Als Unternehmer hast Du immer Interesse daran, an die Daten Deiner Kunden zu gelangen, sei es, um Produkte vorzustellen, Dienstleistungen anzubieten oder bei getaner Auftragsabwicklung eine Rechnung zu stellen.
Bevor Du einen großen Auftrag annimmst, würdest Du gerne Auskunft über die Bonität oder die Kreditwürdigkeit des Kunden haben wollen.
Ohne Zustimmung des Kunden darfst Du aber keine Daten erheben
Welche Daten Du wann rechtmäßig verarbeiten darfst, ist im Art. 6 DSGVO geregelt.
Im Art. 6 Abs.1 f DSGVO wird das berechtigte Interesse geregelt und hier steht:
„die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Hast Du vom Kunden einen Auftrag erhalten und diesen abgeschlossen, darfst Du die Daten auch ohne Zustimmung erheben. Du darfst daher auch ohne Zustimmung der Datenerhebung Aufträge sofort umsetzen, ohne vorab Verträge durchzugehen. Das Ganze wird dann als „vorvertragliche Maßnahme“ bezeichnet und ist in Art. 6 Abs.1 b DSGVO geregelt.
In der Regel sollte dennoch eine gewisse Reihenfolge eingehalten werden. Der Kunde sollte daher so schnell wie möglich davon in Kenntnis gesetzt werden, dass seine Daten gespeichert werden.
Wie sieht es mit einer Kreditauskunft des Kunden aus?
Zum einen möchtest Du Dir hier oftmals keine Einwilligung einholen, da Du dem Kunden nicht unterstellst „er sei nicht kreditwürdig“ und Du willst auch die Kundenbeziehung nicht am Anfang schon strapazieren.
Wie kommst Du aber nun an diese Daten?
Zuerst ist zu prüfen, ob Du diese Daten wirklich zwingend benötigst. Bei Projekten, wo Du mit einer hohen Summe in Vorleistung gehst, würde das auf jeden Fall zutreffen.
Jetzt musst Du plausibel begründen, warum Du diese Daten so zwingend benötigst. Hierzu gibt es zur Art. 6 DSGVO auch Erwägungsgründe und für uns wäre der Erwägungsgrund 47 (https://dsgvo-gesetz.de/erwaegungsgruende/nr-47/) relevant.
In Abs. 2 steht:
„Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.„
Und Abs. 4:
„Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“
Eine Anfrage auf Kreditwürdigkeit wäre somit gegeben und man könnte diese Daten bei einer dritten Person abfragen, da es sich um ein berechtigtes Interesse handelt.
Ist es so einfach, ein „Berechtigtes Interesse“ geltend zu machen?
Natürlich nicht!
Folgender Fall:
Der Kunde gibt etwas in Auftrag und gibt seine Adresse an. Jedoch ist dieser Kunde in eine andere Örtlichkeit umgezogen und Du hast nicht mehr die Möglichkeit, die Rechnung oder sogar die Mahnung zuzustellen.
Hier kannst Du nicht einfach in das Einwohnermeldeamt gehen und sagen „Wo wohnt diese Person jetzt?“. Du hast zwar ein persönliches Interesse an dieser neuen Adresse, aber es liegt noch kein berechtigtes Interesse vor.
Wie kannst Du nun das berechtigte Interesse umsetzen?
Du musst einen Nachweis erbringen, dass Du auch berechtigt bist, diese Daten anzufordern, die Bezeichnung dafür ist „Nachweisführung eines berechtigten Interesses.“
Oftmals ist das nicht möglich und somit musst Du glaubhaft machen, dass Du dennoch ein berechtigtes Interesse an der neuen Adresse hast.
Dies kann durch eine Dokumentation erfolgen:
- Wann hat der Kundenkontakt stattgefunden?
- Wann wurden die Daten erhoben?
- Zweck der Datenerhebung
- Kontoauszug (Anzahlung, Abschlagszahlung)
- Rechnungen (Teilrechnung, Gesamtrechnung, Abschlagszahlung)
- Mahnungen
- Schriftlicher Verkehr (Auch E-Mails zulässig)
- Auftragsbeschreibung
- Geleistete Dienste, Warenbeschaffung etc.
Zudem sollte auch eine detaillierte Schilderung des Sachverhalts vorliegen.
! Hier muss man unterscheiden zwischen „Berechtigtes Interesse“ und „rechtliches Interesse“.
Wenn ich meine Dienstleistung bewerben möchte, liegt dann ein berechtigtes Interesse vor?
Nein – Werbung ist erst einmal grundsätzlich verboten, außer man hat eine Einwilligung.
Es gibt Ausnahmen, die in diesem Beitrag nicht behandelt werden.
Wie kannst Du dann dennoch die Geschäftsbeziehung pflegen?
Du kommst an einer genauen Dokumentation nicht herum. Bei einem Streitfall oder auf Anfrage der Aufsichtsbehörde bist Du sogar verpflichtet, diese vorzulegen.
Diese Dokumentation muss folgende Inhalte vorweisen:
- Zweck der Datenverarbeitung
- Rechtsgrundlagen
- Erforderlichkeit
- Interessenabwägung
Alle weiteren Schritte müssen ebenso dokumentiert werden, um alles nachvollziehen zu können.
Hast Du diese Dokumentation erstellt, musst Du abwägen, ob das Verhältnis zur Rechtsgrundlage überwiegt. Ist dies der Fall, dann kannst Du die Geschäftsbeziehung weiterhin aufrechterhalten.
Hast Du bei einem Kunden einen einmaligen Auftrag abgeschlossen (Malerarbeiten), ist es sicherlich schwieriger, das Interesse zu begründen, als wenn ein fortlaufender Prozess (Wartungsvertrag) vorliegt.
Wie so etwas im Detail aussehen kann, werde ich auch in diesem Beitrag nicht eingehen, da es den Rahmen sprengen würde. Was sich eben sehr einfach gelesen hat, ist etwas komplexer als nur die Dokumentation zu verfassen.
Was ist das „berechtigte Interesse“ bei Websites?
Das Auswerten von Daten, den Kunden angesehene Produkte immer wieder auf anderen Websites anzuzeigen oder die Ermittlung, in welcher Region welche Dienstleistungen am häufigsten gesucht wurden, ist ein Millionengeschäft und das will man sich keiner entgehen lassen.
Jeder Websitebesucher muss daher selbst die Einwilligung geben, ob er einem Tracking zustimmt oder nicht. Da die meisten das aber generell ablehnen oder sogar schon der Browser das verhindert, konnten keine aussagekräftigen Daten mehr ermittelt werden.
Wie schon erwähnt, möchte man sich das Geschäft mit den Daten nicht entgehen lassen und somit ist man auf die Idee gekommen, ein berechtigtes Interesse bei der Zustimmung hinzuzufügen. Manche sind sogar so pfiffig, dass eine endlose Liste von Anbietern angezeigt wird, wo man das berechtigte Interesse einzeln per Hand deaktivieren muss. Weil das auf Dauer nervig wird, stimmen viele Seitenbesucher einfach zu, ohne zu wissen, welche Daten nun gesammelt werden.
Ob das Ganze jedoch rechtens ist?
Der Europäische Gerichtshof sieht das nicht so und hat ein neues Urteil gesprochen, dass nur noch First Party Cookies ohne Einwilligung erlaubt sind.
Darunter zählt:
- Cookie Consent Tool
- Anmelde-Cookies
- Warenkorb-Cookies
- Sprachauswahl
Third Party Tracking Cookies dürfen nicht mehr unbegrenzt ohne Einwilligung zugelassen werden und das betrifft auch das „Berechtigte Interesse.“
Was sollst Du auf Deiner Website in Bezug auf Cookies machen?
Prüfe, ob Google Analytics oder ein anderes Tracking System überhaupt nötig ist. Standortgebundene Geschäfte, die Ihre Waren und Dienstleistungen lokal oder in näherer Umgebung vertreiben, ist ein Tracking überhaupt nicht nötig.
Binde so wenig wie möglich in Deinen Webauftritt ein wie Google Maps, YouTube, Beiträge aus sozialen Medien.
Prüfe den Cookie-Banner, ob keine Vorauswahl getroffen wurde, besonders die Auswahl „Berechtigtes Interesse.“
Mehr zum Thema Cookies kannst Du auf der Seite der Verbraucherzentrale nachlesen:
https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/cookies-kontrollieren-und-verwalten-11996
https://www.vzhh.de/themen/telefon-internet/datenschutz/cookie-hinweise-nerven-sie
