Personenbezogene Daten speichern
Wie Sie Geschäftspartner DSGVO-konform durchleuchten

Je mehr man über Kunden und Geschäftspartner weiß, desto eher bleiben böse Überraschungen erspart. Doch welche Daten dürfen Unternehmen in Zeiten der DSGVO überhaupt sammeln? Und was ist dabei zu beachten?

, von
Datenschutz Datenschutz-Grundverordnung
Kommentieren
Unter die Lupe genommen: Wer personenbezogene Daten von Kunden und Geschäftspartnern recherchiert und speichert, muss die DSGVO beachten.
Unter die Lupe genommen: Wer personenbezogene Daten von Kunden und Geschäftspartnern recherchiert und speichert, muss die DSGVO beachten.
© axelbueckert / photocase.de

Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Die neuen Datenschutzregeln treffen jeden, der Daten von anderen einsammelt und speichert. Das betrifft sowohl Mitarbeiterdaten, aber auch die von Kunden oder Geschäftspartnern. Wenn Sie personenbezogene Daten recherchieren und speichern, sollten Sie folgende Regeln beachten:

Unter welchen Umständen ist es erlaubt, personenbezogene Daten zu recherchieren?

„Grundsätzlich ist jede Verarbeitung personenbezogener Daten erst einmal verboten“, erklärt Datenschutzanwalt Christian Klos aus Köln von der Beratungsfirma Two Towers. Das umfasst das Lesen, Speichern und die Weitergabe von Informationen.

Wer Daten von Personen recherchieren will, braucht dafür eine Rechtsgrundlage. Erlaubt ist es vor allem in folgenden Situationen:

  1. Wenn Sie eine rechtliche Verpflichtung haben, beispielsweise nach dem Geldwäsche- oder Kreditwesengesetz.
  2. Wenn Sie die Einwilligung der betreffenden Person haben.
  3. Wenn Sie ein berechtigtes Interesse haben.

Wann genau Sie ein genügend großes Interesse haben, bleibt allerdings eine Abwägungsentscheidung. Kauft ein Kunde auf Rechnung, haben Sie das Recht, die Bonität zu erfahren. Auch ist die Zuverlässigkeitsprüfung eines Bewerbers für sicherheitsrelevante Bereiche rechtlich okay. „Sie sollten sich immer fragen: Brauche ich diese Daten wirklich, oder ist das ein Nice-to-have?“, sagt Klos.

Welche Daten darf ich erheben?

  • Informationen wie Geburtsdatum, wirtschaftlich Berechtigte oder Wohnsitz sind in Handels- oder Gewerberegister öffentlich zugänglich und für jeden einsehbar. „Da diese Daten für jedermann zugänglich sind, würde ich sie meist als unkritisch einstufen. Man sollte aber aufpassen, dass man wirklich nur die Daten erhebt, die man auch wirklich braucht. Alles andere sollte man direkt ausklammern“, sagt Klos.
  • Daten zu Insolvenzen, Gerichtsurteilen oder zur allgemeinen Zahlungsdisziplin, wie sie beispielsweise Creditreform erhebt, sind deutlich sensibler. „Ob ich diese Daten erheben darf, kommt auch wieder auf den Anlass an“, sagt Klos. Wer etwas über die Bonität eines Kunden wissen möchte, braucht einen Grund dafür, zum Beispiel eine finanzielle Vorleistung.
  • Informationen zu Gesundheit, Gewerkschaftsmitgliedschaft oder sexueller Orientierung sind besonders heikel. „Diese dürfen nur verwendet werden, wenn die Person sie selbst veröffentlicht hat“, erklärt der Rechtsanwalt. Sie sollten daher immer gut dokumentieren, woher Sie solche Informationen haben.

Darf ich in sozialen Netzwerken recherchieren?

Bei der Recherche in sozialen Netzwerken sollten Sie beachten, um welche Plattform es sich handelt. „In beruflichen Netzwerken wie LinkedIn oder Xing stellen die Menschen ihre Daten explizit zur Verfügung, daher darf dort auch eher nach Geschäftspartnern recherchiert werden“, sagt der Experte. Bei anderen Netzwerken sollte geprüft werden, ob die Informationen für jeden öffentlich einsehbar sind. Muss man sich einloggen oder ist eine Freundschaft erforderlich, sollten Sie vorsichtig sein. „Je schwieriger es ist, an die Daten zu kommen, desto mehr Interesse muss ich nachweisen“, sagt Klos.

Darf ich Daten aus Pressedatenbanken erheben?

Auch wenn für Pressedatenbanken ein Log-in erforderlich ist, sind diese Daten nicht so heikel wie die aus sozialen Netzwerken. Solche Datenbanken stellen ihre Informationen aus öffentlich zugänglichen Quellen zusammen. „Daher gehe ich davon aus, dass es eher unkritisch ist, solche Daten zu erheben“, sagt Datenschutzexperte Klos.

Wichtig aber auch hier: Zielgerichtet suchen und nicht alle Daten wild speichern.

Darf ich die Firmenadresse von Kunden überprüfen?

Wenn ich überprüfen will, ob sich hinter einer Firmenadresse auch wirklich das Unternehmen befindet, ist es datenschutzrechtlich kein Problem, dort vorbeizufahren. „Und auch digital mit Google Street View ist das natürlich vollkommen okay“, sagt Rechtsanwalt Klos.

Wie muss ich meine Recherche dokumentieren?

Ein zentraler Bestandteil der DSGVO ist die Dokumentationspflicht. Artikel 5 Absatz 2 fordert, dass Verantwortliche „die Einhaltung des Gesetzes nachweisen können“. Das heißt, dass Sie stets in der Lage sein müssen, die Rechtmäßigkeit zu belegen. Sie sollten daher alle Prozesse, in denen Daten eine Rolle spielen – das Erfassen, Ablegen, Speichern und Löschen – dokumentieren.

Wenn Sie aus den erhobenen Daten Schlüsse ziehen, beispielsweise nicht mit einem Geschäftspartner zusammenarbeiten wollen, ist auch das datenschutzrechtlich relevant. Wichtig ist, dass Sie in diesem Fall Ihre Bewertungslogik transparent machen und alle Quellen nachweisen. „Ein Dritter sollte verstehen, warum Sie einen Geschäftspartner abgelehnt haben“, erklärt der Datenschutzexperte.

Wann muss ich personenbezogene Daten löschen?

