Datenschutz Kundendaten — DSGVO-konform speichern & verarbeiten

Ob Onlineshop, Beratungsunternehmen oder Handwerksbetrieb: Jedes Unternehmen, das Kunden hat, verarbeitet Kundendaten. Seit dem 25. Mai 2018 unterliegt diese Verarbeitung den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO). Wer Kundendaten nicht DSGVO-konform speichert und verarbeitet, riskiert empfindliche Bußgelder, Abmahnungen und Reputationsschäden.

In diesem Leitfaden erfahren Sie, welche Kundendaten unter die DSGVO fallen, welche Rechtsgrundlagen gelten, welche Pflichten Sie als Unternehmen haben und wie Sie häufige Fehler vermeiden.

---

1. Welche Kundendaten fallen unter die DSGVO?

Kundendaten sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen nicht nur offensichtliche Angaben wie Name und Adresse, sondern eine Vielzahl von Informationen.

Typische Kundendaten in der Praxis

• Stammdaten: Name, Vorname, Geburtsdatum, Geschlecht
• Kontaktdaten: Postanschrift, E-Mail-Adresse, Telefonnummer
• Vertragsdaten: Kundennummer, Bestellhistorie, Vertragslaufzeiten
• Zahlungsdaten: Bankverbindung, Kreditkartendaten, Zahlungsverhalten
• Kommunikationsdaten: E-Mail-Verläufe, Chat-Protokolle, Support-Tickets
• Verhaltensdaten: Klickverhalten auf der Website, Kaufpräferenzen, Bewertungen
• Technische Daten: IP-Adressen, Geräte-IDs, Browser-Daten
• Besondere Kategorien: Gesundheitsdaten (z. B. bei Apotheken oder Fitnessstudios), Religionszugehörigkeit, politische Meinungen

Auch B2B-Kundendaten sind nicht per se ausgenommen: Sobald es sich um Kontaktdaten natürlicher Personen handelt (z. B. der Name eines Ansprechpartners im Unternehmen), greift die DSGVO. Lediglich juristische Personen (GmbH, AG) sind nicht direkt erfasst, jedoch mittelbar über ihre Mitarbeiter.

Wichtig: Der Begriff „Kundendaten“ umfasst auch Interessentendaten (Leads), die noch gar nicht zu zahlenden Kunden geworden sind. Wer ein Kontaktformular ausfüllt oder einen Newsletter abonniert, ist bereits betroffene Person im Sinne der DSGVO.

---

2. Rechtsgrundlagen für die Verarbeitung von Kundendaten (Art. 6 DSGVO)

Die DSGVO gilt nach dem sogenannten Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor. Für Kundendaten kommen in der Praxis vor allem drei Rechtsgrundlagen in Betracht.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die häufigste Rechtsgrundlage für die Verarbeitung von Kundendaten ist die Vertragserfüllung. Sie greift, wenn die Verarbeitung zur Durchführung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Typische Anwendungsfälle:

• Verarbeitung der Lieferadresse für den Versand einer Bestellung
• Speicherung der Bankverbindung für die Zahlungsabwicklung
• Verarbeitung der E-Mail-Adresse für die Auftragsbestätigung
• Führung von Gewährleistungsunterlagen

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Unternehmen sind gesetzlich verpflichtet, bestimmte Kundendaten aufzubewahren, etwa aus steuerrechtlichen oder handelsrechtlichen Gründen. Rechnungsdaten müssen gemäß § 147 AO zehn Jahre aufbewahrt werden — auch wenn der Kunde eigentlich die Löschung seiner Daten verlangt.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Das berechtigte Interesse des Unternehmens kann als Rechtsgrundlage herangezogen werden, wenn die Interessen des Unternehmens die Interessen der betroffenen Person überwiegen. Dies ist besonders relevant für:

• Direktwerbung gegenüber Bestandskunden (§ 7 Abs. 3 UWG)
• Betrugsprävention und Sicherheitsmaßnahmen
• Analyse des Kundenverhaltens zur Verbesserung von Produkten

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Eine Einwilligung ist erforderlich, wenn keine andere Rechtsgrundlage greift — etwa für Newsletter-Marketing über Neukunden, für die Verwendung von Cookies zur Verhaltensanalyse oder für die Weitergabe von Daten an Dritte zu Werbezwecken. Die Einwilligung muss freiwillig, informiert, unmissverständlich und dokumentiert sein (Stichwort: Double-Opt-In).

---

3. Pflichten bei der Speicherung von Kundendaten

Wer Kundendaten speichert, muss eine Vielzahl von DSGVO-Anforderungen erfüllen. Diese lassen sich in organisatorische und technische Pflichten unterteilen.

Datenschutzerklärung und Informationspflichten (Art. 13/14 DSGVO)

Bei der Erhebung von Kundendaten müssen Betroffene transparent informiert werden über:

• Wer die Daten verarbeitet (Verantwortlicher mit Kontaktdaten)
• Zu welchem Zweck und auf welcher Rechtsgrundlage
• Wie lange die Daten gespeichert werden
• An wen die Daten weitergegeben werden
• Welche Rechte die betroffene Person hat

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Jede Verarbeitung von Kundendaten muss im Verarbeitungsverzeichnis dokumentiert sein. Dieses Dokument ist das Rückgrat jedes betrieblichen Datenschutzmanagementsystems und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Kundendaten müssen durch angemessene technische und organisatorische Maßnahmen (TOM) geschützt werden. Dazu gehören:

• Zugriffskontrolle: Nur autorisierte Mitarbeiter dürfen auf Kundendaten zugreifen
• Verschlüsselung: Daten im Ruhezustand (at rest) und bei der Übertragung (in transit) verschlüsseln
• Datensicherung: Regelmäßige Backups und Wiederherstellungstests
• Pseudonymisierung: Wo möglich, Trennung von Identifizierungsmerkmalen und Nutzungsdaten
• Mitarbeiterschulung: Sensibilisierung für den Umgang mit Kundendaten

Datenschutzbeauftragter

Abhängig von der Größe des Unternehmens und der Art der verarbeiteten Kundendaten kann die Bestellung eines Datenschutzbeauftragten (DSB) verpflichtend sein. Ein externer DSB bietet dabei den Vorteil, dass er unabhängig agiert, laufend auf dem aktuellen Stand der Rechtslage ist und keine betrieblichen Interessenkonflikte aufweist.

---

4. Kundendaten im CRM: DSGVO-Anforderungen

Customer-Relationship-Management-Systeme (CRM) sind das Herzstück der Kundenverwaltung in modernen Unternehmen. Gleichzeitig sind sie aus datenschutzrechtlicher Sicht besonders sensibel, da hier große Mengen an Kundendaten gebündelt und analysiert werden.

Checkliste: DSGVO-konformes CRM

• Datensparsamkeit: Nur die Daten erfassen, die tatsächlich benötigt werden (Art. 5 Abs. 1 lit. c DSGVO — Datenminimierung)
• Zweckbindung: Daten nur für den ursprünglichen Zweck verwenden, für den sie erhoben wurden
• Speicherbegrenzung: Automatische Löschung nach Ablauf definierter Fristen einrichten
• Zugriffsrechte: Rollenbasiertes Berechtigungskonzept — Vertrieb sieht nur Vertriebsdaten, Support nur Support-relevante Informationen
• Audit-Trail: Protokollierung von Datenzugriffen und -änderungen
• Datenschutz durch Technikgestaltung: Privacy by Design und Privacy by Default als Grundprinzipien

Auftragsverarbeitung bei Cloud-CRM

Die meisten modernen CRM-Systeme (Salesforce, HubSpot, Pipedrive, Zoho u. a.) werden als Cloud-Dienst betrieben. Dabei werden Kundendaten auf den Servern des Anbieters gespeichert und verarbeitet. Dies begründet ein Auftragsverarbeitungsverhältnis, für das zwingend ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden muss.

Besondere Vorsicht ist geboten, wenn das CRM von einem US-amerikanischen Anbieter betrieben wird. Hier ist zu prüfen, ob der Anbieter über angemessene Garantien für die Datenübermittlung in Drittländer verfügt (z. B. EU-Standardvertragsklauseln oder Binding Corporate Rules).

