Liebe Datenschutzinteressierte, vor zwei Wochen durften wir Ihnen bereits Herrn Claus, oder wie wir ihn nennen dürfen – Santa – vorstellen. Er ist mit seinem Unternehmen nicht nur der weltweit führende Warenexporteur, sondern widmet sich auch in der absatzreichsten Zeit des Jahres datenschutzrechtlichen Themen. In Teil 2 unseres Blogbeitragsreihe zum richtigen Umgang mit Kundendaten erfahren Sie mehr über CRM-Systeme und welche Daten hierin zu welchen Zwecken verarbeitet werden dürfen.

Ein datenschutzkonformes CRM-System ist Pflicht

SiDIT: Herr Claus, vielen Dank, dass Sie sich noch einmal Zeit für uns nehmen. Vergangene Woche wurde in den Medien enorme Kritik durch einen Ihrer ehemaligen Mitarbeiter Herrn Grinch laut. Dieser beschuldigte Sie, keinen Wert auf Datenschutz bei der Verarbeitung von Kundendaten zu legen. Vielmehr würden in Ihrem Unternehmen alle gesammelten Daten wie in einem riesigen Sack verschwinden, ohne dass jemals jemand Rückschlüsse ziehen könnte, woher diese Kundendaten stammen. Ist dem so? Haben Sie bei all den verschiedenen Marketingmaßnahmen noch einen Überblick, woher die Daten kommen?

Santa Claus: Als ich das las, bin ich fast von meinem Schlitten gefallen. Selbstverständlich legen wir sehr viel Wert auf Datenschutz und verwenden zu diesem Zweck ein entsprechendes CRM-System, das neben seinen Funktionen auch nach datenschutzrechtlichen Gesichtspunkten ausgewählt wurde.

SiDIT: Das ist natürlich sehr erfreulich. Wir geben unseren Kunden auch immer den Rat, datenschutzrechtliche Gesichtspunkte bei der Auswahl des geeigneten CRM-Systems ins Auge zu fassen.

Selbstverständlich ist es immer gut, einen europäischen Anbieter zu nutzen, der die Daten bestenfalls in Europa speichert und auch den entsprechenden Auftragsverarbeitungsvertrag bereitstellt. Wichtig ist ebenso, dass man in der Kundendatenbank nachvollziehen kann, woher die jeweiligen Kundendaten stammen und ob es sich um einen Bestandskunden handelt oder nicht.

Man sollte darauf achten, dass das System logische bzw. physikalische Datentrennungen und entsprechende Berechtigungskonzepte im Hinblick auf seine Nutzer ermöglicht. Nicht jeder Mitarbeiter aus jeder Abteilung sollte Zugriff auf alle Daten haben, wenn dies für seine Aufgabenerfüllung nicht notwendig ist. Darüber hinaus empfehlen wir Systeme zu nutzen, die Funktionen, wie die Implementierung von Löschkonzepten und individuelle technische Konfiguration im Hinblick auf die automatische Einspeisung von Kundendaten gewährleisten.

Vorsicht bei der Auswahl der erfassten Kundendaten

SiDIT: Wenn wir gerade beim Thema CRM-System sind. Wir haben ja bereits erfahren, woher Sie Ihre Kundendaten erhalten. Aber uns interessiert natürlich auch, welche Daten Sie überhaupt erfassen. Sind Sie wirklich eine solche Datenkrake, wie Herr Grinch meint?

Santa Claus: Hohoho, dass ich nicht lache! Das sind wir selbstverständlich nicht. Wir erfassen bei unseren Bestellungen bzw. über unser Wunschzettelformular auf unserer Webseite lediglich die personenbezogenen Daten, die für die Bearbeitung der Bestellung oder der Anfrage notwendig sind. Bei einer Bestellung sind dies die Rechnungsdaten, Lieferadresse etc. Von Bestandskunden haben wir sogar manchmal ein Foto von diesen in unserem CRM-System hinterlegt.

