Jede Support-Anfrage enthält personenbezogene Daten: Namen, E-Mail-Adressen, Bestellnummern, manchmal sogar Zahlungs- oder Gesundheitsinformationen. Damit ist der Kundensupport einer der datenschutzrelevantesten Bereiche in deinem Unternehmen und gleichzeitig einer, der in vielen KMU beim Thema DSGVO übersehen wird.
Die gute Nachricht: DSGVO-konformer Kundensupport ist kein Hexenwerk. Mit den richtigen Prozessen und einer passenden Helpdesk-Lösung lässt sich Datenschutz fast nebenbei erledigen. Diese Checkliste zeigt dir Schritt für Schritt, worauf es ankommt.
Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Fragen zu deinem Unternehmen solltest du eine:n Datenschutzbeauftragte:n oder Fachanwält:in hinzuziehen.
Warum der Kundensupport ein DSGVO-Hotspot ist
Im Support laufen Daten aus allen Kanälen zusammen: E-Mails, Kontaktformulare, Chat-Widgets, Notizen. Oft verteilen sich diese Informationen auf private Postfächer, Excel-Listen und Notizzettel. Ein Albtraum, wenn ein Kunde Auskunft über seine Daten verlangt oder deren Löschung fordert.
Genau hier setzt die DSGVO an. Sie verlangt unter anderem:
Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO): Du brauchst eine Rechtsgrundlage, um Kundendaten zu verarbeiten – im Support meist die Vertragserfüllung oder ein berechtigtes Interesse.
Datenminimierung (Art. 5 DSGVO): Erhebe nur, was du wirklich benötigst.
Betroffenenrechte (Art. 15–21 DSGVO): Auskunft, Berichtigung, Löschung – und zwar fristgerecht.
Sicherheit der Verarbeitung (Art. 32 DSGVO): Technische und organisatorische Maßnahmen zum Schutz der Daten.
Auftragsverarbeitung (Art. 28 DSGVO): Mit jedem Dienstleister, der Kundendaten für dich verarbeitet, brauchst du einen AV-Vertrag.
Klingt nach viel? Lass uns das in eine praktische Checkliste übersetzen.
Die DSGVO-Checkliste für deinen Kundensupport
1. Verschaffe dir einen Überblick über deine Datenflüsse
Welche Kanäle nutzt du im Support (E-Mail, Kontaktformular, Widget, Telefon, Social Media)?
Wo werden eingehende Anfragen gespeichert?
Wer hat Zugriff auf diese Daten?
Werden Daten an Dritte weitergegeben (z. B. Versanddienstleister, Tools)?
Dokumentiere diese Flüsse in deinem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Das ist auch für kleine Unternehmen Pflicht, sobald regelmäßig personenbezogene Daten verarbeitet werden.
2. Wähle ein DSGVO-konformes Helpdesk-System
Das wichtigste Werkzeug für datenschutzkonformen Support ist eine zentrale Helpdesk-Lösung statt verstreuter Postfächer. Achte bei der Auswahl auf:
Serverstandort und Anbieter: Idealerweise eine Lösung „Made in Germany" oder mit Hosting in der EU. Bei US-Anbietern musst du dich mit Drittlandstransfers und deren rechtlichen Unsicherheiten auseinandersetzen.
Auftragsverarbeitungsvertrag (AVV): Der Anbieter muss dir einen DSGVO-konformen AV-Vertrag anbieten.
Rollen- und Rechteverwaltung: Nicht jedes Teammitglied benötigt Zugriff auf alle Kundendaten.
Verschlüsselung: Daten sollten bei der Übertragung (TLS) und idealerweise auch bei der Speicherung verschlüsselt sein.
Lösch- und Exportfunktionen: Kannst du Kundendaten auf Anfrage vollständig löschen oder exportieren?
Eine Helpdesk-Lösung wie HelpSpace wurde in Deutschland entwickelt und arbeitet DSGVO-konform. Damit ist die wichtigste Grundlage bereits gelegt, ohne dass du dich durch komplizierte Drittland-Konstruktionen arbeiten musst.
3. Zentralisiere deine Kundenanfragen
Verstreute Daten sind das größte Datenschutzrisiko. Wenn Anfragen in fünf verschiedenen Postfächern, auf Privatgeräten und in Chatverläufen liegen, kannst du Betroffenenrechte praktisch nicht erfüllen.
Führe alle Kanäle in einem zentralen Ticketeingang zusammen.
Verbiete (oder vermeide) die Bearbeitung von Kundenanfragen über private Accounts.
Verwalte Kontakte und Organisationen an einem Ort, damit du jederzeit weißt, welche Daten zu welchem Kunden gespeichert sind.
Der Nebeneffekt: Was für den Datenschutz gut ist, ist auch für die Servicequalität gut. Keine verlorenen Nachrichten, keine doppelten Antworten, klare Zuständigkeiten.
4. Setze Datenminimierung praktisch um
Frage in Kontaktformularen nur ab, was du wirklich brauchst (Pflichtfelder kritisch prüfen!).
Schule dein Team, keine unnötig sensiblen Daten in Tickets zu notieren.
Lege Aufbewahrungsfristen fest: Wie lange werden abgeschlossene Tickets gespeichert? Wann werden alte Kundendaten gelöscht?
Ein guter Richtwert: Tickets aufbewahren, solange es für Gewährleistung, Buchhaltung oder laufende Kundenbeziehungen nötig ist – danach löschen oder anonymisieren.
5. Bereite dich auf Betroffenenanfragen vor
Kunden haben das Recht zu erfahren, welche Daten du über sie speicherst – und können Berichtigung oder Löschung verlangen. Dafür hast du in der Regel einen Monat Zeit.
Definiere einen internen Prozess: Wer beantwortet Auskunftsanfragen? Wer prüft Löschbegehren?
Stelle sicher, dass du alle Daten eines Kunden schnell findest – mit einer zentralen Kundenverwaltung im Helpdesk ist das eine Sache von Minuten statt Tagen.
Dokumentiere erledigte Anfragen, um die Bearbeitung nachweisen zu können.
6. Sichere deine Kommunikation ab
Nutze verschlüsselte Verbindungen (HTTPS/TLS) für Website, Widget und E-Mail-Versand.
Aktiviere Zwei-Faktor-Authentifizierung für alle Support-Accounts.
Entferne ausgeschiedene Mitarbeitende sofort aus dem System.
Versende sensible Daten (z. B. Verträge, Rechnungen mit Bankdaten) nie ungeschützt.
7. Prüfe deine Integrationen und Drittanbieter
Moderne Support-Tools sind mit Shop-Systemen, Slack, ERP-Software und mehr verbunden. Jede Integration ist ein potenzieller Datenfluss.
Liste alle Tools auf, die mit Kundendaten in Berührung kommen.
Schließe mit jedem Anbieter einen AV-Vertrag ab.
Prüfe, welche Daten tatsächlich übertragen werden – oft lässt sich der Umfang einschränken.
8. Informiere transparent
Ergänze deine Datenschutzerklärung um den Support-Bereich: Welches Ticketsystem nutzt du? Welche Daten werden wie lange gespeichert?
Weise beim Einsatz eines Chat- oder Hilfe-Widgets auf die Datenverarbeitung hin.
Hole Einwilligungen ein, wo nötig (z. B. für Newsletter-Anmeldungen über das Kontaktformular – niemals vorangekreuzt!).
9. Schule dein Team
Die beste Technik nützt nichts, wenn Mitarbeitende Kundendaten per privatem Messenger weiterleiten.
Führe eine kurze, regelmäßige Datenschutzschulung durch.
Lege klare Regeln fest: Welche Daten dürfen wo gespeichert werden? Wie reagiert man auf Auskunftsanfragen?
Benenne eine verantwortliche Person für Datenschutzfragen im Support.
10. Bereite dich auf den Ernstfall vor
Eine Datenpanne (z. B. eine E-Mail an den falschen Empfänger mit sensiblen Daten) musst du unter Umständen innerhalb von 72 Stunden der Aufsichtsbehörde melden.
Definiere, wie Datenpannen intern gemeldet werden.
Halte die Kontaktdaten deiner zuständigen Landesdatenschutzbehörde bereit.
Dokumentiere jeden Vorfall – auch die, die nicht meldepflichtig sind.
Self-Service: Datenschutzfreundlich und effizient zugleich
Ein oft übersehener Vorteil: Jede Anfrage, die gar nicht erst entsteht, erzeugt auch keine personenbezogenen Daten. Eine Wissensdatenbank mit Self-Service-Docs entlastet nicht nur dein Team, sondern reduziert auch die Menge an Daten, die du verarbeiten und schützen musst.
Kunden finden rund um die Uhr selbst Antworten – ohne ein Formular auszufüllen, ohne eine E-Mail zu schreiben. Datenminimierung in ihrer angenehmsten Form.
Fazit: DSGVO-konformer Support ist eine Frage der richtigen Struktur
Die DSGVO wirkt auf den ersten Blick wie ein Bürokratiemonster. In der Praxis läuft sie aber auf Dinge hinaus, die ohnehin guten Kundensupport ausmachen: zentrale Datenhaltung, klare Prozesse, kontrollierte Zugriffe und transparente Kommunikation.
Mit einer Helpdesk-Lösung, die in Deutschland entwickelt wurde und Datenschutz von Anfang an mitdenkt, hast du die technische Grundlage bereits geschaffen. HelpSpace bündelt alle Kundenanfragen in einem zentralen Ticketeingang, bietet eine strukturierte Kundenverwaltung und arbeitet DSGVO-konform. Damit du dich auf das konzentrieren kannst, was zählt: deinen Kunden zu helfen.
Teste HelpSpace jetzt 15 Tage kostenlos. Ohne Zahlungsdaten, ohne automatische Vertragsverlängerung.
Titelfoto von Jakub Żerdzicki auf Unsplash
