CRM und Datenschutz - ostwestfalen.ihk.de · CRM und Datenschutz Thomas Spaeing ds² -...

CRM und DatenschutzThomas Spaeing

ds² - Unternehmensberatung für Datenschutz und Datensicherheitwww.ds-quadrat.de

Telefon (kostenlos): 0800 951 36 32E-Mail: [email protected]

ds² – best practice data protection

Leistungsspektrum ds²

ds2 unterstützt seit 2001 Unternehmen und Institutionen bei der Umsetzung derAnforderungen zu Datenschutz und Datensicherheit. ds²-Berater sind bundesweitals externe Datenschutzbeauftragte tätig.

ds2 berät Unternehmen und Institutionen bei der Entwicklung und Umsetzung neuerProdukte und Prozesse im Hinblick auf die Anforderungen zu Datenschutz undDatensicherheit.

ds² Gründer Thomas Spaeing ist Vorstandsvorsitzender des Berufsverbands derDatenschutzbeauftragten Deutschlands BvD e.V. (Berlin)

Auszug aus der Referenzliste:

ds² – best practice data protection JAP* - Jahresabschlussprüfung

Leistungsspektrum ds²

Datenschutz beim Einsatz von CRM-Systemen

Überblick

CRM und Datenschutz – ein Widerspruch?

Rechtliche Grundlagen

Rechte des Betroffenen

Aktuelle Entwicklungen

Fazit



Fairer Wettbewerb zwischen Unternehmen

Unternehmen:Absatz- &

WerbeinteressenCRM

Verbraucher:Schutz der Per-

sönlichkeitsrechte(Datenschutz)

Informationsinteresse des Verbrauchers

Können die verschiedenen Interessenslagen der Beteiligten ausgewogen berücksichigtwerden?



• Kundenprofile erstellen

• Marketingauswertungen und -nutzungen

• Werbekooperationen (Weitergabe)

• Call-Center-Betrieb (Outbound-Calls zur Kundenakquise)

• Produktvertrieb (z. B. über Handelsvertreter)

… diese Datennutzungen fallen unter das Datenschutzrecht!


Die Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten!

Verbot ...

... mit Erlaubnis-vorbehalt

Erlaubnis aus:bestehendem Vertragsverhältnis mit dem BetroffenenVertragsanbahnung oder -abwicklung mit dem Betroffenenspeziellen Regelungen zur Daten-verarbeitung außerhalb des BDSGdem BDSG selbst der Einwilligung des Betroffenen



Kreditkarten-nummer

Name

Adresse Gehalt

Geburtsjahr

Vermögens-verhältnisse

Telefon-nummer

Wohn-verhältnisse

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.

Beispiele:



Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind (konkrete Einwilligung).

Gesundheit

Gewerkschafts-zugehörigkeit

Religiöse oder philosophischeÜberzeugungPolitische

Meinung

Sexual-leben

Rassische und ethnischeHerkunft



Die Daten von juristischen Personen wie Kapital- oder Aktiengesellschaften, Vereinen,

Verbänden etc. werden durch das BDSG nicht geschützt.

Die Daten der Mitarbeiter in Unternehmen aber durchaus!




Datenschutzrechtliche Erlaubnistatbestände:

• Grundlage der Verarbeitung ist i.d.R. BDSG § 28 (1) Nr. 1 (Vertragsverhältnis oder Vertragsanbahnung) oder Nr. 2 (berechtigtes Interesse des Unternehmens, Abwägung)

• Diese sind aber streng zweckgebunden und unterliegen der Interessensabwägung. Dabei gilt:„Je sensibler die Daten, desto höher das berechtigte Interesse des Verbrauchers an der NICHTnutzung“


Neue gesetzliche Regelungen aus 2009 schränken die Nutzung von Kundendaten hier ein!

BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (Beschäftigtendaten, Kundendaten, Listenprivileg, Auftrags-DV), Änderungen traten bis auf einige Ausnahmen zum 1. September 2009 in Kraft

Nicht zu vergessen: UWG-Novelle ab 4.August 2009 –Unterdrückte Anruferkennung und Telefonwerbung (+ E-Mail) ohne Einwilligung unzulässig.



Die Einwilligung im UWG

Vorherige ausdrückliche Einwilligung• Bei Telefonwerbung gegenüber Verbrauchern• Bei Werbung mit automatischen Anrufmaschinen, Fax oder elektronischer Post (E-Mail oder SMS) gegenüber Verbrauchern oder sonstigen Marktteilnehmern (B2B; § 7 Abs. 2 Nr. 3 UWG)

Zumindest mutmaßliche Einwilligung• Bei Telefon- und E-Mailwerbung gegenüber sonstigen Marktteilnehmern – also im B2B-Bereich



Ausnahme § 28 Abs. 3 S. 2 Nr. 1: Eigenwerbung

• Listendaten dürfen nur im Rahmen von § 28 Abs. 1 S. 1 Nr. 1 beim Betroffenen selbst• oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen-

oder vergleichbaren Verzeichnissen erhoben werden• Sonstige Daten dürfen nach § 28 Abs. 3 S. 3 hinzugespeichert werden, diese müssen

aber zulässig erhoben worden sein (kein Ausspähen, kein anderer Zweck)

• Listendaten sind- Name und Anschrift- Berufs-, Branchen- oder Geschäftsbezeichnung- Geburtsjahr- Titel und akadem. Grad- Ein Gruppenmerkmal (Kundengruppe,…)


Datenschutz beim Einsatz von CRM-SystemenEinführung in den Datenschutz | Seite 15

Zutrittskontrolle

Eingabekontrolle

Zugangskontrolle

Auftragskontrolle

Zugriffskontrolle

Verfügbarkeitskontrolle

Weitergabekontrolle

Trennungsgebot

Technische und organisatorische Maßnahmen zum Schutz der Kundendaten – auch im Interesse des Unternehmens!



Information bei Erhebungoder Benachrichtigung beierstmaliger Speicherung


Auskunftsrecht Berichtigungsanspruch

Widerruf / LöschungsanspruchSperrungsanspruch

Betroffener Unternehmen




Unverzügliche BenachrichtigungGrund des DatenverlustesEmpfehlung für SchutzmaßnahmenIndividuell oder über öffentliche Information (z.B. Zeitunganzeigen)

Datenschutz-panne





Unverzügliche BenachrichtigungMögliche nachteilige FolgenErgriffene Maßnahmen

Datenschutz-panne

Aufsichts-behörde

+




CRM-System und -Daten in der Cloud1. Je nach Anbieter stellt sich die Frage nach der Sicherheit der Daten.

Manche Anbieter lassen sich Nutzungsrechte an den Daten einräumen (Google,…)!

2. Cloud-Computing ist eine Auftragsdatenverarbeitung gem. § 11 BDSG und muss vertraglich auch so behandelt werden. Außerhalb der EU ist dies nur unter bestimmten Bedingungen möglich.

3. Die Daten müssen auch aus anderen Gründen sicher und verfügbar sein – §§ 238, 257 HGB, §§ 146 ff. AO.

4. Sicherheit des Anbieters, Trennung der Daten/Hardware von Cloud-Kunden (z.B. bei Sicherstellung durch Behörden.



Die neuen Gesetzesinitiativen können weitere Einschränkungen mit sich bringen:

• Das für 2012 kommende „Beschäftigtendatenschutzgesetz“ wird den Schutz der Datenverarbeitung für Mitarbeiterdaten weiter konkretisieren.

• Die Datenschutzverordnung der EU sieht für Werbezwecke engere Grenzen vor und erhöht die Bußgelder drastisch – bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens.

• Es gelten die gesetzlichen Regelungen am Standort des Verbrauchers nicht mehr des Anbieters (Facebook, Google,…).




Vielversprechend sind die Möglichkeiten, die sich ergeben, wenn die CRM-Daten um Daten aus den sozialen Netzwerken ergänzt werden können – und das ggf. noch per mobile Computing.Aber hier drohen Stolperfallen:1. Dürfen die Daten überhaupt genutzt werden?2. Wenn ja, welche und für welche Zwecke?3. Wiederum geht es hier nicht nur um Datenschutzrecht sondern auch

um Wettbewerbsrecht. Allzu leicht kann eine unzulässige Datennutzung zu einem Verstoß gem. unlauterem Wettbewerbsrecht führen. Hier wird auch die Konkurrenz zum Wettbewerbshüter!

4. Auch hier stellt sich die Frage nach der Sicherheit der Daten – vor allem auf mobilen Endgeräten.


Fazit

Nicht alles, was möglich ist, ist auch erlaubt.

Private Daten sind i.d.R. zulässig, wenn die Erhebung beim Betroffen erfolgt ist, transparent ist und die Daten zweckgebunden genutzt werden.

Bei rechtssicher Gestaltung und korrekter Nutzung bieten die modernen Systeme hervorragende Möglichkeiten zur Verbesserung der Kundenkommunikation.

Lassen Sie rechtzeitig Ihren Datenschutzbeauftragten die Nutzung prüfen und nehmen Sie die ggf. erforderlichen Anpassungen vor!

Vielen Dank für Ihre Aufmerksamkeit!

Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

www.ds-quadrat.de Telefon (kostenlos): 0800 951 36 32

E-Mail: [email protected]

CRM und Datenschutz - ostwestfalen.ihk.de · CRM und Datenschutz Thomas Spaeing ds² -...

Documents

Transcript of CRM und Datenschutz - ostwestfalen.ihk.de · CRM und Datenschutz Thomas Spaeing ds² -...