung und Verbesserung von Sicherheitsfunktionen
Wie lassen sich die Maßnahmen im CRM-System umsetzen?
Dies ist beispielsweise durch die automatische Dokumentation von Anfragen betroffener Personen möglich. Hier kann der Wunsch auf Auskunft oder Löschung der Daten aufgenommen werden. Durch eine Datierung der eingehenden Anfragen behalten die Anwender des CRM-Systems im Überblick, welche Kundendaten als nächste entfernt werden müssen. Auch besteht beispielsweise die Möglichkeit, sich automatisiert durch das System - u. A. auch via Email - berichten zu lassen, für welche Personen die Rechtmäßigkeit der Datenverwaltung und -verarbeitung in Kürze erlischt.
Das ordnungsgemäße Löschen erhobener Daten in der CRM-Software
Der zuständige Anwender wird so umgehend darüber benachrichtigt, dass akuter Handlungsbedarf. So kann er den entsprechenden Datensatz ordnungsgemäß dauerhaft entfernen. Doch was genau bedeutet „Löschen“ in Zeiten der digitalen Transformation? Der Begriff selbst wird in der Datenschutz-Grundverordnung nicht näher definiert. Wichtig ist jedoch, dass nach Durchführung der Löschung keine Möglichkeit mehr besteht, ohne unverhältnismäßigen Aufwand rückwirkend Zugriff auf die Daten zu erhalten.Weiterführende Informationen zum Thema Datenschutz im CRM-System finden Sie auf unserer Datenschutz-Seite.
CRM-Anbieter und -Nutzer in der Verantwortung
Laut DSGVO liegt es in der Verantwortung des Nutzers eines Cloud CRM-Systems, sicherzustellen, dass die geltenden Datenschutzrichtlinien des System-Providers mit denen der geltenden DSGVO übereinstimmen. Dennoch fordert die DSGVO in Erwägungsgrund 78 Hersteller der CRM-Systeme; also CRM-Anbieter; dazu auf, ebenfalls Maßnahmen zu treffen, um die Anwendern der Software während der Datenverarbeitung bei der Einhaltung der geltenden Datenschutzrichtlinien zu unterstützen. So haben einige Software-Provider bereits Ressourcen in die Entwicklung entsprechender Add-Ons investiert, welche innerhalb existenter CRM-Systeme bei der Einhaltung der DSGVO behilflich sind.
Fazit: Löschfristen mit der CRM-Software einhalten
CRM-Systeme agieren bei der Speicherung, Verwaltung und Verarbeitung von Kundendaten als zentrale Datenbank. Aus diesem Grund stellen sie auf den ersten Blick ein hohes, datenschutzrechtliches Risiko dar.
Datenschutzrechtliche Vorteile einer CRM-Software
Tatsächlich verfügen moderne CRM-Systeme jedoch um eine Vielzahl an Funktionen, die Unternehmen den DSGVO-konformen Umgang mit personenbezogenen Daten erleichtern können. Dies auch bei der Einhaltung gesetzlicher Löschfristen der Fall. Durch Funktionen wie automatisierte Benachrichtigungen können Anwender an dringende Löschungen erinnert werden. So wird die Wahrscheinlichkeit, dass eine Löschfrist unbemerkt verstreicht, deutlich reduziert.
Starten Sie Ihre CRM-Auswahl
Finden Sie heraus, welche CRM-Systeme am besten zu Ihrem Unternehmen passen
Contextual Targeting: Die ultimative Marketingstrategie
Die Kunst des ‘perfekten Contents’: Ort, Zeit und Zielgruppe vereint ergeben die beste Marketingstrategie in 2024.
Lesen Sie weiter5 Tipps, um das Beste aus Ihrem CRM-System herauszuholen
Mit diesem Leitfaden haben Sie die Chance, das Beste aus Ihrem neuen CRM-System zu holen, vom ersten Tag der Implementierung.
Lesen Sie weiter