14 min Zuletzt auktualisiert: 28.06.2023

Datenschutz und Kundendaten: Rechte, Pflichten und Best Practices für Unternehmen

Kundendaten sind das Herzstück eines jeden Unternehmens. In unserer schnelllebigen, digitalen Welt ist der Schutz dieser wertvollen Informationen entscheidender denn je. Datenschutzverstöße können nicht nur teuer werden, sondern auch das Vertrauen der Kunden aufs Spiel setzen. Hinzu kommt, dass technische Prozesse komplex und manchmal schwer verständlich sind. Doch unter welchen Bedingungen dürfen Kundendaten überhaupt verarbeitet werden und welche Pflichten müssen dabei beachtet werden?

Datenschutz kommt ins Spiel, sobald personenbezogene Daten erhoben, verarbeitet und verwendet werden – und das gilt natürlich auch für Kundendaten. Diese dürfen nur dann gespeichert, verarbeitet und genutzt werden, wenn entweder ein Gesetz dies erlaubt oder vorschreibt, oder wenn die betroffenen Personen klar und deutlich ihre Zustimmung gegeben haben. Sollten weder eine gesetzliche Grundlage noch eine ausdrückliche Einwilligung vorliegen, dürfen Kundendaten folglich nicht erhoben werden. Es ist daher unerlässlich, bei der Datenverarbeitung stets verantwortungsbewusst und transparent zu agieren, um das Vertrauen der KundInnen zu gewinnen und zu erhalten.

Warum ist der Datenschutz von Kundendaten so wichtig?

Datenschutzverstöße bergen nicht nur das Risiko von Sanktionen und Imageschäden, sondern können auch das Vertrauen in Ihr Unternehmen erheblich beeinträchtigen. In der heutigen Zeit fühlen sich viele Menschen den großen Datenkraken hilflos ausgeliefert und befürchten, ständig überwacht und belauscht zu werden. Diese Sorge wird häufig mit dem Internet assoziiert. Die Menschen haben das Gefühl, dass sie bei der Nutzung des Internets möglicherweise Opfer von undurchsichtigen Praktiken werden könnten, auf die sie keinerlei Einfluss haben. 

In einer Zeit, in der das Misstrauen gegenüber der Verwendung von Daten zunimmt, ist es für Ihr Unternehmen unerlässlich, proaktiv und umsichtig mit dieser Herausforderung umzugehen, um negative Auswirkungen auf Ihr Geschäft zu vermeiden. Ein verantwortungsvoller Umgang mit Kundendaten ist entscheidend, damit sich Ihre Zielgruppe auf Ihrer Webseite sicher fühlt und das für eine erfolgreiche Geschäftsbeziehung unerlässliche Vertrauen aufbaut. Indem Sie sich frühzeitig optimal positionieren, erlangen Sie einen klaren Wettbewerbsvorteil gegenüber der Konkurrenz.

Mit unserem interaktiven E-Learning „Datenschutz für Mitarbeitende” schärfen Sie das Bewusstsein Ihrer Belegschaft für den Schutz von Kundendaten nachhaltig. Machen Sie Datenschutz zu einem zentralen Element Ihrer Unternehmenskultur und investieren Sie in das Vertrauen Ihrer Kunden!

Wer ist im Unternehmen für die Einhaltung des Datenschutzes von Kundendaten verantwortlich?

Man könnte meinen, dass Datenschutzbeauftragte und ihr Team die Hauptverantwortlichen für die Einhaltung von Datenschutzvorgaben im Unternehmen sind. Tatsächlich liegt jedoch die Verantwortung für die Umsetzung der notwendigen Datenschutzmaßnahmen bei der Unternehmens-, Geschäfts- oder Betriebsleitung. Datenschutzmaßnahmen gelten als Aufsichtspflicht gemäß § 130 OWiG, und bei deren Vernachlässigung können Sanktionen drohen. 

