CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

Transkript

1 CRM und Datenschutz Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit Telefon (kostenlos): info@ds-quadrat.de

2 Leistungsspektrum ds² ds 2 unterstützt seit 2001 Unternehmen und Institutionen bei der Umsetzung der Anforderungen zu Datenschutz und Datensicherheit. ds²-berater sind bundesweit als externe Datenschutzbeauftragte tätig. ds2 berät Unternehmen und Institutionen bei der Entwicklung und Umsetzung neuer Produkte und Prozesse im Hinblick auf die Anforderungen zu Datenschutz und Datensicherheit. ds² Gründer Thomas Spaeing ist Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands BvD e.v. (Berlin) Auszug aus der Referenzliste: ds² best practice data protection

3 Leistungsspektrum ds² ds² best practice data protection JAP* - Jahresabschlussprüfung

4 Überblick CRM und Datenschutz ein Widerspruch? Rechtliche Grundlagen Rechte des Betroffenen Aktuelle Entwicklungen Fazit

5 CRM und Datenschutz ein Widerspruch? Fairer Wettbewerb zwischen Unternehmen Unternehmen: Absatz- & Werbeinteressen CRM Verbraucher: Schutz der Persönlichkeitsrechte (Datenschutz) Informationsinteresse des Verbrauchers Können die verschiedenen Interessenslagen der Beteiligten ausgewogen berücksichigt werden?

6 CRM und Datenschutz ein Widerspruch? Kundenprofile erstellen Marketingauswertungen und -nutzungen Werbekooperationen (Weitergabe) Call-Center-Betrieb (Outbound-Calls zur Kundenakquise) Produktvertrieb (z. B. über Handelsvertreter) diese Datennutzungen fallen unter das Datenschutzrecht!

7 Rechtliche Grundlagen Verbot... Die Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten!... mit Erlaubnisvorbehalt Erlaubnis aus: bestehendem Vertragsverhältnis mit dem Betroffenen Vertragsanbahnung oder -abwicklung mit dem Betroffenen speziellen Regelungen zur Datenverarbeitung außerhalb des BDSG dem BDSG selbst der Einwilligung des Betroffenen

8 Rechtliche Grundlagen Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Beispiele: Name Adresse Telefonnummer Wohnverhältnisse Gehalt Geburtsjahr Kreditkartennummer Vermögensverhältnisse

9 Rechtliche Grundlagen Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind (konkrete Einwilligung). Rassische und ethnische Herkunft Religiöse oder philosophische Überzeugung Gesundheit Gewerkschaftszugehörigkeit Politische Meinung Sexualleben

10 Rechtliche Grundlagen Die Daten von juristischen Personen wie Kapital- oder Aktiengesellschaften, Vereinen, Verbänden etc. werden durch das BDSG nicht geschützt. Die Daten der Mitarbeiter in Unternehmen aber durchaus!

11 Rechtliche Grundlagen Datenschutzrechtliche Erlaubnistatbestände: Grundlage der Verarbeitung ist i.d.r. BDSG 28 (1) Nr. 1 (Vertragsverhältnis oder Vertragsanbahnung) oder Nr. 2 (berechtigtes Interesse des Unternehmens, Abwägung) Diese sind aber streng zweckgebunden und unterliegen der Interessensabwägung. Dabei gilt: Je sensibler die Daten, desto höher das berechtigte Interesse des Verbrauchers an der NICHTnutzung

12 Rechtliche Grundlagen Neue gesetzliche Regelungen aus 2009 schränken die Nutzung von Kundendaten hier ein! BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (Beschäftigtendaten, Kundendaten, Listenprivileg, Auftrags- DV), Änderungen traten bis auf einige Ausnahmen zum 1. September 2009 in Kraft Nicht zu vergessen: UWG-Novelle ab 4.August 2009 Unterdrückte Anruferkennung und Telefonwerbung (+ E- Mail) ohne Einwilligung unzulässig.

13 Rechtliche Grundlagen Die Einwilligung im UWG Vorherige ausdrückliche Einwilligung Bei Telefonwerbung gegenüber Verbrauchern Bei Werbung mit automatischen Anrufmaschinen, Fax oder elektronischer Post ( oder SMS) gegenüber Verbrauchern oder sonstigen Marktteilnehmern (B2B; 7 Abs. 2 Nr. 3 UWG) Zumindest mutmaßliche Einwilligung Bei Telefon- und werbung gegenüber sonstigen Marktteilnehmern also im B2B-Bereich

