Bitrix24 DSGVO-konform einrichten: die komplette Checkliste

Ein CRM sammelt naturgemäß genau die Daten, die die DSGVO besonders schützt: Namen, E-Mail-Adressen, Telefonnummern, Gesprächsnotizen, manchmal mehr. Kein Wunder, dass die Frage, ob das eigene Setup sauber ist, vielen Geschäftsführern und Datenschutzverantwortlichen im Nacken sitzt. In Kundenprojekten sehen wir häufig zwei Extreme: entweder gar keine Auseinandersetzung mit dem Thema – oder eine diffuse Angst vor DSGVO-Verstößen, die jede sinnvolle Nutzung lähmt.

Beides muss nicht sein. Bitrix24 DSGVO-konform zu betreiben ist kein juristisches Mammutprojekt, sondern eine überschaubare Liste konkreter Schritte, die Sie der Reihe nach abarbeiten können. Genau das liefert dieser Artikel: eine abarbeitbare Checkliste statt abstrakter Theorie – mit dem Fokus auf das, was Sie im System und in Ihren Prozessen tatsächlich einstellen und dokumentieren.

Wir sind offizieller Bitrix24-Partner und richten genau diese Punkte regelmäßig mit ein. Eines vorweg: Verantwortlich für die Einhaltung bleiben Sie als Unternehmen. Aber mit der richtigen Reihenfolge wird aus dem unübersichtlichen Pflichtthema eine Aufgabe, die sich an einem strukturierten Nachmittag erledigen lässt. (Stand: Juni 2026.)

AVV abschließen

Der Auftragsverarbeitungsvertrag (AVV) ist das Fundament. Sobald ein Dienstleister – hier der Cloud-Anbieter hinter Bitrix24 – personenbezogene Daten in Ihrem Auftrag verarbeitet, schreibt die DSGVO einen solchen Vertrag vor. Ohne ihn fehlt Ihrer gesamten CRM-Nutzung die rechtliche Grundlage, und das ist einer der ersten Punkte, die in einer Prüfung auffallen.

In Bitrix24 wird der AVV in der Regel digital über die Konto- bzw. Datenschutzeinstellungen bereitgestellt und akzeptiert (Stand: Juni 2026; die genaue Position im Menü kann sich ändern). Wichtig ist, dass Sie Ihre Unternehmensdaten als Verantwortlicher korrekt hinterlegen und das Zustandekommen des Vertrags nachvollziehbar in Ihrer Datenschutzakte dokumentieren – inklusive Datum und Version. Prüfen Sie außerdem die Liste der Unterauftragsverarbeiter, denn auch diese muss in Ihrer Dokumentation auftauchen. Wie Sie hier Schritt für Schritt vorgehen und sauber ablegen, haben wir im Detailartikel Bitrix24 AVV richtig abschließen beschrieben.

Serverstandort prüfen

Wo physisch Ihre Daten liegen, entscheidet maßgeblich darüber, wie aufwendig die DSGVO-Begründung ausfällt. Bei einem Hosting innerhalb der EU – etwa in einem Frankfurter Rechenzentrum – ist die Argumentation deutlich einfacher als bei einer Verarbeitung außerhalb des EWR, die zusätzliche Garantien erfordert.

Der Standort hängt unter anderem von der gewählten Domainzone Ihres Accounts ab. Verlassen Sie sich dabei nicht auf Vermutungen, sondern prüfen Sie es aktiv und halten Sie das Ergebnis schriftlich fest – dieser Nachweis gehört in Ihre Datenschutzdokumentation und beantwortet zugleich die typische Kundenrückfrage, wo deren Daten gespeichert werden. Wenn der Serverstandort für Sie ein hartes Kriterium ist, kann auch eine On-Premise-Installation eine Alternative sein, bei der die Daten vollständig auf Ihrer eigenen Infrastruktur liegen. Eine konkrete Anleitung zum Nachweis finden Sie unter Bitrix24 Serverstandort prüfen und dokumentieren.

Einwilligungen in Formularen und Live-Chat

Daten, die über Webformulare, Landingpages oder den Live-Chat in Ihr CRM fließen, brauchen eine saubere Rechtsgrundlage – in den meisten Fällen eine aktive Einwilligung. Das bedeutet konkret: eine nicht vorausgewählte Checkbox, eine verständliche Formulierung und einen klar erreichbaren Link zu Ihrer Datenschutzerklärung direkt am Formular.

Bitrix24 erlaubt es, in den CRM-Formularen entsprechende Zustimmungsfelder zu aktivieren und die erteilte Einwilligung mit dem Datensatz zu verknüpfen. Achten Sie darauf, dass die Einwilligung dokumentiert wird, damit Sie im Zweifel nachweisen können, wann und wofür eine Person zugestimmt hat. Trennen Sie dabei sauber zwischen der reinen Kontaktaufnahme und einer weitergehenden Werbe- oder Newsletter-Einwilligung – beides in eine einzige Checkbox zu packen, ist ein häufiger und vermeidbarer Fehler. Den technischen Aufbau solcher Formulare beschreiben wir separat; hier zählt vor allem, dass keine Daten ohne dokumentierte Grundlage ins System gelangen.

Lösch- und Auskunftsprozesse

Betroffene haben das Recht, Auskunft über ihre Daten zu erhalten und deren Löschung zu verlangen. In der Praxis scheitert das selten am guten Willen, sondern an fehlenden Prozessen: Eine Löschanfrage trifft ein, und niemand weiß genau, in welchen Modulen die Daten überall liegen – im Kontakt, im verknüpften Deal, in Aktivitäten, vielleicht in einer E-Mail-Historie.

Legen Sie deshalb vorab fest, wer für solche Anfragen zuständig ist und in welcher Frist sie bearbeitet werden. Klären Sie außerdem, ob im Einzelfall gelöscht oder anonymisiert wird – Letzteres ist relevant, wenn etwa steuerlich aufbewahrungspflichtige Vorgänge betroffen sind und ein vollständiges Löschen nicht zulässig wäre. Für die technische Umsetzung gibt es passende Marketplace-Apps und einen wiederholbaren Ablauf, den wir in Kontaktdaten in Bitrix24 DSGVO-konform löschen und anonymisieren genauer beschreiben. Dokumentieren Sie jede Anfrage und ihre Erledigung – das ist Ihr Nachweis, dass der Prozess funktioniert.

Zugriffsrechte und Sicherheit

DSGVO-Konformität endet nicht beim Vertrag, sondern verlangt auch technische und organisatorische Maßnahmen. Im CRM heißt das vor allem: Nicht jeder sieht alles. Ein Vertriebsmitarbeiter braucht selten Zugriff auf sämtliche Datensätze des gesamten Unternehmens, und ein externer Dienstleister erst recht nicht.

Nutzen Sie das Rollen- und Rechtekonzept von Bitrix24, um Zugriffe nach dem Prinzip der Datenminimierung zu vergeben – also nur so viel, wie für die jeweilige Aufgabe nötig ist. Ergänzend gehören Standardmaßnahmen dazu: starke Passwörter, idealerweise Zwei-Faktor-Authentifizierung, ein zeitnahes Sperren ausgeschiedener Mitarbeiter und ein bewusster Umgang mit Exporten. Gerade der unkontrollierte CSV-Export ganzer Kontaktlisten auf private Geräte ist ein Risiko, das sich mit klaren Regeln und eingeschränkten Rechten gut eindämmen lässt.

Checkliste zum Abhaken

Zum Mitnehmen die Punkte in kompakter Form – diese Liste eignet sich gut, um sie mit Ihrem Datenschutzbeauftragten durchzugehen:

• AVV abgeschlossen, akzeptiert und mit Datum/Version dokumentiert
• Unterauftragsverarbeiter geprüft und in der Doku erfasst
• Serverstandort aktiv geprüft und schriftlich nachgewiesen
• Einwilligungs-Checkboxen in allen Formularen und im Live-Chat aktiv und nicht vorausgewählt
• Verknüpfung zur Datenschutzerklärung an jedem Formular vorhanden
• Zuständigkeit und Frist für Auskunfts- und Löschanfragen festgelegt
• Prozess für Löschen vs. Anonymisieren definiert und dokumentiert
• Rollen- und Rechtekonzept nach Datenminimierung umgesetzt
• Zwei-Faktor-Authentifizierung und Export-Regeln etabliert
• Ausgeschiedene Nutzer werden zeitnah gesperrt

Wer diese Punkte sauber abhakt und schriftlich festhält, hat den Großteil der relevanten Anforderungen abgedeckt – und kann im Ernstfall belegen, dass Datenschutz im CRM kein Zufall ist, sondern System hat.

Häufige Fragen

Reicht der Bitrix24-AVV aus?

Der bereitgestellte AVV deckt die Auftragsverarbeitung durch den Anbieter ab und ist die notwendige Grundlage – er ersetzt aber nicht Ihre eigenen Pflichten. Sie bleiben als Verantwortlicher dafür zuständig, Rechtsgrundlagen, Einwilligungen, Löschprozesse und technische Maßnahmen in Ihrem Unternehmen umzusetzen und zu dokumentieren. Der AVV ist also ein Baustein, nicht die komplette Lösung.

Was muss ich bei Formularen aktivieren?

Aktivieren Sie eine aktive, nicht vorausgewählte Einwilligungs-Checkbox mit verständlichem Text und einem Link zu Ihrer Datenschutzerklärung. Sorgen Sie dafür, dass die Einwilligung gespeichert und mit dem Datensatz verknüpft wird, damit sie nachweisbar ist. Trennen Sie reine Kontaktaufnahme und Werbeeinwilligung in getrennte Zustimmungen, statt alles in eine Checkbox zu packen.

Lieber direkt richtig umsetzen, statt jeden DSGVO-Punkt einzeln zu recherchieren? Wir richten Bitrix24 datenschutzkonform mit Ihnen ein – oder begleiten Sie dabei. Jetzt Kontakt aufnehmen.

---

Hinweis: Dieser Artikel bietet praxisnahe Orientierung und ersetzt keine individuelle Rechts- oder Steuerberatung. Ziehen Sie im Zweifel eine Fachberatung hinzu.