Darf ich die Daten meiner Kunden überhaupt speichern? Was die DSGVO für die Kundenverwaltung erlaubt

Wer anfängt, seine Kunden ordentlich zu verwalten, stößt früher oder später auf die Frage, die ein leichtes Unbehagen auslöst: Darf ich das eigentlich? Name, Telefonnummer, was beim letzten Auftrag war, eine Notiz für den nächsten — das alles sind personenbezogene Daten, und die DSGVO will dafür eine Rechtsgrundlage sehen. Die gute Nachricht vorweg: Den gibt es, und Sie müssen dafür niemanden um Erlaubnis fragen. Man muss nur wissen, welche Rechtsgrundlage für die Speicherung der Daten gilt.

Die DSGVO nennt mehrere mögliche Rechtsgrundlagen. Für eine Kundenverwaltung sind drei davon überhaupt im Rennen — und nur zwei davon taugen in der Praxis.

Solange Sie für jemanden arbeiten, ist die Sache einfach. Wer Sie beauftragt, dessen Daten dürfen Sie speichern, weil Sie sie zur Abwicklung brauchen. Adresse für die Rechnung, Telefonnummer für die Rückfrage, was vereinbart wurde. Dafür müssen Sie nicht fragen, das ergibt sich aus dem Auftrag selbst.

Diese Grundlage ist solide, aber eng. Sie deckt nur den Vertragspartner ab, und nur die Daten, die der Auftrag wirklich erfordert. Den Interessenten, der noch nicht gebucht hat, deckt sie nicht. Den alten Kunden, dessen Auftrag längst abgeschlossen ist, auch nicht mehr. Für ein CRM, in dem Sie Kontakte über den einzelnen Auftrag hinaus pflegen wollen, reicht der Vertrag allein also nicht.

Theoretisch könnten Sie jeden Kontakt um seine Einwilligung bitten. In der Praxis fällt diese Lösung schnell in sich zusammen, und zwar aus mehreren Gründen.

Eine Einwilligung ist jederzeit widerrufbar — ohne Begründung, von heute auf morgen. Ihre Datengrundlage hängt damit am seidenen Faden eines Klicks. Sie müssen die Einwilligung außerdem nachweisen können, also dokumentieren, wer wann zugestimmt hat. Und Sie dürfen Ihre Leistung nicht davon abhängig machen: Einen Kunden, für den Sie ohnehin arbeiten, zu fragen "darf ich Ihre Adresse speichern?", ist nicht nur unnötig — Sie brauchen die Adresse ja, um den Job zu machen —, sondern wirkt schlicht unbeholfen. Stellen Sie sich vor, der Handwerker fragt nach dem fertigen Bad, ob er die Telefonnummer behalten darf. Das nimmt einem niemand ab.

Die Einwilligung hat ihren Platz, aber einen kleinen: dort, wo keine andere Rechtsgrundlage trägt, typischerweise beim Newsletter an Leute, mit denen Sie noch keinen Kontakt hatten. Als Fundament für die Kundenverwaltung ist sie ungeeignet.

Damit bleibt die Rechtsgrundlage, auf der eine Kundenverwaltung tatsächlich steht: Sie dürfen Daten verarbeiten, wenn Sie ein berechtigtes Interesse daran haben und die Interessen der betroffenen Person nicht überwiegen. Kontakte pflegen, um im Geschäft zu bleiben, ist ein anerkanntes berechtigtes Interesse — auch der frühere Kunde, der Interessent, der Ansprechpartner bei einer Firma fällt darunter.

Der Haken, der dieser Grundlage ihren Ruf als "die anstrengende" einbringt: Sie müssen einmal abwägen. Konkret heißt das, Sie halten kurz fest, warum Sie die Daten speichern und warum das für den Betroffenen zumutbar ist. Für eine normale Kundenverwaltung ist diese Abwägung in wenigen Sätzen erledigt — Sie speichern Stammdaten und Gesprächsnotizen, um bestehende und frühere Kunden ordentlich zu betreuen, das ist branchenüblich und niemand wird davon überrascht. Wichtig ist nur, dass Sie diese Überlegung einmal dokumentieren und dass Sie die Leute in Ihrer Datenschutzerklärung darüber informieren. Dann ist lit. f eine völlig tragfähige Rechtsgrundlage.

Eine Rechtsgrundlage ist keine Einbahnstraße. Drei Rechte sollten Sie kennen, weil Sie sie bedienen müssen.

Das Widerspruchsrecht ist die Kehrseite des berechtigten Interesses. Wer nicht möchte, dass Sie seine Daten weiter speichern, kann widersprechen. Tut er das, müssen Sie die Verarbeitung in der Regel beenden — bei reiner Kontaktpflege heißt das schlicht löschen. Bei Werbung gilt der Widerspruch ohnehin sofort und ausnahmslos.

Das Auskunftsrecht gibt jedem die Möglichkeit zu erfahren, was Sie über ihn gespeichert haben. Auf Anfrage müssen Sie das herausgeben, vollständig und verständlich. Ein gutes System gibt Ihnen das auf Knopfdruck als lesbares Dokument aus, statt dass Sie alles von Hand zusammensuchen.

Das Löschrecht — das Recht auf Vergessenwerden — verlangt, dass Sie Daten entfernen, wenn der Grund für die Speicherung wegfällt. Hier kommt die saubere Trennung ins Spiel: Den Kundendatensatz im CRM löschen Sie. Die Rechnung aber, die Sie steuerlich aufbewahren müssen, bleibt in Ihrer Buchhaltung bis zum Ende der Aufbewahrungsfrist liegen — das verlangt das Gesetz, und das Löschrecht hebelt es nicht aus. Zwei Systeme, zwei Schicksale: die Kundenverwaltung ist löschbar, die Belege sind gesperrt verwahrt.

Sie dürfen die Daten Ihrer Kunden speichern, und zwar ohne jeden um Erlaubnis zu fragen. Während des Auftrags trägt der Vertrag, danach Ihr berechtigtes Interesse an einer ordentlichen Kundenpflege. Die Einwilligung sparen Sie sich für den Sonderfall. Das Einzige, was Sie aktiv tun müssen, ist: die Abwägung einmal dokumentieren, in der Datenschutzerklärung transparent sein und Widerspruch, Auskunft und Löschung ermöglichen. Genau dafür ist eine Kundenverwaltung wie onvela gebaut.