Kundenbereich

CRM UND DATENSCHUTZ 2018

Jetzt mit CRM Software Ihr Kundenbeziehungsmanagement rechtskonform gestalten!

Die EU-Datenschutz-Grundverordnung ist in aller Munde. Nach einer Übergangsfrist von zwei Jahren gilt sie ab dem 25. Mai 2018 und wird zu diesem Stichtag das aktuelle Bundesdatenschutzgesetz ablösen.

Die Rechtslage wird erheblich verschärft, weshalb viele Unternehmen nun vor strukturellen und organisatorischen Herausforderungen stehen. Deshalb sollten Sie die nächsten Monate unbedingt dafür nutzen, unternehmensinterne Prozesse zu überprüfen und ggf. an die Anforderungen der Datenschutz-Grundverordnung anzupassen.

Bei Nichteinhaltung drohen Bußgelder bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes. Zögern Sie deshalb nicht lange, sondern setzen Sie sich bereits heute mit diesem Thema auseinander und bringen Sie Ihr Datenschutz-Management auf Vordermann!

Was Sie über die EU-DSGVO wissen sollten

Bereits am 24. Mai 2016 ist die neue EU-Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft getreten. Bis zum 25. Mai 2018 haben Unternehmen Zeit, interne Prozesse an die Anforderungen anzupassen. Ab diesem Stichtag muss die DSGVO angewendet werden – und wer das nicht tut, riskiert hohe Strafen und Bußgelder.

Beim Datenschutz geht es um den Schutz personenbezogener Daten. Wie dies angewendet werden soll ist in den 99 Artikeln der EU-DSGVO definiert. Die Datenschutz-Grundverordnung wird das aktuelle Bundesdatenschutzgesetz als auch das Telemediengesetz ablösen. Betroffen sind nach Art. 2 Abs. 1 DSGVO alle Unternehmen, die personenbezogene Daten ganz oder teilweise automatisch verarbeiten. Aber auch bei nichtautomatisierter Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, muss man sich an die gesetzlichen Vorgaben der DSGVO halten. Es gibt nur wenige Ausnahmen, die in Art. 2 Abs. 2 DSGVO geregelt sind.

Was sind personenbezogene Daten?

Unter personenbezogenen Daten versteht man alle Informationen, die sich auf identifizierte oder identifizierbare persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person beziehen. Das sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialausweisnummer
  • Vorstrafen
  • Genetische Daten und Krankendaten
  • Werturteile wie zum Beispiel Zeugnisse

Datenschutzkonforme Erhebung und Verarbeitung von Daten

Wie Sie Daten erheben und verarbeiten dürfen

Für die Erhebung und Verarbeitung von personenbezogenen Daten gilt ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Nutzung nur dann zulässig ist, wenn eine Einwilligung oder mindestens eine andere den Vorschriften entsprechende Ausnahme vorliegt.

Diese Ausnahmen sind:

  • Die Verarbeitung der Erfüllung eines Vertrags dient, die entsprechenden Daten einer Vertragspartei angehören, oder erforderlich ist, da eine Vertragspartei Antrag stellt, vorvertraglich festgeschriebene Maßnahmen durchzuführen.
  • Die Verarbeitung notwendig ist, um rechtlichen Verpflichtungen nachzukommen, denen die entsprechende Person unterliegt.
  • Die Verarbeitung unbedingt erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu vertreten.
  • Die Verarbeitung im öffentlichen Interesse liegt oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist.
  • Die Verarbeitung zur Wahrung berechtigter Interessen der entsprechenden Person oder Dritter notwendig ist und die Grundrechte der Person nicht übersteigen. Für Behörden trifft dieser Grund nicht zu.

Zweck der Datenerhebung

Beschäftigt man sich mit der ordnungsgemäßen Erhebung personenbezogener Daten, spielt auch der Begriff der Zweckbindung eine Rolle. Demnach dürfen die Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Unternehmen müssen also zu jeder Datenverarbeitung vorab genau definieren, welchem Zweck sie dient. Beispiel:  Über einen Onlineshop werden Bestelldaten einschließlich der E-Mail-Adresse generiert. Zweck der Datenverarbeitung wäre hier die Abwicklung der einzelnen Bestellungen, die zur Erfüllung von Verträgen insbesondere ohne explizite Einwilligung des Kunden zulässig ist. Sollen die Daten jedoch später auch zu anderen Zwecken genutzt werden, z. B. zum Versenden von Werbe-Mailings, wäre dazu zuvor wegen der Zweckänderung eine gesonderte Einwilligung der Betroffenen einzuholen.

Bedingungen für eine einwandfreie Einwilligung

Die DSGVO hat klare Bedingungen für eine datenschutzkonforme Einwilligung definiert. Eine Einwilligung muss demnach freiwillig erfolgen und die betroffene Person hat ein Widerrufsrecht, worauf sie bereits bei der Einwilligung hingewiesen werden muss. Darüber hinaus müssen Unternehmen das Kopplungsverbot beachten. Das bedeutet, dass die Einwilligung nicht die automatische Einwilligung eines anderen Vertrages, z. B. die Erbringung einer Dienstleistung, darstellen darf.

Löschung von Daten

Nach Artikel 17 der DSGVO ist der Verantwortliche dazu verpflichtet, die Daten einer betroffenen Person unverzüglich zu löschen, wenn einer der folgenden Punkte zutrifft:

  • Die personenbezogenen Daten werden nicht mehr für den Erhebungszweck benötigt.
  • Die betroffene Person widerruft ihre Einwilligung, die sie zuvor zur Verarbeitung der Daten gegeben hat.
  • Die betroffene Person legt gegen die Verarbeitung Widerspruch ein, der sich als berechtigt herausstellt.
  • Die personenbezogenen Daten wurden nicht datenschutzkonform erhoben.
  • Die Löschung der Daten ist nach EU- oder Mitgliedsstaaten-Recht erforderlich.
  • Die Daten wurden aufgrund der Einwilligung eines Kindes erhoben.

Viele Unternehmen müssen geschäftliche Unterlagen z. B. aufgrund von Nachweispflichten über einen bestimmten Zeitraum hinweg speichern. In der Regel unterscheidet man dabei zwischen sechs und zehn Jahren. Diese Frist ist vorrangig! Das bedeutet: auch wenn eine betroffene Person das Recht auf Löschung in Anspruch nehmen möchte, muss dies abgelehnt werden. In diesem Fall tritt das Recht auf Sperrung der personenbezogenen Daten in Kraft. Alle Ausnahmen sind in 
Art. 17 Abs. 3 DSGVO definiert. Liegt kein Ausnahmefall vor, müssen die Daten umgehend gelöscht werden.

Videos zu cobra "DATENSCHUTZ-ready!"

Haben Sie Fragen

Telefon: 01 / 890 27 24
Email: office@elkasoft.at
box footer
box footer