Skip to main content

Einsatz von CRM Systemen im B2B Geschäft bei Nutzung einer gemeinsamen IT Infrastruktur

I. Allgemein

CRM Systeme haben das Ziel durch die gezielte Sammlung personenbezogener Daten, die Pflege und Beziehungen zum Kunden über den gesamten Kundenlebenszyklus zu unterstützen. Dafür werden gezielte kundenbezogene Datenverarbeitungsmechanismen genutzt um Produkte, Dienstleistungen und Marketing Maßnahmen an den Kunden zu bringen.

Problematisch ist dabei, dass die Kumulation von Daten über einen Kunden im laufe der Zeit dazu führen kann, dass über diesen weitreichende Prognosen hinsichtlich seines Kaufverhaltens angestellt werden können. Ebenso lassen sich Aussagen über weitere Faktoren wie Zahlungsmoral, Bonität, Rückläuferquoten, Interessen, etc. anstellen. Dem Verarbeiter der personenbezogenen Daten obliegt es mithin die Erhebung personenbezogener Daten in den durch das Datenschutzrecht geregelten gesetzlichen Bestimmungen durchzuführen.

II. Datenschutzrechtliche Anforderungen

Beim Einsatz von CRM-Systemen sind neben den technischen und organisatorischen Anforderungen (Systemgestaltung) vor allem die materiellen Datenschutzvorschriften einzuhalten. Zunächst und unabhängig von der jeweiligen Ausgestaltung des betrachteten Systems (zentral, dezentral, konzernbezogen, B2C, B2B) muss den datenschutzrechtlichen Grundprinzipien (technischen und organisatorischen Maßnahmen) Rechnung getragen werden. Klassischerweise bedeutet dies, dass Fragen hinsichtlich des Zutritts, Zugangs, Zugriffs, der Weitergabe und Eingabe von Daten rechtssicher abgeklärt werden müssen. Außerdem muss eine adäquate Auftrags- und Verfügbarkeitskontrolle gewährleistet und dabei zumindest grundsätzlich das Trennungsgebot und der Grundsatz der Datensparsamkeit eingehalten werden.

Ebenso erforderlich sind die Implementierung von Sicherungsmechanismen und die ordentliche Einbeziehung eines Datenschutzbeauftragten (§4g II S. 1 BDSG).

CRM-Systeme verarbeiten jedoch nicht nur Kundendaten, sondern auch Daten von Arbeitnehmern. Beispielsweise über Aufzeichnungen von Kundenkontaktzeiten oder über eine entsprechende Zugriffsprotokollierung der Mitarbeiter auf die vorhandenen Datensätze. Damit kann das CRM-System letztendlich auch zur Leistungskontrolle der eigenen Belegschaft eingesetzt werden. Diese Tatsache reicht aus, um die Mitbestimmungsrechte der Arbeitnehmervertretung auszulösen (§87 I Nr. 6 BetrVG). Sofern also ein Betriebsrat besteht, ist dieser an der Einführung oder Weiterentwicklung des CRM-Systems zu beteiligen.

Außerdem ist eine Vorabkontrolle sowie Folgenabschätzung bei der Verwendung eines CRM-Systems vorzunehmen, da nicht ausgeschlossen werden kann, dass durch den Einsatz eines solchen die Persönlichkeit des Betroffenen einschließlich seines gegenwärtigen oder zukünftigen Verhaltens bewertet wird (§4d V S. 2 Nr. 2 BDSG). Das Erfordernis der Vorabkontrolle entfällt jedoch immer dann, wenn die Verarbeitung auf einer Einwilligung (§4a BDSG) beruht oder wenn sie nach der Zweckbestimmung des Vertrags erforderlich ist (§4d V S. 2 2 HS BDSG).

Zudem muss gewährleistet sein, dass der Betroffene seine subjektiven Informationsansprüche und sonstigen Rechte (Verfahrensübersicht, Einsichtsmöglichkeiten, §4g II S. 2 BDSG, Löschungs- und Berichtigungsanspruche, §§20, 35 BDSG) ausüben kann (Transparenzaspekt).

 III. Materiellen Datenschutzbestimmungen

Für die Nutzung von CRM Systemen gilt der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten darf entweder auf eine Einwilligung (§4a I BDSG) des Betroffenen gestützt werden oder die Verarbeitung erfolgt aufgrund eines gemeinsam verfolgten Vertragszwecks (§28 I S. 2 Nr. 2 BDSG). Liegt keine Einwilligung vor oder ist kein Vertragszweck zu identifizieren kann die Datenverarbeitung auf einer Interessenabwägung der datenschutzrechtlichen Generalklausel des §28 I S. 1 Nr. 2 BDSG gestützt werden.

Beim Einsatz von Datenbanken empfiehlt sich zudem aufgrund der komplexen Strukturen die Datenverarbeitung insgesamt auf die Interessensabwägung nach §28 I S. 1 Nr. 2 BDSG zu stützen. In diese soll jedoch ein voluntatives Element wie eine (auch formlose) Einwilligung und die Zweckbestimmung – sofern möglich – hineingelesen werden.

Legt man diese Herangehensweise zugrunde muss folglich das berechtigte Interesse des Verarbeiters mit dem schutzwürdigen Interesse des Betroffenen abgewogen werden. Die wirtschaftliche Marktausrichtung des Verarbeiters und der Persönlichkeitsschutz sowie die Einbeziehung des Betroffenen in den Prozess der Verarbeitung helfen bei der Entscheidung.

Aus diesem Grund sind beispielsweise Auswertungen von Kundendaten zur Effektivitätsverbesserung, zur Qualitätskontrolle und für Werbezwecke grundsätzlich erlaubt, da sie dem wirtschaftlichen Interessen des Verarbeiters dienen und aufgrund der marktwirtschaftlichen Ausrichtung von Unternehmen wesentliche Elemente ihrer Existenz sind. Auf der anderen Seite muss im Interesse des Kunden immer auch auf die konkrete Verarbeitungssituation eingegangen werden. Je stärker der Betroffene in die Verarbeitung seiner Daten in CRM-Systemen eingebunden wird, desto weniger kann sein Interesse an einem Ausschluss der Verarbeitung schutzwürdig sein. Bei der Abwägung sind jedoch ebenfalls der Schutz des Betroffenen vor vollständiger Durchleuchtung und dauerhafter Beobachtung Grenzen gesetzt. Dadurch soll verhindert werden, dass sein Verhalten für den Verantwortlichen prognostizierbar wird und die verfassungsrechtlichen Grenzen der Profilbildung (Vgl. Volkszählungsurteil) eingehalten werden. Dem Gedanken kann jedoch nicht der Schluss entnommen werden, es sei verboten umfängliche Daten über den vermeintlich gläsernden Konsumenten einzuholen. Diese Pauschalisierung würde zu weit greifen, da sie keine Stütze im Gesetz findet. Vielmehr ergibt sich gerade im Umkehrschluss aus §28 IV S. 1 BDSG, dass umfassende Datensammlungen in einzelnen Lebensbereichen des Konsumenten grundsätzlich zulässig sind. Werden jedoch mehr Lebensbereiche erfasst erhöht sich die Gefahr, dass dadurch immer differenziertere Persönlichkeitsprofile des Betroffenen erstellt werden könnten. Dies kann in der Folge zur Unwirksamkeit der Datenverarbeitung führen. Bei der Interessensabwägung sind diese Gegebenheiten also mit zu berücksichtigen.

IV. CRM Systeme in Konzernstrukturen

Werden CRM Systeme in Konzernstrukturen oder im Verhältnis B2B verwendet, stellt sich die Frage wie die Verarbeitung der personenbezogenen Daten rechtlich ausgestaltet sein muss um den datenschutzrechtlichen Bestimmungen Rechnung zu tragen. Insbesondere die Übermittlung der Daten kann sich dabei als Übermittlung von Daten an Dritte (Funktionsübertragung iSv. §3 IV  S. 2 Nr. 3 BDSG) oder über eine Zurechnung (also gerade keine Übermittlung im Sinne des §3 IV S. 2 Nr. 3 BDSG) durch das Konstrukt einer Auftrags(daten)verarbeitung (§11 BDSG) darstellen. Rechtlich macht es dabei keinen Unterschied, ob die Datenübermittlung business to business oder innerhalb einer Konzernstruktur erfolgt, da datenschutzrechtlich kein Konzernprivileg existiert (Vgl. §2 IV S. 1 BDSG). Damit spielen wirtschaftliche Verflechtungen und Beherrschungsverträge für die Beurteilung der Rechtmäßigkeit der Datenverarbeitung keine Rolle.

1. Abgrenzung ADV und Funktionsübertragung

Von einer Auftragsdatenverarbeitung (ADV) im Sinne des §11 DSG spricht man, wenn die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle erfolgt (§11 BDSG). Abzugrenzen ist die ADV von der so genannten Funktionsübertragung, bei der rechtlich gesehen eine Übermittlung der Daten an Dritte erfolgt.

Abgrenzungskriterien für die Einordnung als ADV oder Funktionsübertragung sind die Weisungsgebundenheit des Auftragnehmers, die Beurteilung der rechtlichen Zuständigkeit für die Aufgabe und die Entscheidungsbefugnis über den Umgang mit den jeweiligen Daten. Ist der Auftragnehmer weisungsgebunden und obliegt die Entscheidungsbefugnis über die Daten bei ihm, liegt in der Regel eine Auftragsdatenverarbeitung vor und damit keine Übermittlung der Daten an Dritte. Der Auftragnehmer handelt dann als verlängerter Arm bzw. als Werkzeug für den Auftraggeber. Veranwortlicher im datenschutzrechtlichen Sinn bleibt damit der Auftraggeber, dem auch die Kontroll- und Dokumentationspflichten treffen.

In der Praxis wird daher zwischen einzelnen Gesellschaften ein solcher ADV-Vertrag vereinbart, da eine rechtssichere Funktionsübertragung aufgrund der Übermittlung an Dritte, die Einwilligung des Betroffenen (§§4, 4a BDSG) erforderlich machen würde. Diese kann jedoch jederzeit widerrufen werden. Im übrigen stellt der Dienstleister oftmals lediglich die IT Infrastruktur zur Verfügung und handelt insoweit weisungsgebunden und ohne eigene Entscheidungsfreiheit.

Wird zur Erfüllung der weisungsabhängigen Pflichten aus dem ADV eine zentralisierte Datenbank für Kundenpflege genutzt, ergeben sich weitreichende rechtliche Implikationen die bedacht werden müssen. Nachfolgend sollen diese erläutert werden.

2. Probleme bei der Nutzung einer zentralen Datenbank des Auftragsdatenverarbeiters

Entscheidend für die rechtskonforme Verwendung einer gemeinsamen Datenbank für die Auftragsdatenverarbeitung ist die richtige Umsetzung der technischen und organisatorischen Anforderungen an die Trennung von automatisierten Verfahren bei der Benutzung einer gemeinsamen IT-Infrastruktur.

Zu beachten und zu bewerten sind unter anderem welche Daten durch die gemeinsame Infrastruktur genutzt werden. Welche Rechtsgrundlage und welche Zweckbestimmung oder Zweckbindung liegt der jeweiligen Verarbeitung zugrunde, etc?

Im Detail müssen insbesondere die nachfolgenden Dinge Beachtung finden:

a. Die Mandantentrennung (Data Segregation /Corporate Separateness / Segregation of Duties)

Mandantentrennung bedeutet, dass es dem handelnden Unternehmen durch den Einsatz ihrer IT-Infrastruktur möglich sein muss, die Daten in einer Datenbank logisch zu trennen und zu verwalten (Mandantenfähigkeit oder Data Segregation). Die Notwendigkeit zur Mandatentrennung ergibt sich außerdem aus dem gesellschaftsrechtlichen Prinzip der Corporate Separateness. Danach muss jede Gesellschaft oder rechtliche Person als eigenständige behandelt werden. Für Konzerne gibt es keine zwingenden Vorgaben, wie die gemeinsame Datenverarbeitung technisch ausgestaltet sein muss. Aufgrund des Fehlens eines datenschutzrechtlichen Konzernprivilegs, darf die jeweilige Verantwortliche Stelle jedoch nur Zugang zu seinen eigenen personenbezogenen Daten haben. Liegt eine ADV vor, handelt der Auftragsverarbeiter als verlängerter Arm für das Unternehmen (s.o.). Zu gewährleisten ist dann, dass Zugriffsberechtigungen und Konfigurationseinstellungen für jeden Mandanten eigenständig festgelegt werden können und technische Maßnahmen die Trennung erkennen lassen. Unerheblich ist jedoch, wo sich die Daten physisch befinden. Der Auftragsdatenverarbeiter kann also durchaus eine gemeinsame Serverstruktur oder ein gemeinsames Datenbanksystem verwenden um die Daten zu organisieren. Entscheidend ist, dass Sicherungsmaßnahmen ergriffen werden, die eine datenschutzrechtliche Trennung der personenbezogenen Daten gewährleisten.

b. Besonderheiten

Zu beachten ist außerdem, dass Datenverarbeitungen eines Mandanten in einen anderen Mandanten als Datenübermittlung zu beurteilen sind. Für eine solche Datenübermittlung ist damit die Einwilligung des jeweils Betroffenen erforderlich. Etwaige Werbemaßnahmen die auf Grundlage einer solchen Datenverarbeitung stattfinden und für Adresshandel oder direct marketing genutzt werden verstoßen damit eindeutig gegen die geltenden rechtlichen Vorgaben.

Wenn dir der Artikel gefallen hat, teile ihn einfach: