Startseite
BeLogical
produkt-updates

CRM im B2B-SaaS: Datenschutz, Haftung und Verantwortung

Welche Pflichten Anbieter und Kunden haben und wie du Verantwortlichkeiten klaerst.

BeLogical Team
Autor
BeLogical Team - Team

BeLogical Team schreibt bei BeLogical über praxisnahe B2B-Themen.

Key Takeaways
Inhalt

Management Summary: ## Einführung: CRM als zentrale Datenverarbeitung Customer Relationship Management (CRM) ist das Herzstück vieler B2B-Unternehmen. CRM-Systeme verarbeiten große Mengen personenbezogener Daten – von Kontaktdaten über Kommunikationshistorie bis hin zu Verkaufsdaten. Diese zentrale Rolle macht CRM-Systeme zu einem kritischen Punkt für Datenschutz, Haftung und Verantwortung im B2B-SaaS-Kontext. Dieser Artikel behandelt die

Einführung: CRM als zentrale Datenverarbeitung

Was ist CRM im B2B-SaaS? Die Definition für B2B

CRM im B2B-SaaS ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist CRM im B2B-SaaS essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

Customer Relationship Management (CRM) ist das Herzstück vieler B2B-Unternehmen. CRM-Systeme verarbeiten große Mengen personenbezogener Daten – von Kontaktdaten über Kommunikationshistorie bis hin zu Verkaufsdaten. Diese zentrale Rolle macht CRM-Systeme zu einem kritischen Punkt für Datenschutz, Haftung und Verantwortung im B2B-SaaS-Kontext.

Dieser Artikel behandelt die wichtigsten rechtlichen Aspekte von CRM im B2B-SaaS-Kontext: Welche personenbezogenen Daten werden verarbeitet? Wer trägt die Verantwortung? Wie funktioniert das Rollenmodell? Was ist bei Datenexporten zu beachten? Und welche Fehler werden häufig gemacht?

Dieser Artikel dient als Grundlagenartikel (PILLAR-Artikel) zum Thema CRM im B2B-SaaS-Kontext. Er behandelt die grundlegenden rechtlichen Rahmenbedingungen und Verantwortlichkeiten, auf die spezifischere Artikel zu einzelnen Aspekten verlinken können.

CRM & personenbezogene Daten

CRM-Systeme verarbeiten typischerweise eine Vielzahl personenbezogener Daten. Die rechtliche Einordnung ist wichtig für Compliance und Risikomanagement.

Typische personenbezogene Daten in CRM-Systemen

CRM-Systeme verarbeiten verschiedene Kategorien personenbezogener Daten:

Kontaktdaten

Kontaktinformationen: E-Mail-Adresse, Telefonnummer, Adresse

Firmendaten: Firmenname, Branche, Unternehmensgröße

Rechtliche Einordnung: Kontaktdaten sind personenbezogene Daten im Sinne der DSGVO, da sie natürlichen Personen zugeordnet werden können.

Kommunikationsdaten

Telefonate: Telefonnummern, Anrufzeiten, Anrufdauer

Meeting-Notizen: Notizen aus Meetings, Gesprächsprotokolle

Rechtliche Einordnung: Kommunikationsdaten sind personenbezogene Daten und können zusätzlich besondere Kategorien personenbezogener Daten enthalten (z.B. Gesundheitsdaten in Gesprächsnotizen).

Verkaufs- und Geschäftsdaten

Kundenhistorie: Bestellhistorie, Kaufverhalten, Präferenzen

Interaktionsdaten: Website-Besuche, E-Mail-Öffnungen, Klicks

Rechtliche Einordnung: Verkaufs- und Geschäftsdaten sind personenbezogene Daten, wenn sie natürlichen Personen zugeordnet werden können. Sie können auch Profiling im Sinne der DSGVO umfassen.

Besondere Kategorien personenbezogener Daten

In einigen Fällen können CRM-Systeme auch besondere Kategorien personenbezogener Daten verarbeiten:

Biometrische Daten: In Profilbildern oder anderen Identifikationsmerkmalen

  • Politische Meinungen: In Notizen oder Profilen (z.B. bei politischen Organisationen)

Rechtliche Einordnung: Besondere Kategorien personenbezogener Daten unterliegen strengeren Anforderungen nach Art. 9 DSGVO. Eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO ist erforderlich.

Rechtsgrundlagen für die Datenverarbeitung

Für jede Datenverarbeitung im CRM-System muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen:

Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung

Die Datenverarbeitung ist zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich:

Vertragsabwicklung: Verarbeitung von Daten zur Abwicklung von Bestellungen oder Dienstleistungen

  • Kundenservice: Verarbeitung von Daten zur Erbringung von Kundenservice

Grenzen: Art. 6 Abs. 1 lit. b DSGVO gilt nur für Daten, die zur Vertragserfüllung erforderlich sind. Marketing-Aktivitäten oder Lead-Generierung fallen typischerweise nicht darunter.

Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse

Die Datenverarbeitung ist zur Wahrung berechtigter Interessen erforderlich:

Kundenbeziehungspflege: Pflege bestehender Geschäftsbeziehungen

Analysen: Analyse von Kundenverhalten zur Verbesserung von Produkten oder Services

Abwägung: Bei Art. 6 Abs. 1 lit. f DSGVO muss eine Interessenabwägung durchgeführt werden. Die Interessen des Verantwortlichen müssen die Interessen der betroffenen Person überwiegen.

Art. 6 Abs. 1 lit. a DSGVO: Einwilligung

Die betroffene Person hat in die Verarbeitung eingewilligt:

Tracking: Einwilligung zu Tracking oder Profiling

  • Datenweitergabe: Einwilligung zur Weitergabe von Daten an Dritte

Anforderungen: Einwilligungen müssen freiwillig, informiert und widerrufbar sein. Sie müssen dokumentiert werden.

Informationspflichten (Art. 13, 14 DSGVO)

Betroffene Personen müssen über die Datenverarbeitung informiert werden:

Zweck der Verarbeitung: Warum werden die Daten verarbeitet?

Empfänger: Wer erhält die Daten? (z.B. CRM-Anbieter als Auftragsverarbeiter)

Betroffenenrechte: Welche Rechte haben betroffene Personen? (Auskunft, Löschung, Widerspruch, etc.)

Praktische Umsetzung: Informationspflichten können in Datenschutzerklärungen, E-Mail-Signaturen oder bei der ersten Kontaktaufnahme erfüllt werden.

Rollenmodell: Verantwortlicher vs. Auftragsverarbeiter

Im CRM-Kontext ist die Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter entscheidend für Compliance und Haftung.

Der Kunde als Verantwortlicher

Der Kunde, der das CRM-System nutzt, ist typischerweise Verantwortlicher im Sinne der DSGVO:

Rechtsgrundlage: Der Kunde muss eine Rechtsgrundlage für die Datenverarbeitung haben

Betroffenenrechte: Der Kunde muss Betroffenenrechte erfüllen (Auskunft, Löschung, etc.)

DSFA: Der Kunde muss gegebenenfalls eine Datenschutz-Folgenabschätzung durchführen (Art. 35 DSGVO)

Wichtig: Die Verantwortung des Kunden endet nicht bei der technischen Umsetzung. Der Kunde trägt die rechtliche Verantwortung für die gesamte Datenverarbeitung.

Der CRM-Anbieter als Auftragsverarbeiter

Der CRM-Anbieter (z.B. CrmLogical) ist typischerweise Auftragsverarbeiter im Sinne der DSGVO:

Weisungsbindung: Der Anbieter verarbeitet nur nach Weisung des Kunden

AVV: Der Anbieter muss einen Auftragsverarbeitungsvertrag (AVV) mit dem Kunden abschließen (Art. 28 DSGVO)

Unterstützung: Der Anbieter muss den Kunden bei Betroffenenrechten unterstützen

Wichtig: Der Anbieter ist nicht verantwortlich für die Rechtmäßigkeit der Datenverarbeitung (das ist Aufgabe des Kunden), sondern für die technische Umsetzung und Sicherheit.

Auftragsverarbeitungsvertrag (AVV)

Zwischen Kunde und CRM-Anbieter muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden. Der AVV muss folgende Punkte enthalten:

Art und Zweck: Wie werden die Daten verarbeitet und zu welchem Zweck?

Kategorien betroffener Personen: Welche Personen sind betroffen?

Vertraulichkeit: Der Anbieter stellt Vertraulichkeit sicher

Löschung/Rückgabe: Nach Vertragsende werden Daten gelöscht oder zurückgegeben

Kontrollrechte: Der Kunde hat Kontrollrechte (Audits)

Praktisch: Der AVV sollte vor Beginn der Datenverarbeitung abgeschlossen werden. Viele CRM-Anbieter stellen Standard-AVVs zur Verfügung, die an die spezifischen Bedürfnisse angepasst werden können.

Sub-Auftragsverarbeiter

CRM-Anbieter nutzen häufig Sub-Auftragsverarbeiter (z.B. Hosting-Provider, CDN-Anbieter):

AVV: Zwischen Anbieter und Sub-Auftragsverarbeiter muss ein AVV bestehen

Widerspruchsrecht: Der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen

Praktisch: Viele CRM-Anbieter stellen Listen von Sub-Auftragsverarbeitern zur Verfügung. Der Kunde sollte diese prüfen und gegebenenfalls widersprechen.

Datenexporte

Datenexporte sind ein häufiger Anwendungsfall in CRM-Systemen. Die rechtliche Einordnung ist wichtig für Compliance.

