Kundendaten
Kundendaten sind alle Informationen, die sich auf identifizierte oder identifizierbare Kunden als natürliche Personen beziehen. Sie zählen zu den personenbezogenen Daten im Sinne der DSGVO und unterliegen entsprechenden Schutzpflichten.
Ausführliche Erklärung
Kundendaten umfassen alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, die als Kundinnen oder Kunden mit einem Unternehmen in Beziehung stehen. Nach der Datenschutz-Grundverordnung gelten sie als personenbezogene Daten im Sinne von Art. 4 Abs. 1 DSGVO, sobald sie einer Person zugeordnet werden können – allein oder in Kombination mit anderen Informationen. Typische Kategorien sind Stammdaten wie Name, Anschrift, E-Mail-Adresse und Telefonnummer, Vertrags- und Transaktionsdaten wie Bestellungen, Rechnungen und Zahlungsinformationen sowie Kommunikationsdaten aus E-Mails, Support-Tickets oder Telefonaten.
Für KMU ist die rechtsichere Verarbeitung von Kundendaten zentral, da bereits eine einfache Kundendatenbank oder ein E-Mail-Verteiler unter die DSGVO fällt. Die Verarbeitung ist nur zulässig, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt – typischerweise die Vertragserfüllung bei der Abwicklung von Aufträgen oder die Einwilligung bei Marketingzwecken. Das Prinzip der Zweckbindung legt fest, dass Daten nur für den ursprünglich festgelegten Zweck genutzt werden dürfen. Sollen beispielsweise Kundendaten, die für eine Vertragsabwicklung erhoben wurden, später für Newsletter-Werbung verwendet werden, ist eine gesonderte Einwilligung erforderlich.
Unternehmen müssen technische und organisatorische Maßnahmen treffen, um Kundendaten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören Verschlüsselung, Zugriffskontrollen und die Dokumentation im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Kundinnen und Kunden haben umfassende Betroffenenrechte: Sie können Auskunft über die gespeicherten Daten verlangen, Berichtigung oder Löschung fordern und der Verarbeitung widersprechen – Anträge sind innerhalb eines Monats zu beantworten. Bei B2B-Kundendaten ist zu beachten, dass auch Kontaktdaten von Ansprechpersonen in Unternehmen personenbezogene Daten darstellen und datenschutzrechtlichen Pflichten unterliegen.
Praxisbeispiel
Ein Steuerberatungsbüro mit 12 Mitarbeitenden in Salzburg speichert Kundendaten in einem CRM-System: Name, Firmenbuchnummer, Kontaktdaten der Ansprechperson und Vertragshistorie. Für die monatliche Abrechnung ist keine separate Einwilligung nötig, da die Verarbeitung auf Vertragserfüllung basiert. Will das Büro jedoch einen Newsletter mit Steuertipps versenden, benötigt es dafür eine ausdrückliche Einwilligung der Kundinnen und Kunden.