Unlängst wurde ich im Rahmen einer Schulung zum Thema Datenschutzgrundverordnung (DSGVO) von einer Teilnehmerin gefragt, ob die Daten, die sie über ihre Kunden in einer CRM-Anwendung speichert ihre Daten seien und ihr gehören. Schließlich hat sie ja in langer Arbeit viele Informationen über ihre Kunden notiert, um eine perfekte Kundenbeziehung aufzubauen. Sie könne daher auch frei entscheiden, wie sie die Informationen verwende und sie überlege auch die Daten an einen befreundeten Unternehmer für Marketingzwecke weiterzugeben. Geplant ist eine genau auf die Bedürfnisse der einzelnen Kunden zugeschnittene Marketingkampagne. Die Unternehmerin hat mir auch gesagt, dass es sich bei ihren Kunden mehrheitlich um private Personen handelt und dass sie persönliche Daten aber keine sensiblen Daten zu ihren Kunden speichert. Sensible Daten sind z.B. Informationen zur Gesundheit, zur sexuellen Orientierung oder biometrische Daten, die zur Identifikation von Personen dienen.
Kein Eigentum an Daten
Um den oben geschilderten „Fall“ in Bezug auf die DSGVO zu beantworten sind mehrere Aspekte zu berücksichtigen.
- In Österreich und anderen europäischen Ländern gibt es rechtlich gesehen derzeit kein eigenständiges Eigentum an Daten. Es gibt nur ein Eigentum an Sachen. Daher gibt auch keinen Eigentümer an Daten, der nach Belieben „schalten und verwalten“ kann.
- Aber es gibt eine Vielzahl an Schutz- und Nutzungsrechten, die bei der Verarbeitung von Daten zu berücksichtigen sind darunter auch die europäische DSGVO.
- In der DSGVO sind die Rechte an personenbezogenen Daten geschützt. Darunter fallen alle Daten, über die Personen identifiziert oder identifizierbar sind. Das heißt in diesem Fall findet die DSGVO Anwendung.
- Anschaulich formulieren kann man, dass Kundendaten immer den Kunden „gehören“ und man daher beim Verarbeiten der Daten die Grundsätze des Datenschutzes einzuhalten hat.
Pflichten des Verantwortlichen
Die DSGVO kennt den Begriff des „Verantwortlichen“. Damit ist derjenige gemeint, der über die Zwecke der Datenverarbeitung entscheidet. In unserem Beispiel also das Unternehmen, das Kundendaten in seinem CRM-Tool verarbeitet. Der Verantwortliche hat die Datenschutzgesetze einzuhalten und muss die Einhaltung auch nachweisen können. Er hat eine Rechenschaftspflicht. Darüber hinaus müssen unter anderen folgende Grundsätze eingehalten werden:
– Rechtmäßigkeit der Verarbeitung
– Richtigkeit der Daten
– Vertraulichkeit
– Datenminimierung
– Schutz der Daten vor Verlust und unabsichtlicher Vernichtung
Wir empfehlen daher folgendes Vorgehen bei der Arbeit mit Daten in z.B. einer Kundendatenbank:
– Stellen sie sicher, dass es eine Rechtsgrundlage für die Verarbeitung gibt (z.B. Kaufvertrag, Einwilligungserklärung, …)
– Definieren Sie eine klare Berechtigungsstruktur und verwenden sie sichere Kennwörter
– Speichern Sie nur, was sie tatsächlich benötigen und keinesfalls sensible Daten
– Verwenden sie DSGVO-konforme Software
– Sorgen sie für Backups
Direktwerbung erlaubt
Die DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung ein „berechtigtes Interesse“ für ein Unternehmen darstellen kann. Direktmarketingmaßnahmen an bestehende Kunden für eigene Produkte oder Dienstleistungen sind daher ohne Einwilligung oder gesetzliche Ermächtigung rechtmäßig. Um auf unser obiges Beispiel zurückzukommen wäre also eine Weitergabe an einen befreundeten Unternehmer für Marketingzwecke möglich, wenn damit eigene Produkte beworben werden. Das befreundete Unternehmen darf jedoch die Kundendaten nicht für seine Zwecke verwenden.
Auftragsdatenverarbeiter
Das Unternehmen, das die Marketingkampagne durchführt ist nach der DSGVO ein sogenannter Auftragsdatenverarbeiter. Er verarbeitet die Daten des Verantwortlichen in dessen Auftrag und Weisung. Für ihn gelten ebenso die Bestimmungen der DSGVO und des Datenschutzgesetzes (DSG). Insbesondere müssen folgende Punkte eingehalten werden:
– Schriftlicher Vertrag
– Verpflichtung der Mitarbeiter zur Vertraulichkeit und Verschwiegenheit
– Einhaltung der Datensicherheitsmaßnahmen
– Löschung oder Rückgabe der Daten nach Beendigung des Auftrages
– Ermöglichung von Überprüfungen bzw. Inspektionen
In der Praxis wird der Verantwortliche einen zertifizierten Dienstleister (Auftragsdatenverarbeiter) mit der Marketingkampagne beauftragen.