Fragen und Antworten: Wie Sie als Schweizer Unternehmen gegenüber Ihren Kunden DSGVO-konform sind und für Datensicherheit sorgen?

Im vergangenen Blogbeitrag «Wie Sie mit 20% Aufwand mindestens 80% DSGVO-Konformität auf Ihrer Webseite erreichen» wurde aufgezeigt, wie Sie mit wenig Aufwand ein hohes Level an DSGVO-Konformität erreichen können. Im kommenden Beitrag werden Wir anhand von Frau Mustermann, Chefin einer Schweizer Industrieunternehmung, beschreiben, wie Sie gegenüber Ihren Kunden DSGVO-konform werden können, um ihre Unternehmensmarke und das Vertrauen ihrer Kunden zu stärken.
Frau Mustermann spricht über Kundendaten nach DSGVO… aber welche Daten sind damit gemeint?
Nach DSGVO spricht man von personenbezogenen Daten, wenn diese einer menschlichen Person zugeordnet werden können und diese identifizierbar macht. Darunter fallen jegliche Daten wie z.B. E-Mail-Adresse, Name und IP-Adresse. Weitergehend gehören auch Daten dazu, die den Kunden indirekt identifizierbar machen, beispielsweise durch verschiedene Verhaltensmuster oder Standortdaten.

Frau Mustermann befindet sich in der Vorvertragsphase bzw. der Vertragsphase mit einem Kunden – Worauf muss sie achten?
Notwendige Daten für einen Vertrag, wie zum Beispiel Name, Anschrift, Telefonnummer und E-Mail, sind Daten, welche als zwingend erforderlich für den Abschluss eines Vertrages klassifiziert sind. Dagegen sind Daten wie Geburtsdatum (für Glückwünsche), Kontodaten und Fotos nicht zwingend erforderlich für die rechtliche Erfüllung eines Vertrages. Daraus folgt, dass Frau Mustermann keine gesonderte Einwilligung für die Nutzung der vertraglich notwendigen Daten benötigt, weil der Abschluss eines Vertrages bereits die Einwilligung zur Verarbeitung enthält. Diese Daten müssen wieder gelöscht werden, sobald keine gesetzliche Grundlage mehr für die Aufbewahrung besteht (steuerlich oder handelsrechtlich). Anders verhält es sich dagegen mit den nicht zwingend erforderlichen Daten – für diese benötigt Frau Mustermann eine explizite Bestätigung des Kunden.

Frau Mustermann will nun aber auch die nicht zwingend erforderlichen Daten erfassen. Was muss Sie dabei beachten?
In der Einwilligungserklärung zur Einholung von nicht zwingend erforderlichen Daten muss Frau Mustermann auf die Widerrufbarkeit der Einwilligung verweisen. Bei der elektronischen Einwilligung sollte darauf geachtet werden, dass keine Häkchen zur Bestätigung voreingestellt sind. Doch nicht nur das – auch in der Vergangenheit eingeholte Einwilligungen und Daten müssen auf ihre DSGVO-Konformität überprüft werden. Falls diese Daten (noch) nicht dem derzeitigen DSGVO-Standard entsprechen, müssen diese neu eingeholt und dokumentiert werden.

Frau Mustermann hat gehört, dass über die Verarbeitung von Daten aufgeklärt werden muss. Was muss sie hierbei alles aufführen?
  1. Name sowie Kontaktdaten des Verantwortlichen bzw. des Unternehmens
  2. Kontaktdaten des Datenschutzverantwortlichen bzw. Datenschutzbeauftragten
  3. Zweck der Verarbeitung und Rechtsgrundlage
  4. Dauer der Datenspeicherung
  5. Absicht der Übermittlung in ein Drittland sowie das Vorhandensein bzw. das Fehlen eines Angemessenheitsbeschlusses der Kommission
  6. Bestehen eines Beschwerderechts gegenüber der Aufsichtsbehörde
  7. Recht auf Widerruf der Einwilligung
  8. Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, des Widerspruchsrechts und der Datenübertragbarkeit
  9. Auskunft, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hat
  10. Empfänger bzw. Kategorien von Empfängern
  11. Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling (Art. 22)
All diese Informationspflichten beschreiben Sie am besten detailliert und verständlich in Ihrer Datenschutzerklärung. Diese publizieren Sie auf Ihrer Webseite, die universell zugänglich sein sollte.

Welche Rechte muss Frau Mustermann ihren Kunden zugestehen?
Das Recht auf Auskunft ist eines der wichtigsten Rechte, welche Frau Mustermann ihren Kunden zugestehen muss. Kunden können jederzeit Auskunft darüber verlangen, welche Daten das Unternehmen besitzt, zu welchem Zweck diese einbehalten werden und in welchem Umfang diese abgespeichert werden. Dies bedeutet im Gegenzug, dass Frau Mustermann jederzeit einen Überblick über die Daten ihrer Kunden haben muss und diese auch personenspezifisch zuordnen kann. Auch können Kunden der Verarbeitung bzw. der Nutzung der eigenen Daten zu jeder Zeit widersprechen und somit ihr Widerspruchsrecht geltend machen. Im gleichen Atemzug sollte das Recht von Kunden auf Berichtigung von veralteten und falschen Daten genannt werden.

Inwiefern ist Frau Mustermann zur Herausgabe von Daten verpflichtet?
Laut DSGVO sind Daten übertragbar und können einem Betroffenen jederzeit zur Verfügung gestellt werden. Dies bedeutet, dass der Kunde jederzeit den gesamten Datenbestand über sich anfordern kann.

Welche Dokumentationspflichten muss Frau Mustermann hinsichtlich des Umganges mit Kundendaten beachten?
Frau Mustermann soll ein Verzeichnis von Verarbeitungstätigkeiten für Kundendaten führen. Dieses Verzeichnis umfasst sämtliche Verarbeitungen, z.B. E-Mail-Marketing, CRM Kundenanalyse, Lohnbuchhaltung oder das Warenwirtschaftssystem und soll Frau Mustermann dabei helfen, ihre Pflichten einzuhalten. Wie Sie dieses Verzeichnis erstellen, erklärt Ihnen die 2BCS AG gerne im Detail. Sollte nun z.B. eine Löschanfrage in Ihrem Unternehmen eintreffen, nehmen Sie das Verzeichnis zur Hand und schauen, wo die Daten des Kunden gespeichert sind.

Wie sollte Frau Mustermann den Kundenservice gestalten?
Ein Kundenservice verarbeitet sensible Daten, so dass darauf geachtet werden soll, dass alle Verarbeitungen dokumentiert werden. Der Customer Support soll geschult sein, um mit Anfragen von Kunden zum Datenschutz angemessen umgehen zu können. Er soll mit höchster Priorität auf Datenschutz-Anfragen antworten und diese im Notfall eskalieren können.

About Author

Alexander Sporenberg
Alexander Sporenberg hat an verschiedenen Universitäten in Europa studiert und schliesst sein M.A. an der HSG ab. Als junger, dynamischer und kommunikativer Berater unterstützt er 2BCS Kunden mit seinen betriebswirtschaftlichen und technologischen Kenntnissen.