crm-in-konzernen-wann-drohen-bussgelder

CRM in Konzernen: Wann drohen Bußgelder?

Was sollten Konzerne bei der Verarbeitung von CRM-Daten beachten, um Verstöße gegen die Datenschutzgrundverordnung zu vermeiden?

Viele Unternehmen setzen zur Verwaltung ihrer Kundendaten auf eine CRM-Software. Je größer ein Unternehmen, desto größer ist auch der Bedarf nach einer adäquaten CRM-Software, welche dem zunehmend hohen Datenvolumen Herr wird.

Kundenbeziehungsmanagement in Konzernen

Damit sich das volle Potenzial einer Unternehmenssoftware entfalten kann, sollten Medienbrüche wann immer möglich vermieden werden.

Aus diesem Grund nutzen viele Konzerne CRM-Software auch übergreifend in den jeweiligen Tochtergesellschaften. Auf diese Weise lässt sich ein lückenloser Informationsaustausch zwischen allen Tochterunternehmen gewährleisten.

 Datenschutzrechtliche Anforderungen

Entscheiden sich Konzerne für den Einsatz derselben Lösung in allen Tochtergesellschaften, sind jedoch einige datenschutzrechtliche Anforderungen zu beachten, wie ein aktueller Bericht aufgreift (vgl. Conrad Conrad, datenschutz-notizen.de, 23.03.2021).

Rollen und Berechtigungskonzept

So muss beispielsweise ein entsprechendes Rollen- und Berechtigungskonzept vorhanden sein, über welches Mitarbeiterberechtigungen innerhalb der Software geregelt werden. Hier sollten Unternehmen nach dem Need-to-know-Prinzip verfahren.

Grundlage für die gemeinsame Datenverarbeitung

Darüber hinaus gilt es untereinander datenschutzrechtliche Vereinbarungen zu treffen, über welche der tatsächliche Datenaustausch zwischen den einzelnen juristischen Personen im Konzern geregelt wird (vgl. Conrad Conrad, datenschutz-notizen.de, 23.03.2021).

Datenschutzrechtliche Prüfung

Dazu bedarf es zunächst einer datenschutzrechtlichen Prüfung sowie Bewertung des Konzept. So ließe sich aus juristischer Perspektive definieren, ob beispielsweise eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO oder eine Auftragsverarbeitung gemäß Art. 28 DSGVO vorliege.

Auf Grundlage dessen ließe sich dann ein Rahmenvertrag zur Regelung des gesamten Datenflusses und dessen Verantwortlichkeiten im Unternehmen definieren.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Bei einer gemeinsamen Verantwortlichkeit müssen zudem konkrete Zuständigkeiten festgehalten werden. So gilt es zu definieren, welche Gesellschaft für

  • Die Bereitstellung von Informationen zur Datenverarbeitung
  • Die Umsetzung der Betroffenenanfragen
  • Die Meldung von Datenschutzvorfällen

zuständig ist und wie diesen Pflichten konkret nachgekommen werden kann.  

Bußgelder vermeiden

Vertraglich definierte Verantwortlichkeiten sorgen in diesem Fall nicht nur für einen geregelteren Prozessablauf, sondern sind auch eine rechtliche Notwendigkeit.

Fehle es an einer rechtlichen Grundlage für die gemeinsame Datenverarbeitung, drohe Verantwortlichen ein Bußgeld in Höhe von bis zu 2 Prozent des Jahresumsatz des Konzerns (vgl. Conrad Conrad, datenschutz-notizen.de, 23.03.2021).

7 April 2021

Lesen Sie mehr über:

5 verbreitete CRM-ERP-Schwachstellen

… und wie Sie sie beheben. Erfahren Sie mehr über den Mehrwert einer vollumfänglichen Verknüpfung von ERP- und CRM-Software.

Lesen Sie weiter

Der Supermarkt der Zukunft

Ein Blick auf Amazon Go; den kassenlosen Supermarkt der Zukunft und die „Just walk out“-Technologie.

Lesen Sie weiter