Montag, 18. März 2013

Datenschutz beim Einsatz von CRM-Software


Customer Relationship Management (CRM)-Software und Datenschutz: Dem Anschein nach zwei Dinge, die nicht miteinander vereinbar sind. Zumindest war dies früher mein erster Eindruck, wenn ich mit Vertriebsmitarbeitern über das Thema Datenschutz und deren Gewohnheit zur Speicherung beinahe sämtlicher Informationen über einen Kunden in deren CRM-System diskutiert habe. Scheinbar wahllos werden alle (personenbezogenen) Informationen über Bestandskunden, Newsletterabonnenten, Messekontakte und sonstigen irgendwie mit der verarbeitenden Stelle in Kontakt stehenden Personen in den großen CRM-System-„Topf“ geworfen.

Kann so ein System datenschutzkonform betrieben werden?

Ja, definitiv. Dies stellte ich bei einem vertieften Umgang mit diesem Thema bei der Beratung eines Mandanten fest, welcher sehr intensiv eine CRM-Software einsetzt (und entwickelt).

Die richtige Herangehensweise an einen datenschutzkonformen Datenumgang in einem CRM-System liegt letztendlich in einer "knallharten" Klassifizierung der verarbeiteten personenbezogenen Daten nach Erhebungs- und Verarbeitungszweck.

Denn einer der Grundsätze des Datenschutzrechts ist der Zweckbindungsgrundsatz – das bedeutet, dass personenbezogene Daten nur für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (es sei denn, es liegt eine gesetzliche Ausnahme vor). Nach dem Trennungsgebot (Anlage zu § 9 BDSG, Satz 1 Nr. 8) müssen zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Außerdem ist der Verwendungszweck in den meisten Fällen im Endeffekt ausschlaggebend für die Zulässigkeit einer Datennutzung.

Für die CRM-Software bedeutet dies, dass in einem ersten Schritt der Verarbeitungszweck definiert werden muss und hiernach die gespeicherten Datensätze zu differenzieren sind, zum Beispiel zwischen personenbezogenen Daten von bestehenden Kunden, welche zum Zweck der Kundenbetreuung im System gespeichert werden und zum Beispiel von Daten, die zur Verwendung für Werbezwecke gespeichert werden. Hier empfiehlt es sich, entsprechende Gruppen in der CRM-Software einzurichten.

Denn die Frage, wie man mit Daten umzugehen hat, welche für die Kundenbetreuung (oder Vertragserfüllung) eingesetzt werden, richtet sich nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG. Je nach zugrunde liegendem Vertragsverhältnis können dies sehr vielfältige Informationen sein, solange die Daten zur Erfüllung des konkreten rechtsgeschäftlichen Schuldverhältnisses objektiv erforderlich sind. Hierbei kann es sich zum Beispiel auch um bestimmte Vorlieben eines Vertragspartners handeln, sofern diese Vorlieben mit dem zu Grunde liegenden Schuldverhältnis im Zusammenhang stehen. Zur Durchführung eines Vertragsverhältnisses erforderlich und geeignet kann beispielsweise die Speicherung über die vom Kunden bevorzugte Weinsorte sein, wenn die datenverarbeitende Stelle für den Kunden Weinseminare veranstaltet.

Anders verhält es sich allerdings, wenn in der CRM-Software vorgehaltene personenbezogene Daten zur Nutzung für Werbezwecke vorgesehen sind, sei es, weil sich die betroffenen Personen für das Produkt der verarbeitenden Stelle interessieren oder es sich auch hier um Bestandskunden handelt, welche man mit Werbung für neue oder andere Produkte nutzt. Die rechtliche Grundlage für diese Datenverarbeitung ist in § 28 Abs. 3 BDSG zu finden. Hierbei handelt es sich um recht strikte und konkrete Vorgaben, welche eine zulässige Nutzung der personenbezogenen Daten für Werbezwecke vorsehen. Insbesondere ist hier zu beachten, dass im CRM-System entsprechende Kategorien vorhanden sind, welche einen Schluss auf die Tatbestandsvariante des § 28 Abs. 3 BDSG zulässt, also die Nutzung dieser Daten zu Werbezwecken rechtfertigt. Beispielsweise ob eine Einwilligung in die Werbenutzung vorliegt, ggf. auch zur Art und Weise der Werbenutzung (zum Beispiel in die E-Mail-Werbung oder Faxwerbung). Oder beispielsweise ob das Datum aus einem „allgemein zugänglichen Verzeichnis“ (Telefonbuch, Branchenverzeichnis, usw.) im Sinne des § 28 Abs. 3 S. 2 Nr. 1 BDSG stammt (und welchem, denn im Zweifelsfall ist dies ja von der verarbeitenden Stelle zu beweisen). Außerdem muss je nach Herkunft der Daten gemäß § 34 Absatz 1a BDSG die Herkunft der Daten und der Empfänger für die Dauer von zwei Jahren nach Übermittlung gespeichert werden, um bei einer Auskunft gemäß § 34 BDSG eine entsprechende Auskunft geben zu können.

Aus diesen Gründen ist es vorteilhaft, wenn sich auch die entsprechenden Hersteller von CRM-Software über einen datenschutzkonforme Einsatz ihrer Software von Anfang an Gedanken machen, um dem Anwender einen Einsatz entsprechend § 3a BDSG (Datenvermeidung und Datensparsamkeit) zu ermöglichen und zu erleichtern.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe