Im Zusammenhang mit der Verwaltung von Kundeninformationen greifen viele Unternehmen auf ein sog. CRM-System (Customer Relation Management) zurück, in dem sämtliche Stammdaten (Name, Tel, E-Mail, Adresse) der Kunden angelegt sind und eingesehen werden können. Oft besteht die Möglichkeit, diese auch mit weiteren Angaben (z.B. im Beschwerdemanagement) zu verknüpfen oder Marketingaktionen zu steuern. Nicht selten greifen dabei mehrere Unternehmen – beispielsweise innerhalb eines Konzernverbunds – auf dieselbe Datenbank zu, um die Abwicklung von Anfragen oder den Vertrieb zu optimieren, das Marketing zu unterstützen oder sich vor Betrug bzw. dem Zahlungsausfall auf Seiten des Kunden zu schützen. Die datenschutzrechtlichen Vorgaben für die Nutzung eines gemeinsamen CRM-Systems werden dabei allerdings sträflich vernachlässigt.
Datenschutzrechtliche Anforderungen
Insbesondere Folgende Aspekte sollten bei der Nutzung eines gemeinsamen CRM-Systems beachtet werden:
- funktionierendes Rollen- und Berechtigungskonzept (nach dem sog. „Need-to-know“-Prinzip)
- Abschluss notwendiger datenschutzrechtlicher Vereinbarungen, regelmäßig einer Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) oder über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Welche Vereinbarung abzuschließen ist, muss anhand des konkreten Einzelfalls geprüft werden. Entscheidend hierfür ist, wie das CRM-System durch die beteiligten Unternehmen konkret verwendet wird.
Bei Missachtung drohen hohe Bußgelder
Insbesondere der Abschluss notwendiger Vereinbarungen wird in der Praxis häufig nur stiefmütterlich behandelt. Dies führt zu Unklarheiten bzgl. datenschutzrechtlicher Verantwortlichkeiten und somit zu Schwierigkeiten bei der Wahrung der Vorgaben der DSGVO, etwa wenn Prüf- und Meldepflichten kaum oder gar nicht existieren und somit Betroffenenanfragen bzw. Datenschutzvorfälle ins Leere laufen.
Für Unternehmen können hier hohe Bußgelder drohen, wie ein aktueller Fall aus dem Tätigkeitsbericht des Jahres 2020 vom Hamburger Beauftragten für Datenschutz und Informationssicherheit verdeutlicht. In dem betreffenden Verfahren gegen ein größeres Unternehmen wurde seitens der Aufsichtsbehörde die fehlende Vereinbarung nach Art. 26 DSGVO beanstandet und mit einem Bußgeld in Höhe von 13.000 Euro geahndet. Das Verfahren ins Rollen gebracht hatte die Beschwerde eines Kunden, dessen Daten an verschiedenen Stellen im Konzern auftauchten. Die Hamburger Aufsichtsbehörde prüfe daraufhin die internen Vereinbarungen zum Datenaustausch innerhalb des Konzerns.
Fazit
Zur Vermeidung von Bußgeldern sollten die internen Datenflüsse bei der Nutzung eines gemeinsamen CRM-Systems entsprechend organisiert und datenschutzrechtlich durch entsprechende Verträge abgesichert werden.
Stand: 25.03.2021
Weiterer interessanter Artikel: Terrorlisten-Screening und Datenschutz