Compliance - Vorabkontrolle

Prüfung und Fallen bei Analysetools in Call Centern

Wenn Call Center Agents mit Kunden sprechen, kommen meist zugleich auch Software-Tools zum Einsatz. Dabei werden personenbezogene Daten mit dem Ziel erhoben, verarbeitet und gespeichert, eine möglichst optimale Gesprächsanalyse und direkte Handlungsanweisungen für die Agents zu ermöglichen. Analysiert werden unter anderem auch sensible persönliche Daten wie Stimmlage, Gemütsverfassung und persönliche Empfindsamkeiten. Zugleich ist oft eine qualitative Bewertung der Mitarbeiterleistung bei der Kundenansprache möglich. Um bei all diesen Prozessen Rechtskonformität (Compliance) zu gewährleisten, ist detailliertes Know-how über die Haftung, die Rolle der Datenschutzbeauftragten und eine eventuell durchzuführende Vorabkontrolle entsprechender Software notwendig. 

Haftung Geschäftsführung, Rolle Datenschutzbeauftragten

Haftung der Geschäftsführung, Rolle der Datenschutzbeauftragten

Haftbar bei Verstößen nach dem Bundesdatenschutzgesetz (BDSG) ist die verantwortliche Stelle jeweiliger Unternehmen – meist der Geschäftsführer. Der Datenschutzbeauftragte hilft eine solche Geschäftsführerhaftung zu verhindern. So ist es seine Aufgabe, die Geschäftsführung auf eventuelle datenschutz- und sicherheitsrelevante Missstände aufmerksam zu machen. Bei der Wahrnehmung dieser Aufgaben muss der Datenschutzbeauftragte laut Gesetz über die „erforderliche Fachkunde“ und „Zuverlässigkeit“ verfügen. Dafür zu sorgen, ist ebenfalls Aufgabe der Geschäftsführung. So hat sie bei der internen Besetzung des Datenschutzbeauftragten u.a. für einen entsprechend ausgerüsteten Arbeitsplatz sowie ständige Fortbildungen zu sorgen. Bei einer externen Besetzung obliegt die Sorge dafür dem von der Geschäftsführung beauftragten externen Datenschutzbeauftragten selbst.

Wann Datenschutzbeauftragter

Wann ein Datenschutzbeauftragter bestellt werden muss

Ein Datenschutzbeauftragter ist u.a. zwingend zu verpflichten, wenn im Unternehmen mindestens zehn Arbeitnehmer wenigstens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen sind  (§ 4f Abs. 1 S. 4 BDSG).

Unabhängig von der Zahl der Beschäftigten ist ein Datenschutzbeauftragter zu bestellen, wenn die verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornehmen muss, die eine Vorabkontrolle erfordern (§ 4f Abs. 1 S. 6 BDSG). Ob die Verwendung von Software-Tools z. B. zur Spracherkennung eine Vorabkontrolle erfordern, ist rechtlich derzeit noch nicht geklärt.

 

 

Compliance "Vorabkontrolle"

Compliance in der Grauzone „Vorabkontrolle“

Grundlage der Vorabkontrolle ist das BDSG. Danach muss der Datenschutzbeauftragte nach § 4d Abs. 6 Satz 1 BDSG automatisierte Verfahren einer besonderen Kontrolle unterziehen, die „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“.

Allerdings gibt es im BDSG keine konkrete Definition der besonderen Risiken. Stattdessen heißt es in § 4d Abs. 5 Satz 2 BDSG allgemein: Das Kriterium des „besonderen Risikos ist “ u.a. erfüllt, „ wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens“ (bei § 4d Abs. 5 Satz 2 BDSG)

Im Zweifelsfall können also auch Softwaretools, die das das Kundenverhalten analysieren, Mitarbeiter zu bestimmten Reaktionen motivieren und/oder eine Qualitätsbewertung der Mitarbeiter-Gesprächsführung durch die Geschäftsführung ermöglichen, eine Vorabkontrolle notwendig machen. Der Einsatz der entsprechenden Software unterliegt dann immer der Freigabe durch den internen oder externen Datenschutzbeauftragten.

 

Der Nutzen einer Vorabkontrolle

Zwar sind die Konsequenzen einer fehlenden Vorabkontrolle im Gesetz nicht eindeutig definiert. Trotzdem ist es ratsam, dokumentierte Vorabkontrollen im Unternehmen öffentlich zu machen. Denn werden automatisierte Verfahren vor ihrer Einführung auf Datenschutzkonformität und Anwenderfreundlichkeit überprüft, lassen sich Datenschutzverstöße von vorneherein vermeiden, die später nur noch aufwändig zu beseitigen wären. Nicht zu unterschätzen ist auch, dass bei Prüfungen durch Aufsichtsbehörden die Durchführung notwendiger Vorabkontrollen  überprüft wird. Zudem werden Datenschutz-Zertifikate nur dann erteilt, wenn entsprechende Vorabkontrollen durchgeführt wurden. Fehlen diese, müssen sie also spätestens im Zuge einer Beanstandung durch die Aufsichtsbehörden oder bei der Zertifizierung nachgeholt werden.

Nicht zuletzt stärken Vorabkontrollen das Vertrauen aller Betroffenen innerhalb und außerhalb des Unternehmens. So können Vorabkontrollen als Marketinginstrument in der Datenschutzerklärung auf der Website, im Intranet und weiteren Medien des Unternehmens öffentlich gemacht werden.

 

Was bei einer Software-Vorabkontrolle zu prüfen ist

Zu einer Vorabkontrolle gehören u.a. folgende wichtige Fragen:

  • Welche personenbezogenen Datenkategorien werden verwendet.
  • Zählen dazu auch personenbezogene Daten, die Verhaltensmuster festhalten?
  • Wo und zu welchem Zweck werden sie verwendet?
  • Ist die Verwendung von personenbezogenen Daten wirklich notwendig
  • Kann zur Datenauswertung eine anonymisierte Datenerfassung genügen?
  • Wer soll wann, wo und wie Zugriff auf die im automatisierten Verfahren verwendeten Daten erhalten?
  • Sind Übermittlungen bzw. die Weitergabe von personenbezogenen Daten vorgesehen?
  • Wann sollen die Daten gelöscht werden?
  • Sind besondere Form-, Verfahrens-und Informationsregeln vorgesehen?
  • Verstößt das Verfahren gegen materielle Datenschutzbestimmungen, weil Datenverwendungsregeln (insbesondere Datenerhebungs- Datenspeicherungs-, Datenübermittlungs- oder Datenlöschungsvorschriften) missachtet werden?
  • Werden alle zu treffenden technisch organisatorischen Maßnahmen zum Datenschutz und Datensicherheit nach § 9 BDSG nebst Anlage eingehalten?