VKE - Verband der Vertriebsfirmen Kosmetischer Erzeugnisse e.V.

Konzeption von CRM-Systemen – so nutzen Sie Kundendaten rechtssicher

Ein Beitrag von Dr. Daniel Rücker LL.M. (University of New South Wales, Sydney), Noerr LLP, München

Dr. Daniel Rücker
Dr. Daniel Rücker

Ziele von Kundenbindungsprogrammen
Hauptziele von Customer Releationship Management Systemen (CRM-Systemen) sind neben der möglichst gezielten Bewerbung von Kunden die Generierung von Stammkunden und Folgekäufen. Dabei sind die über die einfache Versendung meist elektronischer Newsletter hinaus gehenden Maßnahmen zur Kundenbindung nahezu beliebig skalierbar. Nur beispielhaft genannt seien hier Kaufanreize wie Rabattaktionen und Prämienpunkte, die bevorzugte Behandlung und Beratung besonders guter Kunden (z.B. VIP-Shopping), Zusatzleistungen wie Farb- und Typberatung sowie Einladungen zu besonderen Events (z.B. Golf, Segeln).

Zudem sollen Kundenbindungsprogramme Maßnahmen des Marketing und der Kundenbindung zentralisieren und auch Vertriebspartner binden und steuern, um einen möglichst einheitlichen Auftritt auch aller Vertriebspartner am Markt zu gewährleisten und somit nicht zuletzt auch die Marke bestmöglich zu schützen und strategisch zu positionieren.

Sammlung von Kundendaten als zwingende Voraussetzung
Unabdingbare Voraussetzung für die möglichst zielgerichtete Ansprache von Kunden ist die Sammlung und Auswertung hierfür erforderlicher Informationen über diese Kunden. Nur so lässt sich sicherstellen, dass auch tatsächlich den richtigen Kunden die für sie richtigen Marketingmaßnahmen zuteil werden, dass also beispielsweise ein Kunde nur dann zu einem exklusiven Golf-Event eingeladen wird, wenn er ein entsprechendes Umsatzpotential hat und sich darüber hinaus auch tatsächlich für Golf interessiert und nicht etwa nur für Segeln oder die Formel 1. Ebenso wenig sollen Kunden mit Mode für große Größen beworben werden, die klein und schlank sind. Um den Kunden möglichst individuell und zielgerichtet ansprechen zu können, eigene Ressourcen zu schonen und ihn auch nicht unnötig mit uninteressanten Angeboten zu belästigen, strebt ein jedes Unternehmen naturgemäß danach, möglichst viele und präzise Kundeninformationen zu sammeln. Dabei bleibt es meist nicht bei der Generierung von Daten wie Name, Adresse, Geschlecht, Alter, Konfektionsgrößen, bevorzugten Stilrichtungen oder der Erfassung der Kaufhistorie zu in der Vergangenheit erworbenen Artikeln. Vielmehr werden zahlreiche andere Details abgefragt, sei es zu Beruf, Familie und Kindern, Hobbies und sonstigen Interessen bis hin zu besonders sensiblen Gesundheitsinformationen, etwa Allergien gegen bestimmte Inhaltsstoffe.

All diese Informationen über identifizierbare, meist namentlich bekannte Menschen sind personenbezogene Daten, die allesamt dem Datenschutzrecht unterfallen, gleich ob man sie für besonders sensibel oder interessant halten mag oder nicht.

Datenschutzrechtlicher Rahmen
Da das deutsche und Europäische Datenschutzrecht als Verbot mit Erlaubnisvorbehalt ausgestaltet ist, ist zunächst einmal jede Erhebung, Verarbeitung oder sonstige Nutzung personenbezogener Daten untersagt, es sei denn sie ist entweder durch einen im Gesetz beschriebenen Erlaubnistatbestand oder durch eine Einwilligung des Betroffenen gestattet. Gesetzliche Erlaubnistatbestände gestatten nur ein absolutes Mindestmaß der Nutzung personenbezogener Daten. Soweit sie nicht einschlägig sind, kann die erforderliche Gestattung nur durch eine Einwilligung des Betroffenen erfolgen, also desjenigen, um dessen personenbezogene Daten es geht.

Datenschutzrechtlich rechtssichere Konzeption von Kunden
Um also abgrenzen zu können, welche Maßnahmen zur Nutzung von Kundendaten von gesetzlichen Rechtfertigungstatbeständen legitimiert werden, und für welche Maßnahmen eine Einwilligung des jeweils betroffenen Kunden erforderlich ist, ist es zwingend erforderlich, zunächst einmal kritisch zu hinterfragen, welche konkreten Daten denn überhaupt für welche konkreten Zwecke benötigt werden. Erst auf Grundlage dieser Informationen kann dann beurteilt werden, welche dieser Datenverarbeitungsmaßnahmen schon infolge gesetzlicher Erlaubnistatbestände gestattet sind und inwieweit noch Einwilligungen der betroffenen Kunden erforderlich sind. Ziel muss es dabei stets sein, Einwilligungen auf das absolut Notwendige zu beschränken und im Umfang möglichst knapp zu halten, um deren Akzeptanz beim Kunden zu erhöhen. Gleichzeitig müssen Einwilligungen datenschutzrechtlich so transparent und ausführlich sein, so dass der Kunde im Detail nachvollziehen kann, wer welche seiner Daten zu genau welchen Zwecken nutzt und verarbeitet. Damit ist es durch smarte Gestaltung von Kundenbindungsprogrammen oft möglich, dem Umfang von Einwilligungen auf ein Minimum zu reduzieren und Kundendaten gleichzeitig sehr vielfältig und vor allem rechtssicher zu nutzen.

Vermeidung nachteiliger Konsequenzen fehlender Datenschutz-Compliance
Wenngleich all diese Überlegungen mühsam sein mögen und oft vernachlässigt werden, sind sie aus unternehmerischer Sicht unverzichtbar. Stellt sich nämlich etwa infolge von Beanstandungen durch Kunden oder Aufsichtsbehörden erst später heraus, dass die jahrelang mühsam gesammelten Daten so datenschutzrechtlich unzulässig gesammelt wurden und allesamt gelöscht werden müssen, so verpuffen die in die Schaffung von CRM-Systemen und in die Sammlung der Kundendaten getroffenen Investitionen mit einem Mal im Nichts. Auch unter Aspekten der Datensicherheit schenken viele Unternehmen der Datenschutzcompliance noch keine hinreichende Aufmerksamkeit. Nicht umsonst vergeht kaum ein Tag, an dem in der Presse keine Meldungen erscheinen, dass versehentlich sensible Kundendaten gehackt wurden, infolge ebenfalls nicht zu unterschätzender interner Fehler versehentlich an den gesamten Newsletterverteiler gesandt wurden, oder anderweitig Dritten bekannt geworden sind, für die sie nicht bestimmt waren. Solche und andere Verstöße gegen die bestehenden datenschutzrechtlichen Anforderungen können nicht nur zu Bußgeldern und Schadensersatzansprüchen führen, sondern schädigen insbesondere auch die Reputation eines Unternehmens oft nachhaltig, weil abgesehen von gesetzlichen Meldepflichten bestimmter Verstöße nicht zuletzt auch die Presse und Ihre Kunden sich zunehmend für Datenschutz-Compliance interessieren.

 

Fazit
Die Nutzung immer weiter reichender technischer Möglichkeiten für technisch immer weiter entwickelte Kundenbindungsprogramme birgt für nahezu jedes Unternehmen erhebliche Chancen. Eine saubere Konzeptionierung solcher Programme unter auch datenschutzrechtlichen Gesichtspunkten dient dazu, die in die CRM-Systeme geschaffenen Investitionen abzusichern und andere Nachteile zu vermeiden. Gleichzeitig optimiert eine saubere datenschutzrechtliche Strukturierung auch die hierfür erforderlichen Businessprozesse und damit den effizienten Einsatz von Ressourcen.