Verarbeitung von Kundendaten durch Unternehmen

Im Rahmen ihrer Kundenbeziehung erhalten Unternehmen zahlreiche Informationen über ihre Kunden, die für diese Unternehmen einen erheblichen wirtschaftlichen Wert haben können. Zum Beispiel können es diese Informationen einem Unternehmen ermöglichen, seine Produkte oder Dienstleistungen noch besser auf die Bedürfnisse ihrer Kunden zuzuschneiden. Aber dürfen Unternehmen solche Informationen überhaupt verwenden?

Bei den Informationen, die Unternehmen von und über ihre Kunden erlangen, handelt es sich zumeist um „personenbezogene Daten“ im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/36/EG, kurz Datenschutz-Grundverordnung (DS-GVO). Das gilt auch für technische Daten wie zum Beispiel vermeintlich reine Maschinendaten.

Damit müssen Unternehmen im Umgang mit Kundendaten alle Vorgaben des Datenschutzrechts beachten. Voraussetzung jeder Verarbeitung personenbezogener Daten ist das Vorhandensein einer Rechtsgrundlage, die zur Datenverarbeitung berechtigt. Art. 6 (1) DS-GVO nennt mehrere solcher Rechtsgrundlagen, von denen einige aber nur für die Datenverarbeitung durch öffentliche Stellen gelten.

Natürlich dürfen Unternehmen Kundendaten verarbeiten, soweit sie rechtlich dazu verpflichtet sind oder die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Das ergibt sich aus Art. 6 (1) b) und c) DS-GVO. Diese Rechtsgrundlagen scheiden freilich aus, wenn das Unternehmen Daten nutzen will, um sein Angebot zu verbessern und so einen wirtschaftlichen Vorteil erlangen will. Aber auch eine solche Datenverarbeitung kann zulässig sein. Ob sie das auch ist, muss das Unternehmen vor Beginn der Verarbeitung klären.

Zulässig ist eine Datenverarbeitung immer dann, wenn der betroffene Kunde darin wirksam eingewilligt hat, Art. 6 (1) a) DS-GVO. Allerdings sind die Hürden einer Datenverarbeitung aufgrund einer Einwilligung hoch. So muss jeder einzelne Kunde eingewilligt haben, die Einwilligung muss vollkommen freiwillig erteilt worden sein und sie kann jederzeit widerrufen werden.

Naheliegend ist es deshalb, zu prüfen, ob die Datenverarbeitung durch ein berechtigtes Interesse des Unternehmens gerechtfertigt sein könnte. Diese nach Art. 6 (1) f) DS-GVO zulässige Datenverarbeitung ist unabhängig von einer Einwilligung der Betroffenen, ja unter Umständen sogar gegen den Willen der Betroffenen möglich. Das Unternehmen muss aber im Rahmen einer Interessenabwägung prüfen, ob nicht ein Interesse seiner Kunden, dass ihre Daten nicht verarbeitet werden, überwiegt. Entscheidet sich ein Unternehmen auf dieser Rechtsgrundlage zur Datenverarbeitung, bleibt die Rechtsunsicherheit, ob es die Interessenabwägung richtig vorgenommen hat. Aber auch bei einer Einwilligung bleibt Rechtsunsicherheit, weil meist nicht mit Sicherheit gesagt werden kann, ob die Einwilligung freiwillig erteilt worden ist.

Oftmals wird es deshalb so sein, dass eine Verarbeitung von Kundendaten nur durch ein berechtigtes Interesse gerechtfertigt sein kann.

Aber Achtung: Hat das Unternehmen eine Rechtsgrundlage für die gewünschte Datenverarbeitung gefunden, darf es die Daten verarbeiten. Es muss aber bei dieser Datenverarbeitung alle Vorgaben der DS-GVO beachten.

Sie sind ein Unternehmen und wissen nicht, ob Sie berechtigt sind, bestimmte Kundendaten zu verarbeiten? Sprechen Sie uns an, wir beraten Sie gerne.

Achtung: Dieser Beitrag enthält nur allgemeine Hinweise und ersetzt keinesfalls eine Beratung im Einzelfall. Dieser Beitrag gibt die Rechtslage zum Zeitpunkt seiner Erstellung wieder, spätere Änderungen der Rechtslage sind nicht berücksichtigt. Sprechen Sie uns an!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.