Ende der Übergangsfrist zum Kundendatenschutz im CRM-Bereich zum 31. August 2012

Am 31. August 2012 endet die dreijährige Übergangsfrist für die Einrichtung von Kundendatenbanken nach den Vorgaben der novellierten Fassung des BDSG aus dem Jahre 2009. Ab dem 1. September 2012 gelten dann die Vorschriften des BDSG uneingeschränkt. Hierdurch ergeben sich für Unternehmen, die personenbezogene Daten erheben, speichern und verwenden wollen umfassende Vorgaben im Umgang mit den Daten.

Von besonderer Relevanz für Unternehmen jeder Größenordnung sind insoweit vor allem zwei Aspekte:

• Zunächst betrifft die Gesetzesreform bereits die grundsätzliche Berechtigung zur Speicherung von Kundendaten: So müssen Unternehmen ab dem 1. September 2012 für alle Kundendatensätze, also auch für die vor dem 1. September 2009 erhobenen Daten, nachweisen können, woher die Daten stammen und im Falle einer behördlichen oder gerichtlichen Überprüfung jeweils eine Dokumentation der insoweit relevanten Geschäftsvorgänge oder entsprechende Einverständniserklärungen zur Speicherung vorlegen.
• Des Weiteren betrifft die Novelle des BDSG auch den Umgang mit den Daten und insbesondere die Frage, auf welchem Wege es möglich ist, Werbung an Kunden zu übermitteln – ob per Post, E-Mail, Fax oder Telefon. Für alle Werbemaßnahmen werden künftig gesonderte ausdrückliche und gegebenenfalls differenzierte Einwilligungen des Kunden notwendig, je nachdem auf welchem Wege dieser angesprochen werden soll. Hieraus wird deutlich, dass das Gesetz auch an die technische Ausgestaltung von CRM-Systemen künftig höhere Anforderungen stellt, da diese die Einwilligungserklärungen mitumfassen müssen.

Nach Ablauf der Übergangsfrist am 31. August 2012 können entsprechende Verstöße gegen die gesetzlichen Vorgaben nicht nur die Auflage, die entsprechenden Datensätze zu löschen, sondern weiterhin die Verhängung von Bußgeldern sowie theoretisch – im Falle von besonders schwerwiegenden Verstößen gewerblichen Ausmaßes – sogar die Betriebsstillegung durch die Aufsichtsbehörde nach sich ziehen.

Das Risiko einer Überprüfung durch die Aufsichtsbehörde sollte daher nicht unterschätzt werden. Dieses steigt in Relation zur Größe des Unternehmens. Vor allem besteht jedoch die Gefahr, dass Kunden deren Daten unrechtmäßig gespeichert worden sind bzw. die keine Einwilligung erteilt haben, sich bei der Aufsichtsbehörde beschweren, die dann verpflichtet ist dieser Eingabe nachzugehen.