14 Rechtliche Grundlagen Ausnahme 28 Abs. 3 S. 2 Nr. 1: Eigenwerbung Listendaten dürfen nur im Rahmen von 28 Abs. 1 S. 1 Nr. 1 beim Betroffenen selbst oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchenoder vergleichbaren Verzeichnissen erhoben werden Sonstige Daten dürfen nach 28 Abs. 3 S. 3 hinzugespeichert werden, diese müssen aber zulässig erhoben worden sein (kein Ausspähen, kein anderer Zweck) Listendaten sind - Name und Anschrift - Berufs-, Branchen- oder Geschäftsbezeichnung - Geburtsjahr - Titel und akadem. Grad - Ein Gruppenmerkmal (Kundengruppe, )

15 Rechtliche Grundlagen Technische und organisatorische Maßnahmen zum Schutz der Kundendaten auch im Interesse des Unternehmens! Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle Einführung in den Datenschutz Seite 15

16 Rechte des Betroffenen Rechte des Betroffenen Information bei Erhebung oder Benachrichtigung bei erstmaliger Speicherung Betroffener Unternehmen Auskunftsrecht Berichtigungsanspruch Widerruf / Löschungsanspruch Sperrungsanspruch

17 Rechte des Betroffenen Rechte des Betroffenen Datenschutzpanne Betroffener Unternehmen Unverzügliche Benachrichtigung Grund des Datenverlustes Empfehlung für Schutzmaßnahmen Individuell oder über öffentliche Information (z.b. Zeitunganzeigen) Einführung in den Datenschutz Seite 17

18 Rechte des Betroffenen Rechte des Betroffenen Betroffener Unternehmen + Datenschutzpanne Aufsichtsbehörde Unverzügliche Benachrichtigung Mögliche nachteilige Folgen Ergriffene Maßnahmen Einführung in den Datenschutz Seite 18

19 Aktuelle Entwicklungen CRM-System und -Daten in der Cloud 1. Je nach Anbieter stellt sich die Frage nach der Sicherheit der Daten. Manche Anbieter lassen sich Nutzungsrechte an den Daten einräumen (Google, )! 2. Cloud-Computing ist eine Auftragsdatenverarbeitung gem. 11 BDSG und muss vertraglich auch so behandelt werden. Außerhalb der EU ist dies nur unter bestimmten Bedingungen möglich. 3. Die Daten müssen auch aus anderen Gründen sicher und verfügbar sein 238, 257 HGB, 146 ff. AO. 4. Sicherheit des Anbieters, Trennung der Daten/Hardware von Cloud- Kunden (z.b. bei Sicherstellung durch Behörden.

20 Aktuelle Entwicklungen Die neuen Gesetzesinitiativen können weitere Einschränkungen mit sich bringen: Das für 2012 kommende Beschäftigtendatenschutzgesetz wird den Schutz der Datenverarbeitung für Mitarbeiterdaten weiter konkretisieren. Die Datenschutzverordnung der EU sieht für Werbezwecke engere Grenzen vor und erhöht die Bußgelder drastisch bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens. Es gelten die gesetzlichen Regelungen am Standort des Verbrauchers nicht mehr des Anbieters (Facebook, Google, ).

21 Aktuelle Entwicklungen Vielversprechend sind die Möglichkeiten, die sich ergeben, wenn die CRM-Daten um Daten aus den sozialen Netzwerken ergänzt werden können und das ggf. noch per mobile Computing. Aber hier drohen Stolperfallen: 1. Dürfen die Daten überhaupt genutzt werden? 2. Wenn ja, welche und für welche Zwecke? 3. Wiederum geht es hier nicht nur um Datenschutzrecht sondern auch um Wettbewerbsrecht. Allzu leicht kann eine unzulässige Datennutzung zu einem Verstoß gem. unlauterem Wettbewerbsrecht führen. Hier wird auch die Konkurrenz zum Wettbewerbshüter! 4. Auch hier stellt sich die Frage nach der Sicherheit der Daten vor allem auf mobilen Endgeräten.

22 Fazit Nicht alles, was möglich ist, ist auch erlaubt. Private Daten sind i.d.r. zulässig, wenn die Erhebung beim Betroffen erfolgt ist, transparent ist und die Daten zweckgebunden genutzt werden. Bei rechtssicher Gestaltung und korrekter Nutzung bieten die modernen Systeme hervorragende Möglichkeiten zur Verbesserung der Kundenkommunikation. Lassen Sie rechtzeitig Ihren Datenschutzbeauftragten die Nutzung prüfen und nehmen Sie die ggf. erforderlichen Anpassungen vor!

23 Vielen Dank für Ihre Aufmerksamkeit! Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit Telefon (kostenlos): info@ds-quadrat.de