Menke Handbuch Kundendatenschutz
Das Handbuch Kundendatenschutz ist eine vollumfängliche Erläuterung aller Fragen, mit denen Datenschützer bei der Verarbeitung von Endkunden-, Interessenten- und Ansprechpartnerdaten zu tun haben. Er hilft insbesondere Onlineshops, Auskunfteien, den Nutzern von Online-Marketing-Tools, bei Newsletterformularen und Gestaltung von Websites.
Der Umgang mit Kunden- und Interessentendaten ist eines der wichtigsten Themen im Datenschutz. Die Verarbeitung der Kundendaten ist für Unternehmen der Wettbewerbsfaktor. Ohne diese Daten würde der Umsatz eines Unternehmen zum Erliegen kommen. Das Datenschutzrecht zwingt die Unternehmen dennoch, Einschränkungen hinzunehmen. Hinzu kommt der Umstand, dass gerade Endverbraucher meinen, dass die Verwendung ihrer Daten ihre Einwilligung erforderlich macht. Der Datenschutzbeauftragte und der Datenschutzberater sollte in diesem Bereich gewappnet sein, um den kundendatenverbeitenden Stellen im Unternehmen schnell Auskunft geben zu können. Hier ist das umfassende Praxiswerk des erfahrenen Rechtsanwalts und Bereichsleiters Gewerblicher Rechtsschutz und Datenschutz Dr. Simon Menke der Otto Group Holding der zurzeit einzige aktuelle Leitfaden für den Praktiker.
Das Werk geht komplett systematisch vor, so dass man sich als Datenschützer schnell zurecht findet. Nicht selten führt systematisches Vorgehen dazu, dass sich der Praktiker erst vertieft einlesen muss, um Handlungsanweisungen zu verstehen. Hier hilft das Werk durch schnell zu findende Beispiele, mit denen der Leser sofort einordnen kann, ob er die richtige Fragestellung mit Antwort „erwischt“ hat. Wenn beispielsweise das Gebot der Pseudonymisierung umzusetzen ist, muss man wissen, wie man pseudonymisiert. Hier zeigt der Autor auf, dass es Hashes, salted Hashes und die Auslagerung des Hashings gibt, wie sie funktionieren und wo sie angewendet werden.
Für den Datenschützer geht das Werk alle typischen und teils weniger bekannten, doch hoch relevanten Datenschutzfragen durch. Erfasst sind unter anderem Fragen nach dem Personenbezug, der richtigen Anonymisierung bei Kundendaten, der Auftragsverarbeitung durch Direktmarketingdienstleister, der Gemeinsamen Verantwortlichkeit, Erlaubnis aus Einwilligung, Erlaubnis aus Vertrag, Erlaubnis aus Interessenabwägung, Informationspflichten, Datenpannnen, Drittlandtransfer unter Berücksichtigung zusätzlicher Maßnahmen nach „Schrems II“, Online-Tracking, Cookie-Walls, Lettershopverfahren, E-Mail-Werbung, Bonitätsprüfung, Scoring, Inkasso, Übertragung von Kundendaten bei Unternehmensverkäufen.
Auch die Abgrenzung der von den Fachleuten zunehmend gesehenen Gemeinsamen Verantwortlichkeit wird so ausführlich dargestellt, dass der Praktiker handlungsfähig wird. So ordnet er beispielsweise die Selektion von Kundendaten zur Bewerbung zugunsten eines anderen Unternehmens als alleinige Verantwortlichkeit ein. Am dem verständlichen Beispiel der Erhebung der Telefonnummer durch Onlineshops wird erläutert, wann der Grundsatz der Datenminimierung die Erhebung der Telefonnummer zulässt. Die die seit März 2022 umstrittene Frage, ob zwingend bei einem Onlineshop ein Gastzugang zur Verfügung gestellt werden muss, beantwortet der Autor. Er stellt hierfür eine Checkliste bereit, die zeigt, wann – trotz des Beschlusses der Datenschutzkonferenz „Datenschutzkonformer Online-Handel mittels Gastzugang“ – das Angebot eines Gastzugangs entbehrlich ist. Besondere Klarheit schafft der Autor auch, wenn er zwischen der Kundendatenverarbeitung für Bonitätsprüfungen (einwilligungsabhängig bei aktiver Zahlartensteuerung) und für Betrugspräventionszwecke (durch Interessenabwägung zu rechtfertigen) unterscheidet. Spannend ist auch die Stellungnahme zur Zulässigkeit der Nutzung des Browser-Fingerprints zur Betrugsprävention bei Kunden, die unter verschiedenen Namen bestellen und bei denen die Bezahlbereitschaft fehlt.
Unzählige weitere Fragen werden beantwortet wie u.a. Widerruflichkeit der „bezahlten“ Einwilligung, Notwendigkeit gesonderter Einwilligungen bei mehreren Kommunikationskanälen, Werbeausschlussdatei bei „uninteressanten“ Kunden, bloße Nennung der Kategorien Auftragsverarbeiter statt Auflistung alles Auftragsverarbeiter, Auskunft über pseudonyme Daten. Es ist zu beachten, dass aufgrund der Struktur der DSGVO Fragen an verschiedenen Stellen beantwortet werden. So ist die Pseudonymisierung einmal eine Frage der Anwendbarkeit und wird unter Anwendungsbereich der DSGVO ausgeführt. Zum anderen finden sich auch Anmerkungen unter dem Abschnitt TOMs, da Pseudonymisierung auch eine Maßnahme der Datensicherheit ist.
Fazit: Wer nicht nur mit einfachen Standardfragen des Datenschutzes beschäftigt ist, für den ist das Buch ein Muss. Mit seiner vertieften rechtlichen Bewertung von unzähligen Fragestellungen wird es wegweisend sein, auch bei der Darstellung von Positionen eines Unternehmens gegenüber der Aufsichtsbehörde.
Menke, Simon: Handbuch Kundendatenschutz, 2022, 352 S., ISBN 978-3-503-20938-5.