Geht es um die richtige Verwendung von Kundendaten, herrscht in Unternehmen noch sehr viel Ratlosigkeit. Dabei ist der Einsatz dieser Daten gerade für die Vermarktung und Kommunikation enorm wichtig. Dennoch gibt es Wege für den rechtskonformen Gebraucht dieser Daten, auch ohne sich am Rande der Legalität zu bewegen.
"Ich hatte auf einmal 172 Mails im Ordner und wusste gar nicht, wo die auf einmal hergekommen sein könnten - bis ich dann feststellte, dass das Mails meines Internet-Providers waren." Mit dieser Feststellung wandte sich der Kunde eines Providers an einen Radiosender, um seine Verwunderung über den Erhalt der offenbar nicht für ihn bestimmten Mitteilungen zum Ausdruck zu bringen.
Was war passiert? Bei den E-Mails handelte es sich um Auftragsbestätigungen, die der Internetdienstleister eigentlich seinen Neukunden zusenden wollte, um ihnen die Vertragsabschlüsse nochmals zu bestätigen. Die Mails enthielten unter anderem Namen und Adressen der Kunden, Telefonnummern und teilweise auch Bankdaten. Dummerweise wurden diese Mails dann aber nicht an die richtigen Adressaten geschickt, sondern an den erwähnten Bestandskunden, der sogleich den nächsten "Datenskandal" witterte.
Was tat daraufhin der Diensteanbieter? Er setzte sich mit dem wahren Empfänger der Kundendaten in Verbindung, um eine schnelle Löschung zu veranlassen. Er änderte seine technischen wie auch organisatorischen Abläufe, um das "Datenleck" zu schließen, alarmierte die Datenschutzaufsichtsbehörde und wandte sich an die Öffentlichkeit, um schnelle Schadensbegrenzung durch öffentliche Aufklärung zu erwirken.
Solche oder ähnliche Pannen sind mittlerweile an der Tagesordnung und aus der öffentlichen Diskussion nicht mehr wegzudenken. Ob es nun um ein Missgeschick geht, komplette Kundendatenbanken veruntreut oder für Direktmarketingzwecke unerlaubt über dunkle Kanäle verkauft werden. Gerade weil Unternehmen Kundendaten für geschäftliche Zwecke einsetzen müssen, über deren legalen Einsatz aber noch viel zu wenig wissen, müssen sie solchen unschönen "Zwischenfällen" so gut es geht, organisatorisch und rechtlich zuvorkommen. Diese Aufgabe hat gerade vor dem Hintergrund der seit dem 1.September 2009 gesetzlich geregelten Informationspflicht bei Datenpannen besondere Relevanz.
Informationspflicht bei einer Panne
Diese "Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten" wird in ihren Auswirkungen derzeit noch stark unterschätzt. Sie gilt, wenn Dritte von bestimmten personenbezogenen Daten unberechtigt Kenntnis erlangen, genauer von Daten zu Bank- und Kreditkartenkonten, Daten, die einem Berufsgeheimnis unterliegen, besonderen Arten personenbezogener Daten und Daten über Straftaten und Ordnungswidrigkeiten.
Aufgrund einer entsprechenden Ergänzung im Telekommunikations- und Telemediengesetz gilt die Informationspflicht außerdem für alle Arten von Bestands-, Nutzungs- und Verkehrsdaten nach diesen Gesetzen. Beachten sollte man in diesem Zusammenhang besonders den weiten Anwendungsbereich: Da laut TMG auch Bestands- und Nutzungsdaten, wie z.B. reine IP-Adressen oder auch nur der Name oder die E-Mail eines Internetnutzers gehören, kann praktisch jedes Unternehmen, das einen Internetauftritt hat, von der Informationspflicht betroffen sein.
Sollten tatsächlich einmal Daten in unbefugte Hände Dritter gelangen, woraus die Rechte oder schutzwürdigen Interessen schwer beeinträchtigt würden, muss das Unternehmen, die Aufsichtsbehörde und unter Umständen die Öffentlichkeit mit halbseitigen Anzeigen in bundesweit erscheinenden Tageszeitungen informieren. Außerdem sollte es umgehend Datensicherungsmaßnahmen ergreifen. Ferner hat das Unternehmen die Pflicht, eine Folgenabschätzung zu machen, die ebenfalls der Aufsichtsbehörde vorgelegt werden muss. Wer davon betroffen ist, erhält Empfehlungen für Maßnahmen, die nachteilige Folgen für ihn mildern können. Verliert beispielsweise jemand seine Bankdaten, sollte er regelmäßig die Abbuchungen von seinem Konto kontrollieren. Falls Kennwörter abhanden kommen, sollte den Kunden empfohlen werden, diese sofort zu ändern.
Im Team für mehr Datenschutz
Mit rechtlichem oder organisatorischem Sachverstand allein, ist die Sache nicht getan. Das betroffene Unternehmen braucht beides. Um entsprechend vorzubeugen, sollte das Unternehmen ein internes Verfahren zur Aufdeckung und Meldung von Sicherheitsverstößen etablieren. Die "data breach policy" beispielsweise legt fest, welche Schritte im Fall einer Datenpanne unternommen werden müssen (z.B. welche Zuständigkeiten gelten). Für den Ernstfall sollten außerdem Richtlinien in der Schublade liegen, die darüber informieren, auf welche Weise und mit welchen Inhalten Mitteilungen an Kunden und Aufsichtsbehörden gehen sollen.
Dafür müssen alle Unternehmensbereiche, die so eine Panne angeht schon im Vorfeld gut zusammenarbeiten. Der Justiziar klärt über die Vorschriften auf, der IT-Sicherheitsbeauftragte kontrolliert die Sicherheit des Datenverkehrs, der Datenschutzbeauftragte verabschiedet die Regeln und der Kommunikationsverantwortliche steuert die Kommunikation nach außen. Würden sich alle aber nur auf diesen einen Vorfall rüsten, wäre das zu kurz gegriffen. Vielmehr sollten sie ihre Sache ganzheitlich verstehen und intensiv durchleuchten, welche Kundendaten überhaupt von wem für welche Zwecke erhoben werden? In welchen Abteilungen und vertrieblichen Schnittstellen muss eine Einwilligung des Kunden abgefragt werden? Welche Arbeitsabläufe im gesamten Unternehmen hantieren mit den sensiblen Kundendaten? Denn jede Information, die gar nicht erst erhoben wird, verringert die Gefahr einer Datenpanne, auch wenn dies im Informationszeitalter manchmal unrealistisch erscheint.
Nie die Daten horten
Schon bei der Erhebung der Daten ist deshalb ein kritischer Blick angebracht. Denn nach dem datenschutzrechtlichen Grundsatz der Erforderlichkeit, muss eine Firma den Umfang der Datensammlung auf dessen wirklichen Verwendungszweck begrenzen. Andere Angaben, die etwa in einem Formular abgefragt werden, sollten vermieden oder jedenfalls ausdrücklich als "freiwillig" bezeichnet werden. Auch das Einholen von Einwilligungen hilft nur begrenzt weiter. Wichtig ist in diesem Zusammenhang das datenschutzrechtliche Koppelungsverbot: danach verbietet der Gesetzgeber - unter bestimmten Voraussetzungen - , den Vertragsschluss von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig zu machen, also etwa die Zustimmung zu dem regelmäßigen Erhalt eines Newsletters.
Gefahrenpunkt Werbenutzung
Geht es um den geschäftlichen Einsatz von Kundendaten, sollte vor allem in zwei Bereichen ganz genau hingeschaut werden: der Umfang einer zulässigen Datenverwendung zu Werbezwecken und das Einschalten von Dienstleistern, die Umgang mit den Daten erhalten (z.B. Callcenter).
Oft wird übersehen, dass es entscheidend auf die Art der werblichen Ansprache ankommt, ob diese also postalisch, per E-Mail oder SMS, per Telefax oder per Telefon erfolgt. Die auch durch die Datenschutz-Novelle II neu gefasste Regelung in § 28 Abs. 3 BDSG, die ausdrücklich eine Werbenutzung von Daten unter bestimmten Voraussetzungen zulässt (und die auch das viel zitierte "Listenprivileg" enthält) regelt grundsätzlich nur die postalische Werbung. Für Werbemaßnahmen per E-Mail, SMS, Fax und Telefon muss eine ausdrückliche Einwilligung der Kunden eingeholt werden (lediglich für E-Mail-Werbung besteht eine enge Ausnahmevorschrift für Bestandskunden).
Erschwerend kommt hinzu, dass an eine wirksame Erteilung einer solchen Einwilligung strenge Anforderungen gestellt werden. Nach der jüngsten Rechtsprechung des BGH (zuletzt im Fall "Happy Digits") ist es erforderlich, dass solche Einwilligungen separat durch eine gesonderte Angabe erteilt werden; eine Vermischung mit anderen Erklärungen - etwa in AGB - ist nicht zulässig.
Stopp dem unkontrollierten Datenabfluss
Arbeitet ein Unternehmen mit einem externen Dienstleister, wie z.B. einem Callcenter zusammen, hat es in Bezug auf eine rechtskonforme Verwendung der Kundendaten ganz besondere Verpflichtungen, da die Callcenter in den meisten Fällen die Kundenkommunikation übernehmen. Aus diesem Umstand haben viele Callcenter in der Vergangenheit ihren eigenen Vorteil gezogen und Daten unberechtigt weiterverkauft. Daher unbedingt bei der Vertragsgestaltung die entsprechenden Grundlagen hierfür prüfen. Die geänderten gesetzlichen Anforderungen sehen vor, auch die vor dem 1. 9. 2009 begründeten aber noch laufenden Auftragsdatenverarbeitungsverträge an die neuen Vorgaben anzupassen - Ausnahmen oder Übergangsfristen gibt es nicht.
Zum einen ist der Katalog der Mindestinhalte von so genannten Auftragsdatenverarbeitungsverträgen, auf insgesamt 10 Regelungsgegenstände ausgedehnt worden. Zum anderen sind Auftraggeber jetzt verpflichtet, zu kontrollieren ob der Auftragnehmer auch die technischen und organisatorischen Schutzmaßnahmen vor Beginn der Datenverarbeitung einhält. Ferner muss er das regelmäßig kontrollieren und das Ergebnis dieser Prüfungen auch dokumentieren.
Hinsichtlich der Kontrollpflicht ist noch unklar, welche Maßnahmen in welchen Intervallen zu ergreifen sind. Entscheidend dabei ist klar der Umfang der Datenverarbeitung und die Art der betroffenen Daten. Neben einer Vor-Ort-Kontrolle und einer Vorlage von Zertifikaten und Audits dürfte auch eine Bestätigung des betrieblichen Datenschutzbeauftragten des Auftragnehmers ein geeignetes Mittel sein. Wichtig ist nur, dass die Unternehmen überhaupt kontrollieren.
Einer ist immer schuld
Mitarbeitern, die mit der Bearbeitung von Kundendaten zu tun haben, sollte man nicht blind vertrauen. Schließlich sind einige Datenpannen auch auf fahrlässigen, internen Missbrauch der Kundendaten zurückzuführen. Auch hier muss Präventivschutz etabliert werden. Der Gesetzgeber schreibt hier vor, dass jeder bei der Datenverarbeitung beschäftigte Mitarbeiter explizit auf die Wahrung des Datengeheimnisses verpflichtet wird. Diese Verpflichtung sollte schriftlich gemacht werden und mit einer Information über unbefugte Datenverwendungen einhergehen; etwa auf die Strafbarkeit eines Verrats von Geschäfts- und Betriebsgeheimnissen.
Nach der Rechtsprechung des BGH stellt schon eine einfache Liste mit Kundendaten ein solches Geschäftsgeheimnis dar. Setzt der Mitarbeiter eine solche Liste zum Beispiel für private Zwecke ein oder nimmt sie sogar mit dem nächsten Arbeitgeber, kann er sich strafrechtliche Konsequenzen sicher sein. Hier kann der Datenschutzbeauftragte schon früh Hand anlegen, indem er Datenschutz-Schulungen für alle Mitarbeiter anbietet, um mehr Transparenz und Sensibilität im Umgang mit Kundendaten zu erwirken. (oe)
Der Autor Dr. Flemming Moos ist Fachanwalt für Informationstechnologierecht und auf Datenschutz und E-Commerce-Recht spezialisiert und arbeitet bei der Wirtschaftskanzlei DLA Piper in Hamburg.
Weitere Informationen und Kontakt:
i-KOM - interim Kommunikation, Tel.: 089 4484127, www.i-kom.org