Die DSGVO und der Umgang mit Kundendaten

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Dieser Artikel soll beleuchten, wie sie Kundendaten praktisch behandeln sollten. Inklusive praktischem Disclaimer für Ihre Lead-Formulare!

Sie erfahren:

  • Was Kundendaten überhaupt sind.
  • Was Sie beim Umgang mit Kundendaten überhaupt alles beachten müssen.
  • Welche Teile Ihres Unternehmens Sie besonders durchleuchten sollten.
  • Welche Stolperfallen Sie vermeiden sollten.
  • Die 4 wichtigsten Fragen zu Kundendaten und DSGVO.

Inhalte

Kundendaten nach DSGVO

Bevor geklärt werden kann, was Sie beachten müssen, muss zunächst festgestellt werden, was überhaupt Kundendaten nach DSGVO bzw. neuem BDSG überhaupt sind.

Im Zusammenhang mit der Datenschutz-Grundverordnung ist immer von “personenbezogenen  Daten” zu sprechen. Also Daten, die einer natürlichen Person (also einem Menschen) zuordenbar sind und ihn identifizieren oder identifizierbar machen.

Dies können also alle Kundendaten sein, wie z.B.

  • die E-Mail Adresse,
  • Name,
  • IP-Adresse,
  • Bestelldaten,
  • vollständige Adresse,
  • Kommunikationsdaten usw.

Aber auch Daten, die einen Kunden nicht sofort identifizieren gehören dazu, z.B.

  • Geschlecht,
  • Wohnort,
  • Nickname,
  • oder Geburtsdatum.

Denn die Zusammenführung dieser mit anderen Daten macht die Person identifizierbar.

Zusammenfassend ist also zu sagen, dass Sie davon ausgehen sollten, dass alle Ihre Kundendaten unter die DSGVO fallen.

USB Stick.

Was beim Umgang mit Nutzer- und Kundendaten zu beachten ist

Der folgende Abschnitt soll einige Felder aufzeigen, die relevant für den Umgang mit Kundendaten sind.

Wann Sie Kundendaten nach DSGVO überhaupt verarbeiten dürfen

Grundsätzlich gilt, dass es verboten ist personenbezogene Daten zu verarbeiten, außer, es liegt eine gesetzliche Grundlage vor (der Grundsatz eines generellen Verbots mit Erlaubnisvorbehalt).

In der Praxis ist diese gesetzliche Grundlage fast immer die Vertragserfüllung bzw. die Vertragsanbahnung. Also die Verarbeitung ist notwendig, um z.B. die bestellte Ware an einen Kunden zu liefern oder um ihm ein Angebot zu unterbreiten (vorvertragliche Maßnahme).

Als zweite Grundlage, wenn kein Vertrag vorliegt ist die des berechtigten Interesses. D.h. Sie haben ein (wirtschaftliches) Interesse an der Verarbeitung und die betroffene Person wird in seinen Grundrechten nicht zu stark eingeschränkt. Dies kann z.B. der Fall sein, wenn Sie Ihre Kunden zielgerichtet mit Werbung ansprechen wollen.

Wenn nichts anderes in Frage kommt, können Sie sich außerdem die Einwilligung des Kunden einholen. Daran sind allerdings hohe rechtliche Hürden gekoppelt.

Zusätzlich zu beachten ist die Zweckbindung. Wenn Sie z.B. E-Mail Adressen gesammelt haben, um Ihren Kunden Neuigkeiten zum Produkt zu kommen zu lassen, dürfen Sie diese z.B. nicht zum Zwecke des Adresshandels einfach weiterverkaufen.

Zu guter Letzt müssen Sie alle Datenschutzgrundsätze bei der Verarbeitung einhalten:

  • Rechtmäßigkeit der Verarbeitung (siehe oben: Verbot mit Erlaubnisvorbehalt),
  • Verarbeitung nach Treu und Glauben (ist die Verarbeitung redlich und anständig?),
  • Transparenz (siehe Informationspflichten),
  • Zweckbindung (siehe oben),
  • Datenminimierung (nur so viele Daten speichern, wie unbedingt notwendig, z.B. nur E-Mail Adresse bei der Newsletteranmeldung),
  • Richtigkeit der Datenverarbeitung,
  • Keine unbegrenzte Speicherung (wenn der Zweck erfüllt oder die gesetzliche Aufbewahrungspflicht erfüllt ist, muss gelöscht werden),
  • Integrität und Vertraulichkeit (geeignete technische und organisatorische Maßnahmen wurden ergriffen, um die Daten zu schützen).

Die Weitergabe von Kundendaten nach DSGVO

Die Weitergabe oder sogar der Verkauf von Nutzer- und Kundendaten ist nicht ohne weiteres möglich. Folgende Szenarien sind möglich:

  • Weitergabe / Verkauf im Rahmen eines kompletten Unternehmensverkaufs (da sich der Verantwortliche nicht ändert, gibt es hier keine Probleme)
  • Weitergabe / Verkauf im Rahmen eine Asset Deals (ggf. Einwilligung der Betroffenen notwendig, weitere Informationen finden Sie hier.)
  • Weitergabe von Daten im Rahmen einer Auftragsverarbeitung (AV-Vertrag ist notwendig)
  • Weitergabe von Daten in Drittstaaten (z.B. Google Analytics, Garantien müssen vorliegen)
  • Weitergabe / Verkauf zum Zwecke des Adressenhandels (in der Regel neue Einwilligung notwendig, insofern bei der Erhebung der Daten nicht geschehen)

Davon ausgeschlossen sind bereits öffentlich vorliegende Daten.

Informationspflichten nach DSGVO bei der Erhebung von Kundendaten und Einwilligung

Der Kunde muss immer umfassend über seine Rechte informiert werden, bevor seine Daten verarbeitet werden. So muss in E-Mail bzw. Lead Formularen z.B. klar stehen, zu welchem Zweck, wie und in welchem Umfang die Daten erhoben werden. Der Nutzer muss auch darüber aufgeklärt werden, dass er ein Beschwerderecht hat.

Auch ein Hinweis auf den Datenschutz in der Rechnung ist möglich, z.B. mit folgender Formulierung:

Unsere Hinweise zum Datenschutz finden Sie unter [Link zur Datenschutzerklärung für Kunden].

Ein Beispiel für eine Formulierung welche nach DSGVO unter jeder Eingabemaske (am besten mit einer verfolgbaren Checkbox) stehen sollte, finden Sie unten.

Beispiel Disclaimer bei Erhebung von E-Mail Adressen:

Ihre Daten werden zum Zwecke des E-Mail Marketings durch die Muster GmbH gespeichert und ausgewertet. Es werden folgende Daten gespeichert: E-Mail Adresse, IP-Adresse, Opt-In Datum, Vorname, Nachname, weitere Web-Daten. Ihre Daten werden bis auf Widerruf gespeichert und nach 10 Jahren automatisch gelöscht, außer es gelten abweichende gesetzliche Aufbewahrungsfristen. Sie können sich jederzeit unter [Kontakt E-Mail Adresse] über Ihre Daten informieren und eine Herausgabe, Löschung oder Berichtigung beantragen. Darüber hinaus haben Sie das Recht, sich an die für Sie zuständige Datenschutzbehörde (z.B. Ihren Landesdatenschutzbeauftragten) zu wenden.

Dieser Text sollte für den jeweiligen Zweck angepasst und ausführlich und wahrheitsgemäß verfasst werden.

Darüber hinaus muss der Nutzer explizit einwilligen (Opti-In), dass seine Daten im o.g. Umfang verarbeitet werden, insofern kein Vertrag oder vertragsähnliches Rechtsverhältnis besteht oder Sie ein berechtigtes Interesse an der Verarbeitung haben.

Rechtssichere Nutzung von Freebes (Kopplungsverbot)

Vorsicht ist auch bei sog. Freebes (kostenloses Downloads gegen E-Mail Adresse) angebracht. Das Bayerische Landesamt für Datenschutzaufsicht hat klare Regeln für die Einhaltung des Kopplungsverbots nach DSGVO aufgestellt. So muss klar sein, dass ein Tausch E-Mail gegen ein (dann kostenloses) Produkt erfolgt. Dies gelingt am besten, in dem man neben dem kostenlosen Download auch eine Bezahloption anbietet. Ein Beispiel für einen Umsetzung finden Sie bei meinem eigenen Leadmagneten.

Außerdem muss maximal transparent darauf hingewiesen werden, dass sich der Kunde auch für den Newsletter anmeldet und ob die Öffnungen / Klicks getrackt werden. Das ganze muss dann auch in der Datenschutzerklärung gespiegelt werden.

Beispiel für eine Information bei Bereitstellung eines Freebes:

Ja ich möchte in den Newsletter aufgenommen werden. Ich habe die Datenschutzbestimmungen [hier Link zur Datenschutzerklärung einfügen] gelesen und bin damit einverstanden. Um Sie in den Newsletter aufzunehmen, benötigen wir eine Bestätigung, dass Sie Inhaber der E-Mail Adresse sind (Double-Opt-In), dazu wird Ihnen eine gesonderte Mail zugeschickt. Die erhobenen Daten dienen zum Versand des Newsletters, es werden Statistiken zur Auswertung erhoben (z.B. Öffnungs- und Klickraten). Es werden außerdem folgende Daten gespeichert: E-Mail Adresse, IP-Adresse, Opt-In Datum. Sie können sich jederzeit wieder austragen und Ihre Zustimmung widerrufen.

Hier ist also Vorsicht geboten, denn alle „falsch“ gesammelten E-Mail Adressen können dann nämlich nicht mehr rechtssicher beschickt werden und die ganze E-Mail Liste kann ungültig werden!

Auskunfts- und Widerspruchsrechte sowie Löschung, Berichtigung und Herausgabe bei der Verarbeitung von Kundendaten

Betroffene (also Kunden, Nutzer und Interessenten) haben viele Rechte, welche Sie als Betreiber einer Website oder eines E-Commerce Stores nachkommen müssen.

Auskunftsrecht

Kunden haben das Recht, Auskunft darüber zu erhalten, welche Daten, zu welchem Zweck und welchem Umfang über sie in Ihrem Unternehmen gespeichert werden. Das bedeutet, dass Sie im Zweifel einen Überblick über Ihre Daten haben müssen, um den Vorschriften zu genügen.

Widerspruchsrecht

Nutzer und Kunden haben auch das Recht der Verarbeitung zu widersprechen. Praktisch gesehen, könnte sich ein Nutzer an Sie wenden und Auskunft verlangen, dann im Anschluss aber der Nutzung Widersprechen.

Löschung und Berichtigung von Nutzerdaten

Betroffene haben das Recht ihre Daten zu berichtigen, z.B. bei Namenswechsel nach der Heirat oder Umzug. Auch falsche Daten müssen berichtigt werden.

Herausgabe von Daten

Die DSGVO schreibt vor, dass Daten von Kunden auch übertragbar sein sollen, d.h. einem Betroffenen jederzeit zur Verfügung gestellt werden müssen. Dabei kann der Kunde grundsätzlich den gesamten Datenbestand über sich anfordern.

Kameras.

Dokumentationspflichten für den Umgang mit Kundendaten nach Datenschutz-Grundverordnung

Die oben genannten Pflichten lassen sich nur einhalten, wenn eine Mindestanforderung an die Dokumentation der Tätigkeiten des Unternehmens gestellt wird. Aus diesem Grund sieht die DSGVO drei große Dokumentationskonzepte vor, welche Sie unbedingt vorweisen sollten, schon alleine, um bei möglichen Beschwerden eine gesetzliche Konformität nachzuweisen.

Das Verzeichnis von Verarbeitungstätigkeiten für Kundendaten (früher: Verfahrensverzeichnis)

Dieses Verzeichnis sollte das zentrale Dokument im Unternehmen sein. Es umfasst alle typischen Verarbeitungen, also z.B. E-Mail Marketing, CRM, Kundenanalyse etc. aber auch z.B. Ihre Lohnbuchhaltung oder Ihr Warenwirtschaftssystem und hilft Ihnen Ihre Pflichten einzuhalten.

Wie Sie dieses Verzeichnis erstellen erfahren Sie hier.

Sollte nun z.B. eine Löschanfrage in Ihrem Unternehmen eintreffen, nehmen Sie das Verzeichnis zur Hand und schauen, wo die Daten des Kunden gespeichert sind. So können Sie dem Löschantrag schnell nach kommen.

Dokumentation der Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen – TOM)

Kunden- und Nutzerdaten können sensibel sein, weswegen der Gesetzgeber hier vorschreibt, dass diese gut gesichert sein müssen. Sie müssen hier also umfangreich dokumentieren, welche Maßnahmen Sie getroffen haben, damit Ihre Daten sicher im Unternehmen sind und dort auch bleiben.

Wie Sie die TOM richtig dokumentieren erfahren Sie hier.

Interessenabwägung und Risikoanalyse bei der Erhebung von Kundendaten

Die Zeiten der Sammlung von Kundendaten um jeden Preis soll nach DSGVO der Vergangenheit angehören. Vielmehr soll sich der Unternehmer vor dem Sammeln klar machen, ob alle Daten zur Erfüllung des Zweckes notwendig und verhältnismäßig sind. Ein Muster für eine Interessenabwägung nach DSGVO finden Sie hier.

Wie Sie die Risikoanalyse durchführen und abschätzen, ob ggf. eine DSFA durchgeführt werden muss erfahren Sie hier.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Wo sie jetzt genauer schauen sollten, um im Umgang mit Kundendaten DSGVO konform zu sein

Sollten Sie viele Kundendaten auf verschiedenen Kanälen sammeln, lohnt es sich bestimmte Prozesse genauer unter die Lupe zu nehmen.

Customer Relationship Management (CRM) bzw. E-Mail Marketing und die DSGVO

Fragen Sie sich hier folgende Fragen, um Problemen auf die Spur zu kommen:

  • Habe ich alle Disclaimer (s.o.) richtig verfasst und an den passenden Stellen in meinen Lead-Formularen platziert? Kann ich die ggf. erteilte Einwilligung nachvollziehen und nachweisen?
  • Habe ich alle Dokumentationspflichten erfüllt?
  • Kann ich im Notfall schnell berichtigen, löschen oder herausgeben?
  • Sammle ich in angemessenen Umfang Daten?

Gehen Sie Ihre Prozesse am besten kurz mit diesen Fragen durch und bessern Sie nach, wo noch Defizite auftreten.

Handy Nahansicht.

Kundenservice (Customer Support) DSGVO konform machen

Ein Kundenservice verarbeitet naturgemäß viele sensible Daten. Hier sollte genau darauf geachtet werden, dass alle Verarbeitungen dokumentiert und ggf. AV-Verträge mit Dienstleistern abgeschlossen wurden.

Auch sollte der Customer Support bzgl. Anfragen von Kunden zum Datenschutz geschult werden. Er sollte mit höchster Priorität auf Datenschutz Anfragen antworten und diese eskalieren, um eine Behördenmeldung zu vermeiden.

Adresslisten nach DSGVO

Wer in der Vergangenheit Adresslisten gekauft oder anderweitig beschafft hat, sollte nun besonders vorsichtig sein. Früher war eher mit Abmahnungen nach §7 UWG zu rechnen, aber durch die DSGVO besitzen Adresslisten, die ohne explizite Einwilligung erzeugt wurden oder nicht öffentlich verfügbare Information beinhalten, hohes Gefahrenpotential. Es drohen nicht nur Abmahnungen, sondern auch hohe Bußgelder durch das Einschalten von Datenschutzbehörden.

Außerdem ist durch die extensive Berichterstattung in den Medien zu erwarten, dass die Kunden sensibler werden und Verstöße schneller melden als vorher.

Prüfen Sie hier also genau die Quellen der Daten. Schon die alleinige Speicherung stellt einen Verstoß dar, ganz ohne erfolgreichen Versand von z.B. E-Mails.

Was Sie sonst noch beim Umgang mit Kundendatenbanken nach DSGVO beachten sollten

Außer den umfangreichen Dokumentationspflichten, Wahrung der Rechte von Betroffenen und schleifen Ihrer Prozesse sollten Sie auch noch andere Punkte beachten.

Ihre Datenschutzerklärung

Halten Sie Ihre Datenschutzerklärung auf dem neuesten Stand. Neue Plugins werden installiert oder ein neues Tracking implementiert. Da kann es schnell passieren, dass man vergisst, das ganze auch in der Datenschutzerklärung zu erwähnen. Wie Sie eine gute Datenschutzerklärung erstellen, erfahren Sie hier.

Sie sollten möglichst transparent und in einfacher Sprache über Ihre Grundsätze der Datenverarbeitung aufklären und alle Drittanbieter und ggf. Plugins auflisten.

Datenlecks

Sollten Sie durch z.B. Hacker oder Unfälle Daten verlieren oder Ihnen gestohlen werden, müssen Sie dies an die Behörden binnen 72 Stunden melden. Außerdem müssen die Kunden informiert werden.

Dabei muss natürlich abgewogen werden, welche Folgen der Verlust für die Betroffenen hat.

Bußgelder

Über Bußgelder wurde schon sehr viel berichtet, weswegen dieser Artikel nicht weiter darauf eingehen wird. Es bleibt aber festzuhalten, dass vor allem der Kauf von Adressen zu einem hohen finanziellen Risiko führt.

Schulungen

Sie sollten Ihre Mitarbeiter im Umgang mit Daten schulen und diese auch nachweisen. Dadurch kommen Sie Ihren gesetzlichen Pflichten nach und verhindern Datenpannen.

Sensible Kunden

Durch die Berichterstattung rund um die DSGVO werden Kunden und Nutzer sensibler für das Thema Datenschutz und so dass sie ihre Daten öfter einfordern werden. Seien Sie also darauf vorbereitet im Umgang mit Kundendaten auf neue Herausforderungen zu treffen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die vier wichtigsten Fragen zur DSGVO und Kundendaten

Wie lange darf ich Kundendaten überhaupt speichern?

Personenbezogene Daten dürfen so lange gespeichert werden, bis der Zweck der Speicherung erfüllt oder die gesetzliche Aufbewahrungsfrist abgelaufen ist.

Wenn Sie also z.B. eine E-Mail Adresse erhoben haben, um den Kunden mit einem Newsletter zu informieren, der Kunde sich aber abmeldet, so müssen Sie die E-Mail Adresse und alle weiteren personenbezogenen Daten, innerhalb eines angemessenen Zeitraumes (z.B. 30 Tage nach Abmeldung) löschen.

Anders verhält es sich z.B. bei einer Rechnung. Diese dürfen Sie erst nach 10 Jahren löschen, da eine gesetzliche Aufbewahrungsfrist nach Abgabenordnung besteht.

Welche Kundendaten darf ich überhaupt speichern?

Es gilt das Prinzip der Datenminimierung. Sie dürfen also nur die Daten speichern, welche dem Zweck entsprechen.

Wenn Sie z.B. eine Ware an einen Kunden senden möchten, benötigen Sie nur die Adressdaten und nicht die Daten zum Gesundheitszustand.

Muss ich meine Kundendaten immer löschen, wenn ein Kunde das verlangt?

Nein, manchmal stehen der Löschung Aufbewahrungsfristen lt. Gesetz entgegen.

Wenn ein Kunde z.B. verlangt, dass seine Rechnungsdaten gelöscht werden, so muss diesem die Auskunft erteilt werden, dass gemäß Abgabenordnung eine Aufbewahrung für 10 Jahre notwendig ist und erst dann gelöscht wird.

Welche Kundendaten fallen überhaupt unter den Schutz der DSGVO?

Nur solche mit Personenbezug. Ausdrücklich nicht darunter fallen anonyme oder aggregierte Daten. Ihr Jahresabschluss fällt z.B. nicht unter den Schutzbereich der DSGVO.

Fazit: Kundendaten können auch im Einklang mit der DSGVO verarbeitet werden

Wenn Sie die hier dargestellten Tipps und Regeln einhalten, steht einer weiteren Verarbeitung von Kundendaten nichts mehr im Wege. Beachten Sie die Datenschutzgrundsätze und seinen Sie fair und transparent bei der Verarbeitung, dann können Sie auch die Daten Ihrer Kunden mit ruhigen Gewissen verarbeiten.

Quellen

https://dsgvo-gesetz.de/art-17-dsgvo/

https://dsgvo-gesetz.de/art-13-dsgvo/

https://dsgvo-gesetz.de/art-6-dsgvo/

https://dsgvo-gesetz.de/art-14-dsgvo/

https://dsgvo-gesetz.de/art-15-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://www.gesetze-im-internet.de/uwg_2004/__7.html