Wer seine Kundinnen und Kunden direkt anspricht, braucht deren Einwilligung – und muss personenbezogene Daten auch wieder löschen können. Dabei müssen Unternehmen einiges beachten. Tun sie das nicht, kann das unangenehme Folgen haben.

Direktmailings, Social-Accounts oder gezielte Werbeangebote per E-Mail? Nicht immer ist es einfach, den richtigen Weg und Zeitpunkt für die Kundenansprache zu finden. Und dann ist da noch die Datenschutz-Grundverordnung (DSGVO), die Betriebe beachten müssen. Einmal richtig aufgesetzt, ist das Wichtigste geschafft. „Aber Vorsicht“, warnt Anja da Cunha, Ecovis-Unternehmensberaterin in Rostock: „Unternehmerinnen und Unternehmer dürfen dann nicht nachlassen – insbesondere, wenn es um die Konzeption und Umsetzung von tragfähigen Löschkonzepten geht.“

Für wen die Vorgaben gelten

Relevant ist dieser Punkt für sämtliche Unternehmen – quer durch alle Branchen und über alle Betriebsgrößen hinweg. „Die meisten Betriebe sind bei diesem Thema auch bereits sehr gut aufgestellt“, sagt da Cunha, „schließlich ist die DSGVO nicht mehr neu.“ Die erforderliche Einwilligung inklusive des Double-Opt-in ist in den meisten Unternehmen längst standardmäßig umgesetzt. Ebenso wie die entsprechenden Widerspruchsmöglichkeiten. Klärungsbedarf gibt es allerdings immer wieder dann, wenn es um die Löschung personenbezogener Daten geht, berichtet da Cunha aus der Praxis: „Hier ist häufig nicht klar, wie ein sauberes Löschkonzept auszusehen hat.“

Kein Wunder, denn genaue Vorgaben dazu gibt es nicht – auch, weil die Speicherung der einmal gesammelten Daten höchst unterschiedlich ist. Während große Unternehmen längst mit automatisierten CRM-Systemen arbeiten (CRM: Customer Relationship Management), hantieren gerade kleine Betriebe häufig noch mit von Hand gepflegten Excel-Listen. Ein „richtiges Löschkonzept“ ist folglich immer eines, das auch zum Unternehmen und zur Art der Datenspeicherung passt. „Wichtig ist, dass alle Mitarbeiterinnen und Mitarbeiter, die mit personenbezogenen Daten arbeiten, die definierten Prozesse kennen und sich an diese halten“, erläutert da Cunha.

Wann Unternehmen Daten löschen müssen

Einige Regeln aber stehen fest: Unternehmen müssen die Daten löschen, wenn der ursprüngliche Zweck nicht mehr existiert. „Gibt es also etwa die Einwilligung zu einem Newsletter, der über Sommerangebote informiert, können Betriebe diese Daten nicht einfach nutzen, um später Produktneuheiten anzupreisen“, erläutert Ecovis-Unternehmensberater Andreas Bachmeier in Dingolfing und ergänzt: „Beachten Sie also bereits bei der Konzeption der Einwilligung darauf, dass Sie deren Umfang nicht versehentlich zu sehr einschränken.“ Auch bei Unternehmensnachfolgen oder -verkäufen sollten Unternehmen darauf achten, dass sie Datenbestände des Vor-Eigentümers nicht ohne Weiteres übernehmen können. Darüber hinaus haben Kundinnen und Kunden jederzeit das Recht, die Löschung ihrer Daten ohne Angabe weiterer Gründe zu beantragen. „Und löschen heißt löschen. Unternehmen dürfen die Daten dann in der Regel auch nicht pseudonymisiert für die eigene Statistik oder auf Blacklists weiter vorhalten. Auch Backups müssen sie regelmäßig überschreiben“, stellt da Cunha klar.

Wer Löschungen überprüft

Gibt es konsolidierte Aktionen von Behörden, kann jedes Unternehmen als Teil einer Stichprobe im Rahmen von Datenschutz-Audits überprüft werden. Auch im Falle von Beschwerden wird nachgeprüft, ob sich die betreffenden Unternehmen an die bestehenden Regeln halten. Dann muss ein Löschkonzept vorliegen. „Dabei ist es von Vorteil, wenn der Prozess schriftlich festgehalten ist“, sagt Bachmeier, der selbst als Datenschutzbeauftragter für Unternehmen agiert. Die Prozessbeschreibung sollte nachvollziehbar sein und die folgenden Fragen beantworten:

• Was wird gelöscht?
• Wann wird gelöscht?
• Wer ist dafür verantwortlich?

Verantwortliche im Betrieb benennen

Es kommt ganz auf die Größe und die Datenspeicherungssysteme an, wer im Betrieb die Verantwortung tragen sollte. Das Löschkonzept kann in den Händen der Marketingabteilung ebenso gut aufgehoben sein wie bei der IT-Abteilung oder der Geschäftsführung. „Wer auf Nummer sicher gehen will, gibt das Thema in die Verantwortung von Profis, ernennt also einen Datenschutzbeauftragten“, sagt Bachmeier. Wenn 20 Mitarbeitende im Unternehmen regelmäßig mit personenbezogenen Daten arbeiten, sind Datenschutzbeauftragte ohnehin Pflicht. Wer besonders sensible Daten verarbeitet oder umfangreiche und systematische Datenverarbeitung betreibt, braucht ebenfalls einen Datenschutzbeauftragten.

Auch externe Datenschutzbeauftragte können eine lohnende Investition sein. „Insbesondere mit Blick auf die sich immer wieder ändernde Rechtslage aufgrund von nationalen oder auch EU-weiten Vorgaben sowie den dazu vorgegebenen Fortbildungsmaßnahmen“, sagt Bachmeier.