Datenschutzkonformer Einsatz von CRM Systemen im B2B-Bereich – Teil 1: Datenerhebung und Speicherung

Die Pflege und Nutzung von Daten in CRM (Customer Relationship Management) Systemen ist ein Klassiker im Datenschutz. Es gibt kaum ein vergleichbares Thema bei dem Befürchtungen des Vertriebs und des Marketings und des Datenschutzes so aufeinanderprallen. Die einen befürchten, dass sie ihrer Möglichkeit der kundenindividuellen Ansprache und Betreuung beraubt werden, der andere befürchtet latente Datenschutzverstöße. Ihr Nutzen nach Lesen dieser Artikelserie: Sie verstehen besser wie die rechtlichen Rahmenbedingungen zur Datenverarbeitung in CRM Systemen sind und gewinnen mehr Sicherheit im Einsatz dieser Systeme.

Unterschiedliche Prozessschritte sind unterschiedlich zu bewerten

Zum besseren Verständnis wird im Folgenden am Beispiel des Vertrieblers Vorteil, der den Kunden König betreut, dargestellt, was zu beachten ist.

Das Bundesdatenschutzgesetz unterscheidet generell zwischen verschiedenen Verarbeitungsschritten, was bedeutet das?

  1. Herr Vorteil lernt Herr König auf einer Messe kennen und erhält dessen Visitenkarte mit personenbezogenen Daten bzw. erfragt weitere Daten von Herrn König (Verarbeitungsschritt: Erhebung).
  2. Herr Vorteil speichert die Daten von Herrn König im CRM des Unternehmens (Verarbeitungsschritt: Speicherung).
  3. Herr Vorteil sendet Herrn König den aktuellen Newsletter mit neuen Produktinformationen zu (Verarbeitungsschritt: Nutzen)
  4. Herr Vorteil führt eine Analyse des Kaufverhalten von Herrn König durch (Verarbeitungsschritt: Nutzen)

Entscheidend ist nun, dass jeder dieser Schritte einer eigenen rechtlichen Legitimation bedarf. Das bedeutet, dass für jeden einzelnen Schritt zu prüfen ist, ob für den jeweiligen Vorgang eine Rechtsgrundlage vorhanden ist.

Generelle Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in CRM Systemen

Eine Datenverarbeitung ist nur zulässig, wenn eine Rechtsvorschrift diese erlaubt oder eine Einwilligung der betroffenen Person vorliegt (§ 4 Abs. 1 Nr. 1 BDSG). Neben einer Einwilligung durch Herrn König könnte eine mögliche Rechtsgrundlage in der Datenverarbeitung für eigene Geschäftszwecke vorliegen, wenn die Datenverarbeitung für die Begründung oder Durchführung eines Rechtsgeschäfts mit dem Betroffenen erforderlich ist (d.h. eine Durchführung ohne diese Daten nicht möglich ist) und keine schutzwürdigen Interessen der betroffenen Person verletzt werden (§ 28 Abs. 1 Nr. 1 BDSG).

Eine weitere mögliche Rechtsgrundlage könnte in der Datenverarbeitung für eigene Geschäftszwecke vorliegen, wenn das Unternehmen von Herrn Vorteil an der Datenverarbeitung ein berechtigtes Interesse hat und diese für eigene Geschäftswecke erforderlich sind und gleichzeitig keine schutzwürdigen Interessen des Betroffenen vorliegen (§ 28 Abs. 1 Nr. 2 BDSG).

Eine mögliche Rechtsgrundlage könnte in der Datenverarbeitung für eigene Geschäftszwecke vorliegen, wenn die Daten allgemein zugänglich sind und gleichzeitig keine schutzwürdigen Interessen des Betroffenen vorliegen (§ 28 Abs. 1 Nr. 3 BDSG).

Datenerhebung und Speicherung in CRM Systemen

Datengewinnung ist heute auf eine Vielzahl von Wegen möglich. Im Folgenden werden zwei Beispiele näher betrachtet:

Beispiel 1: Austausch von Visitenkarten auf einer Messe

Herr Vorteil lernt Herrn König auf einer Messe kennen und die beiden tauschen ihre Visitenkarten aus, da Herr König sich für die Produkte von Herrn Vorteil interessiert. Herr Vorteil speichert die Daten von Herrn König im CRM System sowie das Produkt, für das sich Herr König besonders interessiert.

Bewertung

Dieses Beispiel ist datenschutzrechtlich völlig in Ordnung. Hier greift sowohl für die Erhebung und die Speicherung die Rechtsgrundlage von § 28 Abs. 1 Nr. 1 BDSG, d.h. die Daten sind erforderlich zur Durchführung eines Rechtsgeschäft (hier: Angebotserstellung). Name und Anschrift sind zwingend erforderlich, damit Herr König das Angebot erhalten kann.

Achtung: Die Übergabe der Visitenkarte ist nicht mit einer Erlaubnis zur ungefragten regelmäßigen Zusendung eines Newsletters gleichzusetzen, auch wenn dies in der Praxis häufig so behandelt wird. Sofern Herr König dies nicht mündlich zum Ausdruck gebracht hat oder eine andere schriftliche Einwilligung eingeholt wurde, wird Herr Vorteil im Zweifelsfall die Einwilligung nicht ohne weiteres nachweisen können. Nur eine explizite Einwilligung nach dem Gesetz gegen den unlauteren Wettbewerb erfüllt diese Anforderung.

Beispiel 2: Austausch von Visitenkarten auf einer Messe, Gespräch über persönliche Vorlieben und Hobbys

Der Sachverhalt ist vergleichbbar wie im Beispiel 1, jedoch unterhalten sich die beiden Herren noch über das gestrige Champions League Fußballspiel sowie weitere Hobbies von Herrn König. Herr Vorteil speichert die Daten von Herrn König im CRM System sowie das Produkt und den Fußballclub und die weiteren Hobbys von Herrn König.

Bewertung

Das zweite Beispiel ist anders zu bewerten. Die Basisdaten wie in 1 dürfen selbstverständlich erhoben und gespeichert werden. Der Lieblingsverein und die Hobbys von Herrn Vorteil sind jedoch anders zu bewerten. Ein Vertriebsmitarbeiter wird vermutlich argumentieren, dass er diese Informationen benötigt, um beim nächsten Gespräch einen Anknüpfungspunkt für das Gespräch zu finden. Dass diese Daten hilfreich sind, ist unbestritten, diese Daten sind jedoch nicht erforderlich in dem Sinne, dass ein Angebot ohne dieses Wissen nicht erstellt werden kann. Bei der Interessesabwägung zwischen den Interessen von Herrn Vorteil und Herrn König überwiegen die schutzwürdigen Interessen von Herrn König. Den dieser hat in der Regel kein Interesse daran, dass ein detailliertes Kundenprofil mit Präferenzen oder Vorlieben über ihn angelegt werden soll, es sei denn er willigt explizit darin ein.

Die Aufsichtsbehörden haben hierzu in der Vergangenheit bereits klare Stellung bezogen, so z.B. die Aufsichtsbehörde Bremen, die bei der Bildung und Weitergabe von Kundenprofilen durch Reisebüros explizit eine Einwilligung fordert.[1] Eine Speicherung von Ess- und Trinkgewohnheiten (Kaffee oder Tee) oder Gesprächsthemen zu Hobbys von Kunden (z.B. Golf, Segeln) ist aus Sicht des Berliner Landesdatenschutzbeauftragten nicht für die Vertragsbeziehung erforderlich, somit ist eine Ergänzung solcher Verhaltenspräferenzen ebenfalls nur mit Einwilligung der Kunden möglich.[2] Diese Feststellung wird viele Vertriebsmitarbeiter vor den Kopf stoßen, da somit eine Speicherung im CRM entfällt. Gegen ein Merken dieser Informationen spricht natürlich nichts. Denn nur eine Speicherung im CRM des Unternehmens fällt in den Geltungsbereich des Datenschutzes, da es sich dann um eine elektronische Datenverarbeitung handelt. Auch die Speicherung von Familienangehörigen als Interessenten wurde von den Aufsichtsbehörden moniert. Eine Einwilligung ist hier generell erforderlich, Ausnahmen sind möglich, wenn Ehepartner z.B. aufgrund einer Rechtsgrundlage gespeichert werden müssen (z.B. Zinsabschlagsteuer).[3]

Beispiel 3: Dokumentation der Kundenhistorie

Herrn König nimmt das Angebot von Herrn Vorteil an und wird Kunde des Unternehmens. Der Kaufvorgang mit Informationen zum Produkt, zusätzlichen Spezifikationen, Kaufdatum und erforderlichem Serviceintervall wird im CRM System von Herrn Vorteil gespeichert.

Bewertung

Auch dieser Sachverhalt ist gesetzlich abgedeckt. Hier greift sowohl für die Erhebung und die Speicherung die Rechtsgrundlage von § 28 Abs. 1 Nr. 1 BDSG, d.h. die Daten sind erforderlich um ein Rechtsgeschäft durchführen zu können (hier: Auftragsdurchführung, Auftragsabwicklung).

Fazit:

Es dürfen immer nur die erforderlichen Daten einer Geschäftsbeziehung gespeichert werden (Name, Vorname, Position, postalische Adresse und E-Mail-Adresse und Telefonnummer zur näheren Abstimmung zum Angebot, Auftragsinhalte, gekaufte Produkte). Alle persönlichen Präferenzen, Vorlieben, Hobbys oder Informationen zu Familie, Freunden etc. sind zwar hilfreiche aber keine erforderlichen Daten und dürfen nicht ohne weiteres im CRM gespeichert werden.

Verwendete Quellen:

[1] vgl. LDSB Bremen, 13. TB (1991), S. 56
[2] vgl. BlnLDI, TB 2003, S. 106
[3] vgl. BlnLDI, TB 2003, S. 107

Disclaimer:

Die Inhalte des Beitrags basieren auf den langjährigen Praxiserfahrungen eines Datenschutzbeauftragten sowie ergänzenden Recherchen zum Thema, sie stellen jedoch explizit keine verbindliche Rechtsberatung dar.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert