Kundendatenschutz Der richtige Umgang mit Kundendaten

Transkript

1 Kundendatenschutz Der richtige Umgang mit Kundendaten Dr. Malte Engeler Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Kiel, 22. April 2015

2 Kundendatenschutz Dürfen Interessenten- Daten gespeichert werden? Welche Kundendaten dürfen gespeichert werden? Dürfen Bonitätsprüfungen und Scoring durchgeführt werden? Bedarf jede Verarbeitung von Kundendaten einer Einwilligung? Wann ist eine Einwilligung wirksam? Dürfen Profile über die Websitenutzung angelegt werden? Was ist Markt- und Meinungsforschung? Dürfen Kunden zu Werbezwecken angerufen werden? Dürfen -Newsletter auch ohne Einwilligung versendet werden? Darf Werbung per Post versendet werden?

3 Gliederung Grundlagen des Datenschutzes Datenverarbeitung für die Vertragsdurchführung Kundendaten Interessentendaten Bonitätsprüfungen und Scoring Datenverarbeitung für Marketingzwecke Verarbeitung eigener Kundedaten für Werbezwecke Newsletter und Telefonwerbung Einkauf von Daten Websiten-Statistiken und Reichweitenanalysen Datenschutzrechte der Kunden Abschlussfragen und Feedback Kundendatenschutz Dr. Malte Engeler 3

4 Grundbegriffe Datenschutz und Datensicherheit im Rechtssystem

5 Grundbegriffe Datenschutz: Schutz natürlicher Personen vor Beeinträchtigungen ihres Persönlichkeitsrechts durch den Umgang mit ihren personenbezogenen Daten Datensicherheit: Schutz von Hardware, Software, Organisation und Daten vor der Bedrohung durch Verlust, Zerstörung, Missbrauch Kundendatenschutz Dr. Malte Engeler 5

6 Datenschutz ist Grundrechtschutz Recht auf informationelle Selbstbestimmung Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des GG Art 2 Abs 1 in Verbindung mit GG Art 1 Abs 1 umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. [...] Volkszählungsurteil des BVerfG v (NJW 1984, S. 419) Kundendatenschutz Dr. Malte Engeler 6

7 Begriff des personenbezogenen Datums

8 Personenbezogene Daten Personenbezogene Daten 3 Bundesdatenschutzgesetz: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Kundendatenschutz Dr. Malte Engeler 8

9 Personenbezogene Daten Personenbezogene Daten Betroffene/r Bestimmte natürliche Person Bestimmbare natürliche Person Persönliche oder sachliche Verhältnisse Besonderheiten in 3 Abs. 9 BDSG Volkszählungsurteil des BVerfG v (NJW 1984, S. 422): unter den Bedingungen der automatischen Datenverarbeitung [gibt es] kein belangloses Datum mehr. Kundendatenschutz Dr. Malte Engeler 9

10 Anonymisierung, Pseudonymisierung Pseudonymisierung, 3 Abs. 6a BDSG Ersetzen des Namens und anderer Identifikationsmerkmale durch Kennzeichen Bestimmbarkeit über Zuordnungsregel Personenbezug ist noch gegeben Anonymisierung, 3 Abs. 6 BDSG Absolute Anonymisierung: kein Personenbezug mehr herstellbar Faktische Anonymisierung: Personenbezug nur mit unverhältnismäßig großem Aufwand herstellbar Kein Personenbezug mehr Kundendatenschutz Dr. Malte Engeler 10

11 Datenverarbeitung zur Vertragsdurchführung Kundendatenverarbeitung

12 Grundsatz im Datenschutzrecht: Rechtmäßigkeit Verbot mit Erlaubnisvorbehalt ( 4 Absatz 1 BDSG) Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden wenn die Einwilligung des Betroffenen vorliegt oder wenn eine Rechtsvorschrift es erlaubt Was bedeutet das für die Kunden? Eine Datenverarbeitung durch ein Unternehmen muss gerechtfertigt werden Kundendatenschutz Dr. Malte Engeler 12