Falls die Führungsebene diese Aufgabe nicht selbst wahrnehmen möchte, muss sie geeignete Schritte unternehmen, um diese Funktion wirksam zu delegieren und sich im Ernstfall entlasten zu können. Hierbei ist es entscheidend, dass alle Mitarbeitenden für den Datenschutz von Kundendaten sensibilisiert sind, um Datenschutzverstöße zu vermeiden. Durch den Nachweis regelmäßiger Schulungen zum Datenschutz können Haftungsrisiken minimiert werden. Schaffen Sie also ein Umfeld, in dem Datenschutz zur gemeinsamen Verantwortung aller Beteiligten wird und stärken Sie so das Vertrauen Ihrer KundInnen. Ganz einfach gelingt Ihnen das mit unseren innovativen Datenschutz E-Learnings

Welche Kundendaten dürfen verwendet werden?

Kundendaten fallen unter die DSGVO, sobald es sich um personenbezogene Informationen handelt. Daten von juristischen Personen, wie etwa einer GmbH, gelten zunächst nicht als personenbezogen. Wenn Sie beispielsweise in Ihrem Kundenstamm eine GmbH mit Anschrift, einer allgemeinen E-Mail-Adresse (z. B. info@gmbh.de) und einer -0 als Telefondurchwahl hinterlegt haben, handelt es sich hierbei noch nicht um personenbezogene Daten.

Jedoch ändert sich die Situation, sobald eine konkrete Kontaktperson erfasst wird – dann wird der gesamte Datensatz als personenbezogen angesehen. In der Praxis werden Ihre Kundendaten in den meisten Fällen also personenbezogene Informationen enthalten. Achten Sie darauf, diese Daten gemäß den Vorgaben der DSGVO zu behandeln, um den Schutz der Privatsphäre Ihrer KundInnen zu gewährleisten und Vertrauen aufzubauen.

Gemäß Art. 6 Abs. 1 lit. b DSGVO ist die Verarbeitung von Kundendaten für die Anbahnung und Erfüllung von Verträgen erlaubt. Dies betrifft Daten, die Sie benötigen, um einen Vertrag abzuschließen oder abzuwickeln – und das sogar ohne die Einwilligung der betroffenen Personen.

In jedem Fall müssen Sie gemäß § 28 Abs. 1 S. 1 Nr. 1 BDSG die Datenschutzgrundsätze der Zweckbindung und Zweckmäßigkeit beachten. Das bedeutet, dass die erhobenen Daten für die Erfüllung des beabsichtigten Zwecks geeignet sein müssen. Achten Sie darauf, nur die wirklich erforderlichen Informationen zu erfassen und diese im Einklang mit den geltenden Datenschutzbestimmungen zu verarbeiten.

Welche Voraussetzungen gelten bei der Erhebung und Verarbeitung von Kundendaten im Unternehmen?

Unternehmen ist es gesetzlich erlaubt, personenbezogene Daten zu erheben und zu verarbeiten, die im Zusammenhang mit Vertragsabschluss und -erfüllung stehen. Je nach Branche können dies vor allem Adress- und Kontodaten sein. Dabei spielt die Zweckbindung eine wichtige Rolle, die auch bei Kundendaten im Datenschutz Anwendung findet.

Möchten Sie jedoch Kundendaten in einem anderen Kontext als dem ursprünglichen Zweck speichern, ist hierfür immer eine eindeutige und freiwillige Zustimmung der betroffenen Personen erforderlich. Diese Einwilligung muss klar definieren, welche Nutzung der Kundendaten damit einhergeht.

Beispielsweise können Sie aus einer Vertragsbeziehung nicht automatisch die Speicherung von Daten ableiten, die KundInnen „nebenbei“ erwähnt haben. Wenn beispielsweise beim Einkauf erwähnt wird, dass der gekaufte Wein für eine anstehende Silberhochzeit gedacht ist oder der Bankkredit für ein besonderes Geschenk benötigt wird, darf die Speicherung dieser Informationen nur mit ausdrücklicher Zustimmung der betroffenen Personen erfolgen.

Dürfen Kundendaten weitergegeben werden?

Die Weitergabe von personenbezogenen Daten ist streng reglementiert. Im Regelfall ist eine Einwilligung der Betroffenen erforderlich, bevor deren Daten an Dritte weitergegeben werden können. Sobald eine solche Einwilligung vorliegt, kann eine datenschutzkonforme Weitergabe der Kundendaten erfolgen.

Es gibt jedoch auch Situationen, in denen ein Datenhandel ohne ausdrückliche Zustimmung möglich ist. Ein Beispiel hierfür ist der Verkauf von Kundenstammdaten. Dies ist unter bestimmten Voraussetzungen erlaubt, wenn die berechtigten Interessen des Unternehmens die schutzwürdigen Interessen der betroffenen Personen nachweislich überwiegen. Auch bei Informationen, die von den Betroffenen freiwillig öffentlich zugänglich gemacht wurden, wie etwa in einem Telefonbuch oder anderen Verzeichnissen kann eine Weitergabe ohne Zustimmung erfolgen.

Warum ist eine Datenschutzerklärung wichtig?

Eine Datenschutzerklärung dient dazu, Menschen umfassend und transparent über die Sammlung und Nutzung ihrer persönlichen Daten aufzuklären. Dabei geht es um Art, Umfang und Ziel dieser Datenverarbeitung. Sowohl öffentliche als auch private Einrichtungen und WebsitebetreiberInnen sind nach § 4 Abs. 1 TDDSG verpflichtet, in einer detaillierten Datenschutzerklärung darzulegen, welche personenbezogenen Daten gesammelt werden, für welchen Zweck und welche Rechte den Betroffenen im Rahmen des Datenschutzes zustehen. Die Erfassung von Kundendaten, ohne eine entsprechende Datenschutzerklärung bereitzustellen, ist nicht erlaubt.

Im Internet hat sich in der Praxis die Verlinkung einer Datenschutzerklärung oder einer sogenannten „Privacy Policy“ etabliert. Diese wird an einer leicht auffindbaren Stelle auf der Website integriert.

Die gespeicherten Daten können beispielsweise folgende sein:

  • besuchte Website;
  • Namen der Datei;
  • Datum und Uhrzeit des Zugriffs;
  • Menge der gesendeten Daten;
  • Client IP-Adresse;
  • verwendeter Browser und
  • verwendetes Betriebssystem.

Erfahren Sie mehr über datenschutzkonforme Websites, den Einsatz von Cookies und weitere relevante Aspekte in unserem dynamischen E-Learning „Datenschutz im Marketing„. Ihre Marketingabteilung wird dabei bestens auf dem Gebiet des Datenschutzes geschult und kann so sicher und kompetent agieren.

Wann müssen Kundendaten gelöscht werden?

Verständlicherweise möchten Sie nach Abschluss eines Vertrages weiterhin mit Ihren KundInnen in Kontakt bleiben. Die Berechtigung zur Speicherung von Kundendaten ergibt sich allerdings aus der Zweckbestimmung gemäß § 28 Abs. 1 BDSG. Entfällt dieser Zweck, erlischt auch das Speicherungsrecht des Unternehmens. So sieht § 35 Abs. 2 Nr. 3 BDSG grundsätzlich die Löschung der Daten vor.

Es gibt auch weitere Gründe, die zur Löschung von Kundendaten führen können:

  • Die Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützt.
  • Die Person legt Widerspruch gegen die Verarbeitung ein.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Sonstige Pflicht zur Löschung gem. Art. 17 Abs. 1 lit. e DSGVO trifft zu.

Natürlich kann es für Unternehmen verschiedene Gründe geben, die gegen eine Löschung von Daten sprechen. Deshalb hat Art. 17 Abs. 3 DSGVO einige Ausnahmen von der Löschungspflicht festgelegt. Dazu zählen:

  • Archivzwecke, Forschungszwecke oder statistische Zwecke und
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Als Alternative zur Datenlöschung könnte eine Sperrung infrage kommen, falls etwaige Aufbewahrungspflichten einer Löschung im Weg stehen. In diesem Fall werden die Daten entsprechend markiert, um eine weitere Verarbeitung oder Nutzung einzuschränken

Welche Rechte haben KundInnen?

Kundinnen haben neben dem Recht auf Datenlöschung weitere Möglichkeiten, um ihre Persönlichkeitsrechte zu schützen.

