Platine Nahansicht.

Kundendaten und die DSGVO

von

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

  • Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
  • Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
  • Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche

Kundendaten nach DSGVO richtig zu verarbeiten kann schwierig sein und viele Probleme und Unsicherheiten verursachen. Dieser Artikel soll beleuchten, wie sie Kundendaten nach Datenschutzrecht behandeln sollten. Inklusive praktischem Disclaimer für Ihre Lead-Formulare!

Sie erfahren:

  • Was Kundendaten überhaupt sind.
  • Was Sie beim Umgang mit Kundendaten überhaupt alles beachten müssen.
  • Welche Teile Ihres Unternehmens Sie besonders durchleuchten sollten.
  • Welche Stolperfallen Sie vermeiden sollten.
  • Die wichtigsten Fragen zu Kundendaten und DSGVO.

Kundendaten nach DSGVO

Bevor geklärt werden kann, was Sie beachten müssen, muss zunächst festgestellt werden, was überhaupt Kundendaten nach Datenschutz-Grundverordnung bzw. neuem BDSG überhaupt sind.

Im Zusammenhang mit der Datenschutz-Grundverordnung ist immer von “personenbezogenen Daten” zu sprechen. Also Daten, die einer natürlichen Person (also einem Menschen) zuordenbar sind und ihn identifizieren oder identifizierbar machen.

Dies können also alle Kundendaten sein, wie z.B.

  • die E-Mail Adresse,
  • Name,
  • IP-Adresse,
  • Bestelldaten,
  • vollständige Adresse,
  • Kommunikationsdaten usw.

Aber auch Daten, die einen Kunden nicht sofort identifizieren gehören dazu, z.B.

  • Geschlecht,
  • Wohnort,
  • Nickname,
  • oder Geburtsdatum.

Denn die Zusammenführung dieser mit anderen Daten macht die Person identifizierbar.

Zusammenfassend ist also zu sagen, dass Sie davon ausgehen sollten, dass alle Ihre Kundendaten unter das Datenschutzrecht fallen.

USB Stick, auf dem Kundendaten gespeichert sein könnten.

Kurzzusammenfassung im Video – Kundendaten richtig verarbeiten

Was beim Umgang mit Nutzer- und Kundendaten zu beachten ist

Der folgende Abschnitt soll einige Felder aufzeigen, die relevant für den Umgang mit Kundendaten sind.

Wann Sie Kundendaten nach DSGVO überhaupt verarbeiten dürfen

Grundsätzlich gilt, dass es verboten ist personenbezogene Daten zu verarbeiten, außer, es liegt eine gesetzliche Grundlage vor (der Grundsatz eines generellen Verbots mit Erlaubnisvorbehalt).

In der Praxis ist diese gesetzliche Grundlage fast immer die Vertragserfüllung bzw. die Vertragsanbahnung. Also die Verarbeitung ist notwendig, um z.B. die bestellte Ware an einen Kunden zu liefern oder um ihm ein Angebot zu unterbreiten (vorvertragliche Maßnahme).

Als zweite Grundlage, wenn kein Vertrag vorliegt ist die des berechtigten Interesses. D.h. Sie haben ein (wirtschaftliches) Interesse an der Verarbeitung und die betroffene Person wird in seinen Grundrechten nicht zu stark eingeschränkt. Dies kann z.B. der Fall sein, wenn Sie Ihre Kunden zielgerichtet mit Werbung ansprechen wollen. Hier müssen Sie allerdings genau abwägen und Ihre Interessen dokumentieren.

Wenn nichts anderes in Frage kommt, können Sie sich außerdem die Einwilligung zur Speicherung bzw. Verarbeitung von Kundendaten einholen. Daran sind allerdings hohe rechtliche Hürden gekoppelt.

Zusätzlich zu beachten ist die Zweckbindung. Wenn Sie z.B. E-Mail Adressen gesammelt haben, um Ihren Kunden Neuigkeiten zum Produkt zu kommen zu lassen, dürfen Sie diese z.B. nicht zum Zwecke des Adresshandels einfach weiterverkaufen.

Zu guter Letzt müssen Sie alle Datenschutzgrundsätze bei der Verarbeitung einhalten:

  • Rechtmäßigkeit der Verarbeitung (siehe oben: Verbot mit Erlaubnisvorbehalt),
  • Verarbeitung nach Treu und Glauben (ist die Verarbeitung redlich und anständig?),
  • Transparenz (siehe Informationspflichten),
  • Zweckbindung (siehe oben),
  • Datenminimierung (nur so viele Daten speichern, wie unbedingt notwendig, z.B. nur E-Mail Adresse bei der Newsletteranmeldung),
  • Richtigkeit der Datenverarbeitung,
  • Keine unbegrenzte Speicherung (wenn der Zweck erfüllt oder die gesetzliche Aufbewahrungspflicht erfüllt ist, muss gelöscht werden),
  • Integrität und Vertraulichkeit (geeignete technische und organisatorische Maßnahmen wurden ergriffen, um die Daten zu schützen).

Die Weitergabe von Kundendaten nach Datenschutzrecht

Die Weitergabe oder sogar der Verkauf von Nutzer- und Kundendaten ist nicht ohne weiteres möglich. Folgende Szenarien sind möglich:

  • Weitergabe / Verkauf im Rahmen eines kompletten Unternehmensverkaufs (da sich der Verantwortliche nicht ändert, gibt es hier keine Probleme)
  • Weitergabe / Verkauf im Rahmen eine Asset Deals (ggf. Einwilligung der Betroffenen notwendig, weitere Informationen finden Sie hier.)
  • Weitergabe von Daten im Rahmen einer Auftragsverarbeitung (AV-Vertrag ist notwendig)
  • Weitergabe von Daten in Drittstaaten (z.B. Google Analytics, Garantien müssen vorliegen)
  • Weitergabe / Verkauf zum Zwecke des Adressenhandels (in der Regel neue Einwilligung notwendig, insofern bei der Erhebung der Daten nicht geschehen)

Davon ausgeschlossen sind bereits öffentlich vorliegende Daten.

Daten müssen bei Weitergabe kontrolliert werden - deswegen data transmission.

Wie verhält es sich Datenschutzrechtlich bei der Herausgabe von Daten am Telefon? Vorsicht ist bei der Weitergabe personenbezogener Kundendaten am Telefon. Es sollte immer vorher die Identität des Anfragenden geklärt werden.

Informationspflichten nach DSGVO bei der Erhebung von Kundendaten und Einwilligung

Der Kunde muss immer umfassend über seine Rechte informiert werden, bevor seine Daten verarbeitet werden. So muss in E-Mail bzw. Lead Formularen z.B. klar stehen, zu welchem Zweck, wie und in welchem Umfang die Daten erhoben werden. Der Nutzer muss auch darüber aufgeklärt werden, dass er ein Beschwerderecht hat.

Auch ein Hinweis auf den Datenschutz in der Rechnung ist möglich, z.B. mit folgender Formulierung:

Unsere Hinweise zum Datenschutz finden Sie unter [Link zur Datenschutzerklärung für Kunden].

Ein Beispiel für eine Formulierung welche unter jeder Eingabemaske (am besten mit einer verfolgbaren Checkbox) stehen könnte, finden Sie unten.

Beispiel Disclaimer bei Erhebung von E-Mail Adressen:

Ihre Daten werden zum Zwecke des E-Mail Marketings durch die Muster GmbH gespeichert und ausgewertet. Es werden folgende Daten gespeichert: E-Mail Adresse, IP-Adresse, Opt-In Datum, Vorname, Nachname, weitere Web-Daten. Ihre Daten werden bis auf Widerruf gespeichert und nach 10 Jahren automatisch gelöscht, außer es gelten abweichende gesetzliche Aufbewahrungsfristen. Sie können sich jederzeit unter [Kontakt E-Mail Adresse] über Ihre Daten informieren und eine Herausgabe, Löschung oder Berichtigung beantragen. Darüber hinaus haben Sie das Recht, sich an die für Sie zuständige Datenschutzbehörde (z.B. Ihren Landesdatenschutzbeauftragten) zu wenden.

Dieser Text sollte für den jeweiligen Zweck angepasst und ausführlich und wahrheitsgemäß verfasst werden.

Darüber hinaus muss der Nutzer explizit einwilligen (Opt-In), dass seine Daten im o.g. Umfang verarbeitet werden, insofern kein Vertrag oder vertragsähnliches Rechtsverhältnis besteht oder Sie ein berechtigtes Interesse an der Verarbeitung haben.

Rechtssichere Nutzung von Freebes (Kopplungsverbot)

Vorsicht ist auch bei sog. Freebes (kostenloses Downloads gegen E-Mail Adresse) angebracht. Das Bayerische Landesamt für Datenschutzaufsicht hat klare Regeln für die Einhaltung des Kopplungsverbots nach DSGVO aufgestellt. So muss klar sein, dass ein Tausch E-Mail gegen ein (dann kostenloses) Produkt erfolgt. Dies gelingt am besten, in dem man neben dem kostenlosen Download auch eine Bezahloption anbietet. Ein Beispiel für einen Umsetzung finden Sie bei meinem eigenen Leadmagneten.

Transparenz ist wichtig bei der Verarbeitung von Kundendaten.

Außerdem muss maximal transparent darauf hingewiesen werden, dass sich der Kunde auch für den Newsletter anmeldet und ob die Öffnungen / Klicks getrackt werden. Das ganze muss dann auch in der Datenschutzerklärung gespiegelt werden.

Beispiel für eine Information bei Bereitstellung eines Freebes:

Ja ich möchte in den Newsletter aufgenommen werden. Ich habe die Datenschutzbestimmungen [hier Link zur Datenschutzerklärung einfügen] gelesen und bin damit einverstanden. Um Sie in den Newsletter aufzunehmen, benötigen wir eine Bestätigung, dass Sie Inhaber der E-Mail Adresse sind (Double-Opt-In), dazu wird Ihnen eine gesonderte Mail zugeschickt. Die erhobenen Daten dienen zum Versand des Newsletters, es werden Statistiken zur Auswertung erhoben (z.B. Öffnungs- und Klickraten). Es werden außerdem folgende Daten gespeichert: E-Mail Adresse, IP-Adresse, Opt-In Datum. Sie können sich jederzeit wieder austragen und Ihre Zustimmung widerrufen.

Hier ist also Vorsicht geboten, denn alle „falsch“ gesammelten E-Mail Adressen können dann nämlich nicht mehr rechtssicher beschickt werden und die ganze E-Mail Liste kann ungültig werden!

Auskunfts- und Widerspruchsrechte sowie Löschung, Berichtigung und Herausgabe bei der Verarbeitung von Kundendaten

Betroffene (also Kunden, Nutzer und Interessenten) haben viele Rechte, welche Sie als Betreiber einer Website oder eines E-Commerce Stores nachkommen müssen.

Auskunftsrecht

Kunden haben das Recht, Auskunft darüber zu erhalten, welche Daten, zu welchem Zweck und welchem Umfang über sie in Ihrem Unternehmen gespeichert werden. Das bedeutet, dass Sie im Zweifel einen Überblick über Ihre Daten haben müssen, um den Vorschriften zu genügen.

Widerspruchsrecht

Nutzer und Kunden haben auch das Recht der Verarbeitung zu widersprechen. Praktisch gesehen, könnte sich ein Nutzer an Sie wenden und Auskunft verlangen, dann im Anschluss aber der Nutzung Widersprechen.

Löschung und Berichtigung von Nutzerdaten

Betroffene haben das Recht ihre Daten zu berichtigen, z.B. bei Namenswechsel nach der Heirat oder Umzug. Auch falsche Daten müssen berichtigt werden.

Herausgabe von Daten

Die DSGVO schreibt vor, dass Daten von Kunden auch übertragbar sein sollen, d.h. einem Betroffenen jederzeit zur Verfügung gestellt werden müssen. Dabei kann der Kunde grundsätzlich den gesamten Datenbestand über sich anfordern.

Kameras, welche besonders sensible Daten erfassen können.

Dokumentationspflichten für den Umgang mit Kundendaten nach Datenschutz-Grundverordnung

Die oben genannten Pflichten lassen sich nur einhalten, wenn eine Mindestanforderung an die Dokumentation der Tätigkeiten des Unternehmens gestellt wird. Aus diesem Grund sieht die DSGVO drei große Dokumentationskonzepte vor, welche Sie unbedingt vorweisen sollten, schon alleine, um bei möglichen Beschwerden eine gesetzliche Konformität nachzuweisen.

Das Verzeichnis von Verarbeitungstätigkeiten für Kundendaten (früher: Verfahrensverzeichnis)

Dieses Verzeichnis sollte das zentrale Dokument im Unternehmen sein. Es umfasst alle typischen Verarbeitungen, also z.B. E-Mail Marketing, CRM, Kundenanalyse etc. aber auch z.B. Ihre Lohnbuchhaltung oder Ihr Warenwirtschaftssystem und hilft Ihnen Ihre Pflichten einzuhalten.

Wie Sie dieses Verzeichnis erstellen erfahren Sie hier.

Sollte nun z.B. eine Löschanfrage in Ihrem Unternehmen eintreffen, nehmen Sie das Verzeichnis zur Hand und schauen, wo die Daten des Kunden gespeichert sind. So können Sie dem Löschantrag schnell nach kommen.

Dokumentation der Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen – TOM)

Kunden- und Nutzerdaten können sensibel sein, weswegen der Gesetzgeber hier vorschreibt, dass diese gut gesichert sein müssen. Sie müssen hier also umfangreich dokumentieren, welche Maßnahmen Sie getroffen haben, damit Ihre Daten sicher im Unternehmen sind und dort auch bleiben.

TOMs bei Kundendaten sind wichtig zur Einhaltung der DSGVO.

Wie Sie die TOM richtig dokumentieren erfahren Sie hier.

Interessenabwägung und Risikoanalyse bei der Erhebung von Kundendaten

Die Zeiten der Sammlung von Kundendaten um jeden Preis soll nach der EU-Datenschutz-Grundverordnung der Vergangenheit angehören. Vielmehr soll sich der Unternehmer vor dem Sammeln klar machen, ob alle Daten zur Erfüllung des Zweckes notwendig und verhältnismäßig sind. Ein Muster für eine Interessenabwägung nach DSGVO finden Sie hier.

Wie Sie die Risikoanalyse durchführen und abschätzen, ob ggf. eine DSFA durchgeführt werden muss erfahren Sie hier.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Wo sie jetzt genauer schauen sollten, um im Umgang mit Kundendaten DSGVO konform zu sein

Sollten Sie viele Kundendaten auf verschiedenen Kanälen sammeln, lohnt es sich bestimmte Prozesse genauer unter die Lupe zu nehmen.

Customer Relationship Management (CRM) bzw. E-Mail Marketing und die DSGVO

Fragen Sie sich hier folgende Fragen, um Problemen auf die Spur zu kommen:

  • Habe ich alle Disclaimer (s.o.) richtig verfasst und an den passenden Stellen in meinen Lead-Formularen platziert? Kann ich die ggf. erteilte Einwilligung nachvollziehen und nachweisen?
  • Habe ich alle Dokumentationspflichten erfüllt?
  • Kann ich im Notfall schnell berichtigen, löschen oder herausgeben?
  • Sammle ich in angemessenen Umfang Daten?

Gehen Sie Ihre Prozesse am besten kurz mit diesen Fragen durch und bessern Sie nach, wo noch Defizite auftreten.

Handy Nahansicht, zeigt "Analytics".

Kundenservice (Customer Support) Datenschutzgerecht gestalten

Ein Kundenservice verarbeitet naturgemäß viele sensible Daten. Hier sollte genau darauf geachtet werden, dass alle Verarbeitungen dokumentiert und ggf. AV-Verträge mit Dienstleistern abgeschlossen wurden.

Auch sollte der Customer Support bzgl. Anfragen von Kunden zum Datenschutz geschult werden. Er sollte mit höchster Priorität auf Datenschutz Anfragen antworten und diese eskalieren, um eine Behördenmeldung zu vermeiden.

Adresslisten nach Datenschutzrecht

Wer in der Vergangenheit Adresslisten gekauft oder anderweitig beschafft hat, sollte nun besonders vorsichtig sein. Früher war eher mit Abmahnungen nach §7 UWG zu rechnen, aber durch die DSGVO besitzen Adresslisten, die ohne explizite Einwilligung erzeugt wurden oder nicht öffentlich verfügbare Information beinhalten, hohes Gefahrenpotential. Es drohen nicht nur Abmahnungen, sondern auch hohe Bußgelder durch das Einschalten von Datenschutzbehörden.

Außerdem ist durch die extensive Berichterstattung in den Medien zu erwarten, dass die Kunden sensibler werden und Verstöße schneller melden als vorher.

Prüfen Sie hier also genau die Quellen der Daten. Schon die alleinige Speicherung stellt einen Verstoß dar, ganz ohne erfolgreichen Versand von z.B. E-Mails.

Sensible Kundendaten – Art .9 Kundendaten

Sensible Kundendaten sind in der DSGVO im berühmten Art. 9 DSGVO erfasst. Die europäische Kommission listet unter anderem rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen und genetische Daten als besonders schützenswert auf.

Bei der Verarbeitung von sensiblen Kundendaten ist also zu beachten, dass besondere (technische und organisationale) Schutzmaßnahmen eingehalten werden. Auch greift hier wieder das bekannte Verarbeitungsverbot. Es gelten Enge Grezen:

  • Eine Verarbeitung von sensiblen Kundendaten ist nur mit ausdrücklicher Einwilligung möglich
  • Die Daten müssen erhoben werden, um z.B. das Arbeits- und Sozialrecht einzuhalten
  • Einige weitere Ausnahmen, wie z.B. Strafverfolgung, Kirchen und Sozialverbände oder bereits öffentliche Daten

Es kann also zusammengefasst werden, dass sensible personenbezogene Daten in der Regel keine Kundendaten sein sollten. Die Verarbeitung ist an hohe Hürden geknüpft, die normalerweise nicht leicht zu umschiffen sind. Versuchen Sie also lieber auf sensible Kundendaten durch Datensparsamkeit zu verzichten.

Was Sie sonst noch beim Umgang mit Kundendatenbanken nach DSGVO beachten sollten

Außer den umfangreichen Dokumentationspflichten, Wahrung der Rechte von Betroffenen und schleifen Ihrer Prozesse sollten Sie auch noch andere Punkte beachten.

Ihre Datenschutzerklärung

Halten Sie Ihre Datenschutzerklärung auf dem neuesten Stand. Neue Plugins werden installiert oder ein neues Tracking implementiert. Da kann es schnell passieren, dass man vergisst, das ganze auch in der Datenschutzerklärung zu erwähnen.

Sie sollten möglichst transparent und in einfacher Sprache über Ihre Grundsätze der Datenverarbeitung aufklären und alle Drittanbieter und ggf. Plugins auflisten.

Nützlich sind hier Generatoren für die Datenschutzerklärung, welche Ihre Texte (z.B. via Plugin) auch aktuell halten können.

Datenlecks / Backuppflicht

Sollten Sie durch z.B. Hacker oder Unfälle Daten verlieren oder Ihnen gestohlen werden, müssen Sie dies an die Behörden binnen 72 Stunden melden. Außerdem müssen die Kunden informiert werden.

Dabei muss natürlich abgewogen werden, welche Folgen der Verlust für die Betroffenen hat.

Backups sind wichtig und essentiell für die Einhaltung der DSGVO.

Was viele Unternehmer nicht wissen, Daten müssen gut geschützt und wieder auffindbar gespeichert werden. Art. 32 Abs. 1 lit. c DSGVO schreibt explizit vor, dass Sie verpflichtet sind, „personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.”

Ein Datenverlust ist also auch nicht auf die leichte Schulter zu nehmen und ein Backupkonzept ist auch nach DSGVO sehr anzuraten.

Bußgelder

Über Bußgelder wurde schon sehr viel berichtet, weswegen dieser Artikel nicht weiter darauf eingehen wird. Es bleibt aber festzuhalten, dass vor allem der Kauf von Adressen zu einem hohen finanziellen Risiko führt.

Schulungen

Sie sollten Ihre Mitarbeiter im Umgang mit Daten schulen und diese auch nachweisen. Dadurch kommen Sie Ihren gesetzlichen Pflichten nach und verhindern Datenpannen.

Sensible Kunden

Durch die Berichterstattung rund um die DSGVO werden Kunden und Nutzer sensibler für das Thema Datenschutz und so dass sie ihre Daten öfter einfordern werden. Seien Sie also darauf vorbereitet im Umgang mit Kundendaten auf neue Herausforderungen zu treffen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

  • Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
  • Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
  • Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche

Die wichtigsten Fragen (FAQ) zum Datenschutz bei Kundendaten

Welche Kundendaten darf ich überhaupt speichern?

Es gilt das Prinzip der Datenminimierung. Sie dürfen also nur die Daten speichern, welche dem Zweck entsprechen.

Wenn Sie z.B. eine Ware an einen Kunden senden möchten, benötigen Sie nur die Adressdaten und nicht die Daten zum Gesundheitszustand.

Wie lange dürfen Kundendaten gespeichert werden?

Grundsätzlich sollten sich die Löschfristen für Kundendaten nach den gesetzlichen Aufbewahrungsfristen richten. Dies kann z.B. 10 Jahre gemäß Abgabenordnung sein, z.B. für Rechnungen. Sollte sich keine direkte Aufbewahrungsfrist ergeben, so sollten Daten dann gelöscht werden, wenn deren Zweck erfüllt ist. Dies ist regelmäßig der Fall, wenn die Daten nicht mehr benötigt werden. Wenn Sie also z.B. eine E-Mail Adresse erhoben haben, um den Kunden mit einem Newsletter zu informieren, der Kunde sich aber abmeldet, so müssen Sie die E-Mail Adresse und alle weiteren personenbezogenen Daten, innerhalb eines angemessenen Zeitraumes (z.B. 30 Tage nach Abmeldung) löschen.

Kundendaten dürfen also nur so lange gespeichert werden, wie sie benötigt werden oder so lange wie das Gesetz eine Aufbewahrungspflicht vorschreibt.

Muss ich meine Kundendaten immer löschen, wenn ein Kunde das verlangt?

Nein, manchmal stehen der Löschung Aufbewahrungsfristen lt. Gesetz entgegen.

Wenn ein Kunde z.B. verlangt, dass seine Rechnungsdaten gelöscht werden, so muss diesem die Auskunft erteilt werden, dass gemäß Abgabenordnung eine Aufbewahrung für 10 Jahre notwendig ist und erst dann gelöscht wird.

Welche Kundendaten fallen überhaupt unter den Schutz der DSGVO?

Nur solche mit Personenbezug. Ausdrücklich nicht darunter fallen anonyme oder aggregierte Daten. Ihr Jahresabschluss fällt z.B. nicht unter den Schutzbereich der personenbezogenen Daten.

Muss ich ein Informationsschreiben an meine Kunden schicken?

Grundsätzlich müssen Sie dies nicht. Sie müssen allerdings vor der Verarbeitung Ihre Kunden darüber informieren, wie und warum Ihre Daten verarbeitet werden.

Sie sollten hier Ihre Informationspflichten nach DSGVO einhalten.

Benötige ich eine Einwilligung, um Kundendaten zu speichern?

Das kommt auf verschiedene Faktoren an und welchen Zweck Sie verfolgen. Wenn Sie die Kundendaten speichern, weil Sie ein Geschäft abschließen wollen, benötigen Sie keine Einwilligung, weil Ihnen das Gesetz die Verarbeitung erlaubt. Sie müssen aber dennoch Ihren Informationspflichten nachkommen. Sollten Sie allerdings Daten rein zu Werbezwecken erheben, benötigen Sie unter Umständen eine Einwilligung.

Was passiert beim Verlust von Kundendaten?

Sollten die Daten lediglich von Ihnen bzw. intern gelöscht worden sein, ist dies seltener ein Problem. Hier könnte es nur zu Problemen kommen, wenn die Kundendaten in der Zukunft noch benötigt werden.

Wenn Daten von Kunden allerdings an Dritte abfließen (z.B. Hacker), dann kann dies ein meldepflichtiger Datenschutzverstoß sein, welcher der zuständigen Aufsichtsbehörde gemeldet werden muss.

Wann müssen Kundendaten gelöscht werden?

Kundendaten müssen gelöscht werden, sobald ihr Zweck erfüllt wurde oder die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Darüber hinaus kann ein Betroffener jederzeit die Löschung seiner personenbezogenen Daten verlangen. Ob dies dann auch geschehen muss hängt von verschiedenen Faktoren ab, z.B. den gesetzlichen Aufbewahrungsfristen.

Gilt die DSGVO auch bei geschäftlichen bzw. B2B Kundendaten

Ja, denn grundsätzlich ist der Geltungsbereich der DSGVO unabhängig von der Geschäftsbeziehung. Auch beim reinen B2B Kundengeschäft fallen personenbezogene Daten z.B. der Angestellten an. Auch geschäftliche Kontaktdaten haben Personenbezug und Fallen um den Regelungsbereich der DSGVO. Ausgenommen sind Kontaktdaten ohne Personenbezug, also z.B. info@ Adressen oder die meisten Firmennamen.

Reine Unternehmensdaten (Bilanzen, Produktspezifikationen) sind zwar regelmäßig keine personenbezogene Daten, dies bedeutet aber nicht, das man den Datenschutz im B2B Kontext außer Acht lassen kann.

Fazit: Kundendaten können auch im Einklang mit der DSGVO verarbeitet werden

Wenn Sie die hier dargestellten Tipps und Regeln einhalten, steht einer weiteren Verarbeitung von Kundendaten nichts mehr im Wege. Beachten Sie die Datenschutzgrundsätze und seinen Sie fair und transparent bei der Verarbeitung, dann können Sie auch die Daten Ihrer Kunden mit ruhigen Gewissen verarbeiten.

Quellen

https://dsgvo-gesetz.de/art-17-dsgvo/

https://dsgvo-gesetz.de/art-13-dsgvo/

https://dsgvo-gesetz.de/art-6-dsgvo/

https://dsgvo-gesetz.de/art-14-dsgvo/

https://dsgvo-gesetz.de/art-15-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://www.gesetze-im-internet.de/uwg_2004/__7.html

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

Jetzt sichern!

*Begrenzte Aktion, Normalpreis 49€ Netto