Affiliate-Marketing DE 
Affiliate-Marketing UK 
Amazon BE 
Amazon ES 
Amazon FR 
Amazon IT 
Amazon NL 
Amazon PL 
Amazon SE 
Amazon TR 
Amazon US 
eBay AT 
eBay CH 
eBay IE 
Homepage CZ 
Homepage DK 
Homepage PT 
Kaufland SK 
Online-Shop LU 
Online-Shop NO 
Online-Shop SI 
Mit dem Umfang der weltweit generierten und transferierten Daten steigt bei vielen Menschen auch die Sensibilität für ihre personenbezogenen Daten. In der Beratungspraxis der IT-Recht Kanzlei stoßen wir zuletzt häufiger auf den Wunsch von Kunden, dass ihre personenbezogenen Daten nach Abwicklung einer Bestellung gelöscht werden. Grundsätzlich müssen Händler die Wünsche Ihrer Kunden befolgen, doch es gibt unter der Geltung der DSGVO bestimmte Voraussetzungen für die Löschung sowie Ausnahmen, in denen das Gesetz zur Aufbewahrung von Daten zwingt. Die IT-Recht Kanzlei gibt einen Einblick und stellt Ihren Mandanten hilfreiche DSGVO-konforme Mustermitteilungen bereit.
Inhaltsverzeichnis
I. Löschungsanspruch vs. Aufbewahrungspflicht
Die Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.
Tatsächlich gibt es aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit gesetzliche Regelungen, die datenverarbeitende Stellen dazu verpflichten, unter bestimmten Voraussetzungen die bei ihnen gespeicherten personenbezogenen Daten wieder zu löschen. Betroffene haben dann sogar einen Löschungsanspruch. Online-Händler sind davon etwa dann betroffen, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre beim Händler gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.
Aber wann müssen und wann dürfen Händler überhaupt welche Datensätze löschen?
II. Der datenschutzrechtliche Löschungsanspruch nach der DSGVO
Ebenso wie bereits nach bisherigem Recht (§35 BDSG) wird der Betroffene auch unter Geltung der DSGVO mit einem Löschungsanspruch ausgestattet. Allerdings wurden dessen Voraussetzungen reformiert.
Nach Art. 17 DSGVO muss der Verantwortliche dem Anspruch auf Löschung dann Rechnung tragen, wenn
- der Zweck der Datenverarbeitung erreicht wurde und die personenbezogenen Daten insofern nicht mehr erforderlich sind
- der Betroffene seine Einwilligung widerrufen hat und keine anderweitige (gesetzliche) Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b-f DSGVO eingreift
- der Betroffene gegen die Verarbeitung Widerspruch im Sinne des Art. 21 DSGVO eingelegt hat
- die personenbezogenen Daten unrechtmäßig, also nicht von Art. 6 DSGVO gedeckt, erhoben, verarbeitet oder genutzt wurden
- der Betroffene seine Einwilligung als Minderjähriger gemäß Art. 8 DSGVO abgegeben hat und die Löschung verlangt (Achtung: dieses Recht steht dem Betroffenen auch zu, wenn er inzwischen nicht mehr Minderjährig ist, Erwägungsgrund 65)
Zwingend zu beachten ist, dass jenseits des Rechts des Betroffenen, die Löschung zu verlangen, eine eigenständige, originäre Pflicht des Verantwortlichen besteht, die Löschung unverzüglich zu bewirken. Liegt insofern einer der genannten Löschungstatbestände vor, ist der Verantwortliche gemäß Art. 17 Abs. 1 DSGVO auch von sich aus und ohne vorherigen Betroffenenantrag verpflichtet, die entsprechenden Daten unverzüglich, d.h. ohne schuldhaftes Zögern, zu löschen.
Hinweis: diese originäre Löschungspflicht gilt nicht in Fällen, in denen die Einwilligung durch einen (ehemals) Minderjährigen oder dessen gesetzlichen Vertreter erteilt wurde. Hier bleibt die Einwilligung bis zur Ausübung des Löschungsanspruchs auch nach Überschreitung der maßgeblichen Altersgrenze eine hinreichende Rechtfertigung und der Verantwortliche muss nicht bei Vollendung des 16. Lebensjahrs initiativ tätig werden.
Hat der Verantwortliche die zu löschenden Daten an Dritte weitergegeben oder gar öffentlich gemacht, hat er bei Vorliegen eines Löschungsgrundes alle Dritten über die Löschung zu informieren, damit diese ihrerseits Löschungsvorgänge einleiten können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist.
Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen (Art. 17 Abs. 2 i.V.m. Art. 19 DSGVO).
Eine Löschung kann trotz Vorliegen eines oben angeführten Löschungsgrundes rechtmäßig abgelehnt werden, wenn der Verantwortliche ein berechtigtes Interesse an der Weiternutzung der Daten hat (Art. 17 Abs. 3 DSGVO). Dies kann insbesondere dann der Fall sein, wenn die fortdauernde Verarbeitung oder Speicherung zur Erfüllung einer gesetzlichen Aufbewahrungspflicht erforderlich ist und insofern eine gesetzliche Verpflichtung (Art. 17 Abs. 3 lit. b DSGVO) besteht, die Daten nicht zu löschen.
Für Online-Händler dürften vor allem die von ihnen zu beachtenden gesetzlichen Aufbewahrungsfristen nach § 257 des Handelsgesetzbuchs (HGB) und § 147 der Abgabenordnung (AO) von Relevanz sein. Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege zehn Jahre und für Handelsbriefe sechs Jahre.
In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen bereits von Gesetzes wegen innerhalb der maßgeblichen Frist (10 Jahre) nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf diese Daten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben.
Die Löschung anderer oder auch identischer Datensätze, die nicht Inhalt der konkreten Handels- und Geschäftspapiere sind (etwa die im Webshop-System hinterlegten Kundendatensätze und Bestellhistorien), können die Kunden aber unabhängig von der Aufbewahrungsfrist verlangen. Das gesetzliche Löschungshindernis in Form der Aufbewahrungsfristen bezieht sich insofern allein auf die personenbezogenen Daten in den konkreten Dokumenten.
III. Muster-Formulierung für die Beantwortung von Kundenanfragen
Wie geht man nun mit Kunden um, welche die Löschung ihrer Daten wünschen? Die IT-Recht Kanzlei stellt ihren Mandanten folgende drei hilfreiche Muster zum professionellen Umgang mit solchen Kunden zur Verfügung:
- Muster 1: Mitteilung über Stattgabe des Löschungsanspruchs auf Antrag
- Muster 2: Ablehnung des Löschungsantrags mangels Löschungsgrundes
- Muster 3: Ablehnung des Löschungsantrags wegen entgegenstehender gesetzlicher Aufbewahrungspflicht
Die Muster sind hier hinterlegt..
IV. Fazit
Grundsätzlich können Kunden nach der DSGVO die Löschung ihrer beim Händler gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschungsanspruch. Von Gesetzes wegen sind Händler dazu verpflichtet, bestimmte Datensätze sechs bzw. zehn Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein. Händlern sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.
Bei Problemen, Rückfragen sowie weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
© DOC RABE Media - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
weitere News
5 Kommentare
wie seht es denn mit Leuten aus, die sich im Shop registrieren, aber keine Bestellung aufgeben?
Eine rechtliche Notwendigkeit den Account bestehen zu lassen besteht ja nicht, aber die Höflichkeit bzw. der Servicegedanke gebietet es ja wohl, dies eine gewisse Zeit zu tun. Wo ist denn da die Grenze zu ziehen?
Viele Grüße,
Daniela
vielleicht können Sie mir bei der Lösung folgenden hypothetischen Falles helfen: ein Kunde verlang Auskunft über die von ihm gespeicherten Daten, diese erteile ich ihm. Danach verlangt er Löschung. Würde ich die nun durchführen, könnte er danach behaupten, ich hätte das Auskunftsrecht nicht vollständig erfüllt, weil ich irgendwelche Daten hätte haben müssen, diese ihm aber nicht mitgeteilt habe. Ich kann nicht mehr beweisen, dass ich die Daten nicht hatte, denn ich habe alle persönlichen Daten des Kunden ja gelöscht.
Begründet also ein wahrgenommener Auskunftsanspruch ein rechtliches Interesse meinerseits am Beibehalt der Daten für eine bestimmte Zeit? Wenn ja für welche? Oder wäre dies schlicht ein Fall mißbräuchlicher Rechtsausübung? Ich freue mich auf Ihre Gedanken zu dieser Konstellation
Vielen Dank vorab