Bei unserem Wunschzettelformular verarbeiten wir lediglich den Namen, die E-Mail-Adresse und die Anfrage an sich. Manchmal kommt es vor, dass im Rahmen des Wunschzettelformulars auch weitere personenbezogene Daten, manchmal auch sehr sensible mit angegeben werden. Im Hinblick auf unsere Geschäftspartner speichern wir die Namen und Kontaktdaten unserer zuständigen Ansprechpartner in unserem CRM-System.

Kundendaten nur zu den erforderlichen Zwecken verarbeiten

SiDIT: Das ist ja wirklich eine Menge an Daten! Da fragt man sich als Außenstehender natürlich, was Sie mit all den Kundendaten anfangen.

Santa Claus: Zum einen möchten wir natürlich unseren Vertrag erfüllen können bzw. Daten von Interessenten speichern, die ggf. neue Kunden werden könnten. Daneben möchten wir aber auch unsere Beziehungen zu den Bestandskunden pflegen. Hierzu gratulieren wir jedem unserer Kunden zum Geburtstag und schicken Weihnachtsgrüße. Unseren Geschäftspartnern gratulieren wir darüber hinaus zu Firmenjubiläen. Daneben führen wir immer wieder Kundenzufriedenheitsumfragen durch. Wir sind sehr daran interessiert, unsere Produkte stets weiterzuentwickeln und unsere Kunden zufrieden zu stellen. Potenziellen neuen Kunden wollen wir natürlich unsere Produkte vorstellen. Die Fotos von Bestandskunden hinterlegen wir, damit wir bei Kundenbesuchen direkt ein Bild von unserem Kunden haben. Sie können sich vorstellen, dass es natürlich sehr peinlich ist, wenn man einen langjährigen Bestandskunden bei einem Termin nicht direkt auf Anhieb erkennt.

SiDIT: Das können wir uns vorstellen. Wichtig ist jedoch, dass Sie bei der jeweiligen Verarbeitungstätigkeit immer nur die Daten verarbeiten, die Sie zwingend benötigen. So sollten Sie z. B. sensible personenbezogene Daten nicht einfach verarbeiten, nur weil diese Ihnen mitgeteilt wurden. Wir empfehlen daher immer, diese irreversibel zu schwärzen, soweit diese Daten nicht erforderlich sind, und dies dem Kunden mitzuteilen.

Beim Thema Kundenfotos gilt eine ähnliche Empfehlung. Soweit diese nicht für die weitere Datenverarbeitung erforderlich sind, sollten Sie gelöscht werden. Auch wenn Ihre Gründe in diesem Fall natürlich nachvollziehbar sind, ist die Datenverarbeitung hier nicht zwingend erforderlich. Gratulationen oder Weihnachtsgrüße sowie Zufriedenheitsumfragen sind Werbung so wie auch andere absatzfördernde Maßnahmen. Bei diesen müssen gewisse Vorgaben eingehalten werden. Hier verweisen wir gerne auf unsere Blogbeitrag zur datenschutzrechtlichen Prüfung von Marketingmaßnahmen.

Generell muss auch ein funktionierendes Löschkonzept vorliegen. Sobald Daten nicht mehr zum ursprünglichen Verarbeitungszweck benötigt werden und keine gesetzlichen Aufbewahrungsfristen entgegenstehen, müssen sie gelöscht werden.

Zwischenfazit

Bei der Menge an Kundendaten, die ein Unternehmen im Laufe der Zeit verarbeitet, ist immer an den Grundsatz zur Datenminimierung zu denken. Es sollten stets nur die erforderlichen Daten erfasst werden und diese auch nach einem entsprechenden Löschkonzept gelöscht werden. Daneben muss immer der Zweck der Verarbeitung gründlich geprüft werden. Die erfassten Daten sollten nur in einem datenschutzkonformen und geprüften System gespeichert werden. 

Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.

In Teil 3 unserer Blogbeitragsreihe beleuchten wir die Frage, wie man als Unternehmen seine Kunden datenschutzkonform belehren kann.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Kein Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.