Kundendaten, die im Rahmen der Auftragserfassung einmal in der EDV gespeichert sind, werden meist nicht nur für die Dauer der Bearbeitung des aktuellen Auftrags, sondern auf längere Zeit gespeichert und darüber hinaus zu Werbe- und Statistikzwecken genutzt. Moderne CRM-Software erlaubt es beispielsweise Vertretern, vor Ort per Laptop Kundendaten abzurufen, Details zu Orders mit der Zentrale abzugleichen und Bestellungen mit Terminzusage aufzunehmen. Doch nicht alles, was unter dem Etikett CRM gemacht wird, ist auch erlaubt.
So wenig Daten wie möglichMit der Novellierung des Bundesdatenschutzgesetzes, die am 23. Mai 2001 in Kraft trat, wurden die Bestimmungen für die Erhebung, Verarbeitung und Verwendung von personenbezogenen Daten durch private Unternehmen sehr viel umfassender als bisher geregelt. Leitprinzip des Gesetzes ist das in Paragraph 3a formulierte Gebot der Datenvermeidung und Datensparsamkeit. Es gilt dabei, so wenig personenbezogene Daten zu erheben wie möglich - eine Forderung, die im E-Commerce-Bereich bereits zu ersten Abmahnwellen geführt hat. Im Internet genügt zur Zusendung von Newslettern, die E-Mail-Adresse des Interessenten zu erfragen. Darüber hinausgehende Fragen nach Namen, Anschrift oder weiteren Details sind nur zulässig, wenn der Kunde diese Daten freiwillig preisgibt und dies auch eindeutig mitgeteilt bekommt. Es gilt weiter das Grundgebot, dass Daten möglichst nur in anonymisierter oder pseudonymisierter Form verarbeitet werden sollen. Firmeninterne statistische Auswertungen dürfen etwa keinen Rückschluss auf einzelne Kunden mehr ermöglichen. Eine Forderung, die bei der elektronischen Datenverarbeitung oft schwierig einzuhalten ist.
In den USA sind die Sammlung von Kundendaten und die Frage, was mit diesen alles gemacht werden darf, per Selbstregulierung durch die einzelnen Firmen festgelegt. Das Unternehmen bestimmt in seiner "Privacy Policy", was mit Kundendaten geschieht und wozu diese verwendet werden sollen. Will ein Kunde keine Werbung erhalten, muss er dies der Firma explizit mitteilen. In der EU hingegen gilt: Ohne Einwilligung des Betroffenen dürfen personenbezogene Daten wie Name, Anschrift oder Telefonnummer weder erhoben noch gespeichert noch verarbeitet werden. Eine wirksame Einwilligung setzt dabei voraus, dass der Kunde explizit darüber informiert wurde, wofür seine Daten, außer zur Auftragsbearbeitung, noch genutzt werden sollen. Die EU hat es derzeit hinsichtlich Werbe-Mailings, insbesondere E-Mail-Marketing, den Mitgliedsstaaten überlassen, sich für die Opt-In- oder die Opt-Out-Lösung zu entscheiden. Während Österreich per Gesetz klar der Opt-In-Lösung den Vorzug gegeben hat, bei der Kunden der Verwendung ihrer Daten zu Werbezwecken ausdrücklich zustimmen müssen, besteht in Deutschland eine rechtliche Grauzone. Das Bundesdatenschutzgesetz erlaubt die Nutzung von personenbezogenen Daten zu Werbezwecken, sofern der Kunde hierüber ausdrücklich informiert wurde und dem nicht widersprochen hat. Dies gilt in dieser Form jedoch lediglich für Briefwerbung. Fax- und E-Mail-Werbung ist nur eingeschränkt zulässig, nachdem es der Gesetzgeber versäumte, dies im Fernabsatzgesetz zu regeln. Nach wie vor sind also E-Mail-Mailings gegenüber Kunden erlaubt, gegenüber Firmen aber nicht. Gegenüber sonstigen Privaten aber sollen diese Mailings wiederum erlaubt sein, sofern Letzteren dabei keine Kosten entstehen.
Verstöße können teuer werdenEin Verstoß gegen die Pflicht zur Unterrichtung des Kunden über die Nutzung seiner Daten zu Werbezwecken und über das bestehende Widerspruchsrecht kann als Ordnungswidrigkeit mit bis zu 50000 Mark geahndet werden. Deshalb empfiehlt es sich, von vorne herein auf den verwendeten Formularen die Opt-In-Lösung vorzusehen: Will der Kunde neben der Bestellung auch laufend Informationsmaterial über Produkte oder von dritter Seite erhalten, sollte er dies ausdrücklich per Kreuz auf dem verwendeten Formular erklären. Bei E-Commerce geschieht das per Mausklick, der einschließlich der IP-Nummer mitzuprotokollieren ist. Fordert ein Kunde ein Unternehmen auf, ihm keine Werbung mehr zuzusenden, dann ist das zwingend zu respektieren. Hat ein Unternehmen die Daten als Bestandteil einer Adressliste von einem Adress-Broker erhalten, so ist dem widersprechenden Kunden zusätzlich Name und Anschrift dieses Brokers mitzuteilen. Auch diese Pflicht ist per Ordnungsgeld von bis zu 50000 Mark abgesichert.
Die Verarbeitung von Kundendaten in internationalen Konzernen ist unproblematischer geworden, soweit es die Datenübermittlung innerhalb der EU betrifft. Diese ist mit Wissen des Kunden zulässig. Anders im Datenverkehr mit den USA: Auf Grund der anderen Regelung des Datenschutzes in den Vereinigten Staaten gilt, dass an Unternehmen, die sich bei der Federal Trade Commission registrieren lassen und dem Safe-Harbor-Abkommen EU-USA unterwerfen, Daten übermittelt werden dürfen. An andere US-Unternehmen jedoch dürfen weiterhin keine Daten verschickt werden. Ausnahme: Die beteiligten Firmen haben untereinander die Geltung der zwischen den USA und der EU ausgehandelten allgemeinen Bestimmungen zum Datenschutz vereinbart.
Personalisierung ist problematischAuch wenn es CRM-Software möglich machen sollte: Die Verbindung von im Internet erfassten pseudonymisierten Daten mit im Unternehmen gespeicherten Kundendaten ist strikt verboten. Problematisch wird es, diese Forderung einzuhalten, wenn der E-Commerce-Kunde selbst personalisierten Content wünscht und sich aus seiner Anonymität herausbegibt. Auch hier gilt es, so wenig Daten zu sammeln und per Cookie beim Nutzer zu speichern, wie sie für personalisierten Content gerade noch erforderlich sind. Um sich hier keine Vorwürfe gefallen lassen zu müssen, sollte der Kunde über sämtliche Nutzungszwecke seiner Daten aufgeklärt werden und der Verwendung einschließlich der Verwendung von Cookies zustimmen. Anzuraten ist, diese Zustimmung ebenfalls zu protokollieren.
CRM kann im Einklang mit deutschen Datenschutzgesetzen eingesetzt werden - vorausgesetzt der (potenzielle) Kunde hat hierzu vorab sein Einverständnis gegeben. Liegt dieses nicht schriftlich vor, ist es im Interesse des Unternehmens auf eine andere geeignete Art mitzuprotokollieren, um dieses im Fall des Falles auch nachweisen zu können. Eine Weitergabe, insbesondere der Weiterverkauf der erfassten Daten, an dritte Unternehmen sollte grundsätzlich ausgeschlossen sein.
*Christian Czirnich ist Rechtsanwalt in München.