Logo der activeMind AG

Datenschutzkonformer Einsatz von Callcenter-Systemen

Inhalt

Callcenter bedienen sich bei Support, Kundenservice oder Marketing in der Regel umfassender IT-Systeme, um eine hohe Qualität und Effizienz der telefonischen Dienstleistungen zu gewährleisten. Doch bei Auswahl und Betrieb solcher Callcenter-Systeme müssen die datenschutzrechtlichen Vorgaben des Gesetzgebers zwingend beachtet werden.

Datenschutz-Herausforderungen für Callcenter

Im Callcenter-Betrieb bedeutet Effizienz, dass in kurzer Zeit möglichst viele Gespräche derart bearbeitet werden, dass die Notwendigkeit von Folgegesprächen und unbeantwortete Fragen so weit wie möglich vermieden werden. Um dies zu erreichen, ist es notwendig, dass Servicemitarbeiter auf umfassende gesprächsrelevante Informationen zurückgreifen können.

Bei ausgehenden Telefonaten ist Callcenter-Mitarbeitern der Gesprächsinhalt bereits im Vorhinein klar. Dies ist bei eingehenden Anrufen jedoch nicht immer der Fall, denn der Kunde kann den Anruf zu unterschiedlichen Zwecken – sei es technischer Support, Bestellung eines neuen Produkts oder Fragen zur Rechnung – tätigen. Moderne Gesprächsmanagement-Systeme sind dabei schon lange in der Lage, nicht nur Kunden über deren Telefonnummer zu identifizieren, sondern auch anhand unterschiedlicher Kriterien automatisiert zu erkennen, um welche Gesprächskategorie es sich handelt. Dadurch können relevante Informationen ausgewählt und Callcenter-Mitarbeitern bereitgestellt werden.

In jüngster Zeit greifen auch Callcenter vermehrt auf künstliche Intelligenz (KI) zurück. Diese Tools sollen entweder interne Prozesse im Callcenter vereinfachen und optimieren oder direkt mit dem Kunden kommunizieren, sodass sich ein Gespräch mit einem Callcenter-Mitarbeiter bestenfalls erübrigt.

Zu den KI-gestützten Tools, die vermehrt in Callcentern verwendet werden, gehören insbesondere:

  • Conversional Interactive Voice Response: Dabei handelt sich um eine konversationsgesteuerte Mensch-Maschine-Interaktion, bei der KI die sprachlichen Angaben des Kunden entschlüsselt und die Fragen beantwortet. Das Ziel besteht darin, einfache Kundenanfragen ohne die Einschaltung eines Callcenter-Mitarbeiters zu beantworten. Wird ein Gespräch mit einem Mitarbeiter doch notwendig, kann das Tool den Kunden anhand der gemachten Angaben an einen geeigneten Callcenter-Mitarbeiter weiterleiten.
  • Intelligente Anrufweiterleitung: Mit einer KI-gestützten intelligenten Anrufweiterleitung kann der Kunde mit demjenigen Callcenter-Mitarbeiter verbunden werden, der ihm am besten helfen kann. Dabei greift das Tool auf unterschiedlichste Daten zurück, wie bspw. die Anrufliste (falls der Kunde das Callcenter kürzlich schon kontaktierte, kann ihm derselbe Mitarbeiter am besten helfen), die Bestellhistorie (Weiterleitung an die relevante Abteilung) und den Standort (Weiterleitung an ein Callcenter in der Nähe des Kunden).
  • KI als Hilfsmittel für Callcenter-Mitarbeiter: KI-gestützte Tools können das Gespräch zwischen dem Mitarbeiter und dem Kunden mitverfolgen und dem Mitarbeiter in Echtzeit Empfehlungen an die Hand geben.
  • Analyse von Kundenverhalten und -zufriedenheit sowie Verbesserung der Prozesse.

Die datenschutzrechtliche Herausforderung besteht darin, das System des Callcenters derart zu gestalten, dass die Bereitstellung umfangreicher Kundendaten und geeigneter Tools ein effizientes Arbeiten ermöglicht und zugleich den Anforderungen der DSGVO (Datenschutz-Grundverordnung) genügt.

Rechtsgrundlagen für die Datenverarbeitung im Callcenter

Die Datenschutz-Grundverordnung untersagt grundsätzlich die Verarbeitung personenbezogener Daten, es sei denn, ein Gesetz erlaubt die Verarbeitung ausdrücklich oder schreibt diese sogar vor. Welche Rechtsgrundlage einschlägig ist, hängt maßgeblich davon ab, welche Funktion das Callcenter wahrnimmt (Annahme von Bestellungen, technischer Kundenservice etc.).

So ist vor allem bei der telefonischen Kundenansprache zu Werbezwecken im B2C-Bereich eine ausdrückliche Einwilligung des Betroffenen erforderlich. Zwar erlaubt Art. 6 Abs. 1 lit. f) DSGVO eine Datenverarbeitung zur Wahrung der Interessen des Verantwortlichen (also des Callcenter-Betreibers) oder eines Dritten, allerdings nur unter der Voraussetzung, dass die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Diese Abwägung dürfte – auch in Anbetracht der Wertung des Gesetzgebers im Wettbewerbsrecht, in dem in solchen Fällen eine Einwilligung vorgeschrieben ist (§ 7 Abs. 2 Nr. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG)) –zugunsten des Betroffenen ausfallen, so dass auf eine Einwilligung zurückzugreifen ist.

Abweichend davon ist bei sonstigen Marktteilnehmern – d.h. solchen, die keine Verbraucher sind – gemäß § 7 Abs. 2 Nr. 1 UWG eine mutmaßliche Einwilligung ausreichend. In solchen Fällen lässt sich ein Werbeanruf datenschutzrechtlich in aller Regel auf Art. 6 Abs. 1 lit. f) DSGVO stützen, wobei hier stets eine Einzelfallbetrachtung notwendig ist.

Bei eingehenden Anrufen, die zum Zwecke der Produktbestellung getätigt werden, kann sich der Callcenter-Betreiber auf Art. 6 Abs. 1 lit. b) DSGVO stützen (Anbahnung eines Geschäftsverhältnisses).

Falls Systeme genutzt werden, die das Kundenverhalten analysieren – etwa Analyse der Kundenzufriedenheit anhand der Reaktionen oder der Stimme des Kunden – ist für diese Verarbeitung in aller Regel eine Einwilligung einzuholen. Dasselbe gilt auch immer dann, wenn der Anruf aufgenommen werden soll. Die Einwilligung muss freiwillig abgegeben werden; d.h. dem Kunden darf die Unterstützung nicht verwehrt werden, sollte er keine Einwilligung erteilen.

Wichtig zu beachten ist, dass für sämtliche Datenverarbeitungen, die im Rahmen des Gesprächsmanagements anfallen, eine Rechtsgrundlage vorliegen muss. Darüber hinaus ist eine Verarbeitung personenbezogener Daten unzulässig. Die Verarbeitung personenbezogener Daten ist streng zweckgebunden. Daten, die zu einem spezifischen Zweck erhoben wurden, dürfen nicht ohne Weiteres zu einem weiteren Zweck verarbeitet werden. Dies ist lediglich im Rahmen einer Zweckänderung möglich.

Beispielsweise dürfen Abrechnungsdaten, die aufgrund der gesetzlichen Aufbewahrungsfristen gespeichert werden, nicht mit anderen Daten, etwa Marketingdaten, vermischt und verarbeitet werden. Die Marketingabteilung darf also Abrechnungsdaten ohne eine gesonderte Rechtsgrundlage nicht einsehen.

Dasselbe gilt für die Zusammenführung von Daten, die zu unterschiedlichen Zwecken erhoben wurden. Ein Kunde mag keine Bedenken haben, dass wenige Daten wie beispielsweise Anrede, Nachname und E-Mail-Adresse für den Versand eines von ihm gewünschten Newsletters verwendet werden. An anderer Stelle mag er demselben Unternehmen etwa im Rahmen eines Gewinnspiels andere Informationen wie Telefonnummer und Angaben zu seinen privaten Interessen zur Verfügung gestellt haben. Dies bedeutet jedoch nicht, dass der Kunde keine Einwände hat, wenn diese Informationen – beispielsweise mit anderen personenbezogenen Daten wie Surfverhalten oder Kaufhistorie – zu einem detaillierten Profil verbunden werden.

Eine Besonderheit liegt zudem vor, wenn Callcenter automatisierte Mechanismen zur Aufbereitung von Daten einsetzen. Nach Art. 22 Abs. 1 DSGVO werden Unternehmen, welche automatisierte Entscheidungsfindung und / oder Profiling einsetzen wollen, enge Grenzen gesetzt. Soweit anhand vorliegender Daten Entscheidungen automatisiert werden, die rechtliche Wirkung gegenüber Betroffenen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen können, ist dies nur unter engen Voraussetzungen möglich.

Erfüllung von Informationspflichten

Nach Art. 13 DSGVO müssen Verantwortliche vor oder gleichzeitig mit der Erhebung personenbezogener Daten Betroffene über die Datenverarbeitung informieren. Dies stellt Callcenter-Betreiber vor besondere Herausforderungen. Gemäß den Leitlinien der Artikel 29-Datenschutzgruppe ist in einem solchen Fall ein sog. Mehrebenen-Ansatz zulässig. Demnach kann der Verantwortliche vor Beginn des Gesprächs lediglich die wichtigsten Informationen zur Verfügung stellen, wohingegen die restlichen nach Art.13 DSGVO erforderlichen Informationen auf eine andere Art und Weise zur Verfügung gestellt werden. Dies kann etwa durch einen Verweis auf ein anderes Medium, wie bspw. die Unternehmenswebsite, oder durch die Zusendung des Informationsschreibens per E-Mail oder per Post erfolgen.

Datenschutz-Folgenabschätzung

Vor dem Einsatz eines automatisierten Verfahrens zur Auswertung personenbezogener Daten schreibt Art. 35 DSGVO vor, dass in Fällen, in denen die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Diese ist im Hinblick auf Callcenter insbesondere bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen erforderlich. Die Durchführung einer DSFA ist zudem gemäß der Blacklist der deutschen Aufsichtsbehörden immer dann vorgeschrieben, wenn das Callcenter KI zur Steuerung der Interaktion mit Betroffenen einsetzen will. Zur Durchführung einer DSFA sollte der Datenschutzbeauftragte herangezogen werden.

Auslagerung der Callcenter-Tätigkeit

Immer öfter werden Callcenter-Tätigkeiten an spezialisierte Unternehmen ausgelagert, bspw. um eine bessere Erreichbarkeit zu gewährleisten. In einem solchen Fall ist in aller Regel der Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO notwendig.

Gewährleistung der Informationssicherheit

Bei telefonischer Kontaktaufnahme ist insbesondere eine ausreichende Authentifizierung der Kunden von großer Bedeutung. Damit soll verhindert werden, dass personenbezogene Daten an Unberechtigte preisgegeben oder durch diese unberechtigt verändert werden. Hierbei besteht die Herausforderung, dass sich die Identität des Kunden nur unter erheblichem Aufwand verifizieren lässt.

Insbesondere dann, wenn nur der Name in Verbindung mit einem anderen Element wie dem Geburtsdatum oder der Anschrift verwendet werden, um den Kunden zu identifizieren, kann leicht zu Missbräuchen kommen, denn diese Informationen sind nicht nur dem Kunden, sondern in der Regel auch einer Vielzahl weiterer Personen aus dem Umfeld des Kunden bekannt. Daher reicht eine Abfrage vorgenannter Daten nicht aus, um den Anrufer eindeutig zu identifizieren.

In einem solchen Fall ist gegen einen deutschen Telekommunikationsanbieter ein erhebliches Bußgeld verhängt und gerichtlich bestätigt worden. Nach einer darauffolgenden Beratung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ändern nun viele Callcenter ihre Authentifizierungsmechanismen bei der telefonischen Kundenbetreuung. Durch die Abfrage einer persönlichen Kundenkennzahl oder einer PUK soll die Sicherheit der Daten erheblich erhöht werden.

Fazit: Überprüfung der Verarbeitungen ist dringend geraten

Callcenter-Betreiber sind gut beraten, die Prozesse im Callcenter regelmäßig auf DSGVO-Konformität zu überprüfen und bei Bedarf anzupassen. Wie die jüngsten Entscheidungen der Aufsichtsbehörden und Gerichte zeigen, ist dabei auch darauf zu achten, dass die Daten durch ausrechende technische und organisatorische Maßnahmen geschützt werden.

Des Weiteren ist immer dann besondere Vorsicht geboten, wenn Callcenter innovative, KI-gestützte Lösungen einsetzen wollen. Unsere Experten helfen Ihnen gerne dabei, die damit verbundenen Verarbeitungen DSGVO-konform zu gestalten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.