CRM DSGVO-konform betreiben: Der Praxisleitfaden

Warum dein CRM ein Datenschutz-Brennpunkt ist

Ein CRM-System ist die zentrale Sammelstelle für alles, was du über deine Kunden weißt: Namen, Adressen, Telefonnummern, E-Mail-Verläufe, Kaufhistorien, Notizen aus Gesprächen. Genau diese Konzentration personenbezogener Daten macht es zum sensibelsten System in vielen Unternehmen. Was im Vertrieb ein Segen ist, wird beim Thema CRM Datenschutz schnell zur Herausforderung.

Die Datenschutz-Grundverordnung gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet – unabhängig von der Größe. Es gibt keine Bagatellgrenze, ab der die DSGVO erst greift. Ob du fünf oder fünftausend Kontakte verwaltest, spielt für die grundsätzliche Pflichtenlage keine Rolle. Und die Aufsichtsbehörden schauen längst nicht mehr nur auf Großkonzerne.

Die Folgen von Verstößen können erheblich sein. Bußgelder können theoretisch bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes erreichen – und auch wenn solche Summen für KMU unrealistisch sind, werden in der Praxis durchaus fünfstellige Bußgelder gegen kleinere Betriebe verhängt. Hinzu kommt der Reputationsschaden, der oft schwerer wiegt als die Strafe selbst. Ein CRM DSGVO-konform zu betreiben, ist daher keine Kür, sondern Pflicht.

Die Rechtsgrundlagen: Auf welcher Basis du Daten verarbeitest

Der erste Grundsatz der DSGVO lautet: Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Du darfst Kundendaten nicht einfach speichern und nutzen, weil es praktisch ist. Für CRM-Systeme sind vor allem drei Rechtsgrundlagen relevant.

Die Vertragserfüllung erlaubt dir, Daten zu verarbeiten, die du für die Erbringung einer Leistung brauchst – etwa die Lieferadresse eines Kunden, der bei dir bestellt hat. Das berechtigte Interesse kann eine Grundlage für Bestandskundenpflege sein, erfordert aber stets eine sorgfältige Abwägung gegen die Interessen der betroffenen Person. Und die Einwilligung ist nötig, sobald du Daten für Zwecke nutzt, die über das Notwendige hinausgehen, etwa für Newsletter-Marketing.

Wichtig ist, dass du für jeden Verarbeitungszweck weißt, auf welcher Grundlage er beruht. Ein häufiger Fehler ist, eine einmal erteilte Einwilligung als Freibrief für alles zu verstehen. Wer in den Newsletter eingewilligt hat, hat damit nicht automatisch zugestimmt, dass seine Daten an Partner weitergegeben werden.

Der AV-Vertrag: Pflicht bei jedem Cloud-CRM

Die meisten modernen CRM-Systeme laufen in der Cloud – ob Zoho, Salesforce oder HubSpot. Sobald ein externer Dienstleister Kundendaten in deinem Auftrag verarbeitet, brauchst du einen AV-Vertrag, also einen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO. Ohne diesen Vertrag ist der Einsatz des CRM schlicht rechtswidrig, selbst wenn ansonsten alles korrekt läuft.

Der AV-Vertrag regelt, was der Anbieter mit deinen Daten tun darf, welche technischen und organisatorischen Maßnahmen er ergreift und wie mit Datenpannen umgegangen wird. Die großen Anbieter stellen Standard-AV-Verträge bereit, die du meist online abschließen oder herunterladen kannst. Deine Aufgabe ist, diesen Vertrag tatsächlich abzuschließen, aufzubewahren und zu prüfen, ob er deine Anforderungen abdeckt.

Besondere Aufmerksamkeit verdient die Frage, wo die Daten gespeichert werden. Bei Anbietern mit Servern außerhalb der EU – etwa in den USA – brauchst du zusätzliche Garantien für den internationalen Datentransfer. Viele Anbieter bieten inzwischen EU-Rechenzentren an, was die Sache deutlich vereinfacht. Prüfe also bei der Auswahl deines CRM gezielt nach dem Serverstandort.

Löschkonzepte: Daten dürfen nicht ewig bleiben

Ein Grundsatz der DSGVO ist die Speicherbegrenzung: Du darfst Daten nur so lange aufbewahren, wie du sie für den jeweiligen Zweck tatsächlich brauchst. In der Praxis wird dieser Punkt am häufigsten ignoriert. Viele CRM-Systeme sind über Jahre gewachsene Datenfriedhöfe, in denen Kontakte von vor zehn Jahren noch genauso liegen wie aktuelle Kunden.

Ein funktionierendes Löschkonzept definiert für jede Datenkategorie eine Aufbewahrungsfrist und einen Auslöser für die Löschung. Dabei musst du die DSGVO mit anderen gesetzlichen Pflichten in Einklang bringen: Steuerlich relevante Unterlagen unterliegen Aufbewahrungsfristen von mehreren Jahren, während ein nicht zustande gekommener Erstkontakt nach kurzer Zeit gelöscht werden sollte.

Die Umsetzung gelingt am besten teilautomatisiert. Moderne CRM-Systeme erlauben es, Workflows einzurichten, die Datensätze nach Ablauf einer Frist markieren, anonymisieren oder löschen. So musst du nicht manuell hinterherräumen, sondern das System erinnert dich oder handelt selbstständig nach deinen Regeln.

• Inaktive Leads: Kontakte ohne Interaktion nach einer definierten Frist prüfen und löschen.
• Newsletter-Abmeldungen: Daten von abgemeldeten Empfängern zeitnah aus den Marketing-Listen entfernen.
• Beendete Kundenbeziehungen: Nach Ablauf gesetzlicher Aufbewahrungsfristen konsequent löschen.
• Bewerberdaten: Nach einem abgeschlossenen Auswahlprozess innerhalb weniger Monate entfernen.

Betroffenenrechte: Was du können musst

Die DSGVO gibt jeder Person umfangreiche Rechte gegenüber ihren Daten. Als Verantwortlicher musst du in der Lage sein, diese Rechte zeitnah zu erfüllen – in der Regel innerhalb eines Monats. Dein CRM muss dich dabei unterstützen, nicht behindern.

Das Auskunftsrecht verlangt, dass du auf Anfrage alle zu einer Person gespeicherten Daten herausgeben kannst. Das Recht auf Berichtigung bedeutet, dass falsche Daten korrigiert werden. Das vielzitierte Recht auf Löschung – oft als „Recht auf Vergessenwerden" bezeichnet – verpflichtet dich, Daten auf Wunsch zu entfernen, sofern keine Aufbewahrungspflicht entgegensteht. Hinzu kommt das Recht auf Datenübertragbarkeit und das Widerspruchsrecht.

In der Praxis scheitert die Erfüllung dieser Rechte oft an der Datenarchitektur. Wenn Kundendaten über CRM, Mailtool, Buchhaltung und diverse Excel-Listen verstreut sind, wird eine vollständige Auskunft zur Detektivarbeit. Ein gut strukturiertes, zentrales CRM ist deshalb nicht nur ein Vertriebsvorteil, sondern auch ein Datenschutzvorteil. Kundendaten Datenschutz beginnt mit Ordnung.

Technische und organisatorische Maßnahmen

Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen, kurz TOM, um Daten zu schützen. Das klingt abstrakt, ist im Alltag aber sehr konkret. Auf technischer Seite gehören dazu eine verschlüsselte Datenübertragung, ein durchdachtes Berechtigungskonzept und regelmäßige Backups. Nicht jeder Mitarbeiter braucht Zugriff auf alle Daten – der Praktikant im Marketing muss keine Umsatzzahlen einzelner Kunden sehen.

Auf organisatorischer Seite zählen Schulungen deiner Mitarbeiter, klare Prozesse für den Umgang mit Datenpannen und eine saubere Dokumentation. Gerade die menschliche Komponente wird unterschätzt: Die meisten Datenschutzvorfälle entstehen nicht durch Hackerangriffe, sondern durch Unachtsamkeit – die E-Mail an den falschen Verteiler, das ungesicherte Notebook, das schwache Passwort.

Ein modernes CRM gibt dir viele dieser Werkzeuge an die Hand: rollenbasierte Zugriffsrechte, Protokollierung von Zugriffen, Zwei-Faktor-Authentifizierung. Nutze sie konsequent. Ein gut konfiguriertes System ist die halbe Miete für einen rechtssicheren Betrieb.

Datenpannen: Vorbereitet sein für den Ernstfall

Selbst bei bester Vorsorge kann etwas schiefgehen: ein verlorenes Notebook, ein erfolgreicher Phishing-Angriff, eine versehentlich offene Datenfreigabe. Die DSGVO verlangt, dass du auf solche Fälle vorbereitet bist. Eine Datenschutzverletzung musst du in vielen Fällen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden – und je nach Schwere auch die betroffenen Personen informieren.

72 Stunden klingen nach viel, sind im Ernstfall aber knapp. Deshalb solltest du vorab einen klaren Prozess festlegen: Wer wird informiert, wer bewertet den Vorfall, wer übernimmt die Meldung? Ein schriftlicher Notfallplan, den dein Team kennt, macht im Krisenfall den Unterschied zwischen kontrolliertem Handeln und Chaos.

Wichtig ist außerdem die Dokumentation. Auch Vorfälle, die nicht meldepflichtig sind, solltest du intern festhalten. Das zeigt im Zweifel, dass du verantwortungsvoll mit Daten umgehst, und hilft dir, aus Fehlern zu lernen und Schwachstellen zu schließen. Wer Datenpannen ernst nimmt, schützt nicht nur seine Kunden, sondern auch das Vertrauen in das eigene Unternehmen.

Einwilligungen rechtssicher verwalten

Ein zentrales Thema, das in der Praxis viel Ärger verursacht, ist die Verwaltung von Einwilligungen. Sobald du Kundendaten für Marketingzwecke nutzt – allen voran für Newsletter – brauchst du in aller Regel eine ausdrückliche Einwilligung. Und diese musst du nicht nur einholen, sondern auch nachweisen können. Im Streitfall liegt die Beweislast bei dir.

Konkret bedeutet das: Dein CRM sollte für jeden Kontakt dokumentieren, wann, wie und wofür eine Einwilligung erteilt wurde. Das sogenannte Double-Opt-in-Verfahren, bei dem ein Abonnent seine Anmeldung per Bestätigungslink verifiziert, ist hier der Standard. Der Zeitstempel und der Bestätigungsvorgang sollten im System hinterlegt sein, damit du jederzeit nachweisen kannst, dass die Einwilligung wirksam war.

Ebenso wichtig ist der Widerruf. Jede Person darf ihre Einwilligung jederzeit zurückziehen, und dieser Widerruf muss genauso einfach sein wie die Erteilung. In der Praxis heißt das: ein funktionierender Abmeldelink in jeder Mail und ein Prozess, der die abgemeldete Person zuverlässig aus den Verteilern entfernt. Wer hier nachlässig ist, riskiert nicht nur Bußgelder, sondern auch wettbewerbsrechtliche Abmahnungen.

Häufige Fehler beim DSGVO-konformen CRM

In meiner Beratungspraxis begegnen mir immer wieder dieselben Schwachstellen. Der Klassiker ist das fehlende oder unvollständige Verarbeitungsverzeichnis – eine Pflicht, die viele KMU schlicht übersehen. Ebenso häufig: AV-Verträge, die zwar existieren, aber nie aktiv abgeschlossen oder dokumentiert wurden.

Ein weiterer Dauerbrenner ist der Import gekaufter Adresslisten ins CRM ohne jede Einwilligung. Das ist nicht nur datenschutzrechtlich heikel, sondern auch wettbewerbsrechtlich riskant. Wer Kaltakquise per E-Mail betreibt, bewegt sich auf dünnem Eis. Ebenso problematisch ist das endlose Speichern von Daten ohne Löschkonzept, weil „man ja nie weiß, ob man sie nochmal braucht".

Diese Fehler sind alle vermeidbar. Sie entstehen meist nicht aus bösem Willen, sondern aus Unwissenheit oder weil im Tagesgeschäft die Zeit fehlt. Genau deshalb lohnt es sich, einmal systematisch durch das eigene CRM zu gehen und aufzuräumen – idealerweise mit jemandem, der die Fallstricke kennt.

Fazit: DSGVO-Konformität ist machbar – und sogar ein Vorteil

Ein CRM DSGVO-konform zu betreiben, wirkt auf den ersten Blick aufwändig, ist aber mit einem strukturierten Vorgehen gut zu schaffen. Rechtsgrundlagen klären, AV-Verträge abschließen, Löschkonzepte umsetzen, Betroffenenrechte ermöglichen und technische Maßnahmen ergreifen – wer diese fünf Bereiche im Griff hat, ist auf der sicheren Seite.

Und es lohnt sich doppelt: Ein aufgeräumtes, datenschutzkonformes CRM ist nicht nur rechtssicher, sondern auch leistungsfähiger. Saubere Daten, klare Zugriffe und durchdachte Prozesse machen deinen Vertrieb besser. Datenschutz und Effizienz sind keine Gegensätze – richtig umgesetzt verstärken sie sich gegenseitig.