"Man kann nie genug über den Kunden wissen." Diese Maxime des CRM verträgt sich nicht ohne weiteres mit den Grundsätzen des Datenschutzes. Diese Erfahrung musste ein IT-Unternehmen machen, als es Kundendaten für den Vertrieb einer neuartigen Serviceleistung einsetzte und von einem E-Mail-Empfänger deswegen abgemahnt wurde. Der Unternehmer kannte zwar aus seinem CRM-System den entsprechenden möglichen Bedarf des Kunden, wusste jedoch nicht, dass eine E-Mail-Werbung nur für die Leistungen zulässig gewesen wäre, die in Beziehung zum Softwareprodukt gestanden hätten.
Das ist kein Einzelfall. Viele Unternehmen verfügen über Unmengen an Kundendaten, kennen sich aber nur vage mit den rechtlichen Bestimmungen zum zulässigen Nutzungsumfang aus. Vor allem bei mittelständischen Betrieben besteht noch großer Aufklärungsbedarf in Sachen Datenschutz. Für welche Zwecke dürfen einmalig erhobene Datensätze überhaupt eingesetzt werden? Über welchen Zeitraum müssen Kundeninformationen gespeichert werden? Wer darf die Kundendaten an wen weiterleiten? Die Informationen zu Vorlieben und Interessen von Kunden sind zwar nicht frei verwertbar, lassen sich aber nutzen, wenn Firmen bestimmte Handlungsgrundsätze einhalten.
CRM-Daten zu welchem Zweck?
Foto: Thomas Wilmer
Das Kundenbeziehungs-Management vereint idealerweise alle Informationen, die einem Unternehmen über den Kunden vorliegen. Diese Daten stammen vorwiegend aus den Bereichen Marketing, Sales und Service. Von Interesse sind dabei alle Angaben über das Kaufverhalten, die Zufriedenheit und die Orientierung der Personen. In einem Data Warehouse eines CRM-Systems können Firmen alle gewünschten - auch personenbezogenen - Daten zusammenfassen und für Auswertungen bereithalten. Dies ruft den Datenschutz auf den Plan: Vor dem Eingang zu einem solchen System steht der Zweckbindungsgrundsatz des Datenschutzes. Er schreibt vor, dass Firmen Daten nur zu dem Zweck verwenden dürfen, zu welchem sie erhoben wurden. Außerdem ist die Erhebung und Speicherung unnötiger Daten zu vermeiden. Weitere Anforderungen sind im Bundesdatenschutzgesetz, dem Telemediengesetz und dem Gesetz gegen unlauteren Wettbewerb verankert.
Ist ein Data Warehouse damit generell unzulässig? Nicht unbedingt, denn es kommt darauf an, welche Daten umfasst sind und wie sie erhoben wurden. Um einer Rechtsverletzung zu entgehen, sollte man im Umgang mit seinen Kundendaten daher folgende Punkte beherzigen:
1. Anlassbezogene Datenerhebung gewährleisten
Ein Problem des CRM ist, die gesammelten Daten zu pflegen und den Überblick zu behalten. Weniger ist hier oft tatsächlich mehr. Je einfacher sich die CRM-Software handhaben lässt, desto leichter fällt es, dem Datenschutz zu genügen. Sicher müssen zu den gespeicherten Kundendaten nicht alle Angaben zu "Hobbys, Familie, Politik, Militär, Stammtisch, Studentenverbindung, Empfänglichkeiten, Vereine, Ess- und Trinkgewohnheiten und schwache Punkte" (entnommen dem Wikipedia-Eintrag zu CRM) und damit besonders geschützte personenbezogene Daten gehören.
2. Grundlage prüfen, auf der die Daten erhoben wurden.
Daten, die erforderlich sind, um vertragliche Verpflichtungen gegenüber dem Kunden zu erfüllen, dürfen zu diesem Zweck ohne Einwilligung verarbeitet und genutzt werden. Weiterhin sind Kundendaten listenmäßig verwendbar, die keinem Geheimhaltungsbedürfnis unterliegen und an deren Nutzung das Unternehmen ein berechtigtes Interesse hat. Sonstige Daten dürfen nur mit besonderer Einwilligung des Kunden erhoben werden. Wenn der Kunde einwilligt, muss ihm klar sein, wie die Firma die Angaben über ihn verwendet. Außerdem muss er über Widerspruchs-, Auskunfts- und Löschungsrechte informiert werden. Es reicht aber nicht, solche Einwilligungserklärungen in die Allgemeinen Geschäftsbedingungen (Kunden-AGBs) aufzunehmen.
3. Verwendungszweck der Daten klären
Werden die Daten direkt zur Vertragserfüllung verwendet, ist dies unproblematisch. Will ein Unternehmen die Informationen anderweitig nutzen, etwa für Marketing-Aktivitäten, muss der Kunde dem zustimmen, falls die Verwendung nach wettbewerbsrechtlichen Grundsätzen nicht zulässig ist. Dies ist sowohl für die Art des Produkts oder der Dienstleistung als auch für den Vertriebskanal zu prüfen.
Werden diese Grundsätze eingehalten, lässt sich ein CRM-System betreiben, ohne dass Abmahnungen oder Bußgelder drohen. Nach Paragraph 9a des Bundesdatenschutzgesetzes (BDSG) können Anbieter von Datenverarbeitungssystemen und -programmen ihr Datenschutzkonzept durch Gutachter zertifizieren lassen, auch dies kann schließlich der Eigenwerbung dienen. (fn)
Bei der Auswahl Ihrer CRM-Software hilft Ihnen der CRM-Matchmaker von COMPUTERWOCHE und der Trovarit AG.