CRM-Systeme datenschutzkonform einsetzen

Wie managen wir Daten von B2B-Kunden? Wie können wir CRM-Systeme datenschutzkonform einsetzen? Das ist oft ein Streitpunkt zwischen Vertrieb und Datenschutz. Erfahren Sie, wie eine Balance zwischen vertrieblichen Interessen und den Vorgaben der DS-GVO gelingt.

„Wir müssen alles über unsere Kunden wissen, und Datenschutz verbietet dabei alles“, sagen manche Beteiligte. Solche Äußerungen sind verständlich, aber nicht zielführend. Um zu einem Miteinander zu kommen, müssen Datenschutzbeauftragte (DSBs) und Vertriebler lernen, was mit Interessenten- und Kundendaten im Business-to-Business-Bereich (B2B) möglich ist und wo die Grenzen sind.

Praxisfragen für DSBs bei der Prüfung von CRM-Systemen

Die meisten Unternehmen arbeiten mit Customer-Relationship-Management-(CRM )Systemen, um ihre Kundenbeziehungen abzubilden. DSBs sehen sich mit den unterschiedlichsten Fragestellungenkonfrontiert, wenn sie solche CRM-Systeme überprüfen oder die Mitarbeiter daraufhin schulen möchten: Dürfen…

…die Systeme Stammdaten von Kunden und ihre Historie speichern?

…die Mitarbeiter Visitenkartendaten von Interessenten auf Messen ins CRM übernehmen?

…Verantwortliche gewonnene Messekontakte an verbundene Unternehmen weitergeben?

…sie Daten in ihrem CRM aus Social Media bzw. öffentlichen Quellen ergänzen?

…im Detail Interessen von Kunden gespeichert werden und wo sind die Grenzen hin zur Profilbildung?

…Unternehmen Daten am Ende einer Geschäftsbeziehung aufbewahren oder müssen sie die Daten löschen?

Was ist zu beachten, wenn sich Ansprechpartner beim Kunden ändern?

Dürfen wir Stammdaten von Kunden und ihre Historie speichern?

Ja, in der Regel ist im B2B-Kontext davon auszugehen, dass Ansprechpartner erforderlich sind, um Kundenbeziehungen abzuwickeln (Ansprechpartner im Fachbereich, Adressat einer Lieferung, Rechnungsempfänger etc.). Unternehmen speichern die Daten für diese Zwecke, üblicherweise in einer Software, um die betrieblichen Prozesse zu erleichtern. Ansprechpartner wie Einkäufer oder IT-Support- Mitarbeiter gehen davon aus, dass ihre Daten gespeichert werden.

Dürfen wir Visitenkartendaten ins CRM übernehmen?

Interessenten übergeben Visitenkarten auf einer Messe normalerweise freiwillig und mit einer bestimmten Absicht. Sie interessieren sich für Produkte, für eine Dienstleistung, für ein Angebot oder für eine Kontaktaufnahme und teilen dies ihrem Gesprächspartner mit. Damit ein Unternehmen ihr Anliegen bearbeiten kann, benötigt der Gesprächspartner diverse Daten. Somit kann der Interessent davon ausgehen, dass seine Daten als Ansprechpartner, sein Produktinteresse und seine Anforderungen gespeichert werden. Ansonsten ließe sich sein Anliegen nicht zufriedenstellend beantworten. Aus Sicht der Aufsichtsbehörden liegt sogar eine Einwilligung vor (S. 9).

Praxis-Tipp

Dass der Geschäftspartner damit rechnet, dass ein Unternehmen bestimmte Daten speichert, gilt auch für die Speicherung der Kaufhistorie. Die Abwägung ergibt, dass getätigte Käufe bzw. die Kaufhistorie einer Geschäftsbeziehung gespeichert werden dürfen. Sei es, um Servicefälle nachvollziehen zu können, um Beschwerden zur Qualitätsverbesserung zu managen, um rückfragen zu können oder um Kunden zu beraten. Ansprechpartner auf Kundenseite gehen üblicherweise von einer Speicherung ihrer Daten aus, um die Abwicklung für die genannten Zwecke zu beschleunigen.

