Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz.

Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses hinweg eine ganze Reihe an persönlichen Informationen über den Kunden und seine Mitarbeiter gesammelt. Dass dies aus datenschutzrechtlicher Sicht kritisch zu sehen ist, zeigt ein neuer Fall aus Frankreich. Ein unzulässiger Telefonanruf hat dafür gesorgt, dass ein Unternehmen

  • von der französischen Aufsichtsbehörde (CNIL) mit einem Bußgeld in Höhe von 500.000 Euro belegt wurde.
  • in mehreren Bereichen datenschutzrechtlich unter Fristsetzung nachbessern muss (verstreicht die Frist, muss das Unternehmen für jeden weiteren Tag eine Geldstrafe von 500 Euro zahlen).
  • die Bußgeldentscheidung unter namentlicher Nennung des Unternehmens zwei Jahre lang veröffentlicht wird.

Hintergrund des Bußgelds

Bekannt geworden sind die Datenschutzverstöße im Kundenmanagement durch Untersuchungen der Aufsichtsbehörde, die nach der Beschwerde einer betroffenen Person eingeleitet wurden. Grund der Beschwerde war ein unzulässiger Telefonanruf mit Werbeinformationen. Der Betroffene hatte weiterhin Anrufe erhalten, obwohl er der telefonischen Werbung bereits widersprochen hatte. Die CNIL überprüfte daraufhin das Unternehmen und kontrollierte dabei auch die Verfahrensabläufe der Verarbeitungstätigkeiten. Bei dieser Prüfung stellte die Behörde verschiedene Verstöße gegen den Datenschutz fest.

Bemängelungen der Aufsichtsbehörde

Die CNIL stellte eine Reihe von Defiziten beim Interessenten- und Kundenmanagement des betreffenden Unternehmens fest. Hierzu gehörte:

Das sanktionierte Unternehmen verfügte über kein zentrales Verfahren zur Dokumentation von Werbewidersprüchen, obwohl nachweislich rund 20 Betroffene dem Erhalt von Werbung widersprochen hatten. Ein automatisiertes Verfahren ist hier nach Ansicht der Behörde unerlässlich, da eine große Anzahl an Personen von der Telefonwerbung betroffen ist. Das Verfahren des Verantwortlichen zur Dokumentation war nicht nur unzureichend, sondern die geführte Liste enthielt darüber hinaus neben Namen und Telefonnummern auch die Postadresse der Betroffenen, wobei diese Information nicht erforderlich ist.

Die Telefongespräche mit Interessenten wurden aufgezeichnet, ohne dass die Betroffenen hierüber informiert wurden. Im Übrigen wurden auch die weiteren Informationspflichten nach Art. 13 DS-GVO bei der Telefonwerbung nicht erfüllt. Das Versenden der Datenschutzinformation per E-Mail im Anschluss an das Telefonat ist nach Ansicht der CNIL nicht ausreichend, da sie dem Betroffenen vor der Erhebung der Daten zugänglich gemacht werden muss. Die Datenschutzinformation sollte beispielsweise per Telefonansage erfolgen oder per E-Mail zu Beginn des Gesprächs versendet werden.

Das verantwortliche Unternehmen hat einen Subunternehmer (Callcenter) aus Afrika beauftragt, der für den Erstkontakt mit den potenziellen Kunden zuständig ist. Besteht seitens des Angerufenem Interesse, erfolgt die weitere Kommunikation über Mitarbeiter des Verantwortlichen. Da Afrika außerhalb der EU / des EWR liegt, handelt es sich um eine Datenübermittlung in ein Drittland. Eine solche Übermittlung ist nur zulässig, wenn ausreichende Garantien nach Art. 44 ff. DS-GVO zum Schutz der personenbezogenen Daten geboten werden. Dem war im vorliegenden Fall nicht so, das heißt, für die Übermittlung der personenbezogenen Daten gab es keine ausreichende Rechtsgrundlage – sie war unzulässig.

Neben dieser Reihe von Verstößen war der Hauptgrund für die Verhängung des Bußgeldes ein Verstoß gegen den Datenschutz, den die CNIL bei der Sichtung des CRM-Systems des Unternehmens feststellte. Während der Telefonate mit Interessenten und Kunden wurden unter anderem auch Informationen zum Gesundheitszustand sowie Unmutsäußerungen des Gesprächspartners gesammelt und im CRM-System – über das die Kundenkontakte abgewickelt wurden – gespeichert. Grundsätzlich dürfen nach dem Grundsatz der Datenminimierung nur so viele Daten erhoben und verarbeitet werden, wie zur Erfüllung des zulässigen Zwecks auf Basis der Rechtsgrundlage erforderlich ist. Die Erhebung und Speicherung von Gesundheitsdaten, die außerdem in die Kategorie der besonders sensiblen und schützenswerten Daten nach Art. 9 DS-GVO fallen, und Meinungsäußerungen ist für den Abschluss von Verträgen bzw. das Werben von Kunden bei dem Geschäftsfeld des betroffenen Unternehmens weder notwendig noch angemessen. Folglich handelt es sich um einen Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DS-GVO. Das heißt, die Verarbeitung dieser Daten ist unzulässig.

Die Aufsichtsbehörde vertritt die Meinung, dass es nicht ausreicht, die Mitarbeiter sowie Angestellten des Subunternehmers anzuweisen, bestimmt Begriffe nicht in das CRM-System aufzunehmen. Vielmehr muss das CRM so gestaltet sein, dass durch automatisierte Systeme oder nachfolgende Kontrollen bestimmte Begriffe im CRM-System gar nicht erst gespeichert werden.

Erschwerende Faktoren bei der Bemessung des Bußgeldes

Bei der Festsetzung der Bußgeldhöhe kam erschwerend hinzu, dass die CNIL den Verantwortlichen bereits Ende September 2018 dazu aufgefordert hatte, dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) zu entsprechen und

  • „unangemessene und übermäßige Kommentare“ aus der CRM-Software zu entfernen.
  • Maßnahmen zu ergreifen, mit denen verhindert wird, dass über das notwendige Maß hinausgehende Kommentare in der CRM-Software gespeichert werden, indem beispielsweise ein automatisches Erkennungssystem für unangemessene und irrelevante Wörter in Bezug auf den Zweck der Verarbeitung eingerichtet wird.
  • das Personal darin zu schulen bzw. zu sensibilisieren, nur angemessene, relevante und zweckmäßige Daten zu erfassen.

Zudem zeigte sich das Unternehmen bei den Untersuchungen der Aufsichtsbehörde wenig kooperativ. So wurden angeforderte Verträge mit den Subunternehmen nicht vorgelegt. Durch die mangelnde Kooperationsbereitschaft ist der Verantwortliche seiner Mitwirkungspflicht gegenüber der Aufsichtsbehörde nicht ausreichend nachgekommen.

Entscheidung der Aufsichtsbehörde

Aufgrund der umfangreichen Verstöße und Missachtungen des Unternehmens verhängte die französische Aufsichtsbehörde gegen den Verantwortlichen ein Bußgeld in Höhe von 500.000 Euro, was circa. 2,5 Prozent des Jahresumsatzes des Unternehmens entspricht.

Zudem ordnete die CNIL an, dass die Entscheidung unter Nennung des Verantwortlichen für zwei Jahre zu veröffentlichen ist.
Des Weiteren erließ die Aufsichtsbehörde gegen das Unternehmen weitere Anordnungen:

  • Verhinderung der Speicherung von nicht zweckmäßigen Informationen im CRM-System
  • Erfüllung der Informationspflichten
  • Herstellung eines Systems zur Dokumentation und Umsetzung des Widerspruchsrechts von Betroffenen
  • Schaffung einer ausreichenden Rechtsgrundlage für die Datenübermittlung in das Drittland

Sollte der Verantwortliche die Anordnungen nicht innerhalb einer festgelegten Frist umsetzen, droht ihm eine Geldstrafe von 500 Euro pro Tag.

Fazit und Auswirkungen der Entscheidung für deutsche Unternehmen

Das Bußgeld zeigt deutlich, dass bei der Auswahl und dem Arbeiten mit CRM-Systemen Vorsicht geboten ist. Auch wenn es von der französischen Aufsichtsbehörde verhängt wurde, gilt die DS-GVO ebenso in Deutschland und die deutschen Aufsichtsbehörden stimmen in den meisten Punkten mit der CNIL überein.

Der Datenschutz stellt hohe Anforderungen an CRM-Systeme. Mit ihrer Entscheidung hat die französische Aufsichtsbehörde sehr deutlich praxisnahe, wenn auch strenge Vorgaben hinsichtlich der datenschutzrechtlichen Pflichten bei der Verwendung von CRM-Systemen gemacht. Diese Pflichten sind sowohl technischer Natur (in Bezug auf die Gestaltung der Software) als auch organisatorischer Natur (in Bezug auf die Gestaltung des CRM-Prozesses sowie die Schulung und Sensibilisierung von Mitarbeitern).

Datenschutzaspekte beim Einsatz von CRM-Systemen

Für Unternehmen bedeutet das, genau zu prüfen, für welche Zwecke die personenbezogenen Daten in ihrem CRM-System verwendet bzw. welche Interessen verfolgt werden, welche Daten überhaupt gespeichert werden und ob diese wirklich notwendig sind, um den festgelegten Zweck zu erreichen. Bei der Analyse gilt es, die sechs Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DS-GVO zu berücksichtigen:

Die Verarbeitung muss auf eine konkrete Rechtsgrundlage gestützt und die betroffenen Personen entsprechend informiert werden.

Die Verarbeitung von Daten dürfen nur zu einem bestimmten, festgelegten Zweck erfolgen.

Es dürfen nur die personenbezogenen Daten verarbeitet werden, die zur Erreichung des festgelegten Zweckes benötigt werden.

Personenbezogene Daten müssen korrekt erhoben und richtig weitergegeben werden.

Sobald der Zweck der Datenerhebung und der Verwendung erreicht ist, müssen personenbezogene Daten gelöscht werden, insofern keine gesetzliche Aufbewahrungspflicht oder ein berechtigtes Interesse an der weiteren Speicherung besteht.

Personenbezogene Daten müssen geschützt und ihre Sicherheit gewährleistet sein; es darf kein Unbefugter Zugriff erhalten.

Für die Verarbeitung der personenbezogenen Daten im CRM-System kommen drei verschiedene Rechtsgrundlagen in Betracht:

  • Vertrag mit der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO), beispielsweise für die Speicherung der Kontaktdaten des Ansprechpartners für die Vertragsabwicklung;
  • Überwiegend berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO), beispielsweise Speicherung von Visitenkartendaten von Interessenten auf Messen zur Bearbeitung des Anliegens;
  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a) DS-GVO), beispielsweise beim Sammeln von Informationen zur Erstellung eines detaillierten Kundenprofils.

Bei Umsetzung des Datenschutzes sind dabei nicht nur die Anwender, sondern insbesondere die Entwickler solcher Produkte gefragt. Die Software muss durch ihre Funktionen die Einhaltung des Datenschutzes gewährleisten. Mithilfe der technischen Gestaltung müssen unter anderem

  • Betroffenenrechte dauerhaft umgesetzt werden können. Hierzu gehört z. B. das Recht auf Auskunft, das Recht auf Löschung und das Recht auf Datenübertragbarkeit.
  • Transparenz- und Informationspflichten eingehalten werden können.
  • die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten, insbesondere der Grundsatz der Datenminimierung, gewährleistet werden.
  • erklärte Einwilligungen, Widerrufe und Widersprüche ordnungsgemäß dokumentiert werden können.

Die genaue Analyse des CRM-Systems und der dort verarbeiteten Daten liefert zudem auch fast alle notwendigen Informationen, die Unternehmen für ihr Verzeichnis der Verarbeitungstätigkeiten benötigen, denn auch hier muss das Kundenmanagement als Verfahren aufgenommen werden. Handelt es sich bei dem CRM-System zusätzlich um eine Cloud-Lösung muss mit dem Anbieter darüber hinaus eine Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen werden.