Datenschutz und CRM-Systeme – Datenschutzkonformes Kundenmanagement möglich?!

CRM

Auf den ersten Blick dürften die Themen Datenschutz und Customer Relationship Management Systeme (CRM-Systeme) einfach nicht miteinander kompatibel sein. Zumindest wird bzw. wurde diese Ansicht häufig von vielen Unternehmen geteilt. Dies dürfte sich jedoch mit der Zeit gewandelt haben und Unternehmen sehen nun auch das Potenzial, welches ein datenschutzkonformes CRM-System bieten kann.

Ihr externer Datenschutzbeauftragter wird Ihnen in diesem Beitrag erläutern, welche datenschutzrechtlichen Risiken mit CRM-Systemen einhergehen können und was für Mindestanforderungen berücksichtigt werden sollten.

Was sind CRM-Systeme?

Ein Customer Relationship Management System (CRM-System), nach deutscher Übersetzung Kundenbeziehungsmanagement, bezeichnet ein System, welches Unternehmen hilft Kundenbeziehungen aufzubauen und zu pflegen.  Kundendaten können durch das System mitunter besser verwaltet und teilweise ausgewertet werden.

Funktionsweisen von CRM-Systemen

Die Datenverwaltung und -auswertung erfolgt mithilfe von Informations- und Kommunikationstechnologien. Hierbei können über längere Zeiträume profitable Kundenbeziehungen aufgebaut werden, welche dazu beitragen können individuelle und allgemeine Servicekonzepte sowie auch Marketing- und Vertriebskonzepte zu errichten und zu festigen.

Um dies zu erreichen, werden Stammdaten des Kunden aufgenommen, welche unter anderem durch angeforderte Bestellungen von Produkten und Dienstleistungen, Kommunikationsvorgängen sowie Reklamationen erfasst werden. Die Kundeninformationen sind dabei Anhaltspunkte, welche zur Durchführung einer Kundenanalyse genutzt werden können.

Des Weiteren kann mithilfe eines Datenbankabgleichs, durch die Hinzuziehung externer Datenquellen oder dem Abgleich anderer Datenbanken abseits der Kundenbeziehung, ein Informationsgewinn durch die Ergänzung von Informationen in das CRM erreicht werden.

Risiken von CRM-Systemen

Eine Zusammenführung der Daten dürfte für viele Unternehmen einen gewissen Vorteil bringen, da sich mit diesem Vorgang die Interessen der Konsumenten besser erfassen lassen und Werbestrategien optimiert werden können. An einer Optimierung der eigenen Werbestrategien ist an sich nichts verwerflich, jedoch sollte der Anwender eines CRM-Systems die bestehenden rechtlichen „Spielregeln“ nicht außer Acht lassen. Gerade im Bereich Datenschutz treten oftmals Probleme bei der Verwendung von CRM-Systemen auf. Grund hierfür ist mitunter der datenschutzrechtliche Grundsatz der Zweckbestimmung. Dieser besagt, dass erhobene Daten nur für die Zwecke verwendet werden dürfen, die für die Erledigung der Aufgabe notwendig sind. Das heißt, die Daten, welche bei der Begründung eines Vertragsverhältnisses erhoben wurden, dürfen auch nur dafür genutzt werden. Demnach wäre die Nutzung der Adressdaten, die aus einem Vertrag herausgezogen wurden, für die Lieferung eines Produktes zulässig. Ein Gebrauch der Daten zur Ermittlung seiner Zahlungskraft, durch beispielsweise Geoscoring jedoch nicht. Es dürften jedoch auch andere datenschutzrechtliche Grundsätze nicht mit dem CRM-System vereinbar sein.

Neben dem Grundsatz der Zweckbestimmung gerät ein CRM-System häufig auch in den Konflikt mit dem Grundsatz der Transparenz sowie der Datenvermeidung und Datensparsamkeit, da Betroffene über die Verwendung ihrer Daten nicht ausreichend informiert werden und Unternehmen auch Daten erheben, welche nicht zwingend für die Vertragserfüllung notwendig sind – wie z. B. den Geburtsort des Kunden. In diesem Zusammenhang wird ebenso vernachlässigt, die Erlaubnis des Betroffenen einzuholen, dessen Daten überhaupt nutzen zu dürfen. Dies ist besonders dann von Relevanz, wenn die Nutzung der Daten durch das Unternehmen mit einer Interessenabwägung oder einer Rechtsgrundlage nicht gerechtfertigt werden kann.

Datenschutzrechtliche Mindestanforderungen an CRM-Systeme nach DS-GVO

Welche Mindestanforderungen insbesondere an ein CRM-System nach DS-GVO erforderlich sind, erfahren Sie in der nachfolgenden Übersicht:

  • Einholung der Einwilligung des Betroffenen
    Grundsätzlich ist eine Verarbeitung von personenbezogenen Daten nur dann zulässig, wenn eine informierte Einwilligung von der betroffenen Person (Kunde) eingeholt wurde oder eine gesetzliche Grundlage besteht, die eine Verarbeitung erlaubt. Dies beschreibt im Datenschutz das Verbot mit Erlaubnisvorbehalt.

    Dabei sollte der Betroffene auch über seine Betroffenenrechte informiert sowie der Zweck der Datenerhebung mitgeteilt werden. Die Einwilligung sollte darüber hinaus – je nach Verarbeitungstätigkeit – über ein sog. Double-Opt-In eingeholt werden. Ein Double-Opt-In beschreibt ein Verfahren, bei dem eine Eingabe nochmals bestätigt wird. Das wäre beispielsweise, durch das Versenden einer Bestätigungsmail bei einer Anmeldung zu einem Newsletter der Fall. Erst bei Abschluss des Vorgangs sollte das Bestehen einer Einwilligung im System protokolliert werden.

  • Transparenz mit dem Umgang von Kundendaten
    Nach den derzeit geltenden gesetzlichen Regelungen sind Unternehmen dazu angehalten die Verarbeitung der Daten so zu gestalten, dass dies vom Kunden auch nachvollziehbar ist. Der Kunde muss dabei gemäß Art. 13 DS-GVO vorab unter anderem über den Zweck der Datenverarbeitung und über dessen Rechte informiert werden.
  • Rollen- und Berechtigungskonzept
    Zudem sollte ein Rollen- und Berechtigungssystem bestehen, welches es ermöglicht zu erfassen, wer, wann und wozu bestimmte Daten einsehen, nutzen oder verarbeiten darf. Der Zugriff sowie ggf. die Weitergabe sollten protokolliert werden. Damit dürften nicht nur unberechtigte Verarbeitungsprozesse schnell ermittelt werden, sondern auch Informationspflichten gegenüber Betroffenen effektiver nachgekommen werden können.
  • Beachtung von Privacy by Design und Privacy by Default
    Weiterhin sollte der Grundsatz des Privacy by Design und Privacy by Default nicht außer Acht gelassen werden. Privacy by Design („Datenschutz durch Technikgestaltung“) beschreibt dabei den Grundsatz, dass personenbezogene Daten durch technische Voreinstellungen geschützt werden. Hierbei werden sogenannte technische und organisatorische Maßnahmen frühzeitig ergriffen, um die datenschutzkonforme Verarbeitung zu gewährleisten. Demgegenüber beschreibt Privacy by Default („Datenschutz durch datenschutzfreundliche Voreinstellungen“) den Vorgang, dass die Werkeinstellungen in Programmen, Apps oder sonstigen Anwendungen so eingestellt sind, dass der Benutzer und seine Privatsphäre, ohne das weitere Einstellungen vorgenommen werden müssen, geschützt sind.
  • Bereitstellung von Daten
    Nach dem Art. 15 DS-GVO steht dem Betroffenen als Teil seines Auskunftsrechts, das Recht auf Verlangen einer Datenkopie zu. Unternehmen sind grundsätzlich dazu verpflichtet eine Kopie der erfassten personenbezogenen Daten des Betroffenen, welche Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Das Format der Kopie kann dabei variieren.

    Nähere Informationen über die Vorrausetzung der Datenkopie können Sie in unserem Beitrag „Recht auf Datenkopie – Was ist bei einem Auskunftsersuchen zu beachten?“ erhalten.

  • Anonymisierung und Pseudonymisierung
    Die Anonymisierung und Pseudonymisierung sind Teil der Ausformung des datenschutzrechtlichen Grundsatzes der Datenminimierung. Dieser besagt, dass nur so viele Daten erhoben werden sollten, wie für den beabsichtigten Zweck benötigt. Hierbei greift mitunter der sog. Ansatz des Trennungsprinzips, welcher Angaben separiert, um den Informationsgehalt zu reduzieren, sodass nur die eigentlich benötigten Informationen entnommen werden dürften. Anonymisierung verfolgt dabei den Ansatz, dass die Daten der betroffenen Person so weit getrennt werden, dass kein Bezug zu der Person daraus mehr abgeleitet werden kann. Die Pseudonymisierung hingegen verfolgt einen anderen Ansatz.

    Bei der Pseudonymisierung ist eine Rückverfolgung, um welchen Betroffenen es sich handelt, möglich. Nur eine bestimmte berechtigte Gruppe dürfte in diesem Fall Zugang zu den relevanten Informationen haben und diese einsehen sowie eine Verknüpfung durchführen können. Mithilfe der Verknüpfung dürfte sich letztlich die Identität des Betroffenen aufdecken lassen können.

  • Einhaltung gesetzlicher Pflichten
    Sollte eine Anfrage eines Betroffenen – hinsichtlich der von ihm gespeicherten Daten – eintreffen, ist diese unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten. Dürfte die Anfrage innerhalb der Frist nicht bearbeitet werden können, so kann die Frist verlängert werden, indem dies dem Betroffenen unter Angaben von hinreichenden Gründen mitgeteilt wird. Sofern der Verantwortliche (Unternehmen) sich nicht an diese Vorgabe halten dürfte, könnte das Verhalten gegebenenfalls mit Bußgeld belegt werden.

Die angegebenen Punkte dürften nicht abschließend aufgeführt sein und beschreiben nur die geringsten Mindestanforderungen. Holen Sie sich daher bei der Ausgestaltung oder Anpassung eines CRM-Systems ausreichende Unterstützung – z. B. durch einen Datenschutzbeauftragten oder Datenschutzberater – ein.

Sanktionen

Werden die bestehenden Datenschutzvorgaben nicht eingehalten, so kann dies nach Art. 83 DS-GVO mit einem Bußgeld von bis zu 20 Mio. Euro bis hin zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres des Unternehmens – je nachdem welcher Wert höher ist – belegt werden. Daneben können Schadensersatzansprüche sowie Imageverluste einhergehen.

Haben Sie weitere Fragen zu diesem oder anderen datenschutzrechtlichen Themen?

Wir helfen Ihnen gerne weiter.

Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zur Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen