CRM ist ein wichtiger Aspekt für den eigenen Erfolg. Ein Geschäftsleben ohne die direkte Beziehung zum Kunden ist heutzutage kaum noch vorstellbar. Gut gepflegte Daten gehören zu dieser Art Kontakt dazu. Bei der Verwendung eines CRM müssen Entscheider nicht nur auf die Verwaltung der Kontaktdaten achten, sondern auch auf deren Schutz. Was sieht das Datenschutzrecht vor? Wo liegen die gesetzlichen Vorgaben und Bestimmungen? Eine Statusanalyse und einen Ausblick gibt der folgende Artikel.
Der Konflikt zwischen CRM und Datenschutz
Jedes Kundenmanagement kann nur so gut sein wie die Daten, die ein Unternehmen über seine Kunden hat. Ziel eines jeden Unternehmens, das CRM betreibt, ist deshalb, möglichst viel über seine Kunden zu wissen. Dazu kann ein Unternehmen die Kundendaten selbst gewinnen oder sich von anderen Unternehmen oder sonstigen Dritten zur Verfügung stellen lassen. Unabhängig davon, wie ein Unternehmen an die Kundendaten kommt, besteht aber immer ein Konfliktpotential im Verhältnis zum Datenschutz. Das Datenschutzrecht verankert nämlich das sogenannte Recht auf informationelle Selbstbestimmung. Danach soll der Betroffene grundsätzlich selbst darüber entscheiden, wer unter welchen Umständen und für welche Zwecke auf seine Daten zurückgreifen darf. Zumindest bei sensiblen Daten einer Person verlangt das Gesetz, dass der Betroffene dem Unternehmen die Erhebung und Verarbeitung seiner Daten ausdrücklich erlaubt hat.
Besonders effektiv ist Kundenmanagement, wenn ein Unternehmen möglichst viele und detaillierte Kundeninformationen zeitnah und aktuell erhält. Das Verfahren der Radiofrequenz-Identifikation („RFID“) zur automatischen und kontaktlosen Identifizierung von Objekten per Funk soll nach Ansicht verschiedener Experten gute Chancen haben, sich zur Schlüsseltechnologie der Zukunft entwickeln zu können. RFID ermöglichst innerhalb kürzester Zeit die kontaktlose Datenübermittlung. Deshalb sind die Einsatzmöglichkeiten von RFID sehr groß und eröffnen ganz neue Möglichkeiten, auch im Bereich CRM. Mit RFID lässt sich beispielsweise der Weg von Waren mit geringem Arbeitsaufwand von der Produktionsstätte bis zum Endverbraucher verfolgen. Während bei einem gewöhnlichen Einkauf im Supermarkt die gekauften Waren mit einem Barcode versehen sind, der dann an der Kasse über einen Scanner gezogen und eingelesen wird, sind die Einsatzmöglichkeiten von RFID beim Einkauf verglichen damit revolutionär. Anstelle eines Barcodes tragen die Kaufgegenstände einen Chip, dessen Information auch über eine Entfernung von mehreren Metern mittels einer Antenne eingelesen werden kann. Ein Kontakt mit einem Scanner wird überflüssig. Ein Käufer muss also lediglich seinen Einkaufswagen an einem Lesegerät vorbeischieben, und der Preis für sämtliche Artikel wird automatisch festgestellt und von seiner Kredit- oder Kundenkarte abgebucht. Es liegt auf der Hand, dass auf diesem Wege eine Vielzahl von Daten ermittelt werden kann. Hierzu gehören nicht nur Informationen zu Preisen, Produkten und dem Kunden. Gerade weil RFID die schnelle Gewinnung einer Vielzahl von Daten ermöglicht, ist das Spannungsverhältnis zum Datenschutzrecht hier ganz besonders strapaziert. Hinzu kommt, dass – und dies belegt der Vergleich mit dem herkömmlichen Bezahlvorgang an der Kasse – ein Kunde unter Umständen gar nicht mitbekommt, ob und welche Daten erfasst, gespeichert und womöglich an Dritte weitergeleitet werden. Deshalb eröffnet RFID aus datenschutzrechtlicher Sicht unbestreitbar erhebliche Gefahren.
Systematik des Datenschutzrechts
Für die Beurteilung von CRM-Maßnahmen ist die Kenntnis der Systematik des Datenschutzrechts von entscheidender Bedeutung. Unabhängig davon, auf welche Art und Weise Daten erhoben und verarbeitet werden, also auch beim Einsatz von RFID, stellt sich immer folgende Kernfrage: Wann und unter welchen Voraussetzungen darf ein Unternehmen die gewünschten Daten einer Person speichern, verarbeiten und nutzen? Für ein Unternehmen, das beispielsweise ein Kundenbindungssystem installiert und dabei von jedem Kunden ein detailliertes Profil über dessen Kaufverhalten erstellen möchte, fragt sich, ob dies bereits ohne weiteres zulässig ist oder ob der Kunde hierzu vorab sein Einverständnis erklären muss.
Gemäß § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn (1) das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder (2) der Betroffene eingewilligt hat. Diese Zulässigkeitsalternativen sind abschließend. Liegt also keine Einwilligung vor, muss sich jede Datenverarbeitung auf das BDSG oder eine andere Vorschrift stützen können, sonst ist sie unzulässig.
Ein Unternehmen, das Kundenmanagement betreiben möchte, sollte sich deshalb vorab immer folgende Fragen stellen: Ist die Datenverarbeitung bereits durch das Datenschutzgesetz erlaubt? Falls nein, liegt bereits eine Einwilligung des Betroffenen vor? Ist dies nicht der Fall, so ist eine wirksame Einwilligung zwingend einzuholen. Geschieht dies nicht, so liegt ein Verstoß gegen datenschutzrechtliche Vorschriften vor, der bußgeld- und gegebenenfalls sogar strafbewehrt ist. Das bedeutet: Schlimmstenfalls ist die unbefugte Erhebung und Verarbeitung personenbezogener Daten strafbar, wenn sie gegen Entgelt oder in der Absicht geschieht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Hierfür kann eine Freiheitsstrafe von bis zu zwei Jahren oder eine Geldstrafe verhängt werden.
Ein Beispiel
Zur Veranschaulichung folgendes Beispiel: Ein Unternehmen betreibt ein Kundenbindungssystem. Verschiedene Unternehmen sind beteiligt. Für jeden Einkauf eines Kunden bei einem der beteiligten Unternehmen sollen dem Kunden Punkte gutgeschrieben werden, die der Kunde später gegen Prämien eintauschen kann. Gespeichert werden soll (1) der Name des Kunden, (2) seine Adresse, (3) sein Geburtsdatum, (4) sein Punktestand, (5) Angaben zu den gekauften Waren und (6) Angaben zu den Einkommensverhältnissen des Kunden.
Gesetzliche Erlaubnis
Entsprechend der genannten Systematik und Prüfungsreihenfolge im Datenschutzrecht hängt die Frage, ob die Daten in dem Beispielsfall ohne weiteres erhoben werden dürfen, davon ab, ob eine solche Datenverarbeitung bereits durch das Datenschutzgesetz erlaubt ist. Dies ist jeweils nach den einzelnen Daten, die erhoben werden sollen, getrennt zu prüfen. Der wichtigste Fall der gesetzlichen Erlaubnis der Datenerhebung, -verarbeitung und -nutzung ist in § 28 BDSG geregelt. Verkürzt gesagt ist danach die Datenerhebung oder -verarbeitung erlaubt, wenn dies (1) der Zweckbestimmung eines Vertragsverhältnisses dient und (2) die berechtigten Interessen der speichernden Stelle gegenüber den schutzwürdigen Interessen des Betroffenen überwiegen. Das Erheben und Verarbeiten von Daten dient der Zweckbestimmung eines Vertrages, wenn die Datenverarbeitung zur Erfüllung der Pflichten oder zur Wahrnehmung der Rechte aus dem Vertrag erforderlich ist. Auf den oben genannten Beispielsfall angewandt, bedeutet dies: Die Speicherung des Namens des an einem Kundenbindungsprogramm teilnehmenden Kunden sowie seine Adresse sind für die Durchführung des Programms ebenso erforderlich wie sein Punktestand. Ohne diese Angaben könnte nicht ermittelt werden, wer über welchen Punktestand verfügt, und eine Kommunikation mit ihm wäre nicht möglich. Deshalb sind diese Angaben bereits nach dem Gesetz zulässig, weil sie der Zweckbestimmung des Kundenbindungssystem-Vertrages dienen. Eine gesonderte Einwilligung des Kunden ist insoweit also nicht nötig.
