Wie gehen Sie als Unternehmer mit bestehenden Kundendaten um, wenn am 25. Mai die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt? Wer einige wichtige Punkte nicht beachtet, dem drohen hohe Strafen.
Unternehmer sind ab 25. Mai dieses Jahres zu einem noch sorgfältigeren Umgang mit den personenbezogenen Daten ihrer Kunden verpflichtet. So muss zum Beispiel ein Kunde seine ausdrückliche Einwilligung zum Speichern und zur Verarbeitung seiner persönlichen Daten geben. Außerdem muss das Recht auf Löschung und Portierung der Kundendaten erfüllt werden - was zusätzliche technische und organisatorische Herausforderungen mit sich bringt. Und nicht nur das: Unternehmen müssen Kunden über die Verwendung ihrer Daten ausführlich aufklären, für vollkommene Transparenz in der Dokumentation der Datenverwendung sorgen und den Kunden und die Datenschutzbehörde informieren, sobald es zum Beispiel zu einem Datenklau oder Cyberangriff gekommen ist. Doch was bedeutet dies genau für vorhandene Kundendaten und welche gibt es im Unternehmen?
Um hier nur einige Kundendaten zu nennen: Das wären zum Beispiel Daten zur Rechnungslegung inkl. Rechnungen, Bestellungen inkl. Kopien von Ausweisen oder Zulassungsscheinen oder Kundendaten für Kundeninformationen wie Newsletter oder Briefaussendung. Aber auch die Buchhaltungsdaten gehören dazu, Terminkalender mit personenbezogenen Terminen und Daten sowie Webseitenanalysen mit Cookies oder Daten der Kontaktaufnahme über die Webseite. Nicht zu vergessen: Daten am Firmen-Smartphone oder Laptop und die analogen Kundendaten, die in Ordnern, auf Zetteln oder Schubladen vorhanden sind.
Mail-Daten, Smartphones und Kunden-Excel-Dateien Als moderner Betrieb haben die Mitarbeiter Smartphones, Tablets oder Laptops zur Verfügung gestellt bekommen. Sämtliche Kundendaten, die dezentral gespeichert sind, müssen bei der Dokumentation und bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, etc.) berücksichtigt werden. Dazu gehören zum Beispiel die Daten des persönlichen Adressbuches am Smartphone, der Mailordner des Mitarbeiters oder eine Excel-Datei mit Kundendaten.
Grundsätzlich sollte man darauf achten, dass möglichst keine personenbezogenen Daten auf Mobilgeräten gespeichert werden, denn jedes Jahr gehen Tausende dieser Geräte verloren oder werden gestohlen. Als zusätzliche Sicherheitsmaßnahme kann der Inhalt der Festplatte eines Notebooks auch verschlüsselt werden. Dies ist jedoch nicht mit der Passwort-Eingabe zur Anmeldung am Betriebssystem zu verwechseln.
Verwendung von bestehenden Kundendaten und Einwilligungen
Viele Unternehmen haben bereitsüber die vergangenen Jahre Einwilligungen für die Verarbeitung oder die Erlaubnis für die telefonische oder elektronische Kontaktaufnahme eingeholt. Und manche Systeme oder Prozesse sind auch so strukturiert, dass ausschließlich Daten mit Einwilligung verarbeitet werden. Nur kann diese "alte" Einwilligung in Zukunft nur noch dann weiterverwendet werden, wenn sie bereits den Bedingungen der Datenschutz-Grundverordnung entsprechen, und das wird in den wenigsten Fällen so sein. Die einfachste Lösung wäre: Bestehende Kontakte bis zum Beginn der Gültigkeit der DSGVO (25. Mai 2018) um Abgabeeiner neuen, gültigen Einwilligung zu bitten. Wobei dabei alle Informationspflichten nach Artikel 12 eingehalten werden müssen.
Ein besonderes Augenmerk sollte auch auf die Löschung von Daten gelegt werden, denn die DSGVO räumt Betroffenen das Recht ein, ihre Daten jederzeit korrigieren oder löschen zu lassen. Das bedeutet, dass ein Kunde ein Unternehmen auffordern kann, seine Daten zu löschen. In diesem Fall muss der Betrieb in der Lage sein, die Aufforderung innerhalb kurzer Zeit zu erfüllen. Ausgenommen sind davon Daten, die aus buchhalterischen Gründen aufbewahrt werden müssen.
Nutzen statt jammern Zu all den Aufgaben, die auf die Unternehmer zukommen, kann die DSGVO auch für den Betrieb genutzt werden. Hier ein Beispiel: Wenn ein Kunde ein Fahrzeug für eine Probefahrt übernimmt, wird oft eine Kopie des Führerscheins gemacht und darauf die Telefonnummer vermerkt. Danach wurde diese in einem Umschlag oder in einer Mappe auf alle ungenützte Ewigkeit "gespeichert".Und auf diese Art und Weise hat der Händler weder korrekte Kontaktdaten noch die Erlaubnis, den Kunden zu kontaktieren. Eine schriftliche korrekte Einwilligung des Kunden bietet jedoch Möglichkeiten, genau diese Probefahrt als Gelegenheit für Marketingzwecke
zu nutzen. Zum Beispiel, ob man den Kunden kontaktieren darf oder ob er weitere Informationen per Newsletter erhalten möchte. Das war auch schon die Überleitung zum nächsten Thema in der kommenden Ausgabe der A&W: "DSGVO für Marketing und Vertrieb".
Ein paar Fragen aus der Praxis:
Dürfen Kundendaten an den Hersteller weitergegeben werden? Die Weitergabe der personenbezogenen Daten an die Hersteller ist eine notwendige Handhabe, um den Kaufvertrag abwickeln zu können. Der Kunde muss darüber zwar informiert werden, das Unternehmen braucht aber keine separate Einwilligung dafür.
Muss jeder Reparatur-Auftrag mit einer Datenschutzerklärung unterschrieben werden? Hier sollte man sich fragen, wozu die erfassten Daten verwendet werden. Wenn Sie die Daten nur für die Auftragserfüllung selbst benötigen und verwenden, ist keine Datenschutzerklärung notwendig. Sinnvoll wäre es, den Auftrag mit der Datenschutzerklärung unterschreiben zu lassen und gegebenenfalls auch eine Einwilligung im datenschutzrechtlichen Sinn. Es ist aber nicht davon auszugehen, dass man tatsächlich eine Einwilligung benötigt. Grundsätzlich kann eine notwendige Einwilligung auch mündlich eingeholt werden. Jedoch stellt sich im Falle einer Überprüfung die Frage, wie man die mündliche Einwilligung nachweisen will.