Datenschutz: So schützen Sie bei Kundenumfragen persönliche Daten

  • 26. Mai 2024

Aber nicht nur das: Auch die Kunden verbreiten ihre Meinung rund um die Uhr im Netz. Das Buhlen um positive Kundenbewertungen gehört deshalb mittlerweile zum Tagesgeschäft und ist sicherlich auch Teil der Marketingstrategie Ihres Unternehmens geworden.

Persönliche Daten bei Kundenumfragen – Risiken für den Datenschutz

Eine andere Möglichkeit wäre es aber auch, direkt auf den Kunden zuzugehen und persönlich nachzufragen, wie zufrieden er ist. Das schafft Nähe zum Kunden, birgt aber auch Risiken für den Datenschutz. Zeigen Sie jetzt, wie beides unter einen Hut passt!

Das Individuum zählt – und sorgt für Datenschutzrisiken

Auf den ersten Blick erscheint es widersprüchlich, aber die fortschreitende Globalisierung und Digitalisierung führen dazu, dass die individuellen Wünsche und Bedürfnisse des einzelnen Kunden wieder wichtiger werden.

Um dabei im Haifischbecken des Wettbewerbs zu überleben, muss sich auch Ihr Unternehmen um jeden Kunden bemühen. Und dabei kommen oft personenbezogene Daten zum Einsatz.

Sicherer Datenschutz bei Kundenumfragen

Kauft der Kunde ein Produkt oder nimmt eine Dienstleistung in Anspruch, werden seine personenbezogenen Daten zum Zwecke der Erfüllung des Kaufvertrages erforderlich – die Verwendung der Daten ist nach § 28 Abs. 1 Satz 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) somit zulässig.

Doch was gilt, wenn der Kunde nach dem Kauf nach seiner Zufriedenheit beispielsweise im Zusammenhang mit Beratung, Service oder Bestellabwicklung gefragt wird?

Nachfragen fördert den Absatz

Anders als bei der Erfüllung des Kaufvertrags gestaltet sich die Situation bei der Verwendung personenbezogener Daten für Werbezwecke.

Unter Werbung ist dabei jede Äußerung oder Aktivität zu verstehen, die zum Ziel hat, den Absatz des Unternehmens direkt oder indirekt zu fördern. Diese weit gefasste Definition von Werbung führt dazu, dass fast jedes nach außen gerichtete unternehmerische Handeln – also auch Kundenumfragen – als absatzfördernde Maßnahme anzusehen ist. Dementsprechend kommen gesetzliche Regelungen zur Anwendung.

Bereits seit 2018 ist die neue EU-Datenschutzgrundverordnung verschärft. Doch trotzdem gibt es noch viele offene Fragen bezüglich des Datenschutzrechts im Unternehmen. Um all Ihre Fragen zu beantworten, haben wir Ihnen den DSGVO Leitfaden: „Umsetzung des neuen Datenschutzrechts im Unternehmen“ erstellt, mit denen Sie für rechtskonformen Umgang mit personenbezogenen Daten in Ihrem Betrieb sorgen.

So vermeiden Sie Datenschutzrisiken

Folgende Schritte geben Ihnen eine Orientierungshilfe, damit in Ihrem Unternehmen keine rechtliche Stolperfalle übersehen wird:

Schritt 1: Treten Sie in den Dialog

Als Datenschutzbeauftragter ist es nach § 4g Abs. 1 Satz 4 Nr. 2 BDSG Ihre Aufgabe, die Beschäftigten Ihres Unternehmens für die Aspekte und Risiken des Datenschutzes zu sensibilisieren.

Ob Ihre Bemühungen auf fruchtbaren Boden gefallen sind, merken Sie auch daran, ob Ihre Kollegen datenschutzrechtlichen Handlungsbedarf selbstständig erkennen und Sie um Rat bei der Umsetzung bitten.

Vielleicht passiert das auch im Vorfeld einer geplanten Kundenumfrage. Doch wenn niemand an Ihre Tür klopft, bedeutet das leider nicht automatisch, dass alle Datenschutzaspekte ausreichend berücksichtigt und umgesetzt werden und Ihre Unterstützung nicht erforderlich wäre.

Ergreifen Sie deshalb selbst die Initiative und erkundigen Sie sich gezielt nach geplanten Projekten – gehen Sie dazu auf die zuständigen Kollegen in der Marketingabteilung zu und fragen Sie gezielt nach.

Praxistipps: 

  • Damit Ihnen nicht direkt die Tür vor der Nase zugeschlagen wird, treten Sie nicht als Kontrollinstanz auf.
  • Kommunizieren Sie immer auf Augenhöhe und bieten Sie aktiv Ihre Unterstützung an.
  • Machen Sie deutlich, welche Vorteile eine Zusammenarbeit hat!

Denn: Fehler präventiv zu vermeiden, verhindert, dass diese Ihr Unternehmen im Nachhinein teuer zu stehen kommen – entweder in Form eines verhängten Bußgeldes, eines Reputationsverlusts, einer wettbewerbsrechtlichen Abmahnung oder weil eine geplante Kampagne in letzter Sekunde abgeblasen werden muss, um einen Gesetzesverstoß noch zu verhindern.

Schritt 2: Machen Sie sich überflüssig

Die Regelungen des Datenschutzes gelten immer dann, wenn personenbezogene Daten im Spiel sind. Das gilt natürlich auch für Umfragen zur Messung der Kundenzufriedenheit. Für Daten ohne Personenbezug hingegen kommen datenschutzrechtliche Bestimmungen nicht zur Anwendung.

Deshalb sollten Sie bei Ihrer datenschutzrechtlichen Beratung immer gleich am Anfang darauf hinweisen: Werden bei der Durchführung der Umfrage die Daten anonymisiert erhoben, verarbeitet und genutzt, können sie ohne die „Hürden“ des Datenschutzes zur Analyse der Kundenzufriedenheit eingesetzt werden – so sind aufwendige Schutzmaßnahmen und eine Prüfung durch Sie als Datenschutzbeauftragter unter Umständen nicht notwendig.

Praxistipps:

  • Zeigen Sie auf, wie die Anonymisierung in der Praxis umzusetzen ist.
  • Machen Sie z. B. deutlich, dass grundsätzlich das Erheben von Angaben wie Name, Anschrift, Telefonnummer, Bankverbindung usw. ganz vermieden oder auf das erforderliche Minimum reduziert werden sollten.
  • Veranschaulichen Sie, dass auf viele Daten verzichtet werden kann, ohne den Erfolg der Umfrage zu gefährden. (Es ist meist nicht erforderlich, das exakte Geburtsdatum des Befragten zu erheben, wenn die einfache Angabe des Alters ausreichende Information liefert.)
  • Hinterfragen Sie deshalb gemeinsam mit den Kollegen jede geplante Datenerhebung nach ihrer Sinnhaftigkeit!

Schritt 3: Zeigen Sie Lösungen auf

Als Datenschutzbeauftragter kennen Sie das: Häufig haftet Ihnen der Ruf des Spielverderbers und des erhobenen Zeigefingers an.

Das kann Ihnen auch beim Thema Umfragen passieren. Nämlich dann, wenn Ihre Kollegen resolut die Meinung vertreten, auf die Verwendung von personenbezogenen Daten nicht verzichten zu können.

  • Zeigen Sie Verständnis und Kooperationsbereitschaft, auch wenn Sie diese Ansichten nicht immer nachvollziehen können und nicht voll und ganz teilen.
  • Machen Sie aber gleichzeitig deutlich, dass die Erhebung und Verwendung von personenbezogenen Daten vorab auf deren Zulässigkeit zu prüfen sind.

Denn der Gesetzgeber schreibt vor, dass der Einsatz von personenbezogenen Daten auch bei Werbemaßnahmen erforderlich sein muss und keine schutzwürdigen Interessen der Kunden entgegenstehen dürfen (vgl. § 28 Abs. 3 BDSG).

Weisen Sie außerdem darauf hin: Grundsätzlich bedarf es der Einwilligung für eine werbliche Nutzung personenbezogener Daten. Für bestimmte Formen der Ansprache können zusätzliche Anforderungen zu berücksichtigen sein. Hier ist vor allem in diesem Zusammenhang § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu nennen.

Praxishinweis: Bevor Sie beraten und Handlungsempfehlungen geben, überlegen Sie immer im Vorfeld, welche Einwände Ihnen die Kollegen entgegenbringen könnten. Bereiten Sie für Ihre Argumentation einen Plan B inklusive Handlungsempfehlung vor, den Sie aus der Tasche ziehen, wenn Ihre Überzeugungsarbeit gefragt ist.

Damit stellen Sie gleich zwei Dinge unter Beweis:

  • Ihre fachliche Kompetenz als Datenschutzbeauftragter.
  • Ihre Fähigkeit, auf die Bedürfnisse Ihrer Kollegen einzugehen und praktische Hilfestellung zu leisten.

Datenschutz: Beratungsansätze bei Kundenbefragungen

Einwilligung

Lässt sich die Umfrage nicht anonym durchführen – beispielsweise deshalb, weil dieselben Kunden in regelmäßigen Abständen befragt werden sollen –, ist nach § 28 Abs. 3 Satz 1 BDSG vor der Verwendung der personenbezogenen Daten die Einwilligung der Betroffenen einzuholen.

Damit die Einwilligung wirksam ist, muss sie die Anforderungen aus § 4a BDSG erfüllen. Außerdem muss die Einwilligung protokolliert und eindeutig zuordenbar sein. Denn steht beispielsweise die Aufsichtsbehörde vor der Tür und nimmt eine Prüfung vor, muss Ihr Unternehmen den Beweis führen können, dass die Einwilligung vorliegt und wirksam vom Betroffenen erteilt wurde.

Soll die Umfrage auf dem elektronischen Weg, also z. B. per E-Mail oder per SMS, an die Kunden versendet werden, ist vorab zu prüfen, ob eine wirksame Einwilligung des Betroffenen vorliegt.

Das heißt, er muss per Opt-in-Verfahren ausdrücklich seine Zustimmung für die Verwendung seiner Daten gegeben haben.

Die Einwilligung muss außerdem den Hinweis enthalten, dass der Betroffene die Einwilligung jederzeit widerrufen kann.

Wird die Umfrage per Post an Bestandskunden geschickt, gilt: Hat der Kunde Postsendungen vonseiten Ihres Unternehmens nicht widersprochen (z. B. per Opt-out-Verfahren), sind Werbemaßnahmen per Brief zulässig.

Transparenz

Die Grundsätze des Datenschutzes geben vor, wie der Umgang mit personenbezogenen Daten zu gestalten ist – dazu gehört auch, dass Transparenz durch Information geschaffen werden muss. Das gilt auch bei der Durchführung von Umfragen.

Welche gesetzlichen Bestimmungen bei der Erhebung der Daten direkt beim Betroffenen gelten, verrät ein Blick in § 4 Abs.3 BDSG. Danach ist die Erhebung von Daten nur dann zulässig, wenn der Betroffene ausreichend informiert wird.

Um Transparenz zu schaffen und den Betroffenen ausreichend zu informieren, sind vonseiten Ihres Unternehmens folgende Angaben zu machen: 

  • Identität der verantwortlichen Stelle, das heißt Nennung des Namens und der Hausanschrift Ihres Unternehmens
  • Zweck der Datenerhebung, -verarbeitung und -nutzung
  • Bei Datenweitergabe an Dritte: Hinweise, an welche Empfänger und zu welchem Zweck welche Daten weitergegeben werden

Zweckbindung

Erheben, Verarbeiten und Nutzen von personenbezogenen Daten unterliegen nach dem deutschen Datenschutzrecht dem Grundsatz der Zweckbindung.

Das bedeutet, dass die erhobenen Daten nur für den Zweck verwendet werden dürfen, der dem Betroffenen bekannt ist und dem er im Fall einer Kundenbefragung per Einwilligung zugestimmt hat.

Der Zweck der Erhebung personenbezogener Daten muss im Vorfeld vonseiten Ihres Unternehmens festgelegt werden. Ist eine Zweckänderung für die im Rahmen einer Kundenbefragung erhobenen personenbezogenen Daten geplant, ist grundsätzlich der Betroffene darüber zu informieren. Dafür gilt es, eine wirksame Einwilligung einzuholen und das Datenschutzprinzip der Transparenz einzuhalten.

Auftragsdatenverarbeitung

Für die Durchführung von Werbemaßnahmen wie Umfragen ist es in vielen Unternehmen üblich, einen Dienstleister zu beauftragen. Ist der Dienstleister als Auftragnehmer dabei an die Weisung Ihres Unternehmens gebunden, liegt häufig eine Auftragsdatenverarbeitung gemäß § 11 BDSG vor.

Das heißt, der Auftraggeber trägt für die ergriffenen Maßnahmen des Auftragnehmers die volle Verantwortung.

Da der Auftragnehmer dem Auftraggeber im Rahmen der Durchführung des Auftrags zuzurechnen ist und dessen Kontrolle unterliegt, muss die Weitergabe der Daten nicht durch eine Einwilligung des Betroffenen legitimiert werden. Allerdings muss zwischen Ihrem Unternehmen und dem Dienstleister beispielsweise eine schriftliche Vereinbarung mit dem Inhalt des § 11 Abs. 2 BDSG geschlossen werden.

Schulen Sie auch Ihre Kollegen und Mitarbeiter im Thema Datenschutz und sichern Sie Ihr Unternehmen gegen rechtliche Konsequenzen ab. Lesen Sie hier, wie die perfekte Grundlagenschulung zum Datenschutz aussieht. 

Quelle: wirtschaftswissen.de

Seite weiterempfehlen: