Zweckbindungsgrundsatz
Ein weiterer wichtiger zentraler Baustein des Datenschutzrechts ist der so genannte "Zweckbindungsgrundsatz", also die Forderung, dass Daten ohne gesetzliche Erlaubnis oder Einwilligung des Betroffenen nur für den Zweck verwendet werden dürfen, für den diese ursprünglich erhoben worden sind.
Ein Beispiel: Nutzt ein Kunde eine Facebook-App. des Unternehmens und werden daher dem Unternehmen bestimmte für die Nutzung der App. erforderliche Daten des Kunden bekannt, bedarf die Übergabe dieser Daten in das CRM-System des Unternehmens der Einwilligung des Betroffenen.
Transparenz bei der Datenverarbeitung
Eine sehr häufig geäußerte Forderung betrifft die Transparenz der Datenverarbeitung. Die (vereinfachte) Theorie dahinter: je mehr Informationen dem Betroffen über die geplante Art und den beabsichtigten Umfang der Datenerhebung und -verwendung vorliegen, desto geringer ist die damit verbundene Beeinträchtigung seiner informationellen Selbstbestimmung und desto eher ist die geplante Datenverarbeitung (im Einzelfall auch ohne Einwilligung des Betroffenen) als zulässig zu erachten.
Wem "gehören" die Daten eigentlich? Verknüpfung mit Xing"Accounts
Gerade bei Funktionen wie der Verknüpfung des betrieblichen CRM-Systems mit den Xing oder LinkedIn Accounts der Beschäftigten stellen sich datenschutzrechtliche Fragen: dürfen die Daten überhaupt dem Arbeitgeber zur Verfügung gestellt werden? Darf der Arbeitgeber die Daten auch nach Ausscheiden des Beschäftigten aus dem Unternehmen weiter verwenden? Zur Vermeidung von Streitigkeiten über diese von den Datenschutz-Aufsichtsbehörden bislang in der Breite noch nicht aufgegriffenen Fragen empfiehlt es sich, in Absprache mit den Beschäftigten nur ausgewählte "betriebliche" Kontakte aus Xing und LinkedIn in die CRM-Software zu übernehmen und mit dem Beschäftigten eine Regelung zu treffen, wie mit den Daten beim etwaigen Ausscheiden des Beschäftigten aus dem Unternehmen verfahren werden soll.
Wer darf auf welche Daten zu welchem Zweck zugreifen?
Wie den beschriebenen Punkten zu entnehmen ist regelt das Datenschutzrecht die Frage, wer welche personenbezogenen Daten zu welchem Zweck erheben und nutzen darf. Damit sind die datenschutzrechtlichen Vorgaben nicht allein irgendein weiteres Gesetz, dessen Befolgung nur allein deshalb erfolgt, um Bußgelder zu vermeiden, sondern um die wirtschaftlichen Nutzungsmöglichkeiten der Verarbeitung personenbezogener Daten zu erschließen. Daher sollten die datenschutzrechtlichen Vorgaben bei der Erweiterung eines CRM-Systems um Social-Media Kanäle bereits nach Möglichkeit im Vorfeld analysiert werden.