CRM und Datenschutz – Mit einem Bein im Gefängnis?

Erstellt am Juni 5, 2013 von Markus Grutzeck
Markus Grutzeck, Vorstand Contact-Center-Network e.V. und CRM-Experte von Grutzeck-Software GmbH

Markus Grutzeck, Vorstand Contact-Center-Network e.V. und CRM-Experte von Grutzeck-Software GmbH

Jeden Tag drängen Meldungen über Datenschutzpannen an die Öffentlichkeit. Eine chronologische Auflistung kleiner und großer Pannen befindet sich übersichtlich bei http://datenleck.net/. Doch dazu muss es gar nicht kommen. Denn aktiver Datenschutz ist ein Qualitätsmerkmal für den Kunden und somit ein Wettbewerbsvorteil gegenüber Marktbegleitern.

Verkaufsleiter Max Muster freut sich. Von einem befreundeten Unternehmen hat er eine Excel-Tabelle von potentiellen Interessenten erhalten mit detaillierten Informationen zu Ansprechpartnern inkl. Durchwahl, Geburtstagen und Hobbies. Voller Freude spielt er die Excel-Liste in sein CRM-System ein und stürzt sich in die Akquise – bis der interne Datenschutzbeauftragte davon erfährt und ihn rüde stoppt.

Warum? Schauen wir uns die Situation im Detail an …

Welche Daten dürfen überhaupt gespeichert werden?

Das Bundesdatenschutzgesetz (BDSG) gilt für alle Unternehmensgrößen. Lediglich die Bestellung eines Datenschutzbeauftragten ist an die Unternehmensgröße in Form von Mitarbeiteranzahl gekoppelt.

Das Bundesdatenschutzgesetz (BDSG) verlangt den Grundsatz der Minimierung der Anzahl gespeicherter Daten (§ 3a Datenvermeidung und Datensparsamkeit  ). Das steht dem Interesse im Vertrieb diametral entgegen. Aber alle Informationen, die öffentlich zugänglich sind (Die man also ohne vorherige Anmeldung z.B. im Internet frei einsehen kann), können gespeichert werden (Daten aus öffentlichen Registern). Dazu zählen z.B. Telefon- oder Branchenbücher, öffentlich zugängliche Messekataloge usw.

Weiterhin dürfen Sie alle Informationen im Rahmen eines bestehenden Vertragsverhältnisses speichern, die zur Erfüllung der Leistung benötigt werden. D.h. z.B. Laufzeiten, Preise usw.

Aber alle Informationen, die geneigt sind ein Persönlichkeitsprofil abzuleiten, bedürfen zur Speicherung der Zustimmung der betroffenen Person (§ 28 Abs. 3 BDSG).
Einzige Ausnahme bildet das Listenprivileg (§ 28 Abs. 3 S. 2 BDSG). Dabei geht es nur um folgende Daten:

  • gemeinsames Listenmerkmal (z.B. für Mailingaktionen),
  • Berufs-, Branchen- oder Geschäftsbezeichnung,
  • Name, Titel, akademischer Grad
  • Anschrift
  • Geburtsjahr

Woher kommen die Daten?

Mit dem Ende der Übergangsfrist der BDSG Novelle am 31. August 2012 müssen Unternehmen für alle gespeicherten Daten einen lückenlosen Nachweis führen können, woher die gespeicherten Daten stammen, d.h. die Quelle der Erhebung. Im Falle einer Überprüfung durch die zuständige Aufsichtsbehörde kann ein fehlender Nachweis zur Löschung der Datensätze führen, bei dem kein Nachweis der Herkunft erbracht werden kann. Daneben drohen Bußgelder bis zu € 50.000,00 und mehr und im Extremfall sogar die Stilllegung der IT und damit faktisch des Betriebes.

Eine Überprüfung durch die Aufsichtsbehörde erfolgt z.B., wenn ein angeschriebener potentieller Interessent sich bei der Aufsichtsbehörde beschwert.

Daneben steht aber der betroffenen Person nach § 19 und § 34 BDSG ebenfalls ein direktes Auskunftsrecht zu: Dabei muss das Unternehmen offenlegen, welche Daten zu welchem Zweck über die Person gespeichert werden,  woher diese Daten stammen und an wen die Daten weitergegeben wurden.

Was ist zu tun?

  1. Überprüfen Sie, wo im Unternehmen Personen bezogene Daten gespeichert werden.
  2. Kontrollieren Sie die Herkunft der Daten. Im Zweifelsfall löschen Sie die Daten oder verhindern zumindest die Verwendung.

Im Beispiel zu Beginn des Artikels gibt es keinen Nachweis über die Erlaubnis zur Speicherung der Hobbies und Geburtstage. Diese Informationen stehen vermutlich nicht in öffentlich zugänglichen Verzeichnissen und sind nicht Bestandteil eines Listenmerkmals. Lediglich bei dem Geburtsjahr handelt es sich um Listendaten.

Wie sieht ein Opt-In aus?

Laut Contactcenter Investitionsstudie 2013, in der im November 2012 vom Contact-Center-Network e.V. mehr als 200 Führungskräfte in der D-A-CH-Region befragt wurden, ist das Thema „Datenschutz“ mit 90,5 % der Nennungen Top-Thema Nr. 1.

Die Frage ist, wie man gesetzeskonform Neukundenakquise betreiben und exzellenten Service anbieten Kann?

In vielen Unternehmen immer noch üblich, ist die großflächige  Ansprache von potentiellen Kunden über unterschiedliche Kanäle. Wenn sich jemand beschwert, wird ein Merkmal „Werbesperre“ im CRM-System hinterlegt.
Aber so einfach ist es nach dem Ende der BDSG-Novelle nicht mehr. Der Gesetzgeber verlangt vor der Werbemaßnahme das explizite Opt-In und kein nachträgliches Opt-Out.

Der Gesetzgeber schreibt für das Opt-In keine bestimmte Form vor. Insofern kann das Einverständnis für die werbliche Ansprache über jeden denkbaren Kommunikationskanal erfolgen. Die Herausforderung ist jedoch, dass das werbetreibende Unternehmen das Opt-In beweisen können muss.

In der Formulierung des Opt-In gilt das Transparenzgebot. D.h. für den Kunden muss verständlich sein, zu welchem Zweck und zu welcher Verwendung er sein Einverständnis für die Nutzung seiner Daten gibt.

Dazu darf ein Opt-In nicht vorausgefüllt sein, z.B. Online-Formular.

Keine gültigen Opt-Ins sind z.B.:

„… erklärt sein Einverständnis, dass …. wie alle Teilnehmer touristische und nicht touristische Werbung von uns und unseren Partnern erhält …“
Diese Klausel ist vollständig konturlos. Sie ist weder inhaltlich noch zeitlich noch personell in irgendeiner relevanten Art und Weise eingegrenzt.

„… nur von uns und unseren Geschäftspartnern für die Zusendung des 14-täglichen, kostenlosen Newsletters sowie von Verbrauchern-Tipps und Markt-Informationen..„
Der Begriff „Verbraucher-Tipps und Markt-Informationen“ ist nicht konkret genug. Die darauffolgende Aufzählung von Produktgruppen wie Touristik, Automobil etc. willkürlich

„… Zur Gewinnbenachrichtigung und für weitere interessante telefonische Angebote der Z GmbH aus dem Abonnementbereich …“

Die Klausel „aus dem Abonnementbereich„ ist zu weit gefasst, z.B. nicht nur Druckschriften … sondern auch andere abonnierbare Media- wie  Newsletter, ggf. sogar für die Bewerbung von Waren und Dienstleistungen.

Sehr unterschiedlich beurteilen Gerichte aktuell die zeitliche Gültigkeit eines erteilten Opt-Ins:

Das Landgericht Hamburg sieht 10 Jahre (LG Hamburg AZ: 312 O 645/02), das Landgericht Berlin 2 Jahre (LG Berlin AZ: 15 O 653/03), das Landgericht München bei Nicht-Nutzung eines Opt-Ins 1,5 Jahre (LG München I AZ: 17 HKO 138/10) und das Oberlandesgericht Stuttgart für ein nicht genutztes Fax-Opt-In sogar nur vier Wochen (OLG Stuttgart (MMR 2008, 136).

Das bedeutet für Sie: Nutzen Sie das erteilte Opt-In für die werbliche Ansprache und ermöglichen Sie dabei dem Kunden bei jedem Kontakt, den Widerspruch.

Das Opt-In für die werbliche Ansprache im Business-to-Business-Bereich wird benötigt:

Telefon Fax E-Mail
Ausdrückliche vorherige oder vermutete Einwilligung Ausdrückliche vorherige Einwilligung Ausdrückliche vorherige Einwilligung oder Ausnahme nach
§ 7 (3) UWG
Grundlage Grundlage Grundlage
§ 7 (2) Nr. 2 UWG § 7 (2) Nr. 3 UWG § 7 (2) Nr. 3 UWG

Im Consumerbereich ist außer bei der Ansprache per Post immer ein vorheriges Einverständnis notwendig.

Im Businessbereich ist von einem mutmaßlichen Einverständnis  für eine telefonische Ansprache auszugehen, wenn:

  • zwischen Anrufer und Angerufenen eine Geschäftsbeziehung besteht
  • wenn der Anrufer Kunden vermitteln will
  • wenn der Anrufer von Dritten erfahren hat, dass das Unternehmen gegenüber der Kontaktaufnahme positiv eingestellt ist
  • es sonstige Gründe aus der Interessenslage des Angerufenen gibt, welche für diese Vermutung sprechen

Also ganz praktisch:

Sie sind als Aussteller auf einer Messe. Sie führen ein Fachgespräch mit einem Besucher.  Sie erhalten die Visitenkarte des Gesprächspartners.
Ein Anruf wäre möglich, weil es sich aus der vermuteten Interessenlage des Besuchers ergibt. Für die Informationszusendung per Email bräuchten Sie allerdings das vorherige Einverständnis.

Konsequenzen für Ihr CRM-System

Das eingesetzte CRM-System sollte über Felder zur Verwaltung der Opt-Ins getrennt nach einzelnen Kommunikationskanälen verfügen:

Datenschutz konformes CRM am Beispiel der CRM-Software AG-VIP SQL

Datenschutz konformes CRM am Beispiel der CRM-Software AG-VIP SQL

Liegt kein Opt-In vor, muss die Ansprache über diesen Kanal verhindert werden. Viele CRM-Systeme verfügen z.B. über eine integrierte CTI-Funktion. Wünscht der Betroffene keine Anrufe und das Feld „Opt-In  Telefon“ steht auf „Nein“, darf hier kein Anruf möglich sein.

Datenschutz konformes Kampagnenmanagment-Ablauf ohne Opt-In

Datenschutz konformes Kampagnenmanagment-Ablauf ohne Opt-In

Ebenso muss das Kampagnenmanagement Opt-Ins berücksichtigen und alternative Wege der Ansprache vorsehen:

Datenschutz konformes Kampagnenmanagment-Ablauf mit Berücksichtigung Opt-In

Datenschutz konformes Kampagnenmanagment-Ablauf mit Berücksichtigung Opt-In

So werden teure Strafen und ein enormer Reputationsverlust vermieden.

Was droht bei Verstößen?

Bei Verstößen gegen das BDSG ist immer das öffentliche Interesse gegeben. D.h. hier werden die Aufsichtsbehörden bei Kenntnisnahme direkt aktiv. Es drohen Geldstrafen von bis zu € 50.000,00. Die Strafe kann  aber auch den wirtschaftlichen Vorteil, den der Täter aus dem Datenschutzverstoß erwirtschaftet hat, in jedem Fall übersteigen. So hat z.B. der Telekommunikationsanbieter Tele 2 wegen unerlaubter Telefonwerbung Strafen im 6-stelligen Bereich gezahlt (2007). Ebenso wurde die Deutsche Bahn 2009 zu einer Zahlung von € 1,12 Millionen wegen Datenschutzverletzungen verurteilt.

Neben Geld- und ggf. Haftstrafen für Führungskräfte ist aber der entstandene Imageschaden bei bekanntwerden von Datenschutzverstößen oftmals gravierender. Reputationsschäden sind teilweise irreparabel

Fazit:

Wer Daten weiter fleißig sammelt und werblich verwendet, fährt einen riskanten Kurs. Unbedingt zu prüfen sind die eigenen Datenbestände auf Herkunft und vorliegende Einverständnisse für die werbliche Ansprache. Das eingesetzte CRM-System gehört auf den Prüfstand, ob hier die Verwaltung von Opt-Ins möglich ist. Im Kampagnenmanagement müssen Opt-Ins berücksichtigt und ggf. andere Wege der Ansprache gefunden werden.

Insbesondere die Mitarbeiter sind im Umgang mit personenbezogenen Daten und der werblichen Ansprache zu schulen. In der PwC-Studie „Daten schützen! Stand des Datenschutzes in Deutschen Großunternehmen 2010“ erhielten nur 25 % der Mitarbeiter eine regelmäßige Schulung zum Thema „Datenschutz“.

Lassen Sie also die Finger von anscheinend interessanten Kontaktdaten wie im Eingangsbeispiel die besagte Excel-Liste. Überzeugen Sie durch Leistung und erarbeiten Sie sich das Vertrauen Ihrer potentiellen Kunden. Sonst droht dem Unternehmen erheblicher finanzieller und medienwirksamer Schaden.

Denn Datenschutz ist ein Qualitätsverbesserungsmerkmal aus Sicht des Kunden.

Über Markus Grutzeck

Als Geschäftsführer leite ich die Grutzeck-Software GmbH. Das Unternehmen beschäftigt sich mit flexibel anpassbarer Standardsoftware für die Anwendungsgebiete - Contactcenter, - operatives CRM / Vertriebssteuerung / - controlling sowie - Kampagnenmanagement & Adressmanagement. Veröffentlichungen in einschlägigen Fachzeitschriften Callcenterprofi, TeleTalk, Direkt-Marketing, Praxisletter Mailing, Funkschau u.a.. Parallel halte ich Vorträge auf Kongressen zu den Themen “Einführung von CRM-Software“, , „CRM und Datenschutz“, „Auswahlkriterien für Callcenter Software“, "Kampagnen effektiv planen, durchführen & steuern", uvm. Direktkontakt: Markus Grutzeck Grutzeck-Software GmbH Hessen-Homburg-Platz 1 63452 Hanau Telefon: +49 (6181) 97010 Mail: mailto:info@grutzeck.de Web: http://www.grutzeck.de http://www.CRM-Einführung.de http://www.erfolgreiches-contactcenter.de
Dieser Beitrag wurde unter Callcenter, Contact Center, CRM, Datenschutz, Kundendialog, Kundenservice abgelegt und mit , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Hinterlasse einen Kommentar