Die ganze Online-Welt hat den Tag kommen sehen und gleichzeitig gefürchtet: den 25. Mai 2018. Seitdem ist die Datenschutz-Grundverordnung (DSGVO) wirksam und muss von allen Mitgliedern der EU angewandt werden. Entgegen dem medialen Eindruck kam dieser Tag aber ganz und gar nicht überraschend, denn die Verordnung trat bereits im Mai 2016 in Kraft. Zum befürchteten Riesen-Knall kam es im Mai dieses Jahres nicht und mittlerweile ist auch die erste Welle der Aufregung abgeebbt, trotzdem sind noch längst nicht alle Fragen zur DSGVO und Kundendaten geklärt.
Nicht zuletzt lassen sich die Folgen der Verordnung vor allem im Kleinen beobachten: Viele kleine Betriebe stellten zum Stichtag vorsichtshalber ihre Newsletter ein oder gingen gar mit der kompletten Homepage offline. Datenschutzbeauftragte und -behörden beklagen vor allem auch, dass das Beratungsaufkommen im Zusammenhang mit der DSGVO sehr hoch sei – höher als die Zahl der Beschwerden. Es gibt also in vielerlei Hinsicht noch großen Handlungsbedarf, zum Beispiel was die Umsetzung in gängigen CRM-Systemen betrifft.
DSGVO und Kundendaten: Was darf man noch speichern, was muss man löschen?
Der Gedanke hinter der DSGVO ist absolut ehrenwert: In allen Mitgliedsstaaten der Europäischen Union gilt ein einheitlicher Datenschutz, der die Privatsphäre der EU-Bürger und -Bürgerinnen (nicht nur) im Internet wahren und ihre persönlichen Daten vor Missbrauch schützen soll. Die Nutzer sollen entsprechend darüber aufgeklärt werden, welche Daten über sie gesammelt werden – und selbstbestimmt entscheiden können, was damit passiert.
Daher steht jedem Kunden auch ein Auskunftsrecht zu, mit dessen Hilfe er jederzeit in Erfahrung bringen können soll, welche Daten über ihn gespeichert werden. Außerdem hat jeder Verbraucher ein „Recht auf Vergessenwerden“. Das heißt: Prinzipiell kann jeder Nutzer seine Daten löschen lassen, wenn sie nicht mehr benötigt werden (u.a. zur Vertragserfüllung) oder juristisch nicht mehr notwendig sind. Hat der Kunde beispielsweise eine Rechnung noch nicht beglichen, dürfen Sie wiederum die dafür notwendigen Daten weiterhin speichern.
Was passiert bei einem Verstoß gegen die DSGVO?
Website-Betreiber stellt die EU-Verordnung vor ganz neue Herausforderungen; vor allem kleine und mittlere Unternehmen sind verunsichert darüber, ob ihr Datenschutzmanagement überhaupt noch den gesetzlichen Vorgaben entspricht. Die Angst vor einer Abmahnung ist dabei allgegenwärtig, schließlich kursieren immer wieder dubiose Geschichten über findige Anwälte, die sich angeblich auf Verstöße gegen die DSGVO spezialisiert haben. Das ist nicht zuletzt deswegen fatal, weil Unternehmen mit Strafen von bis zu vier Prozent ihres Jahresumsatzes belangt werden können, wenn sie die Vorgaben der Verordnung missachten.
Ob die Abmahnungen allerdings vor Gericht Bestand haben, sei dahingestellt. Auch die Politik ist an der Stelle schon aktiv geworden: Medienangaben zufolge plant die Unionsfraktion, DSGVO-Abmahnungen durch eine Gesetzesänderung zumindest innerhalb einer Frist von einem Jahr zu verbieten. Schließlich lassen sich bei so einer umfassenden Umstellung unbewusste Verstöße nicht gänzlich vermeiden.
Was ändert sich speziell für CRM-Systeme?
Trotzdem: Früher oder später müssen alle Websites, deren Zielgruppe Personen mit Wohnsitz in der EU sind, DSGVO-konform sein – unabhängig davon, ob der Sitz der zugehörigen Organisation innerhalb oder außerhalb der EU ist! Dreh- und Angelpunkte vieler Seiten sind dabei die CRM-Systeme, deswegen besteht gerade hier großer Handlungsbedarf. Zum Beispiel muss sichergestellt werden, dass so wenig Kundendaten wie möglich verarbeitet werden. Doch ganz ohne personenbezogene Daten geht es natürlich nicht. Ein Unternehmen muss aber in der Lage sein, rechtskonforme Nachweise über seine Kundendaten zu führen. Außerdem muss im CRM-Tool auch dokumentiert werden, wenn ein Kunde der Nutzung seiner personenbezogenen Daten widersprochen hat.
Damit Ihr CRM den Anforderungen der DSGVO gerecht wird, beherzigen Sie nicht nur, aber vor allem folgende zwei Punkte:
Holen Sie die Zustimmung Ihrer Nutzer ein: Die erforderliche Einwilligung für das Verarbeiten von personenbezogenen Daten erfassen Sie am besten elektronisch und protokollieren das Ganze in Ihrem CRM-System. Das Mittel der Wahl sollte hierbei das sogenannte Double-Opt-In-Verfahren sein. Im Gegensatz zum Single-Opt-In muss der Kunde seine Zustimmung dabei in einem zweiten Schritt bestätigen. Im Umkehrschluss bedeutet dies: Der Kunde kann auch ausdrücklich erklären, dass er beispielsweise nicht über E-Mail oder Telefon kontaktiert werden möchte. In Ihrem CRM-Tool sollten Sie die Einwilligungen bzw. Verbotsvermerke Ihrer Kunden zentral verwalten können, um so Ihre Nachweispflicht zu erfüllen.
Machen Sie den Umgang mit Kundendaten transparent: Wenn Sie personenbezogene Informationen speichern und verarbeiten, müssen Sie das entsprechend dokumentieren – und zwar lückenlos. Beantworten Sie dabei auch die Frage, wo und wie lange die Kundendaten gespeichert werden. Abgesehen davon müssen Sie aufzeigen, was mit den Daten geschieht und darauf eingehen, wozu Sie sie konkret nutzen. Besonders vorteilhaft sind dabei flexible und dynamisch entwickelbare CRM-Tools, die die Erfassung und Dokumentation der Daten optimal unterstützen sowie Änderungen an Daten automatisch protokollieren.
Alles in allem lässt sich festhalten: Die DSGVO bietet Ihnen die Gelegenheit, Ihr CRM mehr oder weniger neu auszurichten. Nur so können Sie den tiefgreifenden Veränderungen in Bezug auf die Verarbeitung von personenbezogenen Daten gerecht werden.