Wenn Sie personenbezogene Daten gespeichert haben, müssen Sie diese löschen, sobald sie nicht mehr notwendig sind. Solange es eine aufrechte Geschäftsbeziehung gibt, ist es auch erlaubt, die Daten zu behalten.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer
Jetzt Mitglied werden
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Die neuen Datenschutzregeln treffen jeden, der Daten von anderen einsammelt und speichert. Das betrifft sowohl Mitarbeiterdaten, aber auch die von Kunden oder Geschäftspartnern. Wenn Sie personenbezogene Daten recherchieren und speichern, sollten Sie folgende Regeln beachten: Unter welchen Umständen ist es erlaubt, personenbezogene Daten zu recherchieren? „Grundsätzlich ist jede Verarbeitung personenbezogener Daten erst einmal verboten“, erklärt Datenschutzanwalt Christian Klos aus Köln von der Beratungsfirma Two Towers. Das umfasst das Lesen, Speichern und die Weitergabe von Informationen. Wer Daten von Personen recherchieren will, braucht dafür eine Rechtsgrundlage. Erlaubt ist es vor allem in folgenden Situationen: Wenn Sie eine rechtliche Verpflichtung haben, beispielsweise nach dem Geldwäsche- oder Kreditwesengesetz. Wenn Sie die Einwilligung der betreffenden Person haben. Wenn Sie ein berechtigtes Interesse haben. Wann genau Sie ein genügend großes Interesse haben, bleibt allerdings eine Abwägungsentscheidung. Kauft ein Kunde auf Rechnung, haben Sie das Recht, die Bonität zu erfahren. Auch ist die Zuverlässigkeitsprüfung eines Bewerbers für sicherheitsrelevante Bereiche rechtlich okay. „Sie sollten sich immer fragen: Brauche ich diese Daten wirklich, oder ist das ein Nice-to-have?“, sagt Klos. Welche Daten darf ich erheben? Informationen wie Geburtsdatum, wirtschaftlich Berechtigte oder Wohnsitz sind in Handels- oder Gewerberegister öffentlich zugänglich und für jeden einsehbar. „Da diese Daten für jedermann zugänglich sind, würde ich sie meist als unkritisch einstufen. Man sollte aber aufpassen, dass man wirklich nur die Daten erhebt, die man auch wirklich braucht. Alles andere sollte man direkt ausklammern“, sagt Klos. Daten zu Insolvenzen, Gerichtsurteilen oder zur allgemeinen Zahlungsdisziplin, wie sie beispielsweise Creditreform erhebt, sind deutlich sensibler. „Ob ich diese Daten erheben darf, kommt auch wieder auf den Anlass an“, sagt Klos. Wer etwas über die Bonität eines Kunden wissen möchte, braucht einen Grund dafür, zum Beispiel eine finanzielle Vorleistung. Informationen zu Gesundheit, Gewerkschaftsmitgliedschaft oder sexueller Orientierung sind besonders heikel. „Diese dürfen nur verwendet werden, wenn die Person sie selbst veröffentlicht hat“, erklärt der Rechtsanwalt. Sie sollten daher immer gut dokumentieren, woher Sie solche Informationen haben. Darf ich in sozialen Netzwerken recherchieren? Bei der Recherche in sozialen Netzwerken sollten Sie beachten, um welche Plattform es sich handelt. „In beruflichen Netzwerken wie LinkedIn oder Xing stellen die Menschen ihre Daten explizit zur Verfügung, daher darf dort auch eher nach Geschäftspartnern recherchiert werden“, sagt der Experte. Bei anderen Netzwerken sollte geprüft werden, ob die Informationen für jeden öffentlich einsehbar sind. Muss man sich einloggen oder ist eine Freundschaft erforderlich, sollten Sie vorsichtig sein. „Je schwieriger es ist, an die Daten zu kommen, desto mehr Interesse muss ich nachweisen“, sagt Klos. Darf ich Daten aus Pressedatenbanken erheben? Auch wenn für Pressedatenbanken ein Log-in erforderlich ist, sind diese Daten nicht so heikel wie die aus sozialen Netzwerken. Solche Datenbanken stellen ihre Informationen aus öffentlich zugänglichen Quellen zusammen. „Daher gehe ich davon aus, dass es eher unkritisch ist, solche Daten zu erheben“, sagt Datenschutzexperte Klos. Wichtig aber auch hier: Zielgerichtet suchen und nicht alle Daten wild speichern. Darf ich die Firmenadresse von Kunden überprüfen? Wenn ich überprüfen will, ob sich hinter einer Firmenadresse auch wirklich das Unternehmen befindet, ist es datenschutzrechtlich kein Problem, dort vorbeizufahren. „Und auch digital mit Google Street View ist das natürlich vollkommen okay“, sagt Rechtsanwalt Klos. Wie muss ich meine Recherche dokumentieren? Ein zentraler Bestandteil der DSGVO ist die Dokumentationspflicht. Artikel 5 Absatz 2 fordert, dass Verantwortliche „die Einhaltung des Gesetzes nachweisen können“. Das heißt, dass Sie stets in der Lage sein müssen, die Rechtmäßigkeit zu belegen. Sie sollten daher alle Prozesse, in denen Daten eine Rolle spielen – das Erfassen, Ablegen, Speichern und Löschen – dokumentieren. Wenn Sie aus den erhobenen Daten Schlüsse ziehen, beispielsweise nicht mit einem Geschäftspartner zusammenarbeiten wollen, ist auch das datenschutzrechtlich relevant. Wichtig ist, dass Sie in diesem Fall Ihre Bewertungslogik transparent machen und alle Quellen nachweisen. „Ein Dritter sollte verstehen, warum Sie einen Geschäftspartner abgelehnt haben“, erklärt der Datenschutzexperte. Wann muss ich personenbezogene Daten löschen? Wenn Sie personenbezogene Daten gespeichert haben, müssen Sie diese löschen, sobald sie nicht mehr notwendig sind. Solange es eine aufrechte Geschäftsbeziehung gibt, ist es auch erlaubt, die Daten zu behalten.
Mehr lesen über
Datenschutz Datenschutz-Grundverordnung
Datenschutz Bewerbungen
Datenschutz bei Bewerbungen
Umgang mit Bewerberdaten? Das müssen Unternehmen beachten
Auch bei Bewerbungen greift die DSGVO: Wie Arbeitgeber Bewerberdaten nutzen dürfen, welche Aufbewahrungsfristen gelten und wann sie Lebenslauf und Anschreiben löschen müssen. Ein Überblick.
Beschäftigtendatenschutz
Beschäftigtendatenschutz
Speichern oder Löschen? Diese Regeln gelten für Mitarbeiterdaten
Unternehmen brauchen Daten ihrer Beschäftigten. Doch wer Daten über das Team unerlaubt sammelt, für andere Zwecke nutzt oder gar verliert, muss mit hohen Bußgeldern rechnen. Das sollten Sie wissen.
KI und Recht
KI und Recht
Diese Haftungsrisiken lauern bei der Arbeit mit ChatGPT und anderen KI-Tools
Auch für künstliche Intelligenz gelten echte Gesetze. Diese rechtlichen Fallstricke sollten Sie kennen, wenn Sie die neuen KI-Tools im Firmenalltag nutzen.
Beliebte FAQs und Anleitungen aus den 6 Feldern unternehmerischer Herausforderungen