Löschfristen von Kundendaten im CRM

Wir zeigen Ihnen, wie ein CRM-System dabei helfen kann, Löschfristen einzuhalten. Keine Versäumnisse mehr bei gesetzlichen Vorgaben.

Der Trend ist eindeutig. Immer mehr Unternehmen setzen auf ganzheitliche CRM Systeme, um all ihre Kundendaten zentral zu speichern und verwalten. Mit endgültigem Inkrafttreten der DSGVO im Mai 2018 ist die sichere Verwaltung und Verarbeitung sensibler Daten vehement in die öffentliche Aufmerksamkeit gerückt.

In Anbetracht der nun geltenden Datenschutzrichtlinien mögen CRM-Systeme auf den ersten Blick ein großes Sicherheitsrisiko darstellen, da bei unzureichendem Datenschutz durch sie potenziell eine große Anzahl hochsensibler Daten in die falschen Hände geraten kann. Doch es geht auch anders – durch spezielle Funktionen innerhalb eines CRM-Systems ist es möglich, das Unternehmen bei der Einhaltung der Datenschutzrichtlinien zu unterstützen. 

Inhaltsverzeichnis

Art. 17 DSGVO – Das „Recht auf Vergessenwerden“ 

Im Mittelpunkt der Debatte um die Datenschutzgrundverordnung (DSGVO) stand unter anderem auch Kapitel 3 Artikel 17 – Das Recht auf Löschung. Im umgangssprachlichen Gebrauch ist dieser Artikel auch als „Recht auf Vergessenwerden“ bekannt. Kap. 3 Art. 17 der seit Mai 2018 verbindlich geltenden DSGVO besagt, dass eine betroffene Person das Recht hat 


„(…) von dem Verantwortlichen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: (…)“ (vgl. dsgvo-gesetz.de).

Im Weiteren werden als mögliche Gründe beispielsweise genannt, dass die Daten für den Zweck, aus dem sie ursprünglich erhoben wurden, redundant geworden sind, sie zu unrechtmäßigen Zwecken genutzt wurden oder die betroffene Person rückwirkend Widerspruch gegen die weitere Verarbeitung einlegt. 

Löschfristen: Wann müssen Daten entfernt werden? 

Bei der Löschung der Daten gelten gesetzliche Fristen. So ist das Unternehmen beispielsweise verpflichtet, die betreffenden Daten nach Eingang eines entsprechenden Antrags der betroffenen Person unverzüglich, d.h. mit anderen Worten ohne schuldhaftes Verzögern zu löschen. 

Vorgesehene Frist für die Löschung 

Geht keine entsprechende Anfrage ein, gelten dennoch gesetzliche Fristen. So wird bei personenbezogenen Daten im CRM-System nach einem Ablauf von zwei Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sofern keine Erforderlichkeit besteht, sollten die Daten gelöscht werden. Hiervon sind buchungsrelevante Daten bzw. Daten, die im Sinne des Handelsgesetzbuches (HGB) als Geschäftsbriefe einzuordnen sind, ausgenommen (vgl. datenschutz-guru.de). 

Aufbewahrungsfristen 

Grundsätzlich sollten sich die Löschfristen an den gesetzlichen Aufbewahrungsfirsten orientieren. Bei Rechnungen beträgt diese beispielsweise gemäß Abgabenordnung 10 Jahre. Sofern keine direkte Aufbewahrungsfirst besteht, sollten die Daten dann gelöscht werden, wenn ihr Zweck erfüllt ist; sprich, wenn sie nicht mehr benötigt werden (vgl. dsgvo-vorlagen.de). 

Umsetzung in Unternehmen 

Dies mag so manches Unternehmen, welches seine Kundendaten dezentral verwaltet, vor Probleme stellen, da im Zweifelsfall keine einheitliche, für alle zuständigen Mitarbeiter zugängliche Übersicht darüber besteht, welche Anträge bereits verarbeitet worden sind. So kann es zu internen Verzögerungen bei der ordnungsgemäßen Löschung kommen, welches im Zweifelsfall ein Nachspiel für das Unternehmen haben kann. 

Welche Strafen drohen bei Verstößen? 

Gemäß Art. 25 Abs. 2 ist das Unternehmen, welches die Daten verarbeitet, sogar dazu verpflichtet, Maßnahmen in Form von technischen Voreinstellungen zu treffen. 

Höhe des Bußgeldes bei DSGVO-Verstoß

Ein Verstoß kann im Ernstfall mit einem Bußgeld in Hohe von 10 Mio. Euro bzw. 2% des Jahresumsatzes des Vorjahres geahndet werden – je nachdem, welcher Betrag höher ist. Bei einem Verstoß gegen einen oder mehrere der in Art. 5 aufgeführten Punkte – wie beispielsweise der Zweckbindung der verarbeiteten Daten – kann das Bußgeld sogar bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes des vergangenen Geschäftsjahres betragen (vgl. keyed.de). 

Letzten Endes wird die Höhe des Bußgeldes von den zuständigen Aufsichtsbehörden des jeweiligen Bundeslandes beschlossen.  Welche Maßnahmen kann ein Unternehmen also im Detail veranlassen, um sich vor Verstößen gegen die DSGVO und möglichen Bußgeldern zu schützen?

Rolle der CRM-Software: Datenschutz und die DSGVO 

Ein Unternehmen, welches seine Kundendaten mittels CRM-Systemen verwaltet, hat diverse Möglichkeiten, Anpassungen im System selbst vorzunehmen, um eine Konformität mit der DSGVO zu gewährleisten. Vorschläge für generelle Maßnahmen, welche Unternehmen treffen können, werden unter anderem in Erwägungsgrund 78 DSGVO aufgeführt. 

  • Minimierung der Verarbeitung personenbezogener Daten 
  • Schnelle Pseudonymisierung der Daten 
  • Transparenz bzgl. Funktion der Datenverarbeitung
  • Der betroffenen Person eine Überwachung der Verarbeitung ermöglichen
  • Schaffung und Verbesserung von Sicherheitsfunktionen

Wie lassen sich die Maßnahmen im CRM-System umsetzen? 

Dies ist beispielsweise durch die automatische Dokumentation von Anfragen betroffener Personen möglich. Hier kann der Wunsch auf Auskunft oder Löschung der Daten aufgenommen werden. Durch eine Datierung der eingehenden Anfragen behalten die Anwender des CRM-Systems im Überblick, welche Kundendaten als nächste entfernt werden müssen. Auch besteht beispielsweise die Möglichkeit, sich automatisiert durch das System - u. A. auch via Email - berichten zu lassen, für welche Personen die Rechtmäßigkeit der Datenverwaltung und -verarbeitung in Kürze erlischt. 

Das ordnungsgemäße Löschen erhobener Daten in der CRM-Software

Der zuständige Anwender wird so umgehend darüber benachrichtigt, dass akuter Handlungsbedarf. So kann er den entsprechenden Datensatz ordnungsgemäß dauerhaft entfernen. Doch was genau bedeutet „Löschen“ in Zeiten der digitalen Transformation? Der Begriff selbst wird in der Datenschutz-Grundverordnung nicht näher definiert. Wichtig ist jedoch, dass nach Durchführung der Löschung keine Möglichkeit mehr besteht, ohne unverhältnismäßigen Aufwand rückwirkend Zugriff auf die Daten zu erhalten.Weiterführende Informationen zum Thema Datenschutz im CRM-System finden Sie auf unserer Datenschutz-Seite. 

CRM-Anbieter und -Nutzer in der Verantwortung 

Laut DSGVO liegt es in der Verantwortung des Nutzers eines Cloud CRM-Systems, sicherzustellen, dass die geltenden Datenschutzrichtlinien des System-Providers mit denen der geltenden DSGVO übereinstimmen. Dennoch fordert die DSGVO in Erwägungsgrund 78 Hersteller der CRM-Systeme; also CRM-Anbieter; dazu auf, ebenfalls Maßnahmen zu treffen, um die Anwendern der Software während der Datenverarbeitung bei der Einhaltung der geltenden Datenschutzrichtlinien zu unterstützen. So haben einige Software-Provider bereits Ressourcen in die Entwicklung entsprechender Add-Ons investiert, welche innerhalb existenter CRM-Systeme bei der Einhaltung der DSGVO behilflich sind. 

Fazit: Löschfristen mit der CRM-Software einhalten 

CRM-Systeme agieren bei der Speicherung, Verwaltung und Verarbeitung von Kundendaten als zentrale Datenbank. Aus diesem Grund stellen sie auf den ersten Blick ein hohes, datenschutzrechtliches Risiko dar. 

Datenschutzrechtliche Vorteile einer CRM-Software

Tatsächlich verfügen moderne CRM-Systeme jedoch um eine Vielzahl an Funktionen, die Unternehmen den DSGVO-konformen Umgang mit personenbezogenen Daten erleichtern können. Dies auch bei der Einhaltung gesetzlicher Löschfristen der Fall. Durch Funktionen wie automatisierte Benachrichtigungen können Anwender an dringende Löschungen erinnert werden. So wird die Wahrscheinlichkeit, dass eine Löschfrist unbemerkt verstreicht, deutlich reduziert. 

Starten Sie Ihre CRM-Auswahl

Finden Sie heraus, welche CRM-Systeme am besten zu Ihrem Unternehmen passen

In welcher Branche sind Sie tätig?

Warum dies bei der CRM-Auswahl wichtig ist:CRM-Systeme werden im Allgemeinen nicht für bestimmte Branchen entwickelt. Trotzdem ist es wichtig, Ihre Branche bei der Suche nach der richtigen Software zu berücksichtigen. Lieferanten mit Erfahrung in Ihrer Branche werden Ihre Geschäftsprozesse schnell verstehen und die Implementierung reibungsloser gestalten.

Geben Sie die Anzahl der Mitarbeiter und Benutzer ein

Mitarbeiter
Benutzer (optional)

Wofür verwenden Sie hauptsächlich das CRM-System?

Möchten Sie das CRM-System mit anderer Software integrieren?

Wie viel Zeit möchten Sie für die Einführung des CRM aufwenden?

Andere Fragen

Sollen Stunden im CRM registriert werden?
Arbeitet Ihre Organisation eher im Bereich b2b, b2c oder beide?
Verfügt Ihre Organisation über mehrere Niederlassungen?
Sind Sie international tätig?
Ist Ihre Zentrale in Deutschland?
CRM-Anbieter suchen...
Systeme gefunden

Füllen Sie das Formular aus und erhalten Sie unverbindlich Informationen über die 7 am besten geeigneten Anbietern.

Ihre Anfrage ist erfolgreich bei uns eingegangen

  • Auf der Grundlage der von Ihnen gelieferten Informationen geht unser Berater unverbindlich an die Arbeit
  • Unser Berater trifft eine Auswahl unter den CRM-Anbietern, die am besten zu Ihrem Unternehmen passen.
  • Sie erhalten eine kostenlose Auswahlliste mit Informationen über die 7 geeignetsten Anbietern
  • Im Falle von Fragen oder Unklarheiten meldet sich unser Berater möglicherweise bei Ihnen
Longlist anzeigen
Auswahl neu starten

Fallstudie: Prokon - Windpark-Management mit skejlo

Deutschlands mitgliederstärkste Energiegenossenschaft setzt auf skejlo aus dem Hause ACP IT Solutions.

Lesen Sie weiter

Fallstudie: Murrplastik Systemtechnik GmbH - itdesign

CAS genesisWorld im Einsatz bei der Murrplastik Systemtechnik GmbH: Eine Success Story.

Lesen Sie weiter