Kundendaten DSGVO-konform speichern und löschen
Was sind Kundendaten und wann dürfen Sie verarbeitet werden?
Seit Inkrafttreten der DSGVO im Jahr 2018 müssen Unternehmen auf einen besonders sorgsamen Umgang mit sensiblen Daten achten. Dazu gehören vor allem Kundendaten, genauer gesagt personenbezogene Daten. Sie umfassen alle Daten, anhand derer sich eine natürliche Person identifizieren lässt. Kundendaten können umfassen:
- Name
- Adresse
- Geburtsdatum
- E-Mail-Adresse
- IP-Adresse
Kundendaten dürfen von Unternehmen nur auf gesetzlicher Grundlage verarbeitet werden. Die Verarbeitung der Daten muss zum Beispiel notwendig sein, um dem Kunden ein Angebot oder eine bestellte Ware oder Dienstleistung zukommen zu lassen. In diesem Fall ist es auch im Interesse des Kunden, seine Daten anzugeben, um die gewünschte Ware oder Dienstleistung zu erhalten.
Aber auch die Kontaktaufnahme zu Werbezwecken, für die Kontaktdaten und damit Kundendaten benötigt werden, ist im Interesse eines Unternehmens. Dennoch dürfen auch hier personenbezogene Daten nicht sorglos verarbeitet werden. Der Speicherung und Verarbeitung von Kundendaten zum Versand von Newslettern muss die explizite Zustimmung des Kunden vorausgehen. Fehlt diese Zustimmung, ist die Verarbeitung von Kundendaten nicht zulässig.
Egal, wofür Sie als Unternehmen Kundendaten sammeln, speichern und verwenden: Die Verarbeitung der Daten muss immer zweckgebunden sein. Die E-Mail-Adressen, die Sie für Werbezwecke oder den Versand Ihrer Ware an den Kunden verwenden, dürfen Sie nicht für anderweitige Zwecke weitergeben. Die Weitergabe ist nur unter bestimmten Voraussetzungen möglich. Die DSGVO dient in erster Linie dazu, die Verbraucher vor Datenhandel und damit ihre Privatsphäre zu schützen.
Datenschutz bei Kundendaten
Für Unternehmen reicht es jedoch nicht aus, die Verarbeitung personenbezogener Daten zu begründen. Auch bei der datenschutzkonformen Speicherung erwarten Unternehmen einige Hürden. Kundendaten dürfen nicht ohne Weiteres gespeichert werden. Für eine datenschutzkonforme Vorgehensweise muss ein Unternehmen folgende Punkte beachten:
- Der Kunde muss vorab immer darüber informiert werden, zu welchem Zweck seine Daten erhoben werden.
- Der Kunde muss einer Speicherung seiner Daten explizit zustimmen, sofern kein Vertrag oder vertragsähnliches Verhältnis besteht.
- Der Kunde muss über sein Widerrufsrecht aufgeklärt werden.
- Es muss ein Hinweis auf die vollständige Datenschutzerklärung gegeben werden.
- Es dürfen nach dem Grundsatz der Datenminimierung nur notwendige Daten erhoben und
- gespeichert werden (für die Newsletter-Anmeldung ist zum Beispiel nur die Angabe der E-Mail-Adresse erforderlich).
Die datenschutzrechtliche Aufklärung des Kunden erfolgt durch rechtlich einwandfrei formulierte und verständliche Disclaimer, die den Kunden ausführlich über den Zweck und Umfang der Datenverarbeitung und seine Rechte informieren. Die explizite Einwilligung zur Speicherung seiner Daten gibt der Kunde durch Opt-In oder das Double-Opt-In Verfahren, also durch die Zustimmung mit einem Klick oder der doppelten Zustimmung durch Klick auf den Aktivierungslink in einer E-Mail. Das Double-Opt-In-Verfahren ist vor allem für Newsletter relevant.
Im Rahmen der Speicherung von Kundendaten müssen Unternehmen der Dokumentationspflicht nachkommen. Jedes Unternehmen muss dokumentieren, wie die Kundendaten verarbeitet werden. Ein entsprechendes Verzeichnis muss beinhalten, welche Daten wo gespeichert sind. Bei der Speicherung von Kundendaten müssen Unternehmen sich an die gesetzlichen Aufbewahrungsfristen halten. Hat der Kunde der Speicherung seiner Daten zugestimmt, möchte er sie natürlich in sicheren Händen wissen. Um Kundendaten vor Hackern und Datenpannen zu schützen, müssen entsprechende Maßnahmen getroffen werden. Jedes Unternehmen ist daher auch zur Dokumentation der getroffenen Maßnahmen zur Datensicherheit verpflichtet.
Vorgaben der DSGVO: Kundendaten löschen
Auch die Löschung von Kundendaten muss ordnungsgemäß erfolgen. Die DSGVO gibt Löschfristen für Kundendaten vor. Unternehmen sind zur Löschung von personenbezogenen Daten verpflichtet, wenn der Zweck ihrer Verwendung erfüllt wurde und die gesetzliche Aufbewahrungsfrist verstrichen ist. Beantragt ein Kunde die Löschung seiner Daten, müssen Sie dem nachkommen. Unter Umständen müssen Sie jedoch die Aufbewahrungsfrist einhalten und den Kunden darüber aufklären. Damit die richtigen Daten zur richtigen Zeit gelöscht werden, ist ein durchdachtes Löschkonzept unerlässlich. Dabei wird unternehmensintern festgehalten, wer für die Löschung der Daten zuständig ist, wann welche Daten gelöscht werden müssen und wo diese Daten gespeichert werden.
Was tun bei Verlust von Kundendaten?
Werden durch einen Hackerangriff oder eine Datenpanne Kundendaten an Dritte übermittelt, muss das betroffene Unternehmen diesen Datenschutzverstoß sofort der zuständigen Aufsichtsbehörde melden. Auch die betroffenen Kunden müssen informiert werden. Um Datenlecks zu vermeiden, ist es ratsam, sich die Unterstützung eines externen Datenschutzbeauftragten zu holen.
Ihr externer Datenschutzbeauftragter für eine datenschutzkonforme Verarbeitung von Kundendaten
Um den Datenschutz und die Datensicherheit gemäß der DSGVO in einem Unternehmen zu gewährleisten, sind regelmäßige Maßnahmen und eine laufende Kontrolle notwendig. Für Mitarbeiter ist es kaum möglich, sich ausreichend mit den Regelungen der DSGVO vertraut zu machen und deren Einhaltung neben der eigentlichen Tätigkeit im Unternehmen zu überwachen. Hier hilft Ihnen ein externer Datenschutzberater, der die notwendigen Kenntnisse und Kompetenzen dafür mitbringt.
Als Ihr externer Datenschutzberater prüfen wir, ob die Speicherung und Löschung von Kundendaten in Ihrem Unternehmen DSGVO-konform umgesetzt wird. Wir empfehlen Optimierungsmaßnahmen und setzen diese gerne für Sie um. So stehen Sie auf der sicheren Seite und vermeiden datenschutzrechtliche Verstöße. Unser Leistungsspektrum geht selbstverständlich weit über die Beratung zum Umgang mit Kundendaten hinaus. Wir unterstützen Sie bei allen Fragen rund um den Datenschutz in Ihrem Unternehmen.