Wie Sie die CRM-Benutzeroberfläche sicher gestalten
Wir zeigen Ihnen, welche Sicherheitsmaßnahmen auf Oberflächenebene für einen besseren Datenschutz im CRM-System sorgen
Adäquate CRM Software dient dazu, sämtliche das Customer Relationship Management betreffenden Prozesse effizienter zu gestalten.
Relevante, kundespezifische Daten können mittels des CRM-Systems zentral gespeichert und verarbeitet werden, sodass Mitarbeiter direkten Zugriff auf die benötigten Informationen erlangen und diese entsprechend nutzen können.
- Grundsatz der Datenminimierung im CRM-System
- Die CRM Oberfläche: Datenschutz und Minimalismus
- „Human error“ und die Relevanz der „UNDO“-Funktion im CRM System
- Wer hat Zugriff auf welche Daten im CRM-System?
- Sichere Authentifizierung im CRM-System
- CRM Systeme und das Konzept „Privacy by Design“
- Fazit: Datenschutz beginnt bei der Planung
Grundsatz der Datenminimierung im CRM-System
In der DSGVO wird der sogenannte Grundsatz der Datenminimierung definiert. Dieser besagt, dass Daten nur dann erhoben werden dürfen, wenn sie für den Zweck relevant und angemessen sind. In einfachen Worten bedeutet dies, dass Unternehmen nur die personenbezogenen Daten erheben, verarbeiten und speichern dürfen, die sie auch wirklich benötigen.
Aus datenschutzrechtlichen Gesichtspunkten ist der Hintergrund klar: Unternehmen sollen keinen Zugriff auf sensible Daten erhalten, die sie nicht zwangsläufig benötigen. Denn je mehr personenbezogene Daten erfasst werden, desto mehr Daten können im Fall eines Datenlecks in die falschen Hände geraten.
Die CRM Oberfläche: Datenschutz und Minimalismus
Doch auch für Unternehmen kann der Grundsatz der Datenminimierung von Vorteil sein. Da sie dazu gezwungen werden, nur relevante Daten zu erheben, reduziert dies auch die Flut der im CRM-System erfassten Daten.
Somit wird der administrative Aufwand, diese Daten zu pflegen, minimiert, und die Oberfläche selbst wird durch die Komprimierung ausschließlich relevanter Daten wesentlich übersichtlicher und benutzerfreundlicher gestaltet.
Wenn es um das Design der Oberfläche eines CRM-Systems geht, gilt es also, die Benutzeroberfläche so zu gestalten, dass gewollte Prozesse möglichst einfach und übersichtlich auszuführen sind, während ungewollte - und unter Umständen aus datenschutzrechtlichen Gesichtspunkten problematische - Prozesse erschwert werden.
„Human error“ und die Relevanz der „UNDO“-Funktion im CRM System
Trotz übersichtlichem Design ist der sogenannte „human error“ nicht auszuschließen. In umfangreichen Workflows kann es trotz Vorsichtsmaßnahmen seitens des Unternehmens zu Eingabefehlern kommen. Wird beispielsweise ein Datensatz versehentlich gelöscht, kann die Wiedergewinnung der Daten einen großen Arbeitsaufwand darstellen.
Es ist also im Interesse des Unternehmens, das versehentliche Löschen von Daten seitens der Mitarbeiter auf ein Minimum zu reduzieren. Dies ist auf Oberflächenebene beispielsweise durch einen mehrstufigen Prozess möglich, indem der Anwender mehrmals bestätigen muss, dass die Daten gelöscht werden sollen.
Hier gilt es, ein Mittelmaß zwischen Sicherheit und Zeitaufwand zu finden. Zwar sollen durch ein mehrstufiges Verfahren ungewollte Prozesse vermieden werden, allerdings darf das Verfahren im Fall einer gewollten Löschung auch keinen allzu großen Mehraufwand verursachen.
Die „UNDO“-Funktion
Viele CRM Systeme adressieren dieses Problem mit einer „UNDO“-Funktion. Wer erst nach erneuter Bestätigung bemerkt, dass er einen Fehler gemacht hat, hat die Möglichkeit, bestimmte Befehle mittels der „UNDO“-Funktion rückgängig zu machen. So hat der betreffende Mitarbeiter selbst die Möglichkeit, den Fehler zu beheben und es entsteht kein zusätzlicher Mehraufwand für das Unternehmen.
Wer hat Zugriff auf welche Daten im CRM-System?
Über die Vergabe verschiedener Rollen kann ein Unternehmen festlegen, welcher Anwender Zugriff auf welche Funktionen im CRM-System hat. Welche Rollen im Detail zugewiesen werden können, hängt vom jeweiligen CRM-System ab.
Einige Systeme ermöglichen auch die individuelle Anpassung der zugewiesenen Rechte. Grundsätzlich ist hierbei zwischen aufgabenbasierten Rechten und Rechten auf Datensatzebene zu unterscheiden.
Aufgabenbasierte Rechte
Bei aufgabenbasierten Rechten handelt es sich um die Rechte, die speziell für die Erfüllung des jeweilige Aufgabenprofil des Anwenders benötigt werden.
So erhalten beispielsweise Redaktionsmitarbeiter das aufgabenbasierte Recht, ihre Artikel zu publizieren. Vertriebsmitarbeiter, welche keinen Zugriff auf diese Funktion benötigen, erhalten innerhalb des CRM-Systems dementsprechend auch nicht das Recht, zu publizieren.
Aus datenschutzrechtlichen Gründen ist die ordnungsgemäße Vergabe aufgabenspezifischer Rechte besonders dann von Relevanz, wenn es sich um eine Aufgabe dreht, die die Verarbeitung sensibler, personenbezogener Daten erfordert. Mit diesen Daten sollte keinesfalls leichtfertig umgegangen werden.
So sollten beispielsweise ausschließlich Mitarbeiter der Buchhaltung oder Rechtsabteilung innerhalb des CRM-Systems die Möglichkeit haben, eine Mahnung zu versenden.
Rechte auf Datensatzebene
Auch bei Rechten auf Datensatzebene dreht es sich um das Thema Datenschutz. Sie legen fest, wie eingeschränkt bzw. uneingeschränkt ein Anwender Zugriff auf einen bestimmten Datensatz hat, und wie er diesen Nutzen kann.
So mögen beispielsweise viele Mitarbeiter in der Lage sein, einen bestimmten Satz einzusehen, aber nur einige wenige haben durch das CRM-System auch die Möglichkeit, ihn zu exportieren oder zu löschen.
Nur das Nötigste
Somit findet die Komprimierung auf das Wichtigste, auf welcher der Grundsatz der Datenminimierung basiert, auch in vielen anderen Bereichen innerhalb des CRM-Systems praktische Anwendung.
Nur, wer eine Funktion auch wirklich benötigt und dementsprechend weiß, welche datenschutzrechtlichen Aspekte bei ihrer Verwendung zu beachten sind, kann im CRM-System auf sie zugreifen. So kann durch Vergabe einer Rolle beispielsweise auch definiert werden, auf welche Module der jeweilige Anwender Zugriff hat.
Sichere Authentifizierung im CRM-System
Die Relevanz der Rollenvergabe in Bezug auf höhere Datensicherheit schwindet, wenn es problemlos möglich ist, sich Zugang zu dem Profil eines anderen Anwenders zu verschaffen.
Mutli-factor authentication
Aus diesem Grund verwenden viele, vor allem mobil genutzte CRM-Systeme zunehmenden die sogenannte Multi-factor authentication (abgekürzt MFA, dt. Multi-Faktor Authentifizierung). Wie der Name bereits preisgibt, handelt es sich um eine Sicherheitsmaßname, die neben der Eingabe eines Passwortes noch mindestens eine weitere Art der Identifizierung erfordert.
Üblich ist beispielsweise die zusätzliche Verifizierung über einen Code, welcher vom CRM-System an das Mobiltelefon des Anwenders übermittelt wird. Erst, wenn dieser Code korrekt eingegeben wird, erhält der Anwender Zugriff aus sein Profil und damit alle mit seiner Rolle verknüpften Zugriffsberechtigungen.
CRM Systeme und das Konzept „Privacy by Design“
Das Thema „Privacy by Design“ kam erstmals in den 1970er Jahren auf. Das eigentliche Konzept, welches sich hinter dem Ausdruck „Privacy by Design“ versteckt, ist, dass bereits bei der Planung eines Verarbeitungssystems entsprechende technische und organisatorische Maßnahmen - kurz TOM – zum Schutz der Daten getroffen werden.
Dieses Konzept beruht auf dem Gedanken, dass sich datenschutzrechtliche Aspekte bestmöglich einhalten lassen, wenn bereits bei der Planung und Entwicklung des Systems entsprechende Maßnahmen getroffen wurden.
Wie die Maßnahmen im Detail aussehen, lässt der Gesetzgeber weitestgehend offen. Es werden lediglich Beispiele wie Pseudonymisierung, Anonymisierung oder Verschlüsselung genannt. Hinzu kommen die an anderer Stelle bereits behandelte Nutzerauthentifizierung und die technische Umsetzung des Widerspruchsrechts in Betracht.
Fazit: Datenschutz beginnt bei der Planung
Zusammenfassend gibt es eine Vielzahl an Maßnahmen, die Unternehmen zum Schutz ihrer CRM-Oberfläche ergreifen können. Dazu zählen beispielsweise rollenbasierte Zugangsberechtigungen.
Soll ein neues CRM-System implementiert werden, sollten datenschutzrechtliche Aspekte in jedem Fall mit potenziellen Anbietern diskutiert werden.
CRM-Anbieter können Unternehmen ausgiebig über entsprechende Möglichkeiten zum Datenschutz in der Nutzeroberfläche ihrer Systeme informieren.
Starten Sie Ihre CRM-Auswahl
Finden Sie heraus, welche CRM-Systeme am besten zu Ihrem Unternehmen passen
Contextual Targeting: Die ultimative Marketingstrategie
Die Kunst des ‘perfekten Contents’: Ort, Zeit und Zielgruppe vereint ergeben die beste Marketingstrategie in 2024.
Lesen Sie weiter5 Tipps, um das Beste aus Ihrem CRM-System herauszuholen
Mit diesem Leitfaden haben Sie die Chance, das Beste aus Ihrem neuen CRM-System zu holen, vom ersten Tag der Implementierung.
Lesen Sie weiter