Kundendaten werden praktisch in jedem Unternehmen verarbeitet. Je nach Datenmenge und Anzahl der Verarbeitungsvorgänge, kann das in Verbindung mit datenschutzrechtlichen Regelungen eine große Herausforderung bedeuten.
Die Daten der Kunden und ihre Verwendung sind für ein Unternehmen förderlich und sogar auch erforderlich. Sie können für die Gewinnung von Neukunden, zur Erhaltung der bereits gewonnenen Kunden, als auch insbesondere für das Erbringen vertraglicher Pflichten genutzt werden. Durch die gesetzlichen Regulierungen ist der Umgang mit den genannten Daten erschwert worden.
Das Wichtigste auf einen Blick
- Unter Kundendaten versteht man grundsätzlich alle personenbezogenen Daten, die im Rahmen von vertraglichen Geschäftsprozessen eines Unternehmens von außerhalb des Unternehmens stehenden Personen erhoben und weiterverarbeitet werden.
- Art. 6 Abs. 1 lit. b) und f) DS-GVO stellen die zentrale Rechtsgrundlage dar.
- Eine Einwilligungserklärung muss vor jeder Nutzung der Daten eingeholt werden, wenn diese ansonsten gesetzlich unzulässig ist
1. Definition von Kundendaten
Kundendaten sind grundsätzlich alle personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DS-GVO, welche im Rahmen vertraglicher Beziehung über eine außerhalb des Unternehmens stehende Person verarbeitet werden.
2. Erlaubte Verarbeitung von Kundendaten
Die Verarbeitung personenbezogener Daten ist nach den unionsrechtlichen Datenschutz–vorschriften nur rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 DS-GVO erfüllt ist.
Im Rahmen von Kundendaten ist eine Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. b) und f) DS-GVO gestattet, wenn sie für folgende Punkte maßgeblich ist:
- Vertragserfüllung oder -abschluss (hierbei ist ein gemeinsamer Vertragswille erforderlich).
- Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen vorge-nommen werden.
- Sicherung berechtigter Interessen des Unternehmens (außer die Rechte des Kunden überwiegen oder die Verarbeitung ist unverhältnismäßig, Art 6 Abs. 1 S. 1 lit. f) DS-GVO).
3. Wichtige Vorschriften für den Umgang mit Kundendaten
Wie bei jeder Datenverarbeitung müssen auch bei der Verarbeitung von Kundendaten die Grundsätze der DS-GVO berücksichtigt werden.
Die Verarbeitung hat transparent, auf rechtmäßige Weise und nach Treu und Glauben zu erfolgen. Hierbei muss die Verarbeitung auch zweckgebunden und für den Kunden nachvoll–ziehbar sein.
Daten dürfen nur solange gespeichert werden, bis der Zweck erfüllt ist oder eine gesetzliche Aufbewahrungsfrist greift.
Darüber hinaus ist es notwendig, dass angemessene Sicherheitsvorkehrungen durch qualifi–zierte technisch organisatorische Maßnahmen (TOMs) geschaffen und dokumentiert werden, um die Daten vor unrechtmäßiger Verarbeitung, einem Verlust oder einer Schädigung zu schützen.
Um Kundendaten datenschutzkonform zu verarbeiten ist außerdem das Führen eines Verarbeitungsverzeichnisses erforderlich. Hier können auch technisch organisatorische Maß–nahmen erfasst werden.
Zudem sind die Daten zu löschen, sobald die weitere Aufbewahrung nicht mehr erforderlich ist.
Werden sensible Daten unter voraussichtlich hohem Risiko für die persönlichen Rechte und die Freiheit des Betroffenen verarbeitet, so ist eine Datenschutz-Folgeabschätzung durchzu–führen.
Um Betroffenheitsrechte geltend zu machen, ist der Kunde u. a. darüber zu informieren, welche seiner Daten, zu welchem Zweck und in welchem Umfang gespeichert und verarbeitet werden, sowie welche Rechte ihm zustehen.
4. Wichtige Bereiche des Kundendatenschutzes
4.1 Kundenpflege
Im Rahmen der Kundenpflege werden unter anderem Strategien zur systematischen Gestaltung der Kundenbeziehungen entwickelt. Da Programme ein Bild zum Kaufverhalten des Kunden konstruieren können, ist hier eine datenschutzkonforme Handhabung sehr wichtig.
4.2 Werbemaßnahmen
Liegt keine Werbesperre oder kein Widerspruch des Kunden vor, so ist es für Unternehmen im Rahmen eines Vertragsverhältnisses möglich, den Kunden mit Direktmarketing auch ohne Einwilligung zu kontaktieren. Dies lässt sich aus EG 47 der DS-GVO entnehmen: Hiernach stellt Direktwerbung ein berechtigtes Interesse dar. Es ist daher in jedem Einzelfall eine Interessenabwägung erforderlich. Im Rahmen der Interessensabwägung sind allerdings auch die Vorgaben des § 7 Abs. 3 UWG einzuhalten, welche wiederum verschärfte Voraus–setzungen vorsieht.
Sicherheit bietet in solchen Fällen eine Einverständniserklärung, die der Unternehmer vom Kunden einholen kann.
4.3 Datenweitergabe an Dritte
In vielen Fällen ist es einfacher, die Aufgabe der Kundenpflege an externe Dritte weiterzugeben. Soweit die Datenverarbeitung durch das Unternehmen rechtmäßig ist, kann sich dieses eines sog. Auftragsverarbeiters bedienen, wenn die Voraussetzungen des Art. 28 DS-GVO, insbesondere der Abschluss eines Auftragsverarbeitungsvertrages, erfüllt sind.
Soweit keine Auftragsverarbeitung vorliegt, bedarf es allerdings einer Rechtsgrundlage für die Datenweitergabe. Somit muss auch die Weitergabe an Dritte aufgrund des Art. 6 DS-GVO gerechtfertigt sein. Problematisch ist hier z. B. der Adresshandel, bei dem Adressen für Werbezwecke an Dritte verkauft werden. Um Rechtssicherheit zu gewähren, kann hier nur die Einholung der Einwilligung des Betroffenen empfohlen werden.
4.4 Kundenverhaltensanalysen
Hat der Kunde nicht in die Nutzung seiner Daten eingewilligt, dieser aber auch nicht widersprochen, so können die Daten trotzdem im Rahmen der Kundenanalyse genutzt werden. Hier ist eine vorherige Pseudonymisierung oder Anonymisierung erforderlich, um die Kundendaten nicht direkt der betroffenen Person zuordnen zu können.
5. Fazit
In den letzten Jahren sind die Möglichkeiten der Sammlung und Verwendung von Kundendaten stark gestiegen. Umso wichtiger ist es, personenbezogene Daten zu schützen. Dies geschieht in Form von sorgfältigem Abwägen, aber auch durch die Einhaltungen der gesetzlichen Regelungen der DS-GVO.
Haben Sie Fragen zu der Behandlung Ihrer Kundendaten?
Wir stehen Ihnen gerne beratend zur Seite.
