Zoho CRM DSGVO-konform in Deutschland nutzen

Worum es beim Datenschutz bei Zoho wirklich geht

Wer in Deutschland ein CRM einsetzt, verarbeitet damit personenbezogene Daten – Namen, Adressen, Telefonnummern, oft auch sensible Geschäftsinformationen. Für diese Verarbeitung bist du als Unternehmen der "Verantwortliche" im Sinne der DSGVO, der Anbieter ist dein "Auftragsverarbeiter". Das bedeutet: Du trägst die rechtliche Verantwortung dafür, dass alles sauber läuft – auch wenn die Software von einem internationalen Anbieter kommt.

Genau hier setzt die Skepsis gegenüber Zoho Datenschutz an. Zoho ist ein Unternehmen mit Wurzeln in Indien und Hauptsitz in den USA, und beide Länder gelten datenschutzrechtlich als sogenannte Drittländer. Die entscheidende Frage lautet deshalb nicht "Darf ich Zoho nutzen?", sondern "Unter welchen Bedingungen kann ich Zoho rechtssicher nutzen?". Und diese Bedingungen lassen sich erfüllen.

Wichtig zum Verständnis: Kein CRM ist von Haus aus "DSGVO-konform" – Konformität entsteht immer durch die Kombination aus Anbietermaßnahmen und deiner eigenen Konfiguration und Dokumentation. Das gilt für Zoho genauso wie für jeden Wettbewerber.

Der Serverstandort: Datenhaltung in der EU

Der häufigste Stolperstein bei Drittland-Anbietern ist die Frage, wo die Daten physisch liegen. Beim Zoho Serverstandort gibt es eine klare Antwort: Zoho betreibt Rechenzentren in der Europäischen Union, unter anderem in den Niederlanden und Irland. Du kannst beim Anlegen deines Accounts die EU-Datenregion (erkennbar an der Domain zoho.eu) wählen, sodass deine Produktivdaten innerhalb der EU gespeichert werden.

Das ist ein entscheidender Punkt für Zoho Deutschland-Kunden, denn die Speicherung in der EU vereinfacht die rechtliche Lage erheblich. Du musst dabei allerdings aufpassen:

• Die Datenregion wird beim Erstellen des Accounts festgelegt und lässt sich später nicht ohne Weiteres ändern. Prüfe vor dem Start, dass du in der EU-Region (zoho.eu) bist.
• Auch bei EU-Datenhaltung kann es im Support- oder Wartungsfall zu Zugriffen aus Drittländern kommen. Genau dafür braucht es vertragliche Absicherungen.
• Manche ergänzenden Dienste oder Integrationen verarbeiten Daten möglicherweise andernorts – das solltest du im Einzelfall klären.

Der AV-Vertrag: das rechtliche Fundament

Ohne einen Vertrag zur Auftragsverarbeitung darfst du gar kein externes CRM für personenbezogene Daten nutzen – das schreibt die DSGVO ausdrücklich vor. Der Zoho AV-Vertrag (englisch: Data Processing Agreement, DPA) regelt, wie Zoho als Auftragsverarbeiter mit deinen Daten umgehen muss.

Zoho stellt einen solchen AV-Vertrag bereit, der die typischen DSGVO-Anforderungen abdeckt. Darauf solltest du dabei achten:

• Abschluss und Dokumentation: Der AV-Vertrag muss aktiv abgeschlossen und nachweisbar dokumentiert werden. Bewahre ihn griffbereit auf, falls eine Aufsichtsbehörde nachfragt.
• Standardvertragsklauseln (SCC): Für mögliche Datenübermittlungen in Drittländer enthält der Vertrag die von der EU-Kommission anerkannten Standardvertragsklauseln als Übermittlungsgrundlage.
• Subunternehmer: Der Vertrag regelt, welche Unterauftragsverarbeiter Zoho einsetzt – diese Liste solltest du kennen und im Verzeichnis der Verarbeitungstätigkeiten berücksichtigen.
• Technische und organisatorische Maßnahmen (TOM): Der Anbieter dokumentiert, wie er die Daten technisch absichert.

Den AV-Vertrag findest du in den Sicherheits- und Compliance-Einstellungen deines Zoho-Kontos. Schließe ihn ab, bevor du produktiv mit echten Daten arbeitest – nicht erst, wenn das Kind schon im Brunnen liegt.

Die richtigen Einstellungen für den rechtssicheren Betrieb

Mit Serverstandort und AV-Vertrag ist die Grundlage gelegt. Jetzt geht es an die Konfiguration im System selbst. Zoho bietet dafür eine ganze Reihe von Datenschutzfunktionen, die du aktiv nutzen solltest:

Zugriffsrechte und Rollen

Nicht jeder Mitarbeiter muss alle Daten sehen. Richte ein granulares Rollen- und Rechtekonzept ein, sodass jeder nur auf die Daten zugreift, die er für seine Arbeit braucht. Das ist gelebte Datensparsamkeit und begrenzt das Schadensrisiko.

Verschlüsselung und sichere Zugänge

Aktiviere die Zwei-Faktor-Authentifizierung für alle Nutzer und stelle sicher, dass sensible Felder verschlüsselt werden, wo es das System erlaubt. So schützt du die Zugänge gegen unbefugten Zugriff.

Aufbewahrungs- und Löschregeln

Die DSGVO verlangt, dass Daten nicht länger gespeichert werden als nötig. Definiere Aufbewahrungsfristen und nutze Workflows, um veraltete Datensätze automatisch zu markieren oder zu löschen.

Funktionen für Betroffenenrechte

Kunden haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten. Zoho bietet dedizierte Datenschutz- und Compliance-Funktionen, mit denen du solche Anfragen strukturiert bearbeiten und dokumentieren kannst.

Einwilligungen und Marketing sauber abbilden

Besonders heikel wird es im Marketing. Wenn du Newsletter verschickst oder Leads bewirbst, brauchst du in der Regel eine nachweisbare Einwilligung. Achte beim Zoho Datenschutz darauf, dass du den Einwilligungsstatus jedes Kontakts im System sauber dokumentierst – inklusive Zeitpunkt und Herkunft der Einwilligung.

Nutze Felder oder Tags, um den Marketing-Status klar zu kennzeichnen, und stelle sicher, dass Abmeldungen zuverlässig verarbeitet werden. Ein sauber gepflegter Einwilligungsnachweis schützt dich nicht nur vor Abmahnungen, sondern ist auch ein Zeichen von Professionalität gegenüber deinen Kunden.

Häufige Fehler beim DSGVO-konformen Zoho-Einsatz

In meiner Beratungspraxis sehe ich immer wieder dieselben Versäumnisse, die sich leicht vermeiden lassen:

• Falsche Datenregion: Der Account wurde versehentlich in der US-Region angelegt – der häufigste und ärgerlichste Fehler.
• AV-Vertrag vergessen: Das System läuft produktiv, aber niemand hat den AV-Vertrag abgeschlossen.
• Keine Dokumentation: Verzeichnis der Verarbeitungstätigkeiten und TOM fehlen – im Prüfungsfall ein echtes Problem.
• Zu weite Zugriffsrechte: Alle Mitarbeiter sehen alles, weil kein Rollenkonzept eingerichtet wurde.
• Unkontrollierte Integrationen: Zusatztools und Schnittstellen geben Daten weiter, ohne dass dies datenschutzrechtlich bewertet wurde.

Zoho im Vergleich: kein Sonderfall

Oft wird Zoho beim Datenschutz strenger beurteilt als etablierte US-Anbieter – obwohl die rechtliche Ausgangslage ähnlich ist. Auch große amerikanische CRM-Plattformen sind Drittland-Anbieter und erfordern dieselben Bausteine: EU-Datenhaltung, AV-Vertrag, Standardvertragsklauseln und eine saubere Konfiguration. Zoho Deutschland-Kunden stehen damit nicht schlechter da als bei der Konkurrenz, sondern profitieren obendrein vom attraktiven Preis-Leistungs-Verhältnis.

Entscheidend ist nicht der Anbieter allein, sondern wie sorgfältig du den Einsatz aufsetzt und dokumentierst. Mit den richtigen Maßnahmen ist Zoho ein vollwertiges, datenschutzkonformes CRM für den deutschen Mittelstand.

Fazit: DSGVO-konformes Zoho ist machbar

Die Antwort auf die Eingangsfrage lautet eindeutig: Ja, Zoho lässt sich in Deutschland datenschutzkonform betreiben. Die Bausteine dafür sind die EU-Datenregion als Zoho Serverstandort, ein abgeschlossener Zoho AV-Vertrag inklusive Standardvertragsklauseln, ein durchdachtes Rechte- und Löschkonzept sowie eine vollständige interne Dokumentation. Keiner dieser Schritte ist kompliziert – sie müssen nur konsequent umgesetzt werden, bevor echte Daten ins System fließen.

Wenn du sichergehen willst, dass dein Zoho-Setup wirklich rechtssicher ist, oder eine bestehende Installation überprüfen lassen möchtest, schaue ich gern gemeinsam mit dir drauf – pragmatisch und mit Blick auf das, was die DSGVO tatsächlich verlangt. Hinweis am Rande: Dieser Beitrag ersetzt keine individuelle Rechtsberatung.