DSGVO: So sammelt man Kundendaten

Geschrieben von M4W Kreativ*
Veröffentlicht am 16. Mai 2018
Zurück zu Web 2.0

Bereits vor zwei Jahren wurde sie beschlossen und nun steht sie vor der Tür: Alle EU-Länder sind ab dem 25. Mai dazu verpflichtet, die neue Datenschutzgrundverordnung (DSGVO) anzuwenden. Die soll vor allem Verbraucher und ihre personenbezogenen Daten besser schützen und betrifft jeden, der eine Webseite betreibt – auch Kleinunternehmer.

Die DSGVO: Was ist bei der Sammlung von Kundendaten nun zu beachten?

Solche personenbezogenen Daten sind dabei alle Daten, die einer natürlichen Person zugeordnet werden können und Rückschlüsse auf ihre Identität ermöglichen. Dazu gehören ua Name, (E-Mail-)Adresse, Telefonnummer, aber auch das Geschlecht und das Geburtsdatum, das noch immer Rückschlüsse ermöglicht.

Auf einer Webseite gibt es dann zahlreiche Kontaktmöglichkeiten, die eine Anpassung erfordern – sei es das Kontaktformular, die Kommentarfunktion oder der Newsletter.

Wie kann ich über die Kontaktmöglichkeiten einer Webseite DSGVO-konform Kundendaten speichern und verwenden?

Grundsätzlich ist die Verarbeitung von Kundendaten nur erlaubt, wenn entweder eine gesetzliche Vorschrift existiert, welche die Nutzung ausdrücklich erlaubt oder die betroffenen Kunden der Nutzung entschieden zugestimmt haben. In der Regel hat der Kleinunternehmer also auf seiner Webseite sicherzustellen, dass seine Kunden über die Datensammlung und -nutzung aufgeklärt sind und ihr definitiv zustimmen.

Sollten also Daten wie zB die E-Mail-Adresse oder die Telefonnummer gesammelt werden, so muss der Kunde nicht nur dem zustimmen (das könnte zum Beispiel durch eine entsprechende Box geschehen, in welcher ein Häkchen erforderlich ist). Der Kunde muss auch genau wissen, welche seiner Daten in welchem Umfang und für welche Zwecke gesammelt und verwendet werden.

Beispiel Newsletter

Sollten Sie zB einen Newsletter betreiben, für den Sie die E-Mail-Adresse des Kunden benötigen, dann sollte dieser bei der Anmeldung noch einmal darüber aufgeklärt werden, zu welchem Zweck seine E-Mail-Adresse verwendet wird: ausschließlich für den Newsletter oder auch für andere Zwecke? Insbesondere, wenn der Nutzer seine E-Mail-Adresse mit einem anderen Ansinnen angibt (zB beim Hinterlassen eines Kommentars), muss er darüber informiert werden, ob und inwiefern Sie seine Daten auch zu anderen Zwecken nutzen wollen. Bevor der Kunde dem nicht zustimmt, ist eine Datennutzung nicht zulässig.

Wichtig ist außerdem, den Kunden über seine Rechte zu informieren. So muss ein Nutzer sich darüber im Klaren sein, dass er jederzeit das Recht auf Auskunft über seine Daten hat, auf Widerspruch gegen die Datennutzung sowie auf Herausgabe, Berichtigung und Löschung seiner Daten.

Zudem sollte sichergestellt werden, dass die Anmeldung vollkommen freiwillig erfolgt. Ein sicherer Weg wäre hier, nach der Newsletter-Anmeldung einen Bestätigungslink an die angegebene Mail-Adresse zu schicken, welcher beim Anklicken die Anmeldung erst wirksam macht. Darüber hinaus sollte der Kunde vorher wissen, was speziell er abonniert: Was ist das für ein Newsletter? Welche Inhalte werden mit dem Newsletter verschickt?

Ein Verzeichnis für Verarbeitungstätigkeiten

Mit der DSGVO gibt es künftig auch Vorschriften für die Dokumentation der Datennutzung. Im sogenannten Verzeichnis für Verarbeitungstätigkeiten muss nun festgehalten werden, welche personenbezogenen Daten auf welche Weise im Unternehmen verarbeitet werden. Dieses Verzeichnis soll vor allem den Behörden bei ihren Kontrollen helfen. Auf der anderen Seite wird es für den Unternehmer auf diese Weise einfacher, nachzusehen, welche Daten wo gespeichert sind und entsprechend des Antrags zu handeln, wenn ein Antrag auf Berichtigung, Löschung oä eingeht. Da durch die Berichterstattung über die DSGVO in den Medien die Allgemeinheit für den Datenschutz sensibilisiert wird, kann es durchaus vermehrt zu Anträgen dieser Art kommen.

Es gibt hierbei allerdings einige Ausnahmen für Kleinunternehmen mit unter 250 Beschäftigten: Diese müssen kein Verzeichnis führen, wenn die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt, sie nicht nur gelegentlich erfolgt, oder besondere Datenkategorien verarbeitet werden bzw. eine Datenverarbeitung über strafrechtliche Verurteilungen und Straftaten erfolgt.

 

Der Text wurde freundlicherweise vom Berufsverband der Rechtsjournalisten e.V. zur Verfügung gestellt – danke!
Hier können Sie sich ausführlicher über die DSGVO informieren: https://www.datenschutz.org/dsgvo/

0 Kommentare