Rechtliche Anforderungen an Datenexporte

Datenexporte müssen verschiedenen rechtlichen Anforderungen genügen:

Rechtsgrundlage

Jeder Datenexport benötigt eine Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO: Export zur Wahrung berechtigter Interessen (z.B. Export für Analyse)

  • Art. 6 Abs. 1 lit. a DSGVO: Export mit Einwilligung der betroffenen Person

Wichtig: Die Rechtsgrundlage muss für den Export selbst bestehen, nicht nur für die ursprüngliche Datenverarbeitung.

Datenminimierung

Bei Datenexporten gilt das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):

Keine Überexporte: Übermäßige Datenexporte verstoßen gegen das Prinzip der Datenminimierung

  • Anonymisierung/Pseudonymisierung: Wo möglich, sollten Daten anonymisiert oder pseudonymisiert exportiert werden

Sicherheit

Datenexporte müssen sicher durchgeführt werden:

Zugriffskontrolle: Nur autorisierte Personen sollten Zugriff auf Exporte haben

Löschung: Exportierte Daten sollten nach Erfüllung des Zwecks gelöscht werden

Typische Export-Szenarien

Typische Export-Szenarien im CRM-Kontext:

Export für Analyse

Datenexporte für Analysezwecke (z.B. Excel-Export für Reporting):

Datenminimierung: Nur die für die Analyse erforderlichen Daten exportieren

Dokumentation: Export-Zweck und Rechtsgrundlage dokumentieren

Export für Migration

Datenexporte für Migration zu einem anderen CRM-System:

AVV: Mit dem neuen CRM-Anbieter muss ein AVV abgeschlossen werden

Dokumentation: Migration dokumentieren und Betroffene informieren

Export für Compliance

Datenexporte für Compliance-Zwecke (z.B. Auskunftsersuchen nach Art. 15 DSGVO):

Frist: Auskunft muss innerhalb von einem Monat erteilt werden

Sicherheit: Exportierte Daten sicher übertragen (verschlüsselt)

Agentur-Use-Cases

Agenturen nutzen CRM-Systeme häufig für mehrere Kunden. Dies wirft besondere rechtliche Fragen auf.

Multi-Mandanten-Architektur

Agenturen nutzen häufig Multi-Mandanten-CRM-Systeme, in denen Daten mehrerer Kunden verarbeitet werden:

Zugriffskontrolle: Nur autorisierte Personen sollten Zugriff auf Mandantendaten haben

Backup: Backups sollten mandantenspezifisch sein

Rechtliche Konsequenz: Eine Verletzung der Tenant-Isolation kann zu schwerwiegenden Datenschutzverstößen führen und Bußgelder nach sich ziehen.

Rollenmodell bei Agenturen

Bei Agenturen ist das Rollenmodell komplexer:

Agentur als Verantwortlicher

Die Agentur kann Verantwortlicher sein für:

Agentur-CRM: Wenn die Agentur ein eigenes CRM für ihre Kundenverwaltung nutzt

Agentur als Auftragsverarbeiter

Die Agentur kann Auftragsverarbeiter sein für:

Marketing-Aktivitäten: Wenn die Agentur Marketing-Aktivitäten im Auftrag des Kunden durchführt

Wichtig: Die Agentur muss mit dem Kunden einen AVV abschließen, wenn sie als Auftragsverarbeiter tätig ist.

Agentur als Gemeinsam Verantwortlicher

In einigen Fällen können Agentur und Kunde gemeinsam verantwortlich sein:

Vereinbarung: Eine Vereinbarung nach Art. 26 DSGVO ist erforderlich

  • Transparenz: Betroffene müssen über die gemeinsame Verantwortung informiert werden

AVV zwischen Agentur und Kunde

Wenn die Agentur als Auftragsverarbeiter tätig ist, muss ein AVV zwischen Agentur und Kunde abgeschlossen werden:

Weisungsbindung: Die Agentur verarbeitet nur nach Weisung des Kunden

Sub-Auftragsverarbeiter: Wenn die Agentur ein CRM-System nutzt, muss dies als Sub-Auftragsverarbeiter dokumentiert werden

AVV zwischen Agentur und CRM-Anbieter

Wenn die Agentur ein CRM-System nutzt, muss ein AVV zwischen Agentur und CRM-Anbieter abgeschlossen werden:

Tenant-Isolation: Der AVV muss sicherstellen, dass Tenant-Isolation gewährleistet ist

  • Kundendaten: Der AVV muss klarstellen, dass auch Kundendaten der Agentur-Kunden verarbeitet werden

Praktisch: Agenturen sollten sicherstellen, dass sowohl der AVV mit dem Kunden als auch der AVV mit dem CRM-Anbieter die Multi-Mandanten-Architektur berücksichtigen.

