Datenschutz bei CRM-Systemen: Ein Widerspruch?

it-sicherheit 04
Fachbeitrag

Datenschutz und Customer Relation Management-Systeme verhalten sich zueinander wie Feuer und Wasser: Unternehmen setzen CRM-Systeme ein, um alle verfügbaren Daten über Kunden zu sammeln, zu verknüpfen und auszuwerten. Das läuft fundamentalen Prinzipien des Datenschutzes zuwider.

Doch in immer mehr Unternehmen setzt sich die Einsicht durch, dass ein seriöses CRM-System die Schranken des Datenschutzes berücksichtigen muss.

Wie funktioniert CRM?

CRM-Systeme dienen dazu, Kundenkontakte aufzubauen und zu pflegen. Mit Hilfe moderner Informations- und Kommunikationstechnologien werden auf lange Sicht profitable Kundenbeziehungen durch ganzheitliche und individuelle Marketing-, Vertriebs-, und Servicekonzepte aufgebaut und gefestigt.

Dazu werden neben den Stammdaten des Kunden klassischerweise eine ganze Reihe von Daten aufgenommen, insbesondere die Kommunikation mit dem Kunden, die angeforderten Produkte oder Leistungen und Reklamationen sowie deren Behebung. Das Ziel eines CRM-Projektes ist die Integration aller verfügbaren Kundeninformationen als Ausgangspunkt einer Kundenanalyse.

Darüber hinaus können diese Daten durch Abgleich mit der Gesamtheit der Datenbank, unter Nutzung externer Datenquellen oder durch Abgleich mit anderen Datenbanken außerhalb der Kundenbeziehung selbst ergänzt werden.

Besondere Risiken von CRM-Systemen

Die größte Hürde für die Datenverarbeitung in CRM-Systemen ist der datenschutzrechtliche Zweckbindungsgrundsatz. Danach dürfen Daten grundsätzlich nur zu dem primären Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind.

Daten, die bei der Begründung eines Vertragsverhältnisses erfasst werden, dürfen z.B. nur in dem Umfang verarbeitet werden, wie es der Vertragszweck erfordert. Die Adresse des Kunden kann daher herangezogen werden, um das bestellte Produkt zu liefern, aber nicht, um im Wege des Geoscorings seine Zahlungskraft zu ermitteln und ihm dann auf seine Bedürfnisse abgestimmte Werbung zu schicken.

Nicht nur der Kundendatenschutz ist zu beachten. Anwender organisieren mit CRM-Systemen häufig auch ihren Service. Die erhobenen Daten über Rückmeldeprozesse und Bearbeitung von Reklamationen können auch dazu herangezogen werden, um Leistung und Verhalten der Service-Mitarbeiter zu kontrollieren.

Es gibt noch ein ganze Reihe weitere Konflikten mit datenschutzrechtlichen Prinzipien, etwa dem Trennungsgebot, dem Gebot der Direkterhebung und dem Gebot der Datenvermeidung und -sparsamkeit.

Anforderungen an ein CRM-System

Folgende Mindestanforderungen muss ein CRM-System daher erfüllen:

  • Dokumentation der Datenherkunft (Geschäftsabschluss/Adresshandel) und ggf. von Einwilligungserklärungen
  • Getrennte Verarbeitung unterschiedlicher Datenarten
  • Möglichkeit der Anonymisierung und Pseudonymisierung (Bei Auswertungen zur Marktbeobachtung wird Personenbezug meist nicht erforderlich sein.)
  • Einrichtung einer Standardkommunikationsart (E-Mail/Post/Telefon) und Dokumentation der Kontakthistorie
  • Abgestuftes Berechtigungskonzept für die Auswertung  von Benutzerdaten (Einsicht in Erfolgsstatistik des Kundenbetreuers oder Rückmeldeprozesse beim Servicemanagement)
  • Einrichtung von Sperrlisten, Sperrvermerken (keine Werbung) und Archivierungs-/Löschungskonzept
  • Verschlüsselung/VPN für mobile Clients

Neuester Trend: Einbindung von sozialen Netzwerken und anderen Plattformen

In Benutzerforen und sozialen Netzwerken kursieren unzählige Informationen über die Produkte und Serviceleistungen verschiedenster Unternehmen, insbesondere Bewertungen und Erfahrungsberichte von Kunden. Es liegt daher nahe, diese Informationen in CRM-Systeme einzubinden (Social CRM).

Dabei ergeben sich zahlreiche Fragen, etwa, ob die Informationen aus sozialen Netzwerken und anderen Plattformen öffentlich zugänglich sind, und, wenn sie einem Kunden zugeordnet werden können, ob sie mit den Daten über den Kunden zusammengeführt werden dürfen.

Forschungsprojekt „Sphere“

Mit diesen Frage beschäftigt sich das Forschungsprojekt „Sphere“. Es handelt sich um ein interdisziplinäres Team, an dem der CRM-Anbieter bowi, das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (ULD) und der Lehrstuhl für Anwendungssysteme in Wirtschaft und Verwaltung an der Universität Leipzig beteiligt sind. Gefördert wird es vom Bundesforschungsministerium.

Wie die Computerwoche berichtet, hat das Team es sich zur Aufgabe gemacht, ein automatisiertes Datenschutz-Tool für CRM-Systeme zu entwickeln. „Sphere“ bildet das CRM-System unter Datenschutzgesichtspunkten ab und analysiert dazu Datenströme, die IT-Infrastruktur und die ineinandergreifenden Social-CRM-Prozesse.

Vor der Aufnahme von Daten aus sozialen Netzwerken soll das Programm prüfen, ob Datenschutzrecht verletzt wird, und schlägt gegebenenfalls Alarm bei dem verantwortlichen Datenschutzbeauftragten. Wenn auf Basis der Daten Werbeangebote auf einen Kunden zugeschnitten werden, soll das Programm nur die Werbemaßnahmen freigeben, die mit Wettbewerbs- und Datenschutzrecht vereinbar sind.

Gerade bei CRM-Systemen war es längst überfällig, den Datenschutz nicht erst auf organisatorischer, sondern schon auf technische Ebene zu verwirklichen. Trotzdem ist das Projekt einzigartig und sehr ambitioniert. Wir wünschen allen Beteiligten gutes Gelingen!

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Datenschutzkonformes Marketing, auch bei innovativen Werbeformen
  • Prüfung der Zulässigkeit von Telefonmarketing, Marktforschungen, Gewinnspielen und Mailings
  • Vermeidung von Abmahnungen

Informieren Sie sich hier über unser Leistungsspektrum: Marketing / Werbung

3 Kommentare zu diesem Beitrag

  1. Hallo Datenschutzbeauftragter, wir überlegen ein CRM-System einzuführen. Hier die Fragen, an denen ich mir gerade die Zähne ausbeiße:
    1) Datenlöschung – wissen Sie, ob es hierfür eine Grundlage gibt, wie lange ich Kundendaten im System aufbewahren darf bzw. wann ich die Daten auf Aktualität zu prüfen habe?
    2) Darf ich Kontaktdaten von einer Visitenkarte einfach in ein CRM-System übernehmen? Wie sieht es v.a. im Fall der Visitenkarte mit dem Recht der Benachrichtigung des Betroffenen vor der Datenerhebung/-verwendung aus?
    Schöne Grüße

  2. @ Vertriebler

    (1) Es gibt verschiedene gestzliche Aufbewahrungsfristen, wobei die wichtigste § 174 Abgabenordnung ist. Deshalb sollte Ihnen Ihr Steuerberater genauere Auskünfte geben können. Für reine Kundendaten wie Name, Anschrift, E-Mail-Adresse etc. gibt es keine starren Fristen. Wenn sich Kunden 3 bis 5 Jahre nicht mehr aktiv an Sie gewendet haben, sollten sie keine Werbung mehr erhalten und aus dem CRM-System gelöscht werden.

    (2) Wenn jemand im beruflichen Umfeld seine Visitenkarte überreicht, sollte er durchaus damit rechnen, dass die Daten auf der Karte in ein CRM-System eingepflegt werden. Ob er auch Werbung oder Newsletter von Ihnen erhalten oder von Ihnen angerufen werden darf, hängt allerdings von anderen Umständen ab.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.