CRM und DatenschutzThomas Spaeing
ds² - Unternehmensberatung für Datenschutz und Datensicherheitwww.ds-quadrat.de
Telefon (kostenlos): 0800 951 36 32E-Mail: [email protected]
ds² – best practice data protection
Leistungsspektrum ds²
ds2 unterstützt seit 2001 Unternehmen und Institutionen bei der Umsetzung derAnforderungen zu Datenschutz und Datensicherheit. ds²-Berater sind bundesweitals externe Datenschutzbeauftragte tätig.
ds2 berät Unternehmen und Institutionen bei der Entwicklung und Umsetzung neuerProdukte und Prozesse im Hinblick auf die Anforderungen zu Datenschutz undDatensicherheit.
ds² Gründer Thomas Spaeing ist Vorstandsvorsitzender des Berufsverbands derDatenschutzbeauftragten Deutschlands BvD e.V. (Berlin)
Auszug aus der Referenzliste:
Datenschutz beim Einsatz von CRM-Systemen
Überblick
CRM und Datenschutz – ein Widerspruch?
Rechtliche Grundlagen
Rechte des Betroffenen
Aktuelle Entwicklungen
Fazit
Datenschutz beim Einsatz von CRM-Systemen
CRM und Datenschutz – ein Widerspruch?
Fairer Wettbewerb zwischen Unternehmen
Unternehmen:Absatz- &
WerbeinteressenCRM
Verbraucher:Schutz der Per-
sönlichkeitsrechte(Datenschutz)
Informationsinteresse des Verbrauchers
Können die verschiedenen Interessenslagen der Beteiligten ausgewogen berücksichigtwerden?
Datenschutz beim Einsatz von CRM-Systemen
CRM und Datenschutz – ein Widerspruch?
• Kundenprofile erstellen
• Marketingauswertungen und -nutzungen
• Werbekooperationen (Weitergabe)
• Call-Center-Betrieb (Outbound-Calls zur Kundenakquise)
• Produktvertrieb (z. B. über Handelsvertreter)
… diese Datennutzungen fallen unter das Datenschutzrecht!
Datenschutz beim Einsatz von CRM-Systemen
Die Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten!
Verbot ...
... mit Erlaubnis-vorbehalt
Erlaubnis aus:bestehendem Vertragsverhältnis mit dem BetroffenenVertragsanbahnung oder -abwicklung mit dem Betroffenenspeziellen Regelungen zur Daten-verarbeitung außerhalb des BDSGdem BDSG selbst der Einwilligung des Betroffenen
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Kreditkarten-nummer
Name
Adresse Gehalt
Geburtsjahr
Vermögens-verhältnisse
Telefon-nummer
Wohn-verhältnisse
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.
Beispiele:
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind (konkrete Einwilligung).
Gesundheit
Gewerkschafts-zugehörigkeit
Religiöse oder philosophischeÜberzeugungPolitische
Meinung
Sexual-leben
Rassische und ethnischeHerkunft
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Die Daten von juristischen Personen wie Kapital- oder Aktiengesellschaften, Vereinen,
Verbänden etc. werden durch das BDSG nicht geschützt.
Die Daten der Mitarbeiter in Unternehmen aber durchaus!
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Rechtliche Grundlagen
Datenschutzrechtliche Erlaubnistatbestände:
• Grundlage der Verarbeitung ist i.d.R. BDSG § 28 (1) Nr. 1 (Vertragsverhältnis oder Vertragsanbahnung) oder Nr. 2 (berechtigtes Interesse des Unternehmens, Abwägung)
• Diese sind aber streng zweckgebunden und unterliegen der Interessensabwägung. Dabei gilt:„Je sensibler die Daten, desto höher das berechtigte Interesse des Verbrauchers an der NICHTnutzung“
Datenschutz beim Einsatz von CRM-Systemen
Neue gesetzliche Regelungen aus 2009 schränken die Nutzung von Kundendaten hier ein!
BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (Beschäftigtendaten, Kundendaten, Listenprivileg, Auftrags-DV), Änderungen traten bis auf einige Ausnahmen zum 1. September 2009 in Kraft
Nicht zu vergessen: UWG-Novelle ab 4.August 2009 –Unterdrückte Anruferkennung und Telefonwerbung (+ E-Mail) ohne Einwilligung unzulässig.
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Die Einwilligung im UWG
Vorherige ausdrückliche Einwilligung• Bei Telefonwerbung gegenüber Verbrauchern• Bei Werbung mit automatischen Anrufmaschinen, Fax oder elektronischer Post (E-Mail oder SMS) gegenüber Verbrauchern oder sonstigen Marktteilnehmern (B2B; § 7 Abs. 2 Nr. 3 UWG)
Zumindest mutmaßliche Einwilligung• Bei Telefon- und E-Mailwerbung gegenüber sonstigen Marktteilnehmern – also im B2B-Bereich
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Ausnahme § 28 Abs. 3 S. 2 Nr. 1: Eigenwerbung
• Listendaten dürfen nur im Rahmen von § 28 Abs. 1 S. 1 Nr. 1 beim Betroffenen selbst• oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen-
oder vergleichbaren Verzeichnissen erhoben werden• Sonstige Daten dürfen nach § 28 Abs. 3 S. 3 hinzugespeichert werden, diese müssen
aber zulässig erhoben worden sein (kein Ausspähen, kein anderer Zweck)
• Listendaten sind- Name und Anschrift- Berufs-, Branchen- oder Geschäftsbezeichnung- Geburtsjahr- Titel und akadem. Grad- Ein Gruppenmerkmal (Kundengruppe,…)
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-SystemenEinführung in den Datenschutz | Seite 15
Zutrittskontrolle
Eingabekontrolle
Zugangskontrolle
Auftragskontrolle
Zugriffskontrolle
Verfügbarkeitskontrolle
Weitergabekontrolle
Trennungsgebot
Technische und organisatorische Maßnahmen zum Schutz der Kundendaten – auch im Interesse des Unternehmens!
Rechtliche Grundlagen
Datenschutz beim Einsatz von CRM-Systemen
Information bei Erhebungoder Benachrichtigung beierstmaliger Speicherung
Rechte des Betroffenen
Auskunftsrecht Berichtigungsanspruch
Widerruf / LöschungsanspruchSperrungsanspruch
Betroffener Unternehmen
Rechte des Betroffenen
Datenschutz beim Einsatz von CRM-SystemenEinführung in den Datenschutz | Seite 17
Betroffener Unternehmen
Unverzügliche BenachrichtigungGrund des DatenverlustesEmpfehlung für SchutzmaßnahmenIndividuell oder über öffentliche Information (z.B. Zeitunganzeigen)
Datenschutz-panne
Rechte des Betroffenen
Rechte des Betroffenen
Datenschutz beim Einsatz von CRM-SystemenEinführung in den Datenschutz | Seite 18
Betroffener Unternehmen
Unverzügliche BenachrichtigungMögliche nachteilige FolgenErgriffene Maßnahmen
Datenschutz-panne
Aufsichts-behörde
+
Rechte des Betroffenen
Rechte des Betroffenen
Datenschutz beim Einsatz von CRM-Systemen
CRM-System und -Daten in der Cloud1. Je nach Anbieter stellt sich die Frage nach der Sicherheit der Daten.
Manche Anbieter lassen sich Nutzungsrechte an den Daten einräumen (Google,…)!
2. Cloud-Computing ist eine Auftragsdatenverarbeitung gem. § 11 BDSG und muss vertraglich auch so behandelt werden. Außerhalb der EU ist dies nur unter bestimmten Bedingungen möglich.
3. Die Daten müssen auch aus anderen Gründen sicher und verfügbar sein – §§ 238, 257 HGB, §§ 146 ff. AO.
4. Sicherheit des Anbieters, Trennung der Daten/Hardware von Cloud-Kunden (z.B. bei Sicherstellung durch Behörden.
Aktuelle Entwicklungen
Datenschutz beim Einsatz von CRM-Systemen
Die neuen Gesetzesinitiativen können weitere Einschränkungen mit sich bringen:
• Das für 2012 kommende „Beschäftigtendatenschutzgesetz“ wird den Schutz der Datenverarbeitung für Mitarbeiterdaten weiter konkretisieren.
• Die Datenschutzverordnung der EU sieht für Werbezwecke engere Grenzen vor und erhöht die Bußgelder drastisch – bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens.
• Es gelten die gesetzlichen Regelungen am Standort des Verbrauchers nicht mehr des Anbieters (Facebook, Google,…).
Aktuelle Entwicklungen
Datenschutz beim Einsatz von CRM-Systemen
Aktuelle Entwicklungen
Vielversprechend sind die Möglichkeiten, die sich ergeben, wenn die CRM-Daten um Daten aus den sozialen Netzwerken ergänzt werden können – und das ggf. noch per mobile Computing.Aber hier drohen Stolperfallen:1. Dürfen die Daten überhaupt genutzt werden?2. Wenn ja, welche und für welche Zwecke?3. Wiederum geht es hier nicht nur um Datenschutzrecht sondern auch
um Wettbewerbsrecht. Allzu leicht kann eine unzulässige Datennutzung zu einem Verstoß gem. unlauterem Wettbewerbsrecht führen. Hier wird auch die Konkurrenz zum Wettbewerbshüter!
4. Auch hier stellt sich die Frage nach der Sicherheit der Daten – vor allem auf mobilen Endgeräten.
Datenschutz beim Einsatz von CRM-Systemen
Fazit
Nicht alles, was möglich ist, ist auch erlaubt.
Private Daten sind i.d.R. zulässig, wenn die Erhebung beim Betroffen erfolgt ist, transparent ist und die Daten zweckgebunden genutzt werden.
Bei rechtssicher Gestaltung und korrekter Nutzung bieten die modernen Systeme hervorragende Möglichkeiten zur Verbesserung der Kundenkommunikation.
Lassen Sie rechtzeitig Ihren Datenschutzbeauftragten die Nutzung prüfen und nehmen Sie die ggf. erforderlichen Anpassungen vor!
Vielen Dank für Ihre Aufmerksamkeit!
Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit
www.ds-quadrat.de Telefon (kostenlos): 0800 951 36 32
E-Mail: [email protected]