Zum Inhalt springen Zur Navigation springen
Globales CRM-System und der Datenschutz

Globales CRM-System und der Datenschutz

Artikel von Anqi Chen·11. Dezember 2023

Der Einsatz einer gemeinsamen Kundendatenbank innerhalb eines Konzerns ist an zahlreiche datenschutzrechtliche Anforderungen gebunden. Dies wird noch komplizierter bei global agierenden Konzernunternehmen, wo verbundene Gesellschaften in Drittländern Zugriff auf EU-Kundendaten haben können. In diesem Artikel erläutern wir, was bei der Implementierung eines globalen CRM-Systems datenschutzrechtlich zu beachten ist.

Kein Konzernprivileg gemäß DSGVO

Entgegen einer häufigen Annahme, sieht die DSGVO kein Konzernprivileg vor. Die Übermittlung personenbezogener Daten zwischen verschiedenen Konzerngesellschaften ist nicht gleichzusetzen mit einer Datenübermittlung innerhalb eines einzigen Unternehmens. Daher sind Datenverarbeitungen oder -übermittlungen zwischen den einzelnen Gesellschaften eines Konzerns ebenso zu bewerten, als ob sie an externe Dritte gingen.

Qualifikation als Auftragsverarbeitung

Ob eine Auftragsverarbeitung vorliegt, hängt von strategischen Entscheidungen und dem Geschäftsmodell ab. Ein wesentliches Merkmal der Auftragsverarbeitung gemäß Art. 28 DSGVO ist, dass der Auftragnehmer keine Entscheidungsgewalt über die Daten hat und diese ausschließlich im Auftrag und für die Zwecke eines Dritten verarbeitet. Jedoch wird die Entscheidung, ein globales CRM-System einzuführen, meist von der Muttergesellschaft getroffen, die das System auch betreibt und wartet. In der Praxis ist es eher wenig wahrscheinlich, dass die Tätigkeiten der Muttergesellschaft als weisungsgebunden qualifiziert werden; sie führt vielmehr eine Verarbeitung zu eigenen Zwecken durch.

Gemeinsame Verantwortlichkeit

Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Datenverarbeitung festlegen, sind sie gem. Art. 26 DSGVO gemeinsam verantwortlich. Der Hamburger Datenschutzbeauftragte vertrat die Ansicht, dass ein konzernweites CRM-System, welches den einzelnen Gesellschaften mehr oder minder gleiche Berechtigungen einräumt, eben den zuletzt genannten Tatbestand der gemeinsamen Verantwortlichkeit nach Art 26 DSGVO erfüllt und insofern eine entsprechende Vereinbarung geschlossen werden hätte müssen.

Im Tätigkeitsbericht HmbBfDI 2020, heißt es hierzu:

„Führen mehrere demselben Unternehmensverbund angehörende Gesellschaften eine Kundendatenbank, sind sie gemeinsam für die Verarbeitung Verantwortliche. Dies erfordert eine Vereinbarung gem. Art. 26 DSGVO. Das Fehlen einer solchen Vereinbarung wurde mit einer Geldbuße sanktioniert.“ (S. 119)

Aus der Qualifikation als gemeinsam Verantwortliche ergibt sich die Pflicht, eine Vereinbarung über die gemeinsame Verantwortlichkeit abzuschließen. Dabei müssen die beteiligten Unternehmen transparent die Zwecke und Mittel der Verarbeitung festlegen und regeln, wer von ihnen welche Verpflichtungen aus der DSGVO erfüllt. Besondere Sorgfalt ist auf klare Festlegungen bezüglich der Rechte der betroffenen Personen und der Erfüllung der Informationspflichten zu legen.

Zwei Stufen bei Datenübermittlungen ins Ausland

Unabhängig davon, ob Sie als in der EU ansässige Muttergesellschaft Ihren Tochtergesellschaften in Drittländern den Zugriff auf Daten in Ihrem CRM-System ermöglichen oder als Tochtergesellschaft, die Ihre EU-Kundendaten in ein im Drittland gehostetes CRM-System eingeben, müssen die Anforderungen an grenzüberschreitende Datenübermittlungen gemäß Kapitel 5 der DSGVO berücksichtigt werden. Hierbei ist die Prüfung stets zweistufig:

  • Erste Stufe:
    Für die Übermittlung der Daten muss ein Erlaubnistatbestand bestehen.
  • Zweite Stufe:
    Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

Rechtsgrundlage für Zentralisierung der Kundenverwaltung

Einwilligung gem. Art. 6 Abs.1 lit.a DSGVO

Die Einwilligung der Kunden könnte eine Rechtsgrundlage darstellen. Allerdings müssen die Anforderungen an einer wirksamen Einwilligung beachtet werden: Eine Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Sie muss in klarer und einfacher Sprache formuliert sein, und es muss klar sein, wofür die Einwilligung gegeben wird. Außerdem sollte die Einwilligung jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO).

Zur Erfüllung eines Vertrags gem. Art. 6 Abs.1 lit.b DSGVO

Die Übermittlung und Verarbeitung von Kundendaten innerhalb einer Unternehmensgruppe kann auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, wenn dies zur Erfüllung des Vertrages, dessen Vertragspartei die betroffene Person ist, und/oder zur Durchführung von Maßnahmen auf Antrag der betroffenen Person vor Abschluss eines Vertrages erforderlich ist.

Dies gilt beispielsweise für Situationen, in denen die Datenübermittlung an die Muttergesellschaft für die Vertragserfüllung objektiv erforderlich ist, z. B. für die Lieferung von Produkten oder Dienstleistungen, die Bereitstellung technischer Unterstützung oder die Abwicklung von Zahlungen. Dieser Rechtfertigungsgrund wird von den Aufsichtsbehörden jedoch eng ausgelegt, d. h. die Verarbeitung personenbezogener Daten muss unvermeidlich sein, um den Vertrag zu erfüllen.  Folglich ist fraglich, dass die Übermittlung von Daten inaktiver Kunden auf diese Rechtsgrundlage gestützt werden kann.

„Kleines“ Konzernprivileg – Berechtigtes Interesses gem. Art. 6 Abs.1 lit.f DSGVO

Trotz fehlendem Konzernprivileg anerkennt die DSGVO die Zentralisierung von Strukturen in Konzernunternehmen zu „internen Verwaltungszwecken“ ausdrücklich. Um konzernweite CRM-Systeme zu betreiben und Daten hieraus für Zwecke des Kundenverwaltung verwenden zu können, kann auf die Interessenabwägungsklausel gem. Art. 6 Abs.1 lit.f DSGVO zurückgegriffen werden. Danach kann die Übermittlung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Wie Erwägungsgrund 48 der DSGVO zeigt, können Verantwortliche, die Teil einer Unternehmensgruppe (eines Konzerns) oder einer Gruppe von Einrichtungen und dabei einer zentralen Stelle zugeordnet sind, ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln, einschließlich der Verarbeitung personenbezogener Daten von Kunden oder Mitarbeitern.

Die spezifische Kategorisierung einer Datenverarbeitung als Verwaltungszweck ist stets eine Frage des Einzelfalls. Prozessökonomische oder effizienzsteigernde Gründe können hierbei ausreichend sein. Globale CRM-Systeme in Konzernen dienen oft übergreifenden Zielen wie die Anfragen abzuwickeln oder den Vertrieb zu optimieren, das Marketing zu unterstützen oder sich vor Betrug bzw. dem Zahlungsausfall auf Seiten des Kunden zu schützen, was nach Erwägungsgrund 48 der DSGVO als berechtigtes Interesse angesehen werden könnte.

Interessensabwägung

Eine Interessensabwägung ist erforderlich, die einerseits das Interesse an einer Zentralisierung der Kundenverwaltung zu internen Verwaltungszwecken berücksichtigt und andererseits den Rechten der betroffenen Kunden Rechnung trägt.

Eine solche Abwägung kann zugunsten des Verantwortlichen ausfallen, wenn gleichzeitig angemessene Schutzmaßnahmen für die Kunden getroffen werden.

Vergleichbares Schutzniveau mit EWR: Angemessenheitsbeschluss oder Geeignete Garantien

Angemessenheitsbeschluss

Wenn das Konzernunternehmen, das Zugriff auf die EU-Kundendaten hat, in einem sicheren Drittland ansässig ist, ist keine weitere Genehmigung durch die zuständige nationale Aufsichtsbehörde erforderlich.

EU-Standardvertragsklauseln als Instrument

Für Konzerne, deren verbundene Unternehmen in unsicheren Drittländern ansässig sind, bietet die DSGVO verschiedene Instrumente für den Zugriff auf Daten im Rahmen globaler CRM-Systeme an. Darunter sind Standardvertragsklauseln (SCCs) das am häufigsten genutzte Instrument. Diese Instrumente umfassen auch Verhaltenskodizes (CoCs) und verbindliche konzerninterne Vorschriften (BCRs). Die neuen SCCs bieten vier Module:

  • C2C (Controller-to-Controller),
  • C2P (Controller-to-Processor),
  • P2C (Processor-to-Controller),
  • P2P (Processor-to-Processor).

Die Auswahl des geeigneten Moduls hängt von der spezifischen Konstellation der an der Datenübermittlung beteiligten Parteien ab.

Eine mögliche Lösung wäre, ein Intercompany Agreement abzuschließen. Dies regelt die datenschutzrechtlichen Beziehungen zwischen den Unternehmen, die zu einem Konzern gehören.

Anforderungen beim Einsatz von globalen CRM-System

Für den rechtskonformen Einsatz globaler CRM-Systeme müssen die folgenden Mindestanforderungen beachtet werden:

  • Detaillierte Auflistung und Aufzeichnung aller Kategorien personenbezogener Daten im Zusammenhang mit CRM-System, insbesondere derjenigen, auf die die verbundenen Unternehmen Zugriff haben werden.
  • Entwicklung eines Berechtigungskonzepts für das CRM-System, basierend auf dem „Need-to-Know“-Prinzip, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf die notwendigen Daten hat.
  • Dokumentation der Interessensabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO, um die Rechtmäßigkeit der Datenverarbeitung zu begründen.
  • Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit oder eines Auftragsverarbeitungsvertrags, um die Rollen und Verantwortlichkeiten innerhalb der Datenverarbeitung klar festzulegen.
  • Information gegenüber Kunden über die Datenverarbeitung sowie verbundene grenzüberschreibende Datenübermittlung im Zusammenhang der globalen CRM. Dies beinhaltet die Anpassung der Datenschutzrichtlinien für Kunden und gegebenenfalls für interne Mitarbeiter.
  • Abschluss der SCCs bzw. Durchführung eines TIA

Beachtung weiterer Datenschutzprinzipien

Die Einführung eines globalen CRM-Systems wirft oft komplexe Datenschutzfragen auf, die über den Rahmen eines einzelnen Blogartikels hinausgehen. Grundlegende Datenschutzprinzipien wie die Datenminimierung, Aufbewahrungsfristen der Daten usw. sollten konsequent beachtet werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Unabhängig davon, dass meist nicht das Mutterunternehmen die Systeme betreibt, sondern die IT-Tochter, müsste das Gesagte doch dann eigentlich für alle möglichen IT-Systeme im Konzernumfeld gelten (Personalverwaltung, Gehaltsabrechnung, Poststelle, Fuhrpark, Zutrittskontrollsysteme, Kantinenabrechnung etc.), die von der zentralen IT betrieben werden – und nicht nur CRM-Systeme. Oder?

    • Man könnte eine interne Beauftragungsmatrix bauen, wer wen welche Verarbeitungen machen lässt (Art. 26 oder 28, oder nur EG 48), und unter welchen Bedingungen. Nicht jede Aktivität wird für alle Unternehmen sinnvoll oder zulässig sein.

      Gerade CRM haben Analyse- und Verknüpfungs-Funktionen, die passende Erlaubnistatbestände benötigen. Das Zweck- und unternehmensübergreifende Auswerten kann eine Zweckänderung sein; manchmal schwer oder gar nicht zu rechtfertigen.

      D., der bei den großen CRM-Diensten sehr, sehr vorsichtig ist, dass keine Sachen darüber laufen, die dort nicht sein dürften.

    • Das „Zwei-Stufen-Modell“ gilt in der Regel ebenfalls für die von Ihnen genannten Szenarien. Bei der Abgrenzung der Rollen müssen oft die Funktionen und den Status der einzelnen Konzernunternehmen berücksichtigt werden. Ob die Daten von einer Tochtergesellschaft oder einer Muttergesellschaft empfangen werden, kann hierzu mehr oder weniger relevant sein.

      Die Rechtsgrundlage, auf der sich die Datenverarbeitung in jedem Szenario stützt, sollte individuell analysiert werden. Es bleibt zu hinterfragen, ob berechtigtes Interesse die optimale Rechtsgrundlage für jedes Szenario konzernweiter Datenverarbeitungen angesehen werden kann.

  • Vielen Dank für den Artikel, sehr informativ! Eine Ergänzung noch: Mit der Vereinbarung der SCC ist der gesonderte Abschluss einer AV-Vereinbarung nicht mehr erforderlich; die SCC erfüllen zugleich die Funktion und die Anforderungen der AVV.

    • Vielen Dank für Ihren Hinweis. Absolut richtig, dass bei korrekter Ausfüllung der Module 2 kein separater AVV nach Artikel 28 Abs. 3 DSGVO notwendig ist.

      Auch interessant wurde es diskutiert, ob das C2C-Modul auch auf Fälle gemeinsamer Verantwortlichkeit anwendbar ist. In ihrer Gemeinsame Stellungnahme 2/2021 forderte der EDSA und EDSB die Kommission auf zu prüfen und zu erläutern, ob das C2C-Modul nur für unabhängige oder einzelne Verantwortliche relevant ist oder ob es auch in Szenarien einer gemeinsamen Verantwortung angewendet werden könnte. Jedoch hat die Kommission in dieser Hinsicht keine Änderungen vorgenommen. Angesichts der Funktion einer Vereinbarung gemeinsamer Verantwortlichkeit scheint es kein Weg vorbei zu führen.

  • man stelle sich einen Personalvermittler vor, der unter einer Holding Töchter für Werksvertrag, Dienstleistungsvertrag und ANÜ vorhält. Gemeinsam geführte Systeme wie CRM sollten genau hier aber Grenzen zwischen den Töchtern aufzeigen, da sowas wie Vertragsbedingungen eben nicht einfach übertragbar oder einsehbar sein sollten. Wäre das trotzdem unter dem „kleinen Konzernprivileg“ argumentierbar?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.