CR-online.de Blog

Hotels und Car Sharing – Zwei Beispiele für Profiling, Datenschutz, CRM

avatar  Niko Härting

24.3.2015 – 10:00

Servicewüste Deutschland – diese Zeiten sind lange vorbei. Händler und Dienstleister pflegen den Kundenkontakt. Je besser man den Kunden kennt, desto besser das Serviceangebot. Wenn bloß das Datenschutzrecht nicht wäre, das die Kontaktpflege oft über Gebühr kompliziert.

Customer-Relationship-Management (CRM) ist in vielen Branchen verbreitet. Händler und Dienstleister sammeln Informationen über den Kunden und die Kundenbeziehung mit dem Ziel eines intensiven Beziehungsmanagements. Je mehr Informationen über den Kunden und die Kundenhistorie verfügbar sind, desto größer die Möglichkeiten der Kundepflege und der Ausrichtung des Serviceangebots auf die Bedürfnisse des einzelnen Kunden.

Beispiel 1: Hotels

Hotels unterhalten Datenbanken mit Informationen über vergangene Aufenthalte der Gäste, über die Art der gebuchten Zimmer und der in Anspruch genommenen Dienstleistungen. Dies ermöglicht es dem Hotelbetreiber, „VIP-Kunden“ zu identifizieren und diesen Kunden beim nächsten Aufenthalt einen gehobenen Service zu bieten, sei es durch ein Zimmer-Upgrade, sei es durch kleine Aufmerksamkeiten (Willkommensgeschenke), sei es durch die Bereithaltung der Lieblingszeitung am Morgen. Stammkunden, die eine Weile nicht mehr zu Gast waren, können in Werbeaktionen gezielt zu einem neuen Besuch animiert werden. Zudem können Kundenbefragungen durchgeführt werden, um Erkenntnisse über die Kundenzufriedenheit zu gewinnen. Mit intelligenter Software können die Datenbestände schließlich analysiert werden, um bei den Kunden Muster ausfindig zu machen, die Erkenntnisse für die Ausgestaltung der Räume und für die angebotenen Serviceleistungen liefern.

Beispiel 2: Mobilitäts-Apps

Ob Car Sharing oder Taxi: Die Betreiber von Mobilitäts-Apps bewerten ihre Kunden.

  • Bei den Taxi-Apps haben nicht nur die Fahrgäste die Möglichkeit, Taxifahrer und deren Fahrzeuge zu bewerten. Umgekehrt bewerten auch die Fahrer ihre Fahrgäste. Auf diese Weise werden „VIP-Kunden“ und „Problemkunden“ identifiziert. Bestellt ein „VIP-Kunde“ ein Taxi, wird er bei den angesprochenen Taxifahrern als „VIP-Kunde“ angezeigt und im Zweifel schneller bedient, als dies bei einem Durchschnittskunden der Fall ist.
  • Bei den Car Sharing-Apps wird dagegen erfasst, ob Fahrzeuge nach dem Gebrauch als verschmutzt oder beschädigt gemeldet werden. Häufen sich derartige Negativbewertungen, wird der Anbieter entscheiden, ob die Kundenbeziehung fortgesetzt wird. Auch die Kundenbewertungen, die bei den Mobilitäts-Apps vorgenommen werden, lassen sich durch intelligente Software analysieren, um Muster ausfindig zu machen. Häufen sich in bestimmten Regionen beispielsweise Negativbewertungen bei den genutzten Fahrzeugen, wird der Car Sharing-Anbieter erwägen, ob er in diesen Regionen seinen Dienst einstellt.

 

Einwilligungserfordernis nach den EU-DS-GVO-Entwürfen

Nach der geplanten europäischen Datenschutz-Grundverordnung (EU-DS-GVO) unterfällt das CRM in beiden Beispielen umfassend und ausnahmslos dem Erfordernis der Einwilligung des jeweiligen Kunden. Denn es wird sich nicht sagen lassen, dass die Kundenhistorie und die Kundenbewertungen für die Durchführung der jeweiligen Verträge erforderlich sind (Art. 6 Nr. 1 lit. b DS-GVO-E). Eine Legitimation durch Art. 6 Nr. 1 lit. f DS-GVO-E („berechtigte Interessen“) scheidet aus, da Art. 6 Nr. 1 lit. b DS-GVO-E eine Spezialregelung für die Vertragserfüllung ist, die Vorrang gegenüber dem Auffangtatbestand der „berechtigten Interessen“ hat.

Die Einwilligung wird nach Art. 7 Nr. 1 DS-GVO-E-Kom nur wirksam, wenn die Zwecke „eindeutig festgelegt“ sind, für die die Einwilligung gilt. Der Hotelbetreiber und der Anbieter einer Taxi-App müssen sich somit vorab festlegen, auf welche Nutzungen sich die Verarbeitung der Daten beziehen soll. Möchte sich somit beispielsweise der Anbieter einer Taxi-App entscheiden, seinen besten Kunden in Zukunft Rabatte oder andere Vergünstigungen anzubieten, wird er sich fragen müssen, ob die Einwilligungserklärung der Kunden eine solche Art der Datenauswertung deckt.

 
__________
Anzeige:

__________

Zweckbindung und Datensparsamkeit

Der strenge Grundsatz der Zweckbindung, der in Art. 5 lit. b DS-GVO-E-Kom zementiert wird, lässt sich in CRM-Systemen nicht konsequent einhalten. Noch weniger ist es realistisch, ein intelligentes Beziehungsmanagement zu unterhalten und zugleich den Grundsatz der Datensparsamkeit (Art. 5 lit. c DS-GVO-E-Kom) zu befolgen. Wird in einem Hotel – „datensparsam“ – nur jeder zweite Aufenthalt eines Gastes erfasst, werden sich dadurch die Serviceleistungen des Hotels nicht verbessern. Zugleich ist keinerlei messbarer Gewinn an Persönlichkeitsschutz mit einer solchen „Sparsamkeit“ verbunden.

 

Profiling

Kundenprofile sind die Basis von CRM. Ohne Kundenprofile ist CRM undenkbar. Art. 20 DS-GVO-E-Kom führt somit über das Einwilligungserfordernis und über die Grundsätze der strikten Zweckbindung und der Datensparsamkeit zu zusätzlichen Anforderungen, die ein intelligentes Kundenmanagement letztlich unmöglich machen dürften. Die Einstufung als „Problemkunde“ beeinträchtigt den Kunden „in maßgeblicher Weise“ und darf daher nach Art. 20 Nr. 1 DS-GVO-E-Kom nicht ausschließlich auf der Grundlage eines Kundenprofils vorgenommen werden. Wie sich eine solche Einstufung dann noch vornehmen lässt, ist nicht ersichtlich.

 

Fazit

Die Kombination strenger Einwilligungserfordernisse, detaillierter Belehrungspflichten, strikter Zweckbindung, ausnahmsloser Datensparsamkeit und zusätzlicher Restriktionen beim Profiling erschweren ein serviceorientiertes CRM bis an die Grenze der Unmöglichkeit. Hier ist nachzubessern.

 

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".
Beitrag von Niko Härting vom – 10:00. Rubrik: Allgemein, Compliance, Datenschutz (Kap. B), Datenschutz, Datenschutz (Kap. A), Stichwörter: , , , , , . Lesezeichen: Permalink. Kommentare: RSS-Feed. Trackbacks sind deaktiviert, aber Sie können einen Kommentar schreiben.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.


Twitter, Facebook, ...
Service
© Verlag Dr. Otto Schmidt, Köln