Fast jedes Unternehmen nutzt ein Customer Relationship Management System. Art, Umfang, Größe und Kosten unterscheiden sich sehr. Von E-Mail-Marketing auf Basis on Excel-Tabellen zu riesigen Salesforce-Anwendungen ist alles dabei. Die rechtlichen Fragestellungen sind dabei ähnlich und haben viel mit Datenschutz zu tun.
Verbotsprinzip im Datenschutzrecht
Grundlage ist, dass die Verarbeitung personenbezogener Daten stets einer Rechtfertigung bedarf. Immer wenn Daten im CRM gespeichert werden, die einer natürlichen Person zugeordnet werden können, muss man sich also fragen, ob man das überhaupt darf. Dabei ist der B2B-Bereich nicht ausgenommen. Auch
- Namen,
- Position/Rolle im Unternehmen,
- E-Mail-Adressen und
- Durchwahlen von Ansprechpartnern
sind etwa personenbezogene Daten. Zudem sind auch alle weiteren Daten, die zu einer Person gespeichert sind, solche mit Personenbezug, zum Beispiel:
- Öffnungsraten,
- Interessengebiete,
- Bestellhistorie,
- Erreichbarkeiten,
- Zahlungsverhalten und
- Standortdaten.
Vertrag, berechtigte Interessen oder Einwilligung
Für jedes einzelne gespeicherte Datum braucht es eine Rechtfertigung.
- Vertragsdaten (also z.B. Name, Anschrift, E-Mail-Adresse, Bestellinformationen) dürfen für Vertragszwecke erhoben und gespeichert werden. Sie dürfen dann aber auch nur zu diesem Zweck verarbeitet werden. Eine zu Vertragskommunikationszwecken gespeicherte E-Mail-Adresse darf nicht zugleich zu Werbezwecken genutzt werden, wenn sich das nicht anderswo ergibt.
Zusätzlich dürfen (und müssen) Daten gespeichert werden, die aus steuerlichen oder handelsrechtlichen Gründen aufbewahrt werden müssen (z.B. Rechnungen). - Unternehmen dürfen auch andere als Vertragsdaten im CRM speichern, wenn sie daran ein berechtigtes Interesse haben, die Verarbeitung notwendig ist für den jeweiligen Zweck und die Interessen derjenigen, deren Daten verarbeitet werden, nicht überwiegen. Diese Interessenabwägung ist komplex und es bedarf jeweils einer guten Begründung, warum die Betroffeneninteressen nicht überwiegen. Der nach der DSGVO maßgebliche Maßstab ist, ob die Betroffenen mit der Datenverarbeitung rechnen können. Da werden die Meinungen naturgemäß auseinander gehen. Irgendwelche Standortdaten von Abrufen durch die Nutzer systematisch zu speichern, wird aber zum Beispiel nur im Ausnahmefall zulässig sein.
- Kann die Verarbeitung von Daten mit Personenbezug weder mit einem vertraglichen Zweck noch mit berechtigten Interessen begründet werden, bleibt noch die Einwilligung. Mit einer transparenten und freiwilligen Einwilligung, lässt sich praktisch jede Speicherung im CRM rechtfertigen. Die Einwilligung muss aber vor der Erhebung der Daten erfolgen und natürlich freiwillig sein.
Profilbildung und Werbung
Es sollte nicht überraschen, dass auch die Zusammenführung von Informationen in einem Nutzerprofil und darauf beruhende Werbung rechtfertigungsbedürftig ist. Auch hier gilt der Maßstab der vernünftigen Nutzererwartungen. Wenn die Betroffenen nicht damit rechnen, dass alle möglichen Informationen zusammengetragen und zu Profilen vermengt werden, braucht das Profiling eine Einwilligung. Die Datenschutzbehörden sind bei der Beurteilung streng und haben schon des Öfteren hohe DSGVO-Bußgelder gegen werbende Unternehmen verhängt. Die Volksbank Hannover musste zum Beispiel 900.000,- Euro zahlen, weil sie ohne Einwilligung Daten von Kunden zusammengeführt und darauf basierend Werbung augespielt hat. Einfach machen, ist hier also ein gefährlichen Spiel.
Wann eine Einwilligung erforderlich ist, hängt von dem jeweiligen Usecase und den verarbeiteten Daten ab. Letztlich muss man sich alle Fälle im Einzelnen anschauen. Ganz grundsätzlich gilt: Je mehr Daten erhoben werden und je senibler diese sind, um so eher braucht die Profilbildung einer Einwilligung.
Einwilligung einholen und auf der sicheren Seite sein
Ein intensives Profiling bedarf im Regelfall der Einwilligung der Betroffenn. Soll ein CRM-System also viele Daten der Nutzer zusammenführen und möglichst passgenaue Werbung ermöglichen, wird dies häufig eine Einwilligung nötig machen. Dabei ist durchaus denkbar, ein gestuftes System vorzusehen und ein überschaubares Profiling auf berechtigte Interessen zu stützen, weitere Daten aber nur von solchen Kunden zu erheben, die irgendwann einmal ihre Einwilligung dazu gegeben haben.
Wie die Einwilligung eingeholt wird, ist nebensächlich. Touchpoints dafür gibt es im Kundenverhältnis viele. Auch eine Newslettereinwilligung lässt sich mit einer DSGVO-Einwilligung in die Profilbildung zu Werbezwecken verbinden.
Alles und noch viel mehr Nachhören im Podcast mit Nico Zorn
Um moderne CRM-Systeme und die rechtlichen Schwierigkeiten geht es auch in einer Podcastausgabe von HÄRTING|fm, die wir mit Nico Zorn aufgenommen haben. Unter dem Titel „Personalised message in a bottle – CRM und effektives E-Mail-Marketing“ geht es um
- die Basics beim E-Mail-Marketing und auch darüber wie man ein CRM-Projekt angeht: Planung ist alles und erst kleine, dann große Schritte.
- Tracking von E-Mail-Kampagnen und vor allem darum, welche Kennzahlen überhaupt relevant sind (Spoiler: die Öffnungsrate allein ist es nicht).
- Apples Mail Privacy Protection, Firewalls und Spam-Filter
- individualisierte E-Mails und Landingpages.
- das Recht: Wann besteht ein Einwilligungserfordernis?
- den Einsatz künstlicher Intelligenz und zwar sowohl bei der Content-Erstellung als auch im analytischen CRM.
- die wesentlichen Herausforderungen funktionierender CRM-Systeme.
Die Folge gibt es in allen Podcastplayern und hier.
Wollen Sie wissen, ob Ihr CRM rechtssicher aufgesetzt ist, sprechen Sie uns gern an. Wir haben in jüngster Vergangenheit Versicherungsunternehmen, Energieriesen und vielen Digitalunternehmen bei deren Profiling-Produkten geholfen.