Wenn Sie als Unternehmen oder andere verantwortliche Stelle personenbezogene Daten von Kunden, Lieferanten oder Geschäftspartnern verarbeiten, müssen Sie die Betroffenen darüber informieren, welche Daten Sie überhaupt erheben und was Sie mit den Daten genau machen wollen. Diese Pflicht ergibt sich aus der Datenschutzgrundverordnung (Art. 13f.). Kommt Ihr Unternehmen dem nicht nach, drohen hohe Bußgelder. Dies zeigt ein aktueller Fall aus Hamburg, bei dem ein Unternehmen über 900.000 € Bußgeld zahlen muss.

Grundsatz der Zweckbindung: Zweckänderung möglich

Sofern Sie die personenbezogenen Daten zu einem anderen Zweck verwenden möchten, als jenem, zu dem Sie die Daten ursprünglich erhoben haben, liegt eine Zweckänderung vor. Diese kann zulässig oder unzulässig sein. Zwar ist es grundsätzlich möglich die Kundendaten später zu einem anderen als dem ursprünglich vereinbarten Zweck zu verarbeiten. Allerdings müssen Sie dies im Vorfeld genau prüfen. Hierfür ist meist Art. 6 Abs. 4 DSGVO der Maßstab. Insbesondere ist zu prüfen, ob der ursprüngliche Zweck mit dem neuen Zweck der Datenverarbeitung kompatibel ist. Dafür sollten Sie im Vorfeld eine umfassende Analyse unter Einbeziehung Ihres Datenschutzbeauftragten durchführen.

Auswertung von Rechnungsdaten und fehlende Info dazu

In einem aktuellen Fall bei dem Datenschutzbeauftragten aus Hamburg hat ein Unternehmen viele Kundeninformationen aus alten Rechnungen dazu benutzt, um über den Abschluss von neuen besonders attraktiven Bonusverträgen zu entscheiden. Zwar lagen diese Rechnungen dem Unternehmen noch legal vor, weil die handelsrechtlichen Aufbewahrungspflichten es dazu verpflichteten. Jedoch hatte das Unternehmen die betroffenen Kunden ursprünglich nicht über die Auswertung der Rechnungen zu diesem Zweck informiert. Genau dies hätte das Unternehmen aber tun müssen. Des Weiteren wäre es dann erforderlich gewesen eine Zweckänderungsprüfung durchzuführen und auch hierüber die Kunden zu informieren. Da dies jedoch nicht geschah, verhängte die zuständige Aufsichtsbehörde ein Bußgeld in Höhe von 900.000 € gegen das Unternehmen.

Suchen Sie einen kompetenten Datenschutzbeauftragten? Schreiben Sie uns unter: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.