13 Rechtsgrundlagen im BDSG Zu welchen Zwecken dürfen Unternehmen ohne Einwilligung des Kunden Daten verwenden?

14 Rechtsgrundlagen im BDSG (Überblick) Eigene Geschäftszwecke 28 BDSG Datenverarbeitung ist Hilfsmittel für die Erfüllung eigener geschäftlicher, beruflicher oder gewerblicher Zwecke. Beispiel: Datenverarbeitung zur Durchführung eines Verbrauchervertrags Zweck der geschäftsmäßigen Übermittlung 29 ff. BDSG Datenverarbeitung wird zum Selbstzweck Daten werden zur Ware, die Ziel und Gegenstand der Verarbeitungstätigkeit bestimmen. Beispiel: Auskunfteien, Adresshändler, Markt- und Meinungsforschung etc. Kundendatenschutz Dr. Malte Engeler 14

15 28 Absatz 1 Satz 1 Nr. 1 BDSG Vertragsabwicklung als Rechtsgrundlage Datenverarbeitung als Nebenprodukt : Alles was für die Begründung, Durchführung und Beendigung eines Vertrages erforderlich ist Maßstab ist der gemeinsame Vertragswille Kundendatenschutz Dr. Malte Engeler 15

16 Kundendatenverarbeitung Welche Kundendaten dürfen in die Kundendatenbank aufgenommen werden? 28 Abs. 1 Satz 1 Nr. 1 BDSG Prüfschritte: Welche Kundendaten sind für die Vertragserfüllung erforderlich? Ohne welche Daten wäre eine Vertragserfüllung und - verwaltung nicht möglich? (enge Grenzen) Kundendatenschutz Dr. Malte Engeler 16

17 Beispiele Sind die Daten jeweils erforderlich zur Durchführung der Verbraucherverträge? Name und Adresse? EC-Kartenzahlung? Warenbestellung beim Versandhandel? Geburtsdatum? Internet- oder Telefonbestellung? Discobesuch? Beruf, Einkommen und Vermögen? Interesse an Mietangeboten? Kreditantrag? Gesundheitsdaten? Fitnessstudiovertrag? Lebensversicherung? Kundendatenschutz Dr. Malte Engeler 17

18 Kundendatenverarbeitung Dürfen Daten aus Zeitungen oder dem Internet zur Ergänzung der Kundendatenbank erhoben werden? 28 Absatz 1 S. 1 Nr. 3 BDSG: Eigene Geschäftszwecke Allgemein zugängliche Quellen Zeitungen, Rundfunk- und Fernsehsendungen, Internet Öffentliche Register (z.b. Handelsregister, Vereinsregister; nicht aber z.b. Grundbuch) Telefonbuch Achtung: Kein offensichtliches Überwiegen der schutzwürdigen Interessen des Betroffenen Kundendatenschutz Dr. Malte Engeler 18

19 Kundendatenverarbeitung Muss der Kunde bei Aufnahme in die Kundendatenbank informiert werden? 4 Abs. 3 BDSG Identität der verantwortlichen Stelle Zweckbestimmung Kategorien von Empfängern Z.B. in Datenschutzerklärung sofern nicht anderweitige Kenntnis Tipp: Schaffen Sie Vertrauen, indem Sie Informationen zur Datenverarbeitung vollständig und verständlich gestalten. Kundendatenschutz Dr. Malte Engeler 19

20 Kundendatenverarbeitung Wie lange dürfen Daten vom Kunden in der Kundendatenbank gespeichert bleiben? So lange erforderlich ( 35 Abs. 2 Satz 2 Nr Abs. 1 Satz 1 Nr. 1 BDSG) Wie lange ist die Speicherung für die Vertragserfüllung erforderlich? Bei Aufbewahrungspflichten: Sperrung Wichtig: Richten Sie Löschroutinen ein. Kundendatenschutz Dr. Malte Engeler 20

21 Kundendatenverarbeitung Darf die Kundendatenbank bei Geschäftsaufgabe an ein drittes Unternehmen verkauft werden? Dürfen Kundendaten an einen Branchenverband weitergegeben werden? 28 Abs. 1 Satz 1 Nr. 2 BDSG ( ) Berechtigtes Interesse? Schutzwürdige Interessen der Betroffenen an dem Ausschluss der Übermittlung? Kundendatenschutz Dr. Malte Engeler 21

22 28 Absatz 1 S. 1 Nr. 2 BDSG: 28 Absatz 1 S. 1 Nr. 2 BDSG Prüfungsschritte: Für Wahrung berechtigter Interessen erforderlich? 2. angemessen? wirtschaftliche und ideelle Interessen (sehr weiter Begriff) Kundendatenschutz Dr. Malte Engeler 22

23 Bank möchte vor Kreditvergaben die Bonität des potentiellen Kunden bei einer Auskunftei abfragen. Zulässig? Darf ein Versandhändler vor dem Anbieten einer bestimmten Zahlungsart wie Rechnungskauf eine Bonitätsprüfung durchführen? Bonitätsabfragen 28 Abs. 1, 29 BDSG Kundendatenschutz Dr. Malte Engeler 23

24 Welche Daten eines Interessenten dürfen erhoben werden? 28 Absatz 1 Satz 1 Nr. 1 BDSG Rechtsgeschäftsähnliches Schuldverhältnis Erforderlichkeit Wie lange dürfen Daten eines Interessenten gespeichert werden? 35 Abs. 2 Satz 2 Nr. 3, 28 Abs. 1 Satz 1 Nr. 1 BDSG Erforderlichkeit für die Durchführung des Interessentenverhältnisses Interessentendaten Kundendatenschutz Dr. Malte Engeler 24

25 28a BDSG Spezialvorschrift: Datenübermittlung an Auskunfteien Zweck: Transparenz und Schaffung eindeutiger Rechtsgrundlagen Absatz 1: Befugnis zum Einmelden von Forderungsdaten (sog. Negativdaten) an Auskunfteien Abs. 2: Kreditinstitute dürfen Informationen bspw. über Darlehen, Kreditkarten und Eröffnungen von Girokonten mit Überziehungsmöglichkeit einmelden (sog. Positivinformationen ) Wichtig: Einrichtung von Prozessen Kundendatenschutz Dr. Malte Engeler 25

26 28a BDSG Spezialvorschrift: Datenübermittlung an Auskunfteien Abs. 3 Nachberichtigungspflicht Insgesamt für Meldungen nach 28a BDSG Tipp: Richten Sie einen Prozess für die Nachberichtspflicht ein Kundendatenschutz Dr. Malte Engeler 26

27 28 Abs. 1 S. 1 Nr. 2 Versandhandel Das System der Auskunfteien Schaubild Versandhandel Vermieter Bank 28a Abs. 1 28a Abs. 1 SCHUFA 29 Abs Abs Abs. 2 Vermieter Bank 28a Abs Abs. 2 Kundendatenschutz Dr. Malte Engeler 27

28 Scoring Was ist Scoring? Definition: Berechnung eines Wahrscheinlichkeitswertes für ein bestimmtes zukünftiges Verhalten des Betroffenen BDSG-Novelle b BDSG Unter welchen Voraussetzungen ist Scoring zulässig? Kundendatenschutz Dr. Malte Engeler 28 28

29 Erhebliche Datenbasis Scoringvorschrift 28b BDSG Unter Zugrundelegung eines wissenschaftlich anerkannten mathematischstatistischen Verfahrens Übermittlungs- bzw. Nutzungsbefugnis für Datenbasis Nicht ausschließlich Anschriftendaten (Nr. 3) Unterrichtung bei Nutzung Anschriftendaten (vorher) Kundendatenschutz Dr. Malte Engeler 29 29

30 Datenverarbeitung für Marketingzwecke Verarbeitung eigener Kundendaten für Werbezwecke Kundendatenschutz Dr. Malte Engeler 30

31 Zweckbindungsgrundsatz Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. 28 Abs. 1 Satz 2 BDSG Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (intern und extern). Eine zweckändernde Datenverwendung bedarf einer eigenen Rechtsgrundlage Kundendatenschutz Dr. Malte Engeler 31

32 Verarbeitung eigener Kundendaten für Werbezwecke Ist Werbung nur mit Einwilligung des Kunden zulässig? Zentrale gesetzliche Regelung: 28 Absatz 3 BDSG Satz 1: grundsätzlich Einwilligungserfordernis Satz 2: Ausnahme Listenprivileg (= gesetzliche Erlaubnis) Datenverarbeitung und -nutzung erforderlich für Nr. 1: Werbung für eigenen Angebote und Erhebung beim Kunden oder aus allgemein zugänglichen Adressverzeichnissen Nr. 2: Werbung in Hinblick auf berufliche Tätigkeit Nr. 3: Werbung für Spenden Keine entgegenstehenden schutzwürdigen Interessen (Satz 6) Kundendatenschutz Dr. Malte Engeler 32

33 Verarbeitung eigener Kundendaten für Werbezwecke Nur diese Daten sind vom Listenprivileg erfasst: Zugehörigkeit zu einer Personengruppe Berufs-, Branchen- oder Geschäftsbezeichnung Name Titel Akademischer Grad Anschrift Geburtsjahr Unzulässig wegen Beeinträchtigung der schutzwürdigen Interessen: stigmatisierende Angaben wie Adressen der Bewohner einer Strafanstalt, eines Asylbewerberwohnheims, einer Aids-, Krebs- oder Suchtklinik o.ä. Nur postalische Anschrift postalische Werbung Nicht -Adresse keine Werbung per Nicht Geburtsdatum! Kundendatenschutz Dr. Malte Engeler 33

34 28 Abs. 3 BDSG Verarbeitung eigener Kundendaten für Werbezwecke Hinzuspeichern (Absatz 3 Satz 3) Adressverkauf (Abs. 3 Satz 4) Beachte: Dokumentationspflicht für 2 Jahre, 34 Abs. 1a BDSG Werbung für fremde Angebote (Abs. 3 Satz 5) Beachte: Werbender muss klar erkennbar sein Kundendatenschutz Dr. Malte Engeler 34

35 Verarbeitung eigener Kundendaten für Werbezwecke Achtung bei Anwendung des Listenprivilegs: Besondere Vorgaben für Transparenz und informationelle Selbstbestimmung Widerspruchsrecht der Kunden gegen Verarbeitung und Nutzung von Daten zu Zwecken der Werbung und der Markt- und Meinungsforschung Widerspruchshinweis ist zu erteilen durch die verantwortliche Stelle bei Vertragsschluss im Rahmen der Werbung Vgl. 28 Abs. 4 Satz 2 BDSG Tipp: Überprüfen Sie Ihre Formulare! Verstoß ist ein Bußgeldtatbestand ( 43 Abs. 1 Nr. 3 BDSG) Kundendatenschutz Dr. Malte Engeler 35

36 Verarbeitung eigener Kundendaten für Werbezwecke Wenn Listenprivileg nicht anwendbar: Einwilligung erforderlich! Besondere Vorgaben für Werbeeinwilligung in 28 Abs. 3a BDSG Andere Form als Schriftform, z.b. mündlich Inhalt muss dann schriftlich bestätigt werden Elektronische Einwilligung Protokollierung Erklärung jederzeit abrufbar Erklärung jederzeit widerrufbar Ggf. Hervorhebung Kundendatenschutz Dr. Malte Engeler 36

37 Verarbeitung eigener Kundendaten für Werbezwecke Für Werbeeinwilligungen gilt sog. Kopplungsverbot 28 Abs. 3b BDSG Vertragsschluss darf nicht von Werbeeinwilligung abhängig gemacht werden Wenn Zugang zu gleichwertigen vertraglichen Leistungen nicht oder nicht in zumutbarer Weise möglich Grund: Monopolabhängigkeit Kundendatenschutz Dr. Malte Engeler 37

38 Einwilligung

39 Einwilligung 4a Bundesdatenschutzgesetz Eine Einwilligung ist eine Willensbekundung der/des Betroffenen, die freiwillig, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person zustimmt, dass die sie betreffenden personenbezogenen Daten erhoben, verarbeitet oder/und genutzt werden. Dr. Malte Engeler Kundendatenschutz 39

40 Kleine Checkliste Anforderungen des 4a BDSG Freiwilligkeit Erklärung unter faktischem Zwang Information über Zweck/Art/Umfang der Verwendung Pauschalerklärung/ungenaue Formulierung Schriftformerfordernis Mündliche /Konkludente Erklärung Drucktechnische Hervorhebung Versteckter Hinweis irgendwo im Kleingedruckten ( 4a Abs. 1 S. 4 BDSG) Kundendatenschutz Dr. Malte Engeler 40

41 Einwilligung Widerruflichkeit datenschutzrechtlicher Einwilligungen Grundsätzlich ab jetzt und für die Zukunft (ex nunc) Nicht für die Vergangenheit (ex tunc) Dr. Malte Engeler Kundendatenschutz 41

42 Datenverarbeitung für Marketingzwecke Telefonwerbung und Newsletter Kundendatenschutz Dr. Malte Engeler 42

43 Gibt es eine gesetzliche Erlaubnis? 28 Abs. 3 S. 2 ff. BDSG (-), also: Nein Zu beachten: 7 Abs. 2 Nr. 2 UWG Vorherige ausdrückliche Einwilligung Telefonwerbung Abgrenzung: Anrufe, die nicht zu Werbezwecken getätigt werden Z.B. echter Service Kundendatenschutz Dr. Malte Engeler 43

44 Gibt es eine gesetzliche Erlaubnis? 28 Abs. 3 S. 2 ff. BDSG (-), also: Nein -Newsletter Zu beachten: 7 Abs. 2 Nr. 3 UWG elektronische Post Vorherige ausdrückliche Einwilligung Ausnahme: 7 Abs. 3 UWG adresse im Zusammenhang mit Kauf Werbung für eigene ähnliche Waren oder Dienstleistungen Kein Widerspruch Widerspruchshinweis Kundendatenschutz Dr. Malte Engeler 44

45 Websitenstatistiken und Tracking Abgrenzung zwischen TKG und TMG Nutzungs- und Bestandsdaten Bestandsdaten -> 15 Abs. 1 TMG Ermöglichung der Nutzung Abrechnung Datenschutzerklärung nicht vergessen! ( 13 Abs. 1 TMG) Nutzungsdaten -> 15 Abs. 3 TMG Nutzungsprofil Widerspruchsmöglichkeit Pseudonym Cookies (Einwilligung, wenn nicht zwingend notwendig) Problem: Umsetzung der RL 2009/136/EG Widerspruch vs. Einwilligung Kundendatenschutz Dr. Malte Engeler 45

46 Adresshandel Gibt es eine gesetzliche Erlaubnis? 29 BDSG Adresshandel Voraussetzungen 28 Abs. 3 S. 4 BDSG Übermittlung von Listendaten Speicherung der Übermittlung 34 Abs. 1a S. 1 BDSG Herkunft und Empfänger Dauer: 2 Jahre Erkennbarkeit der Stelle, die die Daten erstmalig erhoben hat Kundendatenschutz Dr. Malte Engeler 46

47 Datenschutzrechte der Kunden Betroffenenrechte für informationelle Selbstbestimmung

48 Betroffenenrechte Transparenzgrundsatz: Direkterhebungsgrundsatz 4 Abs. 2 BDSG Benachrichtigung 33 BDSG Nachträgliche Information bei Speicherung ohne Kenntnis der/des Betroffenen Anspruch des Kunden auf Auskunft gemäß 34 Abs. 1 BDSG Inhalt: Sämtliche zum Kunden gespeicherten Daten Herkunft der Daten (Beachte zusätzlich 34 Abs. 1 a) Empfänger, an die Daten weitergegeben werden Zweck der Speicherung Spezielle Auskunftsrechte: 34 Abs. 2, 4 BDSG zu Scoring 34 Abs. 8 BDSG kostenlose Selbstauskunft Kundendatenschutz Dr. Malte Engeler 48

49 Weitere Rechte der Betroffenen Anspruch auf Berichtigung gemäß 35 Abs. 1 BDSG Löschung der Daten gemäß 35 Abs. 2 BDSG z.b. dann, wenn Daten für den ursprünglichen Zweck nicht mehr erforderlich sind Besonderheit für Stellen wie Auskunfteien: Prüfpflicht nach 3- bzw. 4 Jahren Ggf. Sperrung gemäß 35 Abs. 3, 4 BDSG wenn Daten nicht mehr für den ursprünglichen Zweck erforderlich sind, aber etwa gesetzliche Aufbewahrungspflichten (Steuerrecht, Handelsrecht) bestehen Kundendatenschutz Dr. Malte Engeler 49

50 Vielen Dank für Ihre Aufmerksamkeit! Dr. Malte Engeler Landeszentrum für Datenschutz Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Holstenstraße 98, Kiel Kundendatenschutz Dr. Malte Engeler 50