computerwoche.de

Archiv

Juristische Grenzen bei CRM

17.10.2001
Von Christian Czirnich
MÜNCHEN (COMPUTERWOCHE) - Nicht alles, was Firmen im Rahmen des Customer-Relationship-Management (CRM) machen, ist nach den deutschen Datenschutzgesetzen auch erlaubt. Klare Regelungen und juristische Grauzonen schränken die Datennutzung ein.

Kundendaten, die im Rahmen der Auftragserfassung einmal in der EDV gespeichert sind, werden meist nicht nur für die Dauer der Bearbeitung des aktuellen Auftrags, sondern auf längere Zeit gespeichert und darüber hinaus zu Werbe- und Statistikzwecken genutzt. Moderne CRM-Software erlaubt es beispielsweise Vertretern, vor Ort per Laptop Kundendaten abzurufen, Details zu Orders mit der Zentrale abzugleichen und Bestellungen mit Terminzusage aufzunehmen. Doch nicht alles, was unter dem Etikett CRM gemacht wird, ist auch erlaubt.

Mit der Novellierung des Bundesdatenschutzgesetzes, die am 23. Mai 2001 in Kraft trat, wurden die Bestimmungen für die Erhebung, Verarbeitung und Verwendung von personenbezogenen Daten durch private Unternehmen sehr viel umfassender als bisher geregelt. Leitprinzip des Gesetzes ist das in Paragraph 3a formulierte Gebot der Datenvermeidung und Datensparsamkeit. Es gilt dabei, so wenig personenbezogene Daten zu erheben wie möglich - eine Forderung, die im E-Commerce-Bereich bereits zu ersten Abmahnwellen geführt hat.

Im Internet genügt zur Zusendung von Newslettern, die E-Mail-Adresse des Interessenten zu erfragen. Darüber hinausgehende Fragen nach Namen, Anschrift oder weiteren Details sind nur zulässig, wenn der Kunde diese Daten freiwillig preisgibt und dies auch eindeutig mitgeteilt bekommt.

Es gilt weiter das Grundgebot, dass Daten möglichst nur in anonymisierter oder pseudonymisierter Form verarbeitet werden sollen. Firmeninterne statistische Auswertungen dürfen etwa keinen Rückschluss auf einzelne Kunden mehr ermöglichen. Eine Forderung, die bei der elektronischen Datenverarbeitung oft schwierig einzuhalten ist.

In den USA sind die Sammlung von Kundendaten und die Frage, was mit diesen alles gemacht werden darf, per Selbstregulierung durch die einzelnen Firmen festgelegt. Das Unternehmen bestimmt in seiner "Privacy Policy", was mit Kundendaten geschieht und wozu diese verwendet werden sollen. Will ein Kunde keine Werbung erhalten, muss er dies der Firma explizit mitteilen. In der EU hingegen gilt: Ohne Einwilligung des Betroffenen dürfen personenbezogene Daten wie Name, Anschrift oder Telefonnummer weder erhoben noch gespeichert noch verarbeitet werden. Eine wirksame Einwilligung setzt dabei voraus, dass der Kunde explizit darüber informiert wurde, wofür seine Daten, außer zur Auftragsbearbeitung, noch genutzt werden sollen.