Analytisches CRM

Gesetzgeber verlangt Einwilligung zum Datenschürfen

ITB: Beim analytischen CRM beziehungsweise Data Mining gibt es mitunter rechtliche Probleme wegen der aufgehobenen Zweckbindung der erhobenen Daten. Erläutern Sie die rechtliche Situation bitte genauer.

Heukrodt-Bauer: Für Website-Betreiber gilt seit 1. März dieses Jahres das neue Telemediengesetz (TMG), das auch datenschutzrechtlich das bisher geltende Teledienstedatenschutzgesetz (TDDSG) sowie den Mediendienstestaatsvertrag (MDStV) abgelöst hat. Daneben gilt weiterhin das Bundesdatenschutzgesetz (BDSG). Inhaltlich hat sich gegenüber der alten Rechtslage zum Datenschutz aber nichts geändert.

Wie auch schon nach dem TDDSG ist die Zulässigkeit der Erhebung und Verwendung der Kundendaten nach dem Telemediengesetz so geregelt: Entweder ist die Datenverarbeitung aufgrund einer gesetzlichen Regelung erlaubt oder der Nutzer muss der Datenverarbeitung zustimmen. Anonyme Daten dürfen immer gespeichert werden. Personenbezogene Daten, also solche, mit denen man den einzelnen Kunden identifizieren kann, beispielsweise Name, Adresse, Kreditkartennummer oder IP-Adresse, dürfen nach Paragrafen 11 fortfolgende im TMG ohne besondere Einwilligung gespeichert werden, soweit das für die Abwicklung des Kaufes im Onlineshop oder wegen der steuerrechtlichen Aufbewahrungspflichten erforderlich ist. Zu anderen Zwecken dürfen die Daten jedoch ohne die Einwilligung des Betroffenen weder gespeichert noch verwendet werden.

ITB: Nun hat der Kunde doch keinen Nachteil, wenn er aufgrund analytischen CRM beispielsweise als Kündigerkandidat ermittelt wurde. Vielmehr wird das Unternehmen ihm gegenüber entgegenkommender auftreten. Oder - anderes Beispiel - wenn Kunden mit der höchsten Kaufwahrscheinlichkeit ermittelt werden, besteht der Kundenvorteil darin, dass tendenziell nicht alle in der Adressdatenbank mit Werbung »bombardiert« werden, sondern nur die Gruppe mit dem statistisch ermittelten, größten Kaufinteresse.

Heukrodt-Bauer: Ich verstehe mich wirklich nicht als Verbraucherschützer, aber das geht einfach zu weit. Das klingt ja nach dem Motto: Wir machen den Kunden auch gegen seinen Willen glücklich. Tatsache ist doch: Der Handel macht letztlich nur sich selbst glücklich. Das heißt, Zweck des Data Minings ist es doch nicht, Kunden vor zuviel Werbeflut zu schützen. Es geht nur um das Sammeln von Daten, man will Kaufgewohnheiten, Lebensalter etcetera in Erfahrung bringen und damit die Waren noch besser an den Mann bringen.

Das ist ja grundsätzlich auch nachvollziehbar, doch steht dem eben das Recht des Einzelnen auf informationelle Selbstbestimmung entgegen. Das Datensammeln ist gesetzlich nicht verboten, sondern es muss zuvor lediglich das Einverständnis des Betroffenen dafür eingeholt werden. Das Bundesverfassungsgericht hat das Thema in seinem Volkszählungsurteil grundlegend beleuchtet und entschieden, dass jeder grundsätzlich selbst entscheiden könne, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Wer also Daten sammeln will, muss das dem Kunden offen legen und sein Einverständnis dafür einholen.

ITB: Welche Möglichkeiten gibt es in der Praxis, dieses Einverständnis einzuholen? Reicht ein kleines Feld zum Ankreuzen neben einem entsprechenden Hinweis auf der Website?

Heukrodt-Bauer: Genau, man muss eine Checkbox in das Onlineformular einfügen mit dem Hinweis wie etwa: »Mit der Erhebung und Verwendung meiner Daten zu Werbezwecken bin ich einverstanden. Ich weiß, dass ich mein Einverständnis jederzeit widerrufen kann.« Alternativ kann man auch auf eine Datenschutzerklärung verlinken, die der User dann akzeptiert. Wichtig ist, dass der Nutzer aktiv sein Einverständnis erklärt; die Checkbox darf also nicht standardmässig vorab aktiviert sein.

ITB: Warum hat das Bundesverfassungsgericht denn Bedenken beim Thema Profilbildung mittels Kundendaten?

Heukrodt-Bauer: Das Recht auf informationelle Selbstbestimmung muss nach Auffassung des Bundesverfassungsgerichts gerade unter den modernen Bedingungen der automatischen Datenverarbeitung besonders geschützt werden. Die Technik ermöglicht einfach und schnell den Aufbau von Datensammlungen, die auch mit anderen Datenbanken abgeglichen werden können. So kann von dem Betroffenen ohne sein Wissen ein Persönlichkeitsbild zusammengefügt werden, ohne dass er die Richtigkeit oder Verwendung noch kontrollieren kann. Belanglose Daten gibt es nach Auffassung des Bundesverfassungsgerichts angesichts der Verknüpfungsmöglichkeiten der modernen Datenverarbeitung nicht mehr.

ITB: Welche Strafen sieht das Gesetz bei Verstößen gegen datenschutzrechtliche Bestimmungen vor?

Heukrodt-Bauer: Nach dem TMG liegt eine Ordnungswidrigkeit vor, die mit einem Bußgeld von bis zu 50.000 Euro geahndet werden kann, nach dem BDSG kann eine Ordnungswidrigkeit sogar mit einem Bußgeld von bis zu 250.000 Euro belegt werden. Im BDSG sind außerdem Straftatbestände geregelt, wenn der Täter vorsätzlich gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Dann kommt eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe in Betracht.

ITB: In der Praxis dürften die Betroffenen aber selten merken, was mit ihren Daten geschieht, und wie heisst es so schön: »Wo kein Kläger, da kein Richter«?

Heukrodt-Bauer: Das ist richtig. Aber in dem Maße, wie sich Data Mining durchsetzt, werden die Betroffenen wahrscheinlich die Auswirkungen spüren, ihr Recht auf Auskunft geltend machen und Aufklärung verlangen über die über sie gespeicherten Daten. Verbraucherschützer und Verbände werden sich des Themas annehmen und schließlich wird es auch zu Bußgeldverfahren und Strafverfahren kommen.

ITB: Würden Sie sagen, dass man in Deutschland besonders sensibel mit erhobenen Daten umgeht?

Heukrodt-Bauer: Nein, denn das deutsche Datenschutzrecht basiert auf EU-Richtlinien zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Die Richtlinien wurden daher in allen EU-Mitgliedsstaaten entsprechend umgesetzt.