Eine Investition für die erfolgreiche Zukunft der Branche!

Autorin: Katrin Albrecht (01.12.2011)

Aktuelle Datenschutzverletzungen in deren Folge Personen in höchster Management- und Führungsebene zurücktreten verdeutlichen die Relevanz des Themas. Vorstände eines Unternehmens verlieren ihren Job wenn sie Call Center Outsourcing Partner wählen, die das Thema Datenschutz nicht ernst nehmen. Datenschutz ist keine freiwillige Übung sondern gesetzliche Pflicht. Call Center, die nicht datenschutzkonform agieren, begehen eine Datenschutzverletzung. Sie können durch den “Verzicht” auf Datenschutz ihre Leistung zwar günstiger anbieten, handeln jedoch gesetzwidrig und gefährden den Ruf ihrer Auftraggeber.

Data Security ist Chefsache – und kostet Geld

Fälle von Datenschutzverletzungen lassen die Menschen aufhorchen. Immer wieder geraten personenbezogene Daten in falsche Hände und werden im Internet einer breiten Masse zugänglich. Das Thema Datenschutz ist ausschließlich mit Negativmeldungen in den Schlagzeilen vertreten. Nur wenn der Schaden bereits eingetreten ist, werden Rufe nach strengeren Regelungen laut.

Doch was bedeutet “Datenschutz” überhaupt?

Datenschutz schützt persönliche Daten. Personenbezogene Daten sind Informationen, die in Zusammenhang mit einer bestimmten Person stehen. Dazu gehören nicht nur die Kreditkartennummer von Herrn XY oder seine Fernsehgewohnheiten sondern jede Information in Verbindung mit seinem Namen (Adresse, Hautfarbe, Schuhgröße, Automarke, Lieblingsspeise etc.) Datenschutz steht für das Recht auf informationelle Selbstbestimmung. Jeder Mensch soll grundsätzlich selbst entscheiden, wem er wann, welche seiner persönlichen Daten zugänglich macht. Dieses Prinzip steht in krassem Widerspruch zum Phänomen des Social Media. Menschen werden zunehmend transparent, die Datenweitergabe auf globaler Ebene funktioniert immer einfacher und kann immer schwerer eingegrenzt werden. Dort wo Menschen aus eigenem Antrieb Informationen über sich oder andere ins Netz stellen (z.B. facebook) versagt der Datenschutz. Wer seine Daten nicht preisgeben möchte, dem bietet das Bundesdatenschutzgesetz (BDSG) weitreichende Sicherheit.

Was bedeutet Datenschutz für Call Center?

Betreut ein Call Center z.B. die Kundenhotline eines Energieversorgers, so hat der Call Center Dienstleister Zugriff auf dessen Kundendaten. Dabei handelt es sich um personenbezogene Daten, zumal sich hieraus ergibt welchen Stromverbrauch der Kunde A hat, welches Nutzungsprofil er aufweist und wie hoch seine monatlichen Rechnungen sind. Alle diese Kundendaten unterliegen dem Bundesdatenschutzgesetz und sind daher grundsätzlich vor einer Weitergabe an Dritte geschützt. Verwendet ein Call Center diese Kundendaten daher für ein anderes Projekt (z.B. zum Verkauf von Zeitungsabos) stellt dies eindeutig eine Datenschutzverletzung dar. Gleiches gilt wenn einzelne Kundendaten öffentlich zugänglich gemacht (z.B. im Internet veröffentlicht) oder schlicht gestohlen werden. (Bsp: Call Center Mitarbeiter speichert Kundendaten auf einem Datenstick). Die eigene Kundendatenbank stellt für viele Unternehmen einen wesentlichen Vermögenswert dar. Der Schutz der eigenen Kundendaten ist daher oberstes Prinzip. Viele Unternehmen stellen sich daher die Frage warum sie Kundendaten überhaupt einem Outsourcing Partner überlassen sollen.

Auftraggeber sind mittlerweile gesetzlich verpflichtet sich von der Eignung des Call Centers im Hinblick auf Datenschutzmaßnahmen zu überzeugen. § 11 BDSG: “Der Auftragnehmer (hier: Call Center) ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.” Werden vom Dienstleister Kundendaten missbräuchlich verwendet, drohen dem Auftraggeber im Fall einer nicht ausreichenden Prüfung des Dienstleisters ein erheblicher Kundenverlust, negative Presse, der eigene Jobverlust und ein Bußgeld von bis zu € 250.000.

Rechtliche Rahmenbedingungen

In der EU gelten die weltweit strengsten Datenschutzgesetze. Mit der Datenschutzrichtlinie 95/46/EG hat die EU für alle Mitgliedsstaaten den Mindeststandard festgeschrieben. Die Richtlinie erläutert explizit unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten rechtmäßig und welche Art der Verarbeitung untersagt ist. Zur EU Richtlinie: http://eur-lex.europa.eu/ Die Richtlinie gibt die Rahmenbedingungen vor, an welchen sich die Mitgliedsstaaten mit ihren eigenen Gesetzen zu orientieren haben und messen lassen müssen. Auf dieser Grundlage wurde z.B. in Österreich das Datenschutzgesetz 2000 (DSG 2000) und in Deutschland das Bundesdatenschutzgesetz (BDSG) novelliert. In diesen wird vor allem die Handhabung von personenbezogenen Daten geregelt.

Für Call Center, die datenschutzkonform agieren, bedeuten die Gesetze grundsätzlich, dass Kunden- und Mitarbeiterdaten vertraulich behandelt, nicht an Dritte weitergegeben und nach entsprechender Zeit gelöscht werden. Diese gesetzlichen Vorgaben nehmen manche Outsourcer genauer, andere weniger.

Wie ist Datenschutz umsetzbar?

Die rechtlichen Rahmenbedingungen zu kennen ist eine Sache, Datenschutz und Datensicherheit im Call Center umzusetzen eine ganz andere. Die Herausforderung dabei ist, die gesamte Organisation für das Thema zu sensibilisieren. Das gelingt nicht von heute auf morgen sondern braucht eine Vielzahl von organisatorischen und technischen Maßnahmen (z.B. Trainings, Policies, Audits, Tests). All dies ist mit erheblichen Kosten für den Dienstleister verbunden. Konkret kann Datensicherheit im Call Center etwa mit folgenden Methoden umgesetzt werden:

  • Biometrische Zugangskontrollen beim Eingang
  • Zusätzliche biometrische Zugangskontrollen für autorisierte Personen zu Projekten mit besonders hohen Datenschutzanforderungen
  • ID Cards (Badges) für alle Mitarbeiter im Call Center, auf denen die Zugangsberechtigungen und der Name des Mitarbeiters, am Besten zusammen mit einem Passbild, ausgewiesen sind
  • Clean Desk Policy (keine handschriftlichen Notizen oder persönlichen Dokumente am Arbeitsplatz)
  • Persönliche Gegenstände, wie Handtaschen, Jacken und Mobiltelefone, sind in dafür vorgesehenen, individuellen Schließfächern zu verstauen
  • Uneingeschränkter Internetzugang für Call Center Agents nur an eigens dafür vorgesehen PCs, die in den Pausen genutzt werden können
  • Einschulung und regelmäßige Trainings zum Thema Datensicherheit
  • Regelmäßige Tests zur Informationssicherheit für alle Call Center Agents
  • Regelmäßige Audits durch interne Mitarbeiter, Partner und externe Organisationen
  • Monatliche Reports über den aktuellen Status und die möglichen Verbesserungen
  • Benennung eines Verantwortlichen IS-Officer
  • Aufzeichnungen über Besuche/Ausgabe von Besucherkärtchen
  • Einhaltung der Richtlinien für sehr sichere Passwörter usw.

Der 5-Minuten-Test

Wie Sie einen Outsourcer finden, der das Thema Datenschutz ernst nimmt.
Fordern Sie einen potentiellen Auftragnehmer dazu auf, Ihnen die Berichte zu seinen drei vergangen Datenschutz Audits zu übermitteln. Kann er das nicht innerhalb weniger Minuten, ist er nicht die richtige Wahl. Ein solches Reporting kann nicht in kurzer Zeit erstellt werden. Vielmehr brauchen die Implementierung hoher Sicherheitsstandards und das Schaffen des Bewusstseins dafür Monate, wenn nicht gar Jahre.

 

Katrin Albrecht, Datenschutzbeauftragte im CCC Berlin, Leipzig und DresdenKatrin Albrecht ist Datenschutzbeauftragte der CCC Standorte in Leipzig, Berlin und Dresden. Ende 2010 wurde Competence Call Center mit der Call Center Norm EN 15838 und den internationalen Standards ISO 9001 und ISO 10002 zertifiziert. Bei den Romanian Contact Center Awards 2011 erhält CCC Bukarest den Data Security Special Award. Website: www.yourccc.com

Ihr direkter Draht zur Geschäftsstelle 030 / 206 13 28 0
Call Center Verband Deutschland e.V.