Forschungsprojekt Sphere

Datenschutz im Social CRM

Karl Schmid ist Geschäftsführer der bowi GmbH, eines CRM-Anbieters aus Landau/Pfalz.
Jan Koch ist Consultant bei der bowi GmbH und Projektleiter des Social-CRM-Datenschutzprojektes Sphere. Hinter der 1987 gegründeten bowi GmbH steht ein interdisziplinär aufgestelltes Team aus xRM-Experten.
Das Forschungsprojekt "Sphere" beschäftigt sich mit juristischen Fragen rund um das Thema Kundendaten und -beziehungen. Es soll Unternehmen helfen, Social-CRM-Kampagnen datenschutzgerecht zu planen.

Sandra Bauer arbeitet seit drei Jahren als Serviceleiterin eines fiktiven Unternehmens, das Kameraobjektive produziert. Ihre CRM-Datenbank enthält alle wichtigen Informationen zu ihren B2B-Kontakten aus der Industrie. Die Kollegen aus Marketing und Vertrieb greifen auf die gleiche Datenbank zu und machen sich zudem vermehrt Angebote aus dem Social Web zunutze, um die Adresssätze anzureichern. In Foren und sozialen Netzwerken flottieren unzählige Einzelinformationen über die Produkte und Serviceleistungen aus dem Unternehmen von Frau Bauer. Doch wer darf welche Informationen für Datenerhebung und Interaktion verwenden, ohne den Datenschutz zu verletzen? Diese Frage stellen sich neben Sandra Bauer und ihren Kollegen aus Marketing und Vertrieb auch der neu eingestellte Social Media Manager und der Datenschutzbeauftragte. Schließlich möchte keiner der Mitarbeiter seinem Unternehmen durch Klagen oder Imageeinbußen schaden.

CRM ist Teamwork

Das Intro beschreibt alltägliche unternehmerische Herausforderungen im Umgang mit Daten aus dem Social Web. Darf ich meinem Kunden zum Geburtstag gratulieren, wenn ich diesen via Facebook einsehen kann? Wem gehören die Daten aus dem Forum, das mein Unternehmen betreibt?

Rainer Alt forscht mit seinen Studenten an neuen Wegen, datenschutzkonforme Social-CRM-Kampagnen umzusetzen.
Rainer Alt forscht mit seinen Studenten an neuen Wegen, datenschutzkonforme Social-CRM-Kampagnen umzusetzen.
Foto: Universität Leipzig, Uwe Arnold

Mit diesen Fragen beschäftigt sich seit Anfang dieses Jahres ein Forschungsprojekt, das vom Bundesministerium für Bildung und Forschung (BMBF) gefördert wird. Das interdisziplinäre Team hat es sich zur Aufgabe gemacht, ein automatisiertes Datenschutz-Tool für CRM-Systeme zu entwickeln, die mit dem Social Web verknüpft sind. Neben dem federführenden CRM-Lösungsanbieter bowi sind das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (ULD) und der Lehrstuhl für Anwendungssysteme in Wirtschaft und Verwaltung an der Universität Leipzig an dem Projekt beteiligt. Die Vision des Teams ist eine prototypische Anwendung, die Risiken im Social CRM aufdeckt und bewertet. Professor Rainer Alt erklärt: "Die Projektidee von Sphere ergab sich aus unseren Social-CRM-Forschungsprojekten." Diese hätten wiederholt auf offene Datenschutzfragen hingewiesen. "Sphere greift die Idee eines Expertensystems auf und soll die SCRM-Infrastruktur erweitern, um automatisiert Risiken und Handlungsalternativen zu identifizieren."

Sphere ergänzt integrierte Social-CRM-Ansätze.
Sphere ergänzt integrierte Social-CRM-Ansätze.
Foto: Universität Leipzig - Alt/Reinhold 2012

Die Anreicherung von CRM-Datenbanken durch Daten aus dem Internet (Social CRM) ist heute ein Kernthema bei Zukunftsinvestitionen nahezu jeder Branche - ihre datenschutzkonforme Verwendbarkeit ebenso. Bisher liefert der IT-Markt kaum systemseitige Unterstützung zur Bewertung und Gestaltung datenschutzkonformer Social CRM-Aktivitäten und Infrastrukturen. Anwender und Hausjuristen benötigen jedoch unterstützende Tools zur Einhaltung der Regularien, weil Einzelfallprüfungen jeder Aktivität zeit- und damit kostenaufwendig sind. Der Prototyp Sphere, als Add-On für CRM-Systeme gedacht, gewährt einen weitreichenden Blick auf verwendete Programme wie Social Media-Monitoring-Tools. Unternehmen gewinnen Transparenz über ihre Datenflussprozesse, weil die Durchlässigkeit personenbezogener Daten zum Vorschein kommt. Sphere kann auf Basis dieser Untersuchungen Risiken aufdecken, Datenschutzlücken schließen und Unternehmen bei ihren Aktivitäten unterstützen. Karl Schmid, Geschäftsführer der bowi GmbH, führt aus: "Wir, also die IT-Wirtschaft, brauchen ein Netzwerk aus Juristen, Informatikern und Marketing-Experten, um Social-CRM-Trends zeitnah bewerten zu können und Softwareentwicklungen anzudocken."

Was wäre, wenn…

Sphere unterstützt Unternehmen dabei, Social-CRM-Kampagnen datenschutzkonform zu planen. So hat der Social Media Manager aus dem Unternehmen von Frau Bauer eine Kampagnenidee, ist sich aber ob der rechtlichen Zulässigkeit unsicher. Er nutzt Sphere, um herauszufinden, ob er die Kampagne verändern muss. Dazu füttert er die Anwendung mit relevanten Parametern: Sind beispielsweise alle Einwilligungen der angesprochenen Kunden vorhanden? Entspricht die Aktion den Guidelines des Unternehmens?

Das Sicherheitsnetz

Sphere unterstützt Unternehmen bei der Entwicklung datenschutzkonformer Interaktionen. Wie darf der Social Media Manager seine Kunden anschreiben? Ist der Kontakt über ein soziales Netzwerk richtig? Und welche Daten, die er hier einsehen kann, dürfen im Einzelfall mit dem CRM verknüpft und verwendet werden? Sphere warnt vor der Interaktion, vor dem Anschreiben vor Risiken und gibt Hinweise zum rechtlichen Hintergrund der Warnung. Auch prüft die Software vor der Selektion personenbezogener Daten automatisch, ob Datenschutzrecht verletzt wird und schlägt gegebenenfalls Alarm bei dem verantwortlichen Datenschutzbeauftragten. Im Anschluss wird der Vorgang so lange geblockt, bis der Datenschutzbeauftragte sein Okay gegeben hat. Datenschutz greift damit technisch und nicht nur organisatorisch.

Datenschutz für alle transparent machen

Sphere soll Datenschutz sichtbar machen.
Sphere soll Datenschutz sichtbar machen.
Foto: bowi GmbH / Uni Leipzig - Projekt Sphere

Sphere bildet das CRM-System unter Datenschutzgesichtspunkten ab. Dazu analysiert das Tool Datenströme und erschafft visuelle Modelle von der IT-Infrastruktur und den ineinandergreifenden Social-CRM-Prozessen. Es zeigt dem Datenschutzbeauftragten auf, wo Probleme auftreten könnten und wo bereits Lecks existieren. Ein wöchentlicher Report gibt Aufschluss über alle Aktivitäten: Wie viele Aktionen gab es? Wie viele davon mit personenbezogenen Daten? Welche Prozesse könnten zu einer Abmahnung führen oder entsprechen nicht den Datenschutzstandards des Unternehmens? Der Sphere-Bericht dient Datenschutzbeauftragten als Auskunfts-Grundlage für das Management und die Rechtsabteilung.

Was steckt dahinter?

Um den oben beschriebenen Funktionsumfang leisten zu können, muss Sphere Social-CRM-Aktivitäten, Datenströme, IT-Infrastrukturen, die Betriebsorganisation und Datenquellen in ein gemeinsames Modell integrieren. Damit betreten die Projektpartner bisher unerforschten Boden. Natürlich liefert die Wirtschaftsinformatik diverse Modellierungsmöglichkeiten; das Modell jedoch, das alle für eine Datenschutz-Bewertung relevanten Facetten abbildet, stand bislang aus und soll nun mit Sphere Wirklichkeit werden. Ihm stellt das Forschungskonsortium aktuelles Datenschutzrecht gegenüber; es prüft und gleicht ab. Dabei wird nicht nur der Gesetzestext berücksichtigt, sondern es fließen aktuelle Urteile und Hinweise, die Guidelines des Unternehmens und weitere Bewertungsgrundlagen mit ein. Das alles konfigurierbar, erweiterbar und mit angemessenem Aufwand administrierbar zu halten, ist eine weitere Kernfunktion von Sphere. Ohne ein selbstlernendes System ist solch eine Leistung nicht zu bewältigen.

Zu berücksichtigen sind verschiedene Gesetze:

  • Datenschutzgesetz (BDSG) und EU-Datenschutzrichtlinie (EU-DSRL)

Diese müssen berücksichtigt werden, sobald personenbezogene Daten in Deutschland beziehungsweise in der EU automatisiert verarbeitet werden.

  • Telemediengesetz (TMG)

Ist zu beachten, sobald das Unternehmen einen Telemediendienst wie eine Internetseite anbietet. Darunter fällt auch die Impressumpflicht.

  • Gesetz gegen den unlauteren Wettbewerb (UWG)

Das Gesetz muss unter anderem berücksichtigt werden, sobald Kommunikation massenwirksam wird (one-to-many / many-to-many).

  • Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG)

Das Gesetz findet Anwendung, sobald Inhalte von Nutzern verwendet werden (beispielsweise in einem FAQ oder als Rezension)

Sphere im Praxistest

Um die Ergebnisse aus dem Forschungsprojekt kontinuierlich auf die Bühne des Praxisbedarfs zu heben, arbeitet das Sphere-Team mit Fallstudienpartnern zusammen. Hierfür stellen Unternehmen mit einem lebendigen Social-CRM-System ihre IT-Strukturen und ihre Anwendungsfälle zur Verfügung und profitieren als Partner von dem erarbeiteten Wissen. Es geht beispielhaft um folgende Anwendungsszenarien:

Ein Kunde von Serviceleiterin Sandra Bauer beschwert sich in einem privaten, firmen- und produktungebundenen Internet-Forum (einem sogenannten White Label Board) über ein Produkt aus dem Unternehmen. Die Hypothese: Der verärgerte Kunde wendet das Produkt offensichtlich falsch an; Frau Bauer könnte ihm durch eine einfache Information zur richtigen Anwendung des Produkts weiterhelfen.

Kernfrage ist: Darf Sandra Bauer Service leisten? Die juristische Antwort ist die übliche: Das kommt darauf an!

Je "sozialer" ein CRM-System, desto mehr kritische Datenschutzfragen gilt es zu beantworten.
Je "sozialer" ein CRM-System, desto mehr kritische Datenschutzfragen gilt es zu beantworten.
Foto: TheSupe87, Fotolia.com

Selbst wenn der Betreiber des Forums ausdrücklich erlaubt, dass Unternehmen sich informierend in seiner Community beteiligen, muss der Datenschutz der Forumsnutzer gewährleistet sein. Im Zweifel macht sich das Unternehmen strafbar, wenn es aus diesem Forum Informationen zu Personen erhebt. Selbst wenn die Erhebung rechtens wäre (wegen der öffentlich zugänglichen Quelle etc.), existiert immer noch die Pflicht, den Verbraucher über die Datenverarbeitung zu informieren und ihm ein Widerspruchsrecht einzuräumen. Aber wer ist dafür verantwortlich: das nutzende Unternehmen, der Betreiber der Plattform oder beide? Wenn das Unternehmen eine Softwarelösung einsetzt, die teilweise in den USA gehostet wird, welches Recht gilt dann beziehungsweise ab wann genau gilt das deutsche und europäische Recht? Und wenn Daten fließen, dann ja oft nur Fragmente der gesamten Akte zur Person oder zum Kunden. Ab wann sind diese Fragmente "personenbezogen"? Dieses Kriterium entscheidet oftmals, ob Datenschutzrecht Anwendung findet.

Sagen wir, die Erhebung wäre rechtens. Der Kunde sagt in seinem Posting aus, er heiße Karl Kaufmann und arbeite in Passau. Für kein Unternehmen ist es heutzutage mehr eine Herausforderung, den Bezug zu einer Kundenakte herzustellen. Ist dies rechtens? Oder muss Frau Bauer aus dem Service so tun, als kenne sie diesen Kunden nicht? Sagen wir, die Erhebung sei korrekt und Sandra Bauer verfasst eine Antwort, die dem vermeintlichen Kunden helfen könnte. Darf sie ihm in diesem Forum zurückschreiben? Zu beachten ist, dass das dann unter Umständen rechtlich nicht mehr als Service zählt, sondern als Werbung, weil Frau Bauer ja nicht nur ihm eine Antwort gibt (one-to-one), sondern allen potenziellen Kunden, die diese Frage haben (one-to-many). Also verlagert sich die Thematik vom Datenschutz zügig ins Wettbewerbsrecht. Und wenn Frau Bauer dem Kunden nicht in diesem Forum zurück schreiben darf, darf sie ihn dann anrufen? Denn sie weiß ja, wer er ist! Eine oft geleistete Antwort auf viele dieser Fragen ist: Frau Bauer darf, wenn sie die entsprechende Einwilligung hat. Aber wie soll so eine Einwilligung aussehen? Wer holt die Einwilligung ein?

Fazit

Es gibt jede Menge Kriterien, die bei der Prüfung einer Social Media Service-Maßnahme zu beachten sind. Die Parameter müssen von Fall zu Fall, zu Quelle, zu Tool, zu Maßnahme geprüft werden. Auch der Weg der Datenverarbeitung spielt eine erhebliche Rolle. Pauschalisierungen sind kaum denkbar. Ändert sich nur ein Kriterium, ändert sich die komplette Bewertung. Hier zeigt sich der hohe Nutzwert von Sphere. Das Tool erfasst die Parameter, soweit möglich, automatisch und bewertet in Echtzeit. Damit verfügt sein Anwender über ein justierbares Werkzeug, mit dessen Hilfe er an IT- Schrauben und Rädchen drehen kann, bis das Risiko, gegen den Datenschutz zu verstoßen, minimal und tragbar ist. Mehr noch: Bei neuer Gesetzeslage übernimmt Sphere das Update, so dass sich Sandra Bauer keine Gedanken machen muss, ob ihre bis dato sicheren Maßnahmen zukünftig datenschutzrechtlich kritisch sind.

Interessiert?

Wer interessiert ist, im Rahmen einer Fallstudie im Sphere-Projekt mitzuwirken, kann sich auf der Projekt-Website informieren. (sh)