Häufige Fehler

Im CRM-Kontext werden häufig Fehler gemacht, die zu Compliance-Problemen führen können. Die wichtigsten Fehler:

Fehler 1: Fehlende oder unvollständige AVVs

Problem: Viele Unternehmen schließen keine oder unvollständige AVVs mit CRM-Anbietern ab.

Lösung: AVV vor Beginn der Datenverarbeitung abschließen, alle erforderlichen Punkte abdecken

  • Prüfung: AVV regelmäßig prüfen und bei Änderungen aktualisieren

Fehler 2: Fehlende oder unvollständige Informationspflichten

Problem: Viele Unternehmen erfüllen Informationspflichten nicht oder unvollständig.

Lösung: Datenschutzerklärung erstellen, alle erforderlichen Informationen enthalten, bei Kontaktaufnahme informieren

  • Prüfung: Datenschutzerklärung regelmäßig aktualisieren

Fehler 3: Fehlende Rechtsgrundlage

Problem: Viele Unternehmen haben keine oder unklare Rechtsgrundlagen für die Datenverarbeitung.

Lösung: Für jede Datenverarbeitung eine Rechtsgrundlage dokumentieren, Interessenabwägung bei Art. 6 Abs. 1 lit. f DSGVO durchführen

  • Prüfung: Rechtsgrundlagen regelmäßig prüfen und bei Änderungen aktualisieren

Fehler 4: Fehlende oder unvollständige Betroffenenrechte

Problem: Viele Unternehmen erfüllen Betroffenenrechte nicht oder unvollständig.

Lösung: Prozesse für Betroffenenrechte etablieren, Fristen einhalten (ein Monat), Auskunft in strukturiertem Format erteilen

  • Prüfung: Betroffenenrechte regelmäßig prüfen und Prozesse optimieren

Fehler 5: Fehlende oder unvollständige Datenpannen-Meldung

Problem: Viele Unternehmen melden Datenpannen nicht oder verspätet.

Lösung: Incident-Response-Pläne etablieren, Datenpannen innerhalb von 72 Stunden melden, Betroffene bei hohem Risiko informieren

  • Prüfung: Incident-Response-Pläne regelmäßig testen und optimieren

Fehler 6: Fehlende oder unvollständige

Dokumentation

Problem: Viele Unternehmen dokumentieren Datenverarbeitung nicht oder unvollständig.

Lösung: Verzeichnis der Verarbeitungstätigkeiten führen, alle erforderlichen Informationen dokumentieren, regelmäßig aktualisieren

  • Prüfung: Verzeichnis regelmäßig prüfen und bei Änderungen aktualisieren

Fehler 7: Fehlende oder unvollständige TOM

Problem: Viele Unternehmen setzen keine oder unzureichende technische und organisatorische Maßnahmen um.

Lösung: TOM-Liste erstellen, Maßnahmen umsetzen, Wirksamkeit regelmäßig prüfen

  • Prüfung: TOM regelmäßig prüfen und bei Änderungen aktualisieren

Fehler 8: Fehlende oder unvollständige Tenant-Isolation (Agenturen)

Problem: Agenturen trennen Daten verschiedener Mandanten nicht ausreichend.

Lösung: Tenant-Isolation technisch sicherstellen, Zugriffskontrolle implementieren, regelmäßig prüfen

  • Prüfung: Tenant-Isolation regelmäßig testen und bei Problemen sofort beheben

Best Practices für CRM-Compliance

Die folgenden Best Practices können helfen, Compliance-Probleme zu vermeiden:

1. AVV-Management

Vollständigkeit: Alle erforderlichen Punkte abdecken

Sub-Auftragsverarbeiter: Sub-Auftragsverarbeiter dokumentieren und genehmigen

2. Informationspflichten

Kontaktaufnahme: Bei Kontaktaufnahme informieren

  • Regelmäßige Aktualisierung: Datenschutzerklärung regelmäßig aktualisieren

3. Betroffenenrechte

Fristen: Fristen einhalten (ein Monat)

  • Format: Auskunft in strukturiertem Format erteilen

4. Datenpannen

Fristen: Datenpannen innerhalb von 72 Stunden melden

  • Betroffene: Betroffene bei hohem Risiko informieren

5. Dokumentation

Vollständigkeit: Alle erforderlichen Informationen dokumentieren

  • Regelmäßige Aktualisierung: Verzeichnis regelmäßig aktualisieren

Fazit: CRM im B2B-SaaS: Datenschutz, Haftung und Verantwortung

Dieser Artikel beleuchtet die Facetten von CRM im B2B-SaaS: Datenschutz, Haftung und Verantwortung. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.

Produkt Updates

Integrierte Compliance-Lösung

Bündeln Sie ISMS-Strukturen und NIS-2-Governance in einer zentralen Plattform.

Mehr erfahren