Personenbezogene Daten im CRM: Verarbeitung und Datenschutz
Die Verarbeitung personenbezogener Daten wird über die Datenschutzgrundverordnung (EU-DSGVO) geregelt. Was Sie über die Erhebung und Verarbeitung personenbezogener Daten im CRM wissen sollte, erfahren Sie hier.
Der Datenschutz spielt in Unternehmen aller Art eine wesentliche Rolle. Überall dort, wo Daten erhoben und verarbeitet werden, müssen sie auch entsprechend geschützt werden. Ein Schutz vor Hacker-Angriffen, Viren und Malware/Ransomware wie Cactus ist dabei ein wichtiger Beweggrund für eine möglichst umfassende Datenschutz-Strategie. Neben dem Schutz der Daten vor dem Zugriff Dritter geht es dabei auch darum, einen Verlust der Daten zu vermeiden.
Im Bereich des Kundenbeziehungsmanagements (Customer Relationship Management; CRM) geht es beim Datenschutz vornehmlich um den Schutz sogenannter personenbezogener Daten in der CRM-Software, in der diese gespeichert und verarbeitet werden. Im Folgenden befassen wir uns daher einmal näher mit dieser Art der Daten und zeigen auf, was Unternehmen in Bezug auf Ihre Verarbeitung im CRM wissen sollten.
Inhaltsverzeichnis
- Was sind personenbezogene Daten?
- Datenschutzgrundverordnung (DSGVO)
- Personenbezogene Daten im CRM
- CRM & DSGVO
- Wie sicher ist CRM-Software?
- Drittländer & die Cloud
Was sind personenbezogene Daten?
Die Bezeichnung "personenbezogene Daten" ist ein Begriff aus dem Datenschutzrecht und ist in der Datenschutzgrundverordnung (EU-DSGVO) legaldefiniert. Er beschreibt sämtliche Daten bzw. Informationen, welche sich auf eine identifizierte bzw. zu identifizierende Person beziehen.
Daten gelten dann als personenbezogen, wenn sie einer realen natürlichen Person zugeordnet werden können; sowohl unmittelbar als auch mittelbar. Diese Arten von Daten werden im Zeitalter der digitalen Transformation häufig automatisiert bzw. digital erfasst und unterliegen einem besonderen Schutz.
Personenbezogene Daten: Beispiele
Beispiele für häufig erhobene personenbezogene Daten sind
- Name,
- Adresse oder
- E-Mail-Adresse,
wobei auch Daten wie Augenfarbe personenbezogen sein können. Dies ist dann der Fall, wenn sie direkt der Person zugeordnet werden. Demnach sind auch Informationen und Daten, über welche sich ein Personenbezug herstellen lässt, wie Kontonummer oder IP-Adresse personenbezogen. Auch Daten wie Ausweisnummer (Pass oder Personalausweis) oder Rentenversicherungsnummer sind personenbezogene Informationen.
Sensible Daten
Darüber hinaus ist häufig auch von sensiblen Daten die Reden. Umgangssprachlich lässt sich diese Bezeichnung nicht scharf angrenzen und lässt Spielraum für subjektive Interpretation. Grundsätzlich umfasst diese Art der Daten jedoch Informationen wie beispielsweise Gesundheitsdaten oder Informationen zur ethnischen Herkunft, sexuellen Orientierung oder genetische und biometrische Daten.
Bestimmte Sektoren, wie beispielsweise das Gesundheitswesen, aber auch z.B. die öffentliche Verwaltung, verarbeiten täglich eine Vielzahl sensibler, personenbezogener Daten. Diese Arten der Daten unterliegen besonderen Verarbeitungsbediengungen. Branchenspezifische Systeme, wie beispielsweise Healthcare CRM, werden diesen gerecht.
Datenschutzgrundverordnung (DSGVO)
Datenschutzgrundverordnung (DSGVO) und personenbezogene Daten gehen Hand in Hand. Die Datenschutzgrundverordnung (EU-DSGVO) in ihrer aktuellen Fassung bildet seit dem 25. Mai 2018 i den gemeinsamen Datenschutzrahmen für die Europäische Union.
Durch sie werden die Regeln zur Verarbeitung personenbezogener Daten durch private und öffentliche Verantwortliche EU-weit standardisiert. Die DSGVO soll dabei jedoch nicht nur schützen und "einschränken".
Schutz und freier Datenverkehr
Auch soll sie einen vereinfachten, geregelten Datenverkehr innerhalb der EU auch über Ländergrenzen hinaus vereinfachen. Daten werden allgemeinhin auch gerne als Gold oder Öl des 21. Jahrhunderts bezeichnet.
Im Zeitalter der "Datafication" sind sie für Unternehmen und Einrichtungen aller Art von großer Bedeutung. Umso wichtiger ist es, dass es einheitliche Standards gibt, die den Datenverkehr und die sichere Erhebung, Speicherung und Verarbeitung regulieren.
Personenbezogene Daten im CRM
Unternehmen erheben aus unterschiedlichen Gründen personenbezogene Daten. Im Bereich des Customer Relationship Managements geht es zumeist um die Erhebung von Kundendaten. Dabei kann es sich sowohl um Stammdaten wie Name oder Adresse handeln, jedoch auch um Informationen aus der Kontakthistorie, dem Schriftverkehr, Kontaktpräferenzen oder das Verhalten eines Kunden oder Interessenten auf der eigenen Website.
Das analytische CRM und der Wert der Daten
Diese Daten sind für Unternehmen von unschätzbarem Wert. Sie lassen sich in einem Teil des CRM-Tools, dem analytischen CRM, auswerten. So können Betriebe wertvolle Erkenntnisse über das Verhalten sowie die Bedürfnisse der Kunden gewinnen und diese fortan besser bedienen. Vertriebler werden beispielsweise befähigt, Kunden mit relevanteren Angeboten anzusprechen.
Kundenservice (Customer Service) -Mitarbeiter können jederzeit über einen Zugriff auf die zentrale Datenbank die Historie einsehen und Kunden besser bedienen. Marketing-Kampagnen sind durch eine gezielte Zielgruppensegmentierung erfolgreicher. Insgesamt gestaltet sich der Betriebsalltag effizienter, Missverständnissen wird vorgebeugt, die Kundenzufriedenheit und Kundenbindung steigen und mit ihnen auch der Umsatz.
DSGVO im CRM
Doch wie steht es um den Schutz der Daten in CRM-Systemen; insbesondere dann, wenn es sich um sensible personenbezogene Daten handelt, welche besonderen Verarbeitungsbedingungen unterliegen?
Sorge um den Datenschutz
Allzu vielen dürften prominente Datenlecks bekannt sein, bei denen unzählige Kundendaten renommierter Unternehmen in die falschen Hände gelangten. Einige Unternehmen präferieren aus Sorge um den Schutz (personenbezogener) Daten nach wie vor auch lokale Lösungen gegenüber der Cloud.
Datenschutz im CRM: Wie sicher sind CRM-Systeme?
Die gute Nachricht jedoch einmal vorab: Anbieter von CRM-Lösungen wissen selbstverständlich um die Datenschutzgrundverordnung. Sie sind sehr darauf bedacht, dass ihre Systeme immer der aktuellen Fassung der Datenschutzgrundverordnung entsprechen. Sie können Unternehmen somit sogar umfassend bei der DSGVO-konformen Verarbeitung personenbezogener Daten unterstützen. So gilt es beispielsweise Daten, die nicht länger benötigt werden, nach Ablauf einer bestimmten Frist zu löschen (bei den meisten Daten nach Ablauf von zwei Jahren zum Ende des jeweiligen Kalenderjahres).
Technische und organisatorische Maßnahmen (TOM)
CRM-Tools können Nutzer automatisiert daran erinnert, dass eine entsprechende Frist naht. Tatsächlich sieht die DSGVO sogar vor, dass Unternehmen, die personenbezogene Daten verarbeiten (also die "Datenempfänger"), bereits vor der Erhebung entsprechende technische und organisatorische Maßnahmen (kurz TOM) ergreifen, um diese zu schützen. Eine DSGVO-konforme CRM-Software mit entsprechenden Datenschutz-Funktionen und -Einstellungen ist ein Beispiel dafür.
Drittländer und die Cloud
Auf dem hiesigen Business Software Markt sind auch viele internationale Anbieter vertreten, unter anderem auch vermehrt aus den Vereinigten Staaten. Nicht selten gehen Unternehmen hier Bedenken in Zusammenhang mit der Datenschutzgrundverordnung, da nicht EU-Länder auch außerhalb des Geltungsbereiches der DSGVO fallen.
Rücksprache bzgl. DSGVO-Konformität
Internationale Anbieter, die sich auf dem hiesigen Markt etabliert haben, sind mit den Anforderungen der Datenschutzgrundverordnung vertraut. Unternehmen, die die Inanspruchnahme der Dienstleistung eines internationalen Anbieters in Erwägung ziehen, sollten sich mit diesem über dessen Datenschutzmaßnahmen und eventuelle Bedenken austauschen.
Häufig dennoch Rechenzentren in Europa
Viele Internationale Anbieter betreiben beispielsweise Rechenzentren in Europa (und schreiben dies auch explizit auf der eigenen Internetpräsenz aus), sodass eine Übermittlung von Kundendaten aus der EU in Drittländer nicht stattfindet.
Fazit: Sichere Verarbeitung personenbezogener Daten im CRM
Zusammenfassend lässt sich festhalten, dass kein Betrieb ohne die Erhebung personenbezogener Daten auskommt. Auch, wenn keine umfassenden Analysen durchgeführt werden; Zumindest Stammdaten wie Name, Adresse & Co. müssen erfasst werden, um Kunden und Interessenten kontaktieren zu können. Mit dem technologischen Fortschritt und den Möglichkeiten, die Big Data & Co. mit sich bringen, steigen für Unternehmen auch die Anreize, Daten zu erfassen und diese gezielt auszuwerten. Wer personenbezogenen Daten erfasst, muss diese jedoch auch gemäß DSGVO schützen.
Eine CRM-Lösung kann Unternehmen dabei unterstützen. Wer als Unternehmen Vorbehalte gegenüber der Cloud oder einer Datenverarbeitung und -Speicherung in Drittländern kann, sollte sich umfassend beim Anbieter über dessen Datenschutzmaßnahmen informieren. Weiterführende Informationen rund um den Schutz von personenbezogenen Daten in der CRM-Software finden Sie auf unserer Themenseite Datenschutz.
Starten Sie Ihre CRM-Auswahl
Finden Sie heraus, welche CRM-Systeme am besten zu Ihrem Unternehmen passen
Contextual Targeting: Die ultimative Marketingstrategie
Die Kunst des ‘perfekten Contents’: Ort, Zeit und Zielgruppe vereint ergeben die beste Marketingstrategie in 2024.
Lesen Sie weiter5 Tipps, um das Beste aus Ihrem CRM-System herauszuholen
Mit diesem Leitfaden haben Sie die Chance, das Beste aus Ihrem neuen CRM-System zu holen, vom ersten Tag der Implementierung.
Lesen Sie weiter