Unternehmen setzen zur Organisation ihrer Kundenbeziehungen so genannte Customer-Relationship-Management-Software (CRM-Software) ein, in welcher der komplette Verlauf einer Kundenbeziehung gespeichert wird. Eine der Hauptaufgaben der CRM-Software ist dabei die strukturierte Gewinnung neuer Kunden. Der folgende Beitrag gibt Empfehlungen, was aus datenschutzrechtlicher Sicht bei der Verbindung von CRM-Software mit "Social Media" Tools wie Facebook, Twitter, Google+, XING und LinkedIn zu beachten ist.
"CRM" und "Social Media": Kundenkartei 2.0
Die vermehrte Nutzung von sogenannten "Social Media-Angeboten", also Plattformen zum Informationsaustausch zwischen den beteiligten Nutzern, versuchen CRM-Softwareanbieter auch für Unternehmen nutzbar zu machen. Werden Geschäftsbeziehungen in CRM-Software bislang in der Regel mit Adressinformationen, Anrufübersichten und manuell eingegebenen Zusatzinformationen abgebildet - bei mancher Software unter Umständen noch ergänzt um Informationen zur E-Mail und Newsletter-Nutzung - bieten CRM-Systeme mittlerweile auch die Ergänzung des eigenen CRM-Datenbestandes durch Informationen aus Social-Media-Plattformen.
Speicherung der Herkunft der Daten
Eine mit der Neufassung des Bundesdatenschutzgesetzes in 2009 nochmals verstärkt klargestellte Forderung ist die Pflicht für die Unternehmen, bei der werblichen Verwendung von Daten den Betroffenen grundsätzlich auch über die Herkunft der Daten zu informieren. Dies kann naturgemäß nur dann geschehen, wenn diese Information in der CRM-Datenbank auch hinterlegt ist. Ein "wildes Vermischen" von Daten ohne Rückverfolgbarkeit der jeweiligen Quellen der einzelnen Datenteile führt dazu, dass die in der CRM-Software gespeicherten Daten nicht datenschutzkonform genutzt werden können.
"Verbot mit Erlaubnisvorbehalt": erst fragen, dann tracken
Im deutschen und europäischen Datenschutzrecht gilt zudem folgende zentrale Regelung: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dies gesetzlich erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat (umgangssprachlich als "Verbot mit Erlaubnisvorbehalt" bezeichnet).
Da gesetzliche Erlaubnistatbestände zumeist nicht eingreifen bedarf die Verbindung von CRM-Software und Social Media Tools daher der Einwilligung der Betroffenen. Die Einwilligung muss dabei in der Regel nicht schriftlich erfolgen, sollte aber in irgendeiner Form (elektronisch) festgehalten werden, um im Zweifel den Erhalt einer Einwilligungserklärung nachweisen zu können. Um wirksam zu sein muss die Einwilligungserklärung zudem auf einer vollständigen Information des Betroffenen beruhen und spezifisch die geplante Datennutzung bezeichnen. Ferner bedarf die Einwilligung stets einer "aktiven Willenshandlung" um wirksam zu sein. Vorangehakte oder versteckte Einwilligungserklärungen sind daher rechtlich nicht wirksam.
Zweckbindungsgrundsatz
Ein weiterer wichtiger zentraler Baustein des Datenschutzrechts ist der so genannte "Zweckbindungsgrundsatz", also die Forderung, dass Daten ohne gesetzliche Erlaubnis oder Einwilligung des Betroffenen nur für den Zweck verwendet werden dürfen, für den diese ursprünglich erhoben worden sind.
Ein Beispiel: Nutzt ein Kunde eine Facebook-App. des Unternehmens und werden daher dem Unternehmen bestimmte für die Nutzung der App. erforderliche Daten des Kunden bekannt, bedarf die Übergabe dieser Daten in das CRM-System des Unternehmens der Einwilligung des Betroffenen.
Transparenz bei der Datenverarbeitung
Eine sehr häufig geäußerte Forderung betrifft die Transparenz der Datenverarbeitung. Die (vereinfachte) Theorie dahinter: je mehr Informationen dem Betroffen über die geplante Art und den beabsichtigten Umfang der Datenerhebung und -verwendung vorliegen, desto geringer ist die damit verbundene Beeinträchtigung seiner informationellen Selbstbestimmung und desto eher ist die geplante Datenverarbeitung (im Einzelfall auch ohne Einwilligung des Betroffenen) als zulässig zu erachten.
Wem "gehören" die Daten eigentlich? Verknüpfung mit Xing"Accounts
Gerade bei Funktionen wie der Verknüpfung des betrieblichen CRM-Systems mit den Xing oder LinkedIn Accounts der Beschäftigten stellen sich datenschutzrechtliche Fragen: dürfen die Daten überhaupt dem Arbeitgeber zur Verfügung gestellt werden? Darf der Arbeitgeber die Daten auch nach Ausscheiden des Beschäftigten aus dem Unternehmen weiter verwenden? Zur Vermeidung von Streitigkeiten über diese von den Datenschutz-Aufsichtsbehörden bislang in der Breite noch nicht aufgegriffenen Fragen empfiehlt es sich, in Absprache mit den Beschäftigten nur ausgewählte "betriebliche" Kontakte aus Xing und LinkedIn in die CRM-Software zu übernehmen und mit dem Beschäftigten eine Regelung zu treffen, wie mit den Daten beim etwaigen Ausscheiden des Beschäftigten aus dem Unternehmen verfahren werden soll.
Wer darf auf welche Daten zu welchem Zweck zugreifen?
Wie den beschriebenen Punkten zu entnehmen ist regelt das Datenschutzrecht die Frage, wer welche personenbezogenen Daten zu welchem Zweck erheben und nutzen darf. Damit sind die datenschutzrechtlichen Vorgaben nicht allein irgendein weiteres Gesetz, dessen Befolgung nur allein deshalb erfolgt, um Bußgelder zu vermeiden, sondern um die wirtschaftlichen Nutzungsmöglichkeiten der Verarbeitung personenbezogener Daten zu erschließen. Daher sollten die datenschutzrechtlichen Vorgaben bei der Erweiterung eines CRM-Systems um Social-Media Kanäle bereits nach Möglichkeit im Vorfeld analysiert werden.
Fazit
Wie jede auf der Verarbeitung personenbezogener Daten beruhende technische Neuerung ruft auch die Verbindung von CRM-Software und Social-Media-Kanälen das Datenschutzrecht auf den Plan. Aufgrund der damit einhergehenden auch rechtlich neuen Fragestellungen gibt es noch keinen abschließend verlässlichen Katalog, welcher sämtliche datenschutzrechtlichen Aspekte behandelt. Unternehmen sollten bei der Einführung derartiger Software in Zusammenarbeit mit dem Datenschutzbeauftragten und unter Umständen externem Rechtsrat die neuen Funktionen im Detail prüfen und ggfs. anpassen lassen. Als Richtschnur sollten hierbei die beschriebenen Grundsätze des "Verbots mit Erlaubnisvorbehalt", der Zweckbindung und der Forderung nach einer transparenten Datenerhebung und -verarbeitung dienen. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt, Inhaber des Instituts für IT-Recht - IITR GmbH und externer Datenschutzbeauftragter.
Kontakt: IITR, Tel.: 089 51303920, E-Mail: email@iitr.de