Ob auch die Speicherung des Geburtsdatums für die Erfüllung der Pflichten aus dem Kundenbindungssystemvertrag erforderlich ist, ist umstritten. Teilweise wird die Ansicht vertreten, es sei bereits unzulässig, das Geburtsdatum zu erfassen, weil das Geburtsdatum weder für die Kommunikation mit dem Teilnehmer noch für die sonstige Erfüllung der Pflichten aus dem Vertrag mit ihm konkret erforderlich sei. Dagegen haben das Landgericht München und das Oberlandesgericht München in zwei erst vor wenigen Monaten ergangenen Entscheidungen geurteilt, dass das Geburtsdatum auch ohne eine ausdrückliche Einwilligungserklärung des Betroffenen gespeichert und verarbeitet werden könne. Grund dafür sei, dass das Geburtsdatum ein geeignetes Kriterium zur Unterscheidung und Identifizierung namensgleicher Kunden darstelle. Soweit ersichtlich, liegen hierzu keine weiteren Gerichtsentscheidungen vor. Betreiber von Kundenbindungssysteme sollten aber berücksichtigen, dass die Gerichtsentscheidung ein sehr großes Kundenbindungsprogramm mit etwa 30 Millionen Mitgliedern betraf. Deshalb kann aus dieser Entscheidung nicht abgeleitet werden, dass bei jedem anderen Kundenbindungssystem auch ohne weiteres das Geburtsdatum erfasst werden darf.
Ob Angaben zu den gekauften Waren bereits nach dem Gesetz zulässigerweise gespeichert werden dürften, ist wohl auch noch nicht endgültig geklärt. Grundprinzip der meisten Kundenbindungssysteme ist, dass dem Kunden entsprechend dem getätigten Umsatz eine bestimmte Anzahl von Bonuspunkten gutgeschrieben wird. Sofern die Gutschrift allein umsatzabhängig erfolgt und nicht danach, welche Waren oder Dienstleistungen der Kunde in Anspruch nimmt, muss der Veranstalter eines Bonussystems eigentlich nicht wissen, welche Waren oder Dienstleistungen der Kunde gekauft hat. In den genannten Entscheidungen haben die beiden Münchener Gerichte allerdings die Auffassung vertreten, dass der Betreiber des Kundenbindungssystems Angaben über die gekauften Waren auch ohne Einwilligung des Kunden speichern kann. Der Bonussystem-Betreiber müsse diese Angaben speichern, um seine Pflichten gegenüber dem Kunden erfüllen zu können. In diesem konkreten Fall fiel besonders ins Gewicht, dass im Rahmen des Bonusprogramms Sonderaktionen mit besondern hohen Punktwerten durchgeführt wurden, sodass die Kenntnis über die erworbenen Waren erforderlich sein sollte, um die Punkte vergeben und zuordnen zu können.
Die datenschutzrechtliche Einwilligung
An die datenschutzrechtliche Einwilligung sind verschiedene Anforderungen zu stellen. Sie sind in § 4 a BDSG festgelegt. Zunächst muss die Einwilligung auf der freien Entscheidung des Betroffenen beruhen. Dieses Kriterium ist beispielsweise dann nicht erfüllt, wenn die Teilnahme an einem Bonusprogramm davon abhängig gemacht wird, dass der Kunde in eine Verarbeitung seiner Daten einwilligt. Abgesehen vom Bereich des eCommerce, der sondergesetzlich geregelt ist, muss die Einwilligung außerdem schriftlich erteilt werden, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Schriftlich bedeutet nicht nur, dass die Betroffenen ihr Einverständnis schriftlich festhalten müssen, sondern auch, dass sie eigenhändig unterzeichnen müssen. Grund dafür ist der Schutz der Betroffenen. Sie sollen daran gehindert werden, sich vorschnell oder unbedacht zu äußern. Außerdem muss die Einwilligungserklärung inhaltlich so hinreichend bestimmt sein, dass für den Unterzeichner klar erkennbar ist, unter welchen Bedingungen er sich mit der Verarbeitung welcher Daten einverstanden erklärt hat. Deshalb sind entsprechende Einverständniserklärungen mit spitzer Feder zu formulieren, ansonsten bestehen erhebliche Risiken. Beispielsweise ist vor einigen Jahren per Gerichtsurteil eine Klausel wegen Unbestimmtheit für unzulässig erklärt worden, in der es hieß, dass die Kundendaten auch an die „in diesem Zusammenhang beauftragten Dienstleistungsunternehmen“ weitergegeben würden, obwohl für den Kunden nicht erkennbar war, welche Dienstleistungsunternehmen dies waren.
Opt-Out oder Opt-In
Ein weiteres praktisches Problem im Zusammenhang mit den Anforderungen an die Einwilligungserklärung ist, ob Opt-Out-Lösungen ausreichen oder ob Opt-In-Lösungen erforderlich sind. Während ein Kunde bei Opt-Out-Lösungen die Möglichkeit hat, die Datenverarbeitung auszuschließen, beispielsweise, indem er eine entsprechende Erklärung streicht oder auskreuzt, muss er bei Opt-In-Lösungen entweder die Einwilligungserklärung gesondert unterzeichnen oder einen entsprechenden Text ankreuzen und dadurch seinen Willen aktiv zum Ausdruck bringen. Viele Betreiber von Kundenbindungsprogrammen bevorzugen Opt-Out-Lösungen, in der Hoffnung, dass hier die Schwelle für den Teilnehmer nicht so hoch ist und sie auf diese Art und Weise mehr Einwilligungen erhalten als bei Opt-In-Varianten. Die Gerichte haben sich lange Zeit nicht mit dieser Thematik auseinandersetzen müssen. Vor einigen Monaten ist dann aber eine Entscheidung des Landgerichts München ergangen, wonach Opt-Out-Varianten nicht ausreichend sein sollen. In dem hierzu ergangenen Berufungsurteil hat das Oberlandesgericht München die gegenteilige Auffassung vertreten. Nach Ansicht des Oberlandesgerichts München soll der gesetzlichen Formulierung in § 4 a BDSG nicht zu entnehmen sein, dass nur vorformulierte Einwilligungserklärungen in Gestalt einer Opt-In-Klausel ausreichend sind. Obschon das Gericht durchaus die Gefahr erkannt hat, dass Verbraucher das Risiko des Überlesens von Opt-Out-Klauseln tragen, hat es Opt-Out-Klauseln für zulässig erachtet. Ob sich diese Rechtsprechung auch durch Entscheidungen der höchsten deutschen Gerichte bestätigt, muss noch abgewartet werden. Mit Blick auf RFID und die damit verbundenen Möglichkeiten, eine Vielzahl von personenbezogenen Daten zu beschaffen, ohne dass der Betroffene dies merkt, scheint es, dass die Diskussion gerade erst richtig beginnt. Dafür spricht auch, dass in den letzten Wochen und Monaten verschiedene Entschließungen und Stellungnahmen betreffend datenschutzrechtliche Regelungen für den Einsatz für RFID-Technologien getrof-fen und veröffentlicht worden sind. Darin wird unter anderem verlangt, dass heimliche Profilbildungen verboten werden.
In Anbetracht der Bedeutung der Thematik und der sich abzeichnenden Auswirkungen der RFID-Technologie auf die Möglichkeiten des CRM ist es wünschenswert, dass entweder durch höchstrichterliche Entscheidungen oder – idealerweise – durch eine eindeutige gesetzliche Regelung Rechtsklarheit geschaffen wird.
Dass der Weg einer eindeutigen gesetzlichen Regelung möglich ist, zeigt der Vergleich mit den gesetzlichen Vorschriften, die elektronische Einwilligungen betreffen. Die insoweit anwendbaren Vorschriften (§ 4 Abs. 2 Nr. 1 TDDSG, § 18 Abs. 2 Nr. 1 MDStV, § 94 Nr. 1 TKG) verlangen, dass eine elektronische Einwilligung nur durch „eine eindeutige und bewusste Handlung“ erfolgen kann. Die Forderung einer „eindeutigen und bewussten Handlung“ ist so zu verstehen, dass eine Opt-In-Lösung für elektronische Einwilligungen erforderlich ist. In der oben genannten Entscheidung hat das Oberlandesgericht München auf diese klaren Vorgaben für elektronische Einwilligungen hingewiesen, aber die Auffassung vertreten, dass die Regelungen für den Bereich der elektronischen Einwilligungen nicht auf die Vorschriften in § 4 a BDSG anwendbar sind, die den sogenannten Offline-Bereich betreffen.
Konsequenzen und Empfehlungen
Es ist ein eindeutiger Trend zu erkennen, dass die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit CRM immer stärker in den Blickpunkt der Öffentlichkeit gerät und auch von Gerichten überprüft und kontrolliert wird. Dieser Trend wird sich durch die erheblichen Einsatzmöglichkeiten von RFID und den daraus resultierenden datenschutzrechtlichen Risiken verstärken. Gerade im Bereich des CRM scheinen sich mit Hilfe von RFID ganz neue Möglichkeiten aufzutun, da mit RFID sehr aktuell umfangreiche und äußerst detaillierte Kundendaten erhoben und verarbeitet werden können. Deshalb ist es sehr ratsam, bei der Planung und Durchführung von CRM-Maßnahmen auf die Einhaltung der datenschutzrechtlichen Vorschriften zu achten. CRM-Konzepte sollten immer anhand der oben dargestellten Prüfungsreihenfolge untersucht werden. Nur dadurch können die erheblichen Risiken der Begehung von Ordnungswidrigkeiten oder gar Straftaten vermieden werden. Hinzu kommt, dass auf unzulässige Art und Weise erworbene Daten nicht mehr benutzt werden dürfen. Auch dadurch können den Unternehmen erhebliche wirtschaftliche Schäden entstehen, ganz abgesehen von dem Imageverlust, der entsteht, wenn ein Datenmissbrauch öffentlich bekannt wird.
In den letzten Jahren ist in Gutachten gelegentlich untersucht worden, ob und inwieweit Kundenbindungssysteme datenschutzrechtliche Vorgaben einhalten. Ergebnis solcher Untersuchungen war ganz regelmäßig, dass bei zahlreichen Systemen viele Verstöße festgestellt wurden. Auch wegen des Risikos, dass in unzulässiger Weise erhobene Daten nicht mehr verwendet werden dürfen, ist deshalb sehr zu empfehlen, bestehende Systeme überprüfen zu lassen, um gegebenenfalls existierende Mängel korrigieren und heilen zu können.
Ob datenschutzrechtliche Einwilligungserklärungen in Gestalt von Opt-Out-Klauseln ausreichend sind, ist noch nicht abschließend geklärt. In jedem Fall ist es derzeit deshalb sicherer, Opt-In-Klauseln zu verwenden.