Unternehmen, die Daten über ihre Kunden erheben, speichern und auswerten, müssen stets gesetzeskonform handeln und die Datenschutzrichtlinien beachten.
Kunden müssen der Verwendung ihrer Daten zustimmen. Dies kann durch das einfache Akzeptieren einer entsprechenden Erklärung geschehen: Bei Online-Angeboten ist vom Kunden dabei meist ein Kontrollkästchen anzuklicken. Kunden können der Verwendung ihrer Daten jederzeit widersprechen.
Insbesondere kann auch die Kontaktaufnahme zu Werbezwecken untersagt werden. CRM-Systeme bieten in vielen Fällen eine so genannte Robinson-Liste an. Kunden, die in diese Liste eingetragen werden, werden vom System automatisch aus allen Verteilern gelöscht, so dass kein Versand von postalischer oder elektronischer Werbung erfolgt und auch keine Anrufe durch das Outbound-Callcenter erfolgen.
Unternehmen sollten sich der Zuverlässigkeit ihres CRM-Systems sicher sein: Unerlaubte Kontaktaufnahme mit Verkaufsabsichten ist vom Gesetzgeber strikt untersagt und kann im schlimmsten Fall zu erheblichen Kosten durch Strafen und Entschädigungszahlungen führen.
Auch bei der Weitergabe von durch CRM gewonnenen Kundendaten bestehen Restriktionen: Daten dürfen nur dann weitergegeben oder veräußert werden, wenn der Kunde derartigen Vorgängen explizit zugestimmt hat.
Die Zustimmung kann ebenfalls über eine entsprechende Akzeptanz erfolgen, die durch Kontrollkästchen, eine Unterschrift oder eine Bestätigungsmail signalisiert und dokumentiert wird.