Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 25

Die bereits erläuterte Personenbeziehbarkeit von Privatkundendaten ist nicht von der Hand zu weisen. Im Privatkundenbereich weisen selbst einzelne nicht personenbezogene Daten (wie etwa Produktdaten, Daten zu Fristen etc.) immer einen Personenbezug auf, da sie im Grunde nie isoliert von der dazugehörigen natürlichen Person gespeichert werden. Nicht nur der Name des Kunden, sondern auch Informationen zur natürlichen Person, wie etwa die Kundennummer, Adresse oder Kontoinformationen können einen Personenbezug herstellen.158 Dies hat zur Folge, dass grundsätzlich der gesamte Datensatz einer Privatkundendatenbank dem Datenschutzregime der DSGVO unterliegt.159 Das Datenschutzrecht wird daher in Bezug auf Privatkundendaten seiner Funktion als Verbraucherschutzrecht in vollem Umfang gerecht.160 Beim Privatkunden handelt es sich regelmäßig zugleich um die betroffene Person i.S.v. Art. 4 Nr. 1 DSGVO.161

Privatkundendaten können nach ihrem Inhalt differenziert werden.162 Unternehmen speichern Daten sowohl aus laufenden als auch aus vergangenen Verträgen mit dem Kunden. Bei bestehenden Vertragsverhältnissen sind personenbezogene Daten des Kunden unabdingbar, um etwaige Forderungen geltend zu machen oder die jeweiligen Verbindlichkeiten erfüllen zu können.163 Solche Daten, die zur Durchführung eines Vertrages erforderlich sind, reichen vom Namen, der Anschrift, E-Mail-Adresse, des Geburtsdatums oder den Zahlungsinformationen164 bis hin zu konkreten Angaben zur Leistung, also etwa eine Bestellübersicht.165 Daneben werden von Unternehmen auch personenbezogene Daten von Kunden gespeichert, mit denen in der Vergangenheit Verträge abgewickelt wurden, aber keine aktuelle Vertragsbeziehung mehr besteht. Das Unternehmen hat ein großes Interesse daran, die personenbezogenen Daten dieser sog. Bestandskunden fortlaufend in ihrem Datenbestand zu verwalten, um sie weiterhin bewerben und bestenfalls erneut zum Vertragsabschluss bewegen zu können.166 Solche personenbezogenen Daten, die Auskunft über die vollständige Kundenhistorie geben, sind deshalb besonders wertvoll für das Unternehmen.

Außerdem verfügt das Unternehmen meist abseits solcher bestehenden Vertragsdaten des Kunden über weitere personenbezogene Daten aus sonstigen Geschäftskontakten und zwar unabhängig davon, ob ein Schuldverhältnis besteht oder nicht. Jenseits der klassischen Vertragsdaten sind die von einem Unternehmen über einen Kunden gespeicherten Daten sehr vielfältig (bspw. Interaktionsdaten zwischen Unternehmen und Kunden, Daten zu persönlichen Einstellungen). Ein Unternehmen ist stets bestrebt, Kundendatensätze in datenschutzrechtlich rechtmäßiger Weise mit weiteren Informationen anzureichern, um den größten Nutzen aus der Kundenbeziehung zu ziehen.167 Häufig werden Auswertungen durchgeführt, die sich auf das Nutzungsverhalten des Kunden beziehen. Die geschilderten CRM-Systeme dienen dabei als Grundlage für die Erstellung von Kundenprofilen.168 Personenbezogene Daten können nämlich nicht nur Tatsachen sein, sondern auch subjektiven Einflüssen unterliegen.169 So sind insbesondere Meinungen, Beurteilungen oder Prognosen über eine natürliche Person von wirtschaftlicher Relevanz für ein Unternehmen, die bspw. Aufschluss über die Zahlungsfähigkeit eines Kunden oder sein zukünftiges Kaufverhalten geben.170 Dieses sog. Profiling, bei dem personenbezogene Daten hinsichtlich bestimmter persönlicher Aspekte der betroffenen Person ausgewertet werden, führen Unternehmen oft zu Marketingzwecken oder zum Zwecke der Verhaltens- und Meinungsbeeinflussung durch.171 Ein Sonderfall stellt das Scoring dar, wodurch die Kreditwürdigkeit des Kunden beurteilt wird.172 Die dadurch erfassten Daten können sich auch auf betroffene Personen beziehen, mit denen erst noch eine Geschäftsbeziehung angebahnt wird. Zum Kundendatenschutz zählen im weitesten Sinne eben auch Daten über potenzielle Neukunden.173

Letztendlich verfügen daher vor allem Unternehmen, die im Verbraucherverkehr tätig sind, über Massen an personenbezogenen Daten über ihre Kunden, die nach den Anforderungen der DSGVO während einer Transaktion zu übertragen sind.