Customer Relationship Management in der Cloud

Kundendaten verwalten, Datenschutz gewährleisten

Der Skandal um Prism und Tempora wirbelt die Customer-Relationship-Management-Branche (CRM) auf. Sind Kundendaten, die Kronjuwelen ­jeder Firma, beim Cloud Computing noch sicher? Vielleicht kann die geplante EU-Datenschutz-Grundverordnung dafür sorgen.

Juwelen, Bildquelle: Thinkstock/F1online

Schutz der Kronjuwelen: Datenschutz beim Customer Relationship Management, CRM

Als im Juni 2013 die Überwachungsaffäre der National Security Agency (NSA) bekannt wurde, war das Geschrei groß und das Thema „Datenschutz“ rückte plötzlich wieder in den Fokus. Denn Programme wie Prism und Tempora sollen Unmengen an Daten der Online- und Telefonkommunikation abgehört und von Servern abgeschöpft haben. Da stellt sich die Frage, wie sicher beispielsweise Kundendaten beim Cloud Computing sind, wenn Unternehmen ihre Customer-Relationship-Management-Software (CRM) als Cloud-Variante nutzen.

In einer Umfrage Anfang des Jahres stellte die Ec4u Expert Consulting AG noch fest, dass die Cloud-Alternative auch bei CRM-Anwendungen für Unternehmen interessanter wird. Laut jener Studie gehen zwei von fünf der über 200 befragten Verantwortlichen aus Vertrieb und Kundenmanagement davon aus, dass bei CRM-Anwendungen schon in fünf Jahren die Cloud-Variante dominieren könnte. „Software herunterzuladen und aus der Cloud zu nutzen, wird im Alltagsverhalten der Menschen immer mehr zur Gewohnheit“, so Sabine Kirchem, Senior Manager Market Research bei Ec4u. Dies verändere auch das Entscheidungsverhalten in den Unternehmen.

Doch ist dies nach Edward Snowdens Enthüllungen immer noch festzustellen? „Die aufgedeckten Überwachungsaktivitäten aus den USA und Großbritannien treiben die Unternehmen dazu, bestehende Sicherheitsmaßnahmen zu überdenken und z.B. die Effektivität von Verschlüsselungssystemen zu überprüfen“, weiß Oliver Bitterwolf, Associate-Partner bei Q_Perior. „Prism und Tempora sammeln die Daten jedoch nur auf dem digitalen Transportweg und stellen zumindest nach heutigem Kenntnisstand keine Cyberwaffen dar, die Datenspeicher direkt angreifen, um an bestimmte Kundeninformationen zu gelangen.“ Daher falle die Entscheidung, ob Daten auf eigenen oder von einem Dienstleister betriebenen Servern liegen, hinsichtlich eines möglichen Datenklaus über das Internet weniger stark ins Gewicht. „Datendiebstähle finden vor allem durch Insider statt, die Lücken in den Sicherheitsbestimmungen der Unternehmen ausnutzen“, so Bitterwolf weiter. Auf diese Weise sind sowohl die berüchtigten Steuer-CDs mit Kundendaten aus Schweizer Banken entwendet worden wie auch jüngst die zwei Millionen Bankverbindungen von Vodafone-Kunden. Die Enthüllungen von Edward Snowden gehen letztlich ebenfalls auf eine interne Quelle zurück. Zugriffsversuche durch unbefugte Dritte stellen laut Bitterwolf hinsichtlich der Datensicherheit in der Cloud keine größere Gefahr dar als bisher.Auch Wolfgang Brugger, Geschäftsführer der Doc­house GmbH, hält die Daten für relativ sicher, sofern sie stark verschlüsselt sind und sich die Server in Deutschland befinden. „Wir vermuten schon seit Jahren, dass sich in Programmen amerikanischer Hersteller Hintertüren befinden, um ggf. auf Daten zugreifen zu können.“ Verschlüsselung erschwere zumindest einen direkten Zugriff. Cobra-Geschäftsführer Jürgen Litz ist nicht ganz so entspannt: „Wenn die Berichterstattung der Medien zutrifft, dann scheint Datensicherheit für die Kronjuwelen von Unternehmen, nämlich deren Kundendaten mit sicher oft auch sensiblen Informationen, in der Cloud nicht gewährleistet zu sein."

