Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz.
Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses hinweg eine ganze Reihe an persönlichen Informationen über den Kunden und seine Mitarbeiter gesammelt. Dass dies aus datenschutzrechtlicher Sicht kritisch zu sehen ist, zeigt ein neuer Fall aus Frankreich. Ein unzulässiger Telefonanruf hat dafür gesorgt, dass ein Unternehmen
- von der französischen Aufsichtsbehörde (CNIL) mit einem Bußgeld in Höhe von 500.000 Euro belegt wurde.
- in mehreren Bereichen datenschutzrechtlich unter Fristsetzung nachbessern muss (verstreicht die Frist, muss das Unternehmen für jeden weiteren Tag eine Geldstrafe von 500 Euro zahlen).
- die Bußgeldentscheidung unter namentlicher Nennung des Unternehmens zwei Jahre lang veröffentlicht wird.
Hintergrund des Bußgelds
Bekannt geworden sind die Datenschutzverstöße im Kundenmanagement durch Untersuchungen der Aufsichtsbehörde, die nach der Beschwerde einer betroffenen Person eingeleitet wurden. Grund der Beschwerde war ein unzulässiger Telefonanruf mit Werbeinformationen. Der Betroffene hatte weiterhin Anrufe erhalten, obwohl er der telefonischen Werbung bereits widersprochen hatte. Die CNIL überprüfte daraufhin das Unternehmen und kontrollierte dabei auch die Verfahrensabläufe der Verarbeitungstätigkeiten. Bei dieser Prüfung stellte die Behörde verschiedene Verstöße gegen den Datenschutz fest.
Bemängelungen der Aufsichtsbehörde
Die CNIL stellte eine Reihe von Defiziten beim Interessenten- und Kundenmanagement des betreffenden Unternehmens fest. Hierzu gehörte:
Erschwerende Faktoren bei der Bemessung des Bußgeldes
Bei der Festsetzung der Bußgeldhöhe kam erschwerend hinzu, dass die CNIL den Verantwortlichen bereits Ende September 2018 dazu aufgefordert hatte, dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) zu entsprechen und
- „unangemessene und übermäßige Kommentare“ aus der CRM-Software zu entfernen.
- Maßnahmen zu ergreifen, mit denen verhindert wird, dass über das notwendige Maß hinausgehende Kommentare in der CRM-Software gespeichert werden, indem beispielsweise ein automatisches Erkennungssystem für unangemessene und irrelevante Wörter in Bezug auf den Zweck der Verarbeitung eingerichtet wird.
- das Personal darin zu schulen bzw. zu sensibilisieren, nur angemessene, relevante und zweckmäßige Daten zu erfassen.
Zudem zeigte sich das Unternehmen bei den Untersuchungen der Aufsichtsbehörde wenig kooperativ. So wurden angeforderte Verträge mit den Subunternehmen nicht vorgelegt. Durch die mangelnde Kooperationsbereitschaft ist der Verantwortliche seiner Mitwirkungspflicht gegenüber der Aufsichtsbehörde nicht ausreichend nachgekommen.
Entscheidung der Aufsichtsbehörde
Aufgrund der umfangreichen Verstöße und Missachtungen des Unternehmens verhängte die französische Aufsichtsbehörde gegen den Verantwortlichen ein Bußgeld in Höhe von 500.000 Euro, was circa. 2,5 Prozent des Jahresumsatzes des Unternehmens entspricht.
Zudem ordnete die CNIL an, dass die Entscheidung unter Nennung des Verantwortlichen für zwei Jahre zu veröffentlichen ist.
Des Weiteren erließ die Aufsichtsbehörde gegen das Unternehmen weitere Anordnungen:
- Verhinderung der Speicherung von nicht zweckmäßigen Informationen im CRM-System
- Erfüllung der Informationspflichten
- Herstellung eines Systems zur Dokumentation und Umsetzung des Widerspruchsrechts von Betroffenen
- Schaffung einer ausreichenden Rechtsgrundlage für die Datenübermittlung in das Drittland
Sollte der Verantwortliche die Anordnungen nicht innerhalb einer festgelegten Frist umsetzen, droht ihm eine Geldstrafe von 500 Euro pro Tag.
Fazit und Auswirkungen der Entscheidung für deutsche Unternehmen
Das Bußgeld zeigt deutlich, dass bei der Auswahl und dem Arbeiten mit CRM-Systemen Vorsicht geboten ist. Auch wenn es von der französischen Aufsichtsbehörde verhängt wurde, gilt die DS-GVO ebenso in Deutschland und die deutschen Aufsichtsbehörden stimmen in den meisten Punkten mit der CNIL überein.
Der Datenschutz stellt hohe Anforderungen an CRM-Systeme. Mit ihrer Entscheidung hat die französische Aufsichtsbehörde sehr deutlich praxisnahe, wenn auch strenge Vorgaben hinsichtlich der datenschutzrechtlichen Pflichten bei der Verwendung von CRM-Systemen gemacht. Diese Pflichten sind sowohl technischer Natur (in Bezug auf die Gestaltung der Software) als auch organisatorischer Natur (in Bezug auf die Gestaltung des CRM-Prozesses sowie die Schulung und Sensibilisierung von Mitarbeitern).
Datenschutzaspekte beim Einsatz von CRM-Systemen
Für Unternehmen bedeutet das, genau zu prüfen, für welche Zwecke die personenbezogenen Daten in ihrem CRM-System verwendet bzw. welche Interessen verfolgt werden, welche Daten überhaupt gespeichert werden und ob diese wirklich notwendig sind, um den festgelegten Zweck zu erreichen. Bei der Analyse gilt es, die sechs Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DS-GVO zu berücksichtigen:
Für die Verarbeitung der personenbezogenen Daten im CRM-System kommen drei verschiedene Rechtsgrundlagen in Betracht:
- Vertrag mit der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO), beispielsweise für die Speicherung der Kontaktdaten des Ansprechpartners für die Vertragsabwicklung;
- Überwiegend berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO), beispielsweise Speicherung von Visitenkartendaten von Interessenten auf Messen zur Bearbeitung des Anliegens;
- Einwilligung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a) DS-GVO), beispielsweise beim Sammeln von Informationen zur Erstellung eines detaillierten Kundenprofils.
Bei Umsetzung des Datenschutzes sind dabei nicht nur die Anwender, sondern insbesondere die Entwickler solcher Produkte gefragt. Die Software muss durch ihre Funktionen die Einhaltung des Datenschutzes gewährleisten. Mithilfe der technischen Gestaltung müssen unter anderem
- Betroffenenrechte dauerhaft umgesetzt werden können. Hierzu gehört z. B. das Recht auf Auskunft, das Recht auf Löschung und das Recht auf Datenübertragbarkeit.
- Transparenz- und Informationspflichten eingehalten werden können.
- die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten, insbesondere der Grundsatz der Datenminimierung, gewährleistet werden.
- erklärte Einwilligungen, Widerrufe und Widersprüche ordnungsgemäß dokumentiert werden können.
Die genaue Analyse des CRM-Systems und der dort verarbeiteten Daten liefert zudem auch fast alle notwendigen Informationen, die Unternehmen für ihr Verzeichnis der Verarbeitungstätigkeiten benötigen, denn auch hier muss das Kundenmanagement als Verfahren aufgenommen werden. Handelt es sich bei dem CRM-System zusätzlich um eine Cloud-Lösung muss mit dem Anbieter darüber hinaus eine Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen werden.