Im vergangenen Jahr sind die Datenschutz- und Wettbewerbsgesetze umfassend überarbeitet worden. Das wirkt sich auf Kundenbeziehungen erheblich aus, weil ganze Konzepte für CRM und Direkt-Marketing eigentlich gründlich überarbeitet oder sogar ganz über Bord geworfen werden müssten. Doch die Realität sieht anders aus: Viele Unternehmen sind sich nicht darüber im Klaren, welche Konsequenzen die geänderten Regelungen haben.

Datenschutz und Marketing

Die meisten Menschen möchten möglichst wenige Informationen über sich preisgeben. Diesem Wunsch entspricht das Bundesdatenschutzgesetz (BDSG), das laut Definition das Persönlichkeitsrecht wahren soll. Erfolg in Marketing und Vertrieb basiert aber größtenteils auf Informationen über Kunden und Interessenten. Dazu werden komplexe Kundenbindungssysteme in Unternehmen implementiert, die möglichst exakte Daten zu Personen und deren Kaufverhalten liefern sollen. Das muss nicht im Widerspruch zum Gesetz stehen. Entscheidend ist, dass Unternehmen sorgfältig und gesetzeskonform mit den Informationen umgehen.

Im Folgenden geben wir einen Überblick, was im Umgang mit Datenbanken und CRM-Systemen erlaubt und was verboten ist. Relevant sind die Regelungen im Bundesdatenschutzgesetz (BDSG), im Telekommunikationsgesetz (TKG) und im Gesetz gegen den unlauteren Wettbewerb (UWG).

Eingeschränkte Speicherung

Bis August 2009 durften Adressdaten und persönliche Daten zu Werbezwecken gespeichert werden, solange das schutzwürdige Interesse der betroffenen Personen gewahrt blieb und diese keinen Widerspruch einlegten. Seit dem 1. September 2009 erlaubt die neue Regelung die Datenspeicherung für die eigenen Geschäftszwecke nur dann, wenn die Daten allgemein zugänglich sind oder beispielsweise zur Vertragsabwicklung gebraucht werden. Nicht dazu gehören zum Beispiel Geburtstage. Im Paragraf 28, Absatz 2, 3 sieht das BDSG zudem einige weitere Ausnahmen vor.

Dazu zählen etwa Forschungsvorhaben und das Listenprivileg. Letzteres erlaubt die Weitergabe und Nutzung personenbezogener Daten zum Beispiel zu Werbezwecken sowie der Markt- und Meinungsforschung. Zwar dürfen prinzipiell Adressen und andere persönliche Daten nur nach ausdrücklicher Zustimmung weitergegeben werden, für die Weitergabe in Listen zusammengefasster Adressen gibt es Ausnahmen. Unter anderem ist die Weitergabe erlaubt, wenn die empfangende Firma die Datenherkunft benennt.

Risiken vermeiden

Die neuen Regelungen haben vor allem den Schutz der Verbraucher gestärkt, besonders im Bereich der Mail- und Telefonwerbung. Sie darf nur noch nach Zustimmung erfolgen. Für die Werbetreibenden bedeutet das, dass sie im Zweifel eine vorliegende Einwilligung nachweisen müssen. Wenngleich das Gesetz für Werbung im B2B-Bereich eine Ausnahmeregelung vorsieht, sind auch hier Vorgaben zu beachten.

Kritisch sind vor allem jene Kontakte in der Datenbank, zu denen Unternehmen noch kein Vertragsverhältnis unterhalten. Das können beispielsweise Interessenten oder zugekaufte Adressen sein. Die relevanten Gesetzestexte dazu stehen in Paragraf 7 des UWG und Paragraf 102 des TKG.

Die gute Nachricht: In vielen Fällen ist personalisierte Werbung weiterhin erlaubt. Bestandskunden dürfen ohne Einwilligung via Post kontaktiert werden. Ebenso Personen, zu denen ein "rechtsgeschäftsähnliches" Schuldverhältnis besteht, die also beispielsweise ein Angebot angefordert oder an einem Gewinnspiel teilgenommen haben. Welche das im Einzelnen sind, beschreibt das BDSG detailliert im Paragraf 28, Absatz 3, Satz 2, Nummer 1.

aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/"> aborange Crypter </a>

AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/"> AxCrypt </a>

Blowfish Advanced
Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/6347/blowfish_advanced_cs/index.html"> Blowfish Advanced CS </a>

Capivara
Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/backup_brennen/backup/137163/capivara/"> Capivara </a>

Challenger
Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/55187/challenger/index.html"> Challenger </a>

ClickCrypt
Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/28063/clickcrypt_26/index.html"> ClickCrypt </a>

Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/index.html"> Crosscrypt </a>

Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1305/"> Cryptool </a>

Fire Encrypter
Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/browser_netz/browser-tools/61622/fire_encrypter_firefox_erweiterung/index.html"> Fire Encrypter </a>

GnuPT
GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/159460/gnupt/index.html"> GnuPT </a>

Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/"> Gpg4win </a>

Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/"> Guardian of Data </a>

KeePass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/112115/keepass/index.html"> KeePass </a>

KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/118251/keepass_portable/index.html"> KeePass Portable </a>

MD5 Algorithmus
MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/34481/md5_algorithmus/index.html"> MD5 Algorithmus </a>

Opheus
Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/"> Opheus </a>

Steganos LockNote
Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote/index.html"> Steganos LockNote </a>

TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/index.html"> TrueCrypt </a>

In vielen Fällen nur noch mit Opt-in

Nach dem alten Recht durften Adressdaten zu Werbezwecken verwendet werden, solange das schutzwürdige Interesse des Betroffenen gewahrt wurde und er nicht widersprochen hatte. Nach neuem Recht braucht man für adressierte und personalisierte Werbung im B2C-Bereich nun eine ausdrückliche Erlaubnis, ein so genanntes Opt-in.

Eine Ausnahme hat der Gesetzgeber unter anderem für Bestandskunden vorgesehen. Wenn Unternehmen jedoch die Adressen für eine Werbeaktion aus öffentlichen Verzeichnissen erheben, benötigen sie die Zustimmung der Empfänger nicht. Beachtenswert ist dabei, dass die Urheberrechte bei der Adresserhebung aus solchen Verzeichnissen nicht verletzt werden. Für die Speicherung von Zusatzinformationen zu diesen Personen gelten die gleichen Regeln wie für Bestandskunden. Wichtig: Das Internet als Ganzes gilt nicht als Verzeichnis. Details nennt der Paragraf 28, Absatz 3, Satz 2, Nummer 1 des BDSG.

Werbung an Geschäftskunden

Etwas weiter gehende Möglichkeiten haben Unternehmen, die Geschäftskunden adressieren. An Ansprechpartner in den Firmen dürfen sie auch ohne deren Einwilligung Werbung schicken - vorausgesetzt, sie beziehen sich auf deren berufliche Tätigkeit. Allerdings dürfen die Informationen, die sie speichern, nur die Firma betreffen. Persönlichen Daten über den Ansprechpartner sind tabu. Auch hier macht das BDSG genaue Angaben (Paragraf 28, Absatz 3, Satz 2, Nummer 2).

Auf die Einwilligung (Opt-in) darf die adressierte Werbung verzichten, wenn sie zu Spenden aufruft. Die Ausnahme erstreckt sich darüber hinaus auf die so genannte transparente Übermittlung und transparente Nutzung. Hier müssen Werbetreibende jeweils dokumentieren und darüber informieren, woher die Daten stammen. Ein großer Teil der versendeten Print-Werbung trägt aber keine genaue Anschrift. In diesem Fall spricht man von teiladressierter und nicht adressierter Werbung. Grundsätzlich ist diese Werbeform sowohl im Consumer- als auch im Business-Bereich zulässig.

Was ist "vermutetes Interesse"?

Verbraucher dürfen nicht unzumutbar belästigt werden. Anrufe bei Personen, die noch keine Kunden sind, sind daher nur erlaubt, wenn diese vorher ausdrücklich oder stillschweigend eingewilligt haben. Im B2B-Bereich ist Telefonwerbung bei konkludenter oder mutmaßlicher Einwilligung erlaubt, das heißt, wenn es Anhaltspunkte für ein Interesse gibt. Doch dabei bewegen sich Werbetreibende oft in einer Grauzone. Wann ein solches "vermutetes Interesse" vorliegt, wird vom Gesetzgeber nicht eindeutig definiert. Diese Aufgabe übernimmt im Streitfall die Rechtsprechung.

Die Ansprache muss grundsätzlich transparent sein. Der Gesetzgeber verbietet sowohl im Kontakt zu Verbrauchern als auch zu Firmenkunden die Rufnummernunterdrückung. Die angezeigte Nummer muss nicht die des Auftraggebers sein. Die des Call-Centers reicht aus. Werbung per Telefax bedarf dagegen immer der vorherigen Zustimmung des Empfängers, unabhängig davon, ob der Adressat Privat- oder Geschäftskunde ist.

Sonderfälle E-Mail und SMS

Unter dem Begriff "elektronische Post" fasst der Gesetzgeber E-Mails, SMS und MMS zusammen. Für die Kontaktaufnahme muss eine ausdrückliche Einwilligung des Privat- und Geschäftskunden vorliegen. Doch es gibt eine Ausnahme: Haben Unternehmen die Kontaktdaten im Rahmen eines früheren Verkaufs erhalten, können sie die Informationen nutzen, um für ähnliche Produkte und Dienstleistungen zu werben. Auch hier müssen Werbetreibende den Adressaten sowohl bei der Datenerhebung als auch bei jeder Nutzung darauf hinweisen, dass er der weiteren Verwendung jederzeit widersprechen kann. Die gesetzlichen Details zu Telefon-Marketing und elektronischer Werbung regelt unter anderem der Paragraf 7 des UWG. (jha)