CRM DSGVO-konform in Deutschland: Die echten Anforderungen
Welche Anforderungen muss ein CRM in Deutschland DSGVO-konform erfüllen?
DSGVO-konformes CRM braucht vier Säulen: EU-Hosting, dokumentierte Verarbeitungsverzeichnisse, AVV mit allen Dienstleistern und definierte Löschfristen pro Datentyp. Cookie-Banner allein reichen nicht. Im SnapSite-Audit 2026 fielen 7 von 10 SaaS-CRM-Installationen bei der AVV-Prüfung durch. Wer das ernst nimmt, baut die Pflichten in die System-Architektur, nicht ans Ende.
- 01
Prüfe Hosting und Datenfluss
Server in EU, idealerweise Deutschland. Jede Dienstleister-Komponente bekommt eine Datenfluss-Beschreibung. Was nicht dokumentiert ist, gilt im Audit als nicht vorhanden.
- 02
Erstell das Verarbeitungsverzeichnis
Pro Verarbeitungstyp: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfrist. Eine Vorlage allein reicht nicht. Das Verzeichnis muss zur eigenen Praxis passen.
- 03
Schließe AVVs mit allen Dienstleistern
Hosting, E-Mail-Versand, Analytics, KI-Modelle. Jeder Dienstleister, der personenbezogene Daten verarbeitet, braucht einen AVV. Fehlt einer, wird der gesamte Datenfluss unzulässig.
Im SnapSite-Audit 2026 fielen 7 von 10 SaaS-CRM-Installationen bei der AVV-Prüfung durch.
Audit über zehn DACH-Mittelstand-Kunden mit unterschiedlichen SaaS-CRMs, März 2026.
- Reicht eine Cookie-Banner-Lösung?
- Nein. Cookie-Consent betrifft nur das Tracking. CRM-Daten haben einen anderen Rechtsrahmen: berechtigtes Interesse oder Vertragsabwicklung. Die Banner-Frage ist nicht das CRM-Problem.
- Wo darf das CRM gehostet werden?
- Innerhalb der EU ohne Zusatzaufwand. In Drittländern nur mit Standardvertragsklauseln plus Transfer-Folgenabschätzung. Wer auf US-Hosting setzt, baut sich eine Pflichten-Schicht obendrauf.
- Welche Löschfristen gelten?
- Pro Datentyp unterschiedlich. Kunden-Anfragen ohne Vertrag in der Regel sechs Monate. Vertragsdaten zehn Jahre wegen steuerlicher Pflicht. Löschungen müssen automatisiert ablaufen, nicht per Hand.
- Was passiert im Audit?
- Geprüft werden Verarbeitungsverzeichnis, AVVs, technische Maßnahmen und Datenschutzerklärung. Im SnapSite-Audit 2026 fielen 7 von 10 SaaS-CRM-Installationen bei der AVV-Prüfung durch. Meist fehlen AVVs für E-Mail-Versand und Analytics.
- Wer haftet bei einem Datenleck?
- Der Verantwortliche, also das Dienstleister-Unternehmen mit dem CRM. Auftragsverarbeiter haftet mit, wenn ein Verstoß gegen den AVV vorliegt. Eine saubere Vertragslage schützt nicht vor der Pflicht zur Meldung binnen 72 Stunden.
SnapSite baut CRMs mit DSGVO als Architektur-Prinzip, nicht als Nach-Anbau. EU-Hosting, dokumentierte Datenflüsse, AVV-Pakete für alle Dienstleister.
Wer einen DSGVO-Audit am CRM braucht oder einen sauberen Bau plant, klärt das im Projekt-Gespräch.
Projekt besprechen