Folge 20: CRM + DSGVO = Chance für ehrlichen Dialog?

Geschrieben von Frank Stiegler am 26.02.2018.

Hinter diesem etwas diffusen Titel verbergen sich 72 Minuten Trialog zwischen Prof. Dr. Nils Hafner, Dr. André Kudra (esatus AG, euch vielleicht schon aus Legal Bits 5 bekannt) und Frank Stiegler darüber, wie Kundenbindungsmanagement (Customer Relationship Management, kurz "CRM"), die Datenschutzgrundverordnung und neue technische Lösungen zusammen funktionieren können. Wir sprechen über Herausforderungen, technische Lösungsansätze und die Veränderungen, die die Kombination aus alledem für Unternehmen und Betroffene bedeuten.

01:42: André schildert den Scope dieser Ausgabe

04:00: Gaaanz weich rein ins Thema

Nachdem Nils eingangs CRM definiert hat, besprechen wir in der Runde,

warum CRM und die DSGVO traditionell nicht gut miteinander funktionieren,
warum die für wirksames CRM notwendige Automation Betroffenen Angst macht,
welche Konsequenzen die unter der DSGVO kommenden Betroffenenrechte (z. B. der Auskunfsanspruch) bei Referenzen auf Datensätze anderer Personen haben,
wie Betroffenenrechte eine Art "Datenschutz-Denial-of-Service-Attack" werden können und
wie sich die Öffentlichkeit voraussichtlich an ihre Rechte unter der DSGVO gewöhnen wird.

18:45: Wie geht man zukünftig mit Auskunftsersuchen um?

Dass Betroffene bezüglich der über sie gespeicherten Daten Auskunfts- und Löschungsansprüche haben, ist wohl bekannt. Wir sprechen über die beiden widerstreitenden Interessen von Betroffenen einerseits an Datenschutz, andererseits an möglichst gutem (und damit zwangsweise maßgeschneidertem) Service, der vor allem automatisiert ohne Daten praktisch unmöglich ist.

22:15: Welche Ansprüche hat der Betroffene konkret?

Betroffene haben Anspruch auf Auskunft und Löschung, aber nicht auf "gemeinsames Durchgehen" der Datensätze. In der Praxis wird jedenfalls die Gratwanderung zwischen Betroffenenrechten und Schikane der Unternehmen noch spannend werden.

24:00: Abmahnanwälte 2.0 (Einleitung)

Achtung: An dieser Stelle verknoten wir zwei Themen ineinander:
Wir starten mit der hier überschriebenen Frage, scheren dann zwischen 24:45 und 36:20 aus und kommen dann zu dieser Ausgangsfrage zurück.

24:45: Überkreuz-Daten

CRM-Systeme speichern naturgemäßg Daten vieler Personen, und oft geschieht es, dass zur Kundenbindung auch die Beziehungen des jeweiligen Kunden zu anderen Personen (z. B. zu Ehegatten, Verwandten, seinen Kunden oder eben je nach Fall beliebigen anderen Personen) wichtig sind. Das heißt, für CRM unter der DSGVO, vor allem mit Blick auf Auskunftsersuchen wird es von kritischer Bedeutung sein, genau diese Beziehungen im Auskunftsfall so zu verstümmeln, dass mit der jeweiligen Anfrage nicht Daten anderer Personen herausgegeben werden. Die dafür nötige Datenhaltung stellt eine immense Hürde für Unternehmen dar.

30:20: Dürfen Unternehmen Verträge beenden, wenn Löschersuchen kommen?

Das ist in zwei Konstellationen möglich:

Löschersuchen in Bezug auf Daten, die das Unternehmen zur Durchführung des Vertrages benötigt.
Überlegung, ob ein solches Löschersuchen eine Kündigungserklärung darstellen kann.
Die zu löschenden Daten sind nicht für die Durchführung des Vertrages erforderlich. Dann bleibt prinzipiell nur die ordentliche Kündigung mit den entsprechenden Fristen. Es ist aber wohl unwahrscheinlich, dass Unternehmen vor allem im Verbrauchergeschäft massenweise Verträge kündigen werden, bei denen die Vertragspartner Datenlöschung fordern.

André schildert Ansätze von Graphdatenbanken, mit denen die für die Auskunfts- und Löschbegehren nötigen Beziehungen getrennt verwaltet werden können.

36:20: Abmahnanwälte 2.0 (Antwort auf die Ausgangsfrage)

Es ist absehbar, dass es unter der DSGVO eine Lobby von Abmahnanwälten geben wird, vom Vorgehen her etwa so wie die, die man in Deutschland seit Jahren in Bezug auf Filesharing-Abmahnungen kennt. Denn: Betroffene haben unter der DSGVO zukünftig neben dem schon bisher bekannten Anspruch auf Ersatz materiellen Schadens auch den Anspruch auf Ersatz immateriellen Schadens. Da man diese Institution in Deutschland bisher nur in Grundzügen gibt, sie aber z. B. in den USA recht bekannt ist, beleuchten wir, was das bedeutet, etwas übertrieben am Beispiel des Falles von Stella Liebeck ./. McDonald's und den True Stella Awards.

Vor diese Rechtslage gestellt, führt Nils aus, dass Unternehmen dieses Problem als Chance aufgreifen können, um Systeme zu betreiben, die die Abmahn-/Klagerisiken minimieren. André und Nils diskutieren im Anschluss, ob CRM as a Service eine valide Option sein kann.

44:30: Zersplitterte IT-Infrastruktur als Auskunftsproblem

Wir sprechen darüber, dass automatisiert verknüpfte Systeme ebenso große Probleme darstellen können (Synchronisierungs-/Kollisionsprobleme bei Datensätzen aus mehrere Systemen) wie zersplitterte nicht automatisiert synchronisierte Systeme. Deshalb ist die Führung und regelmäßige Aktualisierung eines "Datenkataloges" (der Datenschutz spricht von Verfahrensverzeichnissen) wichtig.

51:20: Erfordert jede CRMS-Einführung eine DSFA?

Die Voraussetzungen, unter denen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist, finden sich in Art. 35 DSGVO. Darin finden sich keine festen Vorgaben, und pauschal lässt sich diese Frage nicht beantworten. Die Artikel 29-Gruppe hat aber das folgende Whitepaper zum Thema herausgegeben, das bei der Einschätzung helfen kann. Es kommt darauf an, dass eine bestimmte Mindestschwelle für ein Risiko für den Datenschutz bestehen muss, damit eine DSFA erforderlich wird. Sollte man sich dazu entschließen, dass keine DSFA erforderlich ist, sollte jedenfalls ein entsprechender Hinweis hierzu festgehalten werden, aus dem sich ergibt, dass und warum keine DSFA erforderlich ist.

Wir sprechen außerdem darüber, wer die DSFA durchführen muss und kann und dass es nicht originäre Aufgabe des Datenschutzbeauftragten ist.

55:40: Problematik der Zugriffsrechte auf CRM-Systemdaten

André und Nils führen das Principle of Least Privilege aus und dass die Begrenzung der Zugriffsrechte auch einen Vorteil für das Unternehmen darstellen kann. Dann sprechen wir über Rechte- und Rollenkonzepte, die sich auch über die Zeit verändern müssen und dabei Fehler gemacht werden. André bringt die "self-sovereign identity" ins Gespräch und diskutiert mit Frank, wie das Prinzip in der Praxis funktionieren kann, am Beispiel des Datums "volljährig", ohne z. B. das Geburtsdatum zu übermitteln.

André schwenkt dann zu einer praktischen Umsetzung des Prinzips der self-sovereign identity über Blockchain um und bringt das Sovrin ins Spiel, ein Framwork, das angeblich genau das kann.

Whitepaper des World Economic Forum: "The Known Traveller: Unlocking the potential of digital identity for secure and seamless travel"

67:15: Was bedeutet die DSGVO für CRM?

Nils betont die Chancen der DSGVO für das Marketing. Wir sprechen über Varianten der Auswertungen personenbezogener Daten und die praktischen Nutzungen der Auswertungen.

André und Fragen sprechen außerdem über Inhalte und Bedeutung von Zertifikaten im Datenschutz, u. a. von Trusted Cloud.

76:30 Fazit

In diesem Teil lösen wir auf, wie wir auf den Titel für diese Legal Bits gekommen sind. :)

80:40 Feedback und Verabschiedung

Hinterlasst Kommentare, schickt eine E-Mail oder twittert an @legal_bits, @nilshafner, @neuernick oder @ra_stiegler!

Die Einsprecher kommen wie immer von Sarah Nakic aus Köln.

Letzter Artikel
41: Pentesting aus Strafrechts- und Vertragssicht