Kundendaten nach DSGVO richtig zu verarbeiten kann schwierig sein und viele Probleme und Unsicherheiten verursachen. Dieser Artikel soll beleuchten, wie sie Kundendaten nach Datenschutzrecht behandeln sollten. Inklusive praktischem Disclaimer für Ihre Lead-Formulare! Show
Sie erfahren:
Inhalte
Bevor geklärt werden kann, was Sie beachten müssen, muss zunächst festgestellt werden, was überhaupt Kundendaten nach Datenschutz-Grundverordnung bzw. neuem BDSG überhaupt sind. Im Zusammenhang mit der Datenschutz-Grundverordnung ist immer von “personenbezogenen Daten” zu sprechen. Also Daten, die einer natürlichen Person (also einem Menschen) zuordenbar sind und ihn identifizieren oder identifizierbar machen. Dies können also alle Kundendaten sein, wie z.B.
Aber auch Daten, die einen Kunden nicht sofort identifizieren gehören dazu, z.B.
Denn die Zusammenführung dieser mit anderen Daten macht die Person identifizierbar. Zusammenfassend ist also zu sagen, dass Sie davon ausgehen sollten, dass alle Ihre Kundendaten unter das Datenschutzrecht fallen. Kurzzusammenfassung im Video – Kundendaten richtig verarbeitenWas beim Umgang mit Nutzer- und Kundendaten zu beachten istDer folgende Abschnitt soll einige Felder aufzeigen, die relevant für den Umgang mit Kundendaten sind. Wann Sie Kundendaten nach DSGVO überhaupt verarbeiten dürfenGrundsätzlich gilt, dass es verboten ist personenbezogene Daten zu verarbeiten, außer, es liegt eine gesetzliche Grundlage vor (der Grundsatz eines generellen Verbots mit Erlaubnisvorbehalt). In der Praxis ist diese gesetzliche Grundlage fast immer die Vertragserfüllung bzw. die Vertragsanbahnung. Also die Verarbeitung ist notwendig, um z.B. die bestellte Ware an einen Kunden zu liefern oder um ihm ein Angebot zu unterbreiten (vorvertragliche Maßnahme). Als zweite Grundlage, wenn kein Vertrag vorliegt ist die des berechtigten Interesses. D.h. Sie haben ein (wirtschaftliches) Interesse an der Verarbeitung und die betroffene Person wird in seinen Grundrechten nicht zu stark eingeschränkt. Dies kann z.B. der Fall sein, wenn Sie Ihre Kunden zielgerichtet mit Werbung ansprechen wollen. Hier müssen Sie allerdings genau abwägen und Ihre Interessen dokumentieren. Wenn nichts anderes in Frage kommt, können Sie sich außerdem die Einwilligung zur Speicherung bzw. Verarbeitung von Kundendaten einholen. Daran sind allerdings hohe rechtliche Hürden gekoppelt. Zusätzlich zu beachten ist die Zweckbindung. Wenn Sie z.B. E-Mail Adressen gesammelt haben, um Ihren Kunden Neuigkeiten zum Produkt zu kommen zu lassen, dürfen Sie diese z.B. nicht zum Zwecke des Adresshandels einfach weiterverkaufen. Zu guter Letzt müssen Sie alle Datenschutzgrundsätze bei der Verarbeitung einhalten:
Die Weitergabe von Kundendaten nach DatenschutzrechtDie Weitergabe oder sogar der Verkauf von Nutzer- und Kundendaten ist nicht ohne weiteres möglich. Folgende Szenarien sind möglich:
Davon ausgeschlossen sind bereits öffentlich vorliegende Daten. Wie verhält es sich Datenschutzrechtlich bei der Herausgabe von Daten am Telefon? Vorsicht ist bei der Weitergabe personenbezogener Kundendaten am Telefon. Es sollte immer vorher die Identität des Anfragenden geklärt werden. Informationspflichten nach DSGVO bei der Erhebung von Kundendaten und EinwilligungDer Kunde muss immer umfassend über seine Rechte informiert werden, bevor seine Daten verarbeitet werden. So muss in E-Mail bzw. Lead Formularen z.B. klar stehen, zu welchem Zweck, wie und in welchem Umfang die Daten erhoben werden. Der Nutzer muss auch darüber aufgeklärt werden, dass er ein Beschwerderecht hat. Auch ein Hinweis auf den Datenschutz in der Rechnung ist möglich, z.B. mit folgender Formulierung:
Ein Beispiel für eine Formulierung welche nach aktueller Datenschutzgesetzgebung unter jeder Eingabemaske (am besten mit einer verfolgbaren Checkbox) stehen sollte, finden Sie unten. Beispiel Disclaimer bei Erhebung von E-Mail Adressen:
Dieser Text sollte für den jeweiligen Zweck angepasst und ausführlich und wahrheitsgemäß verfasst werden. Darüber hinaus muss der Nutzer explizit einwilligen (Opt-In), dass seine Daten im o.g. Umfang verarbeitet werden, insofern kein Vertrag oder vertragsähnliches Rechtsverhältnis besteht oder Sie ein berechtigtes Interesse an der Verarbeitung haben. Rechtssichere Nutzung von Freebes (Kopplungsverbot)Vorsicht ist auch bei sog. Freebes (kostenloses Downloads gegen E-Mail Adresse) angebracht. Das Bayerische Landesamt für Datenschutzaufsicht hat klare Regeln für die Einhaltung des Kopplungsverbots nach DSGVO aufgestellt. So muss klar sein, dass ein Tausch E-Mail gegen ein (dann kostenloses) Produkt erfolgt. Dies gelingt am besten, in dem man neben dem kostenlosen Download auch eine Bezahloption anbietet. Ein Beispiel für einen Umsetzung finden Sie bei meinem eigenen Leadmagneten. Außerdem muss maximal transparent darauf hingewiesen werden, dass sich der Kunde auch für den Newsletter anmeldet und ob die Öffnungen / Klicks getrackt werden. Das ganze muss dann auch in der Datenschutzerklärung gespiegelt werden. Beispiel für eine Information bei Bereitstellung eines Freebes:
Hier ist also Vorsicht geboten, denn alle „falsch“ gesammelten E-Mail Adressen können dann nämlich nicht mehr rechtssicher beschickt werden und die ganze E-Mail Liste kann ungültig werden! Auskunfts- und Widerspruchsrechte sowie Löschung, Berichtigung und Herausgabe bei der Verarbeitung von KundendatenBetroffene (also Kunden, Nutzer und Interessenten) haben viele Rechte, welche Sie als Betreiber einer Website oder eines E-Commerce Stores nachkommen müssen. AuskunftsrechtKunden haben das Recht, Auskunft darüber zu erhalten, welche Daten, zu welchem Zweck und welchem Umfang über sie in Ihrem Unternehmen gespeichert werden. Das bedeutet, dass Sie im Zweifel einen Überblick über Ihre Daten haben müssen, um den Vorschriften zu genügen. WiderspruchsrechtNutzer und Kunden haben auch das Recht der Verarbeitung zu widersprechen. Praktisch gesehen, könnte sich ein Nutzer an Sie wenden und Auskunft verlangen, dann im Anschluss aber der Nutzung Widersprechen. Löschung und Berichtigung von NutzerdatenBetroffene haben das Recht ihre Daten zu berichtigen, z.B. bei Namenswechsel nach der Heirat oder Umzug. Auch falsche Daten müssen berichtigt werden. Herausgabe von DatenDie DSGVO schreibt vor, dass Daten von Kunden auch übertragbar sein sollen, d.h. einem Betroffenen jederzeit zur Verfügung gestellt werden müssen. Dabei kann der Kunde grundsätzlich den gesamten Datenbestand über sich anfordern. Dokumentationspflichten für den Umgang mit Kundendaten nach Datenschutz-GrundverordnungDie oben genannten Pflichten lassen sich nur einhalten, wenn eine Mindestanforderung an die Dokumentation der Tätigkeiten des Unternehmens gestellt wird. Aus diesem Grund sieht die DSGVO drei große Dokumentationskonzepte vor, welche Sie unbedingt vorweisen sollten, schon alleine, um bei möglichen Beschwerden eine gesetzliche Konformität nachzuweisen. Das Verzeichnis von Verarbeitungstätigkeiten für Kundendaten (früher: Verfahrensverzeichnis)Dieses Verzeichnis sollte das zentrale Dokument im Unternehmen sein. Es umfasst alle typischen Verarbeitungen, also z.B. E-Mail Marketing, CRM, Kundenanalyse etc. aber auch z.B. Ihre Lohnbuchhaltung oder Ihr Warenwirtschaftssystem und hilft Ihnen Ihre Pflichten einzuhalten. Wie Sie dieses Verzeichnis erstellen erfahren Sie hier. Sollte nun z.B. eine Löschanfrage in Ihrem Unternehmen eintreffen, nehmen Sie das Verzeichnis zur Hand und schauen, wo die Daten des Kunden gespeichert sind. So können Sie dem Löschantrag schnell nach kommen. Dokumentation der Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen – TOM)Kunden- und Nutzerdaten können sensibel sein, weswegen der Gesetzgeber hier vorschreibt, dass diese gut gesichert sein müssen. Sie müssen hier also umfangreich dokumentieren, welche Maßnahmen Sie getroffen haben, damit Ihre Daten sicher im Unternehmen sind und dort auch bleiben. Wie Sie die TOM richtig dokumentieren erfahren Sie hier. Interessenabwägung und Risikoanalyse bei der Erhebung von KundendatenDie Zeiten der Sammlung von Kundendaten um jeden Preis soll nach der EU-Datenschutz-Grundverordnung der Vergangenheit angehören. Vielmehr soll sich der Unternehmer vor dem Sammeln klar machen, ob alle Daten zur Erfüllung des Zweckes notwendig und verhältnismäßig sind. Ein Muster für eine Interessenabwägung nach DSGVO finden Sie hier. Wie Sie die Risikoanalyse durchführen und abschätzen, ob ggf. eine DSFA durchgeführt werden muss erfahren Sie hier. Wo sie jetzt genauer schauen sollten, um im Umgang mit Kundendaten DSGVO konform zu seinSollten Sie viele Kundendaten auf verschiedenen Kanälen sammeln, lohnt es sich bestimmte Prozesse genauer unter die Lupe zu nehmen. Customer Relationship Management (CRM) bzw. E-Mail Marketing und die DSGVOFragen Sie sich hier folgende Fragen, um Problemen auf die Spur zu kommen:
Gehen Sie Ihre Prozesse am besten kurz mit diesen Fragen durch und bessern Sie nach, wo noch Defizite auftreten. Kundenservice (Customer Support) Datenschutzgerecht gestaltenEin Kundenservice verarbeitet naturgemäß viele sensible Daten. Hier sollte genau darauf geachtet werden, dass alle Verarbeitungen dokumentiert und ggf. AV-Verträge mit Dienstleistern abgeschlossen wurden. Auch sollte der Customer Support bzgl. Anfragen von Kunden zum Datenschutz geschult werden. Er sollte mit höchster Priorität auf Datenschutz Anfragen antworten und diese eskalieren, um eine Behördenmeldung zu vermeiden. Adresslisten nach DatenschutzrechtWer in der Vergangenheit Adresslisten gekauft oder anderweitig beschafft hat, sollte nun besonders vorsichtig sein. Früher war eher mit Abmahnungen nach §7 UWG zu rechnen, aber durch die DSGVO besitzen Adresslisten, die ohne explizite Einwilligung erzeugt wurden oder nicht öffentlich verfügbare Information beinhalten, hohes Gefahrenpotential. Es drohen nicht nur Abmahnungen, sondern auch hohe Bußgelder durch das Einschalten von Datenschutzbehörden. Außerdem ist durch die extensive Berichterstattung in den Medien zu erwarten, dass die Kunden sensibler werden und Verstöße schneller melden als vorher. Prüfen Sie hier also genau die Quellen der Daten. Schon die alleinige Speicherung stellt einen Verstoß dar, ganz ohne erfolgreichen Versand von z.B. E-Mails. Was Sie sonst noch beim Umgang mit Kundendatenbanken nach DSGVO beachten solltenAußer den umfangreichen Dokumentationspflichten, Wahrung der Rechte von Betroffenen und schleifen Ihrer Prozesse sollten Sie auch noch andere Punkte beachten. Ihre DatenschutzerklärungHalten Sie Ihre Datenschutzerklärung auf dem neuesten Stand. Neue Plugins werden installiert oder ein neues Tracking implementiert. Da kann es schnell passieren, dass man vergisst, das ganze auch in der Datenschutzerklärung zu erwähnen. Sie sollten möglichst transparent und in einfacher Sprache über Ihre Grundsätze der Datenverarbeitung