Bevor Sie vor dem Eindruck der Datenschutzgrundverordnung (DSGVO) jetzt alle Daten löschen, lohnt es sich die Situation genauer zu beleuchten. In den allermeisten Fällen spricht nämlich nichts dagegen, solche Daten über längere Zeiträume zu speichern. Ab sofort aber eben gesetzeskonform zur EU-DSGVO bzw. zum Bundes DatenSchutz Gesetz (BDSG).

Gesetzlicher Rahmen

Nach §28 des BDSG (die DSGVO tritt in diesem Fall hinter das Bundesdatenschutzgesetz zurück, da hier die Verarbeitung von Daten geregelt ist) dürfen personenbezogene Daten nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben wurden. Dieser Zweck muss bei der Erhebung fest stehen, und die Verarbeitung ist nach Art und Umfang und Dauer hinsichtlich des Erhebungszweckes zu begrenzen. Der Erhebungszweck darf nur durch Gesetz oder mit Einwilligung geändert werden.

Entgegen vieler Berichte über die neue EU DSGVO ist der Auskunftsanspruch des Betroffenen über Art, Umfang und Zweck der Verarbeitung seiner persönlichen Daten nicht neu, sondern bereits im BDSG vorgesehen (z.B: §§4, 6b, 33, 34).

Folgen für die Verarbeitung existierender Daten in der CRM-Software

Gehen wir davon aus, dass Sie die Adressen und Kontakt-Informationen bei Anrufen oder Anfragen über das Internet erfasst haben, oder die Interessenten Ihnen ihre Visitenkarten auf Messen oder Veranstaltungen gegeben haben. Dann ist der Zweck, also die Information über Ihre Produkte und Dienstleistung sicher  damals bei der Erfassung erfüllt gewesen.

Anders sieht es sicher aus, wenn Sie einen großen Datenbestand von einem Adresshändler gekauft haben.

Bleiben wir in unserem Beispiel, dann müssen wir noch Art und Umfang der Verarbeitung klären. Sicher haben Sie die Anfragen damals umgehend beantwortet und vielleicht ist sogar ein Auftrag daraus geworden. In diesem Fall ist es völlig normal, dass die Informationen über einen längeren Zeitraum (z.B. Garantiedauer, Aufbewahrungsfrist des Finanzamts) gespeichert bleiben. Und wahrscheinlich informieren Sie Ihre Bestandskunden über Neuigkeiten mehr oder minder regelmäßig.

Dann ist die Verarbeitung dieser Informationen im Rahmen Ihrer Geschäftsbeziehung zu diesen Kunden zulässig. Selbstverständlich haben Ihre Kunden aber ein Recht auf Auskunft über die verarbeiteten Daten und ggfs. nach Beendigung der Geschäftsbeziehung (z.B. nach Garantie-Ablauf) auch das "Recht auf Vergessen", also das Recht auf Löschung ihrer persönlichen Daten.

Was aber geschieht mit Anfragen, die nicht zu Aufträgen geworden sind? Nun, hier stellt sich die Frage nach der angemessenen Dauer der Geschäftsbeziehung. Vermutlich haben Sie auch die Interessenten  in Ihren Mail-Verteiler aufgenommen und regelmäßig mit Informationen versorgt. Und sicher werden nur wenige Leute der Aufnahme in Ihren Verteiler widersprochen haben. Dann kann man doch zurecht davon ausgehen, dass weiterhin ein Interesse an an Ihren Produkten und Dienstleistungen besteht.

Übrigens werden in den von Ihnen zu entwickelnden Verfahrensbeschreibungen die Zeiträume definiert, wie lange Sie die Informationen ruhender Geschäftsbeziehungen vorhalten. Selbstverständlich darf dieser Zeitraum nicht unangemessen lang sein, trotzdem existiert hier ein Ermessensspielraum, wie das obige Beispiel zeigt.

Unsere Handlungsempfehlung - Was tun um auf Nummer sicher zu gehen?

Zwei Dinge sind hier entscheidend, die Anforderungen an die Datenschutzgrundverordnung (DSGVO) zu erfüllen, nämlich

1. die Einwilligung bzw. Zustimmung der Personen, deren Daten Sie verarbeiten, und
2. die Verfahrensbeschreibungen, in denen Sie den Umgang mit den Daten definieren.

Wir empfehlen, vollständige Verfahrensbeschreibungen zu entwickeln, die Sie als Grundlage für die zukünftige Verarbeitung personenbezogener Daten nehmen.

Im zweiten Schritt sollten Sie Ihre Kunden aktiv ansprechen (Mailing), sie über die gespeicherten Informationen unterrichten und sie um Einwilligung zur weiteren Verarbeitung gemäß der entwickelten Verfahrensbeschreibungen bitten. Selbstverständlich klären Sie an dieser Stelle auch über das "Recht auf Vergessen" auf.

Was wird passieren? Vielleicht wird ein Teil der Kontakte die Löschung verlangen. Ein weiterer, vermutlich größerer Teil der Kontakte wird unter der angegebenen Adresse nicht mehr erreichbar sein. Aber der vermutlich größte Teil wird der Verarbeitung nicht widersprechen und erteilt so die Zustimmung. Im Ergebnis werden Sie eine aktualisierte Liste von interessierten Kontakten in Ihrem CRM-System behalten, die Sie weiter mit wichtigen Informationen versorgen dürfen.