CRM und EU-DSGVO: die 7 häufigsten Denkfehler

„Bußgelder sind in Deutschland nicht so hoch“ und ähnliche Irrtümer können Sie viel Geld kosten.

 

CRM & EU-DSGVO: Welche Fehler Sie unbedingt vermeiden sollten

 

Die Themenfelder CRM und DSGVO sind untrennbar miteinander verbunden. Seit dem 25. Mai 2018 gilt in der EU die Datenschutzgrundverordnung, kurz (EU-) DSGVO. Seit 2016 wurde auf die Anforderungen und Auswirkungen hingewiesen, trotzdem tat sich bis zum Stichtag und weit darüber hinaus in vielen Unternehmen wenig. Während einige Unternehmen am 24. Mai 2018 in Panik gerieten, nahmen andere die Thematik sogar lange nach Inkrafttreten der Regelung noch auf die leichte Schulter, wie Studien zeigen.



Wir stellen Ihnen die sieben häufigsten Irrtümer zur DSGVO-Umsetzung und der Verwendung von nichtkonformen CRM-Lösungen vor.

 

„Take it easy!
In Deutschland sind wir von den Neuerungen nicht stark betroffen!“

 

In Deutschland wird der Datenschutz bereits sehr ernst genommen.
Im Vergleich zu anderen europäischen Ländern haben wir schon strenge Regelungen – das wird alles halb so wild.

Auch wenn es stimmt, dass Datenschutz in Deutschland schon vor Mai 2018 umfangreich umgesetzt wurde, können deutsche Unternehmen nicht so weiter machen, wie bisher. Selbst die deutschen Datenschutzregelungen sind mit der DSGVO-Umsetzung nochmals verschärft worden. Wer sich also bisher zurückgelehnt hat, sollte sich schnell mit den aktuellen Datenschutzanforderungen und den Anforderungen eines datenschutzkonformen CRM im Kontext der DSGVO auseinandersetzen.

So haben betroffene Personen laut DSGVO verschiedene Betroffenenrechte, wie beispielsweise ein Recht auf Datenportabilität. Das bedeutet, dass Betroffene die von ihnen auf der Basis einer Einwilligung oder eines Vertrages zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format anfordern können (zum Beispiel JSON oder XML).

Außerdem dürfen Kunden verlangen, dass die Daten direkt zu einem anderen Verantwortlichen übermittelt werden (zum Beispiel für einen Anbieterwechsel). Das sogenannte Recht auf Datenübertragbarkeit erfordert bei den meisten Unternehmen eine Anpassung der Software-Landschaft. Und auch wenn die eingesetzte IT auf dem aktuellsten Stand ist, lohnt es sich, noch einmal genau hinzuschauen, ob es nicht doch noch einiger Anpassungen bedarf. Sonst geraten Sie im Falle einer entsprechenden Anfrage ins Schleudern.

 
 

„Die Bußgelder bei Verstößen sind nicht so hoch.“

 
 

Sollte es zu einem Verstoß kommen, zahlen wir das einfach aus der Portokasse. Hauptsache, ich kann die Daten meiner Kunden nutzen – da nehme ich die paar Peanuts in Kauf.

Die Bußgelder, die bei Verstößen gegen die DSGVO-Umsetzung definiert sind, haben mit Peanuts nicht viel gemein. Während Unternehmen vor Inkrafttreten der DSGVO mit Strafen in Höhe von höchstens 300.000 Euro rechnen mussten, sind seit Mai 2018 bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Unternehmensumsatzes des vorangegangenen Geschäftsjahres möglich. Tatsächlich sind derartige Summen bereits verhängt worden: Im Januar 2019 verlangte die französische Datenschutzbehörde CNIL 50 Millionen Euro von Google. Die Deutsche Wohnen in Berlin soll 14,5 Millionen Euro zahlen.

Im ersten Jahr nach Inkrafttreten sind allein in Deutschland mehr als 37.000 Verstöße gegen die DSGVO zur Anzeige gebracht worden, die meisten davon in Nordrhein-Westfalen. Längst nicht alle waren Cent-Beträge, wie das Beispiel der Deutsche Wohnen zeigt. Der Lieferdienst Delivery Hero beispielsweise wurde mit knapp 200.000 Euro zur Kasse gebeten. Eine Berliner Bank musste 50.000 Euro zahlen, ein Chatportal 20.000 Euro. Wie hoch ein Bußgeld ausfällt, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall. Sicher ist allerdings: Diese Kosten können Unternehmen sich sparen – unter anderem, indem sie ein datenschutzkonformes CRM-System, welches die DSGVO-Vorgaben erfüllt, einsetzen.

 

„Noch drücken die Behörden ein Auge zu.“

 

Man kann ja nicht verlangen, dass die DSGVO-Umsetzung ab dem Stichtag bereits perfekt ist. Es gibt doch immer eine Schonfrist.

Für eine erfolgreiche DSGVO-Umsetzung gab es mehrere Jahre Vorlauf: Die EU-DSGVO trat tatsächlich bereits am 24. Mai 2016 in Kraft. Am 25. Mai 2018 endete die Umsetzungsfrist. Seit diesem Stichtag müssen die gesetzlichen Vorgaben von allen Unternehmen, die in der EU ihren Sitz haben beziehungsweise ihre Dienstleistungen dort anbieten, umgesetzt werden. Dass die Behörden Jahre später bei Mängeln an der DSGVO-Umsetzung immer noch ein Auge zudrücken werden, ist sehr fraglich.

Das bedeutet allerdings nicht, dass es zu spät ist. Mit einer zielgerichteten Strategie und einer datenschutzkonformen CRM-Software können DSGVO-Vorgaben in Unternehmen immer noch schnell umgesetzt werden.

 
 

Infos zu CRM-Lösungen und Datenschutz

Zu CRM-Lösungen und dem Datenschutz nach DSGVO sind Sie mit Whitepaper, E-Book oder Checkliste zügig und rundum informiert. Erfahren Sie hier alles zu den Themen Kundenmanagement, CRM-Software und der DSGVO.

„Mein Unternehmenssitz liegt im außereuropäischen Ausland. Ich muss mich überhaupt nicht an die EU-DSGVO halten.“

 
 

An die Datenschutz-Grundverordnung müssen sich nur Unternehmen halten, die ihren Sitz in der EU haben. Wenn ich meinen Unternehmenssitz ins Ausland verlagere, kann ich mir den ganzen Stress mit der EU-DSGVO sparen.

Die EU-DSGVO-Umsetzung ist sowohl für Unternehmen mit Sitz in der EU, als auch für alle Unternehmen außerhalb der EU, die EU-Bürgern Produkte oder Dienstleistungen anbieten oder ihr Verhalten beobachten, verpflichtend.

Eine Flucht ins Ausland ist demnach zwecklos. Das bedeutet auch, dass sich beispielsweise Unternehmen wie Facebook an die gesetzlichen Vorgaben der EU-DSGVO halten müssen. Das EuGH-Urteil zum Privacy-Shield-Abkommen mit den USA zeigte zuletzt erneut, dass auch ausländische Unternehmen oder Organisationen das geltende Recht nach DSGVO und die damit verbundenen Standards zu achten haben.

 

„Mit meiner kleinen Firma muss ich mich doch nicht an die ganzen Regelungen halten!“

 

Die EU-DSGVO betrifft eher die großen Unternehmen, die Daten in erheblichem Umfang verarbeiten. Bei meinem kleinen Tagesgeschäft interessiert das doch niemanden, solange ich die Daten meiner Kunden nicht einfach an Dritte weitergebe.

So einfach ist es leider nicht.

Nach Art. 2 Abs. 1 DSGVO sind alle Unternehmen, die personenbezogene Daten ganz oder teilweise automatisch verarbeiten, von der Verordnung betroffen. Aber auch bei nichtautomatisierter Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, muss sich jedes Unternehmen an die gesetzlichen Vorgaben der DSGVO halten. Erheben Sie also im Rahmen der Vertragserfüllung die Daten Ihrer Kunden, beispielsweise für das Kontakt- und Terminmanagement oder die Adressverwaltung, so greift hier bereits die DSGVO. Eine Umsetzung ist daher verpflichtend.

Die einzige Erleichterung für kleinere Unternehmen gibt es bei der sogenannten Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, das in Art. 30 Abs. 5 DSGVO definiert ist. Demnach müssen Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, kein Verzeichnis von Verarbeitungstätigkeiten erstellen. Es sei denn, die Verarbeitung der Daten stellt zum Beispiel ein Risiko für die Rechte und Freiheiten der betroffenen Personen dar. Oder Sie verarbeiten regelmäßig personenbezogene Daten. Dann müssen Sie ein entsprechendes Verzeichnis führen – auch wenn Sie deutlich weniger als 250 Angestellte haben.

