Datenschutzkonformer Einsatz von Callcenter-Systemen unter der DSGVO

Wie passen der Datenschutz und die Analyse von Kundendaten im Callcenter zusammen?

Callcenter bedienen sich bei Support, Kundenservice oder Marketing in der Regel umfassender IT-Systeme, um hohe Qualität und Effizienz der telefonischen Dienstleistungen zu gewährleisten. Doch bei Auswahl und Betrieb solcher Callcenter-Systeme sollten die datenschutzrechtlichen Vorgaben des Gesetzgebers dringend beachtet werden. Die EU-Datenschutz-Grundverordnung (DSGVO) schränkt insbesondere die sogenannte Datenanreicherung und darauf basierende automatisierte Entscheidungen ein.

Datenschutz-Herausforderungen für Callcenter

Im Callcenter-Betrieb bedeutet Effizienz, dass in kurzer Zeit möglichst viele Gespräche derart bearbeitet werden, dass die Notwendigkeit von Folgegesprächen und offen gebliebene Fragen so weit wie möglich vermieden werden. Um dies zu erreichen, ist es notwendig, dass Servicemitarbeiter auf umfassende gesprächsrelevante Informationen zurückgreifen können.

Bei ausgehenden Telefonaten ist dem Callcenter-Mitarbeiter der Gesprächsinhalt von Vornherein klar. Moderne Gesprächsmanagement-Systeme sind aber auch in der Lage, bei eingehenden Anrufen anhand unterschiedlicher Kriterien automatisiert zu erkennen, um welche Gesprächskategorie es sich handelt, um dadurch relevante Informationen auswählen und bereitstellen zu können. Neben der Identifikation des Kunden über dessen Telefonnummer, werden auch Kundenverhalten und Gesprächsgegenstand analysiert. Mit dem sogenannten Text-Mining-Verfahren untersucht das Gesprächsmanagement-System automatisch die vorliegenden Daten und identifiziert Bedeutungsstrukturen. Somit kann es dem Callcenter-Mitarbeiter während des Gesprächsverlaufs die relevanten Informationen bereitstellen.

Die datenschutzrechtliche Herausforderung besteht darin, das System des Callcenters derart zu gestalten, dass die Bereitstellung umfangreicher Kundendaten ein effizientes Arbeiten ermöglicht und zugleich den Anforderungen der DSGVO genügt.

Rechtsgrundlagen für die Datenverarbeitung im Callcenter

Die Datenschutz-Grundverordnung untersagt die Verarbeitung personenbezogener Daten, es sei denn, ein Gesetz erlaubt die Verarbeitung ausdrücklich oder schreibt diese sogar vor. Die einzige andere mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist, dass der Betroffene ausdrücklich der Verarbeitung zugestimmt hat.

Für den Callcenter-Betrieb bedeutet dies, dass die Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, dass ausnahmsweise eine Rechtsgrundlage vorliegt. Welche Rechtsgrundlage einschlägig ist, hängt erst einmal davon ab, welche Funktion das Callcenter wahrnimmt (Annahme von Bestellungen, technischer Kundenservice, etc.).

So ist vor allem bei der telefonischen Kundenansprache zu Werbezwecken vorrangig davon auszugehen, dass eine ausdrückliche Einwilligung des Betroffenen erforderlich ist. Zwar erlaubt Art. 6 Abs. 1 f) DSGVO eine Datenverarbeitung zur Wahrung der Interessen des Verantwortlichen (also des Callcenter-Betreibers) oder eines Dritten, allerdings nur unter der Voraussetzung, dass die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Diese Abwägung dürfte in den meisten Fällen zugunsten des Betroffenen ausfallen, so dass in der Regel auf die Einwilligung zurückzugreifen ist.

Wichtig zu beachten ist, dass sich die Rechtsgrundlage, auf die sich die Nutzung der personenbezogenen Daten stützt, für sämtliche Daten gelten muss, die im Rahmen des Gesprächsmanagements verarbeitet werden. Darüber hinaus ist eine Datenverarbeitung unzulässig.

Die Nutzung von personenbezogenen Daten ist auch nur streng zweckgebunden möglich. Daten, die zu einem Zweck erhoben werden, dürfen nicht automatisch zu einem weiteren Zweck verarbeitet werden. Hierfür muss ein weiterer gesonderter Rechtfertigungsgrund vorliegen.

Beispielsweise dürfen Abrechnungsdaten, die aufgrund der gesetzlichen Aufbewahrungsfristen für die Finanzbehörden gespeichert werden, nicht mit anderen Daten vermischt werden, die etwa für Marketingzwecke erhoben wurden. Die Marketingabteilung darf also Abrechnungsdaten ohne gesonderte Rechtfertigungsgrundlage nicht einsehen. Es ist auch nicht ohne weiteres zulässig, einen Kundendatensatz mit beliebigen Informationen, die der Kunde beispielsweise im Verlauf eines Gesprächs äußert, anzureichern.

Das Datenschutzrecht geht sogar so weit, dass für die Nutzung einer Kombination aus mehreren Informationselementen, für die jeweils einzeln eine Rechtsgrundlage vorliegt, eine eigene Berechtigung, meist in Gestalt einer Einwilligung, erforderlich ist.

Ein Kunde mag keine Bedenken haben, dass wenige Daten wie beispielsweise Anrede, Nachname und E-Mail-Adresse für den Versand eines von ihm gewünschten Newsletters verwendet werden. An anderer Stelle mag er demselben Unternehmen etwa im Rahmen eines Gewinnspiels andere Informationen wie Telefonnummer und Angaben zu seinen privaten Interessen zur Verfügung gestellt haben. Das bedeutet jedoch nicht, dass der Kunde nichts dagegen hat, wenn diese Informationen – vielleicht sogar mit anderen angereicherten Daten wie Surfverhalten oder Kaufhistorie – zu einem detaillierten Profil verbunden werden.

Eine Besonderheit liegt zudem vor, wenn Callcenter automatisierte Mechanismen zur Aufbereitung von Daten wie Text-Mining einsetzen. Art. 22 Abs. 1 DSGVO verbietet es, den Betroffenen einer Situation auszusetzen, in der anhand seiner Daten ausschließlich automatisierte Entscheidungen getroffen werden, die für ihn nachteilig sind oder sein könnten.

Drei Ausnahmen bestehen jedoch, wenn die automatisierte Entscheidungsfindung

  1. für den Abschluss oder die Vertragserfüllung erforderlich ist,
  2. durch Unionsrecht oder Recht eines Mitgliedstaates zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten der Betroffenen enthalten,
  3. durch Einwilligung des Betroffenen erfolgt.

Fazit: Überprüfung der Verarbeitungen ist dringend geraten

Datenschutzrechtlich gilt es im Callcenter-Betrieb also zu bedenken, dass der Informationswert eines Datensatzes sich erheblich durch Veränderungen wie Hinzufügungen, Kombination verschiedener Elemente oder Löschung mancher Informationen ändert. Wenn dann auch noch automatisierte Entscheidungsfindungs-Verfahren in Gesprächsmanagement-Systemen eingesetzt werden, ist eine ausführliche datenschutzrechtliche Überprüfung der Prozesse dringend angezeigt. Hierfür bieten sich insbesondere zwei Methoden an:

Vor Einsatz eines automatisierten Verfahrens zur Auswertung personenbezogener Daten schreibt Art. 35 DSGVO vor, dass in Fällen, in denen die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese ist im Hinblick auf Callcenter insbesondere bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen erforderlich (Art. 35 Abs. 3 a) DSGVO). Zur Durchführung einer Datenschutz-Folgenabschätzung sollte der Datenschutzbeauftragte herangezogen werden.

Im Hinblick auf die erforderliche Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO können Professionelle Datenschutzaudits zum Nachweis der Einhaltung datenschutzrechtlicher Anforderungen in allen Unternehmensbereichen gegenüber Dritten dienen. Darauf aufbauend ist ebenfalls eine Zertifizierung der eingesetzten Verfahren möglich.

Bitte bewerten Sie diese Inhalte!
[7 Bewertung(en)/ratings]

Dieser in Bezug auf die DSGVO aktualisierte Artikel erschien zuerst am 4. April 2013.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.