Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von RA Phil Salewski

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen

News vom 07.05.2018, 13:45 Uhr | 4 Kommentare 

Mit dem Umfang der weltweit generierten und transferierten Daten steigt bei vielen Menschen auch die Sensibilität für ihre personenbezogenen Daten. In der Beratungspraxis der IT-Recht Kanzlei stoßen wir zuletzt häufiger auf den Wunsch von Kunden, dass ihre personenbezogenen Daten nach Abwicklung einer Bestellung gelöscht werden. Grundsätzlich müssen Händler die Wünsche Ihrer Kunden befolgen, doch es gibt unter der Geltung der DSGVO bestimmte Voraussetzungen für die Löschung sowie Ausnahmen, in denen das Gesetz zur Aufbewahrung von Daten zwingt. Die IT-Recht Kanzlei gibt einen Einblick und stellt Ihren Mandanten hilfreiche DSGVO-konforme Mustermitteilungen bereit.

I. Löschungsanspruch vs. Aufbewahrungspflicht

Die Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.

Tatsächlich gibt es aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit gesetzliche Regelungen, die datenverarbeitende Stellen dazu verpflichten, unter bestimmten Voraussetzungen die bei ihnen gespeicherten personenbezogenen Daten wieder zu löschen. Betroffene haben dann sogar einen Löschungsanspruch. Online-Händler sind davon etwa dann betroffen, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre beim Händler gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.

Aber wann müssen und wann dürfen Händler überhaupt welche Datensätze löschen?

Banner Premium Paket

II. Der datenschutzrechtliche Löschungsanspruch nach der DSGVO

Ebenso wie bereits nach bisherigem Recht (§35 BDSG) wird der Betroffene auch unter Geltung der DSGVO mit einem Löschungsanspruch ausgestattet. Allerdings wurden dessen Voraussetzungen reformiert.

Nach Art. 17 DSGVO muss der Verantwortliche dem Anspruch auf Löschung dann Rechnung tragen, wenn

  • der Zweck der Datenverarbeitung erreicht wurde und die personenbezogenen Daten insofern nicht mehr erforderlich sind
  • der Betroffene seine Einwilligung widerrufen hat und keine anderweitige (gesetzliche) Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b-f DSGVO eingreift
  • der Betroffene gegen die Verarbeitung Widerspruch im Sinne des Art. 21 DSGVO eingelegt hat
  • die personenbezogenen Daten unrechtmäßig, also nicht von Art. 6 DSGVO gedeckt, erhoben, verarbeitet oder genutzt wurden
  • der Betroffene seine Einwilligung als Minderjähriger gemäß Art. 8 DSGVO abgegeben hat und die Löschung verlangt (Achtung: dieses Recht steht dem Betroffenen auch zu, wenn er inzwischen nicht mehr Minderjährig ist, Erwägungsgrund 65)

Zwingend zu beachten ist, dass jenseits des Rechts des Betroffenen, die Löschung zu verlangen, eine eigenständige, originäre Pflicht des Verantwortlichen besteht, die Löschung unverzüglich zu bewirken. Liegt insofern einer der genannten Löschungstatbestände vor, ist der Verantwortliche gemäß Art. 17 Abs. 1 DSGVO auch von sich aus und ohne vorherigen Betroffenenantrag verpflichtet, die entsprechenden Daten unverzüglich, d.h. ohne schuldhaftes Zögern, zu löschen.

Hinweis: diese originäre Löschungspflicht gilt nicht in Fällen, in denen die Einwilligung durch einen (ehemals) Minderjährigen oder dessen gesetzlichen Vertreter erteilt wurde. Hier bleibt die Einwilligung bis zur Ausübung des Löschungsanspruchs auch nach Überschreitung der maßgeblichen Altersgrenze eine hinreichende Rechtfertigung und der Verantwortliche muss nicht bei Vollendung des 16. Lebensjahrs initiativ tätig werden.

Hat der Verantwortliche die zu löschenden Daten an Dritte weitergegeben oder gar öffentlich gemacht, hat er bei Vorliegen eines Löschungsgrundes alle Dritten über die Löschung zu informieren, damit diese ihrerseits Löschungsvorgänge einleiten können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist.

Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen (Art. 17 Abs. 2 i.V.m. Art. 19 DSGVO).

Eine Löschung kann trotz Vorliegen eines oben angeführten Löschungsgrundes rechtmäßig abgelehnt werden, wenn der Verantwortliche ein berechtigtes Interesse an der Weiternutzung der Daten hat (Art. 17 Abs. 3 DSGVO). Dies kann insbesondere dann der Fall sein, wenn die fortdauernde Verarbeitung oder Speicherung zur Erfüllung einer gesetzlichen Aufbewahrungspflicht erforderlich ist und insofern eine gesetzliche Verpflichtung (Art. 17 Abs. 3 lit. b DSGVO) besteht, die Daten nicht zu löschen.

Für Online-Händler dürften vor allem die von ihnen zu beachtenden gesetzlichen Aufbewahrungsfristen nach § 257 des Handelsgesetzbuchs (HGB) und § 147 der Abgabenordnung (AO) von Relevanz sein. Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege zehn Jahre und für Handelsbriefe sechs Jahre.

In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen bereits von Gesetzes wegen innerhalb der maßgeblichen Frist (10 Jahre) nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf diese Daten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben.

Die Löschung anderer oder auch identischer Datensätze, die nicht Inhalt der konkreten Handels- und Geschäftspapiere sind (etwa die im Webshop-System hinterlegten Kundendatensätze und Bestellhistorien), können die Kunden aber unabhängig von der Aufbewahrungsfrist verlangen. Das gesetzliche Löschungshindernis in Form der Aufbewahrungsfristen bezieht sich insofern allein auf die personenbezogenen Daten in den konkreten Dokumenten.

III. Muster-Formulierung für die Beantwortung von Kundenanfragen

Wie geht man nun mit Kunden um, welche die Löschung ihrer Daten wünschen? Die IT-Recht Kanzlei stellt ihren Mandanten folgende drei hilfreiche Muster zum professionellen Umgang mit solchen Kunden zur Verfügung:

  • Muster 1: Mitteilung über Stattgabe des Löschungsanspruchs auf Antrag
  • Muster 2: Ablehnung des Löschungsantrags mangels Löschungsgrundes
  • Muster 3: Ablehnung des Löschungsantrags wegen entgegenstehender gesetzlicher Aufbewahrungspflicht

Die Muster sind hier hinterlegt..

IV. Fazit

Grundsätzlich können Kunden nach der DSGVO die Löschung ihrer beim Händler gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschungsanspruch. Von Gesetzes wegen sind Händler dazu verpflichtet, bestimmte Datensätze sechs bzw. zehn Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein. Händlern sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.

Bei Problemen, Rückfragen sowie weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© DOC RABE Media - Fotolia.com
Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Datenerhebung vor dem neuen Datenschutzgesetz

11.11.2018, 20:06 Uhr

Kommentar von Salah Doghmane

Müssen Emailadressen von Nichtmitgliedern eines Vereins für die Benutzung des Newsletters neu angefordert werden. Die Daten wurden im Jahr 2017 erhoben. Der Newsletter wird erst im Jahr 2019...

Registrierung im Shop ohne Bestellung

10.11.2018, 17:20 Uhr

Kommentar von Daniela

Sehr geehrtes IT-Recht-Team, wie seht es denn mit Leuten aus, die sich im Shop registrieren, aber keine Bestellung aufgeben? Eine rechtliche Notwendigkeit den Account bestehen zu lassen besteht ja...

Begründet Auskunftsanspruch ein Recht auf weitere Speicherung?

17.05.2018, 09:46 Uhr

Kommentar von Ralf

Sehr geehrte Damen und Herren, vielleicht können Sie mir bei der Lösung folgenden hypothetischen Falles helfen: ein Kunde verlang Auskunft über die von ihm gespeicherten Daten, diese erteile ich...

Dauer der Aufbewahrungspflichten

16.05.2018, 09:16 Uhr

Kommentar von Sascha

Wo könnenn wir denn erfahren wie lange wir welche Daten speichern müssen? Die Personen bezogenen Daten aus dem Shop System zu löschen ist ja keine große Tat, was müssen wir jedoch noch in Hintergrund...

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller