Datenschutz von Kundendaten

Gehen Ihre Mitarbeiter DSGVO-konform mit Kundendaten um?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(7 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Als Arbeitgeber müssen Sie dafür sorgen, dass ihre Mitarbeiter die Kundendaten DSGVO-konform behandeln.
  • Es kann zu Klagen, Bußgeldern und Imageverlust kommen, wenn mit Kundendaten nicht verantwortungsvoll umgegangen wird.
  • Erstellen Sie Mitarbeiter-Richtlinien und veranstalten Sie Schulungen, um Datenschutzverstößen vorzubeugen.

Worum geht's?

Sind Kundendaten auch in Ihrem Unternehmen ein zentraler Baustein? Der Schutz von Kundendaten hat nicht nur für den Erfolg Ihres Unternehmens höchste Priorität, sondern ist auch aus rechtlichen Gründen zwingend notwendig. Denn: Mangelhafter Schutz von Kundendaten kann schnell zu Klagen, Imageverlust und insbesondere Vertrauensverlust Ihrer Kunden führen. Daher sollten Sie ein Auge darauf haben, dass nicht nur Sie, sondern auch Ihre Mitarbeiter DSGVO-konform mit den Kundendaten umgehen. In diesem Artikel erfahren Sie, wie Sie sicherstellen, dass Ihre Mitarbeiter verantwortungsvoll und DSGVO-konform mit Kundendaten umgehen.


1. Sind Kundendaten überhaupt personenbezogene Daten?

Kundendaten sind personenbezogene Daten, da sie die Identifizierung einer Person ermöglichen. Zu Kundendaten zählen beispielsweise:

  • Vor- und Nachname
  • Private Adresse
  • Telefonnummer
  • E-Mail-Adresse
  • Bestellungen
  • Bankdaten
  • IP-Adresse

Sobald es um den Umgang mit personenbezogenen Daten geht, sollten bei Ihnen die Alarmglocken klingeln, denn es geht zwangsläufig um das Thema Datenschutz. Bei der Datenverarbeitung von Kundendaten sollten Sie also besonders sorgfältig arbeiten.

2. Informieren Sie Ihre Kunden über die Datenverarbeitung

Bevor Sie jedoch darüber nachdenken können, wie Ihre Mitarbeiter mit Kundendaten umgehen, müssen Sie Ihre Kunden über die Verwendung ihrer Daten aufklären. Was Sie somit zuerst benötigen, ist eine Datenschutzerklärung.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

 Wie Sie die Datenschutzerklärung auf Ihrer Webseite einbinden, können Sie in unserem Artikel „Versteckte Datenschutzerklärung kann abgemahnt werden“ lesen.

3. Verantwortung für die Einhaltung des Datenschutzes und Haftung bei Verstößen

Die Kombination aus mangelhaftem Datenschutz & Kundendaten kann sehr teuer werden. Verstöße gegen den Datenschutz können Sanktionen und hohe Bußgelder von bis zu 20 Mio. Euro zur Folge haben. Daher fragen Sie sich zurecht: Wer ist verantwortlich für die Einhaltung des Datenschutzes von Kundendaten und wer haftet bei Verstößen?

Auch wenn Ihre Mitarbeiter den meisten Kontakt zu den Kunden Ihres Unternehmens haben, gilt: Sie als Geschäftsführer sind für die Einhaltung des Datenschutzes verantwortlich. Im Übrigen haften Sie damit auch für Verstöße gegen die DSGVO. Nur in seltenen Fällen kann es vorkommen, dass Ihre Mitarbeiter für einen Verstoß geradestehen müssen. Selbst wenn Sie einen externen Datenschutzbeauftragten haben, kann es sein, dass Sie ebenfalls für Verstöße haften. Daher ist die Sensibilisierung Ihrer Mitarbeiter essentieller Bestandteil, wenn es um den Umgang mit Kundendaten geht.

ZUM BEITRAG

LESE-EMPFEHLUNG

Informieren Sie sich im Detail über die Haftung bei Datenschutzverstößen und wie Sie dieses Risiko minimieren in unserem Beitrag „Achtung: Geschäftsführer haften bei DSGVO-Verstößen persönlich“.

ZUM BEITRAG

4. Auskunftsansprüchen von Kunden jederzeit nachkommen

Kunden können jederzeit Auskunft über gespeicherte und verarbeitete Daten verlangen. Um Ihren gesetzlichen Pflichten nachzukommen, müssen sämtliche personenbezogene Daten innerhalb eines Monats mitgeteilt werden.

Da sich das Auskunftsrecht auch auf weitere Informationen wie beispielsweise Verarbeitungszwecke erstrecken kann, sollten Sie auf Auskunftsansprüche gut vorbereitet sein und einen Prozess zur Datenauskunft festlegen.Stellen Sie außerdem sicher, dass Mitarbeiter Ihres Unternehmens, die sich um Kundenanfragen kümmern, Auskunftsansprüche besonders priorisieren.

Zum Artikel

LESE-EMPFEHLUNG

Informieren Sie sich in unserem Artikel “Wann und wie Unternehmen dem Auskunftsrecht für personenbezogene Daten nachkommen müssen” im Detail darüber, in welchem Umfang Sie Auskunft erteilen müssen und nutzen Sie das Muster zur Datenauskunft.

Zum Artikel

5. Speicherung und Löschung kundenbezogener Daten

Das Kundendaten überhaupt gespeichert werden dürfen, ergibt sich aus der Zweckbestimmung des Artikel 5 Abs. 1 lit. e) Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG-neu). Das bedeutet, für die Speicherung von Daten muss immer ein Zweck vorliegen und es gilt das Gebot der Datensparsamkeit. Sie sollten also so wenig Daten wie möglich und so viele Daten wie nötig speichern.

Ein solcher Zweck kann zum Beispiel die Vertragserfüllung sein: Damit Sie einem Kunden beispielsweise ein Produkt zusenden können, brauchen Sie seine Adresse, nicht aber die Information über seinen Beziehungsstatus oder Religionszugehörigkeit. Beachten Sie, dass Sie personenbezogene Daten nicht ewig speichern können. Es gilt der Grundsatz: Kundendaten sind zu löschen, sobald der Zweck für Ihre Speicherung nicht mehr besteht.

Sobald Sie Daten speichern möchten, die über den eigentlichen Zweck hinausgehen, benötigen Sie die ausdrückliche Zustimmung des Kunden. Erwähnt der Kunde beispielsweise im Bestellvorgang, dass die Einladungskarten für seine eigene Hochzeit bestellt werden, können Sie diese Information nicht einfach so speichern.

Sören Siebert
Sören SiebertRechtsanwalt

Darüber hinaus können Kunden auch verlangen, dass Ihre Daten gelöscht werden. Wenn Sie sich ausführlicher zum Recht Ihrer Kunden auf Löschung von Daten informieren wollen, lesen Sie unseren Artikel zum Thema: „Diese Betroffenenrechte der DSGVO sollten Unternehmer auf dem Schirm haben“.

ACHTUNG

Aufbewahrungsfristen stehen einer Löschung von Daten im Wege. Für Rechnungen bestehen z. B. Aufbewahrungsfristen von bis zu zehn Jahren, da es sich um steuerlich relevante Dokumente handelt. Wenn diese Rechnungen Kundendaten wie Name und Adresse enthalten, dürfen Sie diese Daten somit nicht löschen.

6. Umgang mit Kundendaten im Homeoffice

Wie auch im Büro müssen Sie den Schutz von personenbezogenen Daten im Homeoffice Ihrer Mitarbeiter sicherstellen. Die DSGVO macht dabei keine Unterscheidung. Da Sie die jeweiligen Gegebenheiten Ihrer Mitarbeiter im Homeoffice nicht kennen, sollten Sie unbedingt eine Homeoffice-Datenschutzvereinbarung mit Ihren Mitarbeitern treffen. So können Sie beispielsweise sicherstellen, dass Ausdrucke mit personenbezogenen Daten richtig vernichtet werden und Familienmitglieder keinen Zugang zu Kundendaten erhalten.

Homeoffice-Vereinbarung erstellen

Kostenlose Homeoffice-Vereinbarung

  • einfache Erstellung mit dem Homeoffice-Generator
  • Es dauert nur wenige Minuten
  • Erhalten Sie eine DSGVO-konforme Mitarbeiter-Vereinbarung
Homeoffice-Vereinbarung erstellen

7. Werden Ihre Kunden von Mitarbeitern privat kontaktiert?

Es ist vollkommen selbstverständlich, dass Mitarbeiter Kundendaten nutzen, um zum Beispiel Versandbestätigungen zu verschicken, Kundenservice-Anfragen zu beantworten oder Newsletter zu Marketingzwecken zu verschicken. Viele Unternehmen kontaktieren Ihre Kunden auch auf Social-Media. Sobald diese Kontaktaufnahme über ein privates Gerät und ein privates Profil eines Mitarbeiters erfolgt, sollten Sie jedoch hellhörig werden.

In einer Entscheidung des Landgerichts Baden-Baden vom 24. August 2023 (Az. 3 S 13/23) hat eine Mitarbeiterin ihr privates Handy sowie ihr privates Instagram-Konto verwendet, um eine Kundin des Unternehmens über ihren Namen zu kontaktieren. Die Mitarbeiterin wollte die Kundin auf einen Fehler bei der Rechnung aufmerksam machen. Die Kundin klagte und forderte Auskunft nach DSGVO über die Nutzung ihrer Daten – einschließlich des Namens der Mitarbeiterin, die sie kontaktiert hatte. Außerdem beantragte Sie ein Verbot der privaten Nutzung ihrer personenbezogenen Daten durch die Mitarbeiter des Unternehmens.

Die eigenmächtige Kontaktaufnahme der Mitarbeiterin über einen privaten Account widersprach den Gepflogenheiten des Unternehmens. Deshalb musste das Unternehmen den Namen der Mitarbeiterin preisgeben, die die Kundendaten privat verarbeitet hat, damit die Kundin ihre Ansprüche nach DSGVO geltend machen konnte. Darüber hinaus musste das Unternehmen die private Verwendung von personenbezogenen Daten der Kundin Ihren Mitarbeitern untersagen, da diese nicht den Weisungen des Unternehmens entsprach.

Berücksichtigen Sie in Ihrem Unternehmensalltag, dass die Kontaktaufnahme mit Kunden über private Konten (z.B. Instagram und LinkedIn) oder über die private Telefonnummer durch Mitarbeiter nur möglich ist, wenn dies unter der Aufsicht des Arbeitgebers und im Einklang mit dessen Weisungen passiert.

Sören Siebert
Sören SiebertRechtsanwalt

In diesem Fall wollte die Mitarbeiterin die Kundin privat bezüglich eines geschäftlichen Anliegens kontaktieren. Jedoch kann es auch passieren, dass Mitarbeiter Kunden per Social Media oder Telefonnummer aus persönlicher Neugier kontaktieren oder sogar belästigen. Untersagen Sie Ihren Mitarbeitern daher, Kundendaten privat zu verwenden und legen Sie darüber hinaus fest, wie Mitarbeiter mit sozialen Medien umgehen sollen. Im Premium Bereich von eRecht24 finden Sie neben anwaltlichen Mustertexten, Tools und Live-Webinaren auch eine Social Media Guideline

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

Wenn Sie mehr darüber erfahren wollen, welche Fallstricke Sie bei der Nutzung von Social Media in Ihrem Unternehmen umgehen sollten, lesen Sie unseren Artikel zum Thema “Soziale Netzwerke”.

8. "Best Practices" für einen verantwortungsvollen Umgang mit Kundendaten

Damit Sie sich vor Datenschutzverstößen und einhergehenden Folgen wie Geldbußen und Imageverlust schützen, sollte die Sensibilisierung Ihrer Mitarbeiter essenzieller Bestandteil Ihrer Datenschutz-Strategie sein.

Machen Sie Ihre Mitarbeiter durch regelmäßige Schulungen auf datenschutzrechtliche Stolperfallen aufmerksam und schaffen Sie Bewusstsein für einen verantwortungsvollen Umgang mit Kundendaten. Verwenden Sie Mitarbeiter-Richtlinien, um einen richtigen Umgang mit Kundendaten vom ersten Arbeitstag an sicherzustellen. Schließen Sie mit jedem Mitarbeiter eine Vertraulichkeitsvereinbarung ab.

5 Schritte 
Wie stellen Unternehmer einen DSGVO-konformen Umgang mit Kundendaten durch Ihre Mitarbeiter sicher?
  • Stellen Sie eine Datenschutzerklärung für Ihre Kunden bereit.
  • Schließen Sie Vertraulichkeitsvereinbarungen mit Ihren Mitarbeitern ab.
  • Nutzen Sie eine Social Media Guideline für Ihre Mitarbeiter.
  • Regelmäßige datenschutzrechtliche Schulungen für Mitarbeiter.
  • Umsetzung einer Vereinbarung zum Datenschutz im Homeoffice mit Ihren Mitarbeitern.

 

Sie wollen noch mehr zum Datenschutz in Ihrem Unternehmen erfahren?
Lesen Sie unseren Artikel zum Thema „Was müssen Unternehmen nach der DSGVO intern alles regeln?“.

9. FAQ

Dürfen Kundendaten an Dritte weitergegeben werden?

Kundendaten dürfen nur an Dritte weitergegeben werden, wenn die entsprechende Einwilligung des Kunden vorliegt oder die Weitergabe gesetzlich erlaubt ist. Gesetzlich erlaubt kann die Weitergabe sein, wenn ein Auftragsverarbeitungsvertrag (z. B. mit ihrem Marketing-Dienstleister), wenn die Weitergabe für die Vertragserfüllung erforderlich ist (z.B. wenn ein Online-Shop die Adressdaten an den Paketdienst sendet) oder wenn ein sog. berechtigtes Interesse (z. B. Weitergabe von Daten, um die Informationssicherheit sicherzustellen) vorliegt.

Darf ich Kundendaten für werbliche Zwecke verwenden?


Wenn Sie Kundendaten aufgrund eines Bestellvorgangs erhalten haben, dürfen Sie diese Daten nicht nutzen, um Werbung zu verschicken. Um Werbung beispielsweise in Form eines Newsletters zu verschicken, brauchen Sie die explizite Einwilligung Ihrer Kunden. Lesen Sie unseren weiterführenden Artikel zum Thema “E-Mail-Marketing: So erstellen Sie erfolgreiche und rechtssichere Mailkampagnen”, wenn Sie sich detaillierter über DSGVO-konforme Newsletter informieren möchten.

Was sind die DSGVO-Löschfristen für Kundendaten?

Es gibt keine pauschalen Löschfristen für Daten Ihrer Kunden. Sie müssen Kundendaten löschen, wenn der Zweck für Ihre Speicherung nicht mehr besteht, der Kunde seine Einwilligung zur Speicherung widerruft, der Kunde Widerspruch einlegt oder die Kundendaten unrechtmäßig verarbeitet wurden. Außerdem sind Kundendaten zu löschen, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder es sich um Daten eines Kindes handelt. Denken Sie jedoch daran, dass Sie Kundendaten nicht löschen, wenn es gesetzliche Aufbewahrungsfristen gibt.

Kaufe ich bei einem Unternehmenskauf die Kundendaten mit?


Je nachdem, ob es sich um einen Asset oder Share-Deal handelt, kann der Unternehmenskauf zu einem datenschutzrechtlichen Debakel führen. Bei einem Share Deal bleiben die Kundendaten beim gleichen Unternehmen, weshalb es kein datenschutzrechtliches Problem gibt. Beim Asset-Deal werden Kundendaten an einen Käufer weitergegeben, wodurch eine Einwilligung der Kunden erforderlich ist.

Datenschutz und „Bring Your Own Device“ – passt das?


Dürfen Ihre Mitarbeiter private Geräte bei der Arbeit verwenden oder erlauben Sie Ihren Mitarbeitern, Arbeitsgeräte auch privat zu nutzen? Hier ist die Versuchung von Mitarbeitern groß, Privates und Geschäftliches zu vermengen. Wenn Sie eine „Bring Your Own Device“-Richtlinie verwenden, sollten Sie mit Ihren Mitarbeitern eine Vertraulichkeitsvereinbarungen abschließen, eine Vereinbarung zum Datenschutz im Homeoffice haben, regelmäßige Datenschutz-Schulungen anbieten und vor allem eine Richtlinie zur Nutzung von Social Media haben. Sofern Sie noch überlegen, ob Sie eine „Bring Your Own Device“-Policy einführen, raten wir Ihnen stattdessen eine „Choose Your Own Device“-Richtlinie einzuführen, um datenschutzrechtliche Risiken zu minimieren.

10. Los geht's!

Starten Sie noch heute, Ihre Mitarbeiter für den Datenschutz von Kundendaten zu sensibilisieren, indem Sie eine Homeoffice-Vereinbarung erstellen: 

Homeoffice-Vereinbarung erstellen

Kostenlose Homeoffice-Vereinbarung

  • einfache Erstellung mit dem Homeoffice-Generator
  • einsetzbar in nur wenige Minuten
  • Erhalten Sie eine DSGVO-konforme Mitarbeiter-Vereinbarung
Homeoffice-Vereinbarung erstellen
Frauke Krüger
Frauke Krueger
Wirtschaftsjuristin und Legal Writerin

Frauke Krüger ist studierte Wirtschaftsjuristin und verstärkt das eRecht24-Team seit 2023 als Legal Writer. Im Rahmen ihres Masterstudiums im internationalen Lizenzrecht hat sie sich auf die Rechtsgebiete des Urheber-, Marken- und Vertragsrechts spezialisiert. Sie begeistert sich für juristische Fragestellungen, die im Zuge der Digitalisierung sowie durch den zunehmenden Einsatz von Künstlicher Intelligenz entstehen.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details