Die 7 häufigsten Denkfehler im Zusammenhang mit CRM und EU-DSGVO

„Bußgelder sind in Deutschland nicht so hoch“ und ähnliche Irrtümer können Sie viel Geld kosten.

 
Was Sie im Umgang mit der EU-Datenschutzgrundverordnung (EU-DSGVO) unbedingt vermeiden sollten.

 

Seit dem 25. Mai 2018 gilt in der EU die Datenschutzgrundverordnung, kurz (EU-) DSGVO. Seit 2016 wurde auf die Anforderungen und Auswirkungen hingewiesen, aber trotzdem tat sich bis zum Stichtag und weit darüber hinaus in vielen Unternehmen wenig: Während einige Unternehmen am 24. Mai 2018 in Panik gerieten, nahmen andere die Thematik sogar ein Jahr nach dem Inkrafttreten der Regelung noch auf die leichte Schulter, wie Studien zeigen.



Wir stellen Ihnen die sieben häufigsten Irrtümer zur Datenschutzgrundverordnung und der Verwendung von nichtkonformen CRM-Lösungen vor.

 

„Take it easy!
In Deutschland sind wir von den Neuerungen nicht stark betroffen!“

 

In Deutschland wird der Datenschutz bereits sehr ernst genommen.
Im Vergleich zu anderen europäischen Ländern haben wir schon strenge Regelungen – das wird alles halb so wild.

Schön wär’s! Auch wenn es stimmt, dass Datenschutz in Deutschland schon vor Mai 2018  umfangreich umgesetzt wurde, können deutsche Unternehmen nicht so weiter machen, wie bisher. Denn selbst die deutschen Datenschutzregelungen hat die DSGVO nochmals verschärft. Wer sich also bisher gedacht hat: „Entspann' dich“, sollte sich schnell mit den aktuellen Datenschutzanforderungen und den Anforderungen eines datenschutzkonformen CRM auseinandersetzen.

So haben betroffene Personen laut DSGVO beispielsweise ein Recht auf Datenportabilität. Das bedeutet, dass der Betroffene, die von ihm auf der Basis einer Einwilligung oder eines Vertrages zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format anfordern kann (z. B. JSON oder XML).

Außerdem darf er verlangen, dass die Daten direkt zu einem anderen Verantwortlichen übermittelt werden (zum Beispiel für einen Anbieterwechsel). Das wird bei den meisten Unternehmen auch eine Anpassung der Software-Landschaft erfordern. Und auch wenn die eingesetzte IT auf dem aktuellsten Stand ist, lohnt es sich, noch einmal genau hinzuschauen, ob es nicht doch noch einiger Anpassungen bedarf. Sonst geraten Sie im Falle einer entsprechenden Anfrage ins Schleudern.

 
 

„Die Bußgelder bei Verstößen sind nicht so hoch.“

 
 

Sollte es zu einem Verstoß kommen, zahlen wir das einfach aus der Portokasse. Hauptsache ich kann die Daten meiner Kunden nutzen – da nehme ich die paar Peanuts in Kauf.

Mit „Peanuts“ haben die Bußgelder, die in der EU-DSGVO definiert sind, nichts zu tun. Während Unternehmen vor Inkrafttreten der DSGVO mit Strafen in Höhe von rund 300.000 Euro rechnen mussten, sind seit Mai 2018 bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres möglich. Tatsächlich sind derartige Summen auch schon verhängt worden: Im Januar 2019 verlangte die französische Datenschutzbehörde CNIL 50 Millionen Euro von Google. Die Deutsche Wohnen in Berlin soll 14,5 Millionen Euro zahlen.

Im ersten Jahr nach Inkrafttreten sind allein in Deutschland mehr als 37.000 Verstöße gegen die DSGVO zur Anzeige gebracht worden. Die meisten davon in Nordrhein-Westfalen. Und längst nicht alle waren Cent-Beträge, wie das Beispiel Deutsche Wohnen zeigt. Der Lieferdienst Delivery Hero beispielsweise wurde mit knapp 200.000 Euro zur Kasse gebeten. Eine Berliner Bank musste 50.000 Euro zahlen, ein Chatportal 20.000 Euro. Wie hoch ein Bußgeld ausfällt, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall. Sicher ist allerdings: Diese Kosten können Unternehmen sich sparen – in dem sie die Anforderungen zum Beispiel u.a. durch ein datenschutzkonformes CRM erfüllen.

 

„Noch drücken die Behörden ein Auge zu.“

 

Man kann ja nicht verlangen, dass ab dem Stichtag bereits alles perfekt umgesetzt ist. Es gibt doch immer eine Schonfrist.

Die EU-DSGVO ist tatsächlich bereits am 24. Mai 2016 in Kraft getreten. Am 25. Mai 2018 endete die Umsetzungsfrist. Seit diesem Stichtag müssen die gesetzlichen Vorgaben von allen Unternehmen, die in der EU ihren Sitz haben, beziehungsweise ihre Dienstleistungen dort anbieten, umgesetzt werden. Dass die Behörden Jahre nach der Umsetzungsphase ohne Bußgelder immer noch ein Auge zudrücken werden, ist sehr fraglich.

Das bedeutet allerdings nicht, dass es zu spät ist. Mit einer zielgerichteten Strategie und einem datenschutzkonformen CRM System lassen sich die Anforderungen der DSGVO schnell umsetzen.

 
 

Infos zum Datenschutz der CRM-Lösung

Whitepaper, E-Book, Checkliste – rundum informiert zum Thema Kundenmanagement-Software und den Anforderungen der DSGVO

„Mein Unternehmenssitz liegt im außereuropäischen Ausland. Ich muss mich überhaupt nicht an die EU-DSGVO halten.“

 
 

An die Datenschutz-Grundverordnung müssen sich nur Unternehmen halten, die ihren Sitz in der EU haben. Wenn ich meinen Unternehmenssitz ins Ausland verlagere, kann ich mir den ganzen Stress mit der EU-DSGVO sparen.

So einfach ist das nicht. An die EU-DSGVO müssen sich nicht nur Unternehmen mit Sitz in der EU halten, sondern auch alle Unternehmen außerhalb der EU, die EU-Bürgern Produkte oder Dienstleistungen anbieten oder ihr Verhalten beobachten.

Eine Flucht ins Ausland ist demnach zwecklos. Das bedeutet auch, dass sich beispielsweise Facebook an die gesetzlichen Vorgaben der EU-DSGVO halten muss.

 

„Mit meiner kleinen Firma muss ich mich doch nicht an die ganzen Regelungen halten!“

 

Die EU-DSGVO betrifft doch eher die großen Unternehmen, die Daten in erheblichem Umfang verarbeiten. Bei meinem kleinen Tagesgeschäft interessiert das doch niemanden, solange ich die Daten meiner Kunden nicht einfach an Dritte weitergebe.

So einfach ist es leider nicht.

Nach Art. 2 Abs. 1 DSGVO sind ALLE Unternehmen, die personenbezogene Daten ganz oder teilweise automatisch verarbeiten, betroffen. Aber auch bei nichtautomatisierter Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, muss man sich an die gesetzlichen Vorgaben der DSGVO halten. Erheben Sie also zur Vertragserfüllung die Daten Ihrer Kunden, so greift hier bereits die DSGVO.

Die einzige Erleichterung für kleinere Unternehmen gibt es bei der sogenannten Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, das in Art. 30 Ab. 5 DSGVO definiert ist. Demnach müssen Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, kein Verzeichnis von Verarbeitungstätigkeiten erstellen. Es sei denn, die Verarbeitung der Daten stellt zum Beispiel ein Risiko für die Rechte und Freiheiten der betroffenen Personen dar. Oder Sie verarbeiten regelmäßig personenbezogene Daten. Dann müssen Sie ein entsprechendes Verzeichnis führen – auch wenn Sie deutlich weniger als 250 Angestellte haben.

Da die meisten Unternehmen online sehr aktiv sind und regelmäßig personenbezogene Daten erheben, greift die Ausnahme also nur in seltenen Fällen.

 
 

„Mein Datenschutzbeauftragter macht das schon! Als Geschäftsführer bin ich eh' nicht betroffen.“

 
 

Bei Verstößen trägt mein Datenschutzbeauftragter die Schuld und ist haftbar. Ich muss mir da als Geschäftsführer gar keine Sorgen machen.

Gegenüber der Aufsichtsbehörde haftet immer die verantwortliche Stelle. Unter „Verantwortlicher“ versteht die Datenschutz-Grundverordnung die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“. Das bedeutet: Alle Verantwortlichen – dazu gehören auch Sie als Geschäftsführer – können persönlich zur Haftung herangezogen werden, wenn die gesetzlichen Vorgaben der DSGVO nicht eingehalten werden.

Übrigens: Die Beweislast tragen die Verantwortlichen. Deshalb ist es besonders wichtig, den Dokumentationspflichten nachzukommen, um im Ernstfall nachweisen zu können, dass Sie rechtskonform gehandelt haben. Lehnen Sie sich also nicht zurück, sondern werden Sie aktiv.

Der Schaden, der entstehen kann, ist schließlich nicht nur finanzieller Natur. Auch das Image des Unternehmens kann unter einem Datenschutzverstoß leiden.

 

„Jetzt ist sowieso alles zu spät!“

 

Das sind viel zu viele Vorgaben, die ich umsetzen muss. Und das normale Tagesgeschäft sollte nebenbei ja auch noch laufen. Das kriege ich einfach nicht hin… dann lasse ich es eben!

Stecken Sie nicht den Kopf in den Sand. Geraten Sie auch nicht in Panik. Informieren Sie sich, finden Sie heraus, wo Ihr Unternehmen in Sachen Datenschutz steht und beginnen Sie mit den notwendigen Anpassungen.

Mit einer guten Strategie können Sie und Ihre Mitarbeiter sich mit der DSGVO auseinandersetzen und die Vorgaben erfüllen. Hier sind Netzwerke und erfahrene Partner besonders hilfreich: Weil niemand alles wissen kann, haben auch wir uns lange vor Inkrafttreten der DSGVO mit kompetenten Partnern zusammengeschlossen. Wir haben unser Know-how gebündelt, um unsere Kunden auf dem Weg in ein DSGVO-konformes Kundenbeziehungsmanagement zu begleiten. Also legen auch Sie jetzt los und suchen Sie den Dialog mit Experten, die Sie bei der Umsetzung unterstützen können.

 
 
Melden Sie sich bei uns, wir beraten Sie gerne.

Ihr Jürgen Litz, Geschäftsführer cobra GmbH

 +49 7531 8101 0
 info@cobra.de

Das könnte Sie auch interessieren

Für eine neue Qualität der Kundenbeziehung
weitere Informationen

Competence Book „Next: CRM goes CXM“

Auf Basis von Datenschutz und Datenchancen die Qualität der Kundenbeziehung verbessern. Lesen Sie im Competence Book „Next: CRM goes CXM“ über die Potenziale für die Customer Experience.

Jetzt anfordern
Interview

Wo stehen wir nach 4 Monaten DSGVO?

Was hat sich seit Inkrafttreten der DSGVO am 25.5.2018 getan? Gab es erste Abmahnungen? Was ist weiterhin zu tun? Wir haben den Fachanwalt für IT-Recht Jan Morgenstern zum Status quo der DSGVO befragt.

zum Interview
cobra CRM in einer Online Präsentation kennenlernen
Weitere Informationen

CRM live erleben in der Online Präsentation

Gerne stellen wir Ihnen die CRM Lösungen von cobra persönlich vor. Nehmen Sie sich etwas Zeit und erfahren Sie mehr über die Funktionalitäten der cobra CRM Software, ganz auf Ihre Anforderungen abgestimmt.

Jetzt Termin vereinbaren
 

cobra CRM

DSGVO konform für rechtssicheres Kundenmanagement in Vertrieb, Marketing und Service

 
Weitere Informationen zum Datenschutz

Kontakt

Sie erreichen uns gerne per Telefon: +49 7531 8101 0 oder

Software-Beratung

Das cobra Beratungsangebot zum Thema Datenschutz.

E-Book Datenschutz

Jetzt E-Book kostenlos zum Download für Sie! 

CRM KOSTENLOS TESTEN