Worum geht's?
Sind Kundendaten auch in Ihrem Unternehmen ein zentraler Baustein? Der Schutz von Kundendaten hat nicht nur für den Erfolg Ihres Unternehmens höchste Priorität, sondern ist auch aus rechtlichen Gründen zwingend notwendig. Denn: Mangelhafter Schutz von Kundendaten kann schnell zu Klagen, Imageverlust und insbesondere Vertrauensverlust Ihrer Kunden führen. Daher sollten Sie ein Auge darauf haben, dass nicht nur Sie, sondern auch Ihre Mitarbeiter DSGVO-konform mit den Kundendaten umgehen. In diesem Artikel erfahren Sie, wie Sie sicherstellen, dass Ihre Mitarbeiter verantwortungsvoll und DSGVO-konform mit Kundendaten umgehen.
1. Sind Kundendaten überhaupt personenbezogene Daten?
Kundendaten sind personenbezogene Daten, da sie die Identifizierung einer Person ermöglichen. Zu Kundendaten zählen beispielsweise:
- Vor- und Nachname
- Private Adresse
- Telefonnummer
- E-Mail-Adresse
- Bestellungen
- Bankdaten
- IP-Adresse
Sobald es um den Umgang mit personenbezogenen Daten geht, sollten bei Ihnen die Alarmglocken klingeln, denn es geht zwangsläufig um das Thema Datenschutz. Bei der Datenverarbeitung von Kundendaten sollten Sie also besonders sorgfältig arbeiten. Mit unserer Datenschutz-Lösung sichern Sie den Datenschutz in Ihrem Unternehmen ab.
2. Informieren Sie Ihre Kunden über die Datenverarbeitung
Bevor Sie jedoch darüber nachdenken können, wie Ihre Mitarbeiter mit Kundendaten umgehen, müssen Sie Ihre Kunden über die Verwendung ihrer Daten aufklären. Was Sie somit zuerst benötigen, ist eine Datenschutzerklärung.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
Wie Sie die Datenschutzerklärung auf Ihrer Webseite einbinden, können Sie in unserem Artikel „Versteckte Datenschutzerklärung kann abgemahnt werden“ lesen.
3. Verantwortung für die Einhaltung des Datenschutzes und Haftung bei Verstößen
Die Kombination aus mangelhaftem Datenschutz & Kundendaten kann sehr teuer werden. Verstöße gegen den Datenschutz können Sanktionen und hohe Bußgelder von bis zu 20 Mio. Euro zur Folge haben. Daher fragen Sie sich zurecht: Wer ist verantwortlich für die Einhaltung des Datenschutzes von Kundendaten und wer haftet bei Verstößen?
Auch wenn Ihre Mitarbeiter den meisten Kontakt zu den Kunden Ihres Unternehmens haben, gilt: Sie als Geschäftsführer sind für die Einhaltung des Datenschutzes verantwortlich. Im Übrigen haften Sie damit auch für Verstöße gegen die DSGVO. Nur in seltenen Fällen kann es vorkommen, dass Ihre Mitarbeiter für einen Verstoß geradestehen müssen. Selbst wenn Sie einen externen Datenschutzbeauftragten haben, kann es sein, dass Sie ebenfalls für Verstöße haften. Daher ist die Sensibilisierung Ihrer Mitarbeiter essentieller Bestandteil, wenn es um den Umgang mit Kundendaten geht.
LESE-EMPFEHLUNG
Informieren Sie sich im Detail über die Haftung bei Datenschutzverstößen und wie Sie dieses Risiko minimieren in unserem Beitrag „Achtung: Geschäftsführer haften bei DSGVO-Verstößen persönlich“.
4. Auskunftsansprüchen von Kunden jederzeit nachkommen
Kunden können jederzeit Auskunft über gespeicherte und verarbeitete Daten verlangen. Um Ihren gesetzlichen Pflichten nachzukommen, müssen sämtliche personenbezogene Daten innerhalb eines Monats mitgeteilt werden.
Da sich das Auskunftsrecht auch auf weitere Informationen wie beispielsweise Verarbeitungszwecke erstrecken kann, sollten Sie auf Auskunftsansprüche gut vorbereitet sein und einen Prozess zur Datenauskunft festlegen.Stellen Sie außerdem sicher, dass Mitarbeiter Ihres Unternehmens, die sich um Kundenanfragen kümmern, Auskunftsansprüche besonders priorisieren.
LESE-EMPFEHLUNG
Informieren Sie sich in unserem Artikel “Wann und wie Unternehmen dem Auskunftsrecht für personenbezogene Daten nachkommen müssen” im Detail darüber, in welchem Umfang Sie Auskunft erteilen müssen und nutzen Sie das Muster zur Datenauskunft.
5. Speicherung und Löschung kundenbezogener Daten
Das Kundendaten überhaupt gespeichert werden dürfen, ergibt sich aus der Zweckbestimmung des Artikel 5 Abs. 1 lit. e) Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG-neu). Das bedeutet, für die Speicherung von Daten muss immer ein Zweck vorliegen und es gilt das Gebot der Datensparsamkeit. Sie sollten also so wenig Daten wie möglich und so viele Daten wie nötig speichern.
Ein solcher Zweck kann zum Beispiel die Vertragserfüllung sein: Damit Sie einem Kunden beispielsweise ein Produkt zusenden können, brauchen Sie seine Adresse, nicht aber die Information über seinen Beziehungsstatus oder Religionszugehörigkeit. Beachten Sie, dass Sie personenbezogene Daten nicht ewig speichern können. Es gilt der Grundsatz: Kundendaten sind zu löschen, sobald der Zweck für Ihre Speicherung nicht mehr besteht.
Sobald Sie Daten speichern möchten, die über den eigentlichen Zweck hinausgehen, benötigen Sie die ausdrückliche Zustimmung des Kunden. Erwähnt der Kunde beispielsweise im Bestellvorgang, dass die Einladungskarten für seine eigene Hochzeit bestellt werden, können Sie diese Information nicht einfach so speichern.
Darüber hinaus können Kunden auch verlangen, dass Ihre Daten gelöscht werden. Wenn Sie sich ausführlicher zum Recht Ihrer Kunden auf Löschung von Daten informieren wollen, lesen Sie unseren Artikel zum Thema: „Diese Betroffenenrechte der DSGVO sollten Unternehmer auf dem Schirm haben“.
ACHTUNG
Aufbewahrungsfristen stehen einer Löschung von Daten im Wege. Für Rechnungen bestehen z. B. Aufbewahrungsfristen von bis zu zehn Jahren, da es sich um steuerlich relevante Dokumente handelt. Wenn diese Rechnungen Kundendaten wie Name und Adresse enthalten, dürfen Sie diese Daten somit nicht löschen.
6. Umgang mit Kundendaten im Homeoffice
Wie auch im Büro müssen Sie den Schutz von personenbezogenen Daten im Homeoffice Ihrer Mitarbeiter sicherstellen. Die DSGVO macht dabei keine Unterscheidung. Da Sie die jeweiligen Gegebenheiten Ihrer Mitarbeiter im Homeoffice nicht kennen, sollten Sie unbedingt eine Homeoffice-Datenschutzvereinbarung mit Ihren Mitarbeitern treffen. So können Sie beispielsweise sicherstellen, dass Ausdrucke mit personenbezogenen Daten richtig vernichtet werden und Familienmitglieder keinen Zugang zu Kundendaten erhalten.
Kostenlose Homeoffice-Vereinbarung
- einfache Erstellung mit dem Homeoffice-Generator
- Es dauert nur wenige Minuten
- Erhalten Sie eine DSGVO-konforme Mitarbeiter-Vereinbarung
7. Werden Ihre Kunden von Mitarbeitern privat kontaktiert?
Es ist vollkommen selbstverständlich, dass Mitarbeiter Kundendaten nutzen, um zum Beispiel Versandbestätigungen zu verschicken, Kundenservice-Anfragen zu beantworten oder Newsletter zu Marketingzwecken zu verschicken. Viele Unternehmen kontaktieren Ihre Kunden auch auf Social-Media. Sobald diese Kontaktaufnahme über ein privates Gerät und ein privates Profil eines Mitarbeiters erfolgt, sollten Sie jedoch hellhörig werden.
In einer Entscheidung des Landgerichts Baden-Baden vom 24. August 2023 (Az. 3 S 13/23) hat eine Mitarbeiterin ihr privates Handy sowie ihr privates Instagram-Konto verwendet, um eine Kundin des Unternehmens über ihren Namen zu kontaktieren. Die Mitarbeiterin wollte die Kundin auf einen Fehler bei der Rechnung aufmerksam machen. Die Kundin klagte und forderte Auskunft nach DSGVO über die Nutzung ihrer Daten – einschließlich des Namens der Mitarbeiterin, die sie kontaktiert hatte. Außerdem beantragte Sie ein Verbot der privaten Nutzung ihrer personenbezogenen Daten durch die Mitarbeiter des Unternehmens.
Die eigenmächtige Kontaktaufnahme der Mitarbeiterin über einen privaten Account widersprach den Gepflogenheiten des Unternehmens. Deshalb musste das Unternehmen den Namen der Mitarbeiterin preisgeben, die die Kundendaten privat verarbeitet hat, damit die Kundin ihre Ansprüche nach DSGVO geltend machen konnte. Darüber hinaus musste das Unternehmen die private Verwendung von personenbezogenen Daten der Kundin Ihren Mitarbeitern untersagen, da diese nicht den Weisungen des Unternehmens entsprach.
Berücksichtigen Sie in Ihrem Unternehmensalltag, dass die Kontaktaufnahme mit Kunden über private Konten (z.B. Instagram und LinkedIn) oder über die private Telefonnummer durch Mitarbeiter nur möglich ist, wenn dies unter der Aufsicht des Arbeitgebers und im Einklang mit dessen Weisungen passiert.
In diesem Fall wollte die Mitarbeiterin die Kundin privat bezüglich eines geschäftlichen Anliegens kontaktieren. Jedoch kann es auch passieren, dass Mitarbeiter Kunden per Social Media oder Telefonnummer aus persönlicher Neugier kontaktieren oder sogar belästigen. Untersagen Sie Ihren Mitarbeitern daher, Kundendaten privat zu verwenden und legen Sie darüber hinaus fest, wie Mitarbeiter mit sozialen Medien umgehen sollen. Im Premium Bereich von eRecht24 finden Sie neben anwaltlichen Mustertexten, Tools und Live-Webinaren auch eine Social Media Guideline sowie unsere Datenschutz-Management-Lösung.
Wenn Sie mehr darüber erfahren wollen, welche Fallstricke Sie bei der Nutzung von Social Media in Ihrem Unternehmen umgehen sollten, lesen Sie unseren Artikel zum Thema “Soziale Netzwerke”.
8. "Best Practices" für einen verantwortungsvollen Umgang mit Kundendaten
Damit Sie sich vor Datenschutzverstößen und einhergehenden Folgen wie Geldbußen und Imageverlust schützen, sollte die Sensibilisierung Ihrer Mitarbeiter essenzieller Bestandteil Ihrer Datenschutz-Strategie sein.
Machen Sie Ihre Mitarbeiter durch regelmäßige Schulungen auf datenschutzrechtliche Stolperfallen aufmerksam und schaffen Sie Bewusstsein für einen verantwortungsvollen Umgang mit Kundendaten. Verwenden Sie Mitarbeiter-Richtlinien, um einen richtigen Umgang mit Kundendaten vom ersten Arbeitstag an sicherzustellen. Schließen Sie mit jedem Mitarbeiter eine Vertraulichkeitsvereinbarung ab.
- Stellen Sie eine Datenschutzerklärung für Ihre Kunden bereit.
- Schließen Sie Vertraulichkeitsvereinbarungen mit Ihren Mitarbeitern ab.
- Nutzen Sie eine Social Media Guideline für Ihre Mitarbeiter.
- Regelmäßige datenschutzrechtliche Schulungen für Mitarbeiter.
- Umsetzung einer Vereinbarung zum Datenschutz im Homeoffice mit Ihren Mitarbeitern.
Sie wollen noch mehr zum Datenschutz in Ihrem Unternehmen erfahren?
Lesen Sie unseren Artikel zum Thema „Was müssen Unternehmen nach der DSGVO intern alles regeln?“.
9. FAQ
10. Los geht's!
Starten Sie noch heute, Ihre Mitarbeiter für den Datenschutz von Kundendaten zu sensibilisieren, indem Sie eine Homeoffice-Vereinbarung erstellen:
Kostenlose Homeoffice-Vereinbarung
- einfache Erstellung mit dem Homeoffice-Generator
- einsetzbar in nur wenige Minuten
- Erhalten Sie eine DSGVO-konforme Mitarbeiter-Vereinbarung
- Zurück zur Übersicht: "Datenschutz"
- Welche Unternehmen brauchen einen Datenschutzbeauftragten?
- Wann macht ein externer Datenschutzbeauftragter Sinn?
- Datenschutz im Homeoffice
- Standardvertragsklauseln
- Datenschutzerklärung einbinden
- Datenschutz-Audit für Unternehmen
- Datenschutz bei Software as a Service (SaaS)
- Haftung bei Verstößen gegen das Datenschutzrecht
- Datenschutz beim Recruiting
- Datenschutz für ausgeschiedene Mitarbeiter
- Weitergabe von Kundendaten an Dritte
- Datenschutz beim Gewinnspiel
- Ist ein CDN DSGVO-konform?