Kunden 2.0: Datenschutz bei CRM und Social Media

Die vermehrte Nutzung von so genannten „Social Media-Angeboten“, also Plattformen zum Informationsaustausch zwischen den beteiligten Nutzern, versuchen CRM-Software-Anbieter auch für Unternehmen nutzbar zu machen. Werden Geschäftsbeziehungen in CRM-Software bislang in der Regel mit Adressinformationen, Anrufübersichten und manuell eingegebenen Zusatzinformationen abgebildet – bei mancher Software unter Umständen noch ergänzt um Informationen zur E-Mail und Newsletter-Nutzung – bieten CRM-Systeme mittlerweile auch die Ergänzung des eigenen CRM-Datenbestands durch Informationen aus Social-Media-Plattformen.

Speicherung der Herkunft der Daten

Eine mit der Neufassung des Bundesdatenschutzgesetzes 2009 nochmals verstärkt klargestellte Forderung ist die Pflicht für die Unternehmen, bei der werblichen Verwendung von Daten den Betroffenen grundsätzlich auch über die Herkunft dieser Daten zu informieren. Dies kann naturgemäß nur dann geschehen, wenn solche Informationen in der CRM-Datenbank auch hinterlegt sind. Ein „wildes Vermischen“ von Daten ohne Rückverfolgbarkeit der jeweiligen Quellen der einzelnen Datenteile führt dazu, dass die in der CRM-Software gespeicherten Daten nicht datenschutzkonform genutzt werden können.

„Verbot mit Erlaubnisvorbehalt“: Erst fragen, dann tracken

Im deutschen und europäischen Datenschutzrecht gilt zudem folgende zentrale Regelung: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit dies gesetzlich erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat (umgangssprachlich als „Verbot mit Erlaubnisvorbehalt“ bezeichnet).

Da gesetzliche Erlaubnistatbestände zumeist nicht eingreifen, bedarf die Verbindung von CRM-Software und Social-Media-Tools daher der Einwilligung der Betroffenen. Die Einwilligung muss dabei in der Regel nicht schriftlich erfolgen, sollte aber in irgendeiner Form (elektronisch) festgehalten werden, um im Zweifel den Erhalt einer Einwilligungserklärung nachweisen zu können. Um wirksam zu sein, muss die Einwilligungserklärung zudem auf einer vollständigen Information des Betroffenen beruhen und spezifisch die geplante Datennutzung bezeichnen. Ferner bedarf die Einwilligung stets einer „aktiven Willenshandlung“, um wirksam zu sein. Vorangehakte oder versteckte Einwilligungserklärungen sind daher rechtlich nicht wirksam.

Zweckbindungsgrundsatz

Ein weiterer wichtiger zentraler Baustein des Datenschutzrechts ist der so genannte „Zweckbindungsgrundsatz“, also die Forderung, dass Daten ohne gesetzliche Erlaubnis oder Einwilligung des Betroffenen nur für den Zweck verwendet werden dürfen, für den diese ursprünglich erhoben worden sind.

Ein Beispiel: Nutzt ein Kunde eine Facebook-App des Unternehmens und werden daher dem Unternehmen bestimmte für die Nutzung der App erforderliche Daten des Kunden bekannt, bedarf die Übergabe dieser Daten in das CRM-System des Unternehmens der Einwilligung des Betroffenen.

Transparenz bei der Datenverarbeitung

Eine sehr häufig geäußerte Forderung betrifft die Transparenz der Datenverarbeitung. Die (vereinfachte) Theorie dahinter: je mehr Informationen dem Betroffenen über die geplante Art und den beabsichtigten Umfang der Datenerhebung und -verwendung vorliegen, desto geringer ist die damit verbundene Beeinträchtigung seiner informationellen Selbstbestimmung und desto eher ist die geplante Datenverarbeitung (im Einzelfall auch ohne Einwilligung des Betroffenen) als zulässig zu erachten.

Gerade bei Funktionen wie der Verknüpfung des betrieblichen CRM-Systems mit den XING oder LinkedIn Accounts der Beschäftigten stellen sich datenschutzrechtliche Fragen: dürfen die Daten überhaupt dem Arbeitgeber zur Verfügung gestellt werden? Darf der Arbeitgeber die Daten auch nach Ausscheiden des Beschäftigten aus dem Unternehmen weiterverwenden? Zur Vermeidung von Streitigkeiten über diese von den Datenschutz-Aufsichtsbehörden bislang in der Breite noch nicht aufgegriffenen Fragen empfiehlt es sich, in Absprache mit den Beschäftigten nur ausgewählte „betriebliche“ Kontakte aus XING und LinkedIn in die CRM-Software zu übernehmen und mit dem Beschäftigten eine Regelung zu treffen, wie mit den Daten beim etwaigen Ausscheiden des Beschäftigten aus dem Unternehmen verfahren werden soll.

Wer darf auf welche Daten zu welchem Zweck zugreifen?

Wie den beschriebenen Punkten zu entnehmen ist, regelt das Datenschutzrecht die Frage, wer welche personenbezogenen Daten zu welchem Zweck erheben und nutzen darf. Damit sind die datenschutzrechtlichen Vorgaben nicht nur irgendein weiteres Gesetz, das allein deshalb befolgt wird, um Bußgelder zu vermeiden. Vielmehr sollen auch die wirtschaftlichen Nutzungsmöglichkeiten der Verarbeitung personenbezogener Daten erschlossen werden. Daher gilt es, die datenschutzrechtlichen Vorgaben bei der Erweiterung eines CRM-Systems um Social-Media-Kanäle bereits nach Möglichkeit im Vorfeld zu analysieren.

Fazit

Wie jede auf der Verarbeitung personenbezogener Daten beruhende technische Neuerung ruft auch die Verbindung von CRM-Software und Social-Media-Kanälen das Datenschutzrecht auf den Plan. Aufgrund der damit einhergehenden auch rechtlich neuen Fragestellungen gibt es noch keinen abschließend verlässlichen Katalog, der sämtliche datenschutzrechtlichen Aspekte behandelt. Unternehmen sollten bei der Einführung derartiger Software in Zusammenarbeit mit dem Datenschutzbeauftragten und unter Umständen externem Rechtsrat die neuen Funktionen im Detail prüfen und gegebenenfalls anpassen lassen. Als Richtschnur sollten hierbei die beschriebenen Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der Zweckbindung und der Forderung nach einer transparenten Datenerhebung und -verarbeitung dienen.

Autor: Rechtsanwalt Dr. Sebastian Kraska ist auf den Bereich des betrieblichen Datenschutzrechts spezialisiert und betreut gemeinsam mit einem Team von Regionalpartnern Unternehmen im gesamten Bundesgebiet als externer Datenschutzbeauftragter. Er leitet das Institut für IT-Recht, das Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen berät. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt.