Kundenbewertungen und Datenschutz, Feedback und Bewertungen

Kundenbewertungen und Datenschutz – Was Unternehmen beachten müssen

Die Meinungen unserer Kunden und Geschäftspartner sind enorm wichtig für unser Unternehmen. Gute Kritik wie auch negative Bewertungen lassen uns vorankommen. Über ein positives Feedback freuen wir uns, denn es bestätigt unsere Fachkenntnis. Aber auch ein negativer Kommentar kann positiv wirken – denn genau daraus erfahren wir unsere Schwachpunkte.

Bewertungen bitte anonym – Warum das wichtig ist

Die meisten Kunden suchen im Internet nach Dienstleistungen und Waren. Da jeder ein Unternehmen bewerten kann, erleichtert dies die Auswahl. Kaufentscheidungen sind abhängig von guten Bewertungen. Aber was tun, wenn ein Kunde nicht zufrieden ist und negativ bewertet?

Man sollte bei negativen Bewertungen kontrollieren, ob Mitarbeiter direkt angesprochen werden, zum Beispiel der Name verwendet wird. Geschieht dies im öffentlichen Bereich, sollte diese Bewertung sofort entfernt werden. Denn auch hier gilt: Personenbezogene Daten wie Namen sind zu schützen.

Wird der Name eines Mitarbeiters in einer Bewertung erwähnt, kann dies nachhaltige Folgen haben. Das Internet vergisst nichts. Aus kleinen Ärgernissen können sich langfristig weitreichende Konsequenzen ergeben.

Rechtliche Grundlagen für Kundenbewertungen

DSGVO und Bewertungen

Wenn ein Unternehmen eigenständig Kundenbewertungen auf seiner Website veröffentlicht, wird es zum Verantwortlichen im Sinne der DSGVO:

• Rechtsgrundlage erforderlich: Die Verarbeitung personenbezogener Daten in Bewertungen muss auf einer Rechtsgrundlage basieren – typischerweise dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO
• Informationspflicht: Kunden müssen nach Art. 13 DSGVO informiert werden, wie ihre Bewertungsdaten verarbeitet werden
• Löschanspruch: Betroffene können nach Art. 17 DSGVO die Löschung ihrer Bewertung verlangen

Persönlichkeitsrecht und Meinungsfreiheit

Kundenbewertungen bewegen sich im Spannungsfeld zwischen Meinungsfreiheit (Art. 5 GG) und Persönlichkeitsrecht. Während sachliche Kritik zulässig ist, überschreiten Schmähkritik und unwahre Tatsachenbehauptungen die Grenzen.

Bewertungsplattformen und ihre Pflichten

Google-Bewertungen, Trustpilot, Kununu und Jameda – als Unternehmen können Sie aktiv werden:

• Datenschutzverstoß melden: Wenn eine Bewertung personenbezogene Daten von Mitarbeitern enthält, können Sie die Löschung beantragen
• Fake-Bewertungen melden: Gefälschte Bewertungen können über die Plattform gemeldet werden
• Antwortrecht nutzen: Antworten Sie sachlich – aber veröffentlichen Sie keine Kundendaten
• Rechtswidrige Inhalte: Bei Persönlichkeitsverletzungen steht der Rechtsweg offen

Aktive Bewertungsanfragen – Das ist zu beachten

1. Einwilligung für Kontaktaufnahme: Die Bitte um eine Bewertung per E-Mail kann als Werbung gewertet werden
2. Keine Koppelung: Die Abgabe einer Bewertung darf nicht an einen Vorteil gekoppelt sein
3. Transparenz: Kunden müssen wissen, wo ihre Bewertung veröffentlicht wird
4. Freiwilligkeit: Kein Kunde darf zur Abgabe einer Bewertung gedrängt werden

Arbeitgeberbewertungen auf Kununu und Co.

Nicht nur Kundenbewertungen, auch Arbeitgeberbewertungen werfen datenschutzrechtliche Fragen auf. Problematisch wird es, wenn:

• Einzelne Personen namentlich genannt werden
• Interne Unternehmensinformationen veröffentlicht werden
• Bewerbungsprozesse mit konkreten Details beschrieben werden
• Falsche Tatsachenbehauptungen aufgestellt werden

Umgang mit negativen Bewertungen – Best Practices

• Schnell reagieren: Antworten Sie zeitnah und professionell
• Sachlich bleiben: Vermeiden Sie emotionale Reaktionen
• Keine Kundendaten nennen: Veröffentlichen Sie niemals Vertragsdaten oder Bestellnummern
• Lösungsorientiert handeln: Bieten Sie Kontaktaufnahme über private Kanäle an
• Dokumentieren: Halten Sie problematische Bewertungen fest

Technische Umsetzung datenschutzkonformer Bewertungssysteme

• Pseudonymisierung der Bewertenden (Anzeige als „Verifizierter Kunde“)
• Keine automatische Verknüpfung mit dem Kundenkonto ohne Einwilligung
• Klare Datenschutzerklärung für das Bewertungssystem
• Möglichkeit zur nachträglichen Löschung
• Moderation vor Veröffentlichung, um Datenschutzverstöße zu verhindern

Fazit: Bewertungen ja, aber datenschutzkonform

Bewertungen sind unheimlich wichtig für den Erfolg unseres Unternehmens. Ein professionelles Bewertungsmanagement schützt sowohl die Rechte der Kunden als auch die Persönlichkeitsrechte der Mitarbeiter.

Als externer Datenschutzbeauftragter unterstützen wir Sie bei datenschutzkonformen Bewertungsprozessen. Eine professionelle DSGVO-Beratung hilft, die Balance zwischen Kundenkommunikation und Datenschutz zu finden.

Google-Bewertungen und das Recht auf Löschung

Google-Bewertungen sind für viele Unternehmen der wichtigste Bewertungskanal. Doch was tun, wenn eine Bewertung falsche Tatsachen enthält, personenbezogene Daten von Mitarbeitern nennt oder offensichtlich eine Fake-Bewertung ist? Google bietet die Möglichkeit, Bewertungen zur Überprüfung zu melden. Die Bearbeitungszeit beträgt in der Regel mehrere Wochen.

Wenn Google die Bewertung nicht entfernt, bleibt der Rechtsweg. Seit dem Urteil des BGH vom Oktober 2024 (Az. VI ZR 4/24) hat sich die Rechtslage für Unternehmen verbessert: Google muss Bewertungen schneller prüfen und bei begründeten Beschwerden zeitnah handeln. Für datenschutzrelevante Löschanträge (etwa wenn Mitarbeiternamen genannt werden) können sich Unternehmen direkt an den Google-Datenschutzbeauftragten in Europa wenden.

Bewertungen durch Wettbewerber – Unlauterer Wettbewerb

Ein weiteres Problem sind gefälschte Bewertungen durch Wettbewerber. Negative Fake-Bewertungen können den Geschäftserfolg erheblich schädigen. Gleichzeitig verstoßen auch gekaufte positive Bewertungen gegen das Wettbewerbsrecht und die EU-Omnibus-Richtlinie (2019/2161), die seit 2022 in nationales Recht umgesetzt wurde.

Unternehmen, die gefälschte Bewertungen durch Wettbewerber vermuten, können:

• Die Bewertung bei der Plattform melden mit Begründung
• Einen Anwalt für Wettbewerbsrecht einschalten
• Bei der IHK oder der Wettbewerbszentrale Beschwerde einlegen
• Beweise sichern (Screenshots mit Datum und Uhrzeit)

Bewertungsmanagement als Teil des Datenschutzkonzepts

Ein professionelles Bewertungsmanagement sollte fester Bestandteil des unternehmensweiten Datenschutzkonzepts sein. Definieren Sie klare Zuständigkeiten und Prozesse:

1. Monitoring: Überwachen Sie regelmäßig alle relevanten Bewertungsplattformen
2. Prüfung: Jede negative Bewertung sollte auf datenschutzrechtliche Verstöße geprüft werden
3. Reaktion: Definieren Sie Standardantworten, die datenschutzkonform sind
4. Eskalation: Bei schwerwiegenden Verstößen muss der Datenschutzbeauftragte einbezogen werden
5. Dokumentation: Halten Sie alle Vorfälle und Maßnahmen schriftlich fest

Bewertungen im Gesundheitswesen – Besondere Herausforderungen

Besonders sensibel sind Bewertungen im Gesundheitswesen. Auf Plattformen wie Jameda oder Google bewerten Patienten ihre Ärzte und Therapeuten. Hier können in Bewertungen schnell Gesundheitsdaten offenbart werden – etwa wenn ein Patient seine Behandlung detailliert beschreibt. Ärzte stehen vor dem Dilemma, dass sie aufgrund der ärztlichen Schweigepflicht nicht frei auf solche Bewertungen antworten können.

Der BGH hat 2018 entschieden, dass Jameda als Bewertungsportal eine besondere Verantwortung trägt und bei konkreten Beanstandungen die Identität des Bewertenden prüfen muss. Ärzte können die Löschung einer Bewertung verlangen, wenn diese erkennbar falsche Tatsachenbehauptungen enthält.

Internationale Bewertungen und Datenschutz

Für international tätige Unternehmen stellt sich die Frage, welches Datenschutzrecht bei Bewertungen gilt. Grundsätzlich ist die DSGVO anwendbar, wenn die Bewertung von einer Person im EWR abgegeben wurde oder sich an ein Publikum im EWR richtet. Bewertungen auf US-amerikanischen Plattformen wie Yelp oder TripAdvisor unterliegen zusätzlich den US-amerikanischen Vorschriften.

Unternehmen mit internationaler Präsenz sollten ihr Bewertungsmanagement entsprechend anpassen und die unterschiedlichen rechtlichen Rahmenbedingungen berücksichtigen.

Net Promoter Score (NPS) und Datenschutz

Der Net Promoter Score ist eine weit verbreitete Methode zur Messung der Kundenzufriedenheit. Bei einer NPS-Befragung werden Kunden gefragt, wie wahrscheinlich es ist, dass sie das Unternehmen weiterempfehlen. Auch hierbei werden personenbezogene Daten verarbeitet, insbesondere wenn die Befragung per E-Mail erfolgt und die Antworten mit dem Kundenkonto verknüpft werden.

Die Durchführung einer NPS-Befragung erfordert eine datenschutzrechtliche Grundlage. In der Regel kann sie auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden, sofern die Befragung nicht zu häufig erfolgt und der Kunde eine einfache Abmeldemöglichkeit hat. Bei der Auswertung sollten die Ergebnisse möglichst anonymisiert werden.

Bewertungen und das digitale Vermächtnis

Eine zunehmend relevante Frage ist der Umgang mit Bewertungen verstorbener Personen. Hinterbliebene können unter bestimmten Umständen die Löschung von Bewertungen verlangen, die personenbezogene Daten des Verstorbenen enthalten. Die DSGVO gilt zwar nach Erwägungsgrund 27 nicht für verstorbene Personen, das nationale Recht kann jedoch Regelungen zum postmortalen Datenschutz vorsehen.

Für Unternehmen empfiehlt es sich, in solchen Fällen Sensibilität zu zeigen und Löschungsanfragen von Hinterbliebenen wohlwollend zu prüfen. Ein respektvoller Umgang stärkt das Vertrauen in das Unternehmen und vermeidet negative Publicity.

Die Zukunft der Kundenbewertungen – Trends 2026

Die Bewertungslandschaft entwickelt sich ständig weiter. Aktuelle Trends, die auch datenschutzrechtliche Relevanz haben:

• Video-Bewertungen: Immer mehr Plattformen ermöglichen Video-Rezensionen. Hier ist besonders auf die Persönlichkeitsrechte Dritter zu achten, die möglicherweise im Video zu sehen sind
• KI-generierte Zusammenfassungen: Google und andere Plattformen nutzen KI, um Bewertungen zusammenzufassen. Die Genauigkeit und Fairness dieser Zusammenfassungen wird zunehmend hinterfragt
• Verifizierte Bewertungen: Die EU-Omnibus-Richtlinie fordert die Überprüfung, ob eine Bewertung von einem tatsächlichen Kunden stammt
• Dezentrale Bewertungssysteme: Blockchain-basierte Bewertungsplattformen versprechen mehr Transparenz und Manipulationssicherheit

Unternehmen sollten diese Entwicklungen im Blick behalten und ihr Bewertungsmanagement regelmäßig an neue Anforderungen anpassen. Die Zusammenarbeit mit einem erfahrenen Datenschutzbeauftragten stellt sicher, dass alle Maßnahmen DSGVO-konform umgesetzt werden.

Künstliche Intelligenz und Bewertungsanalyse

Immer mehr Unternehmen setzen KI-Tools ein, um Kundenbewertungen systematisch auszuwerten. Sentiment-Analyse, Themen-Clustering und automatisierte Antwortvorschläge können das Bewertungsmanagement effizienter gestalten. Aus datenschutzrechtlicher Sicht ist dabei zu beachten, dass die KI-gestützte Analyse von Bewertungen eine Verarbeitung personenbezogener Daten darstellt, die im Verarbeitungsverzeichnis dokumentiert werden muss.

Besonders kritisch ist die automatisierte Entscheidungsfindung: Wenn ein KI-System automatisch entscheidet, ob eine Bewertung gelöscht oder beantwortet wird, kann dies unter Art. 22 DSGVO fallen. Betroffene haben dann das Recht auf eine menschliche Überprüfung der Entscheidung. Unternehmen sollten daher sicherstellen, dass automatisierte Bewertungsprozesse immer eine menschliche Kontrollinstanz beinhalten.

Bewertungsportale und das Digital Services Act (DSA)

Der Digital Services Act (DSA) der EU, der seit Februar 2024 vollständig gilt, stellt neue Anforderungen an Online-Plattformen – einschließlich Bewertungsportalen. Plattformen müssen transparenter über ihre Algorithmen informieren, illegale Inhalte schneller entfernen und Nutzern effektive Beschwerdemechanismen bereitstellen. Für Unternehmen bedeutet dies: Die Möglichkeiten, gegen rechtswidrige Bewertungen vorzugehen, haben sich verbessert, da Plattformen schneller reagieren müssen.

Handlungsempfehlungen für Ihr Unternehmen

Implementieren Sie ein systematisches Bewertungsmanagement mit klaren Zuständigkeiten und definierten Prozessen. Schulen Sie Ihre Mitarbeiter im Umgang mit Bewertungen – insbesondere in der datenschutzkonformen Beantwortung negativer Kritik. Überprüfen Sie regelmäßig alle relevanten Bewertungsplattformen und reagieren Sie zeitnah auf neue Bewertungen. Dokumentieren Sie alle Vorfälle, bei denen personenbezogene Daten in Bewertungen veröffentlicht wurden, und leiten Sie entsprechende Maßnahmen ein. Ein professionelles Bewertungsmanagement ist nicht nur gut für Ihren Datenschutz, sondern auch für Ihren Geschäftserfolg.