Kundendatenschutz 

Kundendaten können heutzutage in vielen Unternehmen ein wichtiges Kapital darstellen. Im Hinblick auf die Datenmenge und Vorgänge, in denen Kundendaten verarbeitet werden, stellt es für Unternehmen eine Herausforderung dar datenschutzkonform zu sein.

Kundendaten sind auch für Unternehmen hochsensibel und wertvoll, denn alle Informationen die man über den Kunden ansammelt, können für das Unternehmen im Rahmen der Neukundengewinnung, aber auch zur Pflege der Bestandskundenbeziehungen von hohem Wert sein. An dieser Stelle kommen die gesetzlichen Datenschutzanforderungen ins Spiel, die den Umgang mit Kundendaten streng regulieren.  

Das Wichtigste auf einen Blick

1. Was ist sind Kundendaten ?  

Unter Kundendaten sind alle personenbezogenen Daten die einer natürlichen Person zuzuordnen sind, diese identifizierbar machen oder zu dieser Person gehören, zu verstehen. 

Dabei geht es insbesondere um Daten, die im Rahmen von Geschäftsprozessen erhoben und genutzt werden. In der Regel sind die Kundendaten mit denen das Unternehmen hantiert, ausschließlich personenbezogene Daten. Die Daten einer juristischen Person dagegen, sind nicht personenbezogen.  

2. Wann dürfen Kundendaten verarbeitet werden ? 

Allgemein dürfen personenbezogene Daten nach dem europäischen Datenschutzrecht nur verarbeitet werden, wenn der Verarbeitung eine gesetzliche Grundlage oder eine entsprechende Einwilligung des Betroffenen nach Art. 7 DSGVO zugrunde liegt. 

Zentrale Rechtsgrundlage im Hinblick auf den Datenschutz von Kunden ist Art. 6 Abs. 1 lit. b) und lit. f) DSGVO. Danach ist eine Verarbeitung in folgenden Fällen gestattet: 

3. Was muss im Umgang mit Kundendaten beachtet werden ? 

Bei der Verarbeitung personenbezogener Daten der eigenen Kunden sind stets alle Datenschutzgrundsätze nach der Datenschutzgrundverordnung einzuhalten. Danach müssen die Daten auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden. Zudem darf eine Verarbeitung personenbezogener Daten nur unter Wahrung der Transparenzpflicht nach Art. 5 Abs. 1 DSGVO stattfinden.

Das bedeutet, die Datenverarbeitung muss in einer für den Kunden nachvollziehbaren Weise stattfinden. Von erheblicher Bedeutung ist darüber hinaus der Grundsatz der Zweckbindung.

Dementsprechend dürfen Daten nur für den Zweck verwendet werden der von vornherein bestimmt wurde und in den ggf. eingewilligt wurde. Eine nachträgliche Änderung des Zwecks ist nur in Ausnahmefällen möglich. 

Weiterhin muss die Datenerhebung und -verarbeitung auf das erforderliche Maß beschränkt werden und nur solange gespeichert beziehungsweise aufbewahrt werden, bis Zweck der Speicherung erfüllt ist oder eine gesetzliche Aufbewahrungsfrist es vorsieht.  

Des Weiteren hat das verarbeitende Unternehmen zum Schutz der personenbezogener Daten ihrer Kunden angemessene Sicherheitsvorkehrungen durch geeignete technisch – organisatorische Maßnahmen zu treffen, um diese vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung zu schützen.

Datenschutzpannen, d.h. wenn beispielsweise Daten durch Hacker, Unfälle oder auf sonstige Weise verloren gehen oder gestohlen werden, müssen innerhalb kürzester Zeit bei zuständige Aufsichtsbehörde und in einem besonders schweren Fall auch dem betroffenen Kunden gemeldet werden. Ferner muss eine Dokumentation der Tätigkeiten des Unternehmens im Hinblick auf Kundendaten erfolgen, wobei die Dokumentationskonzepte der DSGVO einzuhalten sind, um im Fall der Beschwerde Gesetzeskonformität nachweisen zu können.

Dafür ist ein Verzeichnis von Verarbeitungstätigkeiten für Kundendaten erforderlich, sowie die Dokumentation der technisch organisatorischen Maßnahmen. Insbesondere im Hinblick auf sensible Kundendaten schreibt der Gesetzgeber hohe Sicherheitsvorkehrungen vor. 

Das Unternehmen muss demnach dokumentieren, welche Sicherheitsvorkehrungen getroffen werden, um die Sicherheit der Daten im Unternehmen zu gewährleisten. Infolgedessen muss jeder Schritt dokumentiert werden. 

Das bedeutet jede Datenerfassung, Datenablage und Speicherung sowie die Löschung der Daten. Sieht ein Unternehmen  bei der Datenverarbeitung die Gefahr, dass diese Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge haben könnte, muss es eine umfassende Datenschutz-Folgenabschätzung vornehmen. Kunden, deren personenbezogene Daten erhoben oder verarbeitet wurden, stehen die allgemeinen Betroffenenrechte der DSGVO zu.

Dementsprechend hat der betroffene Kunde ein Recht darauf, Auskunft darüber zu erhalten, dass Daten über ihn gespeichert und verarbeitet werden, welche Datenkategorie zu welchem Zweck und in welchem Umfang über ihn gespeichert werden. Zudem besteht das Recht der Verarbeitung zu widersprechen, die Daten berichtigen zu lassen oder dass diese gar gelöscht werden.

Darüber hinaus kann der Kunde kann nach DSGVO den gesamten Datenbestand über sich anfordern. Die Information des Kunden im Hinblick auf die Verarbeitung seiner Daten sowie die damit verbundenen Rechte kann in einer umfassenden Datenschutzerklärung erfolgen.  

4. Welche Unternehmensbereiche sind besonders im Hinblick auf den Kundendatenschutz ins Visier zu nehmen ? 

4.1 Customer Relationship Management (CRM) 

CRM ist der Unternehmensbereich der Strategien zur systematischen Gestaltung der Beziehungen und Interaktionen einer Organisation mit bestehenden und potentiellen Kunden aufstellt. Das CRM hilft den Unternehmen mit Ihren Kunden in Verbindung zu bleiben. Die entsprechende Software erfasst Informationen zu Kontakten mit Kunden wie Emails, Telefonate, Profile auf den Websites sozialer Medien und noch vieles mehr und bildet eine Gesamtansicht des Kunden, sodass insbesondere in diesem Bereich besonders auf einen datenschutzkonformen Umgang zu achten ist. 

4.2 Werbemaßnahmen 

Bestandskunden können auf Grundlage eines bestehenden Vertragsverhältnisses regelmäßig im Rahmen des Direktmarketings auch ohne entsprechende Einwilligung kontaktiert werden, sofern keine ausdrückliche Werbesperre seitens des Kunden vorliegt. Dabei haben sich die Unternehmen neben Vorgaben der DSGVO und dem BDSG, an die rechtlichen Bedingungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu halten.  

Mangels anderer Erlaubnistatbestände oder ggf. aufgrund eines ansonsten bestehenden speziellen Verarbeitungsverbots, bedarf die Verarbeitung von Daten zu Werbezwecken der Einwilligung der betroffenen Person, Art. 6 Abs. 1 lit. a) DSGVO. Soll die Datenverarbeitung zum Zwecke der Werbung auf die Einwilligung des Betroffenen gestützt werden, sind die allgemeinen Grundsätze einer wirksamen Einwilligung aus Art. 7 DSGVO zu beachten.  

Ohne Einwilligung kommt für die hier anstehenden Sachverhalte der Werbung die Interessenabwägungsklausel des Art. 6 I lit. f) DSGVO in Betracht. Aus Erwägungsgrund 47 zu der DSGVO ergibt sich, dass auch Direktwerbung ein berechtigtes Interesse darstellen kann. 

Ob die werbliche Nutzung zulässig ist, hängt demnach von einer Interessenabwägung unter Berücksichtigung der Umstände des konkreten Einzelfalls ab. Im Hinblick auf Werbung und Marketing bedeutet das, dass der von der Verordnung gewollte Schutz personenbezogener Daten mit dem Recht auf unternehmerische Freiheit in Einklang zu bringen ist.

Demnach ist die Verarbeitung rechtmäßig, wenn sie der Wahrung berechtigter Interessen des verarbeitenden Unternehmens oder eines Dritten erforderlich ist und nicht die Interessen oder Rechte des Betroffenen überwiegen.  

Zu beachten ist, dass betroffenen Personen im Falle der Verarbeitung zu Zwecken der Direktwerbung aufgrund überwiegend berechtigter Interessen ein Widerspruchsrecht zusteht, Art. 21 Abs. 2 DSGVO.

Erfolgt ein Widerspruch, dürfen die Daten des Kunden nicht mehr für diese Zwecke verarbeitet und müssen gelöscht werden. Auf dieses Widerspruchsrecht sind die Betroffenen spätestens zum Zeitpunkt der ersten Kommunikationsaufnahme ausdrücklich hinzuweisen, Art. 21 Abs. 4 DSGVO. Zu Erfüllung der Nachweispflicht kann es sich empfehlen, den Hinweis auf das Widerspruchsrecht jeder werblichen Ansprache der betroffenen Person beizufügen.  

Damit Marketingmaßnahmen erfolgreich sind, sollten die Kunden hierbei die Chance haben, selbst zu entscheiden, ob sie personalisierte Werbung erhalten möchten oder nicht. Dies ist am besten mithilfe einer transparenten Einverständniserklärung zu erreichen. 

Sollen besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO zu Marketingzwecken verarbeitet werden, bedarf es demgegenüber in jedem Fall einer ausdrücklichen vorherigen Zustimmung des Betroffenen. 

4.3 Datenweitergabe an Dritte 

Häufige Praxis ist es den Versand der Werbung nicht selbst, sondern durch einen externen Dienstleister durchführen zu lassen. Die Weitergabe personenbezogenen Daten an Dritte ist streng reglementiert.

Diese ist regelmäßig nur zulässig, wenn der Betroffene darin eingewilligt hat. Die Zulässigkeit einer solchen Datenweitergabe zu Werbezwecken hängt darüber hinaus wesentlich von den dem Betroffenen zur Verfügung gestellten Informationen ab.

Erforderliche Informationen müssen dem Betroffenen dabei bereits zum Zeitpunkt der Direkterhebung aber auch zu einem späteren Zeitpunkt zur Verfügung stehen. Liegt eine wirksame Einverständniserklärung vor, so kann in datenschutzkonformer Weise die Weitergabe der Kundendaten erfolgen.  Allerdings kann die Datenweitergabe auch ohne Zustimmung möglich sein, wenn die berechtigten Interessen des Unternehmens nachweislich die schutzwürdigen Interessen der betroffenen Personen überwiegen.  

Eine praxisrelevante Grauzone stellt zudem der Adresshandel dar. Dabei bieten Unternehmen, Adressen aus Ihrem Bestand anderen Unternehmen zu Werbezwecken an. Hier stellt sich zum einen die Frage, ob die Übermittlung der Adressdaten überhaupt datenschutzrechtlich zulässig auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt  werden kann.

Zum anderen ist problematisch, wie sichergestellt und später auch nachgewiesen werden kann, dass die übermittelten Daten nur für den Zeitraum der Werbemaßnahmen vom Werbetreibenden verwendet und anschließend gelöscht wurden. In jedem Fall stellt eine wirksam eingeholte Einwilligung des Betroffenen nach ausführlicher Information den rechtssichersten Weg dar, insbesondere weil Betroffene regelmäßig nicht mit einer ausschweifenden Adressweitergabe rechnen müssen. 

4.4 Kundenverhaltensanalysen 

Wenn der Kunde keine Einwilligung zur Nutzung seiner Daten abgegeben hat, können diese trotzdem zu Analysezwecken verwendet werden. Voraussetzung dafür ist jedoch, dass die Daten zuvor pseudonymisiert wurden, d.h. so verändert wurden, dass sie keiner spezifischen betroffenen Person zugeordnet werden können, und der Kunde der Nutzung seiner Daten nicht widersprochen hat. 

Insoweit muss zwar keine ausdrückliche Einwilligung vorliegen, es darf jedoch auch kein ausdrücklicher Widerspruch des Kunden gegeben sein.  

5. Fazit

Durch Business Intelligence stehen den Unternehmen heutzutage Methoden und technische Möglichkeiten zur Verfügung, um aus den Daten ihrer Kunden vielfältige Erkenntnisse zu gewinnen, auf deren Grundlage, neue strategische Schritte abgeleitet werden können um die unternehmerischen Geschäftstätigkeit zu verbessern. 

Im Zeitalter zunehmender Digitalisierung, in dem auf Grund zahlreicher technischer Möglichkeiten mehr Informationen über einzelne Kunden gesammelt werden können als je zuvor, sind die Anforderungen an den sowohl sensiblen als auch gesetzeskonformen Umgang mit personenbezogenen Daten um ein Vielfaches strenger geworden. 

Aus diesem Grund ist der Nutzen der gewonnen Kundendaten stets sorgfältig gegenüber den Risiken einer Verwendung abzuwägen. Um die Daten der eigenen Kunden ordnungsgemäß zu schützen, empfiehlt es sich daher einen Datenschutzexperten zu Rate zu ziehen, der Ihnen bei der datenschutzkonformen Umsetzung Ihrer Unternehmensziele beratend zur Seite steht.