Customer
Relationship Management (CRM)-Software und Datenschutz: Dem Anschein nach zwei
Dinge, die nicht miteinander vereinbar sind. Zumindest war dies früher mein
erster Eindruck, wenn ich mit Vertriebsmitarbeitern über das Thema Datenschutz
und deren Gewohnheit zur Speicherung beinahe sämtlicher Informationen über
einen Kunden in deren CRM-System diskutiert habe. Scheinbar wahllos werden alle
(personenbezogenen) Informationen über Bestandskunden, Newsletterabonnenten,
Messekontakte und sonstigen irgendwie mit der verarbeitenden Stelle in Kontakt
stehenden Personen in den großen CRM-System-„Topf“ geworfen.
Kann so
ein System datenschutzkonform betrieben werden?
Ja,
definitiv. Dies stellte ich bei einem vertieften Umgang mit diesem Thema bei
der Beratung eines Mandanten fest, welcher sehr intensiv eine CRM-Software
einsetzt (und entwickelt).
Die
richtige Herangehensweise an einen datenschutzkonformen Datenumgang in einem
CRM-System liegt letztendlich in einer "knallharten" Klassifizierung
der verarbeiteten personenbezogenen Daten nach Erhebungs- und
Verarbeitungszweck.
Denn
einer der Grundsätze des Datenschutzrechts ist der Zweckbindungsgrundsatz – das
bedeutet, dass personenbezogene Daten nur für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in
einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise
weiterverarbeitet werden dürfen (es sei denn, es liegt eine gesetzliche
Ausnahme vor). Nach dem Trennungsgebot (Anlage zu § 9 BDSG, Satz 1 Nr. 8)
müssen zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können. Außerdem ist der Verwendungszweck in den meisten Fällen im Endeffekt ausschlaggebend
für die Zulässigkeit einer Datennutzung.
Für die
CRM-Software bedeutet dies, dass in einem ersten Schritt der Verarbeitungszweck
definiert werden muss und hiernach die gespeicherten Datensätze zu
differenzieren sind, zum Beispiel zwischen personenbezogenen Daten von
bestehenden Kunden, welche zum Zweck der Kundenbetreuung im System gespeichert
werden und zum Beispiel von Daten, die zur Verwendung für Werbezwecke
gespeichert werden. Hier empfiehlt es sich, entsprechende Gruppen in der
CRM-Software einzurichten.
Denn die
Frage, wie man mit Daten umzugehen hat, welche für die Kundenbetreuung (oder
Vertragserfüllung) eingesetzt werden, richtet sich nach § 28 Abs. 1 Satz 1 Nr.
1 BDSG. Je nach zugrunde liegendem Vertragsverhältnis können dies sehr vielfältige
Informationen sein, solange die Daten zur Erfüllung des konkreten
rechtsgeschäftlichen Schuldverhältnisses objektiv erforderlich sind. Hierbei
kann es sich zum Beispiel auch um bestimmte Vorlieben eines Vertragspartners
handeln, sofern diese Vorlieben mit dem zu Grunde liegenden Schuldverhältnis im
Zusammenhang stehen. Zur Durchführung eines Vertragsverhältnisses erforderlich
und geeignet kann beispielsweise die Speicherung über die vom Kunden bevorzugte
Weinsorte sein, wenn die datenverarbeitende Stelle für den Kunden Weinseminare
veranstaltet.
Anders
verhält es sich allerdings, wenn in der CRM-Software vorgehaltene
personenbezogene Daten zur Nutzung für Werbezwecke vorgesehen sind, sei es,
weil sich die betroffenen Personen für das Produkt der verarbeitenden Stelle
interessieren oder es sich auch hier um Bestandskunden handelt, welche man mit
Werbung für neue oder andere Produkte nutzt. Die rechtliche Grundlage für diese
Datenverarbeitung ist in § 28 Abs. 3 BDSG zu finden. Hierbei handelt es sich um
recht strikte und konkrete Vorgaben, welche eine zulässige Nutzung der
personenbezogenen Daten für Werbezwecke vorsehen. Insbesondere ist hier zu
beachten, dass im CRM-System entsprechende Kategorien vorhanden sind, welche
einen Schluss auf die Tatbestandsvariante des § 28 Abs. 3 BDSG zulässt, also
die Nutzung dieser Daten zu Werbezwecken rechtfertigt. Beispielsweise ob eine
Einwilligung in die Werbenutzung vorliegt, ggf. auch zur Art und Weise der
Werbenutzung (zum Beispiel in die E-Mail-Werbung oder Faxwerbung). Oder
beispielsweise ob das Datum aus einem „allgemein zugänglichen Verzeichnis“
(Telefonbuch, Branchenverzeichnis, usw.) im Sinne des § 28 Abs. 3 S. 2 Nr. 1
BDSG stammt (und welchem, denn im Zweifelsfall ist dies ja von der
verarbeitenden Stelle zu beweisen). Außerdem muss je nach Herkunft der Daten
gemäß § 34 Absatz 1a BDSG die Herkunft der Daten und der Empfänger für die
Dauer von zwei Jahren nach Übermittlung gespeichert werden, um bei einer
Auskunft gemäß § 34 BDSG eine entsprechende Auskunft geben zu können.
Aus
diesen Gründen ist es vorteilhaft, wenn sich auch die entsprechenden Hersteller
von CRM-Software über einen datenschutzkonforme Einsatz ihrer Software von
Anfang an Gedanken machen, um dem Anwender einen Einsatz entsprechend § 3a BDSG
(Datenvermeidung und Datensparsamkeit) zu ermöglichen und zu erleichtern.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe