Datenschutz bei CRM und Social Media

So pflegen Sie Kundenbeziehungen richtig

06.07.2012
Was bei Facebook, Twitter, Google+, Xing und LinkedIn zu beachten ist, sagt Dr. Sebastian Kraska.

Unternehmen setzen zur Organisation ihrer Kundenbeziehungen so genannte Customer-Relationship-Management-Software (CRM-Software) ein, in welcher der komplette Verlauf einer Kundenbeziehung gespeichert wird. Eine der Hauptaufgaben der CRM-Software ist dabei die strukturierte Gewinnung neuer Kunden. Der folgende Beitrag gibt Empfehlungen, was aus datenschutzrechtlicher Sicht bei der Verbindung von CRM-Software mit "Social Media" Tools wie Facebook, Twitter, Google+, XING und LinkedIn zu beachten ist.

"CRM" und "Social Media": Kundenkartei 2.0

Die vermehrte Nutzung von sogenannten "Social Media-Angeboten", also Plattformen zum Informationsaustausch zwischen den beteiligten Nutzern, versuchen CRM-Softwareanbieter auch für Unternehmen nutzbar zu machen. Werden Geschäftsbeziehungen in CRM-Software bislang in der Regel mit Adressinformationen, Anrufübersichten und manuell eingegebenen Zusatzinformationen abgebildet - bei mancher Software unter Umständen noch ergänzt um Informationen zur E-Mail und Newsletter-Nutzung - bieten CRM-Systeme mittlerweile auch die Ergänzung des eigenen CRM-Datenbestandes durch Informationen aus Social-Media-Plattformen.

Speicherung der Herkunft der Daten

Eine mit der Neufassung des Bundesdatenschutzgesetzes in 2009 nochmals verstärkt klargestellte Forderung ist die Pflicht für die Unternehmen, bei der werblichen Verwendung von Daten den Betroffenen grundsätzlich auch über die Herkunft der Daten zu informieren. Dies kann naturgemäß nur dann geschehen, wenn diese Information in der CRM-Datenbank auch hinterlegt ist. Ein "wildes Vermischen" von Daten ohne Rückverfolgbarkeit der jeweiligen Quellen der einzelnen Datenteile führt dazu, dass die in der CRM-Software gespeicherten Daten nicht datenschutzkonform genutzt werden können.

"Verbot mit Erlaubnisvorbehalt": erst fragen, dann tracken

Im deutschen und europäischen Datenschutzrecht gilt zudem folgende zentrale Regelung: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dies gesetzlich erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat (umgangssprachlich als "Verbot mit Erlaubnisvorbehalt" bezeichnet).

Da gesetzliche Erlaubnistatbestände zumeist nicht eingreifen bedarf die Verbindung von CRM-Software und Social Media Tools daher der Einwilligung der Betroffenen. Die Einwilligung muss dabei in der Regel nicht schriftlich erfolgen, sollte aber in irgendeiner Form (elektronisch) festgehalten werden, um im Zweifel den Erhalt einer Einwilligungserklärung nachweisen zu können. Um wirksam zu sein muss die Einwilligungserklärung zudem auf einer vollständigen Information des Betroffenen beruhen und spezifisch die geplante Datennutzung bezeichnen. Ferner bedarf die Einwilligung stets einer "aktiven Willenshandlung" um wirksam zu sein. Vorangehakte oder versteckte Einwilligungserklärungen sind daher rechtlich nicht wirksam.