Sie sind hier: HomeTelekommunikation

Datenschutz: Richtiges Kundendatenmanagement nach der EU-DSGVO

Die EU-DSGVO stärkt die Rechte von Betroffenen und bringt mehr Pflichten für Unternehmen sowie höhere Strafen bei Verstößen mit sich. Vorsicht ist besonders bei Big Data-Analysen geboten, da die Datenverarbeitung künftig von berechtigtem Interesse sein muss.

Recht und Ordnung Bildquelle: © tom_u - 123RF

Um weiterhin von Daten profitieren zu können, und damit Umsatz zu steigern, sowie Kosten und Risiken zu minimieren, bleibt Unternehmen noch ein Jahr Zeit, ihr Kundendatenmanagement für die neue Verordnung zu rüsten.

Der Wunsch vieler Betreiber von Online- und Social Network-Plattformen, möglichst viele Daten ihrer Nutzer und Kunden zu erfassen und auszuwerten, steht im Gegensatz zum „Recht auf informationelle Selbstbestimmung“. Die neue Datenschutz-Grundverordnung  der EU soll die Grundlage für einen einheitlichen Datenschutz in allen 28 EU-Staaten bilden. Im März soll die erste deutsche Fassung erarbeitet werden, bevor sie ab dem 25. Mai 2018 angewendet wird.

Mehr Pflichten und höhere Anforderungen

Die EU-DSGVO dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Das bedeutet unter anderem, dass Betroffene von Unternehmen ab sofort über Art, Umfang, Grund und Zweck der Datenerhebung sowie über ihre Rechte (Widerspruch, Beschwerde) informiert werden müssen. Zudem muss die Datenverarbeitung von „berechtigtem Interesse“ sein. Allerdings ist die Rechtslage hier noch sehr unsicher. Denn der Rahmen und die Grenzen zwischen dem Interesse an der Datenverarbeitung in einem CRM-System und dem Interesse des Kunden am Datenschutz sind noch nicht abgesteckt.

Doch es kommen noch weitere Pflichten auf die Unternehmen zu, die sich besonders auf das Kundendatenmanagement auswirken und neue Anforderungen an die Datenanalyse stellen:

  • Dokumentationspflicht: Alle Vorgänge in Zusammenhang mit Kundendaten müssen künftig genau dokumentiert werden – angefangen bei der Einwilligung des Kunden: Dieser muss nun aktiv zustimmen, dem Unternehmen seine Daten zur Verfügung zu stellen. Ein per Default gesetzter „Ich akzeptiere die Bestimmungen“-Haken ist nicht mehr rechtsgültig. Ideal ist ein „Double-Opt-In“-Verfahren, bei dem der Kunde erst aktiv einen Haken unter die Bestimmungen setzt und anschließend seine Willenserklärung durch den Klick auf einen Bestätigungslink in einer separaten Mail bekräftigt. Es ist empfehlenswert, den Zeitpunkt und den Kanal der Einwilligung zu dokumentieren, um im Falle von Streitigkeiten belastbare Nachweise erbringen zu können. Ebenso sollten der Widerruf und Änderungen an den Bestimmungen festgehalten werden.
  • Pflicht zur Löschung der Daten: Unternehmen müssen bald in der Lage sein, im Falle eines Widerrufs die Daten zu löschen oder zu maskieren, ohne damit die Integrität der Daten aufzuheben. Ist ein Browserverlauf Teil des zu löschenden Datenbestandes, muss er entfernt werden können, ohne dass der verbleibende Kundendatensatz dadurch inkonsistent wird. Hinzu kommt die Vorgabe, die Daten zu löschen, wenn ihre Speicherung nicht mehr notwendig ist, die Daten unrechtmäßig verarbeitet wurden oder eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht. Im Einzelfall ist zu entscheiden, welche Attribute, also Strukturinformationen der Daten, bewahrungswürdig sind. Dies hängt vom Geschäftsmodell des Unternehmens und der Art der Kundenbeziehung ab. Besonders im Onlinebereich zieht dies notwendige technische Änderungen nach sich, da die Oberflächen vieler Customer-Facing-Systeme und auch vieler Apps auf mobilen Endgeräten nicht auf diesen Anwendungsfall ausgelegt sind.
  • Überwachungsaufgabe für betriebliche Datenschutzbeauftragte: Die im Unternehmen eingesetzten betrieblichen Datenschutzbeauftragten erhalten zusätzlich zu ihren bisherigen Aufgaben – Sicherstellung und Hinwirkung von Datenschutz – nun auch den Überwachungsauftrag, dass im Unternehmen alle Vorgaben und Regelungen eingehalten werden. Das hat zur Folge, dass Unternehmer und Beauftragte zukünftig persönlich bei Verstößen haften. Durch diese Änderung wird dem Zuständigen eine deutliche gewichtigere Rolle zuteil. Besonders bei externen Datenschutzbeauftragten bedeutet dies eine engere Verflechtung in die regulären Prozesse und die täglichen Aufgaben – so werden sie häufiger bei der Planung von Direktmarketingmaßnahmen konsultiert.