Für Zoho CRM benötigen Sie einen Passus in Ihrer Datenschutzerklärung
Datenschutzerklärung kostenlos erstellen
Warum ist Zoho CRM datenschutzrechtlich relevant?
Unternehmen, die Zoho CRM verwenden, erheben darüber personenbezogene Daten. Denn: Über die Software sammeln und speichern sie zum Beispiel Daten wie
- E-Mail-Adressen,
- Telefonnummern,
- Adressen und
- IP-Adressen
ihrer Kunden. Das kann beispielsweise über eine Kontaktanfrage oder eine Newsletter-Anmeldung erfolgen. Zoho CRM verarbeitet und speichert diese Daten unter anderem auf Servern in Europa, Indien und den USA. Unternehmen müssen daher besondere Pflichten aus der Datenschutz-Grundverordnung (DSGVO) beachten.
Zoho CRM datenschutzkonform verwenden
Damit Unternehmen Zoho CRM datenschutzkonform verwenden, müssen sie diese Anforderungen erfüllen:
Vertrag zur Auftragsverarbeitung abschließen
Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) regelt die Rechte und Pflichten, die Unternehmen haben, wenn sie Kundendaten an einen Dritten weitergeben. Unternehmen müssen diesen Vertrag mit dem betreffenden Dritten – in diesem Fall Zoho CRM – schließen. Der Vertrag sollte dabei erklären,
- welche Userdaten Zoho CRM verarbeitet und speichert,
- wie lange der Anbieter die Daten speichert,
- warum Zoho CRM die Daten speichert und
- welche sonstigen Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen erheben über Zoho CRM personenbezogene Daten und geben diese an den Anbieter weiter. Sie müssen User in ihrer Datenschutzerklärung darauf aufmerksam machen. Damit sich Nutzer informieren können, was genau mit ihren Daten bei Zoho CRM passiert, sollten Unternehmen zudem auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.
Darüber hinaus sollten Business-Inhaber Hinweise auf den Privacy Shield aus ihrer Datenschutzerklärung herausnehmen. Der Europäische Gerichtshof (EuGH) hat diesen für nicht geeignet erklärt, um darüber Daten in die USA zu übersenden.
Und: Unternehmen müssen in ihrer Datenschutzerklärung erwähnen, dass sie mit Zoho CRM einen AV-Vertrag geschlossen haben. Dabei sollten sie ausführen,
- warum sie personenbezogene Daten erheben
- wie lange sie diese speichern wollen,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
- dass Kunden der Datenverarbeitung jederzeit widersprechen können.
Standardvertragsklauseln prüfen
Zoho CRM verschickt auf Grundlage von EU-Standardvertragsklauseln personenbezogene Daten in Drittländer außerhalb der EU. Unternehmen sollten die Standardvertragsklauseln prüfen. Denn: Der EuGH hat vorgegeben, dass diese einen Datentransfer nur dann rechtlich erlauben, wenn in dem Zielland ein ähnliches Datenschutzniveau herrscht wie in der EU. In den USA ist das derzeit nicht der Fall. Zoho CRM verfügt zudem auch über Server in Indien. Dort besteht ebenfalls kein ähnliches Datenschutzniveau wie in der EU. Und: Es liegt kein Angemessenheitsbeschluss der EU-Kommission vor. Zoho CRM hat selbst jedoch Garantien abgegeben, die ein angemessenes Datenschutzniveau sicherstellen sollen.
Rechtsprechung zu Zoho CRM
Im Juli 2020 kam der EuGH zu dem Schluss: Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht mehr als rechtliche Basis nutzen, um datenschutzkonform Daten in Drittländer wie die USA zu versenden (Az. C-311/18).
Die Datenschutzbehörde Hamburg hat zudem ein Bußgeld gegen ein Versandunternehmen in Höhe von 5.000 Euro zuzüglich Gebühren von 250 Euro ausgesprochen. Das Unternehmen hatte personenbezogene Daten an einen Dienstleister weitergegeben, ohne mit diesem einen AV-Vertrag zu schließen. Das verstößt gegen die Vorgaben der DSGVO. Per Gesetz sind dabei Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich.