Müssen CRM-Kontakte eingewilligt haben?

Das hängt vom Verarbeitungszweck ab. Für B2B-Kaltakquise gibt es berechtigtes Interesse als Rechtsgrundlage. Für Newsletter oder Marketingmaßnahmen braucht es explizite Einwilligung. Ein CRM-System selbst ist rechtlich neutral — entscheidend ist der Zweck der Verarbeitung.

Was ist ein Datenverarbeitungsvertrag (DPA) und brauche ich einen mit Pipedrive?

Ja. Wer Pipedrive mit personenbezogenen Daten nutzt, muss einen DPA (Data Processing Agreement) mit Pipedrive abschließen. Pipedrive stellt diesen Vertrag bereit — er kann direkt über die Pipedrive-Einstellungen abgeschlossen werden.

🛡️ CRM & DSGVO

CRM und DSGVO — was gilt, was erlaubt ist, wie Pipedrive konform eingesetzt wird

Q: Ist Pipedrive DSGVO-konform?

Ja. Pipedrive bietet EU-Datenspeicherung, Datenverarbeitungsverträge (DPA), Datenlöschfunktionen und Audit-Logs. Mit der richtigen Konfiguration und einem DPA ist Pipedrive DSGVO-konform einsetzbar.

Q: Wo werden Pipedrive-Daten gespeichert?

Pipedrive speichert Daten auf AWS-Servern in der EU (Irland). Damit erfüllt Pipedrive die Anforderung der DSGVO an den Speicherort personenbezogener Daten innerhalb des EWR.

Darf ich Kontakte im CRM speichern? Brauche ich einen DPA? Wie lange dürfen Daten gespeichert werden? Klare Antworten für B2B-Vertriebsteams in Deutschland.

DSGVO-konformes Setup besprechen →

Für B2B-Vertriebsteams DACH Pipedrive EU-Datenspeicherung Kein Rechtsanwalt-Ersatz

🛡️

DSGVO-konform

EU-Speicherung · DPA · Löschfristen

Grundlagen

Was die DSGVO für CRM-Systeme bedeutet

Ein CRM speichert personenbezogene Daten — Namen, E-Mail-Adressen, Telefonnummern, Notizen zu Gesprächen. Das fällt unter die DSGVO. Das bedeutet: Ihr braucht eine Rechtsgrundlage für die Verarbeitung, ihr müsst technische und organisatorische Maßnahmen (TOMs) sicherstellen und ihr müsst mit eurem CRM-Anbieter einen Datenverarbeitungsvertrag (DPA) abschließen.

Die gute Nachricht: Im B2B-Vertrieb ist das alles sehr gut handhabbar. Pipedrive bietet alle notwendigen Werkzeuge — EU-Datenspeicherung, DPA, Löschfunktionen, Berechtigungsmanagement und Audit-Logs.

Hinweis: Diese Seite gibt allgemeine Informationen für B2B-Vertriebsteams. Sie ersetzt keine Rechtsberatung. Bei spezifischen DSGVO-Fragen empfehlen wir einen Datenschutzbeauftragten oder Rechtsanwalt hinzuzuziehen.

Praxis

Die 4 wichtigsten DSGVO-Fragen für CRM-Nutzer

Darf ich Kontakte ohne Einwilligung im CRM speichern?

Im B2B-Kontext: ja — auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Ihr habt ein legitimes Geschäftsinteresse daran, potenzielle Kunden zu kontaktieren. Bedingung: Die Verarbeitung darf nicht unverhältnismäßig in die Rechte der betroffenen Person eingreifen. Für B2B-Kaltakquise an Geschäftsadressen ist das in der Regel gegeben. Für Privatkontakte (B2C) braucht es häufig explizite Einwilligung.

Was ist ein DPA und wie schließe ich ihn mit Pipedrive ab?

Ein Data Processing Agreement (DPA) ist ein Vertrag zwischen euch (Verantwortlicher) und Pipedrive (Auftragsverarbeiter), der regelt wie Pipedrive eure Daten verarbeitet. Pflicht nach Art. 28 DSGVO. Pipedrive stellt den DPA bereit — ihr könnt ihn direkt in den Pipedrive-Einstellungen unter Datenschutz unterzeichnen. Kostet nichts zusätzlich.

Wie lange dürfen Kontaktdaten im CRM gespeichert bleiben?

Solange ein berechtigtes Interesse besteht oder ein Vertragsverhältnis existiert. Nach Ende der Geschäftsbeziehung gilt das Prinzip der Speicherbegrenzung — Daten müssen gelöscht oder anonymisiert werden wenn sie nicht mehr benötigt werden. Empfehlung: Klare interne Lösch-Policy definieren (z.B. 2 Jahre nach letztem Kontakt) und in Pipedrive durch Custom Fields oder Labels umsetzen.

Wo werden Pipedrive-Daten gespeichert?

Pipedrive speichert Daten auf AWS-Servern in der EU (primär Irland). Das erfüllt die DSGVO-Anforderung an den Datenspeicherort. Eine Übermittlung in Drittländer findet nur mit geeigneten Garantien statt (z.B. EU-Standardvertragsklauseln). Im DPA ist dies vollständig geregelt.

Pipedrive Features

Was Pipedrive für DSGVO-Compliance bereitstellt

📋

DPA in den Einstellungen

Datenverarbeitungsvertrag direkt in der Pipedrive-App abrufbar und unterzeichenbar. Keine Rückfragen beim Anbieter nötig.

🌍

EU-Datenspeicherung

Alle Daten auf AWS EU (Irland). Kein Transfer in unsichere Drittländer ohne Standardvertragsklauseln.

🗑️

Datenlöschung

Kontakte, Deals und personenbezogene Daten können vollständig gelöscht werden — auch für Betroffenenrechte (Auskunft, Löschung, Berichtigung).

👁️

Audit-Logs

Ab Professional-Plan: vollständige Protokollierung wer welche Daten wann geändert hat. Wichtig für Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

🔐

Benutzerberechtigungen

Granulares Rechtemanagement: wer sieht welche Daten, wer darf exportieren, wer darf löschen. Principle of Least Privilege umsetzbar.

🔒

Zwei-Faktor-Authentifizierung

2FA für alle Nutzer erzwingbar. Datenschutzverletzungen durch kompromittierte Passwörter werden so deutlich unwahrscheinlicher.

Checkliste

DSGVO-Checkliste für Pipedrive-Nutzer

✓

DPA mit Pipedrive abgeschlossen
Pipedrive → Einstellungen → Datenschutz → DPA unterzeichnen

✓

Verarbeitungsverzeichnis führen
Pipedrive-Nutzung im internen Verarbeitungsverzeichnis dokumentieren (Art. 30 DSGVO)

✓

Rechtsgrundlage definieren
Berechtigtes Interesse (B2B), Einwilligung (Newsletter), Vertrag (bestehende Kunden) — für jeden Use Case klären

✓

Lösch-Policy festlegen
Interne Regeln wann Daten gelöscht werden — z.B. 24 Monate nach letztem Kontakt

✓

2FA aktivieren
Für alle Nutzer Zwei-Faktor-Authentifizierung erzwingen — Pipedrive → Sicherheitseinstellungen

✓

Berechtigungen prüfen
Nur notwendige Nutzer haben Zugriff auf sensitive Daten — regelmäßige Überprüfung der Benutzerrechte

Wichtiger Hinweis zur Rechtsverbindlichkeit

Die Informationen auf dieser Seite sind allgemeiner Natur und richten sich an B2B-Vertriebsteams. Sie ersetzen keine professionelle Rechtsberatung. Die DSGVO-Anforderungen variieren je nach Unternehmenstyp, Verarbeitungszweck und Kundensegment. Wir empfehlen für euren spezifischen Anwendungsfall einen Datenschutzbeauftragten oder Rechtsanwalt hinzuzuziehen — besonders bei der Formulierung von Datenschutzhinweisen, der Interessenabwägung und der Erstellung des Verarbeitungsverzeichnisses. Was wir tun können: Pipedrive technisch DSGVO-konform einrichten — DPA, Berechtigungsstruktur, Lösch-Policy und sichere Konfiguration.

FAQ

Häufige DSGVO-Fragen zu CRM-Systemen

Ja. Pipedrive bietet EU-Datenspeicherung, DPA, Datenlöschung und Audit-Logs. Mit der richtigen Konfiguration und einem unterzeichneten DPA ist Pipedrive DSGVO-konform einsetzbar. Mehr Infos im Pipedrive Trust Center.

In der Regel ja — auf Basis von berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO). Wichtig: Die Verarbeitung muss verhältnismäßig sein, ihr müsst eine Interessenabwägung dokumentieren und Betroffenen das Widerspruchsrecht einräumen.

Es gibt eine Informationspflicht nach Art. 14 DSGVO wenn Daten nicht direkt bei der Person erhoben wurden. Typische Umsetzung: Datenschutzhinweis in der E-Mail-Signatur oder beim ersten Kontakt. Bei B2B ist der Aufwand handhabbar — wir empfehlen juristische Beratung für den konkreten Wortlaut.

Solange ein berechtigtes Interesse besteht. Nach Ende der Geschäftsbeziehung oder nach Widerspruch müssen Daten gelöscht oder anonymisiert werden. Empfehlung: interne Policy mit 1–3 Jahren nach letztem Kontakt, dann automatisches Lösch-Reminder.

Ihr müsst die Anfrage innerhalb von 30 Tagen beantworten. Pipedrive ermöglicht vollständige Datenlöschung — Kontaktdaten, Deal-Historie und alle verknüpften Notizen. Außerdem solltet ihr prüfen ob andere Tools (E-Mail, Newsletter etc.) ebenfalls gelöscht werden müssen.