Kundendaten: Kundendaten richtig nutzen und schützen

Kundendaten sind für jedes Unternehmen extrem wertvoll und lassen sich vielfältig nutzen. Aber nicht alles, was technisch geht, ist rechtlich erlaubt. Schaden droht auch, wenn die Daten gestohlen werden. Auf beide Themen geht Sabine Philipp in ihrem Beitrag näher ein.

Sicherheitsschlösser für die Schatzkiste

Von Sabine Philipp

Kundendaten, die frei zugänglich sind, z.B. aus dem Telefonbuch, dürfen verkauft, übermittelt und natürlich auch verwendet werden. Wie Sie mit den Daten Ihrer Kunden umzugehen haben, ist im Bundesdatenschutzgesetz (BDSG) geregelt.

Grundsätzlich dürfen Sie im CRM alle Daten speichern, die im Zusammenhang mit dem Geschäftsabschluss stehen, wie Adresse, Name und eventuell die Telefonnummer für Rücksprachen. Für Telefonwerbung ist sie ohne Zustimmung allerdings tabu. Laut § 7 UWG wäre das sonst eine „unzumutbare Belästigung“. Ebenso wie unaufgeforderte Werbung per E-Mail oder Fax.

Eine beliebte Quelle für Kundenadressen sind Preisausschreiben. Sie müssen aber dazusagen, dass Sie die Daten für Werbezwecke speichern. Geben Sie dem Kunden auch die Chance, der Nutzung zu widersprechen, etwa mit einem Kästchen zum Ankreuzen.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Zu Werbezwecken

Werbung mit der Post ist relativ unproblematisch. Falls der Kunde nicht widerspricht, können Sie folgende Daten für Werbezwecke verwenden: Berufs-, Branchen- oder Geschäftsbezeichnung, Name, Titel, akademischer Grad, Anschrift, Geburtsjahr plus ein zusätzliches Merkmal, das ihn zum Mitglied einer bestimmten Gruppe macht. Das kann z.B. die Tatsache sein, dass er im Katalog bestellt oder eine Ihrer Informationsveranstaltungen besucht hat. Die Infos müssen aber in Listenform und einheitlich aufbereitet sein.

Sie dürften diese Daten auch an Dritte weiterleiten, vorausgesetzt der Kunde stimmt zu. Ihre Klientel wird aber nicht gerade begeistert sein. Wenn Sie dem Kunden dann auch noch den Widerspruch so schwer wie möglich machen und ihn etwa zu einem Brief nötigen, kann er leicht Reißaus nehmen.

Sie können die Zustimmung zur Datenspeicherung aus Werbegründen auch in Ihre AGB packen. Sie müssen sie aber optisch hervorheben, und der Kunde muss widersprechen können.

Bei Inhaberwechsel

Falls Sie Ihr Geschäft verkaufen, dürfen Sie auch Ihre Kundendaten an den neuen Eigentümer weitergeben. Der Kunde hat Ihnen ja erlaubt, alle Daten, die die Geschäftsbeziehung betreffen, zu speichern. Und bei der Unternehmensnachfolge ändert sich ja nur der Eigentümer, nicht das Geschäft oder die Geschäftsbeziehung.

Es gibt aber auch Ausnahmen: Da bei Ärzten oder Anwälten ein besonderes Vertrauensverhältnis besteht, müssen Sie bei Kanzleiwechsel die Klienten vorher fragen.

Beauftragte für den Datenschutz

Wenn Sie mindestens zehn Mitarbeiter haben, die personenbezogene Daten automatisch verarbeiten, z.B. mit einer Datenbanksoftware, müssen Sie einen Datenschutzbeauftragten berufen (§ 4f BDSG). Werden die Daten nicht automatisch, sondern in Ordnern verwaltet, müssen Sie erst ab 20 zugangsberechtigten Kollegen einen solchen bestellen. Der überwacht dann unter anderem, ob die Daten ausreichend nach außen hin geschützt sind (§ 4g BDSG). Im Normalfall reicht es, einen Angestellten mit der Zusatzaufgabe zu beauftragen. Sie müssen aber jemanden wählen, der sich damit auskennt.

Tipp: Informationsprofis ansetzen
Nehmen Sie als Datenschutzbeauftragten am besten einen Mitarbeiter aus der EDV oder IT. Der kann sich am schnellsten in die Software und alles Nötige einarbeiten. Oder holen Sie sich Hilfe von auswärts: Experten vermittelt der Bundesverband der Datenschutzbeauftragten.

Falls Sie keinen Beauftragten für den Datenschutz bestellen, kann ein Bußgeld von 25.000 Euro drohen. Die Datenschutzaufsichtsbehörde kontrolliert das zwar kaum, aber Besuche sind nie ausgeschlossen. Auch die ersten Profi-Abmahner haben schon Morgenluft gewittert.

Serie: Datenschutz
Teil 1 erklärt, wann Unter­nehmen einen Be­auf­tragten für den Daten­schutz brau­chen und wa­rum ex­terne Pro­fis oft die bes­sere Wahl sind. Teil 2 setzt aus­einander, wie Be­triebs­rat und Mit­arbeiter am besten mit­spielen und was in den Ver­fahrens­plänen stehen muss. Teil 3 geht das The­ma von der an­deren Sei­te an und fragt, was der Wirt­schafts­prüfer bei der Kon­trolle zu Ge­sicht be­kommen darf. Teil 4 stellt ein Schutz­klassen­system vor und be­trachtet Daten­schutz und EDV-Com­pliance als Wett­bewerbs­vorteil.

Fazit: Sicherheit gegen Adressdiebe

Sie sollten bei alledem aber aus eigenem Interesse dafür sorgen, dass die Daten nicht in falsche Hände geraten. Denn nichts ist ärgerlicher, als wenn die liebe Konkurrenz Ihre besten Kunden umwirbt. Speichern Sie die Daten auf einer besonderen Partition Ihres Rechners. Die können Sie vom Internet abkoppeln und damit besser vor Hackern schützen.

Die größte Gefahr geht aber von unzufriedenen Mitarbeitern aus. Ob das Personal Schindluder treibt, können Sie mit Kontrolladressen herausfinden. Geben Sie hierfür die Daten eines Eingeweihten ein, die Sie leicht verändern. Sobald der Strohmann die manipulierte Post kriegt, sind Sie alarmiert. Und: Sagen Sie den Mitarbeitern ruhig, dass Sie eine Kontrolle eingebaut haben. Viele potenzielle Datenräuber probieren es dann erst gar nicht.

Nützliche Links