DSGVO und Adressdaten: Was bei der Verarbeitung zählt
Name, Straße, Postleitzahl, Ort – Adressdaten wirken auf den ersten Blick harmlos. Doch aus Sicht der Datenschutz-Grundverordnung (DSGVO) handelt es sich um personenbezogene Daten, deren Verarbeitung strengen Regeln unterliegt. Wer Kundenadressen speichert, pflegt oder für Mailings nutzt, bewegt sich in einem regulierten Bereich.
Die Konsequenzen bei Verstößen sind real: Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Auch kleinere Unternehmen und Vereine geraten ins Visier der Aufsichtsbehörden, wenn Betroffene sich beschweren. Wer seine Pflichten kennt und umsetzt, schützt nicht nur seine Kunden, sondern auch sich selbst.
Warum Adressdaten personenbezogene Daten sind
Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Postadresse erfüllt dieses Kriterium in den meisten Fällen eindeutig:
Max Müller, Hauptstraße 12, 70173 Stuttgart
→ identifizierte Person (Name + Adresse = eindeutig zuordenbar)
Hauptstraße 12, 70173 Stuttgart (ohne Name)
→ identifizierbar, wenn zusätzliche Informationen vorliegen
(z.B. Mietvertrag, Kundennummer, Bestellhistorie)
Auch Firmenanschriften mit Ansprechpartnern gelten als personenbezogen. Reine Unternehmensadressen ohne natürliche Personen fallen dagegen nicht unter die DSGVO – ein häufiges Missverständnis.
Welche Daten im Adress-Kontext typisch sind
| Datenfeld | Personenbezug | DSGVO-relevant |
|---|---|---|
| Vor- und Nachname | Direkt identifizierend | Ja |
| Straße und Hausnummer | In Kombination identifizierend | Ja |
| Postleitzahl und Ort | In Kombination identifizierend | Ja |
| E-Mail-Adresse | Direkt identifizierend | Ja |
| Telefonnummer | Direkt identifizierend | Ja |
| Geburtsdatum | In Kombination identifizierend | Ja |
| Kundennummer | Pseudonymisiert, aber zuordenbar | Ja |
| Reine Firmenadresse (ohne Person) | Kein Personenbezug | Nein |
Die Kombination macht den Unterschied: Eine PLZ allein ist kein personenbezogenes Datum. Zusammen mit Name und Straße wird sie Teil eines personenbezogenen Datensatzes, der unter die DSGVO fällt.
Rechtsgrundlagen für die Verarbeitung von Adressdaten
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Für Adressdaten kommen in der Praxis vier Varianten in Frage:
Vertragserfüllung (Art. 6 Abs. 1 lit. b)
Wenn Sie einem Kunden eine Bestellung liefern, brauchen Sie seine Adresse. Die Verarbeitung ist für die Vertragserfüllung erforderlich. Das gilt auch für laufende Geschäftsbeziehungen, Rechnungsversand und Vertragskorrespondenz.
Reichweite: Sie dürfen die Adresse für den konkreten Vertragszweck nutzen. Werbemailings an Bestandskunden lassen sich hierauf nicht stützen.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)
Die in der Praxis wichtigste Grundlage für Direktwerbung per Post. Nach Erwägungsgrund 47 der DSGVO kann Direktmarketing ein berechtigtes Interesse darstellen. Voraussetzung: Ihre Interessen überwiegen nicht die Interessen der betroffenen Person.
Abwägungskriterien:
- Bestehende Kundenbeziehung stärkt Ihr Interesse
- Sensibilität der Daten (reine Adresse ist weniger sensibel als Gesundheitsdaten)
- Vernünftige Erwartung der Betroffenen (Kunden rechnen mit Post)
- Widerspruchsmöglichkeit muss bestehen
Einwilligung (Art. 6 Abs. 1 lit. a)
Wenn keine andere Rechtsgrundlage greift, benötigen Sie die ausdrückliche Einwilligung der betroffenen Person. Das betrifft vor allem Adressanmietung, gekaufte Listen und Cold-Mailings an Nicht-Kunden.
Anforderungen an eine wirksame Einwilligung:
- Freiwillig (kein Kopplungsverbot)
- Informiert (Zweck muss klar sein)
- Unmissverständlich (aktive Handlung, kein vorausgefülltes Häkchen)
- Widerrufbar (jederzeit und ohne Begründung)
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)
Steuerrecht und Handelsrecht verpflichten Unternehmen, bestimmte Daten aufzubewahren. Rechnungsadressen müssen nach § 257 HGB und § 147 AO bis zu zehn Jahre gespeichert werden – auch wenn der Kunde eine Löschung verlangt.
Informationspflichten: Was Sie Betroffenen mitteilen müssen
Die DSGVO verlangt umfassende Transparenz. Nach Art. 13 und 14 müssen Sie Betroffene bei der Erhebung ihrer Adressdaten informieren über:
- Verantwortlicher: Wer verarbeitet die Daten? (Name, Kontakt)
- Zweck: Wofür werden die Adressen genutzt? (Versand, Marketing, Vertragsverwaltung)
- Rechtsgrundlage: Auf welcher Basis verarbeiten Sie? (Vertrag, berechtigtes Interesse)
- Speicherdauer: Wie lange bleiben die Daten gespeichert?
- Empfänger: An wen werden Daten weitergegeben? (Druckdienstleister, Lettershops)
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Widerspruch
In der Praxis geschieht das über die Datenschutzerklärung auf der Website und bei Offline-Erhebung (z.B. Bestellformular) durch einen Datenschutzhinweis auf dem Formular.
Betroffenenrechte bei Adressdaten
Jede Person, deren Adresse Sie verarbeiten, hat weitreichende Rechte. Die wichtigsten im Überblick:
Auskunftsrecht (Art. 15)
Auf Anfrage müssen Sie innerhalb eines Monats mitteilen, welche Adressdaten Sie gespeichert haben, woher sie stammen und an wen sie weitergegeben wurden. Das klingt einfach, wird aber komplex, wenn Adressen in mehreren Systemen liegen – CRM, Buchhaltung, Mailing-Listen, Excel-Tabellen.
Recht auf Berichtigung (Art. 16)
Wenn sich jemand meldet und sagt: "Meine Adresse stimmt nicht mehr, ich bin umgezogen" – dann müssen Sie den Datensatz korrigieren. Und zwar in allen Systemen, nicht nur im Hauptsystem.
Recht auf Löschung (Art. 17)
Betroffene können die Löschung ihrer Adressdaten verlangen. Sie müssen dem nachkommen, es sei denn, eine gesetzliche Aufbewahrungspflicht (z.B. Steuerrecht) besteht. In diesem Fall dürfen Sie die Daten sperren, aber nicht für Marketing nutzen.
Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2)
Besonders relevant für Mailings: Widerspricht eine Person der Nutzung ihrer Adresse für Direktwerbung, müssen Sie das sofort umsetzen. Ohne Wenn und Aber. Dieses Recht ist absolut – es gibt keine Abwägung und keine Frist.
Praxis-Beispiel Widerspruchsliste:
Gesperrte Adressen (Widerspruch Direktwerbung):
─────────────────────────────────────────────────
ID | Name | Gesperrt seit | Grund
12847 | Erika Schmidt | 2025-03-15 | Schriftlicher Widerspruch
18293 | Hans Berger | 2025-06-22 | Telefonischer Widerspruch
20145 | Familie Yilmaz | 2025-09-01 | Widerspruch via Datenschutz-Anfrage
Diese Sperrliste muss bei jedem Mailing gegen die Versandliste abgeglichen werden. Wer trotz Widerspruch Post verschickt, riskiert eine Beschwerde bei der Aufsichtsbehörde.
Was Verstöße kosten: Bußgelder in der Praxis
Die theoretischen Höchststrafen von 20 Millionen Euro sind selten. Aber die tatsächlich verhängten Bußgelder zeigen, dass Aufsichtsbehörden durchgreifen – auch bei Adressdaten:
| Fall | Verstoß | Bußgeld |
|---|---|---|
| Deutsche Wohnen SE (2019) | Fehlende Löschung alter Mieterdaten | 14,5 Mio. € |
| 1&1 Telecom (2019) | Unzureichende Authentifizierung bei Auskunft | 9,55 Mio. € |
| Kleinunternehmen (diverse) | Werbemailings ohne Rechtsgrundlage | 5.000–50.000 € |
| Verein (2022) | Mitgliederdaten an Dritte weitergegeben | 2.500 € |
Auch ohne Bußgeld entstehen Kosten: Anwaltskosten für die Verteidigung, Aufwand für die Zusammenarbeit mit der Behörde und Reputationsschäden. Die Landesdatenschutzbehörden veröffentlichen ihre Entscheidungen zunehmend namentlich.
Aufbewahrungsfristen und Löschkonzept
Adressdaten dürfen nicht unbegrenzt gespeichert werden. Die DSGVO verlangt unter Art. 5 Abs. 1 lit. e die Speicherbegrenzung. In der Praxis ergibt sich ein Spannungsfeld zwischen Löschpflicht und gesetzlichen Aufbewahrungsfristen:
| Datenart | Aufbewahrungspflicht | Quelle |
|---|---|---|
| Rechnungsadressen | 10 Jahre | § 257 HGB, § 147 AO |
| Geschäftsbriefe (inkl. Adresse) | 6 Jahre | § 257 HGB |
| Werbewidersprüche | Dauerhaft (Sperrliste) | Art. 21 DSGVO |
| Marketing-Adressen ohne Kundenbeziehung | Keine Pflicht – zeitnah löschen | Art. 5 DSGVO |
| Inaktive Kundenadressen (kein Vertrag) | Empfehlung: 2–3 Jahre | Aufsichtsbehörden |
Ein dokumentiertes Löschkonzept hilft, diese Fristen systematisch umzusetzen. Definieren Sie für jede Datenkategorie, wann gelöscht wird, und prüfen Sie das regelmäßig.
Adressdaten sicher verarbeiten
Neben den rechtlichen Pflichten fordert Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Für Adressdaten bedeutet das konkret:
Zugriffskontrolle: Nur Mitarbeiter, die Adressen für ihre Arbeit benötigen, sollten Zugriff haben. Nicht jeder im Unternehmen braucht die vollständige Kundenliste.
Verschlüsselung: Adresslisten, die per E-Mail oder USB-Stick weitergegeben werden, sollten verschlüsselt sein. Unverschlüsselte Excel-Dateien auf freigegebenen Netzlaufwerken sind ein häufiges Einfallstor.
Lokale Verarbeitung statt Cloud: Wenn Sie Adressdaten bereinigen oder für Mailings aufbereiten, ist eine lokale Verarbeitung auf Ihrem eigenen Rechner der sicherste Weg. Es entfällt die Datenübertragung an Dritte, kein Auftragsverarbeitungsvertrag wird benötigt, und Sie behalten die vollständige Kontrolle. Mehr dazu in unserem Beitrag zur DSGVO-konformen Adressbereinigung.
ListenFix arbeitet nach genau diesem Prinzip: Die Software läuft vollständig offline auf Ihrem Windows-Rechner. Ihre Adressdaten verlassen nie Ihr Gerät. Es gibt keine Cloud-Anbindung, keinen Upload, keine Drittanbieter. Das macht die DSGVO-Compliance für die Adressbereinigung so einfach wie möglich – kein AVV, keine Schrems-II-Problematik, keine Fragen zum Serverstandort.
Zusätzlich erkennt ListenFix durch Fuzzy Matching auch Dubletten, die bei einer reinen Zeichenkettensuche durchrutschen, und fasst Haushalte zusammen. Beides reduziert unnötige Datenhaltung – ein direkter Beitrag zur Datensparsamkeit nach Art. 5 DSGVO.
Praktische Checkliste für DSGVO-konforme Adressverarbeitung
Diese Punkte sollten Sie für jede Adressdatenbank prüfen und dokumentieren:
- Rechtsgrundlage für jeden Verarbeitungszweck festgelegt und dokumentiert
- Datenschutzerklärung enthält Informationen zur Adressverarbeitung
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30) geführt
- Aufbewahrungsfristen definiert und Löschkonzept erstellt
- Sperrliste für Werbewidersprüche eingerichtet und bei jedem Mailing geprüft
- Zugriff auf Adressdaten auf notwendige Mitarbeiter beschränkt
- Auftragsverarbeitungsverträge mit Dienstleistern abgeschlossen (Lettershop, Druckerei)
- Prozess für Betroffenenanfragen (Auskunft, Löschung, Berichtigung) etabliert
- Technische Schutzmaßnahmen umgesetzt (Verschlüsselung, Zugriffsrechte)
- Adressbereinigung bevorzugt lokal statt in der Cloud durchführen
Datenschutz als Qualitätsmerkmal
DSGVO-konforme Adressverarbeitung ist mehr als eine lästige Pflicht. Unternehmen, die ihre Adressdaten sauber führen, profitieren doppelt: Sie vermeiden Bußgelder und Beschwerden, und sie arbeiten gleichzeitig mit besseren Daten. Vertiefende Informationen zum Umgang mit sensiblen Kontaktinformationen finden Sie in unserem Artikel Datenschutz bei Kundendaten. Wer regelmäßig bereinigt, veraltete Einträge löscht und Widersprüche konsequent umsetzt, hat am Ende eine Datenbank, auf die er sich verlassen kann.
Der Aufwand lohnt sich. Saubere, DSGVO-konforme Adressdaten sind die Grundlage für Mailings, die ankommen – beim Empfänger und bei der Aufsichtsbehörde.
Adressen bereinigen — jetzt testen
ListenFix erkennt per Fuzzy Matching deutlich mehr Duplikate als Excel. 100% offline, DSGVO-konform.
Kostenlos testen