17 min Zuletzt auktualisiert: 07.10.2024

Datenschutz und Kundendaten: Rechte und Pflichten

Ob Online-Bestellung, Kundenservice oder Newsletter: Bei jeder Interaktion werden Kundendaten verarbeitet. Doch der verantwortungsvolle Umgang mit diesen Daten ist entscheidend, um das Vertrauen der KundInnen zu gewinnen und rechtliche Vorgaben zu erfüllen. Ein unachtsamer Umgang oder unzureichender Schutz kann schwerwiegende Folgen haben, von rechtlichen Konsequenzen bis hin zu einem erheblichen Imageverlust. 

In diesem Artikel erfahren Sie, welche Maßnahmen Unternehmen ergreifen sollten, um die Datenschutzanforderungen der Datenschutz-Grundverordnung (DSGVO) einzuhalten und die Daten ihrer KundInnen effektiv zu schützen.

Was sind Kundendaten?

Kundendaten sind alle Informationen, die ein Unternehmen im Rahmen einer Geschäftsbeziehung von und über seine KundInnen sammelt. Dazu zählen Basisdaten wie Name, Adresse und Kontaktdaten, aber auch detailliertere Angaben wie Kaufverhalten, Vorlieben, Zahlungsmethoden und Kommunikationshistorien. Ebenso fallen technische Informationen wie IP-Adressen und das Nutzungsverhalten auf Websites darunter. Diese Daten sind für Unternehmen von unschätzbarem Wert, da sie helfen, das Verhalten der KundInnen besser zu verstehen und personalisierte Erlebnisse zu schaffen. Gleichzeitig erfordert der verantwortungsvolle Umgang mit diesen Daten die Einhaltung der strengen Vorgaben der DSGVO, um die Privatsphäre und Rechte der KundInnen zu schützen.

Warum ist der Schutz von Kundendaten wichtig?

Der Schutz von Kundendaten ist für Unternehmen aus mehreren Gründen von zentraler Bedeutung. Zum einen verlangt die DSGVO strenge Richtlinien für den Umgang mit personenbezogenen Daten, und Verstöße können zu erheblichen Bußgeldern führen. Aber es geht nicht nur um rechtliche Anforderungen – der verantwortungsvolle Umgang mit Kundendaten stärkt das Vertrauen der KundInnen. Wenn Menschen sicher sein können, dass ihre Daten geschützt sind, sind sie eher bereit, ihre Informationen preiszugeben und langfristige Geschäftsbeziehungen aufzubauen. Darüber hinaus schützt ein solider Datenschutz vor potenziellen Sicherheitsvorfällen, die nicht nur finanzielle Verluste, sondern auch Reputationsschäden verursachen können. Datenschutz ist also nicht nur Pflicht, sondern auch eine Chance, das Vertrauen und die Loyalität der KundInnen zu gewinnen.

Welche Rechte haben KundInnen im Hinblick auf ihre Daten?

Die Datenschutz-Grundverordnung (gewährt KundInnen eine Reihe von Rechten, um ihre Daten besser zu schützen und die Kontrolle darüber zu behalten. Unternehmen müssen diese Rechte kennen und respektieren, um rechtliche Konsequenzen zu vermeiden und das Vertrauen der Kundschaft zu stärken. Im Folgenden werden die wichtigsten Rechte erläutert:

Auskunftsrecht

KundInnen haben basierend auf Art. 15 das Recht, von Unternehmen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden. Darüber hinaus können sie Informationen darüber anfordern, welche Daten gesammelt wurden, zu welchem Zweck sie verwendet werden und wer Zugriff darauf hat.

Recht auf Berichtigung

Wenn personenbezogene Daten unrichtig oder unvollständig sind, haben KundInnen laut Art. 16 das Recht, deren Korrektur zu verlangen. Unternehmen sind verpflichtet, falsche Daten zeitnah zu berichtigen und KundInnen über die Änderung zu informieren.

Recht auf Löschung („Recht auf Vergessenwerden“)

In bestimmten Fällen können KundInnen basierend auf Art. 17 die Löschung ihrer personenbezogenen Daten verlangen. Dies gilt beispielsweise, wenn die Daten für den ursprünglichen Zweck nicht mehr benötigt werden oder die Verarbeitung unrechtmäßig ist. Unternehmen müssen diesem Antrag nachkommen, es sei denn, es bestehen rechtliche Gründe, die eine weitere Speicherung rechtfertigen.

Recht auf Einschränkung der Verarbeitung

KundInnen haben laut Art. 18 das Recht, in bestimmten Situationen eine Einschränkung der Verarbeitung ihrer Daten zu verlangen, etwa wenn die Richtigkeit der Daten angezweifelt wird oder die Verarbeitung unrechtmäßig ist, aber keine Löschung gewünscht wird.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit (Art. 20) erlaubt es KundInnen, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Dies ist besonders relevant, wenn Daten von einem Unternehmen zu einem anderen übertragen werden sollen. KundInnen können somit ihre Daten, etwa bei einem Wechsel ders DienstleisterInnen, einfach und sicher weitergeben lassen, solange die Verarbeitung auf Einwilligung oder einem Vertrag beruht. 

Widerspruchsrecht

KundInnen können basierend auf Art. 21  der Verarbeitung ihrer Daten widersprechen, insbesondere wenn die Datenverarbeitung auf berechtigten Interessen des Unternehmens oder auf Direktmarketing beruht. Unternehmen müssen in einem solchen Fall die Verarbeitung einstellen, es sei denn, sie können zwingende schutzwürdige Gründe nachweisen.

Welche Kundendaten dürfen verwendet werden?

Kundendaten fallen unter die personenbezogenen Daten der DSGVO, da sie eine Person identifizieren oder identifizierbar machen. Unternehmen müssen beim Umgang mit diesen Daten besonders sorgfältig sein und folgende Grundsätze beachten:

Erforderlichkeit der Datenverarbeitung

Unternehmen dürfen nur die Daten erheben, die für den jeweiligen Zweck tatsächlich notwendig sind. Dies bedeutet, dass nur so viele Daten wie nötig, aber so wenige wie möglich verarbeitet werden sollten. Ein Beispiel: Um eine Bestellung abzuwickeln, ist die Angabe der Lieferadresse notwendig, nicht jedoch die Information über den Familienstand des oder der KundIn.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung von Kundendaten ist nach Art. 6 grundsätzlich nur dann zulässig, wenn eine der folgenden Rechtsgrundlagen vorliegt:

  • Einwilligung: Kundinnen haben ausdrücklich zugestimmt, dass ihre Daten für einen bestimmten Zweck verwendet werden dürfen.
  • Vertragserfüllung: Die Verarbeitung der Daten ist notwendig, um einen Vertrag zu erfüllen, beispielsweise um eine Bestellung zu liefern.
  • Berechtigtes Interesse: Die Verarbeitung ist erforderlich, um ein berechtigtes Interesse des Unternehmens zu wahren, sofern die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Dies kann beispielsweise für Marketingzwecke gelten.

Sensible Daten

Besonders schützenswerte Daten, wie Angaben zur Gesundheit, Religion oder politischen Ansichten, dürfen nur unter strengen Voraussetzungen verarbeitet werden (Art 9). Eine Verarbeitung ist in der Regel nur mit ausdrücklicher Einwilligung der betroffenen Person oder zur Erfüllung gesetzlicher Pflichten zulässig. Unternehmen sollten diese Daten nur erheben, wenn sie unbedingt nötig sind.

Pflichten der Unternehmen im Umgang mit Kundendaten

Der Umgang mit Kundendaten unterliegt strengen gesetzlichen Vorgaben, die Unternehmen beachten müssen, um Bußgelder und Reputationsverluste zu vermeiden. Die wichtigsten Pflichten sind im Folgenden zusammengefasst:

Zweckbindung und Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Unternehmen dürfen personenbezogene Daten nur für einen festgelegten, eindeutigen und legitimen Zweck speichern. Die Daten dürfen nur so lange aufbewahrt werden, wie sie für diesen Zweck notwendig sind. Nach Ablauf dieser Frist müssen die Daten gelöscht werden.

Transparenz- und Informationspflichten (Art. 13 und 14 DSGVO)

 Unternehmen sind verpflichtet, KundInnen transparent über die Erhebung und Verarbeitung ihrer Daten zu informieren. Diese Information muss bereits bei der Erhebung der Daten erfolgen und detailliert darüber aufklären, welche Daten zu welchem Zweck verarbeitet werden, wie lange diese gespeichert bleiben und welche Rechte die betroffene Person hat. 

Pflicht zur Einholung einer wirksamen Einwilligung (Art. 7 DSGVO)

Für die Verarbeitung personenbezogener Daten, die nicht durch eine gesetzliche Grundlage abgedeckt ist, benötigen Unternehmen die ausdrückliche Einwilligung der betroffenen Person. Diese Einwilligung muss freiwillig, spezifisch und unmissverständlich sein. Unternehmen müssen sicherstellen, dass die Einwilligung dokumentiert wird und die betroffene Person jederzeit die Möglichkeit hat, diese Einwilligung zu widerrufen.

Technische und organisatorische Maßnahmen zur Datensicherheit (Art. 32 DSGVO)

 Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dazu gehören unter anderem die Verschlüsselung von Daten, Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und die Schulung von Mitarbeitenden im Umgang mit sensiblen Daten.

Weitergabe von Kundendaten: Was ist erlaubt?

Die Weitergabe von Kundendaten an Dritte ist nur unter bestimmten Voraussetzungen erlaubt:

  • Einwilligung: Die betroffene Person hat ausdrücklich zugestimmt.
  • Vertragliche Erfordernisse: Die Weitergabe ist notwendig, um einen Vertrag zu erfüllen, z. B. bei der Nutzung von Zahlungsdienstleistern oder die Weitergabe der Adresse an Versanddienstleister. 

Bei der Weitergabe an Dienstleister müssen Unternehmen sicherstellen, dass diese vertraglich verpflichtet sind, die Daten nur im vereinbarten Rahmen zu verarbeiten und angemessene Sicherheitsmaßnahmen ergreifen (Art. 28 DSGVO).

Wann müssen Kundendaten gelöscht werden?

Kundendaten dürfen nur so lange gespeichert werden, wie es zur Erfüllung des Verarbeitungszwecks oder aufgrund gesetzlicher Vorschriften erforderlich ist. Sobald diese Fristen abgelaufen sind, müssen die Daten gelöscht werden, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten, wie etwa für Rechnungen, die zehn Jahre lang aufbewahrt werden müssen. KundInnen haben zudem das Recht, die  Löschung ihrer Daten zu verlangen (Art. 17 DSGVO), wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. Ausnahmen bestehen nur dann, wenn die Speicherung zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. Unternehmen sollten daher ein klares Löschkonzept erstellen und die sichere Löschung der Daten dokumentieren, um den Anforderungen der DSGVO gerecht zu werden.

Datenschutz bei Marketing und Kundenkommunikation

Datenverarbeitung zu Marketingzwecken ist nur mit Einwilligung oder auf Basis eines berechtigten Interesses erlaubt, sofern die Rechte der betroffenen Person nicht überwiegen. Für den Versand von Newslettern ist das Double-Opt-In-Verfahren erforderlich, um die Einwilligung zur Nutzung der E-Mail-Adresse rechtssicher zu dokumentieren.

Auch Profiling und automatisierte Entscheidungen sind nur erlaubt, wenn sie auf einer gesetzlichen Grundlage oder ausdrücklichen Einwilligung beruhen und die betroffene Person nicht in ihren Rechten benachteiligen.

Meldung von Datenpannen und Benachrichtigungspflichten

Bei einer Datenpanne, wie einem Datenleck oder Hackerangriff, müssen Unternehmen die zuständige Datenschutzbehörde innerhalb von 72 Stunden informieren, wenn die Panne ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt (Art. 33 DSGVO). Ist die Datenpanne schwerwiegend und besteht ein hohes Risiko, müssen auch die betroffenen KundInnen unverzüglich informiert werden, beispielsweise bei Verlust sensibler Daten wie Bank- oder Gesundheitsinformationen (Art. 34 DSGVO). Werden diese Pflichten nicht eingehalten oder sind die Sicherheitsmaßnahmen unzureichend, drohen hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens.

Praktische Tipps für den datenschutzkonformen Umgang mit Kundendaten

  • ​​Nur notwendige Daten erheben: Erfassen Sie nur die Daten, die für den jeweiligen Zweck erforderlich sind, z. B. Name und Adresse für den Versand einer Bestellung, aber keine zusätzlichen Informationen.
  • Rechtsgrundlage prüfen: Stellen Sie sicher, dass jede Datenverarbeitung eine gültige Rechtsgrundlage hat, z. B. Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Sensible Daten nur mit ausdrücklicher Einwilligung verarbeiten.
  • Einwilligungen dokumentieren: Halten Sie die Einwilligungen der KundInnen schriftlich fest und bieten Sie einfache Möglichkeiten, diese jederzeit zu widerrufen.
  • Transparente Kommunikation: Informieren Sie KundInnen klar und verständlich über die Verarbeitung ihrer Daten, z. B. in einer leicht zugänglichen Datenschutzerklärung.
  • Sichere Datenweitergabe: Geben Sie Kundendaten nur weiter, wenn eine Einwilligung oder ein rechtlicher Grund vorliegt. Achten Sie bei der Weitergabe an Dienstleister auf Verträge zur Auftragsverarbeitung und eine sichere Datenübertragung.
  • Aufbewahrungsfristen einhalten: Speichern Sie Daten nur so lange, wie es für den jeweiligen Zweck notwendig ist. Löschen Sie Daten nach Ablauf der Frist oder wenn KundInnen dies verlangen und keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Sicherheitsmaßnahmen umsetzen: Schützen Sie Kundendaten durch technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.
  • Schulungen für Mitarbeitende: Schulen Sie Ihre Mitarbeitenden regelmäßig im Umgang mit Daten und sensibilisieren Sie sie für Datenschutzrisiken.
  • Double-Opt-In-Verfahren für Marketing nutzen: Holen Sie für den Versand von Newslettern die Einwilligung der KundInnen durch das Double-Opt-In-Verfahren ein, um rechtliche Sicherheit zu gewährleisten. Ihre Mitarbeitenden sollten zusätzlich zum Datenschutz im Marketing geschult sein, um Datenschutzverstöße zu vermeiden.

Fazit

Ein verantwortungsvoller Umgang mit Kundendaten ist nicht nur eine gesetzliche Notwendigkeit, sondern auch ein wichtiger Erfolgsfaktor für Unternehmen. Die Einhaltung der DSGVO stärkt das Vertrauen der KundInnen, schützt vor rechtlichen Konsequenzen und fördert eine langfristige Kundenbindung. Unternehmen sollten daher stets sicherstellen, dass sie die Rechte ihrer KundInnen respektieren, nur notwendige Daten erheben und robuste Sicherheitsmaßnahmen implementieren. So schaffen sie die Grundlage für einen datenschutzkonformen und erfolgreichen Geschäftsbetrieb.

Quellen:

Unsere Auszeichnungen

Comenius-Siegel-2024 DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6345575261236 von 5 Sternen 2634 Bewertungen auf ProvenExpert.com