DA+

Aufsatz : Customer-Relationship-Management (CRM) – Rechtliche Möglichkeiten beim CRM : aus der RDV 3/2016, Seite 120 bis 125

Lesezeit 19 Min.

Das Customer-Relationship-Management (Kurzform CRM) wird in der Praxis dazu genutzt, um Kunden-, Anbieter- und Partnerbeziehungen systematisch zu sammeln und zu pflegen. Diese so gesammelten Daten sind notwendig, um Vertragsbeziehungen erfüllen zu können. Denn manche Unternehmen sind so groß, dass eine Vertragserfüllung fast unmöglich ist, wenn man den richtigen Ansprechpartner nicht kennt. Dabei ist in der Praxis kaum bekannt, dass dem Sammeln von personenbezogenen Daten in einem CRM-System sehr enge rechtliche Schranken gesetzt sind. Diese orientieren sich vor allem an § 28 BDSG und dem Grundsatz der Datensparsamkeit und der Datenvermeidung. Der folgende Artikel zeigt die rechtlichen Grenzen des Datensammelns in einem CRM-System auf. Erschwerend kommt dabei hinzu, dass diese Grenzen nicht immer einheitlich sein müssen und je nach Art der Vertragserfüllung auch unterschiedlich gestaltet sein können.

I. Definition

Der Erfolg eines Unternehmens ist auch abhängig von der Bindung des Kunden/Partners an das Unternehmen.[1] Eine Bindung von Kunden/Partnern an ein Unternehmen ist immer dann erfolgsversprechend, wenn das Unternehmen in besonders guter Weise die Bedürfnisse und Interessen von Kunden/Partnern kennt und versteht. Um diese Bedürfnisse und Interessen besser zu verstehen, dient das sog. Customer-Relationship-Management, kurz CRM (dt. Kundenbeziehungsmanagement). Die Betriebswirtschaftslehre versteht unter einem CRM einen strategischen Ansatz, der zur „vollständigen Planung, Steuerung und Durchführung aller interaktiven Prozesse mit den Kunden genutzt wird.“[2] Dabei bezeichnet das CRM auch die Dokumentation und Verwaltung von Kundenbeziehungen und ist ein wichtiger Baustein für das (Beziehungs-)Marketing der Unternehmen. Die Informationen aus den Beziehungen zu Kunden und Partnern sind in speziell dafür gestalteten Datenbanken („CRM-Systemen“) gespeichert.[3] Bekannte Anbieter für CRM-Systeme sind Unternehmen wie Oracle (vormals Siebel) und Salesforce.com. Dabei bietet Salesforce.com eine innovative Software-as-Service-(SaaS)-Lösung an. Die CRM-Systeme dienen dazu, alle Beziehungen und Interaktionen eines Unternehmens mit bestehenden und potenziellen Kunden, Anbietern und Partnern zu sammeln und zu pflegen.[4] Durch die systematische Pflege der Kundenbeziehungen soll letztendlich eine Steigerung des Unternehmenserfolges erzielt werden.[5] Dabei ist es möglich, CRM-Systeme mit anderen IT-Systemen wie ERP, Marketing etc. zu koppeln, um eine höhere Durchdringung zu erreichen.

Bei der Speicherung und Verarbeitung von personenbezogenen Daten ist der Frage der datenschutzrechtlichen Zulässigkeit große Aufmerksamkeit zu schenken, da landläufig eine andere Meinung in der Praxis dazu besteht, was gespeichert werden darf und was nicht.

II. Rechtliche Fragen

Viele Unternehmen stellen sich die Frage, welche personenbezogenen Daten sie in einem CRM-System speichern dürfen. Der das Datenschutzrecht bestimmende Grundsatz des Verbotes mit Erlaubnisvorbehalt stellt die Einwilligung des Betroffenen in das Zentrum der datenschutzrechtlichen Zulässigkeitsprüfung. Liegt keine wirksame Einwilligung vor, stellt sich die Frage nach dem gesetzlichen Erlaubnistatbestand. Die Verwendung von CRM-Systemen unterliegt dann den Voraussetzungen des § 28 BDSG.[6]

1. Speicherung von Daten nach Vertragsabschluss

Gem. § 28 Abs. 1 Nr. 1 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Insoweit enthält diese Norm einen gesetzlichen Erlaubnistatbestand, der eine sonst gesetzlich notwendige Einwilligung überflüssig macht.[7]

a) Erforderlichkeit

Der Wortlaut des Gesetzes stellt auf die Erforderlichkeit der Erhebung, Speicherung, Veränderung oder Übermittlung der Daten für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses ab.[8] Die Erforderlichkeit führt dazu, dass eine Einwilligung des Betroffenen nicht notwendig ist. Die Erforderlichkeit der Speicherung der Daten im CRM-System ist rechtlich nur zulässig, soweit diese in dem gesetzlich genannten Zusammenhang zu einem Vertrag stehen.[9] Voraussetzung hierfür ist, dass diese Daten nur für die Begründung, Durchführung oder Beendigung eines Schuldverhältnisses „mit dem Betroffenen“ erforderlich ist.[10]

Erforderlich sind sicherlich vertraglich festgehaltene Ansprechpartner. Solche Informationen sind regelmäßig notwendig, damit ein Lieferant seine Waren beim Kunden wirklich an den richtigen Ansprechpartner liefert. Es ist auch im Interesse des Kunden, dass die Waren des Lieferanten an die richtige Stelle beim Kunden gelangen, da sonst die Waren innerhalb des Betriebs transferiert werden müssen oder im schlimmsten Falle auch verloren gehen können. Dies gilt insbesondere dann, wenn ein Unternehmen sehr groß ist. In solchen Fällen ist eine Speicherung von CRMDaten durchaus im Sinne des Betroffenen.

b) Berechtigtes Interesse

Soweit die Verwendung personenbezogener Daten für die Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist, gestattet § 28 Abs. 1 Nr. 2 BDSG dies, sofern im Rahmen der Güterabwägung kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung überwiegt.[11]

Leider ist aus § 28 BDSG nicht zu entnehmen, was konkret unter einem „berechtigten Interesse“ zu verstehen ist. Rechtsprechung[12] und Literatur[13] kommen hier zu unterschiedlichen Ergebnissen. Dabei kann als herrschende Meinung angesehen werden, was nach vernünftiger Erwägung durch die Sachlage gerechtfertigt erscheint.[14] Darunter kann auch ein wirtschaftliches Interesse wie eine Kundengewinnung gesehen werden.[15] Man zieht die Grenze hierbei dort, wo das Interesse auf die Abwerbung von Kunden gerichtet ist, die in einem Rechtsverhältnis zu einem Konkurrenten stehen.[16] Des Weiteren dürften rechtswidrig erlangte Daten[17] oder Daten, die für rechtswidrige Zwecke verwendet werden,[18] ebenfalls kein berechtigtes Interesse darstellen, welches eine Speicherung, Verarbeitung etc. nach § 28 BDSG rechtfertigt.

c) Eigene Geschäftszwecke

Der Begriff des „Geschäftszwecks“ in § 28 Abs. 1 BDSG beruht auf einer bemerkenswerten redaktionellen Fehlleistung,[19] denn grundsätzlich ist eine Gewinnerzielung nicht erforderlich. Als „Geschäftszwecke“ i.S.v. § 28 Abs. 1 BDSG werden alle Zwecke einer privaten Stelle verstanden, außer jenen, bei denen das BDSG gem. § 1 Abs. 2 Nr. 3 und § 27 nicht greift.[20] So kann sich das Einrichten einer eigenen Homepage durch eine Privatperson als die Verfolgung (eigener) Geschäftszwecke darstellen.[21]

Der Begriff der eigenen Geschäftszwecke in § 28 Abs. 1 BDSG ist nicht zu eng, sondern teleologisch auszulegen.[22] Danach liegen bereits einige Zwecke vor, wenn die Datenverarbeitung als Hilfsmittel zur Erfüllung von Zielstellungen außerhalb der reinen Datenverarbeitung eingesetzt wird.[23] Der verfolgte Zweck darf bei § 28 gerade nicht in der Datenverarbeitung selbst liegen.[24] Die Datenverarbeitung ist bloßes Hilfsmittel zur Erfüllung anderer Zwecke.[25] Liegt der verfolgte Zweck in der Datenverarbeitung selbst, so liegen wahrscheinlich die Voraussetzungen des § 29 BDSG vor.[26]

Die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, sind nach § 28 Abs. 1 S. 2 BDSG bei der Erhebung konkret festzulegen. Die Festlegung muss bei der Erhebung erfolgen. Sie muss daher vor Abschluss der Erhebung vorliegen, nicht unbedingt schon vor ihrem Beginn.[27] Der Text des § 28 Abs. 1 S. 2 bezieht sich nur auf die Erhebung von Daten. Erlangt die verantwortliche Stelle die Daten ohne Erhebung, ist in Analogie zu S. 2 zu verlangen, dass der Zweck spätestens im Augenblick der Speicherung vorliegen muss. Besitzt die verarbeitende Stelle die Daten schon und will sie sie nun zu einem neuen Zweck einsetzen, ist § 28 Abs. 1 S. 2 nicht anwendbar.[28]

Dass die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, bereits vor dem Ende ihrer Erhebung und vor der Verarbeitung festgelegt werden müssen, ermöglicht der verantwortlichen Stelle auch, die Zweckfestlegung zu überprüfen und festzustellen, ob eine Zweckentfremdung vorliegt, deren Zulässigkeit sich nach § 28 Abs. 2, Abs. 3 und Abs. 8 bemisst. Des Weiteren bildet die Festlegung die Grundlage für die Hinweispflicht nach § 4 Abs. 3 S. 1 Nr. 2 BDSG.[29] Nach dem Zweckbindungsgrundsatz dürfen die Daten nur zu dem Zweck verarbeitet werden, zu dem sie in rechtmäßiger Weise erhoben wurden.[30] Werden die Daten zu einem anderen Zweck verarbeitet, bedarf es einer speziellen Grundlage.[31]

Die Zweckbestimmung soll nach dem Text des nach § 28 Abs. 1 S. 2 BDSG konkret sein. Konkret bedeutet dies eine so genaue Umschreibung der Aufgaben, für die die Daten benötigt werden, dass der mögliche Verwendungsraum erkennbar ist.[32] Nach einer engen Auslegung müsste sich die Festlegung des Zwecks der Erhebung und Verarbeitung auf die Zwecke der Datenverarbeitung beziehen und somit eine Begrenzung der Datenverarbeitung zum Ziel haben. Aber in der Festlegung des Schuldverhältnisses (i.S.v. Abs. 1 Nr. 1) oder der berechtigten Interessen (i.S.v. Abs. 1 Nr. 2) ist noch nicht die Festlegung des Zwecks der Datenverarbeitung enthalten. Somit ist nach der engen Auslegung eine Vereinbarung notwendig, die sich auf die Datenverarbeitung bezieht (schriftliche Vereinbarung).[33] Dieses Ergebnis erscheint aber eher praxisfern zu sein, da bei jeder Erfassung eines Kunden eine ausdrückliche, schriftliche Bestimmung erforderlich wäre, dass die Kundendatei der Pflege der Beziehung mit den Kunden diene. Es ist nicht davon auszugehen, dass der Gesetzgeber eine so strenge Auslegung wollte.[34]

Es wird daher in der Literatur vertreten, dass das Merkmal der konkreten Festlegung teleologisch restriktiv interpretiert werden muss: „Maßstab muss der Zweck dieses Merkmals sein“.[35] Dies meint: Wenn die vertragliche Festlegung des Schuldverhältnisses hinreichend deutlich ergibt, dass beide Betroffenen mit einer Datenverarbeitung zur Erfüllung des Vertragszwecks einverstanden sind, liegt in dieser konkludenten Zweckbestimmung zugleich die konkrete Festlegung i.S.v. § 28 Abs. 1 S. 2 BDSG vor, dass die Verarbeitung der Daten ausdrücklich der Durchführung des Vertrags dienen soll.[36] Auch wenn die Festlegung weder fixiert noch ausdrücklich ist, ist dennoch der Zweck der Erhebung und Verarbeitung der personenbezogenen Daten ausreichend dokumentiert. Hierbei bedarf es aber der Vorsicht, dass tatsächlich aus dem Vertragszweck ein entsprechender Zweck der Verarbeitung ersichtlich ist. Sonst ist die Zweckbestimmung nach § 28 Abs. 1 S. 2 BDSG nicht ausreichend konkret.

2. Speicherung von Daten vor Vertragsabschluss

Fraglich ist, ob personenbezogene Daten des Kunden/Partners bereits vor dem Vertragsabschluss in einem CRM-System gesammelt und gespeichert werden dürfen. Der § 28 Abs. 1 Nr. 1 BDSG erteilt die Erlaubnis bereits für die Begründung eines rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen. Zulässig ist die Speicherung von personenbezogenen Daten dann, wenn sich die Parteien in Vertragsverhandlungen befinden oder wenn bereits ein bindendes Angebot der anderen Partei vorliegt.[37] Grundsätzlich muss die Verarbeitung einen unmittelbaren sachlichen Zusammenhang zwischen der beabsichtigten Verwendung und dem konkreten Zweck des rechtsgeschäftlichen Schuldverhältnisses, welches auch schon vor Vertragsabschluss liegen kann, bestehen.[38] Welchen Zweck die Beteiligten verfolgen, ergibt sich entweder aus den geführten Gesprächen oder aus dem gesamten Inhalt einer vorvertraglichen Vereinbarung, wie z.B. einer Geheimhaltungsvereinbarung (NDA) oder eines Letter of Intent.[39]

Wurde ein erstes Vertriebsgespräch geführt und der Kunde/ Partner hat erkennbar Interesse daran gezeigt, ein Angebot zu erhalten bzw. mit dem Dienstleister einen Vertrag abzuschließen, dürften generell personenbezogene Daten bereits vor dem Vertragsabschluss im CRM-System gespeichert werden. Dies lässt sich auch durchaus mit § 311 Abs. 2 BGB begründen, wonach ein Schuldverhältnis mit Pflichten nach § 241 Abs. 2 BGB bereits entsteht, wenn Vertragsverhandlungen aufgenommen werden (Nr. 1), wenn die Anbahnung eines Vertrags, bei welcher der eine Teil im Hinblick auf eine etwaige rechtsgeschäftliche Beziehung dem anderen Teil die Möglichkeit zur Einwirkung auf seine Rechte, Rechtsgüter und Interessen gewährt oder ihm diese anvertraut (Nr. 2) oder ähnliche geschäftliche Kontakte (Nr. 3).

Ein reines Datensammeln auf Verdacht schließt sich aber grundsätzlich aus („Data-Mining“), da hierbei die Voraussetzung nach § 28 Abs. 1 BDSG nicht erfüllt sein dürften.

3. Speicherung von Daten nach Vertragsende

Die Rechtmäßigkeit der Speicherung von personenbezogenen Daten über den Vertragsabschluss hinaus ist insoweit nur gedeckt, wenn berechtigte Interessen der verantwortlichen Stelle vorliegen, vgl. § 28 Abs. 1 Nr. 2 BDSG. Dabei muss im Rahmen einer Güterabwägung kein Grund zur Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen am Ausschluss gegenüber der Verarbeitung oder Nutzung überwiegt.[40] Denkbar sind vor allem die Fälle, in den ein Lieferant auch nach Vertragsende eine Sachmängelhaftung erbringen muss oder solche Fälle, in den aus steuerlichen Gründen weiterhin Daten über den Kunden gespeichert werden müssen, vgl. § 47 AO.

4. Umfang der Speicherung

Grundsätzlich muss eine Abwägung zwischen den personenbezogenen Daten bestehen, die im CRM-System gespeichert werden, und den Interessen der betroffenen Person.[41] Es muss eine angemessene Verhältnismäßigkeit bestehen, die im Einzelfall unterschiedlich ausfallen kann.

So kann es im Hotelgewerbe erlaubt sein, dass Schlafgewohnheiten des Kunden im CRM-System gespeichert werden (der Kunde mag kein Wasserbett oder ist Nichtraucher). Der Servicegedanke des Hotels rechtfertigt an dieser Stelle ein Kundenprofil mit den persönlichen Vorlieben des Kunden.[42] Die Speicherung der personenbezogenen Daten mit den Schlafgewohnheiten eines Kunden dürfte aber wie derum bei einer Bank nicht gerechtfertigt sein, da sie nicht zur Erfüllung von vertraglichen Verpflichtungen notwendig ist.[43]

Ferner ist ein Kreditinstitut nicht befugt, die Daten seiner Bankkunden nach dem Merkmal „Fahrzeughalter“ und den Prämienzahlungen an die Versicherung des Fahrzeugs außerhalb des Vertrages in der Zweckbestimmung zu nutzen, um den Fahrzeughaltern in einem Werbeschreiben mitzuteilen, dass man mit dem Verbundpartner ein günstigeres Angebot als das des bisherigen Versicherers machen könne.[44] Ähnlich liegt auch der vom LDI NRW sanktionierte Fall der Weitergabe von Kontobewegungsdaten an Be rater der Tochtergesellschaft der Bank, um der werblichen Ansprache ein präzises Kundenprofil zugrunde legen zu können.[45] Auch nicht mehr im Rahmen einer vertraglichen Betreuung liegt es, wenn Versicherungsvertreter oder Kundenbetreuer einer Bank, um eine gute Gesprächsatmosphäre mit dem Kunden herzustellen, Daten über Ess- und Trinkgewohnheiten, Hobbys etc. als sog. „Akquisedaten“ speichern.[46]

Ist die Identität des Kunden für den Vertragsabschluss erforderlich, kann die Vorlage des Personalausweises verlangt werden.[47] Eine Anfertigung einer Kopie ist jedoch regelmäßig unzulässig,[48] und somit darf der Personalausweis auch nicht im CRM-System gespeichert werden. Zulässig ist aber die Speicherung der Unterschrift des Kunden zwecks Unterschriftenkontrolle durch die Bank[49] oder das Verlangen, vor Abschluss eines Verbraucherdarlehens zur Überprüfung der Kreditwürdigkeit Kontoauszüge vorzulegen, sofern sensible und nicht relevante Angaben zuvor geschwärzt werden.[50]

Grundsätzlich sind generelle Aussagen, was in einem CRM-System gespeichert werden darf, nur schwer zu treffen. Allgemein ist aber festzuhalten, dass der Umfang der gespeicherten und genutzten Daten der vom BDSG verlangten „Datensparsamkeit und Datenvermeidung“ genügen muss, vgl. § 3a BDSG.[51] Durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009[52] wurde der Geltungsbereich des § 3a BDSG über den bisherigen Systemdatenschutz hinaus auf jede Verwendung personenbezogener Daten erweitert. Damit gilt in Deutschland der Grundsatz, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten sind, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Somit ist eindeutig, dass sog. überschießende Daten, die der Zweckerfüllung dienen könnten, aber nicht erforderlich sind, nicht erhoben und verarbeitet werden dürfen.[53]

5. Allgemein zugängliche Daten

Ferner stellt sich die Frage, ob personenbezogene Daten gespeichert werden dürfen, wenn diese allgemein zugänglich sind. Gem. § 28 Abs. 1 Nr. 3 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Eine allgemein zugängliche Quelle liegt nach dem BVerfG[54] vor, wenn diese dazu bestimmt ist, nicht nur dem Einzelnen, sondern allgemein Informationen zu verschaffen. Sicherlich zählen traditionelle Quellen wie gedruckte Medien (Telefonbücher, Zeitschriften, Adressbücher, Flugblätter, Kataloge) dazu.[55] Im Zeitalter von Google, Facebook, Instagram etc. werden natürlich digitale Quellen bei der Informationsbeschaffung bevorzugt. Grundsätzlich können digitale Datenbanken auch als allgemein zugängliche Quelle betrachtet werden.[56] Hierbei ist aber der besondere Fall zu betrachten, dass der Zugang zu Datenbanken nur über eine spezielle Mitgliedschaft möglich ist (z.B. soziale Netzwerke wie Xing, LinkedIn etc.). Dabei ist es unerheblich, ob die Anzahl der Mitglieder in einem sozialen Netzwerk hoch oder niedrig ist. In beiden Fällen gilt das soziale Netzwerk als geschlossene Benutzergruppe.[57] Hierbei wird aber in der Literatur vertreten, dass solche Quellen ebenfalls als allgemein zugänglich angesehen werden können, wenn die Mitgliedschaft für jedermann einfach oder auch anonym möglich ist.[58] Dieser Gedanke wird auch durch die Tatsache unterstützt, dass viele Informationen in den sozialen Netzwerken auch öffentlich ohne einen entsprechenden Account im Internet zur Verfügung gestellt werden und leicht über eine Suchmaschine gefunden werden können.

6. Einwilligung

Natürlich kann ein Unternehmen personenbezogene Daten in seinem CRM-System speichern, wenn der Betroffene hierzu seine Einwilligung gibt. Gem. § 4a S. 1 BDSG ist eine Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Dabei ist der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie – soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen – auf die Folgen der Verweigerung der Einwilligung hinzuweisen, vgl. § 4a S. 2 BDSG. Wichtig ist dabei, dass die Einwilligung vor der Erhebung und Verarbeitung erklärt wird, denn nachträglich ist die erforderliche Erklärung nicht mehr denkbar.[59] Des Weiteren muss die „Zustimmung“, da es sich um eine Erklärung des Betroffenen handelt, vom Willen des Erklärenden getragen sein, und sie muss auf der freien Entscheidung des Betroffenen beruhen.[60]

Darüber hinaus bedarf die Einwilligung gem. § 4a S. 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Dabei ist zu berücksichtigen: Wenn die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt wird, dann ist sie gem. § 4a S. 4 BDSG besonders hervorzuheben.

7. Auswertung

Die Auswertung der im Rahmen von Vertragsbeziehungen gespeicherten CRM-Kundendaten zwecks Ermittlung von Kundenprofilen sind enge Grenzen gesetzt.[61] Gem. § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Abs. 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten gem. § 28 Abs. 3 S. 2 BDSG zulässig, wenn es sich um listenmäßig oder anderweitig zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist (Nr. 1). Eine Zulässigkeit besteht ebenfalls für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Abs. 1 S. 1 Nr. 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat (Nr. 2). Verwendet werden können die personenbezogenen Daten auch für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift.

Regelmäßig untersagt ist somit, dass personenbezogene Daten, welche anders als nach § 28 Abs. 3 S. 2 BDSG verwendet werden, für Werbung zu nutzen.[62] Bereits vor Big Data[63] war eindeutig, dass die mit der konkreten Zweckbestimmung der Vertragsabwicklung gespeicherten Daten der Kunden in einem CRM-System durch spezielle Abfragen (sog. „Data-Mining“) und Kombinationen von Kundenprofilen und Verbraucherverhalten nicht zulässig ist,[64] da dies gem. § 28 Abs. 1 Satz Nr. 1 nicht mehr legitimiert ist und auch regelmäßig nicht unter Heranziehung der Alternative Nr. 2 gerechtfertigt werden kann.[65] Grundsätzlich bedarf ein Data-Mining, bei dem Benutzerprofile ausgewertet werden, einer Einwilligung.[66] Werden von einer Bank im Rahmen der nach dem Wertpapierhandelsgesetz (WpHG) be stehenden Beratungspflicht der Bank Daten über die persönliche finanzielle Situation des Kunden erhoben und gespeichert, so besteht insoweit eine strikte Zweckbindung.[67] Gleiches gilt für aufgrund des Geldwäschegesetzes erhobene Daten.[68]

III. Resümee

In einem CRM-System dürfen grundsätzlich viel weniger personenbezogene Daten gespeichert werden, als man landläufig glaubt. Grundsätzlich dürfen nur die Daten gespeichert werden, die für die Vertragserfüllung notwendig sind. Hierzu zählen sicherlich weder das Geburtsdatum der Ehefrau des Betroffenen noch die Freizeitaktivitäten der Kinder des Betroffenen. Anders verhält es sich, wenn der Betroffene sein Einverständnis zur Verarbeitung gibt bzw. wenn die zu verarbeitenden Daten öffentlich zugänglich sind. Aber auch dann gelten datenschutzrechtliche Anforderungen, die zu erfüllen sind. Wenngleich eine Verarbeitung zulässig ist, unterliegt der Umfang der gespeicherten und genutzten Daten den im BDSG verankerten Grundsätzen der „Datensparsamkeit und der Datenvermeidung“.[69]

Dr. Thomas Söbbing, LLM (HHU) ist als Chief Legal Specialist / Fachleiter Recht bei einem Finanzinstitut tätig und unterrichtet als Dozent an einer privaten Stiftungshochschule.

[1] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 1.

[2] Gabler, Wirtschaftslexikon Online, Stichwort Customer-RelationshipManagement, abgerufen am 16.02.2016.

[3] Grützner/Jakob, Compliance von A-Z, 2. Aufl. 2015.

[4] Hippner/Hubrich/Wilde, Grundlagen des CRM: Strategie, Geschäftsprozesse und IT-Unterstützung, 3. Aufl. 2011, S. 3.

[5] Bergmann, Angewandtes Kundenbindungsmanagement, 1. Aufl. 1998, S. 38.

[6] Nach § 27 Abs.1 Nr. 1 BDSG ist der § 28 BDSG auch auf nicht öffentliche Stellen, damit auch auf den unternehmerischen Verkehr, anwendbar

[7] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 35.

[8] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 14, 26.

[9] Forgó/Helfrich/Schneider/Helfrich, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 42.

[10] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 8 ff.

[11] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 24.

[12] BGH, 22.05.1984 – VI ZR 105/82 = NJW 1984, 1886, VGH BadenWürttemberg, 24.10.1983 – 10 S 902/82 = NJW 1984, 1911.

[13] Simitis, in: Simitis, BDSG, § 28 Rn. 177.

[14] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz 1. Aufl. 2014, Teil VI. Rn. 46

[15] Bergmann/Möhrle/Herb, BDSG § 28 Rn. 231; Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 46.

[16] OLG Köln, 14.08.2009 – 6 U 70/09 = NJW 2010, 90.

[17] Bergmann/Möhrle/Herb, BDSG, § 28 Rn. 233

[18] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 46.

[19] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 10.

[20] VGH, München, ZD 2015, 324.

[21] Simitis, in: Simitis, BDSG, § 28 Rn. 31.

[22] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 11.

[23] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 4.

[24] Simitis, in: Simitis, BDSG, § 28 Rn. 31.

[25] BGH, 04.06.2013 – 1 StR 32/13 = BGHSt 58, 268; NJW 2013, 2530; NStZ-RR 2014, 187; NZV 2014, 369; NJ 2013, 482; K&R 2013, 669.

[26] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 10.

[27] Andere Ansicht: Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 5. Aufl. 2016, Rn. 63.

[28] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 15.

[29] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 35.

[30] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 14

[31] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 36.

[32] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 14.

[33] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 35; Däubler/Klebe/ Wedde/Weichert, Bundesdatenschutzgesetz, 5. Aufl. 2016, Rn. 64; OLG Köln, 19. 11. 2010 – 6 U 73/10 = CR 2011, 680.

[34] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 16.

[35] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 17.

[36] Siehe auch in die gleiche Richtung: BGH, 08.02.2007 – III ZR 148/06 – NJW 2007, 1528; MDR 2007, 825; NZM 2007, 375; VersR 2007, 801; WM 2007, 1423.

[37] Taeger/Gabel-Taeger, Kommentar zum BDSG, 1. Aufl. 2010, § 28 Rn. 43.

[38] Bergmann/Möhrle/Herb, BDSG, § 28, Rn. 25; Duhr/Naujok/Danker/ Seiffert, DuD 2003, 6.

[39] Simitis, in: Simitis, BDSG, § 28 Rn. 22, 12.

[40] Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rn. 24 ff.

[41] Bergmann/Möhrle/Herb, BDSG, § 28 Rn. 233.

[42] Selk, RDV 2008, 187; Taeger/Gabel-Taeger, Kommentar zum BDSG, 1. Aufl. 2010, § 28 Rn. 53.

[43] Taeger/Gabel-Taeger, Kommentar zum BDSG, 1. Aufl. 2010, § 28 Rn. 53.

[44] Datenschutzaufsicht NRW, Bericht für 1995/96 = RDV 1998, 271; vgl. auch 15. Bericht der hess. Landesregierung über die Datenschutzaufsicht im nicht öffentlichen Bereich, LT-Drs. 15/4659 vom 22.11.2002, S. 35; ferner zum Versicherungsgeheimnis und der Unzulässigkeit der Weitergabe von Daten von Interessenten an einer sog. „Riesterrente“ an ein Schwesterunternehmen, das Krankenversicherungen betreibt, zwecks Vorlage eines zugeschnittenen Krankenversicherungsangebots: 16. Bericht der hess. Landesregierung über die Datenschutzaufsicht im nicht öffentl. Bereich, LT-Drs. 16/1680 vom 11.12.2003, S. 38.

[45] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 10.

[46] Vgl. BlnLDI, TB 2003, S. 100; Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 11.

[47] LfDI Berlin bei Billigfliegern, TB 2002, 140.

[48] IM Baden-Württemberg, 3. TB (2005), Ziff. 7.2; vgl. ferner Gola, RDV, 2012, 184.

[49] 15. Bericht der hess. Landesregierung über die Datenschutzaufsicht im nichtöffentlichen Bereich, LT-Drs. 15/4659 vom 22.11.2002, S. 32; Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 17.

[50] BlnLDI, JB 2011, Ziff. 9.1.2; Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 17.

[51] Taeger/Gabel-Taeger, Kommentar zum BDSG, 1. Aufl. 2010, § 28 Rn. 49.

[52] BGBl. 2009, S. 2814

[53] Taeger/Gabel-Taeger, Kommentar zum BDSG, 1. Aufl. 2010, § 28 Rn. 49.

[54] BVerfG, 25. 4. 1972 – 1 BvL 13/67 = BVerfGE 33, 52; NJW 1972, 1934; DÖV 1972, 682.

[55] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 42

[56] Siehe Bergmann/Möhrle/Herb, BDSG, § 28 Rn. 262 mit Beispielen.

[57] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz 1. Aufl. 2014, Teil VI. Rn. 55.

[58] Bergmann/Möhrle/Herb, BDSG, § 28 Rn. 263; Forgo/Helfrich/Schneider/ Helfrich, Betrieblicher Datenschutz 1. Aufl. 2014, Teil VI. Rn. 55.

[59] Simitis, in: Simitis, BDSG, § 4a Rn. 29.

[60] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 1. Aufl. 2014, Teil VI, Rn. 23.

[61] Wittig, RDV 2000, 59; Podlech/Pfeifer, RDV 1998, 139.

[62] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 11.

[63] Weichert, ZD 2013, 251; Bornemann, RDV 2013, 232; Ulmer, RDV 2013, 227.

[64] Möncke, DuD 1998, 561; Weichert, DuD 2001, 264; Weichert, RDV 2003, 113.

[65] Baeriswyl, RDV 2000, 7; LDSB Schleswig-Holstein, 21. TB (1998), 116 = RDV 1999, 236; BlnLDI, Jahresbericht 2000, Ziff. 1.1.1.

[66] Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 11.

[67] Aufsichtsbeh. Baden-Württemberg, Hinweis zum BDSG Nr. 34, Staatsanz. 1, 1996, S. 10; Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 11.

[68] OLG Hamm, 11.04.2000 – 1 VAs 18/2000 = NJW 2000, 2599; Wolff, Beck‘scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 14. Edition, § 28 Rn. 11.

[69] Taeger/Gabel-Taeger, Kommentar zum BDSG, 1. Aufl. 2010, § 28 Rn. 49.