Zum Hauptinhalt springen

Compliance und Datenschutz für vertrauensvolle Kundenbeziehungen

Compliance und Datenschutz sind quasi die siamesischen Zwillinge einer ethisch verantwortungsvollen Geschäftsgebarung: Eins beeinflusst das jeweils andere, sie decken aber im Unternehmen unterschiedliche Bereiche ab. CRM-Systeme sind durch ihre die Unternehmensprozesse vernetzenden Funktionen ein äußerst wertvolles Instrument, um die Einhaltung von Compliance-Richtlinien und die DSGVO-Konformität zu unterstützen.

MIT COMPLIANCE GESCHÄFTSRISIKEN MINIMIEREN

Das Gabler-Wirtschaftslexikon definiert Compliance so: „[…] engl. Begriff, sinngemäß Einhaltung von Gesetzen, Regeln und Normen. Ursprüngl. auf die Bankwirtschaft und das Gesundheitsmanagement begrenzt, inzw. breit eingesetzt, […].“ [1]

Compliance-Management dient dazu, ein Unternehmen oder eine Organisation vor Verstößen gegen Normen und Gesetze zu bewahren, denn die negativen Folgen können weitreichend sein: Hohe Strafzahlungen oder ein schwerer Imageverlust sind dann möglicherweise sogar existenzgefährdend. Deshalb müssen mögliche Risiken identifiziert werden, auch die Schaffung eigener Compliance-Strukturen ist geboten.

DATENSCHUTZ SCHAFFT VERTRAUEN

Unternehmen richten ihren Fokus oft auf die Bereiche, in welchen ihrer Meinung nach am meisten Gefahr für ihre Finanzen oder ihr Image droht, wenn die Compliance nicht eingehalten wird: Geldwäsche, Korruption, Kartellrecht, Umweltschutz oder Diskriminierung. Das Thema Datenschutz kann dann in der Wahrnehmung schon einmal in den Hintergrund gedrängt werden. Dass es nicht vergessen werden darf, zeigt die Tatsache, dass Datenschutz sich wie ein roter Faden durch viele Compliance-Themen zieht.

Neben der Datensicherheit spielen für die Einhaltung der Datenschutzrichtlinien vor allem die unternehmensinternen Prozesse eine Rolle. Eine entsprechend konfigurierte CRM-Software unterstützt dabei, einen systematischen Ansatz zur Einhaltung der DSGVO zu verfolgen sowie Prozesse und Richtlinien kontinuierlich zu prüfen und zu aktualisieren – und so das nachhaltige Vertrauen von Kund*innen zu gewinnen.

Gerhard Wanek, Mitgeschäftsführer von CURSOR Austria: „Zunächst sollten nur jene persönlichen Informationen abgefragt werden, die es für die Art der gewünschten Kundenbeziehung wirklich braucht. Überspitzt formuliert: Wenn ich für einen Online-Kauf die Geburtsdaten meiner Eltern angeben müsste, wäre mein Vertrauen in den Verkäufer sofort erschüttert. Außerdem hilft dies, den Datensatz schlank und stringent zu halten.“

Weiter dürfen Daten auch nur so lange gespeichert werden, wie es für die angegebenen Zwecke erforderlich ist. Bei Beachtung dieses sogenannten „Rechts auf Vergessenwerden“ werden alle Einträge und dem Datensatz zugeordnete Daten gelöscht. „Mit der Dokumentation des Löschvorgangs in einem Bereich, der alle Aktionen von Nutzer*innen des Systems speichert, z. B. wer wann genau die Daten welchen Kontakts gelöscht hat, kann die für die Einhaltung der DSGVO nötige Transparenz geschaffen werden“, so Wanek.

ZUSAMMENSPIEL VON COMPLIANCE UND DATENSCHUTZ

In Österreich regelt § 132 der Bundesabgabenordnung (BAO) in Verbindung mit § 212 Unternehmensgesetzbuch (UGB), welche E-Mails wie archiviert werden müssen. Die große Menge an Nachrichten, die tagtäglich im Arbeitsalltag verschickt und erhalten werden, lässt viele Unternehmen den Weg des (scheinbar) geringsten Widerstands gehen: Sie archivieren einfach alles. Das ist aber im Sinne der Compliance gefährlich, denn damit kann man in Konflikt mit der DSGVO kommen – wie schaut es denn zum Beispiel mit Bewerbungsunterlagen oder der Kommunikation an den Betriebsrat aus?

Beim Archivieren werden E-Mails rechtskonform, sicher und dauerhaft gespeichert und vor Verlust geschützt. Hier sind CRM-Systeme, die E-Mails automatisch direkt am Kontakt oder Projekt ablegen, eine große Unterstützung. Auch können Mitteilungen, die archiviert werden müssen, automatisiert oder per Mausklick in das CRM übermittelt werden. Damit gehen Informationen nicht verloren, sondern bleiben Teil des Unternehmens-Know-hows. Danach können die Nachrichten im Mail-Programm, inklusive Spam- und private oder irrelevante E-Mails, gelöscht werden – übrig bleibt, was wirklich wichtig ist.

Ein weiteres Anwendungsbeispiel, wie Compliance und Datenschutz ineinandergreifen, ist das Management der Zugriffsrechte aufs CRM-System. Um der DSGVO zu entsprechen, dürfen nur Mitarbeiter*innen Zugriff auf Kundendaten erhalten, die tatsächlich damit arbeiten müssen. Mit einer entsprechend konfigurierten Lösung können Unternehmen ihre Compliance stärken und das Risiko des Missbrauchs, Diebstahls oder Verlusts von Daten durch unbefugte Personen senken.

Hinzu kommt laut Gerhard Wanek noch ein positiver Effekt: „Die Einschränkung des autorisierten Personenkreises, der Daten im System ändern, löschen oder ergänzen kann, sorgt für eine höhere Datenqualität. Denn auch hier gilt: Zu viele Köche verderben den Brei.“

Sein abschließendes Fazit: „Datenschutzverantwortliche, IT-Expert*innen, Vertriebsmitarbeiter*innen und andere relevante Abteilungen im Unternehmen sollten jedenfalls eng zusammenarbeiten und sich regelmäßig mit dem Hersteller der eingesetzten CRM-Lösung austauschen, um auch in dieser Hinsicht stets up to date zu sein. Solch eine abgestimmte Kooperation gewährleistet die kontinuierliche und umfassende Umsetzung der DSGVO und wichtiger Compliance-Richtlinien und hilft, Risiken frühzeitig zu erkennen und zu minimieren.“

[1]https://wirtschaftslexikon.gabler.de/definition/compliance-27721 (Abruf am 5. April 2024)