Kundendaten und die DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Kundendaten nach DSGVO richtig zu verarbeiten kann schwierig sein und viele Probleme und Unsicherheiten verursachen. Dieser Artikel soll beleuchten, wie sie Kundendaten nach Datenschutzrecht behandeln sollten. Inklusive praktischem Disclaimer für Ihre Lead-Formulare!

Sie erfahren:

  • Was Kundendaten überhaupt sind.
  • Was Sie beim Umgang mit Kundendaten überhaupt alles beachten müssen.
  • Welche Teile Ihres Unternehmens Sie besonders durchleuchten sollten.
  • Welche Stolperfallen Sie vermeiden sollten.
  • Die wichtigsten Fragen zu Kundendaten und DSGVO.

Inhalte

Kundendaten nach DSGVO

Bevor geklärt werden kann, was Sie beachten müssen, muss zunächst festgestellt werden, was überhaupt Kundendaten nach Datenschutz-Grundverordnung bzw. neuem BDSG überhaupt sind.

Im Zusammenhang mit der Datenschutz-Grundverordnung ist immer von “personenbezogenen Daten” zu sprechen. Also Daten, die einer natürlichen Person (also einem Menschen) zuordenbar sind und ihn identifizieren oder identifizierbar machen.

Dies können also alle Kundendaten sein, wie z.B.

  • die E-Mail Adresse,
  • Name,
  • IP-Adresse,
  • Bestelldaten,
  • vollständige Adresse,
  • Kommunikationsdaten usw.

Aber auch Daten, die einen Kunden nicht sofort identifizieren gehören dazu, z.B.

  • Geschlecht,
  • Wohnort,
  • Nickname,
  • oder Geburtsdatum.

Denn die Zusammenführung dieser mit anderen Daten macht die Person identifizierbar.

Zusammenfassend ist also zu sagen, dass Sie davon ausgehen sollten, dass alle Ihre Kundendaten unter das Datenschutzrecht fallen.

USB Stick, auf dem Kundendaten gespeichert sein könnten.

Kurzzusammenfassung im Video – Kundendaten richtig verarbeiten

Was beim Umgang mit Nutzer- und Kundendaten zu beachten ist

Der folgende Abschnitt soll einige Felder aufzeigen, die relevant für den Umgang mit Kundendaten sind.

Wann Sie Kundendaten nach DSGVO überhaupt verarbeiten dürfen

Grundsätzlich gilt, dass es verboten ist personenbezogene Daten zu verarbeiten, außer, es liegt eine gesetzliche Grundlage vor (der Grundsatz eines generellen Verbots mit Erlaubnisvorbehalt).

In der Praxis ist diese gesetzliche Grundlage fast immer die Vertragserfüllung bzw. die Vertragsanbahnung. Also die Verarbeitung ist notwendig, um z.B. die bestellte Ware an einen Kunden zu liefern oder um ihm ein Angebot zu unterbreiten (vorvertragliche Maßnahme).

Als zweite Grundlage, wenn kein Vertrag vorliegt ist die des berechtigten Interesses. D.h. Sie haben ein (wirtschaftliches) Interesse an der Verarbeitung und die betroffene Person wird in seinen Grundrechten nicht zu stark eingeschränkt. Dies kann z.B. der Fall sein, wenn Sie Ihre Kunden zielgerichtet mit Werbung ansprechen wollen. Hier müssen Sie allerdings genau abwägen und Ihre Interessen dokumentieren.

Wenn nichts anderes in Frage kommt, können Sie sich außerdem die Einwilligung zur Speicherung bzw. Verarbeitung von Kundendaten einholen. Daran sind allerdings hohe rechtliche Hürden gekoppelt.

Zusätzlich zu beachten ist die Zweckbindung. Wenn Sie z.B. E-Mail Adressen gesammelt haben, um Ihren Kunden Neuigkeiten zum Produkt zu kommen zu lassen, dürfen Sie diese z.B. nicht zum Zwecke des Adresshandels einfach weiterverkaufen.

Zu guter Letzt müssen Sie alle Datenschutzgrundsätze bei der Verarbeitung einhalten:

  • Rechtmäßigkeit der Verarbeitung (siehe oben: Verbot mit Erlaubnisvorbehalt),
  • Verarbeitung nach Treu und Glauben (ist die Verarbeitung redlich und anständig?),
  • Transparenz (siehe Informationspflichten),
  • Zweckbindung (siehe oben),
  • Datenminimierung (nur so viele Daten speichern, wie unbedingt notwendig, z.B. nur E-Mail Adresse bei der Newsletteranmeldung),
  • Richtigkeit der Datenverarbeitung,
  • Keine unbegrenzte Speicherung (wenn der Zweck erfüllt oder die gesetzliche Aufbewahrungspflicht erfüllt ist, muss gelöscht werden),
  • Integrität und Vertraulichkeit (geeignete technische und organisatorische Maßnahmen wurden ergriffen, um die Daten zu schützen).

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Die Weitergabe von Kundendaten nach Datenschutzrecht

Die Weitergabe oder sogar der Verkauf von Nutzer- und Kundendaten ist nicht ohne weiteres möglich. Folgende Szenarien sind möglich:

  • Weitergabe / Verkauf im Rahmen eines kompletten Unternehmensverkaufs (da sich der Verantwortliche nicht ändert, gibt es hier keine Probleme)
  • Weitergabe / Verkauf im Rahmen eine Asset Deals (ggf. Einwilligung der Betroffenen notwendig, weitere Informationen finden Sie hier.)
  • Weitergabe von Daten im Rahmen einer Auftragsverarbeitung (AV-Vertrag ist notwendig)
  • Weitergabe von Daten in Drittstaaten (z.B. Google Analytics, Garantien müssen vorliegen)
  • Weitergabe / Verkauf zum Zwecke des Adressenhandels (in der Regel neue Einwilligung notwendig, insofern bei der Erhebung der Daten nicht geschehen)

Davon ausgeschlossen sind bereits öffentlich vorliegende Daten.

Daten müssen bei Weitergabe kontrolliert werden - deswegen data transmission.

Wie verhält es sich Datenschutzrechtlich bei der Herausgabe von Daten am Telefon? Vorsicht ist bei der Weitergabe personenbezogener Kundendaten am Telefon. Es sollte immer vorher die Identität des Anfragenden geklärt werden.

Informationspflichten nach DSGVO bei der Erhebung von Kundendaten und Einwilligung

Der Kunde muss immer umfassend über seine Rechte informiert werden, bevor seine Daten verarbeitet werden. So muss in E-Mail bzw. Lead Formularen z.B. klar stehen, zu welchem Zweck, wie und in welchem Umfang die Daten erhoben werden. Der Nutzer muss auch darüber aufgeklärt werden, dass er ein Beschwerderecht hat.

Auch ein Hinweis auf den Datenschutz in der Rechnung ist möglich, z.B. mit folgender Formulierung:

Unsere Hinweise zum Datenschutz finden Sie unter [Link zur Datenschutzerklärung für Kunden].

Ein Beispiel für eine Formulierung welche unter jeder Eingabemaske (am besten mit einer verfolgbaren Checkbox) stehen könnte, finden Sie unten.

Beispiel Disclaimer bei Erhebung von E-Mail Adressen:

Ihre Daten werden zum Zwecke des E-Mail Marketings durch die Muster GmbH gespeichert und ausgewertet. Es werden folgende Daten gespeichert: E-Mail Adresse, IP-Adresse, Opt-In Datum, Vorname, Nachname, weitere Web-Daten. Ihre Daten werden bis auf Widerruf gespeichert und nach 10 Jahren automatisch gelöscht, außer es gelten abweichende gesetzliche Aufbewahrungsfristen. Sie können sich jederzeit unter [Kontakt E-Mail Adresse] über Ihre Daten informieren und eine Herausgabe, Löschung oder Berichtigung beantragen. Darüber hinaus haben Sie das Recht, sich an die für Sie zuständige Datenschutzbehörde (z.B. Ihren Landesdatenschutzbeauftragten) zu wenden. Quelle.

Dieser Text sollte für den jeweiligen Zweck angepasst und ausführlich und wahrheitsgemäß verfasst werden. Sie können Ihn als Datenschutz Vorlage für Ihre Kunden nutzen.

Darüber hinaus muss der Nutzer explizit einwilligen (Opt-In), dass seine Daten im o.g. Umfang verarbeitet werden, insofern kein Vertrag oder vertragsähnliches Rechtsverhältnis besteht oder Sie ein berechtigtes Interesse an der Verarbeitung haben.

Rechtssichere Nutzung von Freebes (Kopplungsverbot)

Vorsicht ist auch bei sog. Freebes (kostenloses Downloads gegen E-Mail Adresse) angebracht. Das Bayerische Landesamt für Datenschutzaufsicht hat klare Regeln für die Einhaltung des Kopplungsverbots nach DSGVO aufgestellt. So muss klar sein, dass ein Tausch E-Mail gegen ein (dann kostenloses) Produkt erfolgt. Dies gelingt am besten, in dem man neben dem kostenlosen Download auch eine Bezahloption anbietet. Ein Beispiel für einen Umsetzung finden Sie bei meinem eigenen Leadmagneten.

Transparenz ist wichtig bei der Verarbeitung von Kundendaten.

Außerdem muss maximal transparent darauf hingewiesen werden, dass sich der Kunde auch für den Newsletter anmeldet und ob die Öffnungen / Klicks getrackt werden. Das ganze muss dann auch in der Datenschutzerklärung gespiegelt werden.

Beispiel für eine Information bei Bereitstellung eines Freebes:

Ja ich möchte in den Newsletter aufgenommen werden. Ich habe die Datenschutzbestimmungen [hier Link zur Datenschutzerklärung einfügen] gelesen und bin damit einverstanden. Um Sie in den Newsletter aufzunehmen, benötigen wir eine Bestätigung, dass Sie Inhaber der E-Mail Adresse sind (Double-Opt-In), dazu wird Ihnen eine gesonderte Mail zugeschickt. Die erhobenen Daten dienen zum Versand des Newsletters, es werden Statistiken zur Auswertung erhoben (z.B. Öffnungs- und Klickraten). Es werden außerdem folgende Daten gespeichert: E-Mail Adresse, IP-Adresse, Opt-In Datum. Sie können sich jederzeit wieder austragen und Ihre Zustimmung widerrufen.

Hier ist also Vorsicht geboten, denn alle „falsch“ gesammelten E-Mail Adressen können dann nämlich nicht mehr rechtssicher beschickt werden und die ganze E-Mail Liste kann ungültig werden!

Auskunfts- und Widerspruchsrechte sowie Löschung, Berichtigung und Herausgabe bei der Verarbeitung von Kundendaten

Betroffene (also Kunden, Nutzer und Interessenten) haben viele Rechte, welche Sie als Betreiber einer Website oder eines E-Commerce Stores nachkommen müssen.

Auskunftsrecht

Kunden haben das Recht, Auskunft darüber zu erhalten, welche Daten, zu welchem Zweck und welchem Umfang über sie in Ihrem Unternehmen gespeichert werden. Das bedeutet, dass Sie im Zweifel einen Überblick über Ihre Daten haben müssen, um den Vorschriften zu genügen.

Widerspruchsrecht

Nutzer und Kunden haben auch das Recht der Verarbeitung zu widersprechen. Praktisch gesehen, könnte sich ein Nutzer an Sie wenden und Auskunft verlangen, dann im Anschluss aber der Nutzung Widersprechen.

Löschung und Berichtigung von Nutzerdaten

Betroffene haben das Recht ihre Daten zu berichtigen, z.B. bei Namenswechsel nach der Heirat oder Umzug. Auch falsche Daten müssen berichtigt werden.

Herausgabe von Daten

Die DSGVO schreibt vor, dass Daten von Kunden auch übertragbar sein sollen, d.h. einem Betroffenen jederzeit zur Verfügung gestellt werden müssen. Dabei kann der Kunde grundsätzlich den gesamten Datenbestand über sich anfordern.

Kameras, welche besonders sensible Daten erfassen können.

Dokumentationspflichten für den Umgang mit Kundendaten nach Datenschutz-Grundverordnung

Die oben genannten Pflichten lassen sich nur einhalten, wenn eine Mindestanforderung an die Dokumentation der Tätigkeiten des Unternehmens gestellt wird. Aus diesem Grund sieht die DSGVO drei große Dokumentationskonzepte vor, welche Sie unbedingt vorweisen sollten, schon alleine, um bei möglichen Beschwerden eine gesetzliche Konformität nachzuweisen.

Das Verzeichnis von Verarbeitungstätigkeiten für Kundendaten (früher: Verfahrensverzeichnis)

Dieses Verzeichnis sollte das zentrale Dokument im Unternehmen sein. Es umfasst alle typischen Verarbeitungen, also z.B. E-Mail Marketing, CRM, Kundenanalyse etc. aber auch z.B. Ihre Lohnbuchhaltung oder Ihr Warenwirtschaftssystem und hilft Ihnen Ihre Pflichten einzuhalten.

Wie Sie dieses Verzeichnis erstellen erfahren Sie hier.

Sollte nun z.B. eine Löschanfrage in Ihrem Unternehmen eintreffen, nehmen Sie das Verzeichnis zur Hand und schauen, wo die Daten des Kunden gespeichert sind. So können Sie dem Löschantrag schnell nach kommen.

Dokumentation der Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen – TOM)

Kunden- und Nutzerdaten können sensibel sein, weswegen der Gesetzgeber hier vorschreibt, dass diese gut gesichert sein müssen. Sie müssen hier also umfangreich dokumentieren, welche Maßnahmen Sie getroffen haben, damit Ihre Daten sicher im Unternehmen sind und dort auch bleiben.

TOMs bei Kundendaten sind wichtig zur Einhaltung der DSGVO.

Wie Sie die TOM richtig dokumentieren erfahren Sie hier.

Interessenabwägung und Risikoanalyse bei der Erhebung von Kundendaten

Die Zeiten der Sammlung von Kundendaten um jeden Preis soll nach der EU-Datenschutz-Grundverordnung der Vergangenheit angehören. Vielmehr soll sich der Unternehmer vor dem Sammeln klar machen, ob alle Daten zur Erfüllung des Zweckes notwendig und verhältnismäßig sind. Ein Muster für eine Interessenabwägung nach DSGVO finden Sie hier.

Wie Sie die Risikoanalyse durchführen und abschätzen, ob ggf. eine DSFA durchgeführt werden muss erfahren Sie hier.

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Wo sie jetzt genauer schauen sollten, um im Umgang mit Kundendaten DSGVO konform zu sein

Sollten Sie viele Kundendaten auf verschiedenen Kanälen sammeln, lohnt es sich bestimmte Prozesse genauer unter die Lupe zu nehmen.

Customer Relationship Management (CRM) bzw. E-Mail Marketing und die DSGVO

Fragen Sie sich hier folgende Fragen, um Problemen auf die Spur zu kommen:

  • Habe ich alle Disclaimer (s.o.) richtig verfasst und an den passenden Stellen in meinen Lead-Formularen platziert? Kann ich die ggf. erteilte Einwilligung nachvollziehen und nachweisen?
  • Habe ich alle Dokumentationspflichten erfüllt?
  • Kann ich im Notfall schnell berichtigen, löschen oder herausgeben?
  • Sammle ich in angemessenen Umfang Daten?

Gehen Sie Ihre Prozesse am besten kurz mit diesen Fragen durch und bessern Sie nach, wo noch Defizite auftreten.

Handy Nahansicht, zeigt "Analytics".

Kundenservice (Customer Support) Datenschutzgerecht gestalten

Ein Kundenservice verarbeitet naturgemäß viele sensible Daten. Hier sollte genau darauf geachtet werden, dass alle Verarbeitungen dokumentiert und ggf. AV-Verträge mit Dienstleistern abgeschlossen wurden.

Auch sollte der Customer Support bzgl. Anfragen von Kunden zum Datenschutz geschult werden. Er sollte mit höchster Priorität auf Datenschutz Anfragen antworten und diese eskalieren, um eine Behördenmeldung zu vermeiden.

Adresslisten nach Datenschutzrecht

Wer in der Vergangenheit Adresslisten gekauft oder anderweitig beschafft hat, sollte nun besonders vorsichtig sein. Früher war eher mit Abmahnungen nach §7 UWG zu rechnen, aber durch die DSGVO besitzen Adresslisten, die ohne explizite Einwilligung erzeugt wurden oder nicht öffentlich verfügbare Information beinhalten, hohes Gefahrenpotential. Es drohen nicht nur Abmahnungen, sondern auch hohe Bußgelder durch das Einschalten von Datenschutzbehörden.

Außerdem ist durch die extensive Berichterstattung in den Medien zu erwarten, dass die Kunden sensibler werden und Verstöße schneller melden als vorher.

Prüfen Sie hier also genau die Quellen der Daten. Schon die alleinige Speicherung stellt einen Verstoß dar, ganz ohne erfolgreichen Versand von z.B. E-Mails.

Sensible Kundendaten – Art .9 Kundendaten

Sensible Kundendaten sind in der DSGVO im berühmten Art. 9 DSGVO erfasst. Die europäische Kommission listet unter anderem rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen und genetische Daten als besonders schützenswert auf.

Bei der Verarbeitung von sensiblen Kundendaten ist also zu beachten, dass besondere (technische und organisationale) Schutzmaßnahmen eingehalten werden. Auch greift hier wieder das bekannte Verarbeitungsverbot. Es gelten Enge Grezen:

  • Eine Verarbeitung von sensiblen Kundendaten ist nur mit ausdrücklicher Einwilligung möglich
  • Die Daten müssen erhoben werden, um z.B. das Arbeits- und Sozialrecht einzuhalten
  • Einige weitere Ausnahmen, wie z.B. Strafverfolgung, Kirchen und Sozialverbände oder bereits öffentliche Daten

Es kann also zusammengefasst werden, dass sensible personenbezogene Daten in der Regel keine Kundendaten sein sollten. Die Verarbeitung ist an hohe Hürden geknüpft, die normalerweise nicht leicht zu umschiffen sind. Versuchen Sie also lieber auf sensible Kundendaten durch Datensparsamkeit zu verzichten.

Was Sie sonst noch beim Umgang mit Kundendatenbanken nach DSGVO beachten sollten

Außer den umfangreichen Dokumentationspflichten, Wahrung der Rechte von Betroffenen und schleifen Ihrer Prozesse sollten Sie auch noch andere Punkte beachten.

Datenschutzerklärung – die Datenschutz Vorlage für Kunden

Halten Sie Ihre Datenschutzerklärung auf dem neuesten Stand. Neue Plugins werden installiert oder ein neues Tracking implementiert. Da kann es schnell passieren, dass man vergisst, das ganze auch in der Datenschutzerklärung zu erwähnen.

Sie sollten möglichst transparent und in einfacher Sprache über Ihre Grundsätze der Datenverarbeitung aufklären und alle Drittanbieter und ggf. Plugins auflisten.

Nützlich sind hier Generatoren für die Datenschutzerklärung, welche Ihre Texte (z.B. via Plugin) auch aktuell halten können.

Datenlecks / Backuppflicht

Sollten Sie durch z.B. Hacker oder Unfälle Daten verlieren oder Ihnen gestohlen werden, müssen Sie dies an die Behörden binnen 72 Stunden melden. Außerdem müssen die Kunden informiert werden.

Dabei muss natürlich abgewogen werden, welche Folgen der Verlust für die Betroffenen hat.

Backups sind wichtig und essentiell für die Einhaltung der DSGVO.

Was viele Unternehmer nicht wissen, Daten müssen gut geschützt und wieder auffindbar gespeichert werden. Art. 32 Abs. 1 lit. c DSGVO schreibt explizit vor, dass Sie verpflichtet sind, „personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.”

Ein Datenverlust ist also auch nicht auf die leichte Schulter zu nehmen und ein Backupkonzept ist auch nach DSGVO sehr anzuraten.

Bußgelder

Über Bußgelder wurde schon sehr viel berichtet, weswegen dieser Artikel nicht weiter darauf eingehen wird. Es bleibt aber festzuhalten, dass vor allem der Kauf von Adressen zu einem hohen finanziellen Risiko führt.

Schulungen

Sie sollten Ihre Mitarbeiter im Umgang mit Daten schulen und diese auch nachweisen. Dadurch kommen Sie Ihren gesetzlichen Pflichten nach und verhindern Datenpannen.

Sensible Kunden

Durch die Berichterstattung rund um die DSGVO werden Kunden und Nutzer sensibler für das Thema Datenschutz und so dass sie ihre Daten öfter einfordern werden. Seien Sie also darauf vorbereitet im Umgang mit Kundendaten auf neue Herausforderungen zu treffen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Die wichtigsten Fragen (FAQ) zum Datenschutz bei Kundendaten

Welche Kundendaten darf ich überhaupt speichern?

Es gilt das Prinzip der Datenminimierung. Sie dürfen also nur die Daten speichern, welche dem Zweck entsprechen.

Wenn Sie z.B. eine Ware an einen Kunden senden möchten, benötigen Sie nur die Adressdaten und nicht die Daten zum Gesundheitszustand.

Wie lange dürfen Kundendaten gespeichert werden?

Grundsätzlich sollten sich die Löschfristen für Kundendaten nach den gesetzlichen Aufbewahrungsfristen richten. Dies kann z.B. 10 Jahre gemäß Abgabenordnung sein, z.B. für Rechnungen. Sollte sich keine direkte Aufbewahrungsfrist ergeben, so sollten Daten dann gelöscht werden, wenn deren Zweck erfüllt ist. Dies ist regelmäßig der Fall, wenn die Daten nicht mehr benötigt werden. Wenn Sie also z.B. eine E-Mail Adresse erhoben haben, um den Kunden mit einem Newsletter zu informieren, der Kunde sich aber abmeldet, so müssen Sie die E-Mail Adresse und alle weiteren personenbezogenen Daten, innerhalb eines angemessenen Zeitraumes (z.B. 30 Tage nach Abmeldung) löschen.

Kundendaten dürfen also nur so lange gespeichert werden, wie sie benötigt werden oder so lange wie das Gesetz eine Aufbewahrungspflicht vorschreibt.

Muss ich meine Kundendaten immer löschen, wenn ein Kunde das verlangt?

Nein, manchmal stehen der Löschung Aufbewahrungsfristen lt. Gesetz entgegen.

Wenn ein Kunde z.B. verlangt, dass seine Rechnungsdaten gelöscht werden, so muss diesem die Auskunft erteilt werden, dass gemäß Abgabenordnung eine Aufbewahrung für 10 Jahre notwendig ist und erst dann gelöscht wird.

Welche Kundendaten fallen überhaupt unter den Schutz der DSGVO?

Nur solche mit Personenbezug. Ausdrücklich nicht darunter fallen anonyme oder aggregierte Daten. Ihr Jahresabschluss fällt z.B. nicht unter den Schutzbereich der personenbezogenen Daten.

Muss ich ein Informationsschreiben an meine Kunden schicken?

Grundsätzlich müssen Sie dies nicht. Sie müssen allerdings vor der Verarbeitung Ihre Kunden darüber informieren, wie und warum Ihre Daten verarbeitet werden.

Sie sollten hier Ihre Informationspflichten nach DSGVO einhalten.

Benötige ich eine Einwilligung, um Kundendaten zu speichern?

Das kommt auf verschiedene Faktoren an und welchen Zweck Sie verfolgen. Wenn Sie die Kundendaten speichern, weil Sie ein Geschäft abschließen wollen, benötigen Sie keine Einwilligung, weil Ihnen das Gesetz die Verarbeitung erlaubt. Sie müssen aber dennoch Ihren Informationspflichten nachkommen. Sollten Sie allerdings Daten rein zu Werbezwecken erheben, benötigen Sie unter Umständen eine Einwilligung.

Was passiert beim Verlust von Kundendaten?

Sollten die Daten lediglich von Ihnen bzw. intern gelöscht worden sein, ist dies seltener ein Problem. Hier könnte es nur zu Problemen kommen, wenn die Kundendaten in der Zukunft noch benötigt werden.

Wenn Daten von Kunden allerdings an Dritte abfließen (z.B. Hacker), dann kann dies ein meldepflichtiger Datenschutzverstoß sein, welcher der zuständigen Aufsichtsbehörde gemeldet werden muss.

Wann müssen Kundendaten gelöscht werden?

Kundendaten müssen gelöscht werden, sobald ihr Zweck erfüllt wurde oder die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Darüber hinaus kann ein Betroffener jederzeit die Löschung seiner personenbezogenen Daten verlangen. Ob dies dann auch geschehen muss hängt von verschiedenen Faktoren ab, z.B. den gesetzlichen Aufbewahrungsfristen.

Gilt die DSGVO auch bei geschäftlichen bzw. B2B Kundendaten

Ja, denn grundsätzlich ist der Geltungsbereich der DSGVO unabhängig von der Geschäftsbeziehung. Auch beim reinen B2B Kundengeschäft fallen personenbezogene Daten z.B. der Angestellten an. Auch geschäftliche Kontaktdaten haben Personenbezug und Fallen um den Regelungsbereich der DSGVO. Ausgenommen sind Kontaktdaten ohne Personenbezug, also z.B. info@ Adressen oder die meisten Firmennamen.

Reine Unternehmensdaten (Bilanzen, Produktspezifikationen) sind zwar regelmäßig keine personenbezogene Daten, dies bedeutet aber nicht, das man den Datenschutz im B2B Kontext außer Acht lassen kann.

Fazit: Kundendaten können auch im Einklang mit der DSGVO verarbeitet werden

Wenn Sie die hier dargestellten Tipps und Regeln einhalten, steht einer weiteren Verarbeitung von Kundendaten nichts mehr im Wege. Beachten Sie die Datenschutzgrundsätze und seinen Sie fair und transparent bei der Verarbeitung, dann können Sie auch die Daten Ihrer Kunden mit ruhigen Gewissen verarbeiten.

Quellen

https://dsgvo-gesetz.de/art-17-dsgvo/

https://dsgvo-gesetz.de/art-13-dsgvo/

https://dsgvo-gesetz.de/art-6-dsgvo/

https://dsgvo-gesetz.de/art-14-dsgvo/

https://dsgvo-gesetz.de/art-15-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://www.gesetze-im-internet.de/uwg_2004/__7.html

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Beteiligungskonzept wird in einer Gruppe von Menschen erstellt.

Das Beteiligungskonzept – Wieso Sie Ihren Datenschutzbeauftragten (DSB) immer einbinden sollten

Die Einbindung des Datenschutzbeauftragten (DSB) ist ein zentraler Baustein für die datenschutzrechtliche Compliance eines Unternehmens. Dennoch wird seine Rolle in der Praxis häufig unterschätzt oder zu spät berücksichtigt. Dies führt nicht nur zu vermeidbaren rechtlichen und operativen Risiken, sondern auch zu einem Spannungsverhältnis zwischen der Geschäftsführung, die Entscheidungen trifft und Verantwortung trägt, und dem DSB, ... Weiterlesen
Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

*Begrenzte Aktion, Normalpreis 49€ Netto

DSGVO-Checkliste

kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO. ​