Dürfen wir gewonnene Messekontakte an verbundene Unternehmen weitergeben?

Unter bestimmten Umständen ja. Erwägungsgrund 48 DS-GVO nennt eine Übermittlung von Kundendaten innerhalb einer Unternehmensgruppe als berechtigtes Interesse. Speziell für den Messefall gilt: Kommunizieren Sie dem Interessenten transparent, dass für die Bearbeitung seines Anliegens auch andere Experten mit ihm in Kontakt treten müssen und dass damit eine Datenweitergabe erforderlich ist. Häufig machen Unternehmen dies nicht deutlich genug oder erwähnen es gar nicht. In diesen Fällen kann der Interessent nicht absehen, dass verbundene Unternehmen seine Daten benötigen, und damit ist eine Übermittlung verboten.

Dürfen wir Daten aus Social Media bzw. öffentlichen Quellen ergänzen?

Vertriebsmitarbeiter interessieren sich brennend dafür, wenn ein Interessent auf Social-Media-Kanälen eine Kaufabsicht für ein Produkt äußert oder ein Problem schildert, für das das eigene Unternehmen eine Lösung anbietet. Sie erfahren davon, weil moderne CRM-Systeme es ermöglichen, bei einem hinterlegten Ansprechpartner den bekannt gewordenen Namen des Social-Media-Accounts zu ergänzen. Interessant ist, dass das CRM-System nur den Account-Namen, jedoch keine inhaltlichen Äußerungen speichert. Es erfolgt lediglich eine Verknüpfung per Link. Somit lassen sich öffentlich getätigte Äußerungen in Social Media über den Link einsehen, jedoch ohne diese Informationen zu speichern.

Vertrag, Einwilligung oder Interessenabwägung?

Rechtsgrundlagen

Was sind die Rechtsgrundlagen für die Verarbeitung von Daten in CRM-Systemen? Hier kommen nach Art. 6 Datenschutz-Grundverordnung (DS-GVO) drei Möglichkeiten infrage:

1. Einwilligung,

2. Vertrag mit der betroffenen Person oder

3. Überwiegen der berechtigten Interessen des Unternehmens an der Verarbeitung (Interessenabwägung).

Vertrag? Eher nicht

Im B2B-Kontext entfällt in der Regel die zweite Möglichkeit, da überwiegend juristische Personen in Geschäftsbeziehungen stehen. In diesen Fällen lässt sich eine Verarbeitung von CRM-Daten nicht per Vertrag begründen. Ausnahme: Die Kunden treten als Kaufleute oder vergleichbare Marktteilnehmer mit Personenidentität auf. Dieser Ansatz wird hier nicht weiterverfolgt.

Einwilligung? Besser nicht

Damit bleiben die Einwilligung und die Interessenabwägung als Möglichkeiten. Theoretisch wäre es denkbar, dass Unternehmen von den Ansprechpartnern ihrer Kunden eine Einwilligung zur Speicherung ihrer Daten im CRM einholen. Die Anforderungen an gültige Einwilligungserklärungen sind allerdings hoch. Daher ist eine Einwilligung nur sinnvoll, wenn wohlüberlegt ist, wofür sie gelten soll. Problematisch ist eine pauschale Einwilligung in die Speicherung sämtlicher Daten im CRM-System. Bei einem Widerruf müsste ein Unternehmen alle Daten löschen.

Interessenabwägung? Ja bitte

Ist die Interessenabwägung dann das Mittel der Wahl? Vorteilhaft ist, dass Unternehmen die Interessenten und Kunden nicht fragen müssen. Das stößt sicherlich auf Gegenliebe. Wichtig ist, die schutzbedürftigen Interessen der Kunden auch tatsächlich zu berücksichtigen und die Interessenabwägung sorgfältig durchzuführen. Datenschutzbeauftragten hilft hier der Erwägungsgrund 47 DS-GVO weiter. Er nennt als mögliche berechtigte Interessen eine Kundenbeziehung oder Direktwerbung.

Wie detailliert dürfen wir Interessen von Kunden speichern? Wo ist die Grenze zur Profilbildung?

Wie wichtig es ist, Kundenbedürfnisse zu verstehen, um passende Produkte und Dienstleistungen anbieten zu können, dürfte unbestritten sein. Aber ist es auch erforderlich für die Geschäftsbeziehung? Das ist die entscheidende Frage. In der Datenschutzliteratur finden sich wenig konkrete Aussagen, wie es um die Speicherung von Interessen in CRM-Systemen im B2B-Kontext steht.

Für Endkundendaten (B2C) helfen Diskussionen zum Umgang mit Daten in der Hotellerie. Gehört z.B. in gehobenen Hotels die genaue Kenntnis der Wünsche und Vorlieben von Hotelgästen zu den Daten, die erforderlich sind, um den Vertrag zum Hotelaufenthalt zu erfüllen? Darf eine Servicekraft im CRM ergänzen, wenn sie feststellt, dass der Gast eine Sorte Wasser bevorzugt? Der Landesdatenschutzbeauftragte von Rheinland-Pfalz (S.13) hält stets eine Einwilligung für erforderlich, wenn Hotels solche Kundenprofile erstellen.

Das bringt den B2B-Bereich allerdings nicht voran. Als Maßstab hilft nur wieder die Frage: Kann ein Ansprechpartner vernünftigerweise davon ausgehen, dass bestimmte Daten von ihm verarbeitet werden? Die Grenze dürfte zwischen Produkt-/Dienstleistungsbezug und der Persönlichkeit/dem privaten Bereich zu ziehen sein:

  • Äußert sich ein Interessent zu Vor- und Nachteilen von Produkten oder zu Entscheidungskriterien, dürfte es oft noch mit einem berechtigten Interesse vertretbar sein, diese Informationen zu speichern. Insbesondere wenn er sie im direkten Kontakt geäußert hat.
  • Daten aus dem Privatleben zu speichern, geht jedoch zu weit.

Zu diesem Ergebnis kommen auch Forgó/Helfrich/Schneider (Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 3 Customer Relationship Management und Datenschutz, Rn. 60). Namen und Alter von Kindern oder die Information, dass ein Kunde stolzer Besitzer eines exklusiven Auto-Modells ist, gehören nicht in CRM-Systeme. Das sind reale Beispiele, über die der Autor bei seinen Prüfungen stolperte – und zwar bei Industrieunternehmen, nicht bei einer Kindertagesstätte oder einem Autohändler. Die Unternehmen löschten diese Daten sofort.

Bußgeld bei Verstößen realistisch

Achtung

In einem ganz aktuellen Sachverhalt verhängte die französische Aufsichtsbehörde ein Bußgeld in Höhe von 500.000 € u.a. für unangemessene und übermäßige Kommentare in einem CRM-System.

Kann ein Ansprechpartner davon ausgehen, dass er einem bestimmten Verhaltensprofil nach Modellen des Neuromarketings wie Sensus oder der Sinus-Milieus in Unternehmen zugeordnet wird? Vermutlich nicht. Diese Modelle bilden Menschen hinsichtlich Werten, Lebenszielen, Lebensstilen und Einstellungen und dem sozialen Hintergrund ab und ordnen sie definierten Gruppen zu, z.B. Hedonist, Performer und Traditionell. Marketing und Vertrieb nutzen diese Zuordnungen, um spezifische Kaufmotive in der Kommunikation besonders zu betonen und damit die Kaufentscheidung zu verstärken. 2010 rückte Sensus ins Licht der Öffentlichkeit, als bekannt wurde, dass die Hamburger Sparkasse dieses Modell zur Verkaufsförderung einsetzte. Der Hamburgische Landesdatenschutzbeauftragte (S. 187) hatte Bedenken, die Kundendaten in dieser Form zu nutzen. Denn sie lässt die schutzwürdigen Interessen von Kunden außer Acht.

Wie sind A-, B-, C-Klassifizierungen von Kunden zu beurteilen?

Weit verbreitet in Unternehmen ist die Klassifizierung von A-, B- und C-Kunden. Die Einteilung richtet sich nach Umsatz, Auftragszahl oder generell nach Bedeutung für das Unternehmen. Eine Klassifizierung von juristischen Personen ist problemlos möglich, da der Datenschutz in der Regel außen vor bleibt, sofern nicht eine Personenidentität zwischen der juristischen Person und den dahinterstehenden natürlichen Personen vorliegt.

Dürfen wir Daten am Ende einer Geschäftsbeziehung aufbewahren?

Endet eine Kundenbeziehung, so stellt sich die Frage, wie mit dem gespeicherten Kundendatensatz umzugehen ist. DSBs achten auf hinterlegte Ansprechpartner und die zu ihnen gespeicherten personenbezogenen Daten. Ist die Speicherung der Person und ihrer Daten noch von der bisherigen Zweckbestimmung zur Pflege der Kundenbeziehung abgedeckt? Vermutlich nicht. Eine weitere Speicherung könnte aufgrund rechtlicher Verpflichtungen wie z.B. Nachvollziehbarkeit, Gewährleistungsansprüche oder Verjährungsfristen erforderlich sein. Sind diese Sachverhalte geprüft und die Daten nicht mehr erforderlich, so sind sie zu löschen.

Was ist zu beachten, wenn sich Ansprechpartner ändern?

Ändert sich ein Ansprechpartner, so ersetzen die neuen Kontaktdaten die des alten Ansprechpartners. Die Kundenhistorie ist darauf zu prüfen, inwieweit es zukünftig noch erforderlich ist, den bisherigen Ansprechpartner zu speichern. Ist das nicht erforderlich, so müssen die Mitarbeiter die Einträge anonymisieren oder löschen.

Fazit: Mit Interessenabwägung kommt man recht weit

DSBs sollten gemeinsam mit dem Vertrieb den Umgang mit dem CRM-System und die verfolgten Interessen prüfen. Viele typische Vertriebsaufgaben lassen sich über die Interessenabwägung legitimieren (z.B. Speicherung von Stammdaten, Kundenhistorie, Visitenkarten und Interessen mit Bezug zum Produkt oder der Dienstleistung). Eine sorgfältige Interessenabwägung wird in den meisten Fällen positiv ausfallen. Wichtig ist, im Anschluss alle Kolleginnen und Kollegen dafür zu sensibilisieren, was sie dürfen und was nicht.

Wer dagegen detaillierte Kundenprofile mit überwiegend privatem Charakter erstellt oder Personen nach den Modellen des Neuromarketings bewertet, dürfte die Grenzen des Vertretbaren in den meisten Fällen überschreiten. Unternehmen, die der Meinung sind, sie bräuchten diese Datenverarbeitung, müssen eine sorgfältige Interessenabwägungen erstellen und die schutzwürdigen Interessen der betroffenen Personen umfassend berücksichtigen. Der Autor ist der Auffassung, dass im B2B-Bereich dieser Weg ausscheidet. Ein datenschutzkonformer Einsatz dürfte hier nur mit Einwilligung möglich sein.

Dieser Fachbeitrag von Julian Häcker ist initial in der Datenschutz PRAXIS 01/20 erschienen bzw. kann auch über das Abo bezogen werden. Die Veröffentlichung hier erfolgt mit freundlicher Genehmigung des WEKA-Verlags.

Bild von YkleduY ABH auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert