Mit zunehmendem Einsatz von CRM-Lösungen in der Cloud, intelligenten Assistenten und Big-Data-Auswertungen rücken auch Datenschutz-Fragen beim CRM-Einsatz verstärkt in den Fokus. Klassischerweise wird Datenschutz dabei vor allem als Verhinderer identifiziert. Erfolgsversprechende Marketing-Kampagnen und der Ausbau des eigenen Datenpools in CRM-Systemen scheitern an (vermeintlichen) Datenschutzproblemen. Hierbei wird vor allem auf die EU-Datenschutzgrundverordnung verwiesen, die ab Mai 2018 das Datenschutzrecht neu regelt und eine europaweit einheitliche Anwendung von Datenschutz-Fragen sicherstellen möchte.
Oftmals geht dieser Schluss jedoch fehl. Beispielsweise sollte zwar die Verlagerung von CRM-Systemen in die Cloud durch eine frühzeitige Einbindung des Datenschutzbeauftragten begleitet werden. Dass datenschutzrechtliche Vorgaben dem "Umzug" in die Cloud entgegenstehen, ist jedoch tatsächlich nur selten der Fall. Selbst die oftmals als rotes Tuch identifizierte Nutzung von Rechenzentren außerhalb Deutschlands lässt sich datenschutzkonform abbilden.
Richtig ist hingegen, dass Datenschutz bestimmten Datenverarbeitungen grundsätzlich entgegensteht. Gerade der Wunsch von CRM-Anwendern aus dem Bereich Marketing, möglichst viel über ihre (potentiellen) Kontakte zu wissen, gerät in Konflikt mit dem Grundsatz der Datenminimierung. So fällt es z.B. bei der automatischen Lead-Generierung aus Webseiten-Besuchen oftmals schwer, eine belastbare Rechtsgrundlage für die Verarbeitung der Daten potentieller Kontakte im CRM zu finden. Hieran ändert jedoch auch die EU-Datenschutzgrundverordnung nichts. Bei der Frage, was erlaubt und was verboten ist, bringt das neue Recht wenige Änderungen.
Anspruchsvolle Aufgaben für CRM-Anbieter folgen aus dem neuen Grundsatz "Privacy-by-Design" (Datenschutz durch Technikgestaltung). Unternehmen müssen künftig nachweisen, dass sie geeignete Maßnahmen zur Einhaltung von Datenschutzgrundsätzen in jeder Phase der Datenverarbeitung berücksichtigen. Dazu gehört auch der Einsatz von (CRM-)Software, bei der Datenschutz-Anforderungen schon in der Produktentwicklung berücksichtigt wurden. Nur CRM-Lösungen, die z.B. Verfahren zur rechtskonformen Löschung von Datensätzen anbieten, machen es ihren Anwendern möglich, diese Anforderungen einzuhalten. CRM-Anbieter sollten daher mögliche Datenschutz-Fragen ihrer Anwender frühzeitig bei der Produktentwicklung berücksichtigen.
Sowohl CRM-Anbieter als auch -Anwender sollten die neuen datenschutzrechtlichen Vorgaben zudem zum Anlass nehmen, ihr IT-Sicherheitskonzept auf den Prüfstand zu stellen. In CRM-Systemen gespeicherte Daten stellen oft ein wesentliches Business-Asset dar und sollten entsprechend vor IT-Sicherheitsbedrohungen geschützt werden. Trotz vielfältiger Bedrohungen (z.B. durch Kryptotrojaner, Angriffe auf Serverinfrastruktur oder Innentäter) lassen sich die wesentlichen Schutzziele auf die Erhaltung von Vertraulichkeit, Verfügbarkeit und Integrität von Daten zusammenfassen. Dieser klassische Dreiklang der IT-Sicherheit findet nunmehr auch seine Entsprechung im Datenschutz. Die EU-Datenschutzgrundverordnung gibt vor, Maßnahmen zum Schutz von Daten an diesen Zielen auszurichten und vereint so die Zielrichtung von Datenschutz und Datensicherheit. Hilfreiche Anknüpfungspunkte zur angemessenen Absicherung der eigenen IT-Landschaft finden sich z.B. im IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik.
Zurück zur Übersichtsseite