Profiling und automatisierte Entscheidungen

Viele CRM-Systeme bieten Scoring-Modelle und automatisierte Kundensegmentierung an. Soweit diese zu rechtlich erheblichen Entscheidungen führen (z. B. Kreditwürdigkeitsprüfung, automatische Ablehnung von Bestellungen), gelten die strengen Anforderungen des Art. 22 DSGVO. Betroffene haben in solchen Fällen das Recht, eine menschliche Überprüfung der Entscheidung zu verlangen.

---

5. Löschfristen für Kundendaten

Die DSGVO verlangt, dass personenbezogene Daten nicht länger gespeichert werden, als es für den jeweiligen Zweck erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO — Speicherbegrenzung). Für Kundendaten existieren dabei konkurrierende Anforderungen: auf der einen Seite das datenschutzrechtliche Löschgebot, auf der anderen Seite gesetzliche Aufbewahrungspflichten.

Gesetzliche Aufbewahrungsfristen

Datenkategorie	Frist	Rechtsgrundlage
Rechnungen, Buchungsbelege	10 Jahre	§ 147 AO, § 257 HGB
Geschäftsbriefe, E-Mails mit Vertragscharakter	6 Jahre	§ 257 HGB
Angebote, Auftragsbestätigungen	6 Jahre	§ 257 HGB
Gewährleistungsunterlagen	2–5 Jahre (je nach Produkt)	§ 438 BGB
Newsletter-Einwilligungen	3 Jahre nach Widerruf	§ 195 BGB (Verjährung)
Bewerbungsunterlagen (Absagen)	6 Monate	§ 15 AGG

Löschkonzept als Pflicht

Unternehmen sind gut beraten, ein strukturiertes Löschkonzept zu implementieren. Dieses definiert für jede Datenkategorie, wann und wie Daten gelöscht werden. Die Sperrung von Daten (d. h. keine aktive Nutzung, aber noch vorgehaltene Aufbewahrung) ist ein zulässiges Mittel, um zwischen datenschutzrechtlichen Löschpflichten und handelsrechtlichen Aufbewahrungspflichten zu vermitteln.

---

6. Kundendaten und Auftragsverarbeitung

Nahezu kein Unternehmen verarbeitet Kundendaten vollständig im Alleingang. Externe Dienstleister werden eingebunden für E-Mail-Marketing, Hosting, Buchhaltungssoftware, Analyse-Tools und vieles mehr. Sobald ein externer Dienstleister Zugriff auf Kundendaten hat und diese nach Weisungen des Unternehmens verarbeitet, liegt Auftragsverarbeitung nach Art. 28 DSGVO vor.

Wann ist ein AVV erforderlich?

• Cloud-Speicher und Hosting-Anbieter (z. B. AWS, Azure, Hetzner)
• E-Mail-Marketing-Plattformen (z. B. Mailchimp, Brevo, Klaviyo)
• CRM-Anbieter (Salesforce, HubSpot, Zoho)
• Steuerberater und Buchhalter (sofern sie Rechnungsdaten verarbeiten)
• Support-Ticket-Systeme (Zendesk, Freshdesk)
• Webanalyse-Tools (Matomo, Google Analytics)

Ein Auftragsverarbeitungsvertrag (AVV) muss schriftlich (oder in elektronischer Form) abgeschlossen werden und die in Art. 28 Abs. 3 DSGVO genannten Mindestinhalte aufweisen, insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien der Daten, Pflichten und Rechte des Verantwortlichen sowie Sicherheitsmaßnahmen.

Verantwortung bleibt beim Unternehmen

Wichtig: Auch wenn ein Auftragsverarbeiter die Daten technisch verarbeitet, bleibt das Unternehmen als Verantwortlicher gegenüber den betroffenen Kunden und gegenüber der Aufsichtsbehörde in der Pflicht. Die Wahl eines zuverlässigen Auftragsverarbeiters und die regelmäßige Kontrolle seiner Maßnahmen sind daher nicht optional, sondern datenschutzrechtlich geboten.

---

7. Betroffenenrechte: Auskunft, Löschung, Widerspruch

Kunden haben weitreichende Rechte bezüglich ihrer bei einem Unternehmen gespeicherten Daten. Die DSGVO sieht folgende Betroffenenrechte vor, auf die Unternehmen innerhalb eines Monats reagieren müssen (Art. 12 Abs. 3 DSGVO):

Auskunftsrecht (Art. 15 DSGVO)

Kunden können jederzeit Auskunft darüber verlangen, welche Daten ein Unternehmen über sie gespeichert hat, zu welchem Zweck, wie lange und an wen sie weitergegeben werden. Unternehmen müssen auf solche Anfragen kostenfrei und vollständig antworten.

Recht auf Berichtigung (Art. 16 DSGVO)

Sind gespeicherte Kundendaten unrichtig oder unvollständig, haben Kunden das Recht auf unverzügliche Korrektur.

Recht auf Löschung (Art. 17 DSGVO)

Das sogenannte „Recht auf Vergessenwerden“ greift, wenn die Daten nicht mehr für den ursprünglichen Zweck benötigt werden, die Einwilligung widerrufen wurde oder der Verarbeitung widersprochen wird und kein überwiegendes berechtigtes Interesse besteht. Gesetzliche Aufbewahrungspflichten können dem Löschrecht jedoch entgegenstehen.

Recht auf Einschränkung (Art. 18 DSGVO)

Kunden können verlangen, dass ihre Daten nur noch gespeichert, aber nicht mehr aktiv verarbeitet werden — etwa während der Prüfung eines Widerspruchs.

Widerspruchsrecht (Art. 21 DSGVO)

Gegen Verarbeitungen auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) — insbesondere gegen Direktwerbung — können Kunden jederzeit Widerspruch einlegen. Unternehmen müssen die Verarbeitung dann einstellen, sofern keine zwingenden schutzwürdigen Gründe vorliegen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Bei automatisierter Verarbeitung auf Basis einer Einwilligung oder eines Vertrags können Kunden verlangen, ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten oder direkt an einen anderen Anbieter übertragen zu lassen.

Praxistipp: Richten Sie einen dedizierten Prozess für die Bearbeitung von Betroffenenanfragen ein — inklusive Identitätsprüfung, Dokumentation und Fristenüberwachung. Die Nichtbeachtung kann zu Beschwerden bei der Aufsichtsbehörde und empfindlichen Bußgeldern führen.

---

8. Häufige Fehler beim Umgang mit Kundendaten

In der Praxis begegnen uns als externe Datenschutzbeauftragte immer wieder dieselben Verstöße beim Umgang mit Kundendaten. Die folgende Übersicht zeigt die häufigsten Fehler und wie Sie diese vermeiden.

Fehler 1: Keine oder unvollständige Datenschutzerklärung

Viele Unternehmen haben eine veraltete oder unvollständige Datenschutzerklärung, die die tatsächliche Datenverarbeitung nicht abbildet. Besonders häufig fehlen Informationen zu eingesetzten Tools, Auftragsverarbeitern und Übermittlungen in Drittländer.

Fehler 2: Kein Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis wird von vielen kleinen und mittleren Unternehmen schlicht ignoriert. Dabei ist es bei einer Prüfung durch die Datenschutzaufsicht das erste Dokument, das vorgelegt werden muss.

Fehler 3: Fehlende AVV mit Auftragsverarbeitern

Besonders bei Cloud-Diensten und SaaS-Lösungen vergessen Unternehmen häufig, einen AVV abzuschließen. Dies ist ein erheblicher Datenschutzverstoß, der von Aufsichtsbehörden regelmäßig geahndet wird.

Fehler 4: Keine definierten Löschfristen

Kundendaten werden schlicht „auf Vorrat“ gespeichert, ohne dass jemals überprüft wird, ob die Speicherung noch erforderlich ist. Ein strukturiertes Löschkonzept fehlt vollständig.

Fehler 5: Unsichere Übertragung und Speicherung

Kundendaten werden per unverschlüsselter E-Mail versandt, in ungesicherten Excel-Tabellen gespeichert oder auf nicht gesicherten Endgeräten vorgehalten. Dies verstößt gegen die Anforderungen des Art. 32 DSGVO.

Fehler 6: Newsletter ohne gültige Einwilligung

Das Versenden von Werbe-E-Mails ohne nachweisbare Einwilligung (Double-Opt-In) ist sowohl datenschutzrechtlich (DSGVO) als auch wettbewerbsrechtlich (UWG) ein erhebliches Risiko.

Fehler 7: Keine Prozesse für Betroffenenanfragen

Wenn Kunden eine Auskunfts- oder Löschanfrage stellen, wissen Mitarbeiter oft nicht, wie sie damit umzugehen haben. Die gesetzliche Monatsfrist wird verpasst, was zu Beschwerden bei der Aufsichtsbehörde führen kann.

---

9. Häufig gestellte Fragen zu Datenschutz und Kundendaten

Dürfen Kundendaten für Werbung genutzt werden?

Ja, unter bestimmten Voraussetzungen. Gegenüber Bestandskunden ist E-Mail-Werbung für ähnliche Produkte oder Dienstleistungen nach § 7 Abs. 3 UWG auch ohne ausdrückliche Einwilligung zulässig, sofern der Kunde bei der Erhebung seiner Daten auf die Werbenutzung hingewiesen wurde und nicht widersprochen hat. Bei Neukunden und bei anderen Werbeformen (z. B. Telefonwerbung) ist eine ausdrückliche Einwilligung erforderlich.

Wie lange dürfen Kundendaten gespeichert werden?

Es gibt keine einheitliche Frist. Die Speicherdauer richtet sich nach dem Zweck der Verarbeitung und den gesetzlichen Aufbewahrungspflichten. Steuerrechtlich relevante Dokumente müssen zehn Jahre aufbewahrt werden (§ 147 AO), während reine Kontaktdaten ohne Vertragsgrundlage nach Wegfall des Zwecks unverzüglich gelöscht werden müssen. Empfehlenswert ist ein Löschkonzept, das alle Datenkategorien abdeckt.

Müssen auch B2B-Kundendaten nach DSGVO geschützt werden?

Ja, soweit es sich um Daten natürlicher Personen handelt. Kontaktdaten von Ansprechpartnern in Unternehmen (z. B. Name, E-Mail, Telefon des Einkäufers) sind personenbezogene Daten und unterliegen vollumfänglich der DSGVO. Lediglich Daten, die sich ausschließlich auf juristische Personen beziehen (z. B. Firmenname, Handelsregisternummer), fallen nicht unter die DSGVO.

Was passiert, wenn ein Kunde Auskunft über seine gespeicherten Daten verlangt?

Sie müssen innerhalb eines Monats kostenlos Auskunft erteilen. Die Auskunft umfasst alle gespeicherten Daten, den Verarbeitungszweck, die Speicherdauer, Empfänger der Daten und die Rechte des Betroffenen. Bei komplexen Anfragen kann die Frist um weitere zwei Monate verlängert werden, worüber der Betroffene aber vorab informiert werden muss.

Brauche ich für jeden CRM-Anbieter einen Auftragsverarbeitungsvertrag?

Ja, wenn der Anbieter als Auftragsverarbeiter tätig wird — also Kundendaten nach Ihren Weisungen verarbeitet. Die meisten seriösen CRM-Anbieter stellen einen AVV auf Anfrage oder als Download bereit. Ohne AVV ist die Nutzung des Dienstes datenschutzrechtlich unzulässig. Prüfen Sie auch, ob Datenübermittlungen in Drittländer (z. B. USA) durch geeignete Schutzmaßnahmen abgesichert sind.

---

Kundendaten DSGVO-konform schützen — mit professioneller Unterstützung

Der datenschutzkonforme Umgang mit Kundendaten ist eine anspruchsvolle, aber lösbare Aufgabe. Als erfahrene externe Datenschutzbeauftragte in Dresden und sachsenweit unterstützen wir Unternehmen bei allen Fragen rund um den Datenschutz von Kundendaten:

• Aufbau und Pflege des Verarbeitungsverzeichnisses
• Erstellung und Prüfung von Auftragsverarbeitungsverträgen
• Entwicklung eines strukturierten Löschkonzepts
• Implementierung geeigneter technischer und organisatorischer Maßnahmen
• Begleitung bei Betroffenenanfragen und Behördenanfragen
• Schulung Ihrer Mitarbeiter im Umgang mit Kundendaten

Vereinbaren Sie jetzt ein kostenloses Erstgespräch — wir analysieren Ihre aktuelle Situation und zeigen Ihnen konkrete Maßnahmen für einen DSGVO-konformen Umgang mit Kundendaten.

Jetzt kostenloses Erstgespräch vereinbaren

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]