CRM & Datenschutz unter einen Hut bekommen
Ein 10-Punkte-Plan für Unternehmen
Aussagekräftige Kundendaten auf der einen – Datenschutz auf der anderen Seite: Wie sollen und können Unternehmen diesen Spagat meistern?
Nicht erst seit Facebook und Co. ist die Sensibilität von Kunden- (bzw. in diesem Falle Nutzer)daten in den Fokus gerückt. Immer häufiger müssen sich bspw. Anbieter von Webanalyselösungen der Frage stellen, ob ihr Produkt womöglich gegen Datenschutzbestimmungen verstößt. Ebenso sollten Unternehmen, die mit Kundendaten arbeiten, bereits bei dem Einsatz eines Customer Relationship Management-Tools bestimmte Aspekte beachten, um nicht ins Kreuzfeuer der Kritik zu geraten. Dies gilt insbesondere, wenn das genutzte CRM-System auch die allzu leicht verfügbaren Daten aus Web 2.0-Kanälen mit einbezieht. Im Anschluss die wichtigsten Punkte, die es bei der Nutzung von Kundendaten zu berücksichtigen gilt.
1. Bestellung eines Datenschutzbeauftragen
Nach den gesetzlichen Vorschriften des Bundesdatenschutzgesetzes (BDSG) ist jedes Unternehmen, in dem personenbezogene Daten automatisiert verarbeitet werden und in der Regel mindestens zehn Personen mit dieser Datenverarbeitung beschäftigt sind, zur Bestellung eines Datenschutzbeauftragten verpflichtet. Wann diese Voraussetzungen vorliegen, welche Personen als Datenschutzbeauftragter bestellt werden dürfen und was im Fall der fehlenden Bestellung an Rechtsfolgen droht, ist in vielen Unternehmen nicht bekannt.
2. Rechtsgrundlagen für Datenerhebung und -nutzung
Das BDSG verlangt für jede Erhebung und Nutzung personenbezogener Daten eine Rechtsgrundlage. Grundsätzlich dürfen personenbezogene Daten nur beim Betroffenen selbst erhoben werden; eine Erhebung ohne Wissen des Betroffenen ist nur in engen Grenzen zulässig und zieht in einigen Fällen auch die Pflicht nach sich, den Betroffenen darüber zu informieren, dass und welche Daten über ihn erhoben wurden.
Die Grenzen des rechtlich (noch) Zulässigen sind oft fließend und die Beurteilung der konkret vorgenommenen Datenverarbeitung erfordert häufig eine gewisse rechtliche Expertise.
3. Einwilligung/Zweckbindung
Die meisten Formen der Datennutzung erfordern eine Einwilligung des Betroffenen. An die Form und die Erteilung der Einwilligung stellt das Gesetz strenge Anforderungen. Sind diese nicht erfüllt, ist die jeweilige Datenerhebung bzw. -nutzung unzulässig. Zudem bleibt häufig unbeachtet, dass sich die Einwilligung ausschließlich auf eine klar definierte Form der Datennutzung beziehen muss. Nur diese Datennutzung ist von der Einwilligung umfasst (Grundsatz der Zweckbindung). Wer also beispielsweise Kundendaten aufgrund einer laufenden Geschäftsbeziehung zu Zwecken der Vertragsabwicklung erhoben hat, darf diese Daten nicht ohne weiteres für andere Zwecke (Marketing, Data Mining) nutzen.
4. Einkauf von Daten, Listenprivileg
Unter bestimmten Voraussetzungen dürfen Daten auch ohne Einwilligung des Betroffenen erhoben werden. Dies ist der Fall, wenn es sich um Angaben über Personen handelt, die einer bestimmten Gruppe angehören und die in Listen "oder sonst zusammengefasst" sind (sog. Listenprivileg). Diese Daten dürfen in bestimmtem Umfang für Werbezwecke genutzt werden. Schwierigkeiten bereitet dabei in der Praxis insbesondere die zulässige Bestimmung der Gruppe, in der die Betroffenen zusammengefasst sind. Da sich die Gruppenzugehörigkeit auf ein Merkmal beschränken muss, ist es beispielsweise unzulässig, nach den Listendaten von "verheirateten Bankkunden" zu fragen.
5. Data Mining, Anlage von Kundenprofilen
Ob und inwieweit die Anlage von Kundenprofilen ohne ausdrückliche Einwilligung des Betroffenen zulässig ist, hängt häufig vom Einzelfall und der jeweils verwendeten Daten ab. Fest steht jedoch, dass die Anlage von Data Warehouses mit dem Ziel, einen möglichst umfangreichen Datenbestand zu generieren, ohne vorherige eindeutige Festlegung, zu welchen (Auswertungs-)Zwecken dieser Bestand genutzt werden soll, regelmäßig rechtswidrig ist.
Um also nicht Gefahr zu laufen, eine bußgeldbewehrte Ordnungswidrigkeit zu begehen, sind Unternehmen gut beraten, bereits bei der Datenerhebung bzw. bei der Anlage eines Datensatzes darauf zu achten, dass eine Nutzung dieser Daten auch zu Zwecken des Data Minings rechtlich zulässig ist.
6. Auftragsdatenverarbeitung
Bereits in dem Fall, dass für das Hosten der eigenen Daten ein externes Rechenzentrum eingeschaltet wird, ist in der Regel der Abschluss eines sogenannten Vertrags zur Auftragsdatenverarbeitung erforderlich. Sowohl an die Gestaltung dieses Vertrags als auch an die Kontrolle des jeweils eingeschalteten Dienstleisters legt das Gesetz strenge Maßstäbe an.
Da in vielen Fällen zweifelhaft ist, ob eine Auftragsdatenvereinbarung vorliegt und ob die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung erfüllt sind, empfiehlt es sich, rechtzeitig entsprechende Informationen einzuholen.
7. Cloud Computing
Zunehmend häufiger sehen IT-Lösungen die Speicherung von Daten in Cloud-Strukturen vor. Aus datenschutzrechtlicher Sicht ist dies vor allem dann problematisch, wenn die Datenhaltung sich dadurch in den außereuropäischen Raum verlagert. Schon beim Kauf neuer Software-Produkte ist es daher geboten, sich genau darüber zu informieren, wie damit die Datenverarbeitung durchgeführt wird und wo die Daten verarbeitet bzw. gespeichert werden.
Dies liegt nicht zuletzt im ureigensten Interesse des Unternehmens, denn es ist offensichtlich, dass ein Kontrollverlust über Daten, die irgendwo weltweit gespeichert sind, viel eher eintreten kann, als über Daten, die im Geltungsbereich der recht strengen europäischen Rechtsvorgaben gehostet werden.
8. Automatisierte Datenverarbeitung
Das BDSG nennt eine Reihe von Voraussetzungen, die im Fall von automatisierter Datenverarbeitung in technischer Hinsicht erfüllt sein müssen. Diese Anforderungen sind in den meisten Unternehmen unbekannt.
Dabei hilft die Beachtung der gesetzlich vorgeschriebenen technisch-organisatorischen Datenschutzbestimmungen wesentlich dabei, Datenpannen zu vermeiden. Insbesondere das Risiko von Datenverlust und -diebstahl, aber auch von Fehlern bei der (werblichen) Kundenbetreuung lässt sich so beträchtlich senken.
9. Datennutzung zu Werbezwecken
Die rechtliche Situation bei der Frage, welche Daten für welche Formen der werblichen Ansprache wie genutzt werden dürfen, ist ziemlich unübersichtlich. Insoweit sind neben datenschutzrechtlichen Aspekten auch wettbewerbsrechtliche Anforderungen zu berücksichtigen.
In der Regel muss in dem Zusammenhang sowohl in Bezug auf das Werbemedium als auch hinsichtlich des Empfängers differenziert und jede Werbeaktion daraufhin geprüft werden, ob die konkrete Verwendung der Kundendaten zu rechtlichen Problemen für den Werbenden führen kann.
10. Beschwerdemanagement, Kundenanfragen, Auskunftsverlagen, Löschungsersuchen
Wer als verantwortliche Stelle im datenschutzrechtlichen Sinn in direktem Kontakt mit Kunden steht, wird häufiger mit Beschwerden, Auskunfts- und Löschungsersuchen dieser Kunden konfrontiert.
Hier ist es wichtig, ein professionelles Beschwerdemanagement ins Leben zu rufen, um diese Anfragen zufriedenstellend bearbeiten zu können. Dies empfiehlt sich umso mehr, als Kunden immer häufiger auch den direkten Gang zu einer Datenschutzaufsichtsbehörde wählen.
Um den Herausforderungen, die der Datenschutz in Deutschland an den Umgang mit Kundeninformationen stellt, gerecht zu werden, arbeitet SugarCRM seit einiger Zeit eng mit der Anwaltskanzlei Eckart, Köster & Kollegen zusammen. Gemeinsam stellen die Spezialisten umfassende Beratungspakete bereit, die sich neben allgemeinem Datenschutz auch Spezialthemen wie Marketing, CRM oder betrieblicher Datenschutz widmen.
Weitere praxisnahe Ratschläge zum Thema Datenschutz und CRM sind erhältlich unter: www.crmmadesecure.de .
© 2012 FEiG & PARTNER