Software und Strategien für den erfolgreichen Mittelstand

Strategischer Ansatz beim Datenschutz nötig

Datenschutz bei CRM aus der Cloud

Engelbert Tomes, Bereichsleiter Marketing & Sales bei ConSol, Quelle: ConSol

Die Kombination aus Datenschutz und CRM unterliegt einigen gesetzlichen Vorgaben. Daher müssen Unternehmen diese Herausforderung strategisch angehen. CRM-Experten erläutern gegenüber Sol4bus, welche Aspekte dabei besonders wichtig sind. Für Engelbert Tomes, Bereichsleiter Marketing & Sales bei ConSol, spielt es keine große Rolle, ob die Daten des CRM in der Cloud oder in eigenen On-Premise-Systemen liegen: „Daten, die verarbeitet werden, sind personenbezogen. Somit gelten automatisch die Bestimmungen des BDSG. In jedem Fall sollte bei Cloud-Anbietern genauestens überprüft werden, in welchem Land die Daten liegen, und ob zusätzliche Sicherheitsnachweise existieren, beispielsweise die Zertifizierung nach ISO 27001.“

Planungsphase

Sascha Höffer, Consulting Director CRM & Marketing bei Comarch; Quelle: Comarch

Bereits in der Planungsphase sollte das sensible Thema Datenschutz eine Rolle spielen, wenn es darum geht, die Bedürfnisse der Endkunden zu definieren. Diese Einstellung vertritt Sascha Höffer, Consulting Director CRM & Marketing bei Comarch: „Die Teilnahmebedingungen sollten transparent formuliert sein, aber auch ein vertrauensvoller Umgang mit den Kundendaten sollte sichergestellt werden. Denn so offen Kunden heutzutage mit ihren Daten umgehen, bedarf es für sie doch nur eines Mausklicks, um einem die Erlaubnis zur Nutzung dieser Daten wieder zu entziehen.“ In Bezug auf Cloud-, aber auch auf On-Premise-Lösungen unterliegen europäische Anbieter den strengen europäischen Datenschutzrichtlinien und können deshalb Datenschutz und Datensicherheit viel umfassender gewährleisten als zum Beispiel die Anbieter aus den USA.

Generell bringen Lösungen, die über das Internet verfügbar sind, natürlich ein erhöhtes Risiko mit sich, Opfer von Cyberattacken zu werden. Für Höffer ist es daher besonders wichtig, „dass sowohl Cloud- als auch On-Premise-Lösungen über eine solide Sicherheitsarchitektur und eine effiziente Mandantentrennung auf allen Infrastrukturebenen verfügen“. Bei der Anbieterwahl sollten Unternehmen daher darauf achten, dass nach Vorgehensmodellen wie zum Beispiel ITIL oder COBIT gearbeitet wird und die Systeme gegen Störungen und Notfälle durch ein funktionierendes Notfallmanagement abgesichert sind. Zertifizierungen wie zum Beispiel ISO 27001 zeigen, dass Anbieter diese sicherheitsrelevanten Prozesse im Unternehmen etabliert haben.

„Selbstverständlich muss man den Datenschutz berücksichtigen und als Unternehmer beurteilen können, ob und welche Risiken man eingeht, wenn man diesen Schutz missachtet“, kommentiert CRM-Experte Ralf Preusser. Der Senior Manager Strategy & Suite bei Sage weist darauf hin, dass man sich im Marketingbereich schnell in einem „grauen“ Bereich bewege: „Hier kann man vorbeugen, wenn man sich bereits im sehr frühen Stadium des Kundekontakts im Zuge der ‚Customer Journey‘ das Opt-in von Interessenten für weitere Marketing-Aktionen holt und es im CRM-System nachvollziehbar ablegt und dokumentiert.“ Bei CRM aus der Cloud empfiehlt Ralf Preusser Unternehmern, darauf zu achten, wo genau die Rechenzentren stehen, in denen die Daten abgelegt werden – idealerweise in Deutschland oder Europa. Sicherheitszertifikate vom TÜV bieten darüber hinaus eine zusätzliche Orientierung.

Vorschriften beachten

Da der Datenschutz vom Gesetzgeber vorgeschrieben ist, empfiehlt Michael Stump, Bereichsleiter CRM bei itml: „Seriöse Unternehmen tun gut daran, sich daran zu halten. Selbstverständlich gilt immer der Grundsatz ‚Wo kein Kläger, da kein Richter‘ und bis dato sind noch keine großen Klagewellen bekannt geworden. Andererseits stellt sich hier auch die Imagefrage und deshalb ist allen Unternehmen dringend zu empfehlen, sich an die gesetzlichen Vorgaben zu halten.“ Bezüglich der Cloud komme noch ein weiterer Aspekt hinzu: „Die Daten gehen außer Haus. Da hier landesspezifisch unterschiedliche Datenschutzrichtlinien gelten, sollte man darauf achten, dass die landesspezifischen Richtlinien vom Cloud-Anbieter eingehalten werden.“

Martin Hubschneider, Vorstandsvorsitzender CAS Software AG, verortet das Thema Datenschutz bereits bei der Auswahl des passenden CRM-Systems: „Datenschutz und Vertrauenswürdigkeit sollten bereits bei der Auswahl auf dem Radar sein. Diese Sensibilität ist im Eigeninteresse der Unternehmen. Schließlich handelt es sich um die „eigenen“ Kundendaten und die rechtssichere Möglichkeit der Datenanreicherung durch externe Dienste und Services.“

Daher sollten Anwender in jedem Fall beim jeweiligen Anbieter Transparenz darüber einfordern, wo und wie ihre Daten in der Cloud gespeichert werden und nach welchen gesetzlichen Richtlinien – so Hubschneider weiter: „Gütesiegel,  wie etwa das unter der Schirmherrschaft des Bundeswirtschaftsministeriums stehende ‚Software Hosted In Germany‘, stehen dabei für klare Regeln und Selbstverpflichtungen der Anbieter. CAS Software gibt seinen Kunden grundsätzlich die Wahlfreiheit: Inhouse-CRM oder Cloud-hosted in Germany. Es gibt aber gerade für kleinere Unternehmen viele handfeste Argumente für die Cloud: Wer von unterwegs auf seine Kundendaten sicher zugreifen will, der muss entweder eine aufwendige eigene IT betreiben – durchaus eine Herausforderung im Mittelstand – oder er nutzt die Cloud.“

Erhebungszweck

Henning Ogberg, Senior Vice President & General Manager EMEA bei SugarCRM; Quelle: SugarCRM

Die richtige Einordnung der verarbeiteten personenbezogenen Daten nach Erhebungs- und Verarbeitungszweck steht bei Robert Quotschalla, Leiter Direktgeschäft Deutschland bei der Step Ahead AG, im Vordergrund: „Das ermöglicht die datenschutzkonforme Verwendung von Informationen im CRM-System. Ein seriöses CRM-System muss die Schranken des Datenschutzes berücksichtigen und ihn auf organisatorischer wie technischer Ebene einbinden.“ Dazu sollte es laut Quotschalla die Datenherkunft dokumentieren, unterschiedliche Datenarten getrennt verarbeiten und eine Anonymisierung oder Pseudonymisierung zulassen. Wichtig sei dabei auch ein abgestuftes Berechtigungskonzept bei der Auswertung der Daten.

Für Henning Ogberg, Senior Vice President & General Manager EMEA bei SugarCRM, haben die jüngsten Schlagzeilen über Cyber-Crime und Hacking innerhalb von Unternehmen zu der Frage geführt, wie sicher die Kundendaten in einer CRM-Lösung aufgehoben sind: „Dies überrascht nicht, denn es steht viel auf dem Spiel, wenn es um Datenschutz geht. Eine moderne CRM-Lösung muss daher flexibel genug sein, die Regulierungs- und Sicherheitsaspekte von Ländern, Branchen und Organisationen jederzeit erfüllen zu können.“ Dazu zählt für ihn auch die Notwendigkeit, die Daten auf eigenen Servern oder doch in der Cloud zu hosten. „Beim Thema Cloud-Computing bereiten diese Regulierungs- und Sicherheitsaspekte den CIOs Sorgen, insbesondere wenn es um gemeinsam genutzte öffentliche Clouds und IT-Infrastrukturen geht“, gesteht Ogberg ein. „Primär fürchten die CIOs, dass sie die Kontrolle über Daten verlieren, die in öffentlichen Clouds gespeichert sind. Die Bereitstellung der CRM-Lösung in einer öffentlichen Cloud ist daher meist keine Option für sie. Viele unserer Kunden nutzen deshalb das Angebot, unsere CRM-Lösung Sugar im eigenen Rechenzentrum (On-Premise) zu hosten, andere wählen eine private oder auch eine hybride Kombination mit Sugar.“