Da die meisten Unternehmen online sehr aktiv sind und regelmäßig personenbezogene Daten erheben und verarbeiten, greift die Ausnahme nur in seltenen Fällen.

 
 

„Mein Datenschutzbeauftragter macht das schon! Als Geschäftsführer bin ich nicht betroffen.“

 
 

Bei Verstößen trägt mein Datenschutzbeauftragter die Schuld und ist haftbar. Ich muss mir da als Geschäftsführer gar keine Sorgen machen.

Gegenüber der Aufsichtsbehörde haftet immer die verantwortliche Stelle. Unter „Verantwortlicher“ versteht die DSGVO die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“. Das bedeutet: Alle Verantwortlichen – dazu gehören auch Sie als Geschäftsführer – können persönlich zur Haftung herangezogen werden, wenn die DSGVO-Umsetzung mit ihren gesetzlichen Vorgaben nicht eingehalten wird.

Übrigens: Die Beweislast tragen die Verantwortlichen. Deshalb ist es besonders wichtig, den Dokumentationspflichten nachzukommen, um im Ernstfall nachweisen zu können, dass Sie rechtskonform gehandelt haben. Lehnen Sie sich also nicht zurück, sondern werden Sie aktiv.

Der Schaden, der entstehen kann, ist schließlich nicht nur finanzieller Natur. Auch das Image des Unternehmens kann unter einem Datenschutzverstoß leiden.

 

„Jetzt ist sowieso alles zu spät!“

 

Das sind viel zu viele Vorgaben, die ich umsetzen muss. Und das normale Tagesgeschäft sollte nebenbei ja auch noch laufen. Das kriege ich einfach nicht hin… dann lasse ich es eben!

Stecken Sie nicht den Kopf in den Sand. Geraten Sie auch nicht in Panik. Informieren Sie sich, finden Sie heraus, wo Ihr Unternehmen in Sachen Datenschutz steht und beginnen Sie mit den notwendigen Anpassungen.

Mit einer guten Strategie können Sie und Ihre Mitarbeiter sich mit der DSGVO auseinandersetzen, die Umsetzung vorantreiben und die Vorgaben erfüllen – informieren Sie sich über technische und organisatorische Maßnahmen. Hier sind Netzwerke und erfahrene Partner besonders hilfreich: Weil niemand alles wissen kann, haben auch wir uns lange vor Inkrafttreten der DSGVO mit kompetenten Partnern zusammengeschlossen. Wir haben unser Know-how gebündelt, um unsere Kunden auf dem Weg in ein DSGVO-konformes Kundenbeziehungsmanagement zu begleiten. Herausgekommen ist ein CRM-System, das als Basis für das Daten- und Prozessmanagement die DSGVO-Anforderungen erfüllt. Also legen auch Sie jetzt los und suchen Sie den Dialog mit Experten, die Sie bei der Umsetzung unterstützen können.

 
 
Melden Sie sich bei uns, wir beraten Sie gerne.

Ihr Jürgen Litz, Geschäftsführer der cobra - computer‘s brainware GmbH

 +49 7531 8101 0
 info@cobra.de

Das könnte Sie auch interessieren

weitere Informationen

Competence Book „Next: CRM goes CXM“

Auf Basis von Datenschutz und Datenchancen die Qualität der Kundenbeziehung verbessern. Lesen Sie im Competence Book „Next: CRM goes CXM“ über die Potenziale für die Customer Experience.

Jetzt anfordern
Weitere Informationen

CRM live erleben in der Online Präsentation

Gerne stellen wir Ihnen die CRM Lösungen von cobra persönlich vor. Nehmen Sie sich etwas Zeit und erfahren Sie mehr über die Funktionalitäten der cobra CRM Software, ganz auf Ihre Anforderungen abgestimmt.

Jetzt Termin vereinbaren
 

cobra CRM

cobra CRM sorgt DSGVO-konform für rechtssicheres Kundenmanagement in Vertrieb, Marketing und Service.

 
Weitere Informationen zum Datenschutz

Kontakt

Sie erreichen uns gerne per Telefon: +49 7531 8101 0 oder

Über unser Formular
 
Software-Beratung

Das cobra Beratungsangebot zum Thema Datenschutz.

Beratung anfragen
 
E-Book Datenschutz

Jetzt E-Book kostenlos zum Download für Sie! 

kostenlos anfordern

CRM KOSTENLOS TESTEN

cobra CRM Demo kostenlos testen