Sicherheitslücken schließen

Die entscheidende Aufgabe der CRM-Branche besteht nun darin, die gewünschte Datensicherheit zu belegen, da kaum ein Anwender dieses Leistungsversprechen hundertprozentig kontrollieren kann. Zertifizierte IT-Lösungen auf Basis bereits anerkannter Normen wie DIN 9000 dürften daher an Bedeutung gewinnen. „Etablierte Anbieter wie Salesforce, IBM und SAP profitieren zudem von einer hohen Kompetenzvermutung und schnellen Service-Angeboten, wenn es darum geht, entdeckte Sicherheitslücken in der Software zügig zu schließen“, bemerkt Oliver Bitterwolf. Sicherheitsservices rund um das eigentliche Produkt entwickeln sich damit zu einem maßgeblichen Investitionskriterium. „Anbieter aus Deutschland mit in Deutschland entwickelten Anwendungen haben sicher im Moment Vorteile“, fügt Wolfgang Brugger von Dochouse an, „insbesondere wenn sie glaubhaft belegen können, dass keinerlei Daten auf ausländischen Servern gespeichert werden.“

Verlierer werden laut Stefan von Lieven, CEO der Artegic AG, höchstwahrscheinlich US-Unternehmen sein, die in Europa tätig sind. „Diese müssen sich mittelfristig den gestiegenen Anforderungen an Datenschutz anpassen, die für viele deutsche und europäische Unternehmen bereits gelebte Praxis sind. Unternehmen, die weiterhin auf den eher niedrigen und in der Wahrnehmung fragwürdigen US-Datenschutzstandards beharren, werden Argumentationsprobleme gegenüber der Öffentlichkeit bekommen.“

Sicherheitsbedenken hin oder her – grundsätzlich bringt eine Auslagerung der Kundendaten in die Wolke einige Vorteile mit sich. Das wesentliche Argument für Cloud-Lösungen ist laut Michael Schmidt-Voigt, Director Sales Consulting Germany & Switzerland bei der Oracle Deutschland B.V. & Co. KG, der reduzierte Aufwand: „Eine Cloud-Lösung verursacht geringere Kosten bei der Implementierung und im Verlauf beim Betrieb der Applikation.“ Zudem benötigen Kunden für On-Premise-Lösungen umfangreiche IT-Abteilungen; in der Cloud übernehme der Provider diese Aufgaben. Nicht zu vergessen sind ein einfacher Zugriff auf die Daten von jedem Zugangsgerät aus und vollkommen ortsunabhängig.

Eine konzeptionelle Aufgabe

„Die Nutzung eines Dienstleisters bedeutet aber nicht, dass anfallende Aufwände komplett ausgelagert werden können“, warnt Artegic-CEO Stefan von Lieven. Zunächst bedeute eine Auslagerung fast immer auch die Anbindung eigener Systeme. Desweiteren sei CRM keine rein technische Herausforderung, sondern vor allem eine konzeptionelle Aufgabe. „Auch wenn viele Anbieter hier beratend unterstützen, sind mit dem Thema ‚CRM’ immer auch erhebliche Aufgaben im eigenen Unternehmen verbunden.“

Da es sich bei einer CRM-Auslagerung um ein größeres Migrationsprojekt handelt, entpuppt sich oft auch der Datentransfer in die Cloud als Herausforderung. Eine schnelle Breitbandverbindung ist hier Grundvoraussetzung. Zudem empfiehlt Jürgen Litz, „bereits bei im Projektstart auch den möglichen Rücktransfer zu bedenken. Denn anders als bei einer gekauften CRM-Lösung, die auf den unternehmenseigenen Servern betrieben wird, gilt es bei Cloud-Lösungen zu regeln, wie die Daten im Falle eines Ausstiegs weiter genutzt werden können.“ Oliver Bitterwolf bemerkt, dass viele Unternehmen häufig den Kündigungsfall übersehen. Doch „einmal ausgelagerte Daten müssen sich zu jeder Zeit zurückführen und restlos von den Servern des Anbieters löschen lassen können“. So ist es unbedingt erforderlich, nicht nur sämtliche Datenschutzvoraussetzungen einer CRM-Lösung, sondern auch entsprechende Ausstiegsszenarien vorab vertraglich mit dem Dienstleister auszuarbeiten.

Der neue EU-Datenschutz

Apropos ausarbeiten: Bereits seit Anfang 2012 befindet sich eine neue EU-Datenschutz-Grundverordnung in der Abstimmung. Die geplante Verordnung der EU will als Teil der EU-Datenschutzreform die Datenschutzrichtlinie von 1995 ersetzen und „den einheitlichen Schutz von personenbezogenen Daten, welche durch private Unternehmen verarbeitet werden, in der gesamten EU garantieren“, berichtet Andreas von Sprecher, Rechtsanwalt aus der Kanzlei Hüppi & von Sprecher in Zürich. „Die Grundverordnung richtet sich auch an Unternehmen außerhalb der EU, welche ihre Leistungen EU-Bürgern anbieten.“ Inhaltlich sollen mitunter das sogenannte „Recht auf Vergessen“ und die Datenportabilität gewährleistet werden. Kritisiert wird allerdings, dass die Pflicht, einen internen Datenschutzbeauftragten zu designieren und die Dokumentation zu gewährleisten, nur für Unternehmen ab 250 Mitarbeiter gelten soll.

Der erste Entwurf der EU-Datenschutzverordnung und die bisherigen Diskussionen zeigen laut Stefan von Lieven eines bereits deutlich: Das Thema „Datenschutzmanagement“ wird für Unternehmen wichtiger. „Gerade Unternehmen, die sich noch nicht an den hohen Standards orientieren, wie sie beispielsweise die deutsche Rechtslage vorsieht, sollten sich spätestens jetzt um den Aufbau eines Datenschutzmanagements kümmern“ – nicht zuletzt, da das Paradigma im CRM sich zunehmend weg vom Thema „Daten sammeln“ hin zu „Daten nutzen“ verändere. Doch nutzen lassen sich nur solche Daten, die auch rechtssicher und mit ausreichenden Zustimmungen erhoben wurden. Oliver Bitterwolf ist generell etwas anderer Meinung: „In Deutschland dürften die EU-Pläne kaum für Anpassungsdruck in der IT-Branche sorgen, da die derzeit gültigen Bestimmungen bereits besonders streng sind.“ Die Vereinheitlichung ziele eher darauf ab, das Mindestmaß an Datenschutz anzuheben, um die insbesondere durch die Debatte um Facebook identifizierte Kluft zwischen einzelnen Mitgliedsstaaten abzumildern.

Eine bessere Übersicht

Laut Jürgen Litz sind in Deutschland die Datenschutzgesetze im europäischen Vergleich stärker auf die Rechte des Verbrauchers ausgelegt als in anderen Ländern. Eine Vereinheitlichung der Gesetze innerhalb der EU könne für Deutschland somit auch eine Lockerung bedeuten, glaubt er. Grundsätzlich findet er es positiv, wenn es eine einheitliche Regelung für alle EU-Länder gibt, „denn unsere Kunden haben ihre Firmensitze ja nicht nur in Deutschland, sondern sind auch international tätig. Für sie bedeutet die einheitliche Regelung eine bessere Übersichtlichkeit und weniger Aufwand.“ Denn unterschiedliche Regeln müssen auch in der Software berücksichtigt werden; so sei eine Anpassung für jeden einzelnen Standort nicht mehr nötig. Die Kunden müssen sich letztlich aber auf die neue Situation einstellen. Jede Änderung der Gesetzeslage kann zu Veränderungen der Lead-Management-Prozesse im Unternehmen führen. Doch ehe die neue Grundverordnung final verabschiedet wird, sind konkrete Aussagen über die Auswirkungen auf den Kunden natürlich sehr spekulativ.

Ob die geplante EU-Datenschutz-Grundverordnung allerdings der massenhaften Ausspähung von Daten im Internet einen Riegel vorschieben wird, bleibt aus Anbietersicht fraglich. „Einer Regulierung ist es noch nie gelungen, das technisch Machbare zu verhindern“, bekräftigt auch Rechtsanwalt Andreas von Sprecher. „Als positiven Effekt kann die einheitlich angewandte Grundverordnung allenfalls den Qualitätsvergleich unter den Anbietern erleichtern und diese dazu motivieren, den höchsten technischen Stand der Sicherheit zu implementieren, um sich von der Konkurrenz abzuheben.“

Datenschutzrichtlinien betreffen vor allem den Umgang mit legal erworbenen Informationen und eignen sich daher, um Missbräuchen vorzubeugen. Moderne Compliance-Management-Systeme, effektives Rechtemanagement und zertifizierte Anwendersysteme tragen zu mehr Datensicherheit bei. „Das gezielte Abfangen von Informationen oder die Auswertung von im Prinzip frei verfügbaren Daten etwa aus sozialen Netzwerken lassen sich damit jedoch kaum wirksam einschränken“, bestätigt Oliver Bitterwolf. In diesem Zusammenhang dürfte sich die Diskussion eher zu einem „Recht auf Vergessen“ entwickeln, um sensible Daten zu löschen und damit vor einer nicht autorisierten Weitergabe zu schützen.

Neben den für Anbieter und Anwender relevanten Sicherheitsaspekten steht laut Bitterwolf in den kommenden Monaten die Integration mobiler Services ganz oben auf der Prioritätenliste. Schnittstellen zur Anbindung von Tablets und Smartphones dürften bald zum Standard jeder CRM-Suite gehören, ist er sich sicher. Technisch bedeute das, die Entwicklung von flexiblen Schnittstellen voranzutreiben, um plattformübergreifend zu arbeiten und in diesem Zusammenhang auch Lösungen aus der Cloud zu berücksichtigen. Denn Cloud-Services bleiben ein langfristiger Trend.

Definition: EU-Datenschutz-Grundverordnung

Bei der Datenschutz-Grundverordnung handelt es sich um eine geplante Verordnung der Europäischen Union, die bereits seit 2012 diskutiert wird. Mit ihr sollen die Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen EU-weit vereinheitlicht werden. Ziele der Verordnung sind aber nicht nur der Schutz der personenbezogenen Daten innerhalb der Europäischen Union; darüber hinaus soll auch der freie Datenverkehr innerhalb des europäischen Binnenmarktes gewährleistet werden. Grundsätzlich soll die Datenschutz-Grundverordnung auch für Unternehmen gelten, die außerhalb der EU sitzen, sich mit ihren Produkten und Services aber an EU-Bürger richten.

Quelle: Wikipedia, www.eu-datenschutzverordnung.de

Bildquelle: Thinkstock/F1online

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok