Datenschutzkonforme CRM-Nutzung

Auch: CRM-Datenschutz · DSGVO-konformes CRM

Die datenschutzkonforme CRM-Nutzung beschreibt die Anforderungen, die ein Maklerbüro beim Einsatz von Kundenverwaltungs- und Maklersoftware (CRM) erfüllen muss, um personenbezogene Daten von Interessenten, Käufern, Mietern und Eigentümern rechtskonform zu verarbeiten. Dazu gehören unter anderem ein wirksamer Auftragsverarbeitungsvertrag mit dem Softwareanbieter, angemessene technische Sicherheitsmaßnahmen und klare Zugriffs- sowie Löschregeln.

Ausführliche Erklärung

CRM- und Maklersoftware ist heute das zentrale Werkzeug, in dem praktisch alle personenbezogenen Daten eines Maklerbüros zusammenlaufen – Interessentenprofile, Objektzuordnungen, Kommunikationsverlauf, teils Bonitäts- und Finanzierungsdaten. Damit ist die CRM-Nutzung ein datenschutzrechtlicher Kernprozess mit mehreren Pflichtbausteinen:

  • Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Nutzt der Makler eine cloudbasierte CRM-Lösung eines externen Anbieters, verarbeitet dieser die Daten "im Auftrag" des Maklers. Es muss ein schriftlicher (oder elektronischer) Auftragsverarbeitungsvertrag bestehen, der Weisungsbindung, Sicherheitsmaßnahmen, Unterauftragsverhältnisse und Löschpflichten des Anbieters regelt.
  • Serverstandort und Drittlandtransfer: Liegt der Serverstandort außerhalb der EU/des EWR (z. B. USA), sind zusätzliche Garantien erforderlich (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss), da ein bloßer AV-Vertrag einen Drittlandtransfer nicht automatisch rechtfertigt.
  • Zugriffsrechte und Rollenkonzept: Nicht jeder Mitarbeiter benötigt Zugriff auf alle Datensätze. Ein durchdachtes Rollen- und Rechtekonzept (z. B. getrennte Zugriffsrechte für Vertrieb, Buchhaltung, Praktikanten) reduziert das Risiko unbefugter Kenntnisnahme.
  • Technische Sicherheitsmaßnahmen (Art. 32 DSGVO): Verschlüsselte Datenübertragung, sichere Passwortrichtlinien, Zwei-Faktor-Authentifizierung, regelmäßige Backups und ein Berechtigungskonzept für mobile Endgeräte (Smartphone-Zugriff auf das CRM).
  • Datenminimierung im Formulardesign: Auch innerhalb der Software sollten nur notwendige Datenfelder für Interessenten angelegt werden, keine "Datenfriedhöfe" mit veralteten oder überflüssigen Feldern.
  • Löschroutinen: Das CRM sollte automatisierte oder zumindest regelmäßig manuell ausgeführte Löschprozesse für Interessenten- und Objektdaten ermöglichen, die ihre Aufbewahrungsfrist überschritten haben.
  • Exportierbarkeit für Betroffenenrechte: Das System sollte es ermöglichen, auf Anfrage eines Betroffenen dessen gespeicherte Daten vollständig zu exportieren (Auskunftsrecht, Art. 15 DSGVO) und gezielt zu löschen oder zu berichtigen.

Bei der Auswahl einer CRM-Lösung sollte der Makler daher nicht nur auf Funktionsumfang und Preis achten, sondern gezielt prüfen, ob der Anbieter einen DSGVO-konformen AV-Vertrag anbietet, wo die Server stehen und welche Sicherheitszertifizierungen (z. B. ISO 27001) vorliegen.

Beispiel aus der Praxis

Ein Maklerbüro wechselt zu einer neuen Cloud-CRM-Software. Vor der Einführung prüft der Datenschutzbeauftragte, ob der Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bereitstellt, wo die Server stehen (hier: Rechenzentrum in Deutschland) und ob eine Zwei-Faktor-Authentifizierung für alle Mitarbeiterzugänge verfügbar ist. Erst nach positiver Prüfung und Vertragsabschluss wird die Software produktiv genutzt.

Rechtsgrundlage

  • Art. 28 DSGVO – Pflichten bei der Beauftragung von Auftragsverarbeitern, insbesondere Abschluss eines Auftragsverarbeitungsvertrags.
  • Art. 32 DSGVO – Sicherheit der Verarbeitung, angemessene technische und organisatorische Maßnahmen.
  • Art. 5 DSGVO – Allgemeine Verarbeitungsgrundsätze (Zweckbindung, Datenminimierung, Speicherbegrenzung), die auch bei der CRM-Konfiguration zu beachten sind.

Verwandte Begriffe