aufklären und alle Drittanbieter und ggf. Plugins auflisten. Nützlich sind hier Generatoren für die Datenschutzerklärung, welche Ihre Texte (z.B. via Plugin) auch aktuell halten können. Datenlecks / BackuppflichtSollten Sie durch z.B. Hacker oder Unfälle Daten verlieren oder Ihnen gestohlen werden, müssen Sie dies an die Behörden binnen 72 Stunden melden. Außerdem müssen die Kunden informiert werden. Dabei muss natürlich abgewogen werden, welche Folgen der Verlust für die Betroffenen hat. Was viele Unternehmer nicht wissen, Daten müssen gut geschützt und wieder auffindbar gespeichert werden. Art. 32 Abs. 1 lit. c DSGVO schreibt explizit vor, dass Sie verpflichtet sind, „personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.” Ein Datenverlust ist also auch nicht auf die leichte Schulter zu nehmen und ein Backupkonzept ist auch nach DSGVO sehr anzuraten. BußgelderÜber Bußgelder wurde schon sehr viel berichtet, weswegen dieser Artikel nicht weiter darauf eingehen wird. Es bleibt aber festzuhalten, dass vor allem der Kauf von Adressen zu einem hohen finanziellen Risiko führt. SchulungenSie sollten Ihre Mitarbeiter im Umgang mit Daten schulen und diese auch nachweisen. Dadurch kommen Sie Ihren gesetzlichen Pflichten nach und verhindern Datenpannen. Sensible KundenDurch die Berichterstattung rund um die DSGVO werden Kunden und Nutzer sensibler für das Thema Datenschutz und so dass sie ihre Daten öfter einfordern werden. Seien Sie also darauf vorbereitet im Umgang mit Kundendaten auf neue Herausforderungen zu treffen. Die wichtigsten Fragen (FAQ) zum Datenschutz bei KundendatenWelche Kundendaten darf ich überhaupt speichern? Es gilt das Prinzip der Datenminimierung. Sie dürfen also nur die Daten speichern, welche dem Zweck entsprechen. Wenn Sie z.B. eine Ware an einen Kunden senden möchten, benötigen Sie nur die Adressdaten und nicht die Daten zum Gesundheitszustand. Wie lange dürfen Kundendaten gespeichert werden? Grundsätzlich sollten sich die Löschfristen für Kundendaten nach den gesetzlichen Aufbewahrungsfristen richten. Dies kann z.B. 10 Jahre gemäß Abgabenordnung sein, z.B. für Rechnungen. Sollte sich keine direkte Aufbewahrungsfrist ergeben, so sollten Daten dann gelöscht werden, wenn deren Zweck erfüllt ist. Dies ist regelmäßig der Fall, wenn die Daten nicht mehr benötigt werden. Wenn Sie also z.B. eine E-Mail Adresse erhoben haben, um den Kunden mit einem Newsletter zu informieren, der Kunde sich aber abmeldet, so müssen Sie die E-Mail Adresse und alle weiteren personenbezogenen Daten, innerhalb eines angemessenen Zeitraumes (z.B. 30 Tage nach Abmeldung) löschen. Kundendaten dürfen also nur so lange gespeichert werden, wie sie benötigt werden oder so lange wie das Gesetz eine Aufbewahrungspflicht vorschreibt. Muss ich meine Kundendaten immer löschen, wenn ein Kunde das verlangt? Nein, manchmal stehen der Löschung Aufbewahrungsfristen lt. Gesetz entgegen. Wenn ein Kunde z.B. verlangt, dass seine Rechnungsdaten gelöscht werden, so muss diesem die Auskunft erteilt werden, dass gemäß Abgabenordnung eine Aufbewahrung für 10 Jahre notwendig ist und erst dann gelöscht wird. Welche Kundendaten fallen überhaupt unter den Schutz der DSGVO? Nur solche mit Personenbezug. Ausdrücklich nicht darunter fallen anonyme oder aggregierte Daten. Ihr Jahresabschluss fällt z.B. nicht unter den Schutzbereich der personenbezogenen Daten. Muss ich ein Informationsschreiben an meine Kunden schicken? Grundsätzlich müssen Sie dies nicht. Sie müssen allerdings vor der Verarbeitung Ihre Kunden darüber informieren, wie und warum Ihre Daten verarbeitet werden. Sie sollten hier Ihre Informationspflichten nach DSGVO einhalten. Benötige ich eine Einwilligung, um Kundendaten zu speichern? Das kommt auf verschiedene Faktoren an und welchen Zweck Sie verfolgen. Wenn Sie die Kundendaten speichern, weil Sie ein Geschäft abschließen wollen, benötigen Sie keine Einwilligung, weil Ihnen das Gesetz die Verarbeitung erlaubt. Sie müssen aber dennoch Ihren Informationspflichten nachkommen. Sollten Sie allerdings Daten rein zu Werbezwecken erheben, benötigen Sie unter Umständen eine Einwilligung. Was passiert beim Verlust von Kundendaten? Sollten die Daten lediglich von Ihnen bzw. intern gelöscht worden sein, ist dies seltener ein Problem. Hier könnte es nur zu Problemen kommen, wenn die Kundendaten in der Zukunft noch benötigt werden. Wenn Daten von Kunden allerdings an Dritte abfließen (z.B. Hacker), dann kann dies ein meldepflichtiger Datenschutzverstoß sein, welcher der zuständigen Aufsichtsbehörde gemeldet werden muss. Wann müssen Kundendaten gelöscht werden? Kundendaten müssen gelöscht werden, sobald ihr Zweck erfüllt wurde oder die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Darüber hinaus kann ein Betroffener jederzeit die Löschung seiner personenbezogenen Daten verlangen. Ob dies dann auch geschehen muss hängt von verschiedenen Faktoren ab, z.B. den gesetzlichen Aufbewahrungsfristen. Gilt die DSGVO auch bei geschäftlichen bzw. B2B Kundendaten Ja, denn grundsätzlich ist der Geltungsbereich der DSGVO unabhängig von der Geschäftsbeziehung. Auch beim reinen B2B Kundengeschäft fallen personenbezogene Daten z.B. der Angestellten an. Auch geschäftliche Kontaktdaten haben Personenbezug und Fallen um den Regelungsbereich der DSGVO. Ausgenommen sind Kontaktdaten ohne Personenbezug, also z.B. info@ Adressen oder die meisten Firmennamen. Reine Unternehmensdaten (Bilanzen, Produktspezifikationen) sind zwar regelmäßig keine personenbezogene Daten, dies bedeutet aber nicht, das man den Datenschutz im B2B Kontext außer Acht lassen kann. Fazit: Kundendaten können auch im Einklang mit der DSGVO verarbeitet werdenWenn Sie die hier dargestellten Tipps und Regeln einhalten, steht einer weiteren Verarbeitung von Kundendaten nichts mehr im Wege. Beachten Sie die Datenschutzgrundsätze und seinen Sie fair und transparent bei der Verarbeitung, dann können Sie auch die Daten Ihrer Kunden mit ruhigen Gewissen verarbeiten. Quellenhttps://dsgvo-gesetz.de/art-17-dsgvo/ https://dsgvo-gesetz.de/art-13-dsgvo/ https://dsgvo-gesetz.de/art-6-dsgvo/ https://dsgvo-gesetz.de/art-14-dsgvo/ https://dsgvo-gesetz.de/art-15-dsgvo/ https://dsgvo-gesetz.de/art-32-dsgvo/ https://www.gesetze-im-internet.de/uwg_2004/__7.html Was beachten Sie in Bezug auf die Weitergabe von PD am Telefon?Aufgrund von § 43 BDSG kann eine unbefugte Weitergabe von personenbezogenen Daten für den Arbeitgeber als verantwortliche Stelle ein Bußgeld in Höhe von bis zu 300.000 Euro nach sich ziehen. Daten, die über Ihr Unternehmen öffentlich zugänglich sind, können Sie am Telefon weitergeben.
Wann darf ich jemanden anrufen?Rufen Sie jemanden privat zuhause an, gilt: werktags möglichst erst ab 9:30 Uhr und nicht nach 21:30 Uhr. Wenn Sie geschäftlich bei privaten Kunden anrufen, nimmt man es Ihnen oft sogar schon übel, wenn Sie an „normalen” Wochentagen nach 20:00 Uhr bzw. samstags nach 18:00 Uhr stören.
Wann gelten Daten als personenbezogen?Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.
Was sind personenbezogene Daten im Sinne der Dsgvo?DSGVO Personenbezogene Daten
Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutz-Grundverordnung und wird in Art. 4 Nr. 1 definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
|