asyoube logo asyoube

Umgang mit Kundendaten im E-Commerce

3 min 2 Abschnitte
Was du nach diesem Konzept kannst 4

  1. Du bist in der Lage, eine Auskunftsanfrage nach Art. 15 DSGVO im Kundenservice umzusetzen ,

    indem in einem Rollenspiel die Schritte Identitätsprüfung (Abgleich von Name, Kundennummer und hinterlegter E-Mail-Adresse), vollständige Zusammenstellung aller gespeicherten Datenkategorien (Bestellhistorie, Adressdaten, Kommunikationsdaten), Wahrung der 1-Monats-Frist und Antwort in verständlichem Format vollständig und in richtiger Reihenfolge umgesetzt werden.

  2. Du bist in der Lage, den Umgang mit einem Löschanspruch nach Art. 17 DSGVO unter Berücksichtigung gesetzlicher Aufbewahrungspflichten zu lösen ,

    indem in einem Fallbeispiel zwischen sofort löschbaren und aufbewahrungspflichtigen Daten korrekt unterschieden und das Vorgehen schriftlich dokumentiert wird.

  3. Du bist in der Lage, Datenschutzrisiken bei der telefonischen Aufnahme sensibler Kundendaten (z. B. Kreditkartennummern) zu analysieren ,

    indem mindestens drei konkrete Risiken identifiziert und jeweils eine technisch-organisatorische Schutzmaßnahme nach Art. 32 DSGVO zugeordnet wird.

  4. Du bist in der Lage, die DSGVO-Konformität eines bestehenden Kundenservice-Prozesses zu beurteilen ,

    indem ein vorgegebener Bearbeitungsablauf anhand der DSGVO-Grundsätze (Rechtmäßigkeit, Zweckbindung, Datenminimierung) bewertet und mindestens zwei Verbesserungsvorschläge formuliert werden.

Was darfst du löschen, was musst du behalten?

4.000 Euro Bußgeld wegen einer Löschung

4.000 Euro Bußgeld. So viel zahlte ein Online-Händler, weil er auf Kundenwunsch sämtliche Daten löschte. Auch die Rechnungen, die das Finanzamt noch brauchte.

Hanna sitzt Dienstagvormittag um 11:30 Uhr in der Datenschutz-Schulung ihres Ausbildungsbetriebs. Die Trainerin spielt genau diesen Fall durch: Eine Kundin ruft an und sagt: "Ich will, dass Sie sofort alle meine Daten löschen. Komplett. Heute noch." Im System stehen eine offene Retoure, eine unbezahlte Rechnung und drei abgeschlossene Bestellungen.

Was passiert, wenn eine Kundin mehr verlangt als sichere Passwörter und Verschlüsselung - nämlich die komplette Löschung? Hier greift der Löschanspruch nach Art. 17 DSGVO. Aber nicht alles, was die Kundin löschen will, darfst du auch löschen.

Löschbar oder aufbewahrungspflichtig?

Bevor du irgendetwas löschst, prüfst du die Identität der anrufenden Person: Name, Kundennummer, hinterlegte E-Mail abgleichen. Danach teilst du die Daten in zwei Kategorien:

Du kannst sofort löschen: Wunschliste, Suchverlauf, Marketing-Einwilligungen, Newsletter-Abo. Für diese Daten gibt es keinen gesetzlichen Aufbewahrungsgrund.

Behalten musst du: Rechnungen und andere Buchungsbelege bleiben 8 Jahre archiviert (§ 257 Abs. 4 HGB i.d.F. BEG IV, gilt seit 01.01.2025; § 147 Abs. 3 AO), Geschäftsbriefe 6 Jahre. Offene Forderungen und laufende Retouren bleiben, bis der Vorgang abgeschlossen ist.

Deine Antwort an die Kundin enthält drei Punkte: was du gelöscht hast, was gespeichert bleibt und warum, und wann die Restdaten endgültig gelöscht werden.

⚖️ Vergleich im Kopf: Was unterscheidet den Löschanspruch (Art. 17) vom Auskunftsanspruch (Art. 15) - und was bedeutet das für dein Vorgehen im Kundenservice?

Wie bearbeitest du Auskunftsanfragen und schützt sensible Daten?

Auskunft nach Art. 15 in vier Schritten

Dieselbe Kundin hätte statt der Löschung auch fragen können: "Welche Daten haben Sie über mich?" Dann greift Art. 15 DSGVO. Dein Vorgehen in vier Schritten:

  1. Identität prüfen: Name, Kundennummer und hinterlegte E-Mail abgleichen.
  2. Alle gespeicherten Datenkategorien zusammenstellen: Bestellhistorie, Adressdaten, Zahlungsinformationen, Kommunikationsverlauf.
  3. Die 1-Monats-Frist ab Eingang der Anfrage einhalten.
  4. Antwort in verständlicher Sprache formulieren. Klare Auflistung, keine Rechtstexte.

Was wäre, wenn die Kundin ihre Kreditkartennummer durchgibt?

Was wäre passiert, wenn Hannas Kundin am Telefon ihre Kreditkartennummer durchgegeben hätte? Drei Risiken und drei Schutzmaßnahmen nach Art. 32 DSGVO:

  1. Kolleg:innen im Großraumbüro hören die Nummer mit. Dagegen hilft ein Headset und ein abgeschirmter Bereich für Telefonate mit sensiblen Daten.
  2. Die Nummer landet auf einem Zettel, der offen auf dem Schreibtisch liegt. Besser: Daten direkt ins verschlüsselte System eingeben, keine Papiernotizen.
  3. Der Bildschirm zeigt Kundendaten, während jemand vorbeigeht. Abhilfe: Sichtschutzfolie und automatische Bildschirmsperre nach 60 Sekunden.
🧑‍🏫 Erkläre es im Kopf: Stell dir vor, du erklärst einer neuen Auszubildenden, warum dieser Ablauf nicht DSGVO-konform ist: Eine Kundin nennt nur ihren Namen, deine Kollegin liest alle Bestelldaten vor und schickt eine Kopie per unverschlüsselter E-Mail. Prüfe anhand der drei Grundsätze Rechtmäßigkeit, Zweckbindung und Datenminimierung - welche zwei sind verletzt?

Teste dein Wissen

Eine Kundin fordert die sofortige Löschung aller Daten. Im System sind eine offene Retoure und eine unbezahlte Rechnung. Wie reagierst du korrekt?

Verfasst von , Lerninhalte & Content

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen

DSGVO-konform. Deine Daten auf deutschen Servern.