von Phil Salewski

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen

News vom 07.05.2018, 13:45 Uhr | 2 Kommentare 

Mit dem Umfang der weltweit generierten und transferierten Daten steigt bei vielen Menschen auch die Sensibilität für ihre personenbezogenen Daten. In der Beratungspraxis der IT-Recht Kanzlei stoßen wir zuletzt häufiger auf den Wunsch von Kunden, dass ihre personenbezogenen Daten nach Abwicklung einer Bestellung gelöscht werden. Grundsätzlich müssen Händler die Wünsche Ihrer Kunden befolgen, doch es gibt unter der Geltung der DSGVO bestimmte Voraussetzungen für die Löschung sowie Ausnahmen, in denen das Gesetz zur Aufbewahrung von Daten zwingt. Die IT-Recht Kanzlei gibt einen Einblick und stellt Ihren Mandanten hilfreiche DSGVO-konforme Mustermitteilungen bereit.

I. Löschungsanspruch vs. Aufbewahrungspflicht

Die Flut an personenbezogenen Daten im Netz löst bei kritischen Nutzern verständlicherweise einen Reflex aus. Wer möglichst datensparsam surfen möchte, fragt sich, welche personenbezogenen Daten er gänzlich zurückhalten, und welche er wenigstens möglichst schnell wieder aus dem Netz entfernen lassen kann.

Tatsächlich gibt es aufgrund des datenschutzrechtlichen Grundsatzes der Datensparsamkeit gesetzliche Regelungen, die datenverarbeitende Stellen dazu verpflichten, unter bestimmten Voraussetzungen die bei ihnen gespeicherten personenbezogenen Daten wieder zu löschen. Betroffene haben dann sogar einen Löschungsanspruch. Online-Händler sind davon etwa dann betroffen, wenn Kunden nach Abwicklung einer Bestellung verlangen, dass ihre beim Händler gespeicherten personenbezogenen Daten sofort und vollständig gelöscht werden. Der datenschutzrechtliche Löschungsanspruch des Kunden kollidiert dann möglicherweise mit gesetzlichen Aufbewahrungspflichten von Informationen.

Aber wann müssen und wann dürfen Händler überhaupt welche Datensätze löschen?

Premiumpaket

II. Der datenschutzrechtliche Löschungsanspruch nach der DSGVO

Ebenso wie bereits nach bisherigem Recht (§35 BDSG) wird der Betroffene auch unter Geltung der DSGVO mit einem Löschungsanspruch ausgestattet. Allerdings wurden dessen Voraussetzungen reformiert.

Nach Art. 17 DSGVO muss der Verantwortliche dem Anspruch auf Löschung dann Rechnung tragen, wenn

  • der Zweck der Datenverarbeitung erreicht wurde und die personenbezogenen Daten insofern nicht mehr erforderlich sind
  • der Betroffene seine Einwilligung widerrufen hat und keine anderweitige (gesetzliche) Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b-f DSGVO eingreift
  • der Betroffene gegen die Verarbeitung Widerspruch im Sinne des Art. 21 DSGVO eingelegt hat
  • die personenbezogenen Daten unrechtmäßig, also nicht von Art. 6 DSGVO gedeckt, erhoben, verarbeitet oder genutzt wurden
  • der Betroffene seine Einwilligung als Minderjähriger gemäß Art. 8 DSGVO abgegeben hat und die Löschung verlangt (Achtung: dieses Recht steht dem Betroffenen auch zu, wenn er inzwischen nicht mehr Minderjährig ist, Erwägungsgrund 65)

Zwingend zu beachten ist, dass jenseits des Rechts des Betroffenen, die Löschung zu verlangen, eine eigenständige, originäre Pflicht des Verantwortlichen besteht, die Löschung unverzüglich zu bewirken. Liegt insofern einer der genannten Löschungstatbestände vor, ist der Verantwortliche gemäß Art. 17 Abs. 1 DSGVO auch von sich aus und ohne vorherigen Betroffenenantrag verpflichtet, die entsprechenden Daten unverzüglich, d.h. ohne schuldhaftes Zögern, zu löschen.

Hinweis: diese originäre Löschungspflicht gilt nicht in Fällen, in denen die Einwilligung durch einen (ehemals) Minderjährigen oder dessen gesetzlichen Vertreter erteilt wurde. Hier bleibt die Einwilligung bis zur Ausübung des Löschungsanspruchs auch nach Überschreitung der maßgeblichen Altersgrenze eine hinreichende Rechtfertigung und der Verantwortliche muss nicht bei Vollendung des 16. Lebensjahrs initiativ tätig werden.

Hat der Verantwortliche die zu löschenden Daten an Dritte weitergegeben oder gar öffentlich gemacht, hat er bei Vorliegen eines Löschungsgrundes alle Dritten über die Löschung zu informieren, damit diese ihrerseits Löschungsvorgänge einleiten können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist.

Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen (Art. 17 Abs. 2 i.V.m. Art. 19 DSGVO).

Eine Löschung kann trotz Vorliegen eines oben angeführten Löschungsgrundes rechtmäßig abgelehnt werden, wenn der Verantwortliche ein berechtigtes Interesse an der Weiternutzung der Daten hat (Art. 17 Abs. 3 DSGVO). Dies kann insbesondere dann der Fall sein, wenn die fortdauernde Verarbeitung oder Speicherung zur Erfüllung einer gesetzlichen Aufbewahrungspflicht erforderlich ist und insofern eine gesetzliche Verpflichtung (Art. 17 Abs. 3 lit. b DSGVO) besteht, die Daten nicht zu löschen.

Für Online-Händler dürften vor allem die von ihnen zu beachtenden gesetzlichen Aufbewahrungsfristen nach § 257 des Handelsgesetzbuchs (HGB) und § 147 der Abgabenordnung (AO) von Relevanz sein. Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, u.a. empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB), Wiedergaben von abgesandten Handelsbriefen (§ 257 Abs. 1 Nr. 3 HGB) und Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) aufzubewahren. Die Aufbewahrungsfrist beträgt nach § 257 Abs. 4 HGB für Buchungsbelege zehn Jahre und für Handelsbriefe sechs Jahre.

In § 147 Abs. 1 Nr. 2-4, Abs. 3 AO finden sich nahezu wortgleiche Aufbewahrungspflichten für die steuerlichen Belange. Handels- bzw. Geschäftsbriefe wie Eingangs- und Ausgangsrechnungen, Lieferscheine, Kostenvoranschläge und Verträge dürfen bereits von Gesetzes wegen innerhalb der maßgeblichen Frist (10 Jahre) nicht gelöscht werden, was umgekehrt bedeutet, dass Kunden in Bezug auf diese Daten innerhalb der gesetzlichen Aufbewahrungsfrist keinen Löschungsanspruch haben.

Die Löschung anderer oder auch identischer Datensätze, die nicht Inhalt der konkreten Handels- und Geschäftspapiere sind (etwa die im Webshop-System hinterlegten Kundendatensätze und Bestellhistorien), können die Kunden aber unabhängig von der Aufbewahrungsfrist verlangen. Das gesetzliche Löschungshindernis in Form der Aufbewahrungsfristen bezieht sich insofern allein auf die personenbezogenen Daten in den konkreten Dokumenten.

III. Muster-Formulierung für die Beantwortung von Kundenanfragen

Wie geht man nun mit Kunden um, welche die Löschung ihrer Daten wünschen? Die IT-Recht Kanzlei stellt ihren Mandanten folgende drei hilfreiche Muster zum professionellen Umgang mit solchen Kunden zur Verfügung:

  • Muster 1: Mitteilung über Stattgabe des Löschungsanspruchs auf Antrag
  • Muster 2: Ablehnung des Löschungsantrags mangels Löschungsgrundes
  • Muster 3: Ablehnung des Löschungsantrags wegen entgegenstehender gesetzlicher Aufbewahrungspflicht

Die Muster sind hier hinterlegt..

IV. Fazit

Grundsätzlich können Kunden nach der DSGVO die Löschung ihrer beim Händler gespeicherten personenbezogenen Daten verlangen. Allerdings besteht kein unbeschränkter Löschungsanspruch. Von Gesetzes wegen sind Händler dazu verpflichtet, bestimmte Datensätze sechs bzw. zehn Jahre lang aufzubewahren. Konsequenterweise schränkt das Datenschutzrecht den Löschungsanspruch der Betroffenen dementsprechend ein. Händlern sind somit bei der Erfüllung von Löschungswünschen Ihrer Kunden teilweise die Hände gebunden. Personenbezogene Daten der Kunden wie Geburtsdaten oder Kundendaten im elektronischen Webshop-System sind mangels gesetzlicher Pflicht zur Aufbewahrung jedoch zu löschen.

Bei Problemen, Rückfragen sowie weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Bildquelle:
© DOC RABE Media - Fotolia.com
Autor:
Phil Salewski
(freier jur. Mitarbeiter der IT-Recht Kanzlei)

Besucherkommentare

Begründet Auskunftsanspruch ein Recht auf weitere Speicherung?

17.05.2018, 09:46 Uhr

Kommentar von Ralf

Sehr geehrte Damen und Herren, vielleicht können Sie mir bei der Lösung folgenden hypothetischen Falles helfen: ein Kunde verlang Auskunft über die von ihm gespeicherten Daten, diese erteile ich...

Dauer der Aufbewahrungspflichten

16.05.2018, 09:16 Uhr

Kommentar von Sascha

Wo könnenn wir denn erfahren wie lange wir welche Daten speichern müssen? Die Personen bezogenen Daten aus dem Shop System zu löschen ist ja keine große Tat, was müssen wir jedoch noch in Hintergrund...

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller