Antwort
Behörden unterliegen bei der Verarbeitung personenbezogener Daten von natürlichen Personen den Vorschriften der Datenschutz-Grundverordnung. Die nationalen Verwaltungen sind dafür verantwortlich, regionale und lokale Verwaltungen bei der Vorbereitung auf die Anwendung der Datenschutz-Grundverordnung zu unterstützen.
Die Mehrheit der von Behörden gespeicherten personenbezogenen Daten wird normalerweise auf der Grundlage einer rechtlichen Verpflichtung verarbeitet oder soweit dies für die Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen, oder in Ausübung öffentlicher Gewalt, die der betreffenden Behörde übertragen wurde, erforderlich ist.
Bei der Verarbeitung personenbezogener Daten müssen Behörden wesentliche Grundsätze beachten, zum Beispiel
- faire und rechtmäßige Verarbeitung;
- Zweckbindung;
- Datenminimierung und Datenspeicherung.
Im Falle der Verarbeitung auf einer gesetzlichen Grundlage sollte bereits das entsprechende Gesetz gewährleisten, dass die Grundsätze beachtet werden (z. B. die Arten von Daten, Speicherfristen und geeignete Garantien).
Vor der Verarbeitung personenbezogener Daten müssen betroffene Personen über die Verarbeitung, ihre Zwecke, die Art der erhobenen Daten, die Empfänger und ihre Datenschutzrechte unterrichtet werden.
Eine Behörde ist verpflichtet, einen Datenschutzbeauftragten ernennen. Allerdings kann ein Datenschutzbeauftragter für mehrere öffentliche Stellen bestimmt werden, die sich diesen teilen, oder diese Tätigkeit kann an einen externen Datenschutzbeauftragen vergeben werden. Außerdem muss die Behörde sicherstellen, dass angemessene technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten getroffen wurden. Wenn für Teile der Verarbeitung eine externe Organisation (ein sogenannter „Auftragsverarbeiter“) herangezogen wird, muss ein Vertrag oder sonstiger Rechtsakt gewährleisten, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass angemessene technische und organisatorische Maßnahmen getroffen werden, die den Standards der Datenschutz-Grundverordnung entsprechen.
Wenn aufbewahrte personenbezogene Daten unbeabsichtigt oder unrechtmäßig unbefugten Empfängern offengelegt werden, vorübergehend nicht verfügbar sind oder geändert werden, muss die Datenschutzbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde, über diese Verletzung des Schutzes personenbezogener Daten unterrichtet werden. Die Behörden müssen gegebenenfalls auch betroffene Personen über die Verletzung informieren.
Weitere Informationen zu den Pflichten von Behörden nach der Datenschutz-Grundverordnung finden Sie im Abschnitt „Unternehmen und Organisationen“.
Referenzen
- Kapitel II, IV
Das Wichtigste zum Datenschutz bei Kundendaten in Kürze
- Wie alle anderen personenbezogenen Daten dürfen auch Kundendaten nur dann gespeichert, verarbeitet und genutzt werden, wenn ein Gesetz dies gestattet bzw. vorschreibt oder der Betroffene hierin eindeutig eingewilligt hat.
- Zu berücksichtigen sind in jedem Fall die Datenschutzgrundsätze der Zweckbindung und Zweckmäßigkeit. Die erhobenen Daten müssen also auch für die Zweckerfüllung geeignet sein.
- Gemäß Datenschutz dürfen Kundendaten nur dann weitergegeben werden, wenn der Betroffene hierin eingewilligt hat, die Daten öffentlich zugänglich sind oder aber die berechtigten Interessen des Unternehmens die des Betroffenen nachweislich überwiegen.
Gesetzlich korrekter Umgang mit Kundendaten gemäß Datenschutzgesetz
- Gesetzlich korrekter Umgang mit Kundendaten gemäß Datenschutzgesetz
- Dürfen Sie gemäß Datenschutz Kundendaten weitergeben?
- Was muss die Datenschutzerklärung bezüglich der Kundendaten beinhalten?
- Umfassende Datenschutzerklärung (auch für Kundendaten): Vorlage zum Download
Immer und überall dort, wo personenbeziehbare oder personenbezogene Daten erhoben, verarbeitet und genutzt werden, kommt der Datenschutz zum Tragen. Dabei gilt auch bezüglich der Kundendaten gemäß Datenschutz: Die Verarbeitung, Speicherung und Weitergabe sind nur dann gestattet, wenn dies gesetzlich erlaubt ist oder der Betroffene hierzu seine Einwilligung erteilt hat.
Fehlen gesetzliche Grundlage oder Einwilligung, dürfen folglich gemäß Datenschutz keine Kundendaten erhoben werden. Bei den Daten von Kunden greifen bei Unternehmen beide Voraussetzungen:
Zum einen ist es Unternehmern gesetzlich gestattet, all jene personenbezogene Daten zu erheben und zu verarbeiten, die mit Vertragsabschluss und der -erfüllung in Zusammenhang stehen. Je nach Ausrichtung fallen hierunter vor allem Adress- und Konteninformationen. Hier kommt die Zweckbindung zum Tragen, die im Datenschutz auch auf Kundendaten Anwendung findet.
Das Datenschutzprinzip der Zweckbindung beschreibt, dass sensible Daten immer nur bezogen auf einen zuvor festgeschriebenen Zweck gespeichert, verarbeitet und genutzt werden dürfen. Die Daten müssen dabei jedoch vor allem auch geeignet sein, um diesen Zweck zu erfüllen. Nach Zweckerfüllung müssen die Daten vor weiteren Zugriffen geschützt werden. In der Regel schreibt der Datenschutz dann die Löschung der Kundendaten vor.
Wollen Sie zum anderen über die eigentlichen Zwecke hinaus auch in einem anderen Rahmen Kundendaten speichern, muss gemäß Datenschutz hierfür stets eine eindeutige, freiwillige Einwilligungserklärung des Betroffenen vorliegen. In dieser muss eindeutig festgehalten werden, was die Zustimmung für die Nutzung der Daten der Kunden bedeutet.
Dürfen Sie gemäß Datenschutz Kundendaten weitergeben?
Die Weitergabe von personenbezogenen Daten ist streng reglementiert. In der Regel ist dies nur zulässig, wenn der Betroffene darin eingewilligt hat.
Liegt eine Einverständniserklärung vor, so kann – mit dem Datenschutz konform – die Weitergabe der Kundendaten erfolgen.
Doch auch ohne Zustimmung ist der Datenhandel möglich: Der Verkauf der Kundenstamm-Daten kann gemäß Datenschutz zum Teil auch ohne die Einwilligung des Betroffenen erfolgen, nämlich immer dann, wenn die berechtigten Interessen des Unternehmens nachweislich die schutzwürdigen Interessen der betroffenen Personen nachweislich überwiegen (§ 28 Bundesdatenschutzgesetz).
Darüber hinaus greift der Datenschutz auch nicht bei Informationen, die die Betroffenen freimütig öffentlich zugänglich gemacht haben, so etwa auch im Rahmen eines Telefonbuchs oder anderer Verzeichnisse.
Was muss die Datenschutzerklärung bezüglich der Kundendaten beinhalten?
Öffentliche und nicht öffentliche Stelle sowie Websitebetreiber müssen in einer umfangreichen Datenschutzerklärung aufführen, welche personenbezogenen Daten erhoben werden, zu welchem Zweck und welche Rechte die Betroffenen gemäß Datenschutz haben.
Die Kundendaten zu erheben, ohne eine geeignete Datenschutzerklärung zur Verfügung zu stellen, ist unzulässig.
Welche Aspekte müssen in einer Datenschutzerklärung bei Kundendaten stehen? Unser Muster, das wir Ihnen im Folgenden zur Verfügung stellen, hält hierfür zahlreiche Beispiele bereit, die sich auch auf die Erhebung, Speicherung und Nutzung von Kundendaten anwenden lassen.
Sie sollten diese Vorlage jedoch nicht ungeprüft übernehmen, sondern stets auf Ihren jeweiligen Einzelfall anpassen und ggf. ergänzen. Der Datenschutz bei Kundendaten lässt sich nicht allgemein auf alle Bereiche ausweiten. Halten Sie hierzu auch Rücksprache mit einem Anwalt oder einem Datenschutzbeauftragten.
Umfassende Datenschutzerklärung (auch für Kundendaten): Vorlage zum Download
Hier können Sie die komplette Datenschutzerklärung downloaden. Sie enthält zahlreiche Beispiele, die in einer solchen Erklärung aufgenommen werden können. Es bedarf jedoch in jedem Einzelfall einer spezifischen Anpassung.
Download als PDF Download als .doc