Weka Plus

CRM-Tool: Datenschutz von Anfang an richtig umsetzen

CRM-Tools bergen datenschutzrechtliche Herausforderungen, die zu oft unterschätzt werden. Es ist entscheidend, dass diese von Anfang erkannt und adressiert werden. Ansonsten läuft man das Risiko, dass das Projekt nicht wie gewünscht umgesetzt werden kann – oder sogar scheitert. Nicht zuletzt die neuen Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") schaffen einen Anreiz für Unternehmen, den Datenschutz angemessen zu berücksichtigen.

20.01.2026 Von: Thierry Burnens
CRM-Tool

Passende Arbeitshilfen

Um was geht es?

Ein Customer Relationship Management-Tool (CRM-Tool) soll Unternehmen dabei unterstützen, deren Kundenbeziehungen zu verwalten und zu pflegen. Zu diesem Zweck werden Angaben zur Kundenbeziehung im Tool erfasst. Dies kann Stammdaten (wie z.B. Kontaktangaben), Interaktionen (bisherige Verkäufe, Korrespondenz) sowie weitere Angaben (Präferenzen, Kundenprofile, usw.) enthalten. 

Bei der Auswahl, Einführung und Nutzung eines CRM-Tools sind verschiedene datenschutzrechtliche Aspekte zu berücksichtigen.  Dabei ist entscheidend, dass der Datenschutz von Anfang an und umfassend in das Projekt einbezogen wird ("privacy by design"), namentlich weil gewisse Entscheide später nicht oder nur mit grossem Aufwand angepasst werden können. Beispiel: Wenn das gewählte Tool nicht über die erforderliche Löschfunktion verfügt, ist die rechtskonforme Nutzung des Tools unter Umständen nicht möglich. Zu beachten sind die Verwaltungsmassnahmen des EDÖB: Er kann verfügen, dass Datenbearbeitungen angepasst, unterbrochen oder gar abgebrochen werden müssen und dass die betroffenen Personendaten ganz oder teilweise gelöscht werden müssen. Es ist offensichtlich, dass derartige Massnahmen gravierende Auswirkungen auf ein Unternehmen haben, insbesondere wenn es um Daten geht, die in einem CRM-Tool enthalten sind. Ebenso wichtig ist, dass die Einhaltung des Datenschutzes auch nach der Inbetriebnahme für den laufenden Betrieb gewährleistet ist und bleibt (z.B. durch entsprechende organisatorische Prozesse, Schulungen, technische Massnahmen sowie periodische Überprüfung). 

Der Beitrag soll eine Orientierungshilfe für derartige Projekte sein und fokussiert auf datenschutzrechtliche Herausforderungen, die regelmässig auftreten. Je nach Ausgangslage sind die Aspekte unterschiedlich zu gewichten bzw. sind zusätzliche Aspekte zu berücksichtigen. Zum Beispiel stellen sich andere Fragen, wenn das CRM-Tool für den B2B-Vertrieb genutzt wird, als wenn das CRM-Tool auf den Verkauf an Endkunden ausgerichtet ist (z.B. mit integriertem Versand von Direktmarketing und personalisierter Ansprache). 

Live-Webinar Update Schweizer Datenschutz (DSG)

News & Updates zum Datenschutz in der Schweiz

CHF 190.00

Einhaltung datenschutzrechtlicher Grundsätze 

CRM-Tools (sowohl bei der Einführung als auch bei der Nutzung) bergen latentes Konfliktpotential zu datenschutzrechtlichen Grundsätzen. Der Grundsatz der Verhältnismässigkeit verlangt, dass nur diejenigen Personendaten gesammelt und bearbeitet werden, die für den angestrebten Zweck erforderlich sind. Werden tatsächlich möglichst viele Daten gesammelt (z.B. um umfassende Analysen oder personalisierte Ansprachen zu machen), liegt eine Datenschutzverletzung vor.

Der Grundsatz der Zweckbindung beschränkt die Möglichkeiten der Nutzung von Personendaten. Nach diesem Grundsatz dürfen Personendaten nur für festgelegte Zwecke bearbeitet werden (z.B. für den bei der Erhebung angegebenen oder den gesetzlich vorgesehen Zweck). Die Bearbeitung für neue Zwecke ist nicht ohne weiteres zulässig. Häufig kommt es bei einer Zusammenführung von Daten aus verschiedenen Quellen zu Bearbeitungen, welche über den ursprünglichen Bearbeitungszweck hinausgehen. Zum Beispiel wäre zu prüfen, inwiefern dass Kontaktdaten, die für die Vertragsabwicklung erhoben wurden, später für Marketingmassnahmen genutzt werden können. 

Unter Berücksichtigung des Grundsatzes der Transparenz sind die betroffenen Personen angemessen über die Datenbearbeitung zu informieren. Dabei sind mindestens die gesetzlich vorgeschriebenen Mindestinformationen bereitzustellen (Art. 19 DSG; siehe hierzu weiterführend den WEKA NL 05/2023). Namentlich bei der Zusammenführung von Daten aus verschiedenen Quellen kann das Ausmass der Datenbearbeitung (Art und Umfang der Daten, Bearbeitungszwecke) für Betroffene schwer nachvollziehbar sein.

Der Grundsatz der Beschränkung der Aufbewahrungsdauer schreibt vor, dass Personendaten vernichtet werden müssen, sobald diese nicht mehr benötigt werden. In der Praxis stellt dies eine grosse Herausforderung dar und Daten werden oft – unzulässigerweise – auf unbestimmte Dauer aufbewahrt (was zu rechtlichen und faktischen Risiken sowie unnötigen Kosten führt). Um diesen Grundsatz einzuhalten, ist ein Löschkonzept zu erstellen und mit geeigneten Massnahmen umzusetzen (z.B. durch Massnahmen zur automatisierten Datenlöschung). 

Jetzt Member werden und weiterlesen:

  • Unlimitierter Zugriff auf alle 1300 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Zugriff auf alle Videos
  • Täglich aktualisiert
  • Wöchentlich neue Inhalte und Arbeitshilfen
  • Exklusive Spezialangebote
  • News- & Update-Services
  • Seminargutscheine
und viele weitere Vorteile! ab CHF 24.80 pro Monat Jetzt abonnieren Sind Sie schon Member? Hier anmelden

Seminar-Empfehlungen

Weitere Beiträge & Videos zu diesem Thema

Datenschutz-Folgenabschätzung
/ Datenschutz-Folgenabschätzung

Bei neuen Projekten im HR-Umfeld
Webseiten-Analyse-Tools
/ Webseiten-Analyse-Tools

Datenschutzrechtliche Herausforderungen beim Einsatz
Dashcam
W+
/ Dashcam

Die Grundlagen des Datenschutzrechts
nDSG
W+
/ nDSG

Eine Übersicht zum neuen Datenschutzgesetz
Wettbewerbe
/ Wettbewerbe

Datenschutzkonform gewinnen und akquirieren
Datenbearbeitung
W+
/ Datenbearbeitung

Wann erfordert der Datenschutz eine Einwilligung?
Member werden Newsletter