Donnerstag, 16.08.2012
Zukunftsmärkte
Datenschutz

Kundenkontakt-Daten: Frist läuft ab

Für alle Unternehmen, die sich noch nicht um ihren Kundenkontakt-Alt-Datenbestand gekümmert haben, zieht der Datenschutz ab September die Schlinge enger. Das betrifft den kompletten Kundenkontakt, besonders aber die Fragen um das Opt-in, also Genehmigung durch den Kunden.

Am 31. August 2012 endet eine Übergangsfrist, die der Datenschutz mit der Novellierung des Bundesdatenschutzgesetzes (BDSG) im Jahr 2009  eingeräumt hat. Betroffen davon ist vor allem der Kundenkontakt per E-Mail mit oder ohne Opt-in für den werblichen Zweck. Das gilt für jedes Unternehmen, unabhängig von Rechtsform oder Größe.
Die Dokumentation von bestehenden Kundenkontakt-Daten wird daher ab 1. September 2012 zum obersten Gebot und gilt auch für sämtliche Altdatenbestände, die vor dem 1. September 2009 erhoben wurden.
In der Praxis bedeutet das für Unternehmen, die sich um vom Datenschutz vorgegebene Anforderung beim Thema Kundenkontakt nicht kümmern, nichts Gutes. „Nach dem Gesetz muss ein Unternehmen Kundendaten, für die kein dokumentiertes Opt-in vorliegt, löschen. Wer das nicht tut, verstößt gegen das BDSG. Wir reden hier von einer Geldbuße von maximal 300.000 Euro,“ sagt Britta Hinzpeter, auf IT-, Handels- und Datenschutzrecht spezialisierte Juristin bei der Anwaltskanzlei DLA Piper in München. Die bisherige Praxis der Rechtsprechung sollten Unternehmen nicht auf die leichte Schulter nehmen.

Opt-ins gut dokumentieren

Am einfachsten haben es Unternehmen, deren Geschäft hohe Anteile an wiederkehrenden Umsätzen aufweisen. Dieser feste Kundenkontakt unterliegt oft laufenden Leistungsnachweisen, muss regelmäßig überprüft werden und ist daher bereits oft einschließlich Opt-in gut dokumentiert. „Soviel jedoch ist sicher: Ausgefeiltes Kundenbeziehungsmanagement wird unerlässlich“, sagt Dirk Sonntag, PR-Manager bei All for One Steeb. Besonders im Fokus stehen dabei E-Mail-Aktionen, in denen der Kundenkontakt gesucht wurde, aber keine Einverständniserklärung (Opt-In) vorliegt. Die so gewonnen Daten dürfen Unternehmen nicht mehr für Werbeaktionen verwenden. Wer den Kundenkontakt dennoch aufnimmt, spielt unter Einsatz eines hohen Risikos.

Vorsicht bei altem Adressenbestand

Für die Kontrolle beim Kundenkontakt sind die Aufsichtsbehörden für den Datenschutz zuständig. Und die rüsten, in Erwartung großer Einnahmen durch Bußgelder, personell bereits kräftig auf, wie ein Unternehmensberater berichtet. Außerdem kommt noch eine zweite Kontrollinstanz für den Datenschutz hinzu: „Die Gefahr droht vom Verbraucher. Immer mehr Menschen beschweren sich. Dann müssen die Behörden prüfen und es kann eng werden“, warnt Hinzpeter.

Gerade der Umgang mit alten Kundenkontakt-Daten und fehlendem Opt-in ist in der firmeneigenen IT das große Problem. Das gilt für zahlreiche Unternehmen, die sich dem Umstellungsprozess auf die neuen gesetzlichen Anforderungen beim Datenschutz unterzogen haben. Beispielsweise hat ein Unternehmen über einen langen Zeitraum einige tausend Kundenkontakt-Adressen gesammelt, aber seit drei Jahren keine geschäftlichen Aktionen mit vorgeschriebenem Opt-in wie Werbeangebote oder Newsletter, um den Kundenkontakt aufrechtzuerhalten, aus diesem Datenbestand adressiert. Auch wie die Informationen in das Unternehmen gelangten, ist nicht mehr nachvollziehbar, und an ein Opt-in hatte niemand gedacht.

Kein Kontakt zum Kunden - über Jahre

Denn die Daten haben zwei Probleme: Es gab lange keine Geschäftsbeziehung, und es kann nicht gezeigt werden, wie die Adress-Sammlung zustande kam. Nach Jahren ohne Kundenkontakt kann das als unzumutbare Belästigung gelten. Wer den Kundenkontakt so gestaltet, verstößt gegen § 7 Abs.2 des UWG (Gesetz gegen den unlauteren Wettbewerb). Zudem muss auch noch für jeden Kommunikationskanal ein eigenes Opt-in eingeholt werden. Wenn beispielsweise bei einem Online-Versender bestellt wird, dann darf das Unternehmen diese Daten im Kundenkontakt zur Erfüllung des Vertragszweckes speichern. „Wenn es aber persönliche Daten darüber hinaus zu Werbezwecken speichern und verwenden will, braucht es eine gesonderte Einwilligung des Kunden“, sagt Juristin Hinzpeter. Ihre Faustregel für den nach Datenschutz rechtssicheren Kundenkontakt: „Alle Daten, die zu Werbezwecken verwendet werden, benötigen ein Opt-in.“
Das geht aber vielen Experten für den Datenschutz nicht weit genug. Das einfache Verfahren schützt nicht vor Fälschungen durch Dritte, die ungefragt Dritte registrieren inklusive „Opt-in“-Häkchen. Da hilft nur: Um die Einwilligung beim Kundenkontakt rechtssicher nachzuweisen, sollte das „Double-Opt-in“ zum Einsatz kommen. Die Methode verschafft dem Versender im Falle eines Rechtsstreits eine gute Ausgangsposition.
Der Unterschied zur Einwilligung zum zwar gesetzlich formal ausreichenden einfachen Opt-in liegt darin, dass der Adressierte eine Bestätigungsmail an die als Kundenkontakt gespeicherte E-Mail-Adresse erhält und einen darin angegeben Link noch einmal zur Bestätigung klicken muss. Erst dann ist er wirklich registriert, beispielsweise für einen Newsletter.