CRM und DatenschutzThomas Spaeing
ds - Unternehmensberatung fr Datenschutz und Datensicherheitwww.ds-quadrat.de
Telefon (kostenlos): 0800 951 36 32E-Mail: [email protected]
ds best practice data protection
Leistungsspektrum ds
ds2 untersttzt seit 2001 Unternehmen und Institutionen bei der Umsetzung derAnforderungen zu Datenschutz und Datensicherheit. ds-Berater sind bundesweitals externe Datenschutzbeauftragte ttig.
ds2 bert Unternehmen und Institutionen bei der Entwicklung und Umsetzung neuerProdukte und Prozesse im Hinblick auf die Anforderungen zu Datenschutz undDatensicherheit.
ds Grnder Thomas Spaeing ist Vorstandsvorsitzender des Berufsverbands derDatenschutzbeauftragten Deutschlands BvD e.V. (Berlin)
Auszug aus der Referenzliste:
ds best practice data protection JAP* - Jahresabschlussprfung
Leistungsspektrum ds
Datenschutz beim Einsatz von CRM-Systemen
berblick
CRM und Datenschutz ein Widerspruch?
Rechtliche Grundlagen
Rechte des Betroffenen
Aktuelle Entwicklungen
Fazit
Datenschutz beim Einsatz von CRM-Systemen
CRM und Datenschutz ein Widerspruch?
Fairer Wettbewerb zwischen Unternehmen
Unternehmen:Absatz- &
WerbeinteressenCRM
Verbraucher:Schutz der Per-
snlichkeitsrechte(Datenschutz)
Informationsinteresse des Verbrauchers
Knnen die verschiedenen Interessenslagen der Beteiligten ausgewogen bercksichigtwerden?
Datenschutz beim Einsatz von CRM-Systemen
CRM und Datenschutz ein Widerspruch?
Kundenprofile erstellen
Marketingauswertungen und -nutzungen
Werbekooperationen (Weitergabe)
Call-Center-Betrieb (Outbound-Calls zur Kundenakquise)
Produktvertrieb (z. B. ber Handelsvertreter)
diese Datennutzungen fallen unter das Datenschutzrecht!
Datenschutz beim Einsatz von CRM-Systemen
Die Verarbeitung und Nutzung personenbezogener Daten ist grundstzlich verboten!
Verbot ...
... mit Erlaubnis-vorbehalt
Erlaubnis aus:bestehendem Vertragsverhltnis mit dem BetroffenenVertragsanbahnung oder -abwicklung mit dem Betroffenenspeziellen Regelungen zur Daten-verarbeitung auerhalb des BDSGdem BDSG selbst der Einwilligung des Betroffenen
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Kreditkarten-nummer
Name
Adresse Gehalt
Geburtsjahr
Vermgens-verhltnisse
Telefon-nummer
Wohn-verhltnisse
Personenbezogene Daten sind Einzelangaben ber persnliche oder sachliche Verhltnisse einer bestimmten oder bestimmbaren Person.
Beispiele:
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Weitaus strengere Regeln gibt es fr den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schtzenswert sind (konkrete Einwilligung).
Gesundheit
Gewerkschafts-zugehrigkeit
Religise oder philosophischeberzeugungPolitische
Meinung
Sexual-leben
Rassische und ethnischeHerkunft
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Die Daten von juristischen Personen wie Kapital- oder Aktiengesellschaften, Vereinen,
Verbnden etc. werden durch das BDSG nicht geschtzt.
Die Daten der Mitarbeiter in Unternehmen aber durchaus!
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Rechtliche Grundlagen
Datenschutzrechtliche Erlaubnistatbestnde:
Grundlage der Verarbeitung ist i.d.R. BDSG 28 (1) Nr. 1 (Vertragsverhltnis oder Vertragsanbahnung) oder Nr. 2 (berechtigtes Interesse des Unternehmens, Abwgung)
Diese sind aber streng zweckgebunden und unterliegen der Interessensabwgung. Dabei gilt:Je sensibler die Daten, desto hher das berechtigte Interesse des Verbrauchers an der NICHTnutzung
Datenschutz beim Einsatz von CRM-Systemen
Neue gesetzliche Regelungen aus 2009 schrnken die Nutzung von Kundendaten hier ein!
BDSG-Novelle II: Gesetz zur nderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (Beschftigtendaten, Kundendaten, Listenprivileg, Auftrags-DV), nderungen traten bis auf einige Ausnahmen zum 1. September 2009 in Kraft
Nicht zu vergessen: UWG-Novelle ab 4.August 2009 Unterdrckte Anruferkennung und Telefonwerbung (+ E-Mail) ohne Einwilligung unzulssig.
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Die Einwilligung im UWG
Vorherige ausdrckliche Einwilligung Bei Telefonwerbung gegenber Verbrauchern Bei Werbung mit automatischen Anrufmaschinen, Fax oder elektronischer Post (E-Mail oder SMS) gegenber Verbrauchern oder sonstigen Marktteilnehmern (B2B; 7 Abs. 2 Nr. 3 UWG)
Zumindest mutmaliche Einwilligung Bei Telefon- und E-Mailwerbung gegenber sonstigen Marktteilnehmern also im B2B-Bereich
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Ausnahme 28 Abs. 3 S. 2 Nr. 1: Eigenwerbung
Listendaten drfen nur im Rahmen von 28 Abs. 1 S. 1 Nr. 1 beim Betroffenen selbst oder aus allgemein zugnglichen Adress-, Rufnummern-, Branchen-
oder vergleichbaren Verzeichnissen erhoben werden Sonstige Daten drfen nach 28 Abs. 3 S. 3 hinzugespeichert werden, diese mssen
aber zulssig erhoben worden sein (kein Aussphen, kein anderer Zweck)
Listendaten sind- Name und Anschrift- Berufs-, Branchen- oder Geschftsbezeichnung- Geburtsjahr- Titel und akadem. Grad- Ein Gruppenmerkmal (Kundengruppe,)
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-SystemenEinfhrung in den Datenschutz | Seite 15
Zutrittskontrolle
Eingabekontrolle
Zugangskontrolle
Auftragskontrolle
Zugriffskontrolle
Verfgbarkeitskontrolle
Weitergabekontrolle
Trennungsgebot
Technische und organisatorische Manahmen zum Schutz der Kundendaten auch im Interesse des Unternehmens!
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Information bei Erhebungoder Benachrichtigung beierstmaliger Speicherung
Rechte des Betroffenen
Auskunftsrecht Berichtigungsanspruch
Widerruf / LschungsanspruchSperrungsanspruch
Betroffener Unternehmen
Rechte des Betroffenen
Datenschutz beim Einsatz von CRM-SystemenEinfhrung in den Datenschutz | Seite 17
Betroffener Unternehmen
Unverzgliche BenachrichtigungGrund des DatenverlustesEmpfehlung fr SchutzmanahmenIndividuell oder ber ffentliche Information (z.B. Zeitunganzeigen)
Datenschutz-panne
Rechte des Betroffenen
Rechte des Betroffenen
Datenschutz beim Einsatz von CRM-SystemenEinfhrung in den Datenschutz | Seite 18
Betroffener Unternehmen
Unverzgliche BenachrichtigungMgliche nachteilige FolgenErgriffene Manahmen
Datenschutz-panne
Aufsichts-behrde
+
Rechte des Betroffenen
Rechte des Betroffenen
Datenschutz beim Einsatz von CRM-Systemen
CRM-System und -Daten in der Cloud1. Je nach Anbieter stellt sich die Frage nach der Sicherheit der Daten.
Manche Anbieter lassen sich Nutzungsrechte an den Daten einrumen (Google,)!
2. Cloud-Computing ist eine Auftragsdatenverarbeitung gem. 11 BDSG und muss vertraglich auch so behandelt werden. Auerhalb der EU ist dies nur unter bestimmten Bedingungen mglich.
3. Die Daten mssen auch aus anderen Grnden sicher und verfgbar sein 238, 257 HGB, 146 ff. AO.
4. Sicherheit des Anbieters, Trennung der Daten/Hardware von Cloud-Kunden (z.B. bei Sicherstellung durch Behrden.
Aktuelle Entwicklungen
Datenschutz beim Einsatz von CRM-Systemen
Die neuen Gesetzesinitiativen knnen weitere Einschrnkungen mit sich bringen:
Das fr 2012 kommende Beschftigtendatenschutzgesetz wird den Schutz der Datenverarbeitung fr Mitarbeiterdaten weiter konkretisieren.
Die Datenschutzverordnung der EU sieht fr Werbezwecke engere Grenzen vor und erhht die Bugelder drastisch bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens.
Es gelten die gesetzlichen Regelungen am Standort des Verbrauchers nicht mehr des Anbieters (Facebook, Google,).
Aktuelle Entwicklungen
Datenschutz beim Einsatz von CRM-Systemen
Aktuelle Entwicklungen
Vielversprechend sind die Mglichkeiten, die sich ergeben, wenn die CRM-Daten um Daten aus den sozialen Netzwerken ergnzt werden knnen und das ggf. noch per mobile Computing.Aber hier drohen Stolperfallen:1. Drfen die Daten berhaupt genutzt werden?2. Wenn ja, welche und fr welche Zwecke?3. Wiederum geht es hier nicht nur um Datenschutzrecht sondern auch
um Wettbewerbsrecht. Allzu leicht kann eine unzulssige Datennutzung zu einem Versto gem. unlauterem Wettbewerbsrecht fhren. Hier wird auch die Konkurrenz zum Wettbewerbshter!
4. Auch hier stellt sich die Frage nach der Sicherheit der Daten vor allem auf mobilen Endgerten.
Datenschutz beim Einsatz von CRM-Systemen
Fazit
Nicht alles, was mglich ist, ist auch erlaubt.
Private Daten sind i.d.R. zulssig, wenn die Erhebung beim Betroffen erfolgt ist, transparent ist und die Daten zweckgebunden genutzt werden.
Bei rechtssicher Gestaltung und korrekter Nutzung bieten die modernen Systeme hervorragende Mglichkeiten zur Verbesserung der Kundenkommunikation.
Lassen Sie rechtzeitig Ihren Datenschutzbeauftragten die Nutzung prfen und nehmen Sie die ggf. erforderlichen Anpassungen vor!
Vielen Dank fr Ihre Aufmerksamkeit!
Thomas Spaeing ds - Unternehmensberatung fr Datenschutz und Datensicherheit
www.ds-quadrat.de Telefon (kostenlos): 0800 951 36 32
E-Mail: [email protected]
