Marketing, CRM und Big Data – Spielverderber Datenschutz?

Von Dr. Karsten Kinast, Partner, Rechtsanwalt und Externer Datenschutzbeauftragter bei Kinast & Partner 

Wenn es um Datenschutz und Kundendaten geht, reagieren viele Unternehmen mit Unsicherheit. Der Umgang mit personenbezogenen Daten bereitet Kopfschmerzen: Wo liegen die Grenzen des Erlaubten? Sind unsere Prozesse legal? Wie lasse ich den Betroffenen wirksam einwilligen? Welche Konsequenzen drohen bei Verstößen, wie kann ich mich absichern? Es steht so einiges auf dem Spiel: Es gilt einen Ruf zu wahren oder die Compliance wird hoch gehalten. Andererseits will man nicht weniger Nutzen aus den Daten ziehen als die Konkurrenz und Nachteile im Wettbewerb vermeiden. 

Hinzu kommt das große Interesse an den Neuerscheinungen des digitalen Zeitalters: Viele Unternehmen wollen die Vorteile von Big Data, Data Warehouse, Data Mining & Co. nutzen. Big Data beschreibt das Prinzip, möglichst viele Daten zu sammeln und durch Analyse und Kombination der Daten neue Informationen zu gewinnen. Daraus kann für unsere Gesellschaft großer Nutzen gezogen werden und Unternehmen wittern eine Quelle ungeahnter Kenntnis über Kunden, Märkte und Absatzchancen. Technisch sind Unternehmen schon länger in der Lage, fast beliebig Daten zu speichern und zu analysieren. Bislang hindert meist die komplizierte Rechtslage die praktische Umsetzung – es bleibt bei Skepsis und Unsicherheit gegenüber Big Data & Co. 

Ist Big Data legal? 

Um es kurz zu machen: Bei Big Data und Datenschutz könnten die Gegensätze kaum größer sein. Die Sammlung und Verwertung größtmöglicher Datenmengen treffen auf ein Bundesdatenschutzgesetz (BDSG), das Sparsamkeit, Zweckbindung und zeitnahe Löschung in den Vordergrund stellt. So groß der Nutzen von Big Data für Unternehmen oder unsere Gesellschaft auch sein mag – die Antwort auf die Frage nach der Zulässigkeit von Big Data muss aktuell lauten: „Eher nicht.“  

Der Grund für diese Fehlanzeige ist schnell ausgemacht. Das BDSG funktioniert nach dem Prinzip des Verbots mit Erlaubnisvorbehalt und hemmt so jede Innovation, die nicht im Gesetz angelegt ist. Jeder Umgang mit personenbezogenen Daten ist verboten, es sei denn, er wird im Gesetz erlaubt oder der Betroffene hat seine Einwilligung erklärt. Daneben verlangt der Grundsatz der Sparsamkeit, dass nur die nötigsten Daten erhoben und gespeichert werden. Der Grundsatz der Zweckbindung besagt, dass für jeden Datensatz im Vorfeld ein Zweck definiert sein muss, der später nur unter gewissen Einschränkungen wieder geändert werden darf. Selbst die Einwilligung des Betroffenen muss für den konkreten Fall erklärt werden, den pauschalen Freibrief toleriert das Gesetz nicht. Hinzu kommt, dass Daten nach Wegfall oder Erledigung ihres ursprünglichen Zweckes grundsätzlich gelöscht werden müssen.  

Personenbezogene Daten auf Vorrat und für unbestimmte neue Zwecke auf Dauer gespeichert sind dem Datenschutz unterm Strich ein Graus. Big Data funktioniert daher in Deutschland und Europa ausschließlich mit Daten, die den Personenbezug verloren oder nie besessen haben. Anonymisierten oder anonymen Daten stehen die Gesetze zum Datenschutz neutral gegenüber, denn ohne Personenbezug fehlt das schützenswerte Persönlichkeitsrecht. 

Ob die Rechtslage künftig anders zu bewerten ist, lässt sich nicht sicher vorhersagen. Die geplante Europäische Datenschutzgrundverordnung gibt – möglicherweise – das Prinzip der Zweckbindung auf. Dieser Schritt würde den Weg für Big Data ein ganzes Stück weit ebnen. Allerdings ist der Widerstand gegen diesen Vorschlag erheblich, sodass höchst zweifelhaft ist, in welcher Form die Europäische Datenschutzgrundverordnung tatsächlich erlassen wird. Auch an anderer Stelle gibt sich die Datenschutzgrundverordnung prinzipiell offener für Big Data, weil die berechtigen Interessen auch eines Dritten berücksichtigt werden können und die Abwägung offener ausgestaltet ist. Wie solche unbestimmten Formulierungen in der Praxis mit Leben gefüllt werden können, wird sich zeigen müssen. 

Datenschutz im CRM 

Es müssen nicht erst Big Data sein, damit Unternehmen auf größere Probleme im Datenschutzrecht stoßen. Schon der alltägliche Umgang mit Kundendaten im CRM führt zu vielen Fragen: Welche Daten darf ich als Unternehmen haben? Wie darf ich mit diesen Daten umgehen?

Hier fällt die Antwort deutlich optimistischer, wenngleich auch unschärfer aus. Die Regelung des § 28 Abs. 1 Satz 1 Nr. 1 und Nr. 2 Bundesdatenschutzgesetz greift zentral für die Frage, was im Rahmen von CRM mit Kundendaten erlaubt ist. Danach ist der Umgang mit personenbezogenen Daten zulässig, wenn er für die Begründung, Durchführung oder Beendigung des rechtlichen Verhältnisses mit dem Betroffenen erforderlich ist. Hierunter fallen sämtliche Daten, die gebraucht werden, damit der Vertrag funktioniert, z.B. Adressen für den Versand und die Rechnung, Konfektionsgröße bei Kleiderbestellung, Sehschwäche bei Brillenanfertigung, Schuhgröße beim Schuhkauf usw. 

Außerdem ist der Umgang zulässig, wenn er zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss des Umgangs überwiegt. Diese nahezu wortgetreue Wiedergabe des Gesetzeswortlauts zeigt, wovon die Zulässigkeit von Umgang mit Daten im Wesentlichen abhängig ist: Einer Abwägung der berechtigten Interessen des Unternehmens mit den Interessen des Betroffenen. 

Persönlichkeitsprofile als Grenze

Dieser Abwägungsmechanismus macht nahezu jede Entscheidung im Datenschutzrecht zur Einzelfallentscheidung. Festgelegt hat die Rechtsprechung nur die Grenze nach oben: Die Abwägung fällt zu Lasten des Unternehmens aus, wenn Persönlichkeitsprofile gebildet werden sollen. Wann ein solches Persönlichkeitsprofil vorliegt, wird nicht exakt definiert – so soll hierunter die Erstellung von umfassenden und detaillierten Bildern einer Person zu verstehen sein. Welches Detail gerade kritisch ist, lässt sich kaum generell festlegen. Die heutigen Datenmassen zu jeder Person lassen jedoch vermuten, dass auch schon kleinere Datensammlungen Profilcharakter gewinnen können. 

Mit anderen Worten: Kann es dem berechtigten Interesse eines Unternehmens entsprechend, die Persönlichkeit eines Menschen auszuwerten, zu registrieren und zu katalogisieren, nur um ihm möglicherweise mit einer besonderen Verkaufsstrategie zu begegnen? Es dürfte auf der Hand liegen, dass in solchen Fällen jedenfalls Grund zu der Annahme besteht, dass der Betroffene sich in Kenntnis der Vorgänge dagegen aussprechen würde. Diese abstrakte generalisierende Wertung  hat der Gesetzgeber zu normieren versucht und dem Rechtsanwender die sorgfältige Abwägung zur Aufgabe gemacht.

Bei alledem hilfreicher ist ein anderer Ansatz: Das Interesse des Unternehmens als Anlass für die Datenauswertung muss berechtigt sein, worunter zum Beispiel das Konsumverhalten fällt. Dass Unternehmen nur solche Kunden bewerben möchten, von denen sie sich Geschäftsabschlüsse versprechen, ist berechtigt und nachvollziehbar. Daher darf die Datenanalyse keine weiteren Angaben als die Antwort auf diese Frage liefern, um von der gesetzlichen Rechtfertigung gedeckt zu sein. Zudem dürfen als Grundlage für die Analyse nicht derart viele personenbezogene Daten herangezogen werden, dass sie allein ein detailliertes Persönlichkeitsprofil abzeichnen könnten.

Zielgruppen ja, Persönlichkeitsprofile nein

Die Bildung von Zielgruppen ist von Persönlichkeitsprofilen abzugrenzen. Die Zugehörigkeit zu einer Zielgruppe beschreibt weniger die Persönlichkeit des Betroffenen, als dass es sich um Einteilung zum Beispiel derjenigen Kunden handelt, denen man mit verstärkten Verkaufsbemühungen gegenübertreten möchte. Die Bildung von Zielgruppen für zum Beispiel Marketingmaßnahmen ist in aller Regel zulässig. Die Mechanismen hierfür variieren und begegnen in der Regel keinen durchgreifenden datenschutzrechtlichen Bedenken. Das Ergebnis von etwa Verbraucherscoring ist jeweils nur die Aussage, ob z.B. Werbematerial versandt oder die Intensivierung der Geschäftsbeziehung angestrebt wird. Diese Daten entsprechen dem berechtigten Interesse des Unternehmens und beschränken sich zur Person des Betroffenen auf das Minimum – schlicht positiv oder negativ. 

Weitere Grenzen für CRM

Der Kreis der berechtigen Interessen der Unternehmen ist schnell überschritten, wie ein Beispiel aus der behördlichen Datenschutzüberwachung zeigt. Ein Bankhaus hatte über Jahre die nebenbei erfahrenen Daten über Kunden im CRM gespeichert hat, um etwa über die Trinkgewohnheiten im Termin (Kaffee, Tee usw.) vorab informiert zu sein oder durch Kenntnis der Hobbys (Golf, Segeln usw.) eine persönliche Gesprächsatmosphäre aufzubauen. Bei vielen Gelegenheiten erfahren Unternehmen mehr Daten als nötig über ihre Kunden oder Interessenten. Zur Speicherung und Auswertung sind sie dennoch nicht berechtigt, weil ihnen die Berechtigung für das behauptete Interesse fehlt und die Interessen der Betroffenen in der Regel überwiegen. Kaum einem Bankkunden dürfte daran gelegen sein, dass seine privaten Gewohnheiten ohne seine Kenntnis gespeichert werden, nur damit vermeintlich angenehmere Gespräche mit ihm geführt werden können. Anders hingegen kann es um die Vorlieben eines Stammgastes im Hotel stehen, der durchaus Wert auf eine wiederkehrende Behandlung legen kann.   

Besondere Vorsicht gilt zudem für Branchen, die mit besonderen personenbezogenen Daten agieren und daher weitaus strengeren Anforderungen unterliegen. Besondere personenbezogene Daten, dazu gehören Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, dürfen grundsätzlich nur mit Einwilligung des Betroffenen erhoben, gespeichert oder verarbeitet werden. Solche Daten sind für die Pflege der Kundenbeziehung im CRM tabu. 

Weitergehender Datenumgang nur im Einvernehmen

Unternehmen, die besonderen Wert auf eine Pflege der Kundenbeziehung oder detaillierte Auswertung des Kunden legen, kommen nicht umhin, dem Kunden seine Zustimmung abzuringen. Dieser Schritt will gut vorbereitet sein, denn vorformulierte Einwilligungserklärungen unterliegen strengen Anforderungen. Sie müssen dem Betroffenen ein realistisches Bild der geplanten Datenverarbeitung vermitteln, andernfalls sind die Erklärungen unwirksam. Im Prinzip muss der Kunde die Datenverarbeitung tatsächlich durchschauen können – weshalb es meist eines Gegenwerts bedarf, damit der Kunden seine Einwilligung erklärt. Probate Mittel sind Rabatt- und Punktesysteme oder Kundenkonten mit anderen Vorteilen. 

Wenn die Einwilligungserklärung die nötige Transparenz verschafft, steht theoretisch auch dem Einsatz von Big Data nichts im Wege. Es stellt jedoch eine gewisse Herausforderung dar, die Kunden transparent über Zweck, Art und Weise der Datenverarbeitung aufzuklären, wenn der Datenumgang  im Allgemeinen wie folgt umschrieben wird: Grenzenlos und unbestimmt.   

Im Ergebnis stellt der Datenschutz in großen Teilen ein Hindernis dar. Es bleibt die Herausforderung, größtmögliche Vorteile beim CRM zu entwickeln und gleichzeitig dem Schutz der Daten gerecht zu werden. 

Exkurs - lesen Sie hierzu auch:

Internetriesen und Datenschutz: Dürfen die das und wenn ja, warum wir nicht?