Datenschutz im Kundenservcie

Datenschutz von Kundendaten: Das müssen Sie im Service wissen

Durch die EU Datenschutz Grundverordnung, die am 25. Mai 2018 in Kraft tritt, kommt auf den Kundenservice Arbeit zu. Während sich der Datenschutz für Kundendaten nicht ändert, müssen Sie in Zukunft mehr dokumentieren und sind den Kunden Rechenschaft schuldig. Bereiten Sie sich jetzt darauf vor!

„Viele Leute sagen, Daten sind das ‘Neue Öl’, das Öl des 21. Jahrhunderts. Öl hat unser Leben verändert. Und Daten werden dasselbe tun.“
John Boswell, SAS Institute

TL;DR

Mit der neuen EU Datenschutz Grundverordnung ändert sich manches im Kundenservice. Diese Themen betreffen Sie (mit einem Klick auf den Link springen Sie direkt zum entsprechenden Abschnitt)

  1. Rechtmäßigkeit der Datensammlung: Im Kundenservice dürfen Sie die personenbezogenen Daten zu den Kunden erfassen, die Sie zur Angebotserstellung, Lieferung und Rechnungsstellung brauchen. Auch Daten, die Sie zur Beantwortung von Suppport-Anfragen und Reklamationen dürfen Sie sammeln und speichern.
  2. Richtigkeit der gesammelten Daten: Firmen müssen sicherstellen, dass die vorhandenen Datensätze aktuell und korrekt sind. Das ist eine Herausforderung, denn in ERP- und CRM-Systemen sammeln sich über die Zeit Fehler an.
  3. Integrität und Vertraulichkeit im Umgang mit den Daten: Falls Sie eine Software in der Wolke nutzen (z.B. Salesforce), müssen Sie sicherstellen, dass das Unternehmen mit Ihren Kundendaten sorgsam umgeht.
  4. Rechenschaftspflicht über die vorliegenden Daten: Wenn ein Kunde wissen will, was Sie über ihn gespeichert haben, müssen Sie innerhalb von 4 Wochen Auskunft geben. Das wird vor allem bei den Firmen eine Herausforderung, die mit mehreren nicht verknüpften Systemen arbeiten. Und bei denen verschiedene Standorte dieselben Kunden betreuen.
  5. Recht auf Vergessen: Ihre Kunden und Interessenten dürfen von Ihnen verlangen, dass Sie ihre Daten löschen, soweit Sie nicht durch Gesetze daran gehindert werden. Zur Löschung und Bestätigung an den Kunden haben Sie maximal 4 Wochen Zeit.
  6. Jedes Unternehmen muss ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Bei besonders riskanten Daten (z.B. Gesundheitsdaten) müssen Sie außerdem eine Datenschutz-Folgeabschätzung anfertigen.

Die Datenschutz Grundverordnung tritt am 25. Mai 2018 in Kraft. Bis dahin gibt es im Kundenservice Einiges zu tun. Am Ende jedes Abschnittes finden Sie daher eine To Do Liste (laden Sie den Artikel mit den Checklisten hier runter). Einen Überblick gibt Ihnen diese Infografik.

Ich gebe hier keinen vollständigen Überblick über die Datenschutz-Grundverordnung, sondern beschränke mich auf die Aspekte, die für den Kundenservice wichtig sind. Dieser Artikel ersetzt keine Rechtsberatung. Ich übernehme keine Haftung für die Korrektheit.

Eine Hand voll Politiker wollen verhindern, dass Daten wichtiger werden als Menschen. Dass kein Goldrausch entsteht, in dem Wenige reich werden und Andere ihr letztes Hemd verlieren. In dem wir nackt vor denen stehen, die unsere Daten sammeln, um mit ihnen Geld zu verdienen. Das ist die Geschichte hinter der neuen Datenschutz-Grundverordnung der EU. Fesselnd dokumentiert in dem Film „Democracy – im Rausch der Daten“. Ein großartiger Film, in dem ich viel über Datenschutz und über die EU gelernt habe. Als das Gesetz im Europäischen Parlament verabschiedet wurde, habe ich gejubelt, denn das Recht auf Privatsphäre ist für mich ein wichtiges Grundrecht jedes Menschen.

„Das Recht auf Privatsphäre ist das Recht, nicht perfekt zu sein.“ (Privacy is the right to be imperfect.) Socialcooling.com

Was hat das mit Kundenservice zu tun? Viel, denn die neue Datenschutz Grundverordnung betrifft jede Firma, die mindestens einen Kunden hat. Nicht nur die Unternehmen der digitalen Wirtschaft.

Spätestens jetzt ist der Schutz von Kundendaten kein Thema mehr, dass Sie an die IT und die Datenschutz-Beauftragten abgeben können. Er ist die Aufgabe der Geschäftsführung und des Managements. Die Strafen für Verstöße werden drastisch. Bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes sind bei schwer wiegenden Delikten möglich. Sorgen Sie jetzt dafür, dass Ihr Kundenservice auf die neuen Regeln vorbereitet ist!

Rechtmäßigkeit der Datenverarbeitung im Kundenservice und Datensparsamkeit

Grundsätzlich gilt: Die Verarbeitung von personenbezogenen Daten ist generell verboten, solange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene sein Einverständnis gegeben hat. Allerdings enthält die neue Datenschutz-Grundverordnung eine Hintertür. Unternehmen dürfen Daten sammeln, wenn Sie ein berechtigtes Interesse daran haben und es gegen die Interessen der Betroffenen abgewogen haben. Dieser weitgefasste Passus wird vermutlich für viele Gerichtsverfahren sorgen.

Im Kundenservice dürfen Sie die Daten zu den Kunden erfassen, die Sie zur Angebotserstellung, Lieferung und Rechnungsstellung brauchen. Auch Angaben, die Sie zur Beantwortung von Suppport-Anfragen und Reklamationen benötigen, dürfen Sie sammeln und speichern.

Zu den personenbezogenen Daten gehört auch die IP-Adresse des Computers. Hier wird es interessant: Denn manche Live-Chat-Software oder Plattform für die sozialen Medien speichert sie, ebenso wie die Browser-Version und die Betriebssystem-Version. Das sind Informationen, die Sie im Kundenservice nahezu nie benötigen werden. Nach dem Grundsatz der Datensparsamkeit dürften Sie sie nicht sammeln.

Ihre To Do Liste bis zum 25. Mai:

  • Verschaffen Sie sich einen Überblick: Welche personenbezogenen Informationen sind in welchen Datenbanken und Excel-Tabellen vorhanden und woher stammen sie? Achten Sie besonders auf solche Daten, die eine Software im Hintergrund erhebt, ohne dass Sie sie nutzen. Übrigens betrifft die neue Verordnung auch Angaben, die auf Papier vorliegen. Also auch Gesprächsnotizen der Beschäftigten und ausgedruckte Bestellungen.
  • Welche Informationen benötigen Sie tatsächlich? Wie können Sie das Sammeln der nicht benötigten Daten verhindern?
  • Achten Sie bei der Einführung neuer Software darauf, dass sie eine Datenschutz-freundliche Grundeinstellung hat und beziehen Sie den Datenschutz-Beauftragten ein (wenn Ihr Unternehmen einen hat).
  • Mehr zur Rechtmäßigkeit der Datenverarbeitung finden Sie hier.

Richtigkeit der Datenverarbeitung

Unternehmen müssen sicherstellen, dass die vorhandenen Daten aktuell und korrekt sind. Fehlerhafte Angaben sollten berichtigt oder gelöscht werden.

Das ist im Kundenservice eine Herausforderung, den in ERP- und CRM-Systemen sammeln sich über die Zeit falsche Daten an: Tippfehler in den Anschriften, veraltete Telefonnummern, ungültige E-Mail Adressen. Auch doppelte und dreifache Datensätze sind häufig. Es ist eine Herkulesaufgabe, nachlässig gepflegte Datenbanken mit tausenden von Einträgen zu berichtigen. Ich hatte bereits zweimal das zweifelhafte Vergnügen, ein solches Projekt zu leiten. Ein besonderer Alptraum sind dabei Freitext-Notizen in den Kundenstammdaten. Sie lassen sich nur manuell sichten und überarbeiten.

Ein weiteres Problem sind nicht verknüpfte Systeme, in denen die gleichen Kunden erfasst sind. Solche Datensätze bewegen sich zwangsläufig auseinander. In beiden Datenbanken häufen sich unterschiedliche Fehler an.

Ihre To Do Liste bis zum 25. Mai:

  • Schaffen Sie bei den Mitarbeitern das Bewusstsein, dass fehlerhafte Daten problematisch sind. Selbst wenn Lieferungen und Rechnungen den Empfänger erreichen, kann die Qualität der erfassten Kundendaten zu schlecht sein, um dem Gesetz zu genügen.
  • Gewinnen Sie einen Eindruck, wie gut Ihre Kundendaten gepflegt sind. Wie weit stimmen die Datensätze in verschiedenen Systemen überein?
  • Suchen Sie nach einem Weg, wie Sie Fehler vermeiden können. Ein Appell an die Beschäftigten, sich besser zu konzentrieren, ist keine Lösung. Sie machen die Fehler nicht absichtlich. Technische Hilfen sind erfolgreicher: Zum Beispiel, wenn nach Eingabe der Postleitzahl die Stadt automatisch eingetragen wird.
  • Entwickeln Sie einen Plan, wie Sie die vorhandenen Fehler bereinigen können und beginnen Sie mit der Umsetzung.

Vertraulichkeit der Daten

Dies ist im Wesentlichen ein IT-Thema: Sie muss mit geeigneten Passwörtern, Firewalls und Virenschutz sicherstellen, dass die Datenbanken nicht von Unbefugten geöffnet werden können.
Doch auch die Kundenservice-Manager sind gefragt. Denn dort werden zunehmend Software as a Service-Lösungen genutzt. Oft lagert man CRM-Daten aus, aber sogar ERP-Systeme wandern zunehmend in die Wolke. Das heißt, Sie geben Ihre Kundendaten an ein anderes Unternehmen weiter. Server solcher Dienste stehen oft in den USA, wo Datenschutz geringer geachtet wird, als in Europa. Bei der Auswahl der Software sollten Sie in Zukunft darauf achten, dass die Anbieter das europäische Datenschutz-Niveau beachten und einhalten.

Die Weitergabe von Daten innerhalb eines Konzerns, wenn zum Beispiel Standorte in verschiedenen Ländern mit der gleichen Datenbank arbeiten, sind einfacher. Wichtig ist hier, dass im Konzern durch einen Code of Conduct oder durch Verträge geregelt wird, wie die Daten geschützt sind.

Ihre To Do Liste bis zum 25. Mai:

  • Informieren Sie die Datenschutz-Beauftragten in Ihrer Firma, ob Ihr Bereich personenbezogene Daten bei Drittanbietern verarbeitet.
  • Geben Sie ihm oder ihr Einblick in alle Datenbanken mit personenbezogenen Daten, die Sie gemeinsam mit anderen Standorten und Bereichen im Konzern nutzen.
  • Überprüfen Sie die Datenschutz-Richtlinien von Drittanbietern

Informationspflicht

Jeder Mensch darf in Zukunft Auskunft verlangen, welche Informationen Ihre Firma über ihn gesammelt hat. Solche Anfragen müssen Sie innerhalb von 4 Wochen beantworten. Bei einem Unternehmen mit vielen Niederlassungen und dem einen oder anderen Shared Services Center ist diese Zeit knapp. Eine fehlende Auskunft kann teuer werden!

Ihre To Do Liste bis zum 25. Mai

  • Stellen Sie sicher, dass Sie alle Verzeichnisse kennen, in denen personenbezogene Daten gespeichert sind. Üblicherweise gibt es solche Datenbanken und Excel-Tabellen im Vertrieb, im Kundenservice, in der Buchhaltung und im Marketing.
  • Erstellen Sie zusammen mit den anderen Bereichen eine Vorlage für die Auskunft an die Fragesteller. Sie muss präzise, transparent, leicht verständlich und einfach zugänglich sein.
  • Bei Konzernen beziehen Sie die Datenschutz-Beauftragten der verschiedenen Bereiche oder Standorte ein.
  • Stellen Sie sicher, dass die Beschäftigten im Kundenservice wissen, wie sie solche Anfragen beantworten.

Recht auf Vergessen

Jeder Mensch hat in Zukunft das Recht auf einen unbelasteten Neubeginn. Ihre Kunden und Interessenten dürfen also von Ihnen verlangen, dass Sie ihre Daten löschen, soweit Sie nicht durch Gesetze daran gehindert werden. Sie müssen also weiterhin alle Angaben, die für die erstellten Rechnungen relevant sind, für 10 Jahre aufbewahren. Andere Informationen, wie die Themen, für die sich ein Kunde interessiert, oder die IP-Adresse seines Rechners, müssten Sie bei einer entsprechenden Anfrage löschen. Zur Löschung und Bestätigung an den Kunden haben Sie maximal 4 Wochen Zeit.

Vorsicht Falle! In manchen Datenbanken werden die Datenerfassung und Löschvorgänge protokolliert. Möglicherweise lassen sich aus dem Protokoll die Datensätze rekonstruieren. Das darf nicht sein.

Ihre To Do Liste bis zum 25. Mai

  • Besprechen Sie mit der IT und den Datenschutz-Beauftragte, wie sich das Löschen umsetzen lässt. Legen Sie fest, welche Angaben nicht gelöscht werden dürfen.
  • Stellen Sie sicher, dass auch Daten, die an Dritte weitergegeben wurden, dort entfernt werden. Das betrifft Datenbanken in der Wolke, aber auch Adressen, die Sie an einen Etikettierservice für Postwurfsendungen geschickt haben.
  • Bereiten Sie ein Antwortschreiben oder E-Mail vor, mit dem die Kunden über die Löschung informiert werden.
  • Stellen Sie sicher, dass die Beschäftigten im Kundenservice wissen, wie sie solche Anfragen beantworten.

Datenschutz von Kundendaten: Dokumentation

Die Datenschutz-Beauftragten der Unternehmen müssen ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Dafür brauchen sie Ihre Zuarbeit.

Könnten die gesammelten Informationen missbraucht werden, wenn sie den Falschen in die Hände geraten, so muß Ihr Unternehmen außerdem eine Datenschutz-Folgenabschätzung erstellen. Das betrifft zum Beispiel Gesundheitsdaten oder biometrische Daten.

Ihre To Do Liste bis zum 25. Mai

  • Schreiben Sie ein Verzeichnis der Verarbeitungstätigkeiten
  • Falls Sie mit riskanten Daten arbeiten, fertigen Sie eine Datenschutz-Folgeabschätzung an.

Mein Service für Sie: dieser Artikel mit Checkliste zum Download als PDF und eine zusammenfassende Infografik

Datenschutz von Kundendaten Infografik
Infografik: Datenschutz von Kundendaten im Service. Das kommt auf Sie zu. (PDF, 149 kb)

Datenschutz im Kundenservice
Der Artikel mit der Checkliste zum Download und Ausdrucken (PDF, 80 kb)

Titelbild von Nathaniel Dahan auf Unsplash, zur freien kommerziellen Nutzung


Hat Ihnen dieser Artikel gefallen? Dann empfehlen Sie mich gerne weiter, damit auch andere davon profitieren können.

Ich wünsche Ihnen eine erfolgreiche Woche,

Ihre Wiebke Wetzel • Kundenzauberin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.