Datenschutz im Social CRM

Sandra Bauer arbeitet seit drei Jahren als Serviceleiterin eines fiktiven Unternehmens, das Kameraobjektive produziert. Ihre CRM-Datenbank enthält alle wichtigen Informationen zu ihren B2B-Kontakten aus der Industrie. Die Kollegen aus Marketing und Vertrieb greifen auf die gleiche Datenbank zu und machen sich zudem vermehrt Angebote aus dem Social Web zunutze, um die Adresssätze anzureichern. In Foren und sozialen Netzwerken flottieren unzählige Einzelinformationen über die Produkte und Serviceleistungen aus dem Unternehmen von Frau Bauer. Doch wer darf welche Informationen für Datenerhebung und Interaktion verwenden, ohne den Datenschutz zu verletzen? Diese Frage stellen sich neben Sandra Bauer und ihren Kollegen aus Marketing und Vertrieb auch der neu eingestellte Social Media Manager und der Datenschutzbeauftragte. Schließlich möchte keiner der Mitarbeiter seinem Unternehmen durch Klagen oder Imageeinbußen schaden.

CRM ist Teamwork

Das Intro beschreibt alltägliche unternehmerische Herausforderungen im Umgang mit Daten aus dem Social Web. Darf ich meinem Kunden zum Geburtstag gratulieren, wenn ich diesen via Facebook einsehen kann? Wem gehören die Daten aus dem Forum, das mein Unternehmen betreibt?

Mit diesen Fragen beschäftigt sich seit Anfang dieses Jahres ein Forschungsprojekt, das vom Bundesministerium für Bildung und Forschung (BMBF) gefördert wird. Das interdisziplinäre Team hat es sich zur Aufgabe gemacht, ein automatisiertes Datenschutz-Tool für CRM-Systeme zu entwickeln, die mit dem Social Web verknüpft sind. Neben dem federführenden CRM-Lösungsanbieter bowi sind das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (ULD) und der Lehrstuhl für Anwendungssysteme in Wirtschaft und Verwaltung an der Universität Leipzig an dem Projekt beteiligt. Die Vision des Teams ist eine prototypische Anwendung, die Risiken im Social CRM aufdeckt und bewertet. Professor Rainer Alt erklärt: "Die Projektidee von Sphere ergab sich aus unseren Social-CRM-Forschungsprojekten." Diese hätten wiederholt auf offene Datenschutzfragen hingewiesen. "Sphere greift die Idee eines Expertensystems auf und soll die SCRM-Infrastruktur erweitern, um automatisiert Risiken und Handlungsalternativen zu identifizieren."

Die Anreicherung von CRM-Datenbanken durch Daten aus dem Internet (Social CRM) ist heute ein Kernthema bei Zukunftsinvestitionen nahezu jeder Branche - ihre datenschutzkonforme Verwendbarkeit ebenso. Bisher liefert der IT-Markt kaum systemseitige Unterstützung zur Bewertung und Gestaltung datenschutzkonformer Social CRM-Aktivitäten und Infrastrukturen. Anwender und Hausjuristen benötigen jedoch unterstützende Tools zur Einhaltung der Regularien, weil Einzelfallprüfungen jeder Aktivität zeit- und damit kostenaufwendig sind. Der Prototyp Sphere, als Add-On für CRM-Systeme gedacht, gewährt einen weitreichenden Blick auf verwendete Programme wie Social Media-Monitoring-Tools. Unternehmen gewinnen Transparenz über ihre Datenflussprozesse, weil die Durchlässigkeit personenbezogener Daten zum Vorschein kommt. Sphere kann auf Basis dieser Untersuchungen Risiken aufdecken, Datenschutzlücken schließen und Unternehmen bei ihren Aktivitäten unterstützen. Karl Schmid, Geschäftsführer der bowi GmbH, führt aus: "Wir, also die IT-Wirtschaft, brauchen ein Netzwerk aus Juristen, Informatikern und Marketing-Experten, um Social-CRM-Trends zeitnah bewerten zu können und Softwareentwicklungen anzudocken."

Was wäre, wenn…

Sphere unterstützt Unternehmen dabei, Social-CRM-Kampagnen datenschutzkonform zu planen. So hat der Social Media Manager aus dem Unternehmen von Frau Bauer eine Kampagnenidee, ist sich aber ob der rechtlichen Zulässigkeit unsicher. Er nutzt Sphere, um herauszufinden, ob er die Kampagne verändern muss. Dazu füttert er die Anwendung mit relevanten Parametern: Sind beispielsweise alle Einwilligungen der angesprochenen Kunden vorhanden? Entspricht die Aktion den Guidelines des Unternehmens?

Das Sicherheitsnetz

Sphere unterstützt Unternehmen bei der Entwicklung datenschutzkonformer Interaktionen. Wie darf der Social Media Manager seine Kunden anschreiben? Ist der Kontakt über ein soziales Netzwerk richtig? Und welche Daten, die er hier einsehen kann, dürfen im Einzelfall mit dem CRM verknüpft und verwendet werden? Sphere warnt vor der Interaktion, vor dem Anschreiben vor Risiken und gibt Hinweise zum rechtlichen Hintergrund der Warnung. Auch prüft die Software vor der Selektion personenbezogener Daten automatisch, ob Datenschutzrecht verletzt wird und schlägt gegebenenfalls Alarm bei dem verantwortlichen Datenschutzbeauftragten. Im Anschluss wird der Vorgang so lange geblockt, bis der Datenschutzbeauftragte sein Okay gegeben hat. Datenschutz greift damit technisch und nicht nur organisatorisch.

CRM-Lösungen für Einsteiger
In keinem anderen Business-Segment ist SaaS (Software as a Service) so etabliert wie im Kunden-Management. In diesem Beitrag finden Sie leichtgewichtige CRM-Lösungen aus der Cloud, die sich speziell für kleine und mittelständische Betriebe eignen.

1. CAS PIA
Bei “CAS PIA” handelt es sich um eine professionelle CRM-Lösung von einem spezialisierten Anbieter, der die Prozesse und Anforderungen im Kunden-Management genau kennt. Das merkt man an dem offerierten Feature-Set, das eine Vielzahl an Funktionalitäten bietet, ohne dabei den unerfahrenen Anwender zu überfordern. <br /><br /> Preis: Ab rund fünf Euro pro Anwender und Monat

2. Weclapp CRM
Mit der “Cloud CRM”-App von der Weclapp GmbH bietet sich eine moderne und vielversprechende Alternative unter den CRM-Cloud-Tools an, die den etablierten Anbietern mit leistungsstarker Funktionalität und zeitgemäßem Design den Kampf ansagt. <br /><br /> Preis: Ab rund fünf Euro pro Anwender und Monat

3. Highrise
Das simple CRM-System “Highrise” überzeugt durch die hohe Softwarequalität, mit der die Produkte der Softwareschmiede 37Signals aus Chicago Millionen Anwender weltweit überzeugen konnten. Wer es schlicht und einfach mag, für ihn könnte es genau die richtige Lösung sein. <br /><br /> Preis: Ab rund 24 Dollar pro Anwender und Monat

4. VTC CRM
Mit “VTC CRM” präsentiert sich eine umfangreiche, Prozess-orientierte CRM-Suite, die Kunden flexibel an ihren Anforderungen anpassen können und Standard-Workflows im Bereich Kundenservice, Marketing und Vertrieb effizient automatisieren kann. <br /><br /> Preis: Ab 25 Euro pro Anwender und Monat

5. Sage CRMCloud
“Sage CRM Cloud” adressiert Mittelständler, die sich eine funktionsreiche Kundenmanagement-Anwendung wünschen, mit der sie eine systematische, detaillierte Planung aller Prozesse in der Kundenpflege durchführen können. <br /><br /> Preis: Ab rund 25 Euro pro Anwender und Monat

6. SugarCRM
“SugarCRM” bietet sich als eine umfassende CRM-Suite, die mit der strukturierten und transparenten Darstellung aller Kunden- und Interessenteninformationen, Kontakte, Aufgaben, Termine, Kampagnen und Berichte kaum Wünsche offen lässt. <br /><br /> Preis: Ab 35 Dollar pro Anwender und Monat

7. PipelieDeals
"PipelineLeads" besticht mit einem hochwertigen User-Interface, bei dem Funktionalität, Design und Usability im Einklang stehen. Die iPhone-App macht ebenfalls einen guten Eindruck. Leider ist die Lösung nur auf Englisch verfügbar.

8. Zoho CRM
"Soho CRM" ist eine praxiserprobte Lösung, die mit einem soliden Mix aus leistungsfähigen Features und flexiblen Integrationsmöglichkeiten überzeugen kann. Davon können sowohl Einsteiger als auch Profis profitieren

9. Web CRM
"Web CRM" ist ein System der Enterprise-Klasse, das sich auch kleinere Unternehmen leisten können. Wie bei vielen Produkten in dieser Kategorie der Fall ist, hinkt die Software in Sachen Mobilität und Usability moderneren Produkten, die im Post-PC-Zeitalter entstanden sind, etwas hinterher.

10. CRM Now
"CRM Now" stellt eine einfache und preisgünstige CRM-Alternative dar, von der in erster Linie Anfänger profitieren können. Wer allerdings viel Wert auf eine elegante und zeitgemäße Arbeitsoberfläche legt, der wird bei diesem Service sicherlich enttäuscht sein

Datenschutz für alle transparent machen

Sphere bildet das CRM-System unter Datenschutzgesichtspunkten ab. Dazu analysiert das Tool Datenströme und erschafft visuelle Modelle von der IT-Infrastruktur und den ineinandergreifenden Social-CRM-Prozessen. Es zeigt dem Datenschutzbeauftragten auf, wo Probleme auftreten könnten und wo bereits Lecks existieren. Ein wöchentlicher Report gibt Aufschluss über alle Aktivitäten: Wie viele Aktionen gab es? Wie viele davon mit personenbezogenen Daten? Welche Prozesse könnten zu einer Abmahnung führen oder entsprechen nicht den Datenschutzstandards des Unternehmens? Der Sphere-Bericht dient Datenschutzbeauftragten als Auskunfts-Grundlage für das Management und die Rechtsabteilung.

Was steckt dahinter?

Um den oben beschriebenen Funktionsumfang leisten zu können, muss Sphere Social-CRM-Aktivitäten, Datenströme, IT-Infrastrukturen, die Betriebsorganisation und Datenquellen in ein gemeinsames Modell integrieren. Damit betreten die Projektpartner bisher unerforschten Boden. Natürlich liefert die Wirtschaftsinformatik diverse Modellierungsmöglichkeiten; das Modell jedoch, das alle für eine Datenschutz-Bewertung relevanten Facetten abbildet, stand bislang aus und soll nun mit Sphere Wirklichkeit werden. Ihm stellt das Forschungskonsortium aktuelles Datenschutzrecht gegenüber; es prüft und gleicht ab. Dabei wird nicht nur der Gesetzestext berücksichtigt, sondern es fließen aktuelle Urteile und Hinweise, die Guidelines des Unternehmens und weitere Bewertungsgrundlagen mit ein. Das alles konfigurierbar, erweiterbar und mit angemessenem Aufwand administrierbar zu halten, ist eine weitere Kernfunktion von Sphere. Ohne ein selbstlernendes System ist solch eine Leistung nicht zu bewältigen.

Zu berücksichtigen sind verschiedene Gesetze:

• Datenschutzgesetz (BDSG) und EU-Datenschutzrichtlinie (EU-DSRL)

Diese müssen berücksichtigt werden, sobald personenbezogene Daten in Deutschland beziehungsweise in der EU automatisiert verarbeitet werden.

• Telemediengesetz (TMG)

Ist zu beachten, sobald das Unternehmen einen Telemediendienst wie eine Internetseite anbietet. Darunter fällt auch die Impressumpflicht.

• Gesetz gegen den unlauteren Wettbewerb (UWG)

Das Gesetz muss unter anderem berücksichtigt werden, sobald Kommunikation massenwirksam wird (one-to-many / many-to-many).

• Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG)

Das Gesetz findet Anwendung, sobald Inhalte von Nutzern verwendet werden (beispielsweise in einem FAQ oder als Rezension)

Sphere im Praxistest

Um die Ergebnisse aus dem Forschungsprojekt kontinuierlich auf die Bühne des Praxisbedarfs zu heben, arbeitet das Sphere-Team mit Fallstudienpartnern zusammen. Hierfür stellen Unternehmen mit einem lebendigen Social-CRM-System ihre IT-Strukturen und ihre Anwendungsfälle zur Verfügung und profitieren als Partner von dem erarbeiteten Wissen. Es geht beispielhaft um folgende Anwendungsszenarien:

Ein Kunde von Serviceleiterin Sandra Bauer beschwert sich in einem privaten, firmen- und produktungebundenen Internet-Forum (einem sogenannten White Label Board) über ein Produkt aus dem Unternehmen. Die Hypothese: Der verärgerte Kunde wendet das Produkt offensichtlich falsch an; Frau Bauer könnte ihm durch eine einfache Information zur richtigen Anwendung des Produkts weiterhelfen.

Kernfrage ist: Darf Sandra Bauer Service leisten? Die juristische Antwort ist die übliche: Das kommt darauf an!

Selbst wenn der Betreiber des Forums ausdrücklich erlaubt, dass Unternehmen sich informierend in seiner Community beteiligen, muss der Datenschutz der Forumsnutzer gewährleistet sein. Im Zweifel macht sich das Unternehmen strafbar, wenn es aus diesem Forum Informationen zu Personen erhebt. Selbst wenn die Erhebung rechtens wäre (wegen der öffentlich zugänglichen Quelle etc.), existiert immer noch die Pflicht, den Verbraucher über die Datenverarbeitung zu informieren und ihm ein Widerspruchsrecht einzuräumen. Aber wer ist dafür verantwortlich: das nutzende Unternehmen, der Betreiber der Plattform oder beide? Wenn das Unternehmen eine Softwarelösung einsetzt, die teilweise in den USA gehostet wird, welches Recht gilt dann beziehungsweise ab wann genau gilt das deutsche und europäische Recht? Und wenn Daten fließen, dann ja oft nur Fragmente der gesamten Akte zur Person oder zum Kunden. Ab wann sind diese Fragmente "personenbezogen"? Dieses Kriterium entscheidet oftmals, ob Datenschutzrecht Anwendung findet.

Sagen wir, die Erhebung wäre rechtens. Der Kunde sagt in seinem Posting aus, er heiße Karl Kaufmann und arbeite in Passau. Für kein Unternehmen ist es heutzutage mehr eine Herausforderung, den Bezug zu einer Kundenakte herzustellen. Ist dies rechtens? Oder muss Frau Bauer aus dem Service so tun, als kenne sie diesen Kunden nicht? Sagen wir, die Erhebung sei korrekt und Sandra Bauer verfasst eine Antwort, die dem vermeintlichen Kunden helfen könnte. Darf sie ihm in diesem Forum zurückschreiben? Zu beachten ist, dass das dann unter Umständen rechtlich nicht mehr als Service zählt, sondern als Werbung, weil Frau Bauer ja nicht nur ihm eine Antwort gibt (one-to-one), sondern allen potenziellen Kunden, die diese Frage haben (one-to-many). Also verlagert sich die Thematik vom Datenschutz zügig ins Wettbewerbsrecht. Und wenn Frau Bauer dem Kunden nicht in diesem Forum zurück schreiben darf, darf sie ihn dann anrufen? Denn sie weiß ja, wer er ist! Eine oft geleistete Antwort auf viele dieser Fragen ist: Frau Bauer darf, wenn sie die entsprechende Einwilligung hat. Aber wie soll so eine Einwilligung aussehen? Wer holt die Einwilligung ein?

Fazit

Es gibt jede Menge Kriterien, die bei der Prüfung einer Social Media Service-Maßnahme zu beachten sind. Die Parameter müssen von Fall zu Fall, zu Quelle, zu Tool, zu Maßnahme geprüft werden. Auch der Weg der Datenverarbeitung spielt eine erhebliche Rolle. Pauschalisierungen sind kaum denkbar. Ändert sich nur ein Kriterium, ändert sich die komplette Bewertung. Hier zeigt sich der hohe Nutzwert von Sphere. Das Tool erfasst die Parameter, soweit möglich, automatisch und bewertet in Echtzeit. Damit verfügt sein Anwender über ein justierbares Werkzeug, mit dessen Hilfe er an IT- Schrauben und Rädchen drehen kann, bis das Risiko, gegen den Datenschutz zu verstoßen, minimal und tragbar ist. Mehr noch: Bei neuer Gesetzeslage übernimmt Sphere das Update, so dass sich Sandra Bauer keine Gedanken machen muss, ob ihre bis dato sicheren Maßnahmen zukünftig datenschutzrechtlich kritisch sind.

Interessiert?

Wer interessiert ist, im Rahmen einer Fallstudie im Sphere-Projekt mitzuwirken, kann sich auf der Projekt-Website informieren. (sh)