Gesetzescout.de



§




  


 

 
 

 

 

Home

Zur Person

Publikationen

Vorträge und Seminare

Links und Downloads

Kontakt/Impressum

Datenschutzerklärung

 

 

 

 

CRM und Datenschutz
- Kundendaten werden zu wenig geschützt

Veröffentlicht in "Computer Zeitung" – Die Wochenzeitung für die Informationsgesellschaft", Ausgabe Nr. 30/22.07.2002:

Der Datenschutz beim Kundenbeziehungsmanagement (Customer Relationship Management; CRM) lässt zu wünschen übrig. Vielen Anwendern ist die gesetzesgemäße Behandlung der Daten zu aufwändig und zu teuer.

Unternehmen sind bestrebt, im Rahmen eines effektiven CRM umfangreiche Datenbanken anzulegen, zu analysieren und entsprechend zu verwerten steht der Wunsch des Kunden dem Schutz seiner persönlichen Daten entgegen.

Diese widerstreitenden Interessen versucht die Rechtslage aufzufangen: Nach dem Bundesdatenschutzgesetz (BDSG) dürfen im traditionellen Handel personenbezogene Daten für Marketingzwecke genutzt werden, wenn es sich um listenmäßig oder sonst zusammengefasste Daten handelt (Paragraf 28 Abs. 3 BDSG).Danach sind Data Mining, Data Warehousing und Adresshandel in weitem Umfang zulässig. Die praktisch bedeutsamste Einschränkung liegt hier im Widerspruch des Betroffenen, der so genannten Opt-out-Regelung. Im Teledienstebereich, also etwa beim Online-Shopping, sind dagegen entsprechend der größeren "Big Brother-Gefahr" die Vorschriften strenger. Laut Gesetz über den Datenschutz bei Telediensten (TDDSG), das auch zwischen Unternehmen gilt, benötigt eine Firma grundsätzlich die Einwilligung des Betroffenen (Opt-in-Regelung). Ohne diese dürfen nur anonymisierte oder pseudonymisierte Nutzerprofile erstellt werden, die mit den Daten über den Träger des Pseudonyms nicht mehr zusammengeführt werden dürfen.

Aber wie so oft sieht die Praxis anders aus. "Bei den meisten Unternehmen besteht ein erheblicher Aufklärungsbedarf über Datenschutz", bedauert Peter Schaar, stellvertretender Landesbeauftragter für Datenschutz in Hamburg. "Dies gilt insbesondere für das TDDSG. Bei fast jeder Firma, bei der wir nachprüfen oder die wir mit unseren Prüf-Tools im Internet kontrollieren, finden wir mindestens eine Kleinigkeit". Hierzu gehören Web-Bugs, die ohne Kenntnis der Nutzer eine Verbindung zu einem fremden Server aufbauen - offenbar mit dem Ziel der Erstellung von Nutzerprofilen. Ebenso finden sich Cookies mit extrem langen Laufzeiten, eine Weitervermittlungen von Daten an Drittanbieter, die nicht als solche erkennbar sind, Endlosschleifen, die das Verlassen von Angeboten nur über den Ausschalter ermöglichen sowie das Anlegen von Logdateien mit vollständigen IP-Adressen.

"Data Mining und Data Warehousing", so Thilo Weichert, stellvertretender Datenschutzbeauftragter von Schleswig-Holstein, "sind bei den herrschenden Grundsätzen der Zweckbindung und der Datenvermeidung und -sparsamkeit ein Schlag ins Gesicht des Datenschutzes". So liege ein Verstoß gegen den generell im Datenschutz bestehenden Zweckbindungsgrundsatz nach § 14 BDSG schon dann vor, wenn personenbezogene Daten in einem allgemein verwendbaren Data Warehouse vom ursprünglichen Verwendungszweck entfernt "auf Vorrat" und ohne Zweckbindung gespeichert werden. Ebenso sei es unzulässig, so Weichert, wenn zum Beispiel eine Bank die personenbezogenen Daten eines Konteninhabers in einen Datenpool eingibt, zu dem eine Versicherung ebenfalls Zugang hat.

Die Kosten für die rechtskonforme Pflege der Datenmengen mögen eine gewisse Rolle bei der Verletzung des Datenschutzrechts spielen: Das Speichern von Daten ist billiger als selektives Löschen, geben manche Unternehmen unumwunden zu. So stellt auch Peter Gentsch, Director Analytics beim CRM-Spezialisten Pepper Technologies, fest: "Die meisten Softwareprodukte erlauben zwar prinzipiell, dass die Daten unwiderruflich getrennt werden, wie nach dem TDDSG gefordert. Jedoch ist die technische Realisierung dieser Vorkehrung häufig teurer, als sie zusammenführbar zu lassen."

Auf sich gestellt, sind viele Unternehmen überfordert, sich durch das Dickicht des Datenschutzrechts zu kämpfen. Hilfestellung bei einschlägigen Fragen geben die Datenschutzbehörden der Länder, was von einigen Unternehmen auch in Anspruch genommen wird. Nach § 9 A BDSG können sich Anbieter von Datenverarbeitungssystemen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen zudem durch zugelassene Gutachter überprüfen lassen. Im Zuge der wachsenden Sensibilisierung der Öffentlichkeit für den Datenschutz kann ein solches Gütesiegel werbewirksam eingesetzt werden.

Autorin Ruth Hellmich, Rechtsanwältin München

zurück zu    Publikationen     

 

 

 

 

 

     

© seit 2002 Rechtsanwältin Ruth Hellmich