Technology and Sourcing

Geht es um die richtige Verwendung von Kundendaten, herrscht in vielen Firmen noch Ratlosigkeit. Dabei ist der Einsatz dieser Informationen gerade für die Vermarktung und Kommunikation enorm wichtig. Zudem gibt es Wege für den rechtskonformen Gebrauch, auch ohne sich am Rande der Legalität zu bewegen.
 
Pannen im Umgang mit Kundendaten (wie z.B. der Versand von Kunden-E-Mails an falsche Adressaten) sind in Unternehmen leider an der Tagesordnung. Unternehmen müssen Kundendaten für geschäftliche Zwecke einsetzen, wissen aber noch zu wenig, wo sie diese legal einsetzen dürfen.

Pflichten im Pannenfall

Stark unterschätzt werden nach wie vor die Auswirkungen der „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ im Bundesdatenschutzgesetz. Diese Informationspflicht gilt, wenn Dritte von personenbezogenen Daten unberechtigt Kenntnis erlangen, insbesondere zu Bank- und Kreditkarten-Konten, Daten, die einem Berufsgeheimnis unterliegen, besonderen Arten personenbezogener Daten und Informationen über Straftaten. Beachtet werden sollte besonders der weite Anwendungsbereich: Betroffen sind laut Telemediengesetz auch Bestands- und Nutzungsdaten, wie etwa IP-Adressen oder auch nur der Name oder die E-Mail eines Users.

Aufsichtsbehörde informieren

Sollten tatsächlich Daten in die Hände Dritter gelangen und dadurch Rechte oder schutzwürdige Interessen potenziell schwer beeinträchtigt sein, muss das Unternehmen die Aufsichtsbehörde und unter Umständen auch die Öffentlichkeit – mit halbseitigen Anzeigen in bundesweit erscheinenden Tageszeitungen – informieren. Außerdem müssen umgehend Datensicherungsmaßnahmen starten. Ferner muss eine Folgenabschätzung durchgeführt werden, die auch der Aufsichtsbehörde vorgelegt wird. Wer davon betroffen ist, erhält Empfehlungen für Maßnahmen, die nachteilige Konsequenzen mildern können.

Um wirksame Vorkehrungen gegen solche Pannen treffen zu können, muss rechtlich und organisatorisch vorgebeugt werden. Um schon vor dem Eintritt eines Datenlecks auf der sicheren Seite zu sein, sollte ein internes Verfahren zur Aufdeckung und Meldung von Sicherheitsverstößen etabliert werden.

Ferner sollte eine „Data Breach Management Policy“ erarbeitet werden. In dieser wird festgelegt, welche Schritte im Falle einer Datenpanne zu unternehmen sind, welche Zuständigkeiten gelten et cetera. Außerdem empfiehlt sich die Erarbeitung allgemeiner Richtlinien, wie die Mitteilungen an Kunden und Aufsichtsbehörden erfolgen sollten. Dies erfordert eine gute Zusammenarbeit der Unternehmensbereiche Recht, IT-Security, Datenschutz und Unternehmenskommunikation.

Vorsorge

Falsch wäre es, würden sich die Firmen nur auf den Pannen-Fall vorbereiten. Vielmehr sollten sie intensiv durchleuchten, welche Informationen von wem für welche Zwecke erhoben werden, wie die Kundeneinwilligung stattfindet und durch welche Hände die Daten im gesamten Unternehmen wandern. Nach dem datenschutzrechtlichen Grundsatz der Erforderlichkeit ist der Umfang der Datensammlung und der Umgang mit diesen auf den wirklichen Verwendungszweck zu begrenzen.