CRM-System

CRM-System

Definition und Einordnung

Ein CRM-System (Customer Relationship Management-System) ist eine Software-Anwendung, die Unternehmen bei der Verwaltung und Pflege von Beziehungen zu Mandantinnen, Mandanten sowie anderen Kontaktpersonen unterstützt. Der Begriff CRM steht für „Customer Relationship Management“, übersetzt als „Kundenbeziehungsmanagement“. CRM-Systeme bieten vielfältige Funktionen zur Erfassung, Organisation, Auswertung und Bereitstellung von Informationen, die im Rahmen von Mandats- und Kanzleiarbeit entstehen. Sie tragen dazu bei, Kontakte strukturiert zu verwalten, Kommunikation nachvollziehbar zu dokumentieren und Geschäftsprozesse effizient zu gestalten.

Im Unterschied zu herkömmlichen Adressdatenbanken vereinen CRM-Systeme zahlreiche werkzeuge zur zentralen Steuerung von Mandanten- und Projektbeziehungen sowie deren Historie. Dadurch sind sie aus verschiedenen Branchen, auch aus dem Arbeitsalltag in Kanzleien, nicht mehr wegzudenken.

Rolle im Kanzleialltag: Bedeutung und typische Einsatzfelder

Im Kanzleialltag unterstützt ein CRM-System die strukturierte Verwaltung von Mandantendaten, Kommunikationsverläufen und Kontaktanfragen. Es dient als zentrale Informationsquelle für Mitarbeitende und ermöglicht den schnellen Zugriff auf aktuelle Informationen zu laufenden sowie abgeschlossenen Mandaten.

Typische Einsatzfelder umfassen:

• Mandantendatenpflege: Einheitliche Erfassung, Pflege und Aktualisierung von Kontaktdaten, einschließlich Anschrift, Telefonnummer, E-Mail-Adresse und sonstiger relevanter Informationen.
• Kommunikationshistorie: Lückenlose Dokumentation von E-Mails, Telefonaten, Besprechungen oder schriftlichem Austausch mit Mandantinnen, Mandanten und Geschäftspartnern.
• Fristen- und Aufgabenmanagement: Verwaltung von Fristen, Wiedervorlagen und Aufgaben, die einzelnen Mandaten, Personen oder Teams zugeordnet werden können.
• Mandatsakquise und Marketing: Unterstützung bei der gezielten Ansprache potenzieller Mandantinnen und Mandanten, Durchführung von Kampagnen oder Versand von Rundschreiben.
• Auswertungen und Berichte: Erstellung von Übersichten, Statistiken oder Berichten, um Arbeitsabläufe zu überwachen und Mandatsstrukturen zu analysieren.

Prozesse, Abläufe und Methoden im Zusammenhang mit CRM-Systemen

Das CRM-System bildet verschiedene Prozesse und Arbeitsabläufe digital ab. Zentrale Methoden sind:

• Zentrale Datenerfassung: Alle relevanten Daten und Dokumente werden in einer gemeinsamen Anwendung gespeichert und sind für befugte Mitarbeitende jederzeit zugänglich.
• Workflow-Unterstützung: Aufgaben, Termine und Fristen werden automatisch generiert, zugewiesen und bei Bedarf an verantwortliche Personen erinnert.
• Automatisierte Kommunikation: Serienbriefe, Erinnerungen oder Statusberichte können direkt aus dem System an Mandantinnen, Mandanten oder interne Teammitglieder verschickt werden.
• Mandatshistorie: Im System werden alle bisherigen Schritte, Maßnahmen und Kommunikationsvorgänge zum jeweiligen Mandat abgelegt und können jederzeit eingesehen werden.
• Schnittstellenintegration: Moderne CRM-Systeme ermöglichen die Anbindung an weitere Kanzleisoftware, wie beispielsweise Aktenverwaltung, Zeiterfassung oder Abrechnung.

Die Nutzung eines CRM-Systems fördert durch Transparenz und Nachvollziehbarkeit die Zusammenarbeit aller Beteiligten.

Rahmenbedingungen und Standards

Die Einführung und Nutzung eines CRM-Systems erfordert bestimmte organisatorische und technische Voraussetzungen sowie die Beachtung von Standards:

• Zugriffsrechte und Datenschutz: Nur berechtigte Personen erhalten Zugriff auf sensible Daten. Die Einhaltung datenschutzrechtlicher Vorschriften, wie der Datenschutz-Grundverordnung (DSGVO), ist zwingend erforderlich.
• Regelung von Zugriffsrechten: Genaue Vergabe von Zugriffsrechten steuert, wer welche Informationen einsehen oder bearbeiten darf.
• Regelmäßige Datenpflege: Kontinuierliche und sorgfältige Pflege der im System hinterlegten Daten ist essenziell, um die Aktualität und Korrektheit zu gewährleisten.
• Technische Infrastruktur: Die Nutzung eines CRM-Systems setzt eine geeignete technische Infrastruktur voraus. Dazu gehören Endgeräte, leistungsfähige Netzwerke sowie regelmäßige Wartung und Updates der CRM-Software.
• Schulung und Dokumentation: Mitarbeitende sollten geschult werden, um das CRM-System effizient und sicher zu bedienen. Klare Anleitungen und einheitliche Arbeitsweisen sind sinnvoll.
• Archivierungspflichten: Ggf. müssen bestimmte Informationen und Dokumente entsprechend gesetzlicher Vorgaben archiviert werden, was im CRM-System unterstützt werden kann.

Praxisbezug: Umgang mit dem CRM-System im Arbeitsalltag

Im Kanzleialltag greifen Mitarbeitende regelmäßig auf das CRM-System zu – etwa um nach aktuellen Kontaktdaten zu suchen, Dokumentationen zu erfassen oder um den Bearbeitungsstand eines Mandats nachzuverfolgen. Neue Mandate werden in der Regel direkt im System angelegt, inklusive aller relevanten Daten und Dokumente. Die bearbeitenden Personen hinterlegen Vermerke, erfassen Gesprächsnotizen oder pflegen ausgehende und eingehende Korrespondenz ein.

Teammitglieder koordinieren ihre Arbeit über gemeinsam genutzte Aufgabenlisten und informieren sich über Fortschritte. Fristabläufe und Wiedervorlagen werden im System gepflegt und geplant, sodass keine wichtigen Termine übersehen werden. Auch die Zusammenarbeit mit weiteren Abteilungen oder externen Dienstleistern kann über das CRM-System organisiert werden.

Chancen und Herausforderungen im Kanzleialltag

Chancen:

• Effizienzsteigerung: Zentrale Datenhaltung und automatisierte Prozesse führen zu einem geringeren Verwaltungsaufwand und einem besseren Überblick über laufende Mandate.
• Verbesserte Zusammenarbeit: Informationen sind für alle befugten Mitarbeitenden leicht zugänglich, was die Teamarbeit erleichtert.
• Transparenz: Die Nachvollziehbarkeit aller Kontakte und Tätigkeiten erhöht die Transparenz gegenüber Mandantinnen und Mandanten sowie innerhalb des Teams.
• Besseres Fristenmanagement: Automatische Erinnerungen und Aufgaben sorgen für eine rechtzeitige Bearbeitung wichtiger Vorgänge.

Herausforderungen:

• Initialer Aufwand: Die Einführung eines CRM-Systems kann mit einem erheblichen organisatorischen und technischen Aufwand verbunden sein.
• Schulungsbedarf: Um die Stärken des Systems zu nutzen, benötigen Mitarbeitende eine gründliche Einarbeitung und regelmäßige Schulungen.
• Datenschutzanforderungen: Der Umgang mit sensiblen Daten verlangt besondere Aufmerksamkeit hinsichtlich Datenschutz und Datensicherheit.
• Aktualität und Sorgfalt: Unvollständig oder inkorrekt gepflegte Daten können zu Fehlern und Missverständnissen führen.

Ein CRM-System leistet somit einen wesentlichen Beitrag zu einer modernen, mandantenorientierten Kanzleiorganisation, wenn es richtig ausgewählt, eingeführt und genutzt wird.

Häufig gestellte Fragen (FAQ)

Was ist ein CRM-System und wozu wird es in einer Kanzlei verwendet?
Ein CRM-System ist eine Software zur Verwaltung von Kontakten, Mandanteninformationen und Kommunikationsverläufen. Es unterstützt die strukturierte Organisation von Mandaten und fördert effiziente Arbeitsabläufe.

Wer arbeitet im Kanzleialltag typischerweise mit dem CRM-System?
Alle Mitarbeitenden, die Mandatskontakte pflegen, Termine koordinieren oder Arbeitsfortschritte dokumentieren, nutzen das CRM-System. Dazu zählen in der Regel Sachbearbeiterinnen, Berufseinsteiger, Verwaltungsmitarbeitende und Führungskräfte.

Welche Vorteile ergeben sich aus der Nutzung eines CRM-Systems?
Die Vorteile umfassen die Zeitersparnis durch zentrale Datenhaltung, verbesserte Zusammenarbeit im Team, automatisierte Fristenüberwachung sowie eine höhere Transparenz gegenüber Mandantinnen und Mandanten.

Muss man für die Arbeit mit einem CRM-System besondere Vorkenntnisse haben?
Grundlegende Computerkenntnisse sind wünschenswert, aber den Umgang mit dem CRM-System erlernen Mitarbeitende in der Regel im Rahmen von Schulungen oder durch begleitende Anleitung im Arbeitsalltag.

Wie wird die Sicherheit sensibler Daten im CRM-System gewährleistet?
Durch die Vergabe von Zugriffsrechten, verschlüsselte Speicherverfahren und konsequente Einhaltung von Datenschutzvorgaben wird der Schutz sensibler Daten sichergestellt.

Wie aktuell müssen die Daten im CRM-System gehalten werden?
Die Aktualität ist entscheidend für die Funktionsfähigkeit des Systems. Deshalb sollten alle Veränderungen, wie neue Kontaktdaten oder abgeschlossene Aufgaben, zeitnah eingepflegt werden.

Was passiert, wenn das CRM-System ausfällt?
Kanzleien treffen in der Regel Vorkehrungen wie Backups und Notfallpläne, um bei technischen Störungen rasch reagieren und notwendige Daten wiederherstellen zu können.

Häufig gestellte Fragen

Welche datenschutzrechtlichen Anforderungen müssen beim Einsatz eines CRM-Systems erfüllt werden?

Beim Einsatz eines CRM-Systems müssen sämtliche Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie ergänzende nationale Datenschutzbestimmungen beachtet werden. Dies beinhaltet insbesondere die Pflicht zur Rechtsgrundlage der Datenverarbeitung: Personenbezogene Daten von Kunden und Kontakten dürfen nur auf Basis einer ausdrücklichen Einwilligung der betroffenen Person, zur Erfüllung eines Vertrags oder bei berechtigtem Interesse verarbeitet werden. Das CRM-System muss technisch und organisatorisch so gestaltet sein, dass die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sichergestellt sind (Art. 32 DSGVO: „Stand der Technik“). Zudem ist eine umfassende Dokumentation der Verarbeitungsprozesse nötig, wozu das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) gehört. Ferner ist zu gewährleisten, dass für Betroffene die Rechte auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung und Widerruf gewährleistet sind. Schließlich muss geprüft werden, ob ggf. eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist – insbesondere wenn eine umfangreiche Verarbeitung sensibler Daten erfolgt.

Muss ein Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen werden, wenn ein externes CRM-System genutzt wird?

Ja, sobald das CRM-System von einem externen Anbieter (Cloud-Lösung oder IT-Dienstleister) bereitgestellt wird und dabei personenbezogene Daten im Auftrag verarbeitet werden, schreibt Art. 28 DSGVO den Abschluss eines Vertrages zur Auftragsverarbeitung (AVV) vor. Der AVV muss regeln, welche Daten verarbeitet werden, zu welchen Zwecken dies geschieht und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen werden. Zudem muss der Anbieter des CRM-Systems die Einhaltung der DSGVO-Normen gewährleisten, unterliegt Weisungen des Verantwortlichen und darf ohne dessen Zustimmung keine Subunternehmer einsetzen oder Daten an Dritte weitergeben. Nicht ausreichend sind allgemeine Geschäftsbedingungen – der AVV muss gesondert und DSGVO-konform vereinbart werden. Es ist zudem ratsam, die technischen Einrichtungen und Sicherheitsmaßnahmen des Anbieters regelmäßig zu überprüfen.

Welche Pflichten bestehen hinsichtlich der Datenspeicherung und -löschung im CRM-System?

Die Speicherung personenbezogener Daten im CRM-System darf nur so lange erfolgen, wie es für den jeweiligen Zweck (zum Beispiel Kundenbetreuung, Erfüllung vertraglicher Verpflichtungen) erforderlich ist. Nach Wegfall dieses Zwecks sind die Daten gemäß Art. 17 DSGVO unverzüglich zu löschen, es sei denn, gesetzliche Aufbewahrungsfristen sprechen dagegen (z.B. steuerrechtliche Vorschriften gemäß § 257 HGB, § 147 AO). Daher muss das CRM-System Funktionalitäten zur Umsetzung von Lösch- und Sperrkonzepten bieten, einschließlich der Protokollierung aller Löschvorgänge. Unternehmer sind zur regelmäßigen Überprüfung und Bereinigung ihres Datenbestands im CRM verpflichtet. Eine automatische Löschroutine sowie die Möglichkeit selektiver Löschung einzelner Datensätze sollten ebenfalls implementiert sein.

Dürfen personenbezogene Daten ins Ausland übermittelt werden, wenn das CRM-System außerhalb der EU gehostet wird?

Die Übermittlung personenbezogener Daten in sogenannte Drittstaaten außerhalb des Europäischen Wirtschaftsraumes (EWR) – zum Beispiel, wenn der Serverstandort des CRM-Anbieters in den USA liegt – ist grundsätzlich möglich, unterliegt jedoch strengen gesetzlichen Anforderungen der DSGVO (insbesondere Art. 44 ff. DSGVO). Es bedarf eines angemessenen Schutzniveaus im Empfängerland. Dies kann durch einen Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln oder anderweitige geeignete Garantien erfolgen. Für die USA ist nach dem Wegfall des Privacy-Shield-Abkommens besondere Sorgfalt erforderlich – hier müssen aktuell neue vertragliche Lösungen gefunden und zusätzliche Schutzmaßnahmen implementiert werden. Der Verantwortliche muss zudem die Betroffenen entsprechend informieren und Risiken einer Datenübermittlung transparent machen.

Welche Melde- und Informationspflichten bestehen im Falle einer Datenpanne im CRM-System?

Kommt es im CRM-System zu einer Verletzung des Schutzes personenbezogener Daten – etwa durch unbefugten Zugriff, Verlust oder Manipulation – besteht gemäß Art. 33 DSGVO unverzüglich (in der Regel innerhalb von 72 Stunden) eine Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde. Ist davon auszugehen, dass die Datenpanne ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt, müssen diese ebenfalls ohne unangemessene Verzögerung informiert werden (Art. 34 DSGVO). Die Meldung muss Art und Umfang der Datenpanne beschreiben, die betroffenen Datengruppen benennen, den potentiellen Schaden einschätzen und die ergriffenen bzw. geplanten Gegenmaßnahmen dokumentieren. Ein wirksames internes Managementsystem für Datenschutzvorfälle muss daher vorhanden sein.

Sind interne Zugriffsberechtigungen im CRM-System rechtlich zu regeln?

Interne Zugriffsberechtigungen im CRM-System unterliegen dem Prinzip der Datenminimierung und dem „Need-to-know“-Prinzip aus Art. 5 DSGVO. Das bedeutet, dass jeder Mitarbeiter nur auf diejenigen Kundendaten Zugriff erhalten darf, die für die Erfüllung seiner dienstlichen Aufgaben erforderlich sind. Die Berechtigungen müssen nachweisbar dokumentiert und regelmäßig überprüft werden. Idealerweise sollte eine rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) implementiert sein, die Rechte zentral vergibt und verwaltet. Bei Ausscheiden oder Wechsel von Mitarbeitern ist eine sofortige Anpassung bzw. Löschung der Berechtigungen durchzuführen. Der Arbeitgeber muss diese Prozesse in einer IT-Richtlinie oder einer betrieblichen Datenschutz-Richtlinie transparent regeln.

Ist eine Datenschutz-Folgenabschätzung (DSFA) beim Einsatz eines CRM-Systems erforderlich?

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist insbesondere dann verpflichtend, wenn mit dem Einsatz des CRM-Systems eine umfangreiche Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten, politische Meinungen) oder systematische Überwachung oder Profilbildung von Personen einhergeht. Ziel der DSFA ist es, Risiken für die Rechte und Freiheiten Betroffener frühzeitig zu identifizieren und geeignete Gegenmaßnahmen festzulegen. Die DSFA umfasst eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikoabschätzung und die Darstellung geplanter Abhilfemaßnahmen. Das Ergebnis ist zu dokumentieren und ggf. mit der Datenschutzaufsicht abzustimmen.