Wie speichere ich die personenbezogenen Daten meiner Kunden gesetzeskonform ab?
Wer in der EU Waren oder Dienstleistungen anbietet und dazu personenbezogenen Daten speichert, ist verpflichtet die Regeln der DSGVO einzuhalten (…). Wenn die Regeln nicht eingehalten werden, können die betroffenen Personen Beschwerde bei der Aufsichtsbehörde einreichen. Daraufhin sind die Aufsichtsbehörden verpflichtet, angemessene Bußgelder gegen den Datenverarbeiter zu verhängen (…).
Für jeden Unternehmer ist es also sinnvoll, sich vor der Speicherung personenbezogener Daten Gedanken zu diesem Thema zu machen!
Um personenbezogene Daten von Kunden speichern zu dürfen, müssen nach der DSGVO folgende Bedingungen gegeben sein:
1. Rechtmäßigkeit
Die Rechtmäßigkeit der Speicherung personenbezogener Daten ist dann gegeben, wenn der Kunde zugestimmt hat, dass seine Daten zu einem bestimmten Zweck gespeichert werden.
Nach Artikel 6.1.b reicht dazu die Anfrage eines Kunden aus. Zu den personenbezogenen Daten sollte also unbedingt auch die Anfrage des Kunden gespeichert werden.
2. Informationspflicht
Der Kunde muss über die Speicherung und Weitergabe seiner Daten informiert werden.
Dies sollte vor der Speicherung und Weitergabe mit einem geeigneten Informationsblatt geschehen. Das Informationsblatt kann auch auf einer Homepage veröffentlicht werden, wenn man den Kunden darauf hingewiesen hat. Vorlagen zu solchen Informationsblättern gibt es hier.
3. Auskunftspflicht
Um Auskunft über alle personenbezogenen Daten eines Kunden geben zu können, ist es wichtig, dass alle Daten in einem System mit einer Verknüpfung gespeichert werden.
Nur so kann sichergestellt werden, dass alle relevanten Daten schnell und zuverlässig gefunden werden.
4. Berichtigung, Löschung, Einschränkung
Jeder Kunde hat das Recht auf Berichtigung, Löschung und Einschränkung seiner Daten.
Hier spielt der Zweck der Speicherung eine entscheidende Rolle. Sobald mit dem Kunden ein Vertragsverhältnis besteht (Angebot oder Auftrag), ist die Speicherung der Daten solange rechtens, wie es die Aufzeichnungspflichten der Bücher (GoBD) vorgeben. Sollte ein Lead jedoch kein Kunde werden und es besteht keine Aussicht mehr, diesen Lead zu gewinnen, ist der Zweck der Speicherung der personenbezogenen Daten nicht mehr gegeben und das Löschen der personenbezogenen Daten dieser Leads angezeigt.
5. Datenschutz
Die DSGVO schreibt Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung vor.
Das zur Speicherung personenbezogener Daten eingesetzte System sollte also immer nach den aktuellen Sicherheitsstandards arbeiten. Um das sicherzustellen bietet sich der Einsatz einer modernen SaaS-Lösung an. Hier kümmert sich der Anbieter nicht nur um die aktuellen Standards der eingesetzten Software, sondern auch um die Hardware. Der Nutzer erwirbt neben der Softwarelizenz auch gleich die Anmietung von Hardware (Cloud) mit.