Welche Anfragen dürfen Callcenter beantworten?
DSGVO Art 4, 28, 82-83
Immer mehr Unternehmen verlagern Service- und Kundendienstleistungen an Call-Center - was betriebswirtschaftlich zu Ersparnissen führen kann, kann datenschutzrechtlich weitreichende Probleme verursachen - richtiges Verhalten muss schon bei der Planung des Callcenter-Einsatzes berücksichtigt werden
Heute werden schon fast alle Kerntätigkeiten eines Unternehmens in Callcenter ausgelagert. Kundenbestellungen, Fragen zur Rechnungslegung, Kundenreklamationen, Mahnwesen oder Supportleistungen. Selbst Telefon-Banking wird längst in Callcenter ausgelagert.
In vielen Fällen werden externe Dienstleister (Auftragsverarbeiter iS Art 4 Zif 8 DSGVO), die mehrere Unternehmen betreuen, für diese Callcenter-Tätigkeiten herangezogen. Die Betreuung erfolgt meist durch stundenweise engagierten Callcenter-Agents, die in die Tätigkeit ihrer Auftraggeber (Verantwortlichen iS Art 4 Zif 7 DSGVO) und deren Kundenstruktur keinen Einblick haben.
Anfragen werden auf Basis vorgegebener Geschäftsprozesse, Eingabemasken und standardisierter Dialoge abgehandelt. Sehr oft landen Anrufer in einem ausländischen Callcenter. Dies ist meist nicht erkennbar, da dort oft Menschen mit deutscher Muttersprache sitzen.
Vereinbarung zur Auftragsverarbeitung notwendig
Entschließt sich ein Unternehmen, z.B. ein Energieversorger, ein externes Callcenter in Anspruch zu nehmen, muss es - neben den wirtschaftlichen Vereinbarungen - auch eine Vereinbarung zur Auftragsverarbeitung gemäß Art 28 DSGVO abschließen. Dazu ist die Schriftform erforderlich. Weitere Informationen zu diesem Thema erhalten Sie in unserem Artikel: „Auftragsverarbeitung gemäß DSGVO“. Siehe unter: http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA... .
Merkmal einer derartigen Vereinbarung ist, dass die Kundendaten, die dem Callcenter übermittelt werden ausschließlich für den Verantwortlichen verarbeitet werden und in keiner Weise mit Daten anderer Kunden des Callcenters abgeglichen werden oder weitergegeben werden dürfen.
Weitergabe von Informationen an Callcenter
Immer gravierender ist das Problem, wer von den Callcenter-Agents welche Auskünfte erhält. Vielen Callcenter-Agents ist nicht bewusst, dass sie oft mit höchst vertraulichen Informationen umgehen, wie z.B. bei einer telefonischen Banküberweisung oder Kontoabfrage.
Allzu oft werden Anrufern Auskünfte über die Höhe offener Rechnungen, den Stand von Bestellungen oder Verbrauchsdaten über Telefon- und Internetnutzung, Gas- oder Stromverbrauch gegeben, weil der Anrufer behauptet Herr/Frau Sowieso zu sein oder die Rechnungsnummer bekannt gibt.
Sanktionen drohen
Werden Informationen an Dritte weitergegeben, so ist das eine Datenschutzverletzung, für die der Verantwortliche haftet. Gemäß Art 83 Abs 4 DSGVO sind bei Datenschutzverstoßen des Art 28 DSGVO Geldstrafen von bis zu 10 Mio. oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweiten Jahresumsatzes vorgesehen. Weiters können Betroffene gemäß Art 82 DSGVO den materiellen und/oder immateriellen Schaden im Zuge einer Schadenersatzklage beim Zivilgericht geltend machen.
Unzulässige Auskünfte
Beispielsweise für Inkasso- und Wirtschaftsauskunftsdienste können Callcenter zu wahren Fundgruben werden, lässt sich doch aus offenen Rechnungen auf Bonitätsprobleme schließen oder eine aktuelle Zustelladresse auskundschaften.
Zeitgerechte Vorkehrung notwendig
Um dem Servicegedanken der Callcenter gerecht zu werden und die Interessen der Betroffenen ausreichend zu schützen, muss für eine vernünftige zuverlässige telefonische Identifikation gesorgt werden.
In der Zeit vor dem Callcenter war dies meist nicht notwendig. Der Sachbearbeiter eines Unternehmens "kannte" seine Kunden und konnte aus informellen Identifikationsmerkmale (Stimme, Sprachfärbung, Wissen über persönliche Gewohnheiten und sozialen Hintergrund) erkennen, ob ein Anrufer tatsächlich der war für den er sich ausgab.
Heute landet jeder Anrufer bei verschiedenen (Kurzzeit-)Agenten, außer den Daten am Bildschirm wissen diese nichts über eine Person.
Wer seine Dienste in ein Callcenter auslagert muss daher neue, formale Identifikationsmerkmale mit seinen Kunden festlegen. Das können Passwörter, Kundennummern oder Frage-Antwort-Dialoge, wie etwa nach dem Mädchennamen der Mutter oder dem Lieblingshaustieres sein.
Jedenfalls müssen es Informationen sein, von denen der Kunde weiß, dass er sie vertraulich zu behandeln hat und die nicht auf jeder Rechnung/Schriftstück aufgedruckt sind.
Auch Vertretungslösungen müssen eingeplant werden. Wer darf im Namen eines Kunden anrufen (Verwandte, Freunde, Bekannte). Gerade bei älteren Menschen wird dies immer wichtiger. Auch hier kann durch eine zeitgerechte Erhebung vertrauenswürdiger Auskunftspersonen Unfug und Unsinn vermieden werden.
Datenschutzverletzung oder Kundenverärgerung
Fehlen diese Vorkehrungen, bleibt den Agents nur die Wahl zwischen Datenschutzverletzung und Kundenverärgerung.
Ein richtiger Kunde ist zu Recht verärgert, wenn er auf einfache Fragen zu einer Bestellung oder Rechnung "aus Datenschutzgründen" keine Auskunft erhält, weil der Agent seine Identität nicht feststellen kann. Und jeder richtige Kunde ist zu Recht verärgert, wenn ein falscher Anrufer an seine Daten herankommt, weil er genügend Druck auf einen Agenten ausgeübt hat.
Bei internationaler Callcenter-Nutzung sind zusätzliche Genehmigungen erforderlich
Werden Kundenanfragen an ausländische Callcenter (z.B. außerhalb der EU) weitergeleitet, liegt internationale Datenübermittlung vor und zum Schutz der Rechte von Betroffenen sind die Verantwortlichen und Auftragsverarbeiter für die Einhaltung der Verordnungsvorschriften gemäß Art 44 bis 49 DSGVO verantwortlich. Weitere Informationen zu diesem Thema erhalten Sie in unserem Artikel „Übermittlung personenbezogener Daten“ in ein Drittland. Siehe unter: http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...
Vorbeugen ist besser als Schadensbegrenzung
Ordentliche Vereinbarungen zur Auftragsverarbeitung, eine transparente Informationspolitik über den Callcenter-Betreiber und den Standort, rechtmäßige Datenübermittlung ins Drittland, Vereinbarung "intelligenter" Identifikationsmerkmale - die leicht zu merken aber schwer zu erraten sind - und Vorsorge für Vertretungsfälle sind die "Hausaufgaben" die vor Start eines Callcenters gelöst werden müssen.
mehr --> Übermittlung personenbezogener Daten in ein Drittland
mehr --> Darf ein Steuerberater die Kundenbuchhaltung im Ausland bearbe...
mehr --> Dürfen personenbezogene Daten 'konzernintern' weitergegeben we...
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Datenübermittlung zwischen und innerhalb von Organisationen
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|
