BDSG Novelle - Ende Übergangsfrist

31.August 2012: Ende der Übergangsfrist für CRM-Datenbanken:

Handeln statt zaudern – ansonsten kann es teuer werden

Als der Gesetzgeber zum 31.August 2009 die Regeln für die Verwendung von Kundendaten zu Werbezwecken und Adressenweitergabe verschärfte, verzichtete er wegen des organisatorischen Aufwandes auf eine sofortige Umstellung der Datenbanken. Stattdessen gab er Unternehmen im Zuge der Novellierung des Bundesdatenschutzgesetzes (BDSG) drei Jahre Zeit, ihre Kundendatenbanken nach den neuen gesetzlichen Vorschriften einzurichten. Diese Schonfrist ist 2012 vorbei und schnelles Handeln dringend geboten. Ab 1.September müssen Firmen jeder Größenordnung nicht nur für nach der Novellierung sondern auch für vor dem 1.September 2009 erhobene Kundendaten  bei jedem einzelnen Vertriebsweg wie Post, Email, Fax und Telefon nachweisen, woher diese stammen und jeweils entsprechende Einverständniserklärungen der Kunden dokumentieren. Ansonsten drohen die zwangsweise Löschung dieser Daten und Bußgelder durch Aufsichtsbehörden sowie Abmahnungen von Kunden und Konkurrenten.

 

Umgang mit Kundendaten

Welchen Umgang mit Kundendaten der Gesetzgeber verlangt

Im Sinne des BDSG „saubere“ Datenbanken dürfen personenbezogene Daten grundsätzlich nur noch mit Einwilligung der Betroffenen zur Werbung oder zum Adresshandel nutzen. Wie das Wort „grundsätzlich“ verrät, gibt es Ausnahmen. Dazu zählen • die Werbung an Bestandskunden für eigene Produkte, • Werbung an Adressen aus allgemein zugänglichen Verzeichnissen, • die Werbung gegenüber Geschäftskunden unter der beruflichen Adresse, • die Spendenwerbung für gemeinnützige Organisationen und • die Werbung unter eindeutiger Angabe der Stelle, die die Daten erstmalig erhoben hat. Ein Widerrufsrecht für den Erhalt von Werbung und der Adressenweitergabe muss allen Empfängern eingeräumt werden. Dann sind die entsprechenden Daten zu löschen oder zu sperren, wenn der Löschung gesetzliche Aufbewahrungsfristen entgegenstehen

Veröffentlichung Herkunftsdaten

Veröffentlichung von Herkunftsdaten für den Adresshandel ein Pferdefuß

Die notwendige Bekanntgabe der Stelle, die die Daten erstmalig erhoben hat, führt oftmals zu Problemen. Unternehmen müssen ab 31. August 2012 auch für Daten, die sie als Erster vor 2009 erhobenen haben und dann weitergeben, verkaufen oder vermieten wollen, damit einverstanden sein, dass alle Empfänger die erste Quelle nennen. Das gilt sogar für jeden einzelnen Vertriebsweg. So muss der Datenverkäufer prüfen, ob der Datentransfer z.B. ausschließlich für die postalische Werbung oder auch für die Kundenansprache per Fax, Email oder Telefon genutzt werden darf. Das erfordert nicht nur umfassende Dokumentation. Zugleich wird auch die Weitergabe der Daten auf jeden Fall publik. Mögliche Folge: Die jederzeit nachvollziehbare Preisgabe der erstmaligen Datenherkunft kann bei diesen Unternehmen zu Vertrauensverlusten von Kunden und Geschäftspartnern führen. Wer dieses Geschäft trotzdem weiter betreiben will, muss sich dieser Gefahr bewusst sein.

Wann ausschließlich Briefpost

Wann ausschließlich per Briefpost geworben werden darf

Erklärungsbedürftig ist vor allem die Frage, auf welchem Weg ohne Zustimmung der Empfänger Werbung an Adressen verschickt werden darf, die aus allgemein zugänglichen Verzeichnissen generiert wurden. Darunter fallen Daten aus "allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen". Problem: Vor allem die Frage, was "vergleichbare Verzeichnisse" sind, ist nicht eindeutig geklärt und dürfte Gegenstand zahlreicher Gerichtsentscheidungen werden. Da von Verzeichnissen und nicht öffentlich zugänglichen Daten die Rede ist, gehören individuelle z.B. in Social Media Portalen oder auf Visitenkarten angegebene Daten nicht dazu. Die Speicherung Nutzung für Werbung und Adresshandel bedarf also der Zustimmung der Betroffenen.

Ohne Zustimmung dürfen Unternehmen von den in öffentlichen Verzeichnissen angegebenen Daten allerdings nur sogenannte Listendaten speichern und nutzen. Dazu zählen

  • die Zugehörigkeit zu einer bestimmten Personengruppe
  • Berufs-Branchen- und Geschäftsbezeichnung
  • Name
  • Titel
  • Akademische Grade
  • Anschrift und
  • Geburtsjahr

Nicht dazu gehören demnach neben dem Geburtsdatum auch die Rufnummer, Emailadresse sowie Homepage. Damit ist klar, dass aus öffentlichen Verzeichnissen gewonnene Adressen ohne Einwilligung des Empfängers nur per Post kontaktiert werden dürfen.

Soll Werbung per Post an Adressen  verschickt werden, die nicht aus öffentlichen Verzeichnissen stammen, muss der Empfänger zustimmen. Es genügt eine einfache Einwilligungsklausel, auch Opt-Out-Klausel genannt. Dabei teilt das Unternehmen mit, dass es Werbung verschicken will und bietet dem Kunden an, diesen Passus z.B. in den Geschäftsbedingungen zu streichen, wenn er nicht einverstanden ist.

Wann Telefon, Email, SMS, ...

Wann per Telefon, SMS und Email geworben werden darf

Bei der rechtswirksamen Zustimmung für die Werbung per E-Mails, Telefon, SMS  und Faxbotschaften hingegen ist eine aktive Zustimmung des Kunden (Opt-In-Klausel) notwendig. Diese ist datenschutzkonform, wenn ein Kunde seine Einwilligungserklärung aktiv durch Ankreuzen oder eine gesonderte Unterschrift erteilt. Auf Webseiten wird dies in der Regel durch ein Ankreuzfeld umgesetzt, in dem das Kreuz nicht systemseitig gesetzt sein darf. Kreuzt also ein Betroffener beispielsweise aus Unachtsamkeit nichts an, gibt er auch keine Einwilligung.

Ein besonderes Verfahren – das sogenannte Double-Opt-In – ist bei Einwilligungen per Email erforderlich. Dabei wird nach der Registrierung eine Email an die angegebene Email-Adresse gesendet, die der Empfänger aktiv per Mausklick bestätigen muss. Damit soll verhindert werden, dass ein Dritter eine fremde Email-Adresse nutzen kann.

Folgen und Nutzen für Unternehmen

Folgen für Unternehmen

Die Prüfung, ob für alle in CRM-Systemen gespeicherten Kundendaten Einverständniserklärungen oder Ausnahmetatbestände vorliegen, ist aufwändig und kostet erst einmal. Schließlich müssen zum 1.September 2012 alle Daten gelöscht oder gesperrt werden, für die keine entsprechenden Einverständniserklärungen vorliegen und dokumentiert werden können. Geschieht das nicht, kann das weit reichende Folgen haben. Zur Löschung oder Sperrung verpflichten können dann die Aufsichtsbehörden, die bei jeder gemeldeten Kundenbeschwerde tätig werden müssen. Zusätzliche Kosten drohen bei Abmahnungen von Kunden über Verbraucherschutzverbände sowie direkten Konkurrenten. Immer muss das Unternehmen nachweisen, dass die Datenspeicherung – und -nutzung  rechtskonform ist.

Nutzen der Unternehmen

Abgesehen von drohenden Strafen sollten die langfristigen Mehrwerte einer rechtskonformen Datenspeicherung im Vordergrund stehen– auch wenn der Ärger über Zusatzkosten erst einmal überwiegt. Schnell gelangen Verstöße an die Öffentlichkeit, wenn zum Verbraucherschutzverbände Unternehmen abmahnen und führen zu Imageverlusten. Dies gilt umso mehr als rechtskonformer Datenschutz bei Kunden einen rasant wachsenden Stellwert hat. Vorbildlicher und womöglich auch noch zertifizierter Datenschutz hingegen bietet damit eine exzellente Basis für Vertrauen stärkende Marketingaktionen.

Checkliste

  • Durchforsten Sie Ihre Datenbank und stellen Sie fest, welche Kanäle der Kundenansprache genutzt werden.
  • Prüfen Sie, ob bei Briefwerbung die Adressen aus öffentlichen Verzeichnissen stammen und diese Quellen revisionssicher dokumentiert sind.
  • Prüfen Sie, ob bei anderen Quellen eine Einverständniserklärung des Kunden vorliegt und revisionssicher dokumentiert ist.
  • Prüfen Sie, ob bei Telefon, SMS, Fax und Email-Werbung eine aktive Einverständniserklärung ( Opt-In, Double-Opt-In) vorliegt und revisionssicher dokumentiert ist.
  • Versuchen Sie, in allen notwendigen Fällen bis zum 31. August 2012 entsprechende Einverständnis-Erklärungen einzuholen.

Gelingt das nicht, sperren bzw. löschen Sie diese Daten für Werbung und die Adressweitergabe am 31. August 2012