Zu den grundlegenden und unverzichtbaren Rechten der Betroffenen gehören das Recht auf Auskunft sowie die Korrekturrechte gemäß § 6 Abs. 1 BDSG. Diese Rechte sind eng miteinander verknüpft, denn nur wenn die Betroffenen wissen, wer welche Daten für welche Zwecke verarbeitet, können sie sich gegen unrechtmäßige oder fehlerhafte Verarbeitung zur Wehr setzen. Unternehmen sind gemäß § 35 Abs. 1 BDSG verpflichtet, nur korrekte Daten von Betroffenen zu speichern. Bei Unrichtigkeit besteht daher ein Anspruch auf Berichtigung.

Manchmal kann es vorkommen, dass die verantwortliche Stelle glaubt, die schutzwürdigen Interessen der KundInnen seien nicht beeinträchtigt, um zum Beispiel deren Daten weiterhin verarbeiten zu können. In solchen Fällen könnte diese Einschätzung jedoch unzutreffend sein. Individuelle und subjektive Belange der KundInnen werden oft nicht berücksichtigt, insbesondere wenn sie schlicht unbekannt sind. Deshalb gewährt § 35 Abs. 5 BDSG Betroffenen das Recht, den sie betreffenden Verarbeitungen zu widersprechen. Auf diese Weise können Betroffene beispielsweise eine zuvor erteilte Einwilligung widerrufen.

Was passiert mit Kundendaten beim Unternehmenskauf?

Die Übernahme fremder Unternehmen kann erhebliche Vorteile für Ihr eigenes Unternehmen bringen. Patente, Know-how und auch Kundendaten, die dem erworbenen Unternehmen zur Verfügung stehen, tragen immer mehr zum Unternehmenswert bei.

Doch können KäuferInnen eines Unternehmens einfach so auf alte Kundendaten zugreifen und sie für jegliche Zwecke nutzen? Mit Sicherheit nicht. Das Bayerische Landesamt für Datenschutz hat bereits klargestellt, dass die Verwendung von Kundendaten, die im Zuge von Unternehmenskäufen, insbesondere bei Asset-Deals, erworben wurden, aus datenschutz- und wettbewerbsrechtlichen Gründen unzulässig ist.

Aus datenschutzrechtlicher Perspektive gibt es für ErwerberInnen einiges zu beachten. Vor allem müssen sie im Vorfeld prüfen, ob die Kundendaten rechtmäßig und für welche Zwecke sie erhoben wurden. Denn auch die neuen EigentümerInnen sind weiterhin an diese Zweckbindung gebunden. Zudem gelten die ErwerberInnen als sogenannte Dritte im Sinne des Bundesdatenschutzgesetzes.

Das bedeutet, dass sich die Übertragung der Daten auf die ErwerberInnen auf eine gesetzliche Grundlage stützen muss oder sie die Einwilligung der KundInnen einholen müssen.

Tipps und Tricks zum Datenschutz von Kundendaten

Um Ihr Unternehmen vor Datenschutzverstößen und damit verbundenen Geldbußen oder Schadensersatzforderungen zu bewahren, ist es essenziell, Ihre Belegschaft nachhaltig für einen verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren und regelmäßig zu schulen. Schulungen tragen entscheidend dazu bei, Datenschutzverstöße zu verhindern und kontinuierlich DSGVO- und BDSG-konform zu agieren.

Ein sicherer und korrekter Umgang mit Kundendaten sollte niemals als selbstverständlich angesehen werden. Besonders im Hinblick auf Kundendaten besteht ein besonderes Vertrauensverhältnis. Missbrauch kann Ihrem Unternehmen nachhaltigen Schaden zufügen. Daher muss der Datenschutz von Kundendaten stets gewährleistet sein.

E-Learning für mehr Datenschutz im Unternehmen

Stellen Sie sich vor, es ist Datenschutzschulung und alle wollen hin. Unser DSGVO-E-Learning macht genau das möglich. Dialogspiele, interaktive Elemente, Erklärvideos und Experteninterviews schaffen bei Ihren Mitarbeitenden in nur 45 Minuten ein nachhaltiges Datenschutzbewusstsein.

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com