CRM- oder Vertriebs-Software: Welche Datenschutzanforderungen muss eine externe Lösung erfüllen?

Bei den Digitalisierungs-Projekten, die Unternehmen besonders häufig einführen, spielen cloudbasierte CRM- und Vertriebs-Softwarelösungen eine wichtige Rolle. Sie ermöglichen, dass alle im Unternehmen auf dieselben Kunden-Daten zurückgreifen können. Diese stehen allerdings unter dem strengen Schutz der DSGVO. Daher ist bei der Auswahl des geeigneten Anbieters höchste Vorsicht geboten.

Der Marketing-Chef verschafft sich vor dem nächsten Kunden-Newsletter mit ein paar Klicks einen Überblick darüber, welche Kundengruppe besonders empfänglich für die letzte Marketingaktion war. Und die Service-Mitarbeiterin macht sich während eines Reklamationsanrufs ein Bild vom Kundenkonto des Anrufers und stellt fest, dass hier noch etliche Rechnungen offen sind: Daten von Kunden in Echtzeit und großer Tiefe machen jeden Job im Unternehmen leichter. Externe, cloudbasierte CRM- und Kundenverwaltungs-Lösungen gehören daher in vielen Betrieben längst zum Software-Standard. Allerdings sind Kundendaten aus Datenschutz-Sicht mit größter Vorsicht zu behandeln. Denn oftmals sind die Informationen personenbezogen und dürfen nicht für beliebige Zwecke genutzt werden – geschweige denn, auf Servern gespeichert werden, deren Datensicherheits-Niveau Anlass zu Bedenken gibt.

Welche Anforderungen sollte ein CRM-Anbieter unbedingt erfüllen?

Vor allem CRM-Softwareanbieter mit Firmensitz außerhalb der EU sehen sich immer wieder mit grundsätzlichen Bedenken konfrontiert, allen voran US-amerikanische Anbieter, wie Salesforce. Deren Server stehen nämlich teilweise in den USA, was grundsätzliche Sicherheitsbedenken rechtfertigt. Bleiben wir beim Beispiel Salesforce: Der weltweite Anbieter hat seinen Kunden inzwischen versichert, dass die Daten beispielsweise europäischer Kunden ausschließlich auf Servern mit Standorten in der EU gespeichert und verarbeitet werden. Vor der Entscheidung für einen Anbieter sollte ein Fragenkatalog definiert werden, um die relevanten Sicherheitsaspekte zu klären.

Darüber hinaus sollten folgende Sicherheitsaspekte geklärt werden:

• Sitz des Cloudbetreibers und Serverstandort: Werden die Daten von einen Cloud-Betreiber mit Sitz außerhalb der EU gespeichert, muss der Anbieter sogenannte Standardvertragsklauseln nachweisen, die sicherstellen, dass auch am Standort des Servers die Bestimmungen der DSGVO eingehalten werden. Wegen zusätzlicher Vereinbarungen ist dann zu klären, ob sich der Serverstandort ebenfalls außerhalb der EU oder innerhalb der EU befindet.
• Cloud-Computing: Zu diesem Thema hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) einen Leitfaden verfasst, der eine gute Grundlage für den eigenen Anforderungskatalog darstellt.
• Security by Design: Seriöse Anbieter können durch Zertifikate nachweisen, dass sie nach dem Prinzip „Security by Design“ arbeiten. Das bedeutet, dass bereits bei der Entwicklung von Softwareprodukten alle sicherheitsrelevanten Elemente einer Software-Lösung den neusten Sicherheitsanforderungen entsprechen.
• Datenschutz-Hilfestellung: Anbieter, die von sich aus vorschlagen, einen Datenschutzbeauftragten vor, während und nach der Installation einer CRM-Lösung hinzuzuziehen, zeigen, dass sie das Thema Datenschutz ernstnehmen.
• Transparentes Datenmanagement: Die DSGVO definiert für die Bearbeitung von Kundendaten klare Standards. Der Anbieter sollte alle relevanten Bestimmungen in seiner Lösung garantieren können:
  • Rechtmäßigkeit: klare Einverständnis-Regelung
  • Datensicherheit durch aktuelle Verschlüsselungs-Technik
  • Protokollierung: Alle Prozesse werden dauerhaft dokumentiert
  • Datensparsamkeit: Grundsätzlich gilt, dass nur gespeichert wird, was dem eigentlichen Zweck dient
  • Einspruchs-/Widerspruchsmöglichkeit
  • Löschungskonzept

Fazit: Seriöse CRM-Software-Anbieter sprechen die Themen Datenschutz und DSGVO bewusst an und bieten in der Regel auch gesonderte Schulungen der Mitarbeiter dazu an. Kundendaten sind ein extrem wertvolles Gut jedes Unternehmens und verdienen nicht nur einen sorgsamen Umgang, sondern ein IT-Konzept, damit diese personenbezogenen Daten mindestens so effektiv schützt werden, wie wichtige Firmeninterna. Vor der Entscheidung für den geeigneten CRM-Software-Lieferanten sollte in Augenschein genommen werden, wie ernst es der Anbieter mit dem Datenschutz meint.