Warum DSGVO und CRM untrennbar verbunden sind
Ein CRM-System ist per Definition ein Werkzeug zur Verarbeitung personenbezogener Daten. Namen, Kontaktdaten, Kommunikationsverläufe, Kaufverhalten — all das fällt unter die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in der gesamten EU gilt.
Die DSGVO regelt nicht, ob Sie Kundendaten speichern dürfen — in der Regel haben Sie dafür eine Rechtsgrundlage (Vertragserfüllung, berechtigtes Interesse oder Einwilligung). Sie regelt aber sehr genau, wie Sie diese Daten verarbeiten müssen:
- Zweckbindung: Daten dürfen nur für den angegebenen Zweck verwendet werden
- Datenminimierung: Nur die tatsächlich benötigten Daten erheben
- Speicherbegrenzung: Daten löschen, wenn sie nicht mehr benötigt werden
- Integrität und Vertraulichkeit: Angemessene technische Schutzmaßnahmen
- Rechenschaftspflicht: Sie müssen die Einhaltung nachweisen können
Ihr CRM-Anbieter ist dabei Ihr Auftragsverarbeiter — er verarbeitet personenbezogene Daten in Ihrem Auftrag. Das macht Sie als Unternehmen zum Verantwortlichen, und Sie haften, wenn etwas schiefgeht.
Was macht ein CRM DSGVO-konform?
1. Datenstandort in der EU
Die DSGVO erlaubt grundsätzlich die Verarbeitung personenbezogener Daten innerhalb des Europäischen Wirtschaftsraums (EWR). Sobald Daten in Drittländer übertragen werden — insbesondere in die USA — gelten strengere Regeln und es müssen zusätzliche Schutzmaßnahmen getroffen werden.
Der sicherste Weg: Ein CRM wählen, das Daten ausschließlich in der EU speichert. Dann entfallen komplexe Prüfungen und rechtliche Unsicherheiten.
2. Auftragsverarbeitungsvertrag (AVV)
Ein AVV ist gesetzlich vorgeschrieben (Art. 28 DSGVO), wenn ein Dritter — in diesem Fall der CRM-Anbieter — personenbezogene Daten in Ihrem Auftrag verarbeitet. Der Vertrag muss unter anderem regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOMs)
- Regelungen zu Sub-Auftragsverarbeitern
Achten Sie darauf, dass Ihr CRM-Anbieter einen vollständigen AVV bereitstellt — idealerweise bereits im Standardvertrag enthalten, nicht als separates Dokument, das Sie erst anfordern müssen.
3. Löschrechte und Auskunftsrechte
Betroffene Personen haben das Recht auf Löschung (Art. 17 DSGVO) und das Recht auf Auskunft (Art. 15 DSGVO). Das bedeutet konkret: Wenn ein Kunde verlangt, dass Sie alle seine Daten löschen, müssen Sie das innerhalb eines Monats umsetzen können.
Ihr CRM muss technisch in der Lage sein:
- Alle Daten einer bestimmten Person zu finden (über alle verknüpften Entitäten hinweg)
- Diese Daten vollständig und unwiderruflich zu löschen
- Einen Export aller gespeicherten Daten zu einer Person zu erstellen (Datenportabilität)
- Den Löschvorgang zu dokumentieren
4. Zugriffskontrollen und Mandantentrennung
Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Im CRM-Kontext bedeutet das:
- Rollenbasierte Zugriffsrechte: Nicht jeder Mitarbeiter sollte alle Kundendaten sehen können
- Mandantentrennung: In Multi-Tenant-Systemen müssen die Daten verschiedener Unternehmen strikt voneinander getrennt sein
- Verschlüsselung: Daten sollten sowohl bei der Übertragung (TLS) als auch im Ruhezustand verschlüsselt sein
- Audit-Logs: Nachvollziehbar, wer wann auf welche Daten zugegriffen hat
5. Einwilligungsmanagement
Wenn Sie Kundendaten auf Basis einer Einwilligung verarbeiten (z.B. Newsletter-Anmeldung), muss Ihr CRM diese Einwilligung dokumentieren können: Wann wurde sie erteilt? Auf welchem Weg? Für welchen Zweck? Und wie kann sie widerrufen werden?
Das Risiko von US-basierten CRM-Systemen
Schrems II und die Folgen
Im Juli 2020 hat der Europäische Gerichtshof mit dem Schrems-II-Urteil das EU-US Privacy Shield für ungültig erklärt. Der Grund: US-Geheimdienste haben weitreichende Zugriffsrechte auf Daten, die in den USA gespeichert werden — auch auf Daten europäischer Bürger.
Seitdem ist die Übermittlung personenbezogener Daten in die USA rechtlich problematisch. Zwar gibt es seit 2023 das EU-US Data Privacy Framework als Nachfolger, aber Datenschutzexperten warnen: Auch dieses Abkommen könnte vom EuGH gekippt werden ("Schrems III"). Die grundlegenden Probleme — insbesondere die US-Überwachungsgesetze FISA 702 und Executive Order 12333 — bestehen weiterhin.
Praktische Risiken für Ihr Unternehmen
Was bedeutet das konkret, wenn Sie ein US-CRM wie Salesforce, HubSpot oder Zoho nutzen?
- Rechtsunsicherheit: Die Rechtsgrundlage für die Datenübermittlung kann sich ändern — potenziell über Nacht
- Bussgeld-Risiko: Datenschutzbehörden verhängen zunehmend Bußgelder für Datentransfers in die USA
- Kundenvertrauen: Immer mehr B2B-Kunden fragen gezielt nach dem Datenstandort — "Wo liegen unsere Daten?"
- Compliance-Aufwand: Transfer Impact Assessments (TIA), Standardvertragsklauseln (SCCs) und zusätzliche Schutzmaßnahmen erfordern erheblichen juristischen Aufwand
Die Lösung: Deutsche oder EU-basierte Anbieter
Der einfachste Weg, diese Risiken zu eliminieren: Ein CRM wählen, das seine Daten ausschließlich in Deutschland oder der EU speichert. Keine Drittland-Übermittlung, keine rechtlichen Graubereiche, keine Transfer Impact Assessments.
Vergleich: DSGVO-Konformität gängiger CRM-Systeme
| CRM | Hauptsitz | Datenstandort | AVV | DSGVO-Risiko |
|---|---|---|---|---|
| ZuseCRM | Deutschland | EU | Im Vertrag enthalten | Minimal |
| Salesforce | USA | EU-Option (Frankfurt) | Auf Anfrage | Mittel (US-Muttergesellschaft) |
| HubSpot | USA | EU-Option (Frankfurt) | Online verfügbar | Mittel (US-Muttergesellschaft) |
| Pipedrive | Estland/USA | EU (Standard), US (optional) | Online verfügbar | Gering bis mittel |
| Zoho | Indien/USA | EU-Option | Auf Anfrage | Mittel bis hoch |
Wichtig: Auch wenn US-Anbieter EU-Rechenzentren anbieten, unterliegen sie als US-Unternehmen dem CLOUD Act. Dieser erlaubt US-Behörden den Zugriff auf Daten, unabhängig davon, wo diese physisch gespeichert sind.
Checkliste: DSGVO-konformes CRM auswählen
Nutzen Sie diese Checkliste bei der Evaluierung von CRM-Systemen:
- Datenstandort prüfen: Wo werden die Daten gespeichert? Nur EU oder auch Drittländer?
- AVV vorhanden? Stellt der Anbieter einen vollständigen Auftragsverarbeitungsvertrag bereit?
- Sub-Auftragsverarbeiter: Welche Drittanbieter werden eingesetzt und wo sitzen diese?
- Löschfunktion testen: Können Sie alle Daten einer Person vollständig löschen?
- Export-Funktion: Können Sie alle Daten einer Person als strukturierten Export herunterladen?
- Zugriffsrechte: Gibt es rollenbasierte Berechtigungen?
- Verschlüsselung: TLS für Übertragung, Verschlüsselung im Ruhezustand?
- Mandantentrennung: Sind die Daten verschiedener Kunden technisch getrennt?
- Audit-Logs: Wer hat wann auf welche Daten zugegriffen?
- Einwilligungs-Tracking: Kann das System Einwilligungen dokumentieren und verwalten?
- Zertifizierungen: ISO 27001, SOC 2 oder vergleichbare Sicherheitsstandards?
- Datenschutzbeauftragter: Hat der Anbieter einen benannten Datenschutzbeauftragten?
DSGVO-Spezialfall: KI im CRM
Die Kombination von KI und DSGVO bringt zusätzliche Herausforderungen mit sich. Wenn Ihr CRM künstliche Intelligenz einsetzt — etwa für Lead Scoring oder automatische Empfehlungen — stellen sich weitere Fragen:
- Automatisierte Entscheidungen: Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Wenn Ihr KI-CRM Leads automatisch disqualifiziert, muss ein menschlicher Review-Prozess möglich sein.
- Transparenz der KI: Betroffene haben das Recht zu erfahren, dass und wie eine KI an der Verarbeitung ihrer Daten beteiligt ist.
- Datenverarbeitung durch KI-Modelle: Wo werden die Daten verarbeitet, wenn eine KI-Analyse läuft? Werden Daten an externe KI-Dienste übermittelt?
Bei ZuseCRM wird die KI-Verarbeitung transparent gehandhabt: Die Daten verlassen nicht die EU-Infrastruktur, und alle KI-Empfehlungen sind als Vorschläge gekennzeichnet, nicht als automatisierte Entscheidungen.
Häufige DSGVO-Fehler bei der CRM-Nutzung
Auch mit einem DSGVO-konformen CRM können Fehler passieren. Die häufigsten:
Fehler 1: Keine Rechtsgrundlage dokumentiert
Für jeden Kontakt in Ihrem CRM brauchen Sie eine Rechtsgrundlage: Vertragserfüllung, berechtigtes Interesse oder Einwilligung. Viele Unternehmen speichern Daten, ohne die Grundlage zu dokumentieren.
Fehler 2: Daten nie löschen
Die DSGVO verlangt Datenminimierung und Speicherbegrenzung. Ein Kontakt, mit dem Sie seit 5 Jahren keinen Geschäftskontakt hatten, sollte nicht ewig in Ihrem CRM schlummern. Definieren Sie Löschfristen und setzen Sie diese konsequent um.
Fehler 3: Team-Zugriffsrechte nicht einschränken
Der Praktikant muss nicht alle Kundendaten sehen. Richten Sie rollenbasierte Zugriffsrechte ein — nach dem Prinzip der minimalen Berechtigung.
Fehler 4: Kein AVV abgeschlossen
Erstaunlich viele Unternehmen nutzen ein Cloud-CRM, ohne einen AVV abgeschlossen zu haben. Das ist ein klarer DSGVO-Verstoß — unabhängig davon, wie sicher das CRM selbst ist.
Fehler 5: Fehlende Datenschutzerklärung
Ihre Datenschutzerklärung muss das CRM als Tool zur Datenverarbeitung erwähnen — inklusive Anbieter, Zweck und Rechtsgrundlage. Fehlt das, ist die Verarbeitung nicht transparent.
Der ZuseCRM-Ansatz: DSGVO by Design
ZuseCRM wurde in Deutschland entwickelt und nimmt Datenschutz nicht als nachträgliche Pflicht, sondern als Designprinzip:
- EU-Hosting: Alle Daten werden ausschließlich im Rechenzentrum Frankfurt gespeichert — keine Datenübertragung in Drittländer
- Mandantenisolierung: Jedes Unternehmen hat einen eigenen, technisch isolierten Datenbereich. Kein anderer Mandant kann auf Ihre Daten zugreifen — auch nicht versehentlich
- AVV inklusive: Der Auftragsverarbeitungsvertrag ist Bestandteil des Standardvertrags — kein separates Dokument, das Sie erst anfordern müssen
- Löschung per Knopfdruck: Kontakte und alle verknüpften Daten können vollständig gelöscht werden — über alle Entitäten hinweg
- Verschlüsselung: TLS 1.3 für alle Datenübertragungen, Verschlüsselung im Ruhezustand auf Datenbankebene
- Transparente KI: Alle KI-Empfehlungen sind als Vorschläge gekennzeichnet, keine automatisierten Entscheidungen ohne menschliche Kontrolle
- Deutsches Unternehmen: ZuseCRM unterliegt ausschließlich deutschem und EU-Recht — kein CLOUD Act, kein FISA 702
Weiterführende Artikel
DSGVO-konformes CRM aus Deutschland
Starten Sie mit ZuseCRM — Hosting in Frankfurt, AVV inklusive, Mandantentrennung. Kostenlos und ohne Risiko.
Kostenlos startenFazit: Datenschutz ist kein Hindernis, sondern ein Wettbewerbsvorteil
DSGVO-Konformität wird oft als lästiges Pflichtthema betrachtet. Dabei ist sie ein echtes Differenzierungsmerkmal: Unternehmen, die ihren Kunden garantieren können, dass ihre Daten sicher und rechtskonform verarbeitet werden, geniessen mehr Vertrauen — und gewinnen mehr Aufträge.
Die einfachste Lösung: Ein CRM wählen, das DSGVO-Konformität nicht als nachträgliches Feature, sondern als Grundprinzip behandelt. Deutsche CRM-Lösungen wie ZuseCRM eliminieren die rechtlichen Graubereiche, die bei US-Anbietern unvermeidlich sind, und bieten gleichzeitig moderne Features wie KI-Unterstützung.
Denn Datenschutz und Innovation schließen sich nicht aus — sie gehören zusammen.
Häufige Fragen
Was bedeutet DSGVO-konform bei einem CRM?
Ein DSGVO-konformes CRM erfüllt alle Anforderungen der Datenschutz-Grundverordnung: Daten werden in der EU gespeichert, ein Auftragsverarbeitungsvertrag liegt vor, Löschrechte sind technisch umgesetzt, Zugriffsrechte sind granular steuerbar und die Datenverarbeitung ist transparent dokumentiert.
Darf ich ein US-CRM wie Salesforce oder HubSpot nutzen?
Grundsätzlich ja, aber mit erhöhtem Risiko. Nach dem Schrems-II-Urteil ist die Übermittlung personenbezogener Daten in die USA problematisch. Das EU-US Data Privacy Framework bietet eine Rechtsgrundlage, die aber jederzeit erneut gekippt werden kann. Deutsche CRM-Lösungen eliminieren dieses Risiko vollständig.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist ein gesetzlich vorgeschriebener Vertrag zwischen dem CRM-Nutzer und dem CRM-Anbieter. Er regelt, welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen gelten und welche Rechte und Pflichten beide Seiten haben. Ohne AVV ist die CRM-Nutzung ein DSGVO-Verstoß.
Welche Strafen drohen bei DSGVO-Verstößen im CRM?
Bei DSGVO-Verstößen können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Auch bei kleineren Unternehmen verhängen Behörden regelmäßig Bußgelder im fünfstelligen Bereich.
Ist ZuseCRM DSGVO-konform?
Ja, ZuseCRM ist vollständig DSGVO-konform. Die Daten werden in Frankfurt (EU) gehostet, jeder Mandant ist technisch isoliert, ein AVV ist im Vertrag enthalten, Löschrechte sind per Knopfdruck umsetzbar und alle Datenverarbeitungen sind transparent dokumentiert.