Neuester Artikel

Lesen Sie hier den neuesten Artikel des Autors zum Thema Datenschutz und Informationssicherheit.

Sofort lesen Übersicht

Konzernweite CRM-Systeme – Wann könnte ein Bußgeld drohen?

 

Konzernweite CRM-Systeme – Wann könnte ein Bußgeld drohen?

Zur Kundendatenverarbeitung nutzen größere Unternehmen meist ein elektronisches Datenbanksystem, das als „CRM-System“ (Customer Relation Management) der Verwaltung der gesamten Informationen zum Kunden dient. Haben Sie sich schon mal gefragt, ob und unter welchen Voraussetzungen dies überhaupt datenschutzkonform ist?

In einem CRM-System können der Vertrieb, aber auch der Support, die Stammdaten (insbesondere den Namen, die Telefonnummer, die E-Mail-Adresse sowie die Post-Adresse) des Kunden anlegen, einsehen und regelmäßig auch mit weiteren Angaben verknüpfen, etwa wenn es um ein effektives und erfolgreiches Beschwerdemanagement geht. Auch lassen sich gezielte Marketingmaßnahmen mit Hilfe eines guten - vor allem gut gepflegten - CRM-Systems leicht steuern.

Konzerne implementieren derartige CRM-Systeme meist auch in den einzelnen Tochtergesellschaften, um die Abwicklung von Anfragen sowie den Vertrieb zu optimieren, das Marketing zu unterstützen, sich vor Betrug aber auch dem Zahlungsausfall auf Kundenseite zu schützen sowie regelmäßig ebenfalls mit Blick auf eine gewisse Geldwäscheprävention.

Der Einsatz einer gemeinsamen Kundendatenbank innerhalb eines Konzerns ist jedoch an zahlreiche datenschutzrechtliche Anforderungen geknüpft, die in der Praxis sehr häufig missachtet werden. Neben einem Rollen- und Berechtigungskonzept nach dem sog. „Need-to-know“-Prinzip ist es ebenso erforderlich, entsprechende datenschutzrechtliche Vereinbarungen zu treffen, um den tatsächlichen Datenaustausch zwischen den juristischen Personen im Konzern zu regeln. Dies setzt jedoch eine vorherige datenschutzrechtliche Prüfung und Bewertung voraus, um in rechtlicher Hinsicht differenzieren zu können, inwieweit etwa eine Auftragsverarbeitung nach Art. 28 DS-GVO oder eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegt. Möglicherweise stehen sich einige Konzerntöchter auch als bloße Verantwortliche gegenüber, ohne dass sie gemeinsame Verantwortliche sind oder eine Auftragsverarbeitung gegeben ist. Diese Fragen dürften auch strategische sein und vom jeweiligen Geschäftsmodell abhängig. Eines ist jedoch klar: Sie müssen als allererstes beantwortet werden.

Erst nach Klärung der datenschutzrechtlichen Verantwortlichkeiten sollten die jeweiligen „datenschutzrechtlichen Verträge“ im gesamten Konzern angepasst oder überhaupt abgeschlossen werden. In Konzernen bietet sich zudem ein Rahmenvertrag an, der den gesamten Datenfluss sowie die entsprechenden Verantwortlichkeiten abbildet und regelt.

Im Falle einer gemeinsamen Verantwortlichkeit sollte ein solcher Vertrag auch festlegen, welche Gesellschaft für die Beantwortung von Anfragen betroffener Personen, die Bereitstellung von Informationen zur Datenverarbeitung sowie der Meldung von Datenschutzvorfällen verantwortlich ist und welche gegenseitigen Informationspflichten hierbei möglicherweise zu beachten sind. Ferner muss unbedingt geregelt werden, wie die weiteren Pflichten aus der DS-GVO - insbesondere die Umsetzung von Löschpflichten – erfüllt werden und welche Partei bei einer Umsetzung von Maßnahmen etwaig federführend sein sollte. Die sich aus dem Datenschutzrecht ergebenden Aufgaben und Prozesse sollten zudem im Unternehmensverbund verankert werden.

Dies folgt nicht nur aus den allgemeinen Datenschutzgrundsätzen in Art. 5 DS-GVO, sondern auch aus den Anforderungen des Art. 26 DS-GVO sowie des Art. 28 DS-GVO selbst. Fehlt es an einem Vertrag und somit unter Umständen an einer hinreichenden rechtlichen Grundlage für eine gemeinsame Datenverarbeitung im Verbund der Gesellschaften, droht den Verantwortlichen zudem eine nicht unerhebliche Geldbuße gemäß Art. 83 Abs. 4 lit. a DS-GVO.

Ein aktuelles Beispiel

Viele Unternehmen unterliegen einem Irrtum, wenn sie davon ausgehen, der „interne Datenfluss“ sei nicht ganz so wichtig und würde ohnehin selten einem Dritten ins Auge fallen. Es herrscht der Irrglaube, nur die Geschäftsführung und ein paar wenige Beschäftigte hätten überhaupt Kenntnis von und Zugriff auf entsprechende Verträge.

Ein aktueller Fall aus dem Tätigkeitsbericht des Jahres 2020 des Hamburger Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) verdeutlicht jedoch, warum dies ein Trugschluss sein kann.

In dem vom HmbBfDI geführten Verfahren gegen ein größeres Unternehmen wurde die fehlende Vereinbarung nach Art. 26 DS-GVO beanstandet und mit einer Geldbuße in Höhe von 13.000 Euro geahndet, wobei natürlich auch weitere Sanktionen möglich gewesen wären. Der Auslöser für eine entsprechende Prüfung durch den HmbBfDI war ursprünglich die Beschwerde eines Kunden, dessen Daten an verschiedenen Stellen im Konzern auftauchten. Die Hamburger Datenschutzaufsichtsbehörde prüfte daraufhin die internen Vereinbarungen zum Datenaustausch innerhalb des Konzerns.

Im TB 2020, S. 119 heißt es hierzu:

„Führen mehrere demselben Unternehmensverbund angehörende Gesellschaften eine Kundendatenbank, sind sie gemeinsam für die Verarbeitung Verantwortliche. Dies erfordert eine Vereinbarung gem. Art. 26 DS-GVO. Das Fehlen einer solchen Vereinbarung wurde mit einer Geldbuße sanktioniert.“

Diese relativ abstrakte Formulierung sollte genug Anlass bieten, die internen Verträge innerhalb eines Unternehmensverbundes datenschutzrechtlich zu prüfen und zügig anzupassen. Darüber hinaus kann eine unklare Situation zur Verantwortungsdiffusion und folglich zu weiteren Schwierigkeiten bei der Umsetzung der Vorgaben der DS-GVO sowie der jeweiligen nationalen Gesetze führen, so etwa, wenn Prüf- und Meldepflichten kaum oder gar nicht geregelt sind und somit beispielsweise Anfragen Betroffener oder Datenschutzvorfälle ins Leere laufen. Auch dies könnte - zumindest mittelbar - zu Verstößen führen, die dann geahndet werden.

Im Ergebnis empfiehlt es sich somit dringend, die internen Datenflüsse im Konzernverbund zu organisieren sowie datenschutzrechtlich durch entsprechende Verträge zu regeln, um erhebliche Geldbußen aber auch einen negativen Eindruck bei Kunden